Yrittäjä – sinä vastaat GDPR:n velvoitteista

Artikkeli21.03.2018

Kerää vain relevanttia tietoa, josta tiedät mihin sitä käytetään. Muista poistaa tarpeeton ja vanha tieto. Tarjoa asiakkaalle helppo tapa tarkastaa omat henkilötiedot kannastasi. GDPR ei oikeastaan ole hankala ponnistus, vaan mahdollisuus pistää prosessit kuntoon.

Euroopan unionin tietosuoja-asetuksen (GDPR) siirtymäaika päättyy 25.5. minkä jälkeen se velvoittaa kaikki yrityksiä ja organisaatioita, jotka rekisteröivät henkilötietoa. Äkkiseltään voisi kuvitella, ettei tällaisia organisaatioita olisi Suomessa kovinkaan paljon. Asetuksessa henkilötiedoksi määritellään kuitenkin käytännössä lähes mikä tahansa henkilön yksilöintitieto, kuten puhelinnumero tai sähköpostiosoite, joten kosketuspinta ainakin yritystoiminnassa on laaja. Melkein jokaisella yrityksellä on ainakin rekisteri asiakkaistaan ja jos nämä ovat yrityksiä, löytyy kirjoista luultavasti ainakin yhteyshenkilö yhteystietoineen – asetuksen vaatimuksiin kannattaa siis alkaa perehtyä viimeistään nyt.
-Vastuut ja velvollisuudet eivät myöskään katso yrityksen kokoa, vaan ne koskevat kaikkia. Ennen kaikkea on tärkeää ymmärtää, että yrittäjä on itse vastuussa siitä, että hänen yrityksensä hallinnoi henkilötietoja asetuksen edellyttämällä tavalla. Tämä pätee silloinkin, kun rekisteriin on annettu käyttöoikeuksia vaikkapa alihankkijalle tai kumppanille, painottaa hyvin aiheeseen perehtynyt liiketoiminnan kehityspäällikkö Rami Meling Suomen Asiakastieto Oy:stä.
-Ei silti tarvitse uskoa aivan kaikkia pelotteluja sanktioista tai asetuksen vaatimusten monimutkaisuudesta. Minusta GDPR:n voi ottaa kannusteena pistää yritystoiminnan perusprosessit ja tietojen hallinnointi kuntoon. Siitä on pitkän päälle hyötyä ja se luo hyvän alustan yrityksen kasvulle, Meling kannustaa.
Vielä viime syksynä suuri osa yrityksistä ei Asiakastiedon teettämän kyselytutkimuksen mukaan ollut ryhtynyt oikein minkäänlaisiin toimiin omissa GDPR-valmisteluissaan ja todennäköisesti vieläkään kaikki eivät ole heränneet.
-Nyt kun ryhtyy hommiin, niin ainakin suuri osa yrityksistä kuitenkin ehtii laittaa rekisterinsä ja toimintatapansa asetuksen vaatimalle tasolle ajoissa tai on toukokuussa ainakin matkalla tavoitteeseen, Rami Meling toteaa.

Yrittäjän muistilista

GDPR:n vaatimusten täyttäminen edellyttää erilaisten asiakirjojen laadintaa ja ylläpitoa. Yrityksen on dokumentoitava henkilötietojen keräämiseen, säilyttämiseen ja käyttöön liittyvät prosessinsa huolella.

1. Kartoita tietojen keruun nykytilanne ja dokumentoi se. Miten teillä kerätään tietoa ja minkälaisiin järjestelmiin ne tallennetaan? Ketkä käsittelevät tietoa? Kuinka kauan niitä säilytetään? Miten tietojen poistaminen henkilörekistereistä tapahtuu? Huomioi myös henkilötietojen käsittelyn mahdolliset ulkoistukset, kuten esimerkiksi palkanmaksun ulkoistukset tai markkinointiviestinnän asiakasmainospostitusten ulkoistukset. Organisaatiolla on vastuu tiedoista, vaikka niitä käsittelisi ulkopuolinen taho. Tarkista, että henkilötietoja käsitellään organisaatiossanne GDPR:n mukaisesti – ja jos ei, muuta sisäisiä toimintatapoja.
2. Listaa organisaationne kaikki erilaiset henkilötietolistat ja laadi niille rekisteriseloste. Selosteesta tulee käydä ilmi, miten tiedot on kerätty ja miten niiden luvanvaraisuus on varmistettu, mihin tarkoitukseen tietoja käytetään ja ketkä kaikki (oma väki ja ulkopuoliset tahot) käsittelevät tietoja. Varmistu myös siitä, että kaikissa eri rekistereissä olleille tiedoille on hankittu lupa.
3. Varmista oma roolisi henkilötietojen käsittelyssä. Oletko rekisterinpitäjä vai henkilötiedon käsittelijä? Vastaus vaikuttaa siihen, minkälaisia vastuita ja velvollisuuksia organisaatiolla on. Rekisterinpitäjä on yritys, joka päättää henkilötietojen käsittelyn tarkoituksen ja tavat. Henkilötietojen käsittelijä puolestaan on taho, joka käsittelee rekisterinpitäjän puolesta henkilötietoja. Sekä rekisterinpitäjällä että henkilötietojen käsittelijällä on osoitusvelvollisuus eli heidän tulee pystyä osoittamaan, että lakia noudatetaan.
4. Rekisterinpitäjien on huolehdittava siitä, että ne kykenevät toimittamaan rekisteröidyille näiden pyytämät tiedot sekä tarvittaessa vastaamaan ja huolehtimaan tietojen poistamisesta rekisteristä. Tietojen tulee olla tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa.
5. Selvitä yrityksesi tietoturvan nykytaso. Riittääkö se vastaamaan GDPR:n vaatimuksiin? Arvioi mahdolliset riskit ja tee niiden varalle toimintasuunnitelma. Dokumentoi tämäkin prosessi erilliseen tietoturvadokumenttiin. Muista liittää siihen myös käyttämäsi tietoturvajärjestelmän toimittajan oma kirjallinen toimintasuunnitelma.
6. Tarkista, tuleeko yrityksesi nimetä erillinen tietosuojavastaava. Tietosuojavastaava tulee nimittää, jos on kyse julkisen sektorin organisaatiosta, yli 250 hengen yrityksestä tai
organisaation ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä. Tietosuojavastaavan nimeäminen voi olla järkevää pienissäkin yrityksissä, jotta asiat tulee kunnolla hoidettua.

Omat tiedot on voitava tarkistaa

Uuden asetuksen myötä yritysten on myös huolehdittava siitä, että rekisteröidyillä on halutessaan mahdollisuus saada tietää, mitä tietoja heistä eri rekistereissä on. Heillä täytyy olla myös mahdollisuus muokata niitä tai pyytää tietoja poistettavaksi.

-Tämä on yrittäjänkin kannalta järkevää tehdä mahdollisimman helpoksi ja sujuvaksi prosessiksi, ja pitää henkilötiedot jo rekisteriä luotaessa täsmällisinä ja jopa niukkoina. Mielellään tietojen tarkistusmahdollisuus kannattaa tarjota digitaalisena yrityksen kotisivuilla, jolloin se työllistää mahdollisimman vähän ja asiakaskokemus vahvistuu, Rami Meling suosittelee.
Tietoja ei kannata kerätä ”varmuuden vuoksi”, vaan aina erityistä tarvetta varten.
-Esimerkiksi messuilta voi jatkossakin kerätä potentiaalisilta asiakkailta tietoja myyntimielessä, mutta vain oleellisimmat tiedot. Kannattaa ajatella asiaa omalta kannalta. Jos en halua, että minusta kerätään tietoja kenties tarpeettomasti ja niin, etten oikein tiedä, mihin tietoja käytetään, niin ei kannata sortua samaan muiden kohdalla omassa toiminnassa.
Omaa toimintatapaa kannattaa myös muokata niin, että tietojen käsittelyä on helpompi seurata ja tarvittaessa voi osoittaa toimivansa oikein. Asiakashallintarekistereistä ei kannata ottaa turhia listauksia ulos, vaan käsittele tiedot siellä, missä ne säilytetään.
-Myös Excel-listoja kannattaa lähettää harkiten. Ne kun tallentuvat oman sähköpostin lähetettyjen listaan sekä vastaanottajien sähköpostiin eli niitä ei välttämättä enää henkilön pyytäessä pysty poistamaan.

Kasvua vahvasta rekisteristä

Alkuvaiheessa tietosuoja-asetuksen vaatimukset ja niihin vastaaminen voivat tuntua raskailta ja joidenkin yritysten mielestä turhiltakin. Rami Meling uskoo kuitenkin, että tietojen hallinnointiin liittyvien prosessien kuntoon laitolla voi olla hyvinkin kauaskantoiset seuraukset.

-Sekalaisista excel-rekistereistä luopuminen ja tietojen käsittelyn keskittäminen auttavat yritystä analysoimaan paremmin asiakastietojaan. Kun rekisteri on kunnossa, sen tietoja on jatkossa helppo rikastaa.
Huolella ylläpidetystä asiakasrekisteristä voi esimerkiksi nähdä, millaiset asiakkaat ovat parhaita. Sellaisia kannattaa etsiä lisää.
-Me uskomme hyvään asiakaskokemukseen ja yksi osa siitä on, että luotetaan palvelun tai tuotteen toimittajaan. Hoitamalla GDPR:n velvoitteet kuntoon lisäät luotettavuutta asiakkaiden suhteen, Rami Meling viitoittaa.

Mikä tietosuojaseloste?

GDPR:n mukaan henkilörekisterinä pidetään jollain tavalla jäsenneltyä ja luokiteltua tietojoukkoa, josta voidaan poimia ja erotella tietoja halutuilla kriteereillä. Tietojoukko voi olla keskitetty, hajautettu tai jopa fyysisesti nippu eri tiedostoja, jos niiden käyttötarkoitus kuitenkin on sama. Yhteen ja samaan henkilörekisteriin voi sisältyä useita eri henkilötietoja.

Rekisterinpitäjä on vastuussa rekisterin huolellisesta käytöstä. Tiettyä käyttötarkoitusta varten määritellystä rekisteristä tulee löytyä ns. tietosuojaseloste, jos tietoja käsitellään säännöllisesti. Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.
Asetuksen mukaan selosteen tulee pitää sisällään kaikki seuraavat tiedot:
1) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
2) käsittelyn tarkoitukset
3) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
4) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat
5) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1. kohdan toisessa alakohdassa tarkoitettu siirto
6) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
7) mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista
-Käytännössä tämä tarkoittaa sitä, että tietosuojaselosteessa on kerrottava, kuka on vastuussa henkilötietojen käsittelystä, ketkä tietoja käsittelevät, mitä tietoja kerätään ja mitä varten tietoja käsitellään sekä kuinka kauan tietoja säilytetään. Lisäksi pitää mainita, jos tietoja luovutetaan esimerkiksi yhteistyökumppaneille. Kannattaa myös kuvata, miten mahdollisia tietovuotoja vasten on varauduttu, tiivistää liiketoiminnan kehityspäällikkö Rami Meling Suomen Asiakastieto Oy:stä.

Haluatko oppia enemmän? Klikkaa www.asiakastieto.fi/gdpr

Ville Kaupin kirjoittama artikkeli on julkaistu Luottolista-lehdessä 3/2018.