asiakastieto.fi/gdpr

Mitä EU:n tietosuoja-asetus tarkoittaa yrittäjälle?

19.12.2017

EU-laajuinen uusi tietosuoja-asetus, GDPR (General Data Protection Regulation), vaikuttaa siihen, miten EU-kansalaisia koskevia tietoja kerätään ja käsitellään yrityksissä. GDPR velvoittaa yritykset tiukempiin ja laajempiin tietosuojakäytäntöihin. Uusi tietosuoja-asetus astuu voimaan 25.5.2018.
Mikäli yrityksessä vielä mietitään, koskeeko GDPR juuri meitä, niin vastaus on erittäin todennäköisesti kyllä. Jo se, että yrityksellä on henkilökuntaa, tekee siitä rekisterinpitäjän: Kaikki omaa henkilöstöä koskevat rekisterit (esimerkiksi henkilötiedot palkanmaksua varten) kuuluvat GDPR:n piiriin, eivät vain markkinoinnin ylläpitämät asiakas- ja mainoslistat. Kaikki rekisterit ja listat, joissa luetellaan esimerkiksi nimiä, puhelinnumeroita, sähköpostiosoitteita tai ip-osoitteita, lasketaan henkilötietorekisteriksi. Merkittävää on sekin, että uusi tietosuoja-asetus koskee myös niitä EU-alueen ulkopuolisia yrityksiä, joiden rekistereissä on EU-kansalaisia. 

Läpinäkyvyyden vaatimus lisää dokumentaation tarvetta

Mitä hyötyjä GDPR:llä sitten tavoitellaan? Uusi tietosuoja-asetus yhtenäistää EU-maiden tietosuojakäytäntöjä. EU-kansalaisilla on uuden asetuksen myötä oikeus saada tietää, mitä tietoja heistä on yritysten rekistereissä ja kenellä on oikeus käsitellä tietoja. Henkilörekistereissä olevilla on myös oikeus muokata omia tietojaan tai pyytää niitä kokonaan poistettaviksi. Tämä tarkoittaa sitä, että yrityksillä täytyy olla koko ajan selkeä käsitys siitä, mitä tietoja heillä on, miten tieto on kerätty rekistereihin, mihin tietoja käytetään sekä miten muutos- ja poistopyyntöjä käsitellään. Lisäksi tulee taata henkilötietorekistereille riittävä tietoturva, ja yrityksellä tulee olla valmiiksi kirjattu toimintasuunnitelma mahdollisten tietomurtojen varalle. 
Tietosuoja-asetuksen täyttämiseksi ei riitä pelkkä väittämä, että noudattaa lakia. Rekisterinpitäjällä tai henkilötietojen käsittelijällä on niin sanottu osoitusvelvollisuus, eli näiden on pystyttävä selkeästi todistamaan, että sääntöjä noudatetaan. Selkeästi kuvatut ja dokumentoidut prosessit henkilötietojen käsittelystä auttavat tässä. Tämä kaikki rakentaa myös luottamusta yrityksen toiminnasta asiakkaiden suuntaan.

Miten valmistautua EU:n uuteen tietosuoja-asetukseen

Henkilötietojen käsittelyn nykytilanteen kartoitus on juuri nyt kaiken a ja o. Kaikenkokoisten yritysten ja organisaatioiden kannattaa aloittaa listaamalla ja ryhmittelemällä kaikki mahdolliset henkilötietorekisterit, myös ulkoistetut. Kannattaa ottaa jo nyt proaktiivinen ote GDPR:n asettamiin vaatimuksiin – ihan jo senkin takia, että vastuu tietosuoja-asetuksen vaatimusten täyttämisestä on aina organisaatiolla itsellään riippumatta siitä, käytetäänkö ulkopuolisia palveluita vaikkapa palkanmaksuun.
Asetuksen tuomien velvollisuuksien kanssa ei tarvitse pähkäillä yksin. Suomen Asiakastieto on ottanut asiakseen auttaa yrityksiä GDPR:n tiimoilta ja tarjoaa ratkaisuja parempaan liiketoimintaan luotettavien datapalvelujen avulla. Tulemme tammikuusta lähtien kokoamaan www.asiakastieto.fi/gdpr sivustolle viikoittain asiaa ja vinkkejä tietosuojan ympäriltä.
 

Rami Meling
liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy