Tilaa uudistunut yrittäjäkirje

Kirjeessä kootusti Kuukauden teema ja paljon yrittäjille hyödyllistä tietoa.

Riskienhallinta

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Tietosuoja-asetus astuu voimaan toukokuun lopussa. Nyt on aika ryhtyä töihin.

|

Tietosuoja-asetus on jo ehtinyt aiheuttaa yrittäjille tukun harmaita hiuksia, sillä yrityksiä on peloteltu julkisuudessa isoilla sakoilla mikäli asiat eivät ole kunnossa.
Yrittäjät myös kritisoivat, että ohjeet ovat sekavia ja niitä tulee verkkaisesti.

Asetuksen sisältöön perehtyneet asiantuntijat pitävät kritiikkiä osin aiheellisena. Esimerkiksi yleistä tietosuoja-asetusta suoramarkkinoinnin osalta tarkentava sähköisen viestinnän tietosuoja-asetus on vielä hyväksymättä.

Yrittäjän pahin virhe on kuitenkin laittaa pää pensaaseen. Toukokuun 25. päivä voimaan astuvaa tietosuoja-asetusta ei nimittäin pääse pakoon kukaan.

– Se koskee valtaosaa yrityksistä. Ehkäpä vain torimyyjä, jolla ei ole yhtään työntekijää tai asiakasrekisteriä, voi olla rauhassa, sanoo kyberturvallisuuden ja tietosuojan kehittämispalveluja tarjoavan Tikkasecin toimitusjohtaja Pekka Vepsäläinen.

Yksinkertaistettuna tietosuoja-asetus koskee henkilötietojen käsittelyä, keräämistä ja käyttöä. Pro Juridican asianajaja Juuso Tuppurainen kehottaa yrityksiä ensimmäiseksi tarkastamaan henkilötietojen keräämisen tavat ja laittamaan ne kuntoon. Katso viisi askelta jutun lopusta.

– On tärkeää tehdä kartoitus, että ymmärretään, mitä tietoa yrityksellä on. Sen jälkeen on arvioitava, mistä tieto tulee, mihin sitä käytetään ja onko tieto liiketoiminnan kannalta tärkeää, Tuppurainen kertoo.

Hänen mukaansa asetus ei ota kantaa esimerkiksi siihen, missä muodossa asiakasrekisteri on yrityksessä. Mapeissa oleva tieto on yhtä lailla henkilötietoa kuin sähköisessä muodossa oleva. Henkilötiedoksi lasketaan myös IP-osoite.

Yritys voi tehdä tietosuojan nykytilan kartoituksen itse, mutta asiantuntija on hyvä olla tukena. Apuna voi olla esimerkiksi aiheeseen perehtynyt konsultti tai juristi. Vepsäläinen kertoo, että tarjolle on tullut myös sähköisiä työkaluja, joissa on mukana valmiita mallidokumentteja asetuksen velvoitteiden toteuttamiseksi kustannustehokkaasti.

Miten markkinoit?

Asiakasrekisterien ja henkilörekisterien käyttötarkoitus on yleensä markkinoida yrityksen palveluja tai tuotteita.

Markkinointia varten pitää usein pyytää jokaiselta henkilöltä suostumus etukäteen.

– Vanhaa rekisteriä ei välttämättä tarvitse heittää roskiin. Sen käytön yhteydessä täytyy kertoa rekisteröidyille, mistä tiedot ovat peräisin ja mihin tarkoituksiin niitä aiotaan käyttää. Olemassa oleva asiakassuhde antaa yritykselle oikeutetun edun käyttää tietoja suoramarkkinointiin, mutta pitää muistaa, että henkilöllä on myös oikeus kieltäytyä markkinointiviesteistä, Vepsäläinen sanoo.

Suurin osa suomalaisista yrityksistä on yhden miehen tai naisen omistamia henkilöyhtiöitä. Heitä koskevat pääasiassa samat säännöt kuin muitakin, mutta yksinkertaisilla toimenpiteillä pääsee jo pitkälle. Ensinnäkin rekisteriselosteiden pitää olla kunnossa ja ajan tasalla.

– Lisäksi tilanteen mukaan täytyy huolehtia esimerkiksi verkkosivuston SSL-sertifikaatista, ja varsinkin liikkuvassa työssä käytettävien läppäreiden kovalevy pitäisi salata. Tietosuojaa kehittämällä parannetaan yrityksen tietoturvaa kokonaisuutena, Vepsäläinen korostaa.

Työnantajayritykset joutuvat miettimään, kenellä ylipäätään on oikeus käsitellä työntekijöiden henkilötietoja tai kuka pääsee niihin käsiksi.

Yrityksille tulee vielä lisähaasteita, jos käsiteltävät tiedot ovat arkaluonteisia tai jos yleiset ohjeet eivät päde. Näin on esimerkiksi pitkissä alihankintaketjuissa, jolloin henkilötietoa saattaa kulkea hyvin laajalle ketjussa alaspäin. Silloin puhutaan rekisterin pitäjän ja käyttäjien eli henkilötietojen käsittelijöiden välisistä sopimuksista.

Tuppurainen nostaa sopimukset muutenkin esille.

– Työntekijöiden tietojen käsittelystä, kuten palkkatiedoista, pitää olla kirjalliset sopimukset kolmansien osapuolten kanssa, Tuppurainen sanoo.

Testaa tietoturvan taso