EU:n tietosuoja-asetusta aletaan soveltaa 25.5.2018 alkaen. Asetus korvaa henkilötietolain ja sen tavoitteena on luoda yhtenäinen ja kattava tietosuojakehys EU-maissa. Mikä siis muuttuu yritysten arjessa ja millä tavalla uuden asetuksen soveltamiseen tulee varautua?

Lähtökohtana on, että yrittäjällä tulee olla asiakkaan selkeä suostumus tietojen keräämiseen ja käsittelyyn. Usein suostumus syntyy asiakkuuden perusteella. Kun tietoja ei enää tarvita esimerkiksi asiakkuuden päättymisen vuoksi, on tiedot poistettava ellei sille ole lakisääteistä estettä, esimerkiksi kirjanpidon säilytysvelvollisuutta.

Säännöllisesti kerättäviä tietoja ovat esimerkiksi asiakkaiden nimet, osoitteet, puhelinnumerot ja henkilön sijaintitiedot. On tärkeää muistaa, että asiakkaista saa kerätä vain sellaista tietoa, joka liittyy yrityksen toimintaan. Esimerkiksi asiakkaan uskontoon, sukupuoliseen suuntautumiseen tai terveyteen liittyviä tietoja ei saa kerätä, elleivät ne millään tavalla liity yrityksen toimintaan.
Yrittäjän tulee jatkossa dokumentoida yrityksen järjestelmiin kertyneet tiedot ja tietää, missä nämä kerätyt tiedot ovat. Säännöllisesti kerättävistä tiedoista on yrittäjän pidettävä rekisteriä sillä rekisteri on tarvittaessa pystyttävä esittelemään viranomaiselle. Asiakkailla on lisäksi oikeus tietää mm., miten heidän tietojaan käsitellään, ja he voivat myös vaatia oikeuttaan tietojen poistamiseen ja unohdetuksi tulemiseen. Tietosuojavelvoitteensa laiminlyöville rekisterinpitäjille voidaan langettaa merkittäviä seuraamusmaksuja.

Toisaalta yritys voi myös sopimalla ulkoistaa henkilötietojen käsittelyn toiselle yritykselle. Tästä esimerkkinä tilitoimistolle ulkoistettu työntekijöiden palkanmaksu. Tällöin tulee laatia kirjallisella sopimuksella rekisterinpitäjän ja henkilötietojen käsittelijän väliset oikeudet ja velvollisuudet. Henkilötietojen tulee olla suojassa riippumatta niiden sijainnista ja käsittelytavasta.

Asetuksen voimaantuloon yrittäjä voi siis varautua kartoittamalla ensin yrityksen keräämät tiedot sijainteineen. Ovatko ne esimerkiksi tietokoneen kovalevyllä vai pilvipalvelussa? Seuraavaksi kannattaa kirjata ylös, miten tietosuojasta ja-turvasta (virustorjuntaohjelmat, palomuurit) on yrityksessä huolehdittu, ketkä yrityksessä käsittelevät henkilötietoja ja kuka on vastuussa tietojen käsittelystä. Mikäli henkilötietojen käsittely on pääasiallista liiketoimintaa tai se kohdistuu arkaluonteiseen tietoon, kuten etniseen taustaan, poliittisiin näkemyksiin, uskontoon tai potilastietoihin, on yrityksellä todennäköisesti oltava tietosuojavastaava. Joka tapauksessa henkilötiedot pitää olla dokumentoitu, suojassa sijainnista ja käsittelytavasta riippumatta ja ne on pystyttävä esittelemään viranomaiselle tarvittaessa.

Susanna Silvennoinen