2017_07_31
Uutiset

Yrittäjä, onko tietosuojasi kesäterässä?

Verkkohyökkäysten ristitulessa tietoturva mietityttää monia yrittäjiä. Myös EU:n tuleva tietosuoja-asetus edellyttää yrityksiltä entistä parempaa tietosuojan tasoa. Kun tietosuojakartoituksen toteuttaa ajoissa, ehtii omissa prosesseissa piileviin riskeihin vielä puuttua.

Tietosuoja kesäterässä?

Tietosuojan tilassa löytyykin kohennettavaa yllättävän monessa yrityksessä. Erityisen riskin tietosuoja-aukot aiheuttavat, kun yrityksessä käsitellään henkilötietoja. Henkilötietoja käsitellään todellisuudessa miltei jokaisessa yrityksessä, oli kyseessä sitten markkinointirekisteri, asiakkaat tai omat työntekijät.

- Toisin kuin usein luullaan, henkilötiedolla ei tarkoiteta ainoastaan yksityishenkilöön liittyvää arkaluonteista tietoa. Henkilötiedoiksi lasketaan laissa jo pelkkä nimi, puhelinnumero tai sähköpostiosoite. Kun näitä käsitellään, on yrittäjällä aihetta olla tarkkana. Henkilötietojen suojaamisessa on isolla osalla yrityksistä parantamisen varaa, toteaa taloushallinnon palveluihin erikoistuneen Accountorin lakiasiainpäällikkö Anna-Maija Marjakangas.

Tietosuoja-asetus tiukentaa sääntelyä

Viimeaikaiset verkkohyökkäykset ovat saaneet monet yrittäjät mietteliäiksi. Oman yrityksen tietoturvaan ja käsiteltävien henkilötietojen tietosuojaan kannattaa kiinnittää huomiota myös toukokuussa voimaan tulevan EU:n tietosuoja-asetuksen takia. Asetus tiukentaa henkilötietojen käsittelyn vaatimuksia – yritysten on esimerkiksi jatkossa kyettävä antamaan henkilötietorekisteriinsä kuuluville enemmän ja selkeämmin tietoa siitä, miten ja mitä varten henkilötietoja kerätään ja käsitellään.

- Yrityksessä on suunniteltava ja tiedettävä, mitä henkilötietoja kerätään ja mihin tarkoitukseen. Suunnitelmalliseen toimintaan kuuluu myös miettiä, miten tietoja yrityksessä käsitellään ja kuka niihin pääsee käsiksi. Tästä on kerrottava myös henkilöille, joiden tietoja kerätään, listaa yrityslakimies Anton Meriluoto Accountorilta.

Uuden asetuksen mukaan yrityksen on myös pystyttävä osoittamaan, että säännöksiä noudatetaan ja että henkilötietojen käsittely tapahtuu järjestelmällisesti ja suunnitelmallisesti. Asetuksessa säädettyjen velvollisuuksien rikkomisesta seuraavat sanktiot ovat merkittävät: tietosuojan laiminlyömisestä seuraavat sanktiot voivat olla arvoltaan jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.  

Mikä on yrityksesi tietosuojatilanne? 

Käytännössä uusi tietosuoja-asetus vaatii, että yrityksillä on oltava dokumentoitu suunnitelma henkilötietojen käsittelemistä varten. Näin ei kuitenkaan monessa yrityksessä vielä ole. Oman yrityksen tietosuojatilanteen selvittämisessä auttaa tietosuojakartoitus. 

- Kartoituksessa käydään läpi se, miten ja kuka henkilötietoja yrityksessä käsittelee. Tarkoituksena on hahmottaa, millä mallilla tietosuoja-asiat parhaillaan ovat ja katsoa, mitä pitää muuttaa, jotta asetuksen asettamat vaatimukset täyttyvät, kuvailee Meriluoto.

Useissa yrityksissä esimerkiksi alihankintasopimuksissa henkilötietojen käsittelyn ehdot vaativat viilausta. Samoin rekisteriseloste saattaa puuttua tai vanhoja henkilötietoja olla tallessa turhan pitkään. 

- Henkilöstöhallinnossa ja markkinoinnissa liikkuu paljon henkilötietoa. Siksi onkin tärkeää muistaa, ettei esimerkiksi työnhakijoiden hakemuksia saa säilyttää kauempaa kuin rekrytoinnin käynnissä olon ajan, ellei sille ole laillisia perusteita tai hakija anna siihen erillistä lupaa. Myös asiakkaiden henkilötietoihin kuuluisi olla pääsy vain niillä, jotka sitä työnsä puolesta tarvitsevat, Marjakangas havainnollistaa.

Käytännöt kuntoon

Kun uusi lainsäädäntö tulee voimaan, on tietosuojan oltava ojennuksessa yrityksessä kuin yrityksessä. Asetukseen perehtyminen ja käytäntöjen kehittäminen voi kuitenkin olla aikaa vievä prosessi. 

- Tietosuoja-asiat eivät usein kuulu pienyrittäjän ydinosaamiseen. Kun kiire painaa päälle, eikä aikaa 90-sivuiseen EU-asetukseen perehtymiselle tunnu löytyvän, on ulkoisesta asiantuntijasta apua. Kun tietosuojakartoituksen tekee yhteistyössä asiantuntijan kanssa, on myös lopputuloksessa varmasti otettu olennaiset asiat huomioon, toteaa Meriluoto.

Mitä aikaisemmin tietosuoja-asetuksen varalta valmistautumisen aloittaa, sitä varmemmin oman yrityksen tietosuojatilanne on vaaditulla tasolla asetuksen astuessa voimaan.

5 vinkkiä parempaan tietoturvaan:

  1. Ole suunnitelmallinen. Suunnitelmallisuus on hyvän tietosuojan a ja o. Käy systemaattisesti läpi, miten yrityksesi käsittelee henkilötietoja ja mihin luovuttaa niitä. Kun tiedät, miten asiat teillä hoidetaan, osaat kehittää käytäntöjä ja varautua tulevaan.
  2. Jaa vastuut selkeästi. Nimitä tietosuojavastaava, jonka tehtävänä on tietosuojan toteutumisen varmistaminen ja valvonta. Jos vastuuhenkilöä ei ole nimetty, yrittäjä on viime kädessä itse vastuussa yrityksen tietosuojasta.
  3. Varmista, että dokumentaatio on ajan tasalla.  Kun prosessikuvaukset ovat kunnossa, voit tarvittaessa todistaa, että henkilötietojen käsittely on yrityksessäsi suunnitelmallista. 
  4. Katso, että yrityksesi rekisteriseloste on päivitetty. Henkilötietoja käsitellessä laki edellyttää, että rekisteriseloste on asiakkaiden saatavilla. Yleensä se löytyy yrityksen verkkosivuilta.
  5. Toimi, kuten kirjaat. Ei riitä, että suunnitelma on tehty, jos itse toiminnassa on puutteita. Panosta siis siihen, että entistä turvallisemmat toimintatavat tulevat osaksi päivittäistä rutiinia.

Lähde: 
Anton Meriluoto, yrityslakimies, Accountor
Anna-Maija Marjakangas, lakiasiainpäällikkö

Jäikö joku artikkelissa askarruttamaan mieltäsi? Lähetä sähköpostia asiantuntija@accountor.fi –osoitteeseen, niin jatketaan keskustelua aiheesta.

Ota yhteyttä Lisää ajankohtaisia uutisia Tilaa uutiskirje