Harva yritys välttyy henkilötietojen käsittelyltä. Henkilötietoja kerätään ja käsitellään muun muassa markkinoinnin kohdentamista sekä työntekijä- ja asiakastietojen ylläpitämistä varten. Tietosuojaprosessien pitää olla kunnossa, muutoin edessä voi olla pahimmillaan kallis lasku.
Henkilötietojen käsittelyä koskeva EU:n tietosuoja-asetus eli GDPR on ollut voimassa pian neljä vuotta. Voisi kuvitella, että asetuksen vaatimukset ovat jo tuttuja henkilötietorekistereitä pitäville ja hyödyntäville yrityksille. Silti Suomessakin on aivan viime aikoina langetettu seuraamusmaksuja GDPR-rikkomuksista.
”Kun GDPR-prosessi on kunnossa, henkilötietoja voi levollisin mielin käsitellä liiketoimintaa edistävällä tavalla esimerkiksi profiloinnissa ja suoramarkkinoinnissa", sanoo Kolsterin asiantuntija.
Tietosuoja-asetus liittyy myös liikesalaisuuksiin. Yrityksen keräämät tiedot asiakkaistaan muodostavat omanlaisensa liikesalaisuuden. Niillä on suuri merkitys esimerkiksi silloin, kun tuotteita ja palveluja tarjottaessa halutaan hyödyntää evästeiden muodossa tallennettuja tietoja. Näin tarkasteltuna henkilötiedoista muodostuu kilpailuetu.
GDPR:n merkitys korostuu etenkin automaattista päätöksentekoa hyödyntävissä ratkaisuissa. Automaattisessa päätöksenteossa ihminen ei vaikuta päätökseen. Jos tällaista ratkaisua käytetään esimerkiksi rekrytointiin tai henkilötietoja sisältävien luottohakemusten käsittelyyn, on henkilötietojen käsittelyä koskevat periaatteet huomioitava. Rekisteröidyllä on oikeus vastustaa automaattisen päätöksen kohteeksi joutumista.
Kolsterin asiantuntija on laatinut selkeän, nelivaiheisen tiekartan, jonka avulla yritykselle luodaan toimiva tietosuojaprosessi.
1. Tee huolellinen GDPR-taustaselvitys
Tutki, mitä henkilötietoja yrityksessä on jo kerätty. Selvitä, ovatko nämä tiedot tarpeellisia liiketoiminnan kannalta eli onko niiden käsittelyyn lainmukainen peruste, kuten yrityksen oikeutettu etu. Sellainen on esimerkiksi tuotteiden tai palvelujen kohdennettu tarjoaminen, kuten suoramarkkinointi. Muista, että henkilörekisterin ylläpitäjänä yritys on vastuussa myös siitä, kuinka sen yhteistyö- tai sopimuskumppanit keräävät ja käsittelevät tietoja, kun ne noudattavat yrityksen antamia toimintaohjeita.
2. Luo selkeät GDPR-toimintaohjeet
Laadi koko yritykselle ohjeet, kuinka työntekijöiden ja asiakkaiden henkilötietoja kerätään ja käsitellään. Ohjeista tulee käydä ilmi, mitä tietoja kerätään, kuinka tietoja käsitellään, ketkä niitä käsittelevät, miten käsittelyä rajoitetaan ja milloin tietoja poistetaan.
Kiinnitä erityistä huomiota tietoturvaan: älä säilytä henkilötietoja avoimella verkkopalvelimella ja tiedosta suojaamattomien verkkoyhteyksien riskit. Huomioi myös lainsäädännön vaatimukset henkilötietojen määräaikaisesta säilyttämisestä. Esimerkiksi työsopimuslaki edellyttää, että tiettyjä henkilötietoja säilytetään määräajan. Myös kirjanpitolain mukaan sellaisia tositteita, joissa voi olla henkilötietoja, tulee säilyttää määrätty aika.
Huomioi rekisteröidyn oikeuksien toteutuminen ohjeissa. Hänellä on oikeus tietää, mitä henkilötietoja hänestä on kerätty rekisteriin sekä oikeus oikaista ja poistaa tietoja tai rajoittaa niiden käsittelyä. Rekisterinpitäjän on määriteltävä, kuinka kerätyt tiedot siirretään toisen rekisterin ylläpitäjälle, jos rekisteröity sitä pyytää. Tällainen tilanne voi syntyä, kun asiakas haluaa, että hänen tietonsa siirretään luettavassa muodossa samaa palvelua tarjoavalle kilpailevalle yritykselle.
3. Kouluta GDPR-ohjeiden noudattamiseen
Varmista koulutuksella, että kaikki yrityksessäsi ymmärtävät toimintaohjeet ja noudattavat niitä. Suuremmissa yrityksissä koulutuksessa on syytä käsitellä, ketkä voivat kerätä ja käsitellä henkilötietoja, mitä tietoja kerätään ja kuinka kerääminen tapahtuu. On myös tärkeää kouluttaa siihen, mitä tietoja ei saa kerätä. Tällaisia voivat olla esimerkiksi sijaintitiedot etätyössä tai henkilötunnusten kerääminen tavanomaisessa kaupankäynnissä ilman selkeää perustetta.
Aseta tavoitteeksi, että koulutuksen läpikäyneet ymmärtävät, mitkä ovat henkilötietoja lain tarkoittamassa mielessä ja mitä henkilötietoja yritys tarvitsee toimintansa harjoittamiseksi.
Tiedosta, että kun henkilötietoja käsitellään laajamittaisesti, yritys on velvoitettu nimittämään tietosuojavastaavan.
4. Seuraa GDPR-prosessin toimimista
Valvo tasaisin väliajoin, että laadittua tietosuojaprosessia noudatetaan. Päivitä ohjeita, jos yrityksen toiminnassa tapahtuu GDPR:ää koskevia muutoksia eli yritys esimerkiksi ryhtyy laajentamaan toimintaansa ja jakamaan henkilörekisterinsä tietoja yhteistyökumppaneilleen. Myös tietosuojaselostetta on päivitettävä tällaisessa tilanteessa. Rekisteröidyille on kerrottava, mikäli heidän tietojaan jaetaan jatkossa kolmannelle osapuolelle.
Toimivaan tietosuojaprosessiin ja GDPR-vaatimusten mukaisuuteen (niin sanottu GDPR compliance) kannattaa panostaa ongelmien välttämiseksi.
Rikkomuksista voidaan langettaa taloudellisia sanktioita. Suomessa henkilörekisterin pitäjä voi joutua jopa rikosoikeudelliseen vastuuseen tietosuojarikoksesta. On tärkeää muistaa, että rekisterinpitäjä kantaa vastuun myös henkilötietoja käsittelevän toimista.
Onko yritykselläsi tarvetta liiketoimintaa edistävälle GDPR-prosessille? Pohditko, ovatko GDPR-käytäntönne ajan tasalla? Asiantuntijamme voivat auttaa näissä kysymyksissä.