Väärin ymmärretty GDPR? -Nämä asiat yrittäjän ja johtajan tulee tietää tietosuojasta

 

Mitä sinulle nousee ensimmäisenä mieleen kirjainyhdistelmästä GDPR? Miten ajattelet yrittäjänä tai johtajana omasta vastuustasi tietosuoja-asioissa? 

Pohditko asioita, kuten:

  • Koskettaakohan GDPR juuri meidän yritystämme?
  • Keräämmekö henkilötietoja?
  • Verkkosivujemme ylläpitäjä taitaa huolehtia tietosuojasta?
  • vai oliko se tilitoimisto, joka tämän asian hoitaa?
  • Onhan meillä se rekisteriseloste nettisivuilla, all good!

On sinun onnesi, että otit tämän blogin lukulasien alle, sillä jos jokin yllä mainituista kuvaa käsitystäsi GDPR-asioiden hoitamisesta, olet suuressa vaarassa asettaa yrityksesi tilanteeseen, jolla voi olla kohtalokkaita seurauksia aina vakavasta mainehaitasta jopa sakkorangaistuksiin. Luottamus on yrityksesi tärkein omaisuus, jota et halua riskeerata, ethän? Toisaalta: vaatimusten mukaisesti hoidettu tietosuoja on kasvavasti toimittajan valintaperuste, eli välitön kilpailuetu.

 

Monen suomalaisen yrityksen GDPR-ymmärrys hataralla pohjalla

Digitalisoituneessa yhteiskunnassa tietosuoja on puhututtanut jo vuosikymmeniä: miten takaamme ihmisille omien tietojen käyttöön liittyvän määräämisoikeuden? Lopulta vuonna 2018 kaikissa EU-maissa alettiin soveltamaan henkilötietojen käsittelyä sääntelevää lakia nimeltä GDPR (General Data Protection Regulation eli yleinen tietosuoja-asetus). 

Koska uuden lain noudattamisen kannalta tärkeässä käytännön tason viestinnässä epäonnistuttiin, monelle organisaatioille jäi lopulta hyvin hatara käsitys tietosuoja-asetuksen konkreettisista vaatimuksista. 

Vaikka tietosuoja-asetuksella on syvälle yrityksen hallintoon ja suojatoimiin vaikuttavia tekijöitä, julkisuudessa kirkkaimpaan valokeilaan nousivat vain tietosuojan jäävuoren huiput, kuten nettisivujen evästebanneri ja ”joku pakollinen rekisteriseloste”.

 

Kuka tietosuojasta lopulta vastaa?

Tietosuoja-asetusta voi verrata yrityksen kirjanpitovelvollisuuteen. Kuten kirjanpito, myös tietosuoja vaatii kartoituksia sekä toimenpiteitä, joita tulee dokumentoida säännöllisesti. 

Olemme vuosien varrella huomanneet, että yrittäjät ja yritysjohtajat ovat usein siinä käsityksessä, että ”joku muu” yrityksessä tai sen sidosryhmissä vastaisi yrityksen tietosuojasta. Todellisuudessa, kuten kirjanpidon, myöskään tietosuojan vastuuta ei voi ulkoistaa. Yrityksessä voi olla nimetty tietosuojavastaava tai jokin tietosuojapalvelu, mutta viime kädessä sen hoitamisesta vastaa yrittäjä tai toimitusjohtaja itse. 

 

”Me emme käsittele henkilötietoja”

Moni yrittäjä tai yrityspäättäjä myös ajattelee, että yrityksen liiketoiminnassa ei käsitellä henkilötietoja tai että ei synny henkilötietorekistereitä ollenkaan. Totuus on kuitenkin melko kaukana tästä. Jos yritys ei käsittelisi henkilötietoja, se tarkoittaisi käytännössä sitä, että yrityksellä ei olisi asiakkaita tai henkilökuntaa saatikka laskutusta, markkinointia tai vaikka puhelin- ja sähköpostiviestintää. . Henkilötietoja ovat kaikki ne tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, sähköpostiosoite, auton rekisteritunnus, henkilökortin numero ja IP-osoite. 

Yritysten välisessä B2B -liiketoiminnassa myös käsitellään henkilötietoja, koska yrityksellä on yleensä ihmiset edustamassa sitä.

Tiekartta tietosuojan hallintaan

Tietosuoja-asetus koskee kaikkia yrityksiä kokoon ja toimialaan katsomatta ja sen toteuttaminen yrityksessä lain vaatimalla tavalla vaatii jatkuvaa ylläpitoa sekä melko paljon dokumentaatiota. Se ei siis ole kerralla kuntoon hoidettu projekti, vaan kokonainen viitekehys kaiken toiminnan ja päätöksenteon tukena. Näillä askelmerkeillä lähdet liikenteeseen:

🔵 Kartoita käytössänne olevat henkilörekisterit

🔵 Tee seloste käsittelytoimista

🔵 Tee kartoittamiisi rekistereihin tietovirtakuvaukset

🔵 Tee rekisterikohtaiset tietosuojaselosteet

🔵 Ohjeista ja kouluta henkilöstöä

🔵 Tee tarvittavat tasapainotestit

🔵 Toteuta vaikutustenarvioinnit

🔵 Suunnittele tietoturvaloukkausten ja tietopyyntöjen hallintaprosessit

🔵 Tee tietosuojasopimukset ohjeistuksineen kuntoon

🔵 Luo järjestelmä, jolla suunnittelet, toteutat, hallitset ja osoitat yrityksen GDPR-kelpoisuuden

 

Kuten huomaat, tietosuojan hoitaminen vaatii melko paljon enemmän kuin netistä kopioidun tietosuojaselosteen pohjan, johon muutat yrityksesi nimen. Ei ole olemassa yhtä standardia tapaa hoitaa tietosuojaa, vaan se on poikkeuksetta yrityskohtainen prosessi, johon vaikuttavat niin yrityksesi teknologiaratkaisut, ihmiset, prosessit ja käytänteet sekä yrityksesi kaikki sidosryhmät. 

Easy GDPR palvelun avulla tietosuoja haltuun hetkessä!

Kuten kirjanpidossa, myös tietosuojan hoitamisessa voi hyödyntää digitaalisia työkaluja, jotka auttavat sinua vastaamaan tietosuojavaatimuksiin nopeasti. Easy GDPR on kokonaisratkaisu, jonka avulla toteutat, ylläpidät ja osoitat yrityksesi tietosuojakäytänteiden toteutumisen.

Palvelun avulla toteutat yrityksesi koko lain vaatiman tietosuojadokumentaation (kuten esimerkiksi 

  • Tietosuojakäytänteiden kuvaukset
  • Tasapainotestit
  • Vaikutustenarvioinnit (DPIA)
  • Selosteet käsittelytoimista (ROPA) ja tietosuojaselosteet), jotka voit suoraan linkittää palvelusta yrityksesi verkkosivuille, liittää tarjouksiin, sopimuksiin ja muihin tarvittaviin materiaaleihin. 

Easy GDPR on paljon enemmän kuin pelkkä työkalu: se on on selkokielinen ja helppokäyttöinen palvelu, jota voi käyttää kuka tahansa ilman erityistä tietosuojaosaamista. Autamme ja perehdytämme sinut alkuun sekä olemme tukenasi aina, kun tarvitset tulevaisuudessa apua.