Pienyrittäjä, oletko valmistautunut GDPR:ään?

Jokainen yrittäjä on jo varmasti kuullut 25.5.2018 voimaan astuvasta GDPR:stä eli EU:n uudesta tietosuoja-asetuksesta nimeltä General Data Protection Regulation. Asetus vaikuttaa lähes kaikkiin yrityksiin, ja moni pienyrittäjä onkin kauhistunut uudistusta ja mahdollisia sanktioita.

Älä kuitenkaan suotta stressaa. Laki vaatii yrittäjältä tiettyjä asioita, mutta sen tarkoitus on ennen kaikkea selkeyttää yhteisiä sääntöjä Euroopan alueella ja varmistaa asiakkaiden oikeudet henkilötietojensa suhteen tänä aikana, kun dataa kerätään ennennäkemätön määrä eri palveluissa. Kun kerran kartoitat, mitä henkilötietoja keräät, miksi ja kauan niitä säilytät, olet jo pitkällä.

Sanktioiden ja sakkojen pelkääminen on myös turhaa. Pyri palvelemaan asiakastasi hyvin ja pitämään huolta hänen henkilötiedoistaan ja ole erityisen tarkka, jos käsittelet arkaluonteisia tietoja. Harva pienyrittäjä kuitenkaan kerää asiakkaistaan arkaluonteista dataa, vaan tyypillisiä henkilötietoja ovat esimerkiksi yhteystiedot, tilaustiedot ja ajanvaraukset.

Huomaa, että tämä teksti ei ole lakitekstiä eikä sitä pidä ymmärtää lainopillisena neuvona. Tekstin tarkoitus on auttaa pienyrittäjiä ymmärtämään, mistä uudessa tietosuoja-asetuksessa on kyse ja miten sitä pääpiirteissään noudatetaan.
 

Näillä askelilla yritystoiminta uuden tietosuoja-asetuksen (GDPR) mukaiseksi

Seuraavia askelia seuraamalla yrittäjä voi valmistautua GDPR:ään. Tärkeintä on kartoittaa, mitä tietoa keräät ja tehdä suunnitelma mahdollisen tietoturvaloukkauksen varalle ja dokumentoida, miten tietoja käsitellään yrityksessäsi.

1. Kartoita keräämäsi henkilötiedot

Yrittäjänä sinulle kertyy asiakkaistasi henkilötietoja, kuten yhteystietoja, verkkokauppatilauksia, laskuja ja tehtyjä maksuja. Voi olla, että säilöt tietoja eri paikoissa ja sovelluksissa, kuten sähköpostissa ja osoitekirjassa.

Kartoita siis ensin, mitä dataa sinulla on ja missä.

2. Selvitä, mikä on henkilötietojen käsittelyn oikeusperuste

Henkilötietojen käsittely ja säilytys voi perustua esimerkiksi suostumukseen, sopimuksen suorittamiseen tai lailliseen velvoitteeseen. Sinun pitää osoittaa, mihin datan kerääminen, käsittely ja säilyttäminen perustuu.

Arkaluonteiset henkilötiedot, kuten etniseen taustaan, poliittisiin mielipiteisiin liittyvä tai seksuaalielämään liittyvä data, vaativat erilaisen oikeusperusteen. Selvitä siis, keräätkö arkaluonteisia tietoja ja onko sinun tarpeen ylipäänsä kerätä niitä.

Jos henkilötietojen kerääminen perustuu suostumukseen, asiakkaan pitää antaa suostumus vapaaehtoisesti, selkeästi ja tietäen, mihin hän suostuu. Yrittäjänä sinun pitää tallentaa asiakkaan antama suostumus ja antaa hänelle myös oikeus peruuttaa suostumus yhtä helposti kuin hän on sen antanut.

3. Selvitä, millä aikavälein poistat keräämäsi henkilötiedot

Nykyaikana, kun tietoja säilytetään pääosin digitaalisesti, meistä on tullut datahamstraajia. Tietoja säilytetään vuosikausia, usein turhaan. Tämän estämiseksi yksi GDPR:n keskeisistä periaatteista on henkilötietojen säilyttämisen minimointi.

Kaikkien yritysten tulee päättää, kuinka kauan ne säilyttävät henkilötietoja. Säilytysaika voi tulla suoraan laista, alan käytännöistä tai ne voivat perustua esimerkiksi yrityksen omiin käytäntöihin.

Sinulla pitää siis olla pätevä syy säilyttää henkilötietoja. Samoin sinun pitää selvittää, kauan tarvitset tietoja ja pitää mielessä yllä mainittu tietojen säilyttämisen minimointi.

Kun et enää tarvitse henkilötietoja sitä tarkoitusta varten, miksi keräsit ne alunperin, sinun pitää poistaa tiedot – jos sinulla siis ei ole pätevää syytä niiden säilyttämiseen. Esimerkiksi laskujen säilytys kirjanpitoa varten on pätevä peruste.

4. Pidä huolta henkilön, jota tiedot koskevat (eli asiakkaasi) oikeuksista

Yksi syy, miksi GDPR luotiin, oli varmistaa, että ihmisillä on enemmän valtaa sen suhteen, mihin heidän henkilötietojaan käytetään. Tästä syystä GDPR antaa asiakkaallesi monia oikeuksia omien tietojensa suhteen.

• Oikeus tietoon toteutetaan yleensä tietosuojaselosteella. Oikeus omiin henkilötietoihin pääsyyn tarkoittaa, että rekisterinpitäjän pitää pystyä antamaan asiakkaalle pääsy häntä koskeviin tietoihin tai antaa tiedot suoraan hänelle.
• Oikeus tietojen oikaisemiseen  tarkoittaa, että asiakkaallasi on oikeus pyytää häntä koskevien tietojen korjausta tai päivitystä.
• Oikeus tietojen poistamiseen eli oikeus “tulla unohdetuksi” tarkoittaa, että rekisteröity voi pyytää hänen tietojensa poistamista, jos rekisterinpitäjällä ei ole pakottavaa syytä jatkaa tietojen käsittelyä.
• Oikeus rajoittaa tietojen käsittelyä on vaihtoehto oikeudelle tulla unohdetuksi. Jos tietoja ei voida poistaa, asiakas voi rajoittaa henkilötietojensa käsittelyä. Tällöin rekisterinpitäjä saa edelleen säilyttää tietoja, mutta ei käsitellä niitä. Esimerkiksi: jos Holvin asiakas haluaa tietonsa poistetuksi, emme voi lain mukaan poistaa niitä, ennen kuin asiakassuhteen päättymisestä on kulunut 5 vuotta. Emme kuitenkaan enää käsittele näitä tietoja, mutta ne säilyvät arkistossamme.
• Oikeus siirtää tiedot järjestelmästä toiseen takaa rekisteröidylle mahdollisuuden siirtää ja kopioida henkilötietoja helposti eri järjestelmien ja rekisterinpitäjien välillä.
• Vastustamisoikeus takaa asiakkaallesi oikeuden vastustaa tietojensa käsittelyä. Jos käsittelet henkilötietoja suoramarkkinointia varten, sinun pitää lopettaa tietojen käsittely heti, jos asiakas ilmaisee vastustavansa sitä. Jos käsittelet tietoja muulla perusteella, tulee sinun punnita, mikä oikeuksista ja intresseistä on tärkein.
• Rekisteröidyllä on lisäksi oikeuksia liittyen “automatisoituihin yksittäispäätöksiin” eli automaattisesta käsittelystä johdettuihin päätöksiin, mukaan lukien profiloinnin. Jos siis teet automaattista päätöksentekoa tai profilointia, pidä huolta, että annat asiakkaillesi riittävästi tietoa käsittelystä. Onneksi pienyrittäjät harvoin harjoittavat tällaista toimintaa. Esimerkiksi Facebookin kaltainen datajättiläinen voi tehdä profilointia, mutta kampaamot, käsityöläiset tai putkimiehet yleensä eivät, vaikka dataa kertyykin yllättävän paljon ihan huomaamatta.
  
  

5. Tarkista sopimukset ja huolehdi turvatoimista, jos siirrät dataa

Jos olet ulkoistanut osan yrityksesi toimintaan liittyvistä palveluista, on todennäköistä, että palveluntarjoajalla on pääsy jonkinlaisiin henkilötietoihin. Varmista tällöin, että sopimukset yrityksesi ja palveluntarjoajan välillä noudattavat uutta tietosuoja-asetusta.

Jos siirrät tietoja EU:n ulkopuolisiin maihin, sinun pitää varmistaa, että siirto on turvallinen. Tämä voi tarkoittaa yksinkertaisesti sitä, että käytät palvelua, joka säilöö henkilötietoja vaikkapa Yhdysvalloissa. Euroopan komissio päättää, mitkä turvatoimet ovat riittävät. EU:n ja Yhdysvaltojen väliset siirrot tehdään ns. Privacy Shield -järjestelyn alla, ja voit tarkistaa täältä, kuuluuko yhdysvaltalainen yritys järjestelyyn.

Komissio on myös julkaissut erilaisia mallisopimuksia, joiden perusteella tietoja voidaan siirtää EU:ssa toimivan yrityksen ja EU:n ulkopuolella toimivan yrityksen välillä. Nämä mallisopimukset ovat pienyrityksille joustava tapa taata riittävät turvatoimet. Pääset lataamaan mallit täältä.

6. Päivitä tietosuojaselosteesi

Asiakkaallasi on oikeus tietää, mitä tietoja hänestä kerätään ja miten niitä käsitellään. Tämä tapahtuu yleensä tietosuojaselosteella, eli tässä ei ole sinänsä mitään uutta.

Tietosuojaselosteessa pitää olla tietyt pakolliset tiedot, kuten yrityksesi nimi ja yhteystiedot, datan käsittelyn syy ja lainmukainen peruste käsittelylle. Tietosuojaselosteen malli tulee löytymään Tietosuojavaltuutetun sivuilta, kunhan sisältö päivitetään GDPR:n mukaiseksi.

7. Varmista tietosuoja ja yksityisyys

Henkilötietojen turvallisuus on keskeinen edellytys GDPR:n mukaiselle tietosuojakäytännölle. Ensimmäinen askel henkilötietojen turvallisuuden varmistamiseksi on niiden asianmukainen säilyttäminen ja käsittely tekniikan ja käytännön tasolla.

Varmista siis, etteivät ulkopuoliset pääse dataan käsiksi. Tämä ei ole pienyrityksessä rakettitiedettä, vaan maalaisjärjellä pääsee pitkälle: käytä turvallisia salasanoja, pidä tietokoneesi näyttö suojassa ja tarkastele kriittisesti, kenellä yrityksessäsi on oikeus käsitellä tietoja.

Jotta kerätyt henkilötiedot pysyvät turvassa, mieti kaksi kertaa, ennen kuin käytät avoimia verkkoyhteyksiä, sillä et tiedä, kuka pääsee tarkastelemaan kerättyjä henkilötietoja. Erilaiset petolliset toimintatavat, kuten urkinta, tietojenkalastelu ja niin kutsuttu sosiaalinen manipulointi (social engineering), vaarantavat datasi turvallisuuden, joten sinun on hyvä olla tietoinen riskeistä.

8. Tee suunnitelma tietoturvaloukkauksen varalle

GDPR edellyttää, että jos yrityksessä tapahtuu tietoturvaloukkaus, yrittäjän pitää ilmoittaa siitä valvontaviranomaiselle eli Suomessa tietosuojavaltuutetulle 72 tunnin sisällä tapauksesta. Tietoturvaloukkaus tarkoittaa loukkausta, joka johtaa esimerkiksi tietojen vahingossa tapahtuvaan tai lainvastaiseen tuhoamiseen tai tietojen menetykseen.

Ilmoitus viranomaiselle on pakollinen, jos loukkaus asettaa asiakkaasi oikeudet ja vapaudet todennäköisesti riskiin. Asiakkaille pitää ilmoittaa, jos loukkaus aiheuttaa todennäköisesti korkean riskin.

Riskiin vaikuttavia tekijöitä on tietoturvaloukkauksen laatu: tietojen tuhoaminen, häviäminen tai muuttuminen, kuinka isoon määrään tietoa tai asiakkaita loukkauksella on vaikutusta, millaisia vaikutuksia asiakkaille tietoturvaloukkauksella voi olla, millaista tietoa loukkaus koskee ja niin edelleen. Riskin arviointiin on siis monia eri perusteita.

9. Osoitusvelvollisuus eli miten osoitat noudattavasi GDPR:ää

Lopuksi, rekisterinpitäjän pitää pystyä osoittamaan toimivansa GDPR:n vaatimuksien mukaisesti.

Käytännössä tämä tarkoittaa, että yrityksen pitää tallentaa ja dokumentoida kaikki henkilötietojen käsittelyn toimet, kartoittaa data ja perusteet sen käsittelylle, säilyttämisajalle ja tietojen siirrolle. Tähän sisältyvät myös mahdolliset sopimukset tietojen käsittelystä kolmansien osapuolten kanssa tai  sopimukset EU:n ulkopuolelle siirrettyihin tietoihin liittyen.