Päivitettyä tietoa Alfasta ja oikeuselämästä.

Nuoli alas

Mitä yrityksesi olisi GDPR:n perusteella ainakin pitänyt tehdä

 

Euroopan unionin yleisen tietosuoja-asetuksen eli GDPR:n soveltaminen alkoi toukokuussa 2018. Vaikka asetuksen voimaantulosta on jo kolme vuotta, eivät kaikki yritykset edelleenkään tiedä, mitä asetus käytännössä edellyttää. Kyseessä on kuitenkin aihe, jonka perusteet jokaisen yrittäjän tulee hallita.

GDPR:ää sovelletaan Suomessa jokaiseen yritykseen, joka käsittelee henkilötietoja. Henkilötiedoilla tarkoitetaan kaikkia tietoja, kuten esimerkiksi nimeä, osoitetta ja puhelinnumeroa, joiden perusteella luonnollinen henkilö voidaan tunnistaa. Jokaisella yrityksellä on henkilötietoja liittyen mm. yrityksen asiakkaisiin, yhteistyökumppaneihin, työntekijöihin ja työnhakijoihin.

Kaikki henkilötietoihin kohdistuvat toimenpiteet, kuten esimerkiksi henkilötietojen kerääminen, säilytys, käyttö, muokkaus, poistaminen ja siirtäminen, ovat henkilötietojen käsittelyä. Näin ollen jokainen yritys käsittelee henkilötietoja.

Yritys, jonka toiminnassa henkilötietoja kerätään ja joka näitä tietoja toiminnassaan käyttää, on rekisterinpitäjä. Rekisteriin kuuluu kaikki yrityksen hallussa olevat samaan käyttötarkoitukseen kerätyt tiedot riippumatta siitä, missä muodossa tiedot ovat ja missä ne fyysisesti sijaitsevat. Esimerkiksi yrityksen henkilöstörekisteriin sisältyviä tietoja voi olla fyysisessä työsopimusmapissa, yritysjohdon sähköposteissa, henkilöstöjohtajan kalenterissa ja palkanlaskennan järjestelmissä.

Tietoja kerätään vain määrättyyn tarkoitukseen

Henkilötietojen käsittelylle täytyy lähtökohtaisesti olla aina jokin peruste. Tällaisia perusteita ovat esimerkiksi rekisteröidyn antama nimenomainen suostumus tai osapuolten välinen sopimussuhde. Käsittelyn perusteesta riippuu osaltaan se, missä laajuudessa yritys voi käsitellä henkilötietoja.

Käyttötarkoituksen kannalta ylimääräisiä tietoja ei saa kerätä, eikä tietoja saa myöhemminkään käyttää muuhun kuin sitä tarkoitusta varten, johon ne on kerätty.

Laadi tietosuojaselosteet

GDPR korostaa tietojen avoimuutta ja läpinäkyvyyttä. Rekisteröityä tulee informoida siitä, mitä tarkoitusta varten ja missä laajuudessa häntä koskevia henkilötietoja käsitellään. Samoin rekisteröityä tulee informoida hänen oikeuksistaan.

Käytännössä informointivelvoite tarkoittaa sitä, että yrityksen tulee laatia keräämiensä henkilötietojen osalta tietosuojaseloste, jossa nämä asiat informoidaan rekisteröidyille. Selosteen voi asettaa saataville esimerkiksi yrityksen verkkosivuille.

Yrityksessä käsiteltävien henkilötietojen laajuus, peruste ja tarkoitus kannattaa kartoittaa huolellisesti ja miettiä samalla myös muita tarpeita. Onko esimerkiksi yhteistyökumppanirekisterin tarkoitus vain koostaa laskutusta varten sopijapuolet vai onko yrityksellä tarve käyttää näitä tietoja laajemmin myös viestinnässä?

Muista laatia myös tietojenkäsittelysopimukset

Yritys ei voi luovuttaa vapaasti henkilötietoja edelleen ulkopuolisille, vaikka yrityksellä itsellään olisi peruste käsitellä henkilötietoja. Rekisterinpitäjä voi käyttää henkilötietojen käsittelyssä apuna sopimuskumppaneita ja käytännössä tämä on tavanomaista. Esimerkiksi yrityksen tilitoimiston ja ICT-palveluiden tuottajien hallussa tai saatavilla on tietoja yrityksen henkilörekisteristä. Tältä osin riittävää on jo se, että sopimuskumppanilla on pääsy yrityksen henkilötietoihin, jolloin kyseinen taho tulkitaan käsittelijäksi. Rekisterinpitäjän tulee solmia käsittelijöiden kanssa henkilötietojen käsittelyä koskeva tietojenkäsittelysopimus.

Älä luovuta tietoja ulkopuolisille

Tietoja tulee käsitellä ja säilyttää asianmukaisesti, rekisteröidyn yksityisyyden suoja ja tietoturva ja -suoja huomioiden.

Mikäli henkilötietoja siirtyy tavalla tai toisella organisaatiolta toiselle, on kyseessä lähtökohtaisesti tietojen siirto uudelle rekisterinpitäjälle. Tällöin toinen yritys on rekisterinpitäjään nähden ulkopuolinen taho, joka ei toimi rekisterinpitäjän lukuun vaan käsittelee luovutettuja henkilötietoja osana omaa toimintaansa eli omana rekisterinpitäjänä ja omista tarkoitusperistään nähden. Tietojen luovutuksessa on huomioitava, että luovuttaja vastaa aina luovutusten laillisuudesta. Tietojen luovuttaja vastaa siten myös siitä, että tietojen pyytäjällä on oikeus saada tiedot. Näin ollen kaikki pyynnöt tulee harkita ja dokumentoida tarkasti.

Varaudu rikkomuksiin ennalta

Mikäli henkilörekisterissä olevia tietoja tuhoutuu, muuttuu tai päätyy luvattomasti kolmansille, kyseessä on tietoturvaloukkaus. Tietoturvaloukkaus saattaa yksinkertaisimmillaan toteutua siten, että yrityksen lähettämän viestin mukana on vahingossa toisen rekisteröidyn henkilötietoja. Henkilötietojen tietoturvaloukkauksesta tulee pääsääntöisesti aina ilmoittaa tietosuojaviranomaisille ja tietyin edellytyksin myös rekisteröidylle itselleen. Jotta yritys voi ylipäänsä toteuttaa ilmoitusvelvollisuutensa, on tärkeää, että jokainen työntekijä ilmoittaa välittömästi tietoonsa tulleista tietoturvaloukkauksista esimiehelleen ja mahdolliselle yrityksen tietosuojavastaavalle sen sijaan, että asiasta vaietaan ja koitetaan ”painaa villaisella”. Tämä edellyttää tietoista kulttuurinmuutosta.

Keskitä osaaminen

GDPR vaikuttaa yrityksen toimintaan usealla eri rintamalla. Asiantuntemusta tarvitaan niin tietosuojaselosteiden laadinnassa kuin monessa muussakin käytännön kysymyksessä. Mahdollisiin tietoturvarikkomuksiin on helpompi reagoida, kun nimetty taho on miettinyt askelmerkit jo ennalta.
Rekisteröidyillä on useita GDPR:ssä säädettyjä oikeuksia. Myös näiden oikeuksien käyttäminen, kuten esimerkiksi tietopyyntöihin vastaaminen, edellyttää aihepiirin hallintaa. Jos joku tulisi kysymään sinulta omia henkilötietojaan, tietäisitkö suoraan missä yrityksen ja sen sopimuskumppanien järjestelmissä tietoja säilytetään? Entä sen, kuinka kauan tietoja säilytetään ja mitä tarkoitusta varten tiedot on tallennettu? Entä riittääkö pelkkä henkilön Gmail-osoitteesta lähetetty tietopyyntö, mikäli viestissä on pyytäjän henkilötunnus? Esimerkeistä on todettavissa, että osaaminen on syytä keskittää. Asiat on myös syytä dokumentoida rekisterinpitäjän osoitusvelvollisuuden täyttämiseksi.

Yllä oleva teksti on tarkoitettu vain aihepiiriä valaisevaksi yleisluontoiseksi kirjoitukseksi. Kirjoitus ei kata kaikkia asiaan vaikuttavia seikkoja, eikä sitä ole tarkoitettu oikeudelliseksi neuvoksi tai toimintaohjeeksi.

Tämä artikkeli on julkaistu myös Tampereen kauppakamarilehdessä.

 

Jani Hovila
asianajaja, varatuomari
Asianajotoimisto Alfa Oy
 

Kirjoittaja on tamperelaisen Asianajotoimisto Alfa Oy:n osakas, joka on keskittynyt sopimus- ja yhtiöoikeuteen sekä tietosuojakysymyksiin. Kirjoittaja on aiemmin työskennellyt in-house lakimiehenä pörssiyhtiössä, jolloin hänen vastuullaan ovat olleet yrityksen tietosuoja-asiat.

<< Palaa edelliselle sivulle