Yrittäjän tietosuoja-velvoitteet

Kirjoittaja: Niina Kosunen

Hei yrittäjä. Toimitpa millä tahansa toimialalla, yksin tai työnantajana, yksityishenkilöitä tai yrityksiä palvellen – yksi asia on aivan varmaa: tietosuojalainsäädäntö koskee myös sinua. Tiedostan tämän olevan monille stressaava tieto. Tarkoittaahan se samalla myös lainsäädännön tuomia velvoitteita, viranomaisvalvontaa ja tarvetta ymmärtää velvoitteiden sisältö juuri oman yritystoiminnan näkökulmasta. Siksi halusin kirjoittaa tämän blogitekstin, jossa kuvaan keskeisimpiä jokaiseen yrittäjään kohdistuvia tietosuojavelvoitteita selkeällä suomen kielellä.

Yritys- ja toimialakohtaisissa kysymyksissä olen mielelläni apunanne eli otattehan rohkeasti yhteyttä, jos ette saa riittäviä vastauksia tämän blogikirjoitukseni myötä. Kuten arvata saattaa, tietosuojasta voisi kirjoittaa kirjankin verran, joten tyhjentävää tästä blogitekstiä ei millään saa enkä suosittele jättämään aiheeseen perehtymistä vain tähän tekstiin. Pyrin tulevissa blogiteksteissä avaamaan yksittäisiä tietosuojavelvoitteita ja -periaatteita tarkemmin.

MITÄ ON TIETOSUOJA JA MITKÄ MUUT KÄSITTEET ON HYVÄ OLLA HALLUSSA?

Tietosuoja on henkilötietojen suojaamista ja tietosuojalainsäädännön velvoitteilla pyritään turvaamaan, että henkilötietoja käsitellään asiallisesti ja turvallisesti. Terminä tietosuoja ja tietoturva menevät usein sekaisin – eikä ihme, koska molemmat osa-alueet ovat olennaisia henkilötietojen suojaamisen kannalta. Ennen aiheessa pidemmälle menemistä on syytä avata parin muunkin keskeisen käsitteen merkitys:

  • Henkilötiedot ovat tietoja, joiden perusteella henkilö voidaan tunnistaa. Henkilötietoja ovat nimen ja henkilötunnuksen lisäksi esimerkiksi osoite, puhelinnumero, sähköpostiosoite, auton rekisterinumero, kiinteistötunnus ja IP-osoite sekä kaikki henkilöön liittyvät tiedot kuten kyseistä henkilöä koskevat terveystiedot.

  • Henkilötietojen käsittelyä on muun muassa tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, käyttö, tietojen yhdistäminen, rajoittaminen, poistaminen ja tuhoaminen.

    Huom! Myös pelkkä henkilötietojen katsominen on henkilötietojen käsittelyä, jolle on oltava lain mukainen peruste.

Henkilötietojen käsittelyä tapahtuu jokaisella yrityksessä, jossa on työntekijöitä tai asiakkaita. Työntekijöiden osalta henkilötietoja on välttämätöntä käsitellä muun muassa työnantajavelvoitteiden täyttämiseksi aina työsopimuksen laatimisesta palkanmaksuun ja esimerkiksi työterveyshuollon järjestämiseen. Yksinyrittäjä taas käsittelee henkilötietoja asiakkaidensa osalta: toimeksiantosopimuksen tekeminen sekä laskutuksen ja markkinoinnin hoitaminen edellyttävät, että yritys käsittelee henkilötietoja vähintään asiakkaan yhteyshenkilön nimen ja yhteystietojen verran. Kaikki edellä kuvattu henkilötietojen käsittely on hyväksyttävää niin kauan kuin sitä tehdään tietosuojalainsäädännön periaatteiden noudattamisesta ja velvoitteiden täyttämisestä huolehtien.

MITEN LÄHTEÄ LAITTAMAAN YRITYKSEN TIETOSUOJA-ASIOITA KUNTOON?

Kaiken konkreettisen toiminnan tulee lähteä ymmärryksestä eli tietoisuudesta sen osalta, mitkä tietosuojavelvoitteet koskevat juuri minun yritystäni ja miten velvoitteet tulee käytännön tasolla täyttää.

Moni yrittäjä lienee tietoinen tietosuojaselosteen olemassaolon ja asianmukaisen sisällön tärkeydestä, mutta asiassa ei voi edetä siten, että ensin tehdään tietosuojaseloste ja vasta sitten aletaan hankkimaan ymmärrystä yrityksen kannalta relevantista tietosuojalainsäädännöstä ja sen velvoitteista. Harmillisen usein yritysten nettisivuilta löytyvistä tietosuojaselosteista on aistittavissa, että tietosuojaselosteen tarkoitusta ei välttämättä ole täysin sisäistetty, mikä taas voi johtua puhtaasti siitä, ettei tietosuojaselosteen funktiota yhtenä tietosuoja-asetuksen mukaisen informointivelvoitteen täyttämistapana ole ymmärretty. Ymmärrystä lisäisi sovellettavan lainsäädännön haltuun ottamisen lisäksi huomattavasti jo ihan se, että yrityksen eri toiminnot (esim. markkinointi, asiakashallinta/CRM, henkilöstöhallinto, mahdollinen kamera- ja kulunvalvonta) käsitettäisiin omiksi henkilötiedon ”käsittely-yksiköikseen”, joilla jokaisella on oma tarkoituksensa ja tavoitteensa. Esimerkiksi markkinoinnin yhteydessä käsiteltyjen henkilötietojen käsittelyperuste on usein aivan eri kuin esimerkiksi palkkahallinnossa. Tällöin myös henkilötietojen käsittely esimerkiksi henkilötietojen säilytysaikojen osalta on luonnollisesti eri eikä näitä kahta ”käsittely-yksikköä” sovi niputtaa yhteen tietosuojaprosessien näkökulmasta tai tietosuojaselosteessa.

Ja mitä tietosuojaprosesseihin tulee, ne ovat äärimmäisen tärkeitä missä tahansa yrityksessä, jossa käsitellään henkilötietoja. Alkuun jo lyhytkin tietosuojaprosesseja kuvaava yhteenveto/ohjeistus auttaa yrittäjää hahmottamaan omassa yritystoiminnassa keskeisessä roolissa olevat henkilötiedot, niiden käsittelyperusteet, säilytysajat, mahdolliset riskit sekä toimintamallit, joita yritys noudattaa esimerkiksi tilanteessa, jossa rekisteröity eli henkilötietojen kohteena oleva henkilö pyytää vaikkapa poistamaan häntä koskevat henkilötiedot yrityksen järjestelmistä. Kun yrittäjä on miettinyt ja kirjannut tietosuojaprosessit, on hänen vaivatonta ja nopeaa ottaa kantaa, onko rekisteröidyn pyyntö mahdollista toteuttaa vai edellyttääkö esimerkiksi kirjanpitolainsäädäntö poistetuksi pyydetyn tiedon säilyttämistä.

TIETOSUOJA-ASIOIDEN CHECKLIST

Toivottavasti tämä blogiteksti herätti ajattelemaan oman yrityksesi tietosuojakysymyksiä. Mikäli haluat ryhtyä laittamaan yrityksenne tietosuoja-asioita järjestykseen, voit ladata täältä maksuttoman tietosuoja-asioiden checklistin, jonka avulla pääset hyvin alkuun. Autan mielelläni tietosuojaan liittyvissä kysymyksissä, joten ethän epäröi ottaa yhteyttä!

Otan myös mielelläni vastaan postausideoita, jos jokin teema tai aihe on mielestäsi blogitekstin arvoinen.  

 

Niina Kosunen
Edellinen

Yleisimmät tietosuojaan liittyvät puutteet
Seuraava

Rahanpesulainsäädännön noudattaminen - havaintoja, haasteita ja ratkaisuja