Toukokuussa 2018 voimaan tulee uusi EU:n tietosuoja-asetus, joka koskee aivan kaikkia yrityksiä. Myös kaupan alalla. Nyt on aika havahtua: asetus tuo velvoitteita pk-yrityksillekin.
Janne Koivisto kertoo tietosuoja-asetuksen muutoksista Kaupan liiton tilaisuudessa 13.6.2017.

Uusi tietosuoja-asetus astuu voimaan 25.5.2018 ja siirtää samalla nykyisen henkilötietodirektiivin arkistoon. Uusi asetus tuo henkilötietojen käsittelyyn joitain merkittäviä muutoksia, joihin kaikenkokoisten yritysten on syytä varautua.

Kaupan liiton asiantuntija Janne Koivisto painottaa valmistautumista asetuksen voimaantuloon hyvissä ajoin.

”Viimeistään nyt on oikea hetki aloittaa valmistautuminen ensi toukokuuta varten. Asetus koskee kaikkia yrityksiä, siis myös pk-yrityksiä. Viranomaisten valtuudet asetuksen valvonnassa ovat entistä laajemmat ja sakot laiminlyönneistä ovat kovat”, Koivisto alleviivaa.

Tietosuoja-asetus: huomaa ainakin nämä 

Mitä tietosuoja-asetus sitten tuo mukanaan? Janne Koivisto listaa kaupan yritysten toiminnalle merkittävimpiä seikkoja.

  1. Asetus on yleisesti velvoittava. Tämä tarkoittaa sitä, että se koskee kaikkia, jotka toiminnassaan käsittelevät henkilötietoja
  2. Henkilötietojen käsite on hyvin laaja. Mitä tahansa tieto, joka voidaan yhdistää yksittäiseen henkilöön, on henkilötieto. Esimerkiksi asiakasnumero, ip-osoite, ostohistoriatieto.
  3. Yrityksillä (rekisterinpitäjillä) on velvollisuus osoittaa, että ne käsittelevät henkilötietoja asianmukaisesti. Tämä on iso periaatteellinen muutos nykytilaan. Valvova viranomainen voi milloin vain pyytää yritykseltä selvitystä siitä, että ne käsittelevät henkilötietoja lainmukaisesti. Selvitys on pystyttävä antamaan, ja sen on oltava yksityiskohtainen.
  4. Henkilötietojen käsittelyyn pitää olla laillinen peruste, esimerkiksi ihmisen antama suostumus tai sopimussuhde. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Yrityksen on pystyttävä osoittamaan, että suostumus on annettu. Käsittelyn perustetta ei saa laventaa: esimerkiksi asiakassuhteeseen perustuva oikeus ostohistorian ja laskutustietojen tallentamiseen ei tarkoita sitä, että tietoja saisi käyttää suoramarkkinointiin.
  5. Ihmisillä on oikeus tarkastaa omat henkilötietonsa, oikaista ja poistaa ne sekä siirtää ne halutessaan toiselle taholle. Asetuksessa ei täsmällisesti kerrota, miten tämän käytännössä pitäisi tapahtua.
  6. Tietoturvaloukkauksista, kuten tietovuodoista on ilmoitettava viipymättä viranomaisille ja rekisteröidyille henkilöille kaikilla toimialoilla.
  7. Sanktiot laiminlyönneistä ovat kovat: kovimmillaan 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta.

Selvitä omat prosessit ja dokumentoi ne

Miten yrityksessä on valmistauduttava, jos tietosuoja-asetukseen havahdutaan tässä vaiheessa?

”Oma toiminta kannattaa käydä läpi ja kuvata sen prosessit. Mitä tietoja meillä kerätään ihmisistä? Miten ja miksi tietoja kerätään? Kuinka niitä säilytetään ja miten kauan? Miten tiedot suojataan tietomurroilta? Kun tämä on tehty, verrataan omaa tilannetta uuden asetuksen vaatimuksiin. Kuinka lähellä ollaan?”

Prosessien dokumentoinnissa tarvitaan muun muassa teknisiä yksityiskohtia. Ylimalkainen kuvaus ei riitä.

”Dokumentaatiota laadittaessa pitää olla ymmärrystä myös it-maailmasta: miten dataa konkreettisesti käsitellään”, Koivisto tähdentää.  

Tee riskianalyysi

Asetus koskee kaikkia, mutta riskit ovat eritasoiset yrityksen toiminnasta riippuen. Myös riskianalyysi on siis paikallaan, Koivisto kehottaa. Kannattaa pohtia, miten paljon ja mitä henkilötietoja yrityksessä kerätään ja mitkä riskit sitä kautta ovat. Verkkokaupan tilanne on hyvin erilainen kuin elintarvikekioskin.

Suuret yrityksen ja suurten tietomassojen käyttäjät kiinnostanevat valvojaa enemmän. Yksittäiset ihmiset voivat kuitenkin käyttää oikeuttaan tarkastaa tietojaan ja siirtää niitä.

”Näihin pyyntöihin pienimpienkin yritysten on tarvittaessa pystyttävä vastaamaan.”

Tietojärjestelmätöitä monessa yrityksessä

Kaupan liitto järjesti kesäkuun puolivälissä seminaarin, jossa tietosuoja-asetukseen varautumista käsiteltiin. Käytännön valmistautumisessa seminaariväkeä puhutti esimerkiksi juuri ihmisten oikeus päästä tarkistamaan omat tietonsa. Miten se toteutetaan teknisesti? Onko oltava jokin rajanpinta, johon henkilö kirjautuu? Miten vahvaa tunnistautumista tarvitaan, että voidaan olla varmoja tarkistajan henkilöllisyydestä?

Entä miten käytännössä toteutetaan ihmisen oikeus siirtää tietonsa yrityksestä toiseen? Miten kerran kerätty tieto pystytään toimittamaan toisaalle yleisesti luettavassa muodossa?  

Valmistautumisessa tarvitaan ainakin tietojärjestelmätöitä.

Valmistautuminen syö resursseja

Kaupan alan suuret toimijat ovat valmistautuneet jo hyvän aikaa. Koivisto on kuitenkin huolestunut pk-yrityksistä. Valmistautuminen vie aikaa ja resursseja.

EU:n tietosuojatyöryhmä on pikkuhiljaa antanut tulkintaohjeita keskeisistä asetuksen kohdista. Melko paljon jää kuitenkin itse kunkin rekisterinpitäjän, kuten yrityksen, itsearvioinnin ja tapauskohteisen tulkinnan varaan. Janne Koivisto sanoo suoraan, että asetuksen vaatimuksia joutuu opiskelemalla opiskelemaan.

”Tämä on teknistä sääntelyä. Yrityksissä on koko ajan oltava kartalla siitä, miten siellä toimitaan. On selvää, että asetus tuo yrityksille lisää hallinnollista taakkaa ja kuluja.  Dokumentointi on joko tehtävä itse tai ostettava työ ulkoa.”

”Jos henkilötietojen käsittelyllä on suurempi merkitys yrityksen liiketoiminnalle, suosittelen konsultin käyttämistä. Kaupan liitto antaa yleistä opastusta ja tulkinta-apua.”

Tarkempia tietoja tietosuoja-asetuksesta