15.06.2017 05:13

Uutiset

Tietosuojasääntely muuttuu, valmistaudu!

Toukokuussa 2018 voimaan tulee uusi EU:n tietosuoja-asetus, joka koskee aivan kaikkia yrityksiä. Myös kaupan alalla. Nyt on aika havahtua: asetus tuo velvoitteita pk-yrityksillekin.

Uusi tietosuoja-asetus astuu voimaan 25.5.2018 ja siirtää samalla nykyisen henkilötietodirektiivin arkistoon. Uusi asetus tuo henkilötietojen käsittelyyn joitain merkittäviä muutoksia, joihin kaikenkokoisten yritysten on syytä varautua.

Kaupan liiton asiantuntija Janne Koivisto painottaa valmistautumista asetuksen voimaantuloon hyvissä ajoin.

”Viimeistään nyt on oikea hetki aloittaa valmistautuminen ensi toukokuuta varten. Asetus koskee kaikkia yrityksiä, siis myös pk-yrityksiä. Viranomaisten valtuudet asetuksen valvonnassa ovat entistä laajemmat ja sakot laiminlyönneistä ovat kovat”, Koivisto alleviivaa.

Tietosuoja-asetus: huomaa ainakin nämä

Mitä tietosuoja-asetus sitten tuo mukanaan? Janne Koivisto listaa kaupan yritysten toiminnalle merkittävimpiä seikkoja.

Asetus on yleisesti velvoittava. Tämä tarkoittaa sitä, että se koskee kaikkia, jotka toiminnassaan käsittelevät henkilötietoja
Henkilötietojen käsite on hyvin laaja. Mitä tahansa tieto, joka voidaan yhdistää yksittäiseen henkilöön, on henkilötieto. Esimerkiksi asiakasnumero, ip-osoite, ostohistoriatieto.
Yrityksillä (rekisterinpitäjillä) on velvollisuus osoittaa, että ne käsittelevät henkilötietoja asianmukaisesti. Tämä on iso periaatteellinen muutos nykytilaan. Valvova viranomainen voi milloin vain pyytää yritykseltä selvitystä siitä, että ne käsittelevät henkilötietoja lainmukaisesti. Selvitys on pystyttävä antamaan, ja sen on oltava yksityiskohtainen.
Henkilötietojen käsittelyyn pitää olla laillinen peruste, esimerkiksi ihmisen antama suostumus tai sopimussuhde. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Yrityksen on pystyttävä osoittamaan, että suostumus on annettu. Käsittelyn perustetta ei saa laventaa: esimerkiksi asiakassuhteeseen perustuva oikeus ostohistorian ja laskutustietojen tallentamiseen ei tarkoita sitä, että tietoja saisi käyttää suoramarkkinointiin.
Ihmisillä on oikeus tarkastaa omat henkilötietonsa, oikaista ja poistaa ne sekä siirtää ne halutessaan toiselle taholle. Asetuksessa ei täsmällisesti kerrota, miten tämän käytännössä pitäisi tapahtua.
Tietoturvaloukkauksista, kuten tietovuodoista on ilmoitettava viipymättä viranomaisille ja rekisteröidyille henkilöille kaikilla toimialoilla.
Sanktiot laiminlyönneistä ovat kovat: kovimmillaan 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta.

Selvitä omat prosessit ja dokumentoi ne

Miten yrityksessä on valmistauduttava, jos tietosuoja-asetukseen havahdutaan tässä vaiheessa?

”Oma toiminta kannattaa käydä läpi ja kuvata sen prosessit. Mitä tietoja meillä kerätään ihmisistä? Miten ja miksi tietoja kerätään? Kuinka niitä säilytetään ja miten kauan? Miten tiedot suojataan tietomurroilta? Kun tämä on tehty, verrataan omaa tilannetta uuden asetuksen vaatimuksiin. Kuinka lähellä ollaan?”

Prosessien dokumentoinnissa tarvitaan muun muassa teknisiä yksityiskohtia. Ylimalkainen kuvaus ei riitä.

”Dokumentaatiota laadittaessa pitää olla ymmärrystä myös it-maailmasta: miten dataa konkreettisesti käsitellään”, Koivisto tähdentää.

Tee riskianalyysi

Asetus koskee kaikkia, mutta riskit ovat eritasoiset yrityksen toiminnasta riippuen. Myös riskianalyysi on siis paikallaan, Koivisto kehottaa. Kannattaa pohtia, miten paljon ja mitä henkilötietoja yrityksessä kerätään ja mitkä riskit sitä kautta ovat. Verkkokaupan tilanne on hyvin erilainen kuin elintarvikekioskin.

Suuret yrityksen ja suurten tietomassojen käyttäjät kiinnostanevat valvojaa enemmän. Yksittäiset ihmiset voivat kuitenkin käyttää oikeuttaan tarkastaa tietojaan ja siirtää niitä.

”Näihin pyyntöihin pienimpienkin yritysten on tarvittaessa pystyttävä vastaamaan.”

Tietojärjestelmätöitä monessa yrityksessä

Kaupan liitto järjesti kesäkuun puolivälissä seminaarin, jossa tietosuoja-asetukseen varautumista käsiteltiin. Käytännön valmistautumisessa seminaariväkeä puhutti esimerkiksi juuri ihmisten oikeus päästä tarkistamaan omat tietonsa. Miten se toteutetaan teknisesti? Onko oltava jokin rajanpinta, johon henkilö kirjautuu? Miten vahvaa tunnistautumista tarvitaan, että voidaan olla varmoja tarkistajan henkilöllisyydestä?

Entä miten käytännössä toteutetaan ihmisen oikeus siirtää tietonsa yrityksestä toiseen? Miten kerran kerätty tieto pystytään toimittamaan toisaalle yleisesti luettavassa muodossa?

Valmistautumisessa tarvitaan ainakin tietojärjestelmätöitä.

Valmistautuminen syö resursseja

Kaupan alan suuret toimijat ovat valmistautuneet jo hyvän aikaa. Koivisto on kuitenkin huolestunut pk-yrityksistä. Valmistautuminen vie aikaa ja resursseja.

EU:n tietosuojatyöryhmä on pikkuhiljaa antanut tulkintaohjeita keskeisistä asetuksen kohdista. Melko paljon jää kuitenkin itse kunkin rekisterinpitäjän, kuten yrityksen, itsearvioinnin ja tapauskohteisen tulkinnan varaan. Janne Koivisto sanoo suoraan, että asetuksen vaatimuksia joutuu opiskelemalla opiskelemaan.

”Tämä on teknistä sääntelyä. Yrityksissä on koko ajan oltava kartalla siitä, miten siellä toimitaan. On selvää, että asetus tuo yrityksille lisää hallinnollista taakkaa ja kuluja. Dokumentointi on joko tehtävä itse tai ostettava työ ulkoa.”

”Jos henkilötietojen käsittelyllä on suurempi merkitys yrityksen liiketoiminnalle, suosittelen konsultin käyttämistä. Kaupan liitto antaa yleistä opastusta ja tulkinta-apua.”

Tarkempia tietoja tietosuoja-asetuksesta

Miten valmistautua EU:n tietosuoja-asetukseen?
Opitietosuojaa.fi
Yleinen tietosuoja-asetus (säädösteksti)
EU:n tietosuojatyöryhmän (WP 29) lausunnot

Jaa:

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-7567086-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.