Markkinointia ja sisällöntuotantoa
myynti@kettumarkkinointi.fi

GDPR ja yrityksen tietoturvapolitiikka

Suomessa ei varmaan ole yhtäkään yrittäjää, joka ei olisi nähnyt tuota kirjainhirviötä, lyhennöstä GDPR. Mutta aivan varmasti moni yrittäjä ei ole kiinnittänyt asiaan lainkaan huomiota.

Koko GDPR:n idea ja syy on varmistaa, että henkilötietoja käsitellään Euroopanlaajuisesti tietoturvallisesti ja hyvin, etteivät ne pääsy ns. vääriin käsiin tai ettei ihmisistä kerätä tietoa, mitä ei tarvita. Ihmisillä pitää myös olla oikeus tietää, mitä heistä kerätään ja minne sekä oikeus saada omat tietonsa poistettua.

Lisäksi esimerkiksi Suomessa 17% ihmisistä muuttaa vuosittain, mikä tarkoittaa monesti, että samalla erilaiset henkilörekisterit sisältävät vanhentunutta tietoa. Tätä tietomassaa on tarkoitus vaalia entistä paremmilla säännöillä.

Asiakastiedolla on hyvä tutkimusdokumentti aiheesta PDF muodossa.

Mikä GDPR on?

GDPR eli uusi EU:n laajuinen tietosuoja-asetus tekee jokaisesta suomalaisesta yrityksestä rekisterinpitäjän sillä jokaisella yrityksellä on asiakkaita ja nämä muodostavat rekisterin. GDPR eli uusi EU:n tasoinen tietosuoja-asetus asetettiin jo kaksi vuotta sitten, mutta nyt silloin annettu kahden vuoden siirtymäaika päättyy 25.5. ja jokaisen yrityksen pitäisi olla valmiina.

Mistä käytännössä on kyse?

Yksinkertaisimmillaan on kyse siitä, että yritys varmistaa ja dokumentoi itselleen ja sitä kautta myös asiakkailleen sen, miten henkilötietoja käsitellään yrityksessä, kenellä niihin on pääsy ja missä ne sijaitsevat, ja kuinka tietoturvallista kaikki käsittely on. Jo tällaisen dokumentin tekeminen on pitkä askel siihen, missä moni yritys on nyt.

Rekisterinpitäjien on huolehdittava siitä, että ne kykenevät toimittamaan rekisteröidyille näiden pyytämät tiedot sekä vastaamaan pyyntöihin tietojen poistamisesta. Lisäksi rekisterinpitäjiä koskee osoitusvelvollisuus, jonka mukaan niillä on oltava laillinen oikeusperuste henkilötietojen keräämiselle ja käsittelylle. Henkilötietojen käsittelyn suhteen rekisterinpitäjien on vuorostaan noudatettava GDPR-asetuksen antamia vaatimuksia. Uuteen asetukseen liittyy keskeisesti oletusarvoisen ja sisäänrakennetun tietosuojan periaate (privacy by design and default). Tämä tarkoittaa sitä, että organisaatioilla on velvollisuus ottaa tietoturva-asiat huomioon järjestelmiensä, palveluidensa ja toimintamalliensa suunnittelussa, jos ne liittyvät jollain tapaa henkilötietojen käsittelyyn (privacy by design). Organisaatioiden tulee myös huolehtia siitä, että ne keräävät ja käsittelevät vain asianmukaisia henkilötietoja, joiden käyttö on perusteltua (privacy by default).

Mitä pitää tehdä?

Tee omasta toiminnastasi tuo dokumentti, miten teillä käsitellään henkilötietoja ja samalla päivitä rekisteriselosteet sekä mahdolliset sopimuspaperit. MUISTA! Myös yrityksesi oma henkilökunta ja sen tiedot muodostavat oman rekisterinsä.

Täältä voit katsoa mitä Koodiviidakko listaa tehtävälistalle.

Minulla (Kari Oksanen) on työhistoriassa monta vuotta IT-yritysten kanssa toimimista ja voin auttaa pieniä paikallisia yrityksiä tekemään itselleen nämä toimet. Isommissa yrityksissä projekti on sen verran laaja, etten voi palveluita heille tarjota omien päätoideni ollessa ensisijaisia, mutta nimenomaan paikallisia pieniä yrittäjiä voin GDPR-asioissa konsultoida.

Tietoturvapolitiikka

Tänään päivitin oman yrityksemme tietoturvapolitiikka dokumentin sekä varmuuden vuoksi tarkisin oman asiakasrekisteri selosteemme. Omasta mielestäni ne tuntuvat olevan kunnossa, mutta täytyy myöntää että oma toimintamme on varsin suoraviivaista ja selkeätä, joten näiden dokumenttien valmistaminen sellaisiksiin ei ollut aivan älytön työ ja meillä on ollut järjestelmät kunnossa jo pidemmän aikaa – nyt vain piti dokumentoida kaikki.

Osa työstä on vielä tekemättä ja seuraavaksi työlistalle onkin tulossa yrityksen prosessien kuvaus 🙂 joka onkin todella mielenkiintoista dokumentoitavaa. Onneksi meitä ei ole montaa, eikä meillä ole montaa lokaatiota tai tietojärjestelmiäkään.

Iloisiin dokumentointihetkiin – hei!

Comments are closed.