Teresa Laine-Puhakainen

Saako mitään henkilötietoja enää käsitellä? Mitä minun pitää nyt tehdä yritykseni hallussa oleville henkilötiedoille? Kysymyksiä esitettiin lukuisia ja epätietoisuutta oli selvästi ilmassa, kun Teresa Laine-Puhakainen KPMG:stä avasi pian voimaan tulevan EU:n tietosuoja-asetuksen mukanaan tuomia muutoksia. VASEKin ja Vaasan Yrittäjien järjestämiin tilaisuuksiin maaliskuussa osallistui yhteensä noin 150 yrittäjää tai yhdistysten edustajaa.

– Tietosuojaa koskeva ajattelutapa on ajettava mukaan kaikkeen yrityksen toimintaan. Tietosuoja ja tietoturva ovat kaksi eri asiaa, mutta liittyvät kiinteästi toisiinsa. EU:n tietosuoja-asetus ei sinänsä ole ensimmäinen henkilötietojen käsittelyä säätelevä lainsäädäntö. Niiden käsittelystä on säädetty jo pitkään, muun muassa henkilötietolain nojalla. Asetuksen tuomana yhtenä uutena asiana on niin sanottu osoitusvelvollisuus. Tämän mukaan jokaisen yrityksen ja yhdistyksen on dokumentoitava henkilötietojen käsittelyyn liittyvien prosessien kuvaus ja pystyttävä osoittamaan toimineensa asetuksen mukaisesti, Laine-Puhakainen kertoo.

Henkilötiedoilla tarkoitetaan kaikkea sitä tietoa, jonka avulla henkilö eli rekisteröity voidaan suoraan tai epäsuorasti tunnistaa.

– Jokaisella yrityksellä on joko työntekijöiden tai asiakkaiden ja yhteistyökumppaneiden henkilötietoja. Jos ei henkilötietoja ole, niin ei ole sitten varmasti asiakkaitakaan, Laine-Puhakainen hymyilee painottaessaan sitä, että tietosuoja-asetuksen määräykset tosiaan koskettavat kaikkia yrityksiä.

Arkaluontoisten henkilötietojen kerääminen on ehdottoman kiellettyä, mikäli yrityksellä ei ole laissa asetettua perustetta kerätä näitä tietoja. Ylipäänsä yrityksen on tarpeen miettiä mitä tietoja se kerää, mistä lähteistä ne kerätään ja mistä syystä. On myös selvitettävä, kuka tietoja käsittelee, missä niitä säilötään ja kuinka kauan.

– Yrityksellä on hyvä olla tietosuoja- tai rekisteriseloste, jossa kaikki nämä tiedot on lueteltuina. Rekisteröidyllä on oltava mahdollisuus tästä selosteesta tarkistaa mitä tietoja hänestä kerätään ja mitä kautta hän voi pyytää omien tietojensa tarkistamista tai poistamista, Laine-Puhakainen kertoo ja neuvoo tutustumaan esimerkiksi tietosuojavaltuutetun sivuilla oleviin rekisteriselosteiden malleihin.

Henkilöiden tietojen käsittelylle on aina oltava joku peruste. Joko se on henkilön itsensä suostumus tai esimerkiksi asiakkuus. Suostumus on voimassa kunnes se perutaan. Suostumusta ei kuitenkaan voi perua, jos rekisterin pitäjällä on lakisääteinen velvoite tai oikeus tietoihin.

– Asiakkaalle voi joskus myös joutua kertomaan, ettei yrityksen palveluiden ostaminen välttämättä ole mahdollista ilman suostumusta siihen, että hänen tietonsa kirjataan asiakasrekisteriin. Näin esimerkiksi, jos halutaan pitää tuotteen takuu voimassa. Markkinointikiellon voi aina antaa. Ja yrityksen lähettämissä viesteissä, oli ne sitten paperisia tai sähköisiä, on aina oltava kerrottuna, miten markkinoinnin voi kieltää.

Laine-Puhakainen jatkaa:

– Tärkeää on myös jatkossa dokumentoida se, että koko yrityksen henkilökunta on saanut koulutuksen henkilötietojen käsittelemisestä ja tietosuoja-asioista. On syytä painottaa sitä, että tietojen minimointi on uuden asetuksen asettama vaatimus. Kerätään henkilöistä vain ne tiedot, jotka tarvitaan palvelun tuottamiseen, tilastointiin tai markkinointiin, ei yhtään ylimääräistä.

– Kaikelle tiedolle on määriteltävä myös käsittelyajat eli päätettävä koska henkilötiedot poistetaan rekisteristä, hän päättää.

Teresa Laine-Puhakainen, Sari Saarikoski ja Maija Aarnio.

Vaasan Yrittäjien Maija Aarnio ja VASEKin yritysneuvoja Sari Saarikoski olivat jälkimmäisen tietosuojaillan jälkeen tyytyväisiä:

– Toivottavasti yrittäjät saivat nyt herätyksen siitä, että toimeen on todellakin syytä tarttua viimeistään heti. Uskomme, että he kääntyvät viimeistään nyt asiantuntijan puoleen, mikäli omien tietovirtojen selvittäminen tuntuu vaikealta.

[contact_member,name=Sari Saarikoski,id=17,details=Name]