Tietojen kerääminen ja käsittely

– Ensimmäinen askel tietosuojan varmistamisessa on ymmärtää, mitä tietoja kerätään ja mihin tarkoitukseen niitä kerätään. On tärkeää kerätä ainoastaan sellaisia henkilötietoja, jotka ovat välttämättömiä liiketoiminnan kannalta. Lisäksi tietojen käsittelylle tulee aina olla laillinen peruste, kuten asiakkaan suostumus tai sopimus, viestintäpäällikkö Johanna Hietikko-Koljonen korostaa.

Selkeä tietosuojaseloste on myös olennainen osa tietosuojaa:

– Jokaisella yrityksellä tulee olla selkeä ja ymmärrettävä tietosuojaseloste. Tietosuojaseloste kertoo asiakkaille, mitä tietoja kerätään, mihin tarkoitukseen ja miten niitä käsitellään ja kuka niitä käsittelee. Selosteen tulee olla helposti saatavilla, esimerkiksi yrityksen verkkosivuilla tai fyysisessä toimipaikassa, Hietikko-Koljonen neuvoo.

Rekisteröityjen oikeudet ja tietoturva

GDPR antaa rekisteröidyille useita oikeuksia, kuten oikeuden tarkastaa, oikaista ja poistaa tietojaan. Kerättyjen tietojen suojaaminen on ensiarvoisen tärkeää.

– Tämä voi sisältää teknisiä toimenpiteitä, kuten salauksen ja pääsynhallinnan, sekä organisatorisia toimenpiteitä, kuten säännölliset tietoturva-auditoinnit. Tietoturva on jatkuva prosessi, joka vaatii jatkuvaa seurantaa ja kehittämistä, Hietikko-Koljonen painottaa ja jatkaa:

– Yksinkertaistettuna siis on huolehdittava, että määritellään ja rajataan sitä, ketkä pääsevät mitäkin järjestelmiä ja tietoja tarkastelemaan. Lisäksi pääsy eri ohjelmiin täytyy olla aina henkilökohtaisten käyttäjätunnusten takana ja mielellään myös kaksivaiheisen todennuksen takana. Eli koko organisaation yhteisistä, tarralapulle kirjoitetuista salasanoista on luovuttava.

On myös tärkeää määritellä, kuinka kauan henkilötietoja säilytetään.

– Tietoja tulisi säilyttää vain niin kauan kuin on tarpeen, ja tarpeettomat tiedot tulee poistaa asianmukaisesti. Tämä auttaa vähentämään tietoturvariskejä ja noudattamaan GDPR:n vaatimuksia, Hietikko-Koljonen toteaa.

Jos yrityksesi käsittelee suuria määriä henkilötietoja tai erityisiä henkilötietoryhmiä, voi olla tarpeen nimetä tietosuojavastaava. Tietosuojavastaava vastaa tietosuoja-asioiden seurannasta ja kehittämisestä, ja hän voi olla korvaamaton apu tietosuojan varmistamisessa.

Tietosuojakoulutus ja tietosuojaloukkaukset

Kaikkien työntekijöiden tulee ymmärtää tietosuojan merkitys ja osata toimia sen mukaisesti.

– Säännöllinen tietosuojakoulutus auttaa varmistamaan, että henkilöstö tietää, miten toimia tietosuoja-asioissa, käsitellä henkilötietoja ja miten reagoida mahdollisiin tietoturvaloukkauksiin, Hietikko-Koljonen toteaa.