Ei ole liian pientä eikä liian suurta. Tietosuojalaki koskettaa samalla tavalla pientä toiminimiyrittäjää, kuin isoa organisaatiota riippumatta liikevaihtoluokasta tai toimialasta. Sävelet ovat selvät kaikille yrityksille, vai ovatko? Tiedätkö sinä miksi ja miten tietosuoja koskettaa yritystäsi tai mitä toimenpiteitä sinun tulisi konkreettisesti tehdä, jotta yrityksesi olisi GDPR-kelpoinen? Ei huolta, tämän blogin luettuasi olet viisaampi.
Miten tietosuoja koskettaa yritystäni?
Tietosuoja-asetuksen mukaan tilaaja saa käyttää ainoastaan GDPR-kelpoisia toimittajia. Lisäksi, jos tilaaja on itse rekisterinpitäjä (eli yritys) ja siten vastuussa henkilötietojen käsittelystä, tilaaja vastaa siitä, että hän ostaa tuotteen tai palvelun GDPR-kelpoiselta toimijalta. Lyhyestä virsi kaunis: Yrityksesi tulee noudattaa tietosuojalakia, jotta yritykseltäsi voidaan ostaa tuotteita tai palveluita. Tässä lienee jo tarpeeksi syytä ottaa tietosuoja-asiat haltuun, eikö vain?
Miten minun tulisi toimia tietosuojan haltuun ottamisessa?
Sinun tulee kartoittaa liiketoimintasi prosessit sekä niistä aiheutuvat henkilötietorekisterit. Tietoisuus siitä, mitä, missä, miten ja miksi käsittelet henkilötietoja, on kaiken lähtökohta. Laadi lista henkilötietorekistereistä. Tyypillisiä yrityksissä käytettäviä rekistereitä ovat mm:
- Asiakasrekisteri
- Henkilöstörekisteri
- Kameravalvontarekisteri
- Sähköpostirekisteri
- Sopimusrekisteri
- Kumppanirekisteri
- Työajanseuranta
Kun olet niin pitkällä, että olet kartoittanut kaikki yrityksellesi syntyvät rekisterit, on syytä tarkistaa, säilyykö data EU-alueella ja onko siihen pääsy jollakin kolmannella osapuolella? Huolehdi riittävästä tietoturvasta datallesi.
Laadi tietosuojadokumentaatio. Tämä ei missään nimessä tarkoita monen yrityksen nettisivuilta tuttua tietosuojaselostetta, joka on kopioitu netistä ja muokattu yrityksesi nimen mukaiseksi. Suurimmalla osalla suomalaisista yrityksistä tietosuojaseloste on todella puutteellinen.
Tietosuojadokumentaation voi toki tehdä itse, jos on valmis kuluttamaan istumalihaksia ja näkemään vaivaa asian eteen sekä valmis myös tulevaisuudessa ylläpitämään koko nivaskaa manuaalisesti. Toinen vaihtoehto on hallita tietosuojadokumentaatiota esimerkiksi Easy GDPR-palvelun avulla. Easy GDPR on järjestelmä, jonka avulla suunnittelet, toteutat, hallitset ja ylläpidät yrityksesi tietosuojadokumentaatiota yhdessä paikassa. Palvelussa on kaikki dokumentaatiopohjat valmiina. Syötät järjestelmään vain tarvittavat tiedot ja voit nauttia vapaa-ajastasi sekä ammattimaisesta tietosuojadokumentaatiosta.
- Haluatko tehdä itse? Lataa tietosuojaselosteopas tästä!
- Ei, haluan Easy GDPR-palvelun ja valmiin dokumentaatiopankin. Tutustu palveluun tästä!
Mitä seurauksia tietosuojavirheillä voi olla?
Asetuksen mukaan yritysten johdolla ja vastuuhenkilöillä on Suomessa lakiin perustuva selonottovelvollisuus asioista. Jos tietosuojaviranomainen koputtaa olalle, ei siis riitä, että toteat hänelle, että sinulla ei ollut tarpeeksi tietoa toimia lain vaatimalla tavalla.
Jos yritys ei toimi tietosuoja-asetuksen mukaisesti, voi näistä puutteista pahimmillaan seurata sakkoja tai muita sanktioita. Yrityksille kuitenkin vielä suurempia riskejä ovat Suomessa olleet vakavat mainehaitat, jotka pahimmissa tapauksissa ovat johtaneet tärkeiden kauppojen häviämiseen ja kokonaisten liiketoimintojen kaatumiseen, kuten esimerkiksi kävi monelle mediasta tutuksi nousseelle Psykoterapiakeskus Vastaamolle.
Haluatko kuulla, kuinka käännät tietosuojavaatimukset yrityksesi kilpailueduksi? Lue tämä artikkeli!