Viisi toimenpidettä, joilla

jokaisen yrityksen tulisi varautua uuteen tietosuoja-asetukseen

EU:n uuden tietosuoja-asetuksen soveltaminen alkaa toukokuussa 2018

Asetus lisää kansalaisten oikeuksia, mutta asettaa toisaalta yrityksille uusia velvollisuuksia. Uuden sääntelyn myötä kaikkien yritysten on käsiteltävä entistä huolellisemmin asiakkaista ja henkilöstöstä kerättyjä henkilötietoja.

Aiemmin tietosuojarikkomuksista on yleensä selvinnyt huomautuksella. Jatkossa niistä voi ropsahtaa hallinnollisia maksuja, jotka saattavat olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.

Asetuksen vaatimat kansalliset lakimuutokset ja yksityiskohdat ovat vielä auki, mutta jokaisen yrityksen tulisi varautua tulevaan jo nyt. Listasimme viisi toimenpidettä, joiden avulla voi varmistaa muutosvalmiutensa.

1. Lähde ajoissa liikkeelle

Uusi sääntely voi vaatia isojakin muutoksia yrityksen toimintatapoihin, sopimuksiin ja tietojärjestelmiin. Henkilötietoja paljon käsittelevät isot yritykset ovat valmistautuneet uudistukseen jo pidempään, mutta myös pk-yritysten kannattaa lähteä liikkeelle viimeistään lomien jälkeen.

2. Kartoita omat rekisterit ja tietolähteet

Henkilötietojen kerääminen vaihtelee eri yrityksissä, mutta esimerkiksi kaupan alan tai digitaalisia palveluja tarjoavilla yrityksillä voi olla huomattava määrä asiakkaista koottuja tietoja. Nimet, puhelinnumerot, sähköpostiosoitteet ja luottokorttitiedot ovat henkilötietoja. Niitä voivat myös olla esimerkiksi asiakkaiden verkkokäyttäytymistä tai sijaintia koskevat tiedot. Henkilörekistereitäkään ei tule unohtaa.

"Tietosuoja-asiat tulee huomioida kokonaisvaltaisesti kaikessa toiminnassa, jossa käsitellään henkilöihin liittyviä tietoja", summaa Lexia Asianajotoimisto Oy:n osakas Markus Myhrberg.

Jokaisen yrityksen kannattaa siis kartoittaa tarkasti, mitä tietoja se kerää, millä perusteilla ja miten niitä käsitellään.

Tietosuoja-asiat tulee huomioida kokonaisvaltaisesti kaikessa toiminnassa, jossa käsitellään henkilöihin liittyviä tietoja

3. Varaudu selosteiden ja sopimusten uusimiseen

Yrityksen on olennaista tiedottaa kattavasti ja selkeästi henkilötietojen käsittelystä ja tehdä riittävät sopimukset eri toimijoiden kanssa. Yritys voikin joutua päivittämään tietosuojaselosteet ja -käytännöt sekä uusimaan asiakkaiden kanssa tehtäviä sopimuksia. Sopimukset voivat mennä uusiksi myös yrityksen henkilörekisterejä käsittelevien alihankkijoiden kanssa.

"Asiakkaiden aiempia suostumuksia ei tarvitse uusia, mutta käsittelyn perusteella saattaa tulla uusia vaatimuksia. Suostumuksen hankkiminen asiakkaalta voi tällöin olla ainoa oikea toimintatapa", Markus Myhrberg kertoo.

4. Varmista tietoturva

Asiakas- ja henkilötietojen suojaaminen tietomurroilta on elintärkeää kaikille yrityksille, mutta jatkossa henkilötietojen käsittelyssä on oltava vieläkin tarkempi. Samalla on laadittava selkeät toimintatavat sen varalta, että tapahtuu tietoturvaloukkaus.

Uusi asetus velvoittaa yrityksen ilmoittamaan tietoturvaloukkauksista valvontaviranomaiselle 72 tunnin kuluessa tietomurron havaitsemisesta. Myös loukkauksen kohteiksi joutuneille tulee ilmoittaa olennaiset tiedot tietomurrosta. Tämän vuoksi on tärkeää, että myös palveluntarjoajat ovat sitoutuneet tietoturvaprosesseihin.

5. Suojaa selustasi dokumentoinnilla

Tietojen huolellinen ja asetuksen mukainen käsittely ei yksin riitä, vaan yrityksen on myös pystyttävä osoittamaan tämä asiakkailleen ja viranomaisille.

"Riippumatta siitä, onko tietoturvaloukkausta tapahtunut, viranomaiset voivat arvioida, onko järjestelmät asianmukaisesti suojattu vai ei", painottaa Markus Myhrberg.

Siksi kaikki tehdyt toimenpiteet on dokumentoitava tarkasti. Tämä on myös tärkeää, jotta asiakkaiden luottamus yritykseen säilyisi.

Jutun lähteinä on käytetty asiantuntijaseminaaria, jonka järjesti verkkomainonnan toimijoita edustava IAB Finland, sekä Lexia Asianajotoimisto Oy:n osakkaan Markus Myhrbergin haastattelua.

Tee tietosuojatesti!

Tee Lexian sivuilla testi, niin näet kuinka hyvin olet valmistautunut.

www.tietosuojatesti.fi