5+1 vinkkiä henkilörekisterien turvaamiseen

Julkaistu: 4.10.2017

Onko yritykselläsi lista asiakkaiden nimistä, sähköpostiosoitteista tai puhelinnumeroista? Vaikka lista olisi lyhytkin, on se EU:n uuden tietosuoja-asetuksen tarkoittama henkilörekisteri. Silloin sinun täytyy henkilörekisterin ylläpitäjänä pitää erityisen hyvää huolta rekisterin sisältämistä tiedoista toukokuusta 2018 alkaen.

Toukokuussa 2018 astuu voimaan EU:n uusi tietosuoja-asetus, joka tunnetaan myös nimellä GDPR. Se koskee kaikkia henkilötietoja käsitteleviä organisaatioita niiden koosta tai toimialasta riippumatta.

Tietosuoja-asetus yhdenmukaistaa henkilötietojen käsittelyyn liittyvän sääntelyn kaikissa EU-maissa samanlaiseksi. Uuden asetuksen tavoitteena on vahvistaa entisestään yksilön oikeuksia, tehostaa tietosuojasääntöjen valvontaa, ja kehittää digitaalisesta tiedonkulusta aiempaa turvallisempaa.

Yksi uudelle tietosuoja-asetukselle asetetuista kunnianhimoisista tavoitteista on talouskasvun mahdollistaminen, sillä asetuksen ansiosta henkilötietojen käsittelykustannusten ja niihin liittyvän byrokratian odotetaan vähenevän. Vielä ei olla siinä vaiheessa, vaan ennen toukokuuta on vielä monta kiveä käännettävänä, ennen kuin yritysten henkilörekisterit ja tietosuoja ovat asetuksen edellyttämällä tolalla.

1. Kartoita nykytila

Tietosuoja-asetukseen varautuminen kannattaa aloittaa perehtymällä yrityksen nykyisiin henkilörekistereihin. Selvitä, mistä tietoja hankitaan, miten niitä käsitellään, missä niitä säilytetään ja mihin tietoja mahdollisesti luovutetaan. Kartoitus kannattaa tehdä nyt, sillä toukokuu kolkuttelee jo ovella ennen kuin asetuksen mahdollisesti edellyttämät prosessien ja tietojärjestelmien muutokset ovat valmiina.

2. Tutustu EU:n tietosuoja-asetuksen sisältöön

Löydät selkokielisen version tietosuoja-asetuksen keskeisestä sisällöstä esimerkiksi tietosuojavaltuutetun sivuilta. Käy askel kerrallaan läpi, mitä muutoksia yrityksessäsi täytyy tehdä, jotta henkilötietojen kerääminen, säilyttäminen ja mahdollinen jakaminen täyttävät asetuksen ehdot. Kyseessä ei ole mikä tahansa läpihuutojuttu, sillä viranomaisella on mahdollisuus saattaa yrityksesi vastuuseen henkilötietojen vaarantamisesta, ja sakko voi olla jopa 4 % yrityksen kokonaisliikevaihdosta.

3. Tietosuojasuunnitelman laatiminen, dokumentointi ja tietosuojavastaava

Jokaisella henkilötietoja käsittelevällä toimijalla täytyy olla etukäteen laadittu suunnitelma, jonka mukaisesti tietojen kanssa operoidaan. Rekistereissä ei saa olla kuin asiakas- tai työsuhteen kannalta oleellisia tietoja, eli rekistereistä ei saa löytyä kivoja pikku nippelitietoja, joille joskus voisi olla tarvetta. Tietojen käsittelyyn on oltava aina lainmukainen peruste, kuten yhteydenpito asiakkaaseen tai palkanmaksu työntekijälle.

Suunnitelmallisuuden lisäksi henkilörekisterin ylläpitämisen on oltava dokumentoitua. Se tarkoittaa käytännössä, että yrityksen on pystyttävä osoittamaan käsittelevänsä henkilötietoja lainmukaisesti. Kerran laadittu ja yleisesti organisaatiossa sovittu toimintatapa kirjattuine sisältöineen sekä nimetty tietosuojavastaava ovat helppoja tapoja osoittaa toiminnan järjestelmällisyyden lisäksi se, että organisaatio ottaa henkilötietojen suojelemisen tosissaan.

4. Rekisterinpitäjä ja käsittelijä

Aina yritys itse ei käsittele henkilörekisteriään, vaan tehtävä on ulkoistettu muille. Esimerkiksi Encore markkinointiviestintätoimistona käsittelee asiakkaidensa sähköpostilistoja ja asiakasrekistereitä. Henkilötietojen käsittelyn ulkoistamisesta tehdään toukokuusta lähtien aina kirjallinen sopimus rekisterinpitäjän ja käsittelijän välille. Asetuksen mukaan siinä on sovittava tarkkaan osapuolten välisestä henkilötietojen käsittelyyn liittyvistä oikeuksista ja vastuista.

5. Ilmoittamisvelvollisuus tietoturvaloukkauksista

Asetuksen myötä yksi merkittävä tiukennus on ilmoittamisvelvollisuus henkilötietoihin kohdistuvasta tietoturvaloukkauksesta. Henkilörekistereiden pitäjällä ja käsittelijöillä on oltava riittävät valmiudet paitsi loukkausten havaitsemiseen, myös niistä ilmoittamiseen rekisteröidylle henkilölle sekä viranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta.