GDPR: Ohjeita pk-yrityksille

EU:n tietosuoja-asetus eli GDPR

GDPR

EU:n tietosuoja-asetus eli GDPR (= General Data Protection Regulation) tulee voimaan perjantaina 25.5.2018. Olet saattanut saada erilaisten palveluiden tarjoajilta (Facebook, Twitter, LinkedIn, Microsoft) ilmoituksia asiaan liittyen.

GDPR ei kuitenkaan koske pelkästään kansainvälisiä suuryrityksiä, vaan saattaa vaikuttaa aivan tavallisen suomalaisen nyrkkipajan arkeen. Helpottaaksemme pk-yrityksiä uusien velvotteiden kanssa kokosimme lyhyen ohjelistan:

  • Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, AY-jäsenyystiedot ja
    vastaavat omaan mappiinsa lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka
    käyttöoikeudet on rajattu.
  • Harkitse, mitä tietoja voit lähettää suojaamattomassa sähköpostissa. Hyvin
    monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia
    sovelluksia sähköpostin sisällön suojaamisen.
  • Laadi ohjeet henkilötietojen käsittelyyn ja kouluta henkilöstö. Muista arkijärki siinä, mikä
    on oikeasti arkaluontoista.
  • Muista, että jos et ole sopinut tilitoimistosi kanssa toisin, työntekijäsi eivät saa kysellä palkka-asioitaan suoraan sieltä.
    Tilitoimistolla ei yleensä ole mahdollisuutta tunnistaa kyselijää luotettavasti.
  • Asiakasrekisteriinne rekisteröidyillä henkilöillä, samoin kuin työntekijöillänne, on oikeus
    tarkastaa omat tietonsa ja korjauttaa virheet. Mieti menettely, jolla kysyjä (esimerkiksi
    asiakkaan henkilö) tunnistetaan ja miten tiedot annetaan.
  • Hävitä aineistot, kun ne eivät enää ole tarpeen. Palkanlaskennan aineistojen lakisääteinen
    säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja
    saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne
    tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää
    lakisääteistä tai muuta perustetta.

 

Tietosuoja-asetukseen liittyviä käsitteitä

  • Rekisteröity tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka
    henkilötiedot ovat käsittelyn kohteena.
    Tietosuoja-asetus ei siis säätele esimerkiksi yrityksen
    asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta.
  • Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on
    suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen
    arkaluontoiseksi. Esimerkkinä voidaan mainita ihmisen terveystiedot ja ay-jäsenyystiedot.
  • Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa.
    Tietokantojen lisäksi esimerkiksi Excel-taulukko voi siis muodostaa rekisterin.
    Tyypillisiä rekistereitä pk-yrityksissäovat asiakasrekisteri
    sekä työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin.
  • Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin
    tai yhdessä toistenkanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
    Pk-yritys on työntekijärekisterinsä pitäjä, vaikka palkanlaskenta olisikin ulkoistettu tilitoimistolle ja vaikka tilitoimisto hoitaisi rekisterin tietojen ylläpidon
    ja käyttäisi rekisteriä palkanlaskennan hoitoon.
  • Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
    Esimerkiksi tilitoimisto, joka käsittelee asiakkaiden
    työntekijöiden tietoja laskeakseen palkat, on henkilötietojen käsittelijä.
  • Riskiperusteisuus tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on.
    Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja
    sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto
    asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairaspoissaolojen suuresta määrästä.