Skip to content

UUTTA! Kotisivujen ostajan opas 2019 älä osta uusia kotisivuja, ennen kuin olet lukenut tämän oppaan. Voit säästää tuhansia euroja.

Yrittäjä, tiesitkö:

Tietosuoja-asetus pakottaa melko varmasti sinunkin yrityksesi tekemään

Tietosuoja-asetus ja yrittäjä

Onko tietosuoja-asetus hepreaa?

Monen mielestä on – ja ehkä sinunkin.

Et siis ole yksin. Sadat tuhannet yritykset EU:ssa ja Suomessa joutuvat pähkäilemään samat asiat ja irrottamaan aikaa niiden hoitoon.

Virallinen tiedotus on kyllä olemassa, mutta pienyrittäjä ei saa siitä kättä pidempää – saati sitten sovellettavissa olevia toimintaohjeita. Harvalla on aikaa suomentaa virkamiesten kapulakieltä. Tai kahlata lävitse satojen sivujen ohjeistusta.

Suunnitelma on pakollinen, jos esimerkiksi:

Kotisivuillasi on tarjouspyyntölomake

Puhelimessasi on asiakkaiden yhteystietoja

Sinulla on varauskirja

Sinulla on asiakasrekisteri

Olet saanut työpaikkahakemuksia sähköpostiisi

Sinulla on verkkokauppa

Mistä on kysymys?

EU:n tietosuoja-asetusta (eli GDPR) on alettu soveltamaan 25.5.2018 lähtien. Nyt jokaisen yrityksen, joka käsittelee henkilötietoja on suunniteltava ja dokumentoitava koko prosessi.

Tämä tarkoittaa sitä, että myös sinun on selvitettävä, onko yrityksessäsi käytössä jonkin muotoinen lista yksityishenkilöistä.

Ja jos on, olet muun muassa velvollinen varmistamaan että rekisteriisi eivät pääse ulkopuoliset ja että siellä olevat virheelliset henkilötiedot on poistettava tai oikaistava viipymättä.

Sinun on myös dokumentoitava kaikki rekisterisi tietosuojasuunnitelmassa.

Iso osa PK-yrityksistä selviää paperitöistä esimerkiksi tietosuojasuunnitelman täyttämisellä ja ylläpitämisellä. Se ei ole monimutkaista, mutta silti harva pystyy selvittämään oman yrityksensä tarpeet lukemalla virallisia dokumentteja. Tällä hetkellä tietosuoja-asetus on yli 200-sivuinen ja siinä on noin 500 sivua ohjeistusta.

Voit tietysti palkata konsultin tai käydä koulutuksen, mutta jos rekisterisi ei ole erikoinen, menetät turhaan rahaa ja aikaa.

Ja jos jäät kiinni tietosuoja-asetuksen rikkomisesta, varoitusten jälkeen...

voit saada sakon, joka on 4 % liikevaihdostasi

Miten tämä asetus hyödyttää sinua?

2 syytä:

Tietosuoja-asetus tarjoaa sinulle oikeastaan vain kaksi selvää porkkanaa:

Julkiset kilpailutukset

Jatkossa julkinen ja yksityinen sektori saattaa vaatia, että tietosuoja-asiasi ovat kunnossa, ennen kuin voit osallistua tarjouskilpailuihin.

Koska se on pakollista

Tämä on aika selvä, eikö vain? Kyseessä on siis lainvoimainen säädös, jonka rikkomisesta on määrätty tuntuva sakko.

Naisyrittäjä täyttää tietosuojasuunnitelmaa

Koko laki pähkinänkuoressa

Uusi asetus aiheuttaa lähes kaikille yrityksille lisää paperityötä. Aikaisemmin riitti, kun noudatit lakia, mutta nyt se pitää myös pystyä osoittamaan.

Tässä pähkinänkuoressa asiat, jotka sinun kannattaa tehdä:

1.

Selvitä, missä ja miten yrityksesi käyttää henkilötietoja

Kaiva esille kaikki Excel-taulukot, ulkopuoliset palvelut, ruutuvihkot ja kännyköiden asiakaslistat.
Käy tiedot lävitse ja mieti, ovatko ne kaikki tarpeellisia liiketoiminnallesi. Hävitä vanhat henkilötiedot.

2.

Tarkista sopimustilanne asiakkaiden, palveluntuottajien sekä alihankkijoiden kanssa

Asetus edellyttää kirjallista sopimista, jos esimerkiksi alihankkijasi käsittelee tai ylläpitää rekisteriäsi. Varmista, että sopimuksissa on selvästi sovittu tietosuojaehdot kaikkien osapuolten välillä.

3.

Päivitä prosessit asetuksen mukaisiksi

Mieti, miten toteutat velvoitteesi, kuten henkilön oikeuden saada omat tietonsa. Nimeä tarvittaessa yritykseesi tietosuojavastaava. Jos huomaat tietosuojamurron rekisteriisi, tiedota siitä viranomaisille ja henkilötietojen omistajille.

4.

Dokumentoi käytännöt tietosuojasuunnitelmaan

Sinun on pystyttävä osoittamaan tietosuojaviranomaisille täsmällisesti, miten henkilötietoja käsitellään yrityksessäsi.
Tietosuojasuunnitelmalla näytät viranomaisille, että otat asetuksen vakavasti.

Kysymyksiä ja vastauksia Tietosuoja-asetuksesta

Miten voin pyytää luvan henkilötietojen keräämiseen?

Kun keräät henkilötietoja, sinun on varmistettava että henkilö ymmärtää, mihin hänen tietonsa on menossa ja mitä niillä tehdään.

Suostumus pitää olla vapaasti annettu, eli rekisteröidyllä pitää olla oikeus olla antamatta suostumustaan eikä siitä saa koitua negatiivisia seurauksia.

Esitä pyyntö selvästi erillään muista asioista helposti ymmärrettävässä ja selkeällä kielellä.

Esimerkiksi kotisivuilla olevassa lomakkeessa voi olla kohta: "Hyväksyn, että antamani henkilötiedot lisätään Yritys Oy:n asiakasrekisteriin". Lisäksi kohdan vieressä voi olla linkki rekisteriselosteeseesi.

Voit sitten eritellä tietosuojaselosteessa tarkemmin henkilötietojen käyttötarkoituksen. Älä kuitenkaan aktivoi sähköisessä lomakkeessa valmiiksi tätä kohtaa. Henkilön pitää aina tehdä se itse.

Alle 16-vuotiaiden lasten henkilötietojen käsittely ei ole sallittua ilman vanhemman suostumusta.

Muita hyviä tapoja pyytää lupa on:

  • kirjallisen dokumentin allekirjoittaminen
  • "opt-in" linkin painaminen sähköpostissa
  • valintojen tekeminen asetuspaneelissa
  • kyllä/ei valinnan tekeminen
  • vastaaminen sähköpostiin, jossa pyydetään suostumusta
  • myöntävä vastaus suulliseen luvan kysymiseen tai vapaaehtoisten tietojen antaminen tiettyyn tarkoitukseen.

Jos sinulla jo on asiakkaasi kanssa sopimus tai sellaista valmistellaan, voidaan tarpeelliset tiedot rekisteröidä siinä. Sopimuksessa täytyy tietysti mainita asiakkaan henkilötietojen käytöstä ja mahdollisesta viestiliikenteestä.

Lisäksi lupa kerätä henkilötietoja tulee automaattisesti, kun verkkokaupan asiakas ostaa, tilaa tai varaa tuotteita tai palveluita. Suostumus on kuitenkin pyydettävä erikseen markkinointia ja analytiikkaa varten.

Huomioi myös, että kannattaa jo tässä vaiheessa erottaa tietosuojaselosteessa toisistaan suostumus yleisesti henkilötietojen käsittelyyn ja suostumus (sähköisten) markinointiviestien lähettämiseen. Nämä ovat eri asioita.

Tietosuoja-asetus ei vielä erottele kanavakohtaisia lupia, vaan nämä tulevat jatkossa valmisteilla olevasta ePrivacy-asetuksesta.

Suoramarkkinoinnin sääntöjen mukaan kuluttajalle ei saa lähettää markkinointiin liittyviä sähköposteja tai tekstiviestejä ilman vastaanottajan suostumusta. Alle 16-vuotiaille ei saa lähettää sähköistä suoramarkkinointia ilman vanhempien lupaa.

Sen sijaan yrityksen ja järjestön edustajalle sekä viranomaiselle voi lähettää sähköistä suoramarkkinointia ilman etukäteissuostumusta, kunhan viestin aihe liittyy jotenkin vastaanottajan toimenkuvaan. Samalla pitää myös tarjota mahdollisuus markkinoinnin vastaanottamisen perumiseen. On myös tärkeää kertoa esimerkiksi kotisivuilla olevassa rekisteriselosteessa, miten omia tietoja voi korjata ja tarvittaessa myös poistaa.

Pitääkö minun hävittää vanhat asiakasrekisterini?

Henkilötietoja saa käsitellä ainoastaan siinä tarkoituksessa, mitä varten tiedot on alun perin kerätty. Jos henkilötietoja kerätään esimerkiksi tapahtumaa varten, niitä ei voi automaattisesti käyttää suoramarkkinointiin eikä luovuttaa kolmannelle osapuolelle.

Jos olet kerännyt henkilötietoja ja samalla kertonut ainakin nämä asiat:

  • kenelle suostumus pyydetään
  • mihin tarkoituksiin
  • miten käsitellään
  • ja että henkilöllä on peruutusoikeus

Näiden tietojen ilmoittaminen antaa sinulle mahdollisuuden jatkaa rekisterisi käyttöä. Muussa tapauksessa sinun on pyydettävä lupa uudelleen säännösten mukaisesti.

Miten todistan viranomaisille, että olen hoitanut velvoitteeni?

Huolehdi, että yrityksesi tietosuojadokumentit ovat kunnossa, kun viranomainen tulee kysymään henkilötietojen käsittelyn nykytilasta.

Tietosuojasuunnitelma on helppo tapa muun muassa listata toteuttamasi toimet, millaisia rekistereitä sinulla on ja miten niitä ylläpidetään.

Valmistaudu myös kertomaan ketkä ovat oikeutettuja pääsemään käsiksi rekistereihin ja miksi? 

Lisäksi jos käsittely perustuu suostumukseen, sinun tulee pystyä näyttämään toteen sen olemassaolo. Siitä on hyvä jäädä talteen:

  • tieto siitä kuka suostui
  • mihin suostui
  • milloin ja millä tavoin suostui
  • mitä informoitiin suostumuksesta

Käytännössä sinun on hyvä tallentaa sähköisen suostumuksen aikana kaikkien kysymyskenttien vastaukset sekä tapahtuman aika ja henkilön IP-osoite. Kirjalliset suostumukset kannattaa tallentaa sellaisenaan arkistoosi.

Rekisterini on ulkopuolisen yrityksen palvelimella, pitääkö reagoida?

Tällainen tilanne voi olla esimerkiksi uutiskirjeohjelmistosi rekisteri, joka on palveluntarjoajan omalla palvelimella. Muita esimerkkejä ovat muun muassa yrityksesi palkkahallinto, pilvipalveluiden tarjoajat tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Jos ulkoinen palveluntarjoaja käsittelee henkilötietoja, Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä. Ilman sopimusta henkilötietoja ei saa käsitellä. Arkistoi sopimus tietosuojasuunnitelmasi yhteyteen.

Lisäksi ulkopuolinen palveluntarjoaja (eli tietojen käsittelijä) saa lähtökohtaisesti käsitellä henkilötietoja vain antamiesi ohjeiden mukaisesti.

Kun yritys ulkoistaa tietojenkäsittelyään kolmannelle osapuolelle, kannattaa sopimusten sisältö käydä läpi ja tarkistaa, vastaako se asetuksen vaatimuksia.

Sopimuksessa voi olla esimerkiksi seuraavanlainen ehto:

"Toimittaja noudattaa voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa ja henkilötietojen suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan henkilötietolainsäädännön ja tämän sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä on säädetty sisäänrakennetusta ja oletusarvoisesta tietosuojasta."
Ote dokumentista "Tietosuoja-asetuksen huomioiminen kilpailutettaessa julkisia hankintoja".

Mitä kotisivuilleni pitää tehdä, että ne täyttävät tietosuoja-asetuksen periaatteet?

Tässä lista toimenpiteistä, joita kannattaa (ja pitää) tehdä:

  • Hanki SSL-sertifikaatti sivuillesi. Sertifikaatti on tapa salata sivustosi liikenne, joten se parantaa henkilötietojen suojausta. Yleensä tämän huomaa verkko-osoitteesta, jossa "http" on korjattu "https"-muodolla.
  • Sivustolta täytyy löytyä ajantasainen tietosuojaseloste (aikaisemmin rekisteriseloste), jossa kerrotaan muun muassa miksi ja miten  keräät tietoja.
  • Informoi käyttäjää evästeiden käytöstä lisäämällä siitä maininta esimerkiksi tietosuojaselosteeseen. Voit myös antaa käyttäjälle mahdollisuuden kieltäytyä evästeistä avaamalla tätä varten pienen ikkunan, kun hän tulee sivustolle (tämä ei kuitenkaan ole tällä hetkellä pakollista ja voi enemmänkin ärsyttää kävijöitä).
Mitä jos joku haluaa nähdä omat tietonsa, jotka ovat rekisterissäni?

Rekisteröidyn selvityspyyntöihin on vastattava viipymättä ja viimeistään 4 viikossa. Ensimmäistä kertaa tietoja voi pyytää ilman kustannuksia. Toistuvista ja jatkuvista pyynnöistä voi veloittaa.

Luovuta hänelle kaikki ne rekisterissäsi olevat tiedot, jotka hän on toimittanut sinulle. Sinun ei siis tarvitse toimittaa kysyjälle kaikkea rekisterissäsi olevaa informaatiota.Esimerkiksi itse kirjoittamasi arvio asiakkaasta tai tapaamisen kulusta ei kuulu luovutettaviin tietoihin.

Jos tietoihin halutaan muutoksia, tee se mahdollisimman pian.

Valmistaudu myös ilmoittamaan rekisteröidylle, keille hänen tietojansa on mahdollisesti luovutettu.

Tietoja ei tarvitse antaa, jos rekisteröity on jo saanut nämä tiedot tai jos tiedot ovat salassa pidettäviä. Tietoja ei myöskään tarvitse antaa, jos tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Jos henkilötietojen tallettamiseen ei ole tietosuoja-asetuksen mukaista perustetta, rekisteröidyllä on oikeus pyytää tietojensa hävittämistä. Mikäli tietoja tarvitaan palvelun toteuttamiseksi, niitä ei tarvitse poistaa.

Milloin tarvitsen tietosuojavastaavan?

Asetuksessa sanotaan, että jos liiketoimintasi keskeisenä osana on henkilötietojen laajamittainen, säännöllinen ja järjestelmällinen käsittely, tarvitset tietosuojavastaavan.

Pienyrittäjä tuskin kuitenkaan tarvitsee tietosuojavastaavaa, ellei henkilötietojenkäsittely ole laajamittaista tai jostain syystä käsittele arkaluonteisia tietoja.

Mutta, sen sijaan jokaisessa yrityksessä pitää olla "tietosuojasta vastaava" henkilö.

Terminologia on tässä tapauksessa valitettavan hämmentävää. Jos tietosuojasta vastaavaa ei erikseen nimetä, se on lähtökohtaisesti toimitusjohtaja. PK-yrityksessä siis käytännössä melkein aina toimitusjohtaja.

Mitkä ovat tietosuojavastaavan tehtävät?

Tietosuojavastaava on yrityksen sisäinen asiantuntija tietosuoja-asioissa sekä yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle.

Tietosuojavastaava:

• varmistaa, että tietosuojasääntöjä noudetaan yrityksessä

• neuvoo ja tiedottaa tietosuojasääntöjen mukaisista velvollisuuksista yrityksen johdolle ja henkilötietoja käsitteleville työntekijöille

• antaa neuvoja tietosuojan vaikutustenarvioinnin (DPIA) aikana ja valvoo sen toteutusta

• toimii rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa

• tekee yhteistyötä valvontaviranomaisen kanssa ja toimii valvontaviranomaisen yhteyshenkilönä.

Asiakasrekisterimme varastettiin, mitä teen?

Jokaisessa yrityksessä täytyy miettiä, ketkä ovat vastuuhenkilöitä ja kuka on se, joka ilmoittaa tietosuojaviranomaiselle, kun tietoturvaloukkaus tapahtuu.

Asetus määrää, että tietomurroista on raportoitava 72 tunnin sisällä. Vakavissa tilanteissa myös rekisteröidyille on ilmoitettava tietoturvaloukkauksesta selkeästi ja ilman aiheetonta viivyttelyä.

Aikarajat ovat tiukkoja, joten sinun on hyvä suunnitella etukäteen, miten ilmoitus tehdään ja miten rekisteröidyille ilmoitetaan.

Ilmoituksen jälkeen viranomainen tutkii, kuinka hyvin yritykselläsi oli tietosuoja hoidettuna tietomurron aikana. Jos huolimattomuutta tai rikkomuksia esiintyy, viranomainen langettaa rangaistuksen, joka on suhteessa teon laajuuteen.

Yrittäjä,

Teimme sinulle ilmaisen paketin, jonka avulla selviät helposti velvollisuudestasi

Pienyrittäjän helppo tietosuojasuunnitelma on asiantuntijoiden suunnittelema yksinkertainen, mutta riittävä ohjepaketti, jolla saat paperisodan ILMAISEKSI ja vaivattomasti pois päiväjärjestyksestä.

Suunnitelma koostuu kahdesta esitäytetystä ja ohjeistetusta sähköisestä lomakkeesta (PDF), joihin täytät yrityksesi tietoturva-asiat; miten olet valmistautunut ja miten aiot toimia erilaisissa tilanteissa.

Mukana on kansantajuinen ohjeistus sekä valmiita malleja kotisivuillesi lisättäviin tietosuojaselosteeseen sekä evästetekstiin.

Älä hukkaa aikaa – tämä paketti auttaa sinut vauhdilla alkuun!

Kerro, mihin sähköpostiosoitteeseen voimme lähettää sen:

Tietosuojasuunnitelma auttaa täyttämään Tietosuoja-asetuksen määräämät seikat

Mitä paketti sisältää?

  • Tietosuojasuunnitelma-lomake
  • Tietosuojaseloste-lomake + esimerkkejä
  • Täyttöohjeet
  • Malli tietosuojaselosteesta ja evästetekstistä kotisivuillesi

Tämä paketti ei sovi sinulle, jos...

Yrityksesi toimii kansainvälisesti ja henkilötietojen käsittely on tärkeä osa palveluitasi.

Teet laajamittaista videovalvontaa yleisölle avoimella alueella (esim. videokamera linja-autossa kuljettajien ja matkustajien käyttäytymisen seuraamiseksi).

Olet ottamassa käyttöön uutta teknologiaa, johon henkilötiedot liittyvät.

Henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin henkilön oikeuksien ja vapauksien kannalta (esim. vertaat asiakkaidesi tietoja luottotietorekisterin tietoihin).

Käsittelet tietoja, joista ilmenee:

  • rotu tai etninen alkuperä
  • poliittisia mielipiteitä
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliiton jäsenyys
  • geneettisiä tai biometrisiä tietoja
  • terveystietoja
  • luonnollisen henkilön seksuaalinen käyttäytyminen ja suuntautuminen
  • muu arkaluontoinen tieto

Silloin sinun on tehtävä niin sanottu vaikutustenarviointi, joka on toistaiseksi rajattu tämän tietosuojasuunnitelman ulkopuolelle.

thule-digital-logo

Thule Digital Oy
Kiilakiventie 1, 90250 Oulu
Puh: 040 717 70 96
if.latigideluht@itnyym

Voit mielihyvin blogata ja tviitata, jakaa Facebookissa, sähköpostissa ja missä tahansa netissä tämän sivuston sisältöä, jos mainitset aina lähteen. Kiitos käynnistä!

Suomen vahvimmat Thule Digital
fi-verkkotunnusten-valittaja
yrittajat-jasenyritys
wordpress-kotisivut
drupal-logo

WordPress on WordPress-säätiön valvoma tavaramerkki. Drupal on Dries Buytaert'n omistama tavaramerkki.

Sivujen käyttöehdot

Scroll To Top