Tietosuoja-asetus pakottaa melko varmasti sinunkin yrityksesi tekemään

Kun keräät henkilötietoja, sinun on varmistettava että henkilö ymmärtää, mihin hänen tietonsa on menossa ja mitä niillä tehdään.

Suostumus pitää olla vapaasti annettu, eli rekisteröidyllä pitää olla oikeus olla antamatta suostumustaan eikä siitä saa koitua negatiivisia seurauksia.

Esitä pyyntö selvästi erillään muista asioista helposti ymmärrettävässä ja selkeällä kielellä.

Esimerkiksi kotisivuilla olevassa lomakkeessa voi olla kohta: "Hyväksyn, että antamani henkilötiedot lisätään Yritys Oy:n asiakasrekisteriin". Lisäksi kohdan vieressä voi olla linkki rekisteriselosteeseesi.

Voit sitten eritellä tietosuojaselosteessa tarkemmin henkilötietojen käyttötarkoituksen. Älä kuitenkaan aktivoi sähköisessä lomakkeessa valmiiksi tätä kohtaa. Henkilön pitää aina tehdä se itse.

Alle 16-vuotiaiden lasten henkilötietojen käsittely ei ole sallittua ilman vanhemman suostumusta.

Muita hyviä tapoja pyytää lupa on:

• kirjallisen dokumentin allekirjoittaminen
• "opt-in" linkin painaminen sähköpostissa
• valintojen tekeminen asetuspaneelissa
• kyllä/ei valinnan tekeminen
• vastaaminen sähköpostiin, jossa pyydetään suostumusta
• myöntävä vastaus suulliseen luvan kysymiseen tai vapaaehtoisten tietojen antaminen tiettyyn tarkoitukseen.

Jos sinulla jo on asiakkaasi kanssa sopimus tai sellaista valmistellaan, voidaan tarpeelliset tiedot rekisteröidä siinä. Sopimuksessa täytyy tietysti mainita asiakkaan henkilötietojen käytöstä ja mahdollisesta viestiliikenteestä.

Lisäksi lupa kerätä henkilötietoja tulee automaattisesti, kun verkkokaupan asiakas ostaa, tilaa tai varaa tuotteita tai palveluita. Suostumus on kuitenkin pyydettävä erikseen markkinointia ja analytiikkaa varten.

Huomioi myös, että kannattaa jo tässä vaiheessa erottaa tietosuojaselosteessa toisistaan suostumus yleisesti henkilötietojen käsittelyyn ja suostumus (sähköisten) markinointiviestien lähettämiseen. Nämä ovat eri asioita.

Tietosuoja-asetus ei vielä erottele kanavakohtaisia lupia, vaan nämä tulevat jatkossa valmisteilla olevasta ePrivacy-asetuksesta.

Suoramarkkinoinnin sääntöjen mukaan kuluttajalle ei saa lähettää markkinointiin liittyviä sähköposteja tai tekstiviestejä ilman vastaanottajan suostumusta. Alle 16-vuotiaille ei saa lähettää sähköistä suoramarkkinointia ilman vanhempien lupaa.

Sen sijaan yrityksen ja järjestön edustajalle sekä viranomaiselle voi lähettää sähköistä suoramarkkinointia ilman etukäteissuostumusta, kunhan viestin aihe liittyy jotenkin vastaanottajan toimenkuvaan. Samalla pitää myös tarjota mahdollisuus markkinoinnin vastaanottamisen perumiseen. On myös tärkeää kertoa esimerkiksi kotisivuilla olevassa rekisteriselosteessa, miten omia tietoja voi korjata ja tarvittaessa myös poistaa.

Henkilötietoja saa käsitellä ainoastaan siinä tarkoituksessa, mitä varten tiedot on alun perin kerätty. Jos henkilötietoja kerätään esimerkiksi tapahtumaa varten, niitä ei voi automaattisesti käyttää suoramarkkinointiin eikä luovuttaa kolmannelle osapuolelle.

Jos olet kerännyt henkilötietoja ja samalla kertonut ainakin nämä asiat:

• kenelle suostumus pyydetään
• mihin tarkoituksiin
• miten käsitellään
• ja että henkilöllä on peruutusoikeus

Näiden tietojen ilmoittaminen antaa sinulle mahdollisuuden jatkaa rekisterisi käyttöä. Muussa tapauksessa sinun on pyydettävä lupa uudelleen säännösten mukaisesti.

Huolehdi, että yrityksesi tietosuojadokumentit ovat kunnossa, kun viranomainen tulee kysymään henkilötietojen käsittelyn nykytilasta.

Tietosuojasuunnitelma on helppo tapa muun muassa listata toteuttamasi toimet, millaisia rekistereitä sinulla on ja miten niitä ylläpidetään.

Valmistaudu myös kertomaan ketkä ovat oikeutettuja pääsemään käsiksi rekistereihin ja miksi? 

Lisäksi jos käsittely perustuu suostumukseen, sinun tulee pystyä näyttämään toteen sen olemassaolo. Siitä on hyvä jäädä talteen:

• tieto siitä kuka suostui
• mihin suostui
• milloin ja millä tavoin suostui
• mitä informoitiin suostumuksesta

Käytännössä sinun on hyvä tallentaa sähköisen suostumuksen aikana kaikkien kysymyskenttien vastaukset sekä tapahtuman aika ja henkilön IP-osoite. Kirjalliset suostumukset kannattaa tallentaa sellaisenaan arkistoosi.

Tällainen tilanne voi olla esimerkiksi uutiskirjeohjelmistosi rekisteri, joka on palveluntarjoajan omalla palvelimella. Muita esimerkkejä ovat muun muassa yrityksesi palkkahallinto, pilvipalveluiden tarjoajat tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Jos ulkoinen palveluntarjoaja käsittelee henkilötietoja, Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä. Ilman sopimusta henkilötietoja ei saa käsitellä. Arkistoi sopimus tietosuojasuunnitelmasi yhteyteen.

Lisäksi ulkopuolinen palveluntarjoaja (eli tietojen käsittelijä) saa lähtökohtaisesti käsitellä henkilötietoja vain antamiesi ohjeiden mukaisesti.

Kun yritys ulkoistaa tietojenkäsittelyään kolmannelle osapuolelle, kannattaa sopimusten sisältö käydä läpi ja tarkistaa, vastaako se asetuksen vaatimuksia.

Sopimuksessa voi olla esimerkiksi seuraavanlainen ehto:

"Toimittaja noudattaa voimassa olevan henkilötietolainsäädännön edellyttämää hyvää tietojen käsittelytapaa ja henkilötietojen suojaamista koskevia säännöksiä. Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan henkilötietolainsäädännön ja tämän sopimuksen vaatimusten mukainen, ottaen erityisesti huomioon, mitä on säädetty sisäänrakennetusta ja oletusarvoisesta tietosuojasta."
Ote dokumentista "Tietosuoja-asetuksen huomioiminen kilpailutettaessa julkisia hankintoja".

Tässä lista toimenpiteistä, joita kannattaa (ja pitää) tehdä:

• Hanki SSL-sertifikaatti sivuillesi. Sertifikaatti on tapa salata sivustosi liikenne, joten se parantaa henkilötietojen suojausta. Yleensä tämän huomaa verkko-osoitteesta, jossa "http" on korjattu "https"-muodolla.
• Sivustolta täytyy löytyä ajantasainen tietosuojaseloste (aikaisemmin rekisteriseloste), jossa kerrotaan muun muassa miksi ja miten  keräät tietoja.
• Informoi käyttäjää evästeiden käytöstä lisäämällä siitä maininta esimerkiksi tietosuojaselosteeseen. Voit myös antaa käyttäjälle mahdollisuuden kieltäytyä evästeistä avaamalla tätä varten pienen ikkunan, kun hän tulee sivustolle (tämä ei kuitenkaan ole tällä hetkellä pakollista ja voi enemmänkin ärsyttää kävijöitä).

Rekisteröidyn selvityspyyntöihin on vastattava viipymättä ja viimeistään 4 viikossa. Ensimmäistä kertaa tietoja voi pyytää ilman kustannuksia. Toistuvista ja jatkuvista pyynnöistä voi veloittaa.

Luovuta hänelle kaikki ne rekisterissäsi olevat tiedot, jotka hän on toimittanut sinulle. Sinun ei siis tarvitse toimittaa kysyjälle kaikkea rekisterissäsi olevaa informaatiota.Esimerkiksi itse kirjoittamasi arvio asiakkaasta tai tapaamisen kulusta ei kuulu luovutettaviin tietoihin.

Jos tietoihin halutaan muutoksia, tee se mahdollisimman pian.

Valmistaudu myös ilmoittamaan rekisteröidylle, keille hänen tietojansa on mahdollisesti luovutettu.

Tietoja ei tarvitse antaa, jos rekisteröity on jo saanut nämä tiedot tai jos tiedot ovat salassa pidettäviä. Tietoja ei myöskään tarvitse antaa, jos tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Jos henkilötietojen tallettamiseen ei ole tietosuoja-asetuksen mukaista perustetta, rekisteröidyllä on oikeus pyytää tietojensa hävittämistä. Mikäli tietoja tarvitaan palvelun toteuttamiseksi, niitä ei tarvitse poistaa.

Asetuksessa sanotaan, että jos liiketoimintasi keskeisenä osana on henkilötietojen laajamittainen, säännöllinen ja järjestelmällinen käsittely, tarvitset tietosuojavastaavan.

Pienyrittäjä tuskin kuitenkaan tarvitsee tietosuojavastaavaa, ellei henkilötietojenkäsittely ole laajamittaista tai jostain syystä käsittele arkaluonteisia tietoja.

Mutta, sen sijaan jokaisessa yrityksessä pitää olla "tietosuojasta vastaava" henkilö.

Terminologia on tässä tapauksessa valitettavan hämmentävää. Jos tietosuojasta vastaavaa ei erikseen nimetä, se on lähtökohtaisesti toimitusjohtaja. PK-yrityksessä siis käytännössä melkein aina toimitusjohtaja.

Tietosuojavastaava on yrityksen sisäinen asiantuntija tietosuoja-asioissa sekä yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle.

Tietosuojavastaava:

• varmistaa, että tietosuojasääntöjä noudetaan yrityksessä

• neuvoo ja tiedottaa tietosuojasääntöjen mukaisista velvollisuuksista yrityksen johdolle ja henkilötietoja käsitteleville työntekijöille

• antaa neuvoja tietosuojan vaikutustenarvioinnin (DPIA) aikana ja valvoo sen toteutusta

• toimii rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa

• tekee yhteistyötä valvontaviranomaisen kanssa ja toimii valvontaviranomaisen yhteyshenkilönä.

Jokaisessa yrityksessä täytyy miettiä, ketkä ovat vastuuhenkilöitä ja kuka on se, joka ilmoittaa tietosuojaviranomaiselle, kun tietoturvaloukkaus tapahtuu.

Asetus määrää, että tietomurroista on raportoitava 72 tunnin sisällä. Vakavissa tilanteissa myös rekisteröidyille on ilmoitettava tietoturvaloukkauksesta selkeästi ja ilman aiheetonta viivyttelyä.

Aikarajat ovat tiukkoja, joten sinun on hyvä suunnitella etukäteen, miten ilmoitus tehdään ja miten rekisteröidyille ilmoitetaan.

Ilmoituksen jälkeen viranomainen tutkii, kuinka hyvin yritykselläsi oli tietosuoja hoidettuna tietomurron aikana. Jos huolimattomuutta tai rikkomuksia esiintyy, viranomainen langettaa rangaistuksen, joka on suhteessa teon laajuuteen.