Tietosuojasta huolehtiminen on osa vastuullista liiketoimintaa
Toimitpa millä tahansa toimialalla, yksin tai työnantajana, yksityishenkilöitä tai yrityksiä palvellen – yksi asia on aivan varmaa: tietosuojalainsäädäntö koskee myös sinua. Monelle tämä on kerrassaan stressaava tieto. Tarkoittaahan se samalla myös lainsäädännön tuomia velvoitteita, viranomaisvalvontaa ja tarvetta ymmärtää velvoitteiden sisältö juuri oman yritystoiminnan näkökulmasta. Tietosuoja ja siitä huolehtiminen on kuitenkin nykypäivää ja keskeinen osa vastuullista liiketoimintaa.
Mitä on tietosuoja ja mitkä muut käsitteet ovat keskeisiä ymmärtää?
Tietosuoja on henkilötietojen suojaamista ja tietosuojalainsäädännön velvoitteilla pyritään turvaamaan, että henkilötietoja käsitellään asiallisesti ja turvallisesti. Terminä tietosuoja ja tietoturva menevät usein sekaisin – eikä ihme, koska kyseiset termit ovat molemmat olennaisia henkilötietojen suojaamisen kannalta. Tietoturva viittaa teknologisiin tapoihin varmistaa, että henkilötiedot pysyvät tallessa ja luottamuksellisina.
Henkilötietojen käsittelyä tapahtuu jokaisella yrityksessä, jossa on työntekijöitä tai asiakkaita. Työntekijöiden osalta henkilötietoja on välttämätöntä käsitellä muun muassa työnantajavelvoitteiden täyttämiseksi aina työsopimuksen laatimisesta palkanmaksuun ja esimerkiksi työterveyshuollon järjestämiseen. Yksinyrittäjä taas käsittelee henkilötietoja asiakkaidensa osalta: toimeksiantosopimuksen tekeminen, laskutuksen ja markkinoinnin hoitaminen edellyttävät, että yritys käsittelee henkilötietoja vähintään asiakkaan yhteyshenkilön nimen ja yhteystietojen osalta. Kaikki edellä kuvattu henkilötietojen käsittely on mahdollista niin kauan kuin sitä tehdään tietosuojalainsäädännön periaatteiden noudattamisesta ja velvoitteiden täyttämisestä huolehtien.
Miten lähteä laittamaan yrityksen tietosuoja-asioita kuntoon?
Kaiken konkreettisen toiminnan tulee lähteä ymmärryksestä eli tietoisuudesta sen osalta, mitkä tietosuojavelvoitteet koskevat juuri minun yritystäni ja miten velvoitteet tulee käytännön tasolla täyttää.
Moni yrittäjä lienee tietoinen tietosuojaselosteen olemassaolon ja asianmukaisen sisällön tärkeydestä, mutta asiassa ei voi edetä siten, että ensin tehdään tietosuojaseloste ja vasta sitten aletaan hankkimaan ymmärrystä yrityksen kannalta relevantista tietosuojalainsäädännöstä ja sen velvoitteista. Harmillisen usein yritysten nettisivuilta löytyvistä tietosuojaselosteista on aistittavissa, että tietosuojaselosteen tarkoitusta ei välttämättä ole täysin sisäistetty, mikä taas voi johtua puhtaasti siitä, ettei tietosuojaselosteen funktiota yhtenä tietosuoja-asetuksen mukaisen informointivelvoitteen täyttämistapana ole ymmärretty. Esimerkiksi markkinoinnin yhteydessä käsiteltyjen henkilötietojen käsittelyperuste on usein eri kuin esimerkiksi palkkahallinnossa. Tällöin myös henkilötietojen käsittely esimerkiksi henkilötietojen säilytysaikojen osalta on luonnollisesti aivan eri eikä näitä kahta toimintoa sovi niputtaa yhteen tietosuojaprosessien näkökulmasta tai tietosuojaselosteessa.
Ja mitä tietosuojaprosesseihin tulee, ne ovat äärimmäisen tärkeitä missä tahansa yrityksessä, jossa käsitellään henkilötietoja. Lyhytkin tietosuojaprosesseja kuvaava yhteenveto auttaa yrittäjää hahmottamaan omassa yritystoiminnassa keskeisessä roolissa olevat henkilötiedot, niiden käsittelyperusteet, säilytysajat, mahdolliset riskit sekä toimintamallit, joita yritys noudattaa esimerkiksi tilanteessa, jossa rekisteröity eli henkilötietojen kohteena oleva henkilö pyytää vaikkapa poistamaan häntä koskevat henkilötiedot yrityksen järjestelmistä. Kun yrittäjä on miettinyt ja kirjannut tietosuojaprosessit, on hänen vaivatonta ja nopeaa ottaa kantaa, onko rekisteröidyn pyyntö mahdollista toteuttaa vai edellyttääkö esimerkiksi kirjanpitolainsäädäntö poistetuksi pyydetyn tiedon säilyttämistä.
Niina Kosunen
Juristi, OTM, HTM
Lakitoimisto Kunnes Oy
www.lakitoimistokunnes.com
niina@lakitoimistokunnes.com
050 3675 311