EU:N TIETOSUOJA-ASETUS ELI GDPR
EU:n tietosuoja-asetus eli GDPR (= General Data Protection Regulation) tulee voimaan perjantaina 25.5.2018. Olet saattanut saada erilaisten palveluiden tarjoajilta (Facebook, Twitter, LinkedIn, Microsoft) ilmoituksia asiaan liittyen.
GDPR ei kuitenkaan koske pelkästään kansainvälisiä suuryrityksiä, vaan saattaa vaikuttaa aivan tavallisen suomalaisen nyrkkipajan arkeen. Helpottaaksemme pk-yrityksiä uusien velvotteiden kanssa kokosimme lyhyen ohjelistan:
- Arkistoi työntekijöiden lääkärintodistukset, ulosottodokumentaatio, AY-jäsenyystiedot ja
vastaavat omaan mappiinsa lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka
käyttöoikeudet on rajattu. - Harkitse, mitä tietoja voit lähettää suojaamattomassa sähköpostissa. Hyvin
monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia
sovelluksia sähköpostin sisällön suojaamisen. - Laadi ohjeet henkilötietojen käsittelyyn ja kouluta henkilöstö. Muista arkijärki siinä, mikä
on oikeasti arkaluontoista. - Muista, että jos et ole sopinut tilitoimistosi kanssa toisin, työntekijäsi eivät saa kysellä palkka-asioitaan suoraan sieltä.
Tilitoimistolla ei yleensä ole mahdollisuutta tunnistaa kyselijää luotettavasti. - Asiakasrekisteriinne rekisteröidyillä henkilöillä, samoin kuin työntekijöillänne, on oikeus
tarkastaa omat tietonsa ja korjauttaa virheet. Mieti menettely, jolla kysyjä (esimerkiksi
asiakkaan henkilö) tunnistetaan ja miten tiedot annetaan. - Hävitä aineistot, kun ne eivät enää ole tarpeen. Palkanlaskennan aineistojen lakisääteinen
säilytysaika on 6 tai 10 vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja
saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne
tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää
lakisääteistä tai muuta perustetta.
TIETOSUOJA-ASETUKSEEN LIITTYVIÄ KÄSITTEITÄ
- Rekisteröity tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka
henkilötiedot ovat käsittelyn kohteena.
Tietosuoja-asetus ei siis säätele esimerkiksi yrityksen
asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta. - Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on
suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen
arkaluontoiseksi. Esimerkkinä voidaan mainita ihmisen terveystiedot ja ay-jäsenyystiedot. - Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa.
Tietokantojen lisäksi esimerkiksi Excel-taulukko voi siis muodostaa rekisterin.
Tyypillisiä rekistereitä pk-yrityksissäovat asiakasrekisteri
sekä työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin. - Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin
tai yhdessä toistenkanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Pk-yritys on työntekijärekisterinsä pitäjä, vaikka palkanlaskenta olisikin ulkoistettu tilitoimistolle ja vaikka tilitoimisto hoitaisi rekisterin tietojen ylläpidon
ja käyttäisi rekisteriä palkanlaskennan hoitoon. - Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Esimerkiksi tilitoimisto, joka käsittelee asiakkaiden
työntekijöiden tietoja laskeakseen palkat, on henkilötietojen käsittelijä. - Riskiperusteisuus tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on.
Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja
sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto
asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairaspoissaolojen suuresta määrästä.
