Uutinen
Ota tietosuoja-asetus haltuun – vaikuttaa myös palkkatietojen toimittamiseen
Yrityksillä on oltava perusteltu syy henkilötietojen säilyttämiselle. Tiedot on myös pidettävä turvassa.
Tietosuoja-asetuksesta puhutaan paljon eikä turhaan. Se koskettaa kaikkia yrityksiä, ja tietää niille paljon tekemistä. Yksinkertaisimmillaan se vaikuttaa esimerkiksi siihen, mitä tietoja yrityksen sähköpostilla voi lähettää.
Administerin palkkapuolen järjestelmäasiantuntijan Janne Järvenkylän mukaan sähköpostilla ei pitäisi jatkossa lähettää esimerkiksi sairaus-, ulosotto- tai ammattiyhdistystietoja. Nämä tiedot on määritelty erityisen arkaluonteisiksi ja siksi niitä suojataan tiukasti.
EU:n tietosuoja-asetus lisää yritysten vastuuta henkilötietojen käsittelystä ja laajentaa yksityishenkilöiden oikeuksia saada tietää heistä kerätyistä tiedoista.
Asetus vaikuttaa muun muassa palkkatietojen toimittamiseen. Järvenkylä kertoo, ettei Administer lähetä niitä enää pian sähköpostilla. Jatkossa tiedot toimitetaan ja niitä käsitellään eFina-ohjelmistossa.
”Silloin on selkeämmin koko ajan tiedossa, miten tietoja käsitellään.”
Asiakkaille tiedotetaan muutoksista, kun ne ovat ajankohtaisia.
Tiedoille oltava perusteltu syy
Yritysten on kiinnitettävä huomiota siihen, miten henkilötietoja esimerkiksi siirretään, tallennetaan tai poistetaan, ketkä niihin pääsevät käsiksi ja missä niitä säilytetään. Aivan ensiksi pitää tietää, mitä kaikkia henkilötietoja yrityksellä ylipäänsä on.
”Työntekijöistä ei voi kerätä tietoja huvikseen. Kaiken tiedon keräämiselle ja säilyttämiselle pitää olla perusteltu syy. Jos sellaista ei ole eikä vanhoille tiedoille ole lain mukaan arkistointivelvollisuutta, ne pitäisi poistaa”, Janne Järvenkylä sanoo.
Administerin tietohallintopäällikön Juho Mustakallion mukaan tietosuoja-asetus edellyttää yrityksiltä muun muassa dokumentointia, viestintäsuunnitelmia, sopimusten päivittämistä ja muutoksia it-järjestelmiin. Yritysten pitää pystyä jatkossa todistamaan, että ne toimivat asetuksen vaatimusten mukaisesti.
”Ei riitä, että sanoo tehneensä vaan pitää olla paperit osoittamassa se.”
Yritysten on huolehdittava paitsi omista käytännöistään, myös siitä, että kumppanit ovat ajan tasalla. Mustakallio kehottaa yrityksiä päivittämään asiakas- ja alihankintasopimuksensa ja varmistamaan, että esimerkiksi palveluntarjoaja todella toimii sopimuksen mukaan.
”Asetus koskettaa yhtä lailla meidän pieniäkin asiakkaita. Vaikka hoidamme asiamme kuntoon, asiakkaiden pitää hoitaa oma osuutensa.”
Mustakallio näkee yhdeksi tietosuoja-asetuksen eduista kirjavan lainsäädännön yhtenäistymisen koko EU:ssa. Se tekee hänen mukaansa palvelujen ostamisesta aiempaa turvallisempaa.
Iso maineriski
”Tietomurtojen määrä ja niiden vaikuttavuus ovat kasvaneet joka vuosi. Maailmalla on koko ajan isoja tietomurtoja, ja miljooniakin henkilötietoja päätyy vääriin käsiin. Se on ongelma kaikissa maissa ja samaa arkea myös Suomessa”, Mustakallio avaa tietosuoja-asetuksen taustoja.
Yrityksillä on vastuu hoitaa tietoturva kuntoon. Tietosuoja-asetus pyrkii osaltaan varmistamaan tämän toteutumisen. Jos sitä ei noudata, voi tiedossa olla isokin rahallinen sanktio. Mustakallio pitää maineen menettämistä jopa isompana riskinä.
”Uutisiin päätyy aika nopeasti”, hän huomauttaa.
Yritysten on oltava jatkossa nykyistä avoimempia. Tietoturvaloukkauksesta tai sen epäilystä pitää ilmoittaa viranomaisille ja asianosaisille rekisteröidyille henkilöille.
Keväällä 2016 voimaan tulleen tietosuoja-asetuksen siirtymäaika päättyy ensi toukokuussa.
”Haaste on, että ensi toukokuu tulee tosi nopeasti. Oleellista on, että asetus on huomioitu ja tärkeimmät asiat ovat silloin kunnossa”, Mustakallio korostaa.
Huomioi ainakin nämä
- Tarkastele yrityksesi liiketoimintaa: Mitä henkilötietoja käsitellään ja missä? Kuka niitä käsittelee ja miten? Kenellä kaikilla on oikeus nähdä ja käsitellä tietoja? Mitä henkilötietoja yrityksellä ylipäänsä on ja onko kaiken säilyttämiselle perusteltu syy?
- Hanki ulkopuolista apua. Ulkopuolinen asiantuntija auttaa kartoituksessa ja dokumentaatiossa. Tietosuoja-asetus voi edellyttää muun muassa asiakassopimusten ja it-järjestelmien päivittämistä.
- Seuraa tiedottamista. Suomessa vielä valmistellaan EU:n tietosuoja-asetuksen ja tietosuojadirektiivin kansallista täytäntöönpanoa. Siksi kannattaa seurata viranomaisten ajankohtaista tiedottamista. Myös oma liitto osaa todennäköisesti auttaa.
- Sitoudu muutokseen. Yrityksen johdon on sitouduttava huolehtimaan tietoturvasta ja tietosuojasta. Sen jälkeen on sitoutettava henkilöstö. Laadi ohjeet, miten henkilötietoja käsitellään ja kouluta henkilöstöä.
- Toimi nyt. Vie viestiä eteenpäin yrityksessä ja ala tehdä asialle jotain. Vuoden 2018 toukokuu tulee yllättävän äkkiä. Jokaisen yrityksen on syytä tehdä tietosuoja-asetuksen vaatimia muutoksia.