Yleisimmät henkilörekisterit kannattaa selvittää ja käydä läpi viipymättä, jos teillä ei ole vielä näin tehty. Tiedätkö vastaukset esimerkiksi näihin kysymyksiin:
- minne henkilötietoja tallennetaan
- kuka niitä käsittelee, miten ja kuinka kauan
- mikä on käsittelyperuste ja miksi
- kenellä muulla on pääsy henkilötietoihin, miksi ja kuinka kauan
- milloin henkilötieto poistetaan, kuka hoitaa ja miten
- mihin henkilötiedot saa siirtää ja millä perusteella, miten pitkäksi aikaa
- saadaanko henkilötieto poistettua kokonaan tai pseudonymisoitua
- kuka raportoi viranomaiselle, jos henkilötiedot vuotavat teiltä.
Etenkin arkaluontoisen henkilötiedon käsittelyssä tietojen muokkaus ja katselu on todennettava lokitiedoilla ja rajatusti - tai siitä voi seurata poliisitutkinta. Esimerkiksi ammattiliitto- ja jäsenmaksut, terveystiedot, seksuaalinen suuntautuminen ja sosiaalihuolto ovat arkaluontoisia henkilötietoja.
Alaikäisten henkilötietojen käsittelyyn tarvitaan huoltajan lupa niin kuin ennenkin.
Vaikka henkilö toimisi yrityksen puolesta, on kyse henkilötiedoista, kun tallennetaan henkilön nimi ja hänen yhteystietonsa. Esimerkiksi vaihteen numero ei ole yksilöivä henkilötieto, mutta vaikkapa toimitusjohtajan, hankintajohtajan, myyntipäällikön yhteystiedot ovat.
Miksi nyt?
Tämän vuoden toukokuussa on pystyttävä vastaamaan EU:n tietosuoja-asetuksen mukaisesti erilaisiin henkilötietoja koskeviin pyyntöihin. Uutta on myös tiukennettu velvollisuus dokumentoida, miten tietoja käsitellään. On tiedettävä käsittelyperuste.
Jotta asiat saadaan kuntoon, resursoi tietosuojavastaava. Ei vain nimellinen henkilö, vaan henkilö, joka oikeasti ottaa asiakseen yhtiönne GDPR-asiat. Tavoitteena on, että organisaationne käsittelee henkilötietoja oikein ja käsittelytavat on määritelty kirjallisesti. Muutos on pysyvä: Ei määräaikainen projekti, joka päättyy toukokuussa.
Käy tutustumassa tietosuojavaltuutetun sivustoon. Käy läpi henkilötietorekisterinne ja tunnista, oletteko rekisterinpitäjä vai henkilötietojen käsittelijä. Arvioi toimintanne tietosuojariskit, koska toimintanne perustuu yhtiönne johdon hyväksymään riskiarviointiin. Laita tietosuojaselosteet kuntoon.
- Meidän pitää osoittaa, että toimimme asianmukaisesti. Näyttötaakka on rekisterinpitäjällä, Ilkka Vuorenmaa muistutti KPMG:n GDPR-koulutuksessa.
GDPR on pakko huomioida!
Henkilötietojen käsittely tulee laittaa yhtiössä kuin yhtiössä kuntoon. EU:n tietosuoja-asetus ei ole vain isoja suuryhtiöitä koskeva tietosuoja-asetus. Se koskee meitä kaikkia yrittäjiä ja organisaatioita koosta riippumatta.
Lainsäätäjän remminä ovat vahingonkorvausvelvollisuus, hallinnollinen sakko ja muut valvontaviranomaisten määräämät seuraamukset - sekä rikosoikeudellinen vastuu.
Jos homma menee pieleen, tietovuotoilmoitus on lakisääteinen ja tehtävä viranomaiselle.