krea_logo_vert_border

GDPR – Mitä siitä pitää vähintään tietää

EU:n tietosuoja-asetus GDPR on jo astunut voimaan. Asetus vaatii huolellista henkilötietojen käsittelyä ja säilytystä. Viimeistään nyt on aika tarkistaa yrityksen tai yhteisön käytännöt.

Osa krealaisista työllistyy pienyrityksiin, jolloin heidän on markkinoinnin ja viestinnän lisäksi osattava hoitaa ihan kaikkia yritystoimintaan liittyviä tehtäviä. Esittelemme alla tärkeimpiä muistettavia asioita liittyen GDPR:n soveltamiseen.

Tarkista henkilötietoja sisältävät listat ja niiden säilytysperusteet

Turhat henkilötietoja sisältävät listat tulee poistaa. Jokainen rekisterinpitäjä arvioi kuitenkin itse, mitkä tiedot ovat relevantteja. 

Yleensä asiakasrekisterit eivät sisällä kovinkaan arkaluontoisia henkilötietoja, joten niiden suhteen ei todennäköisesti tarvitse tehdä isoja toimenpiteitä. Tiedot kannattaa kuitenkin käydä läpi. Ja onhan asiakasrekisterin käyttäjähallinnalla merkitystä myös liikesalaisuuksien turvallisuuden näkökulmasta.

Tietotilinpäätös suositellaan tehtäväksi. Tämä tarkoittaa tiivistetysti sitä, että kirjataan ylös, mitä tietoja yritys kerää, kuka niitä hallinnoi, miten tietoturvasta huolehditaan ja mitkä ovat henkilötietojen käsittelyn oikeusperusteet.

Kerää vain yritystoiminnan kannalta oleellista henkilötietoa

Mikäli yrityksen keräämissä henkilötiedoissa ei ole arkaluontoista tietoa kuten terveystietoa, asetuksen käyttöönotto ei välttämättä muuta kovin oleellisesti tietojenkäsittelyä, jos tähänkin asti henkilötietoja on käsitelty asianmukaisesti. Kannattaa kuitenkin tarkastaa käytännöt ja poistaa esimerkiksi sosiaaliturvatunnukset, jos niitä on tarpeettomasti kerätty.

Yritystoiminnan kannalta oleellisia tietoja voivat olla esimerkiksi nimi, titteli, sähköposti ja puhelinnumero. Tietojen suojaamisesta on myös huolehdittava aina tietojen keruusta tietojen tuhoamiseen asti. Pienyrittäjän tulee siis muistaa, että suppeastakin asiakasrekisteristä on oltava tietosuojaseloste ja huolehdittava sen ylläpidosta.

Palkanlaskennan aineistojen lakisääteinen säilytysaika on kuusi tai kymmenen vuotta. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää kuusi vuotta. Ne on hävitettävä säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta.

Tietosuoja.fi -sivuilta saat ladattua lomakkeen, jonka avulla yrittäjä voi tehdä tietosuojaselosteen. Seloste on tehtävä jokaisesta henkilörekisteristä, joita yrityksellä on. Selosteesta on käytävä ilmi muun muassa, miten rekisterissä olevalla henkilöllä on oikeus tarkastaa tietonsa ja vaatia tiedon korjaamista.

Lisätietoa:

EU:n tietosuojauudistus

Jaa artikkeli: