Suurin osa suomalaisyrityksistä ei ole hoitanut tietosuoja-asioita kuntoon, kertoo tutkimus. Vaarassa on yrityksen maine ja pian uhkaavat myös isot sakot.
Teksti: Teppo Kuittinen
Elisan ja Suomen Yrittäjien syksyllä 2016 teettämän yrittäjätutkimuksen mukaan vain 45 prosenttia suomalaisyrityksistä käsittelee henkilötietoja järjestelmällisesti. Tämä on merkittävä riski sekä yrityksen maineelle että liiketoiminnalle.
“Yrityksissä olisi nyt hyvä pohtia, mitä tietoja kerätään, minkä takia ja millä perusteella. Lisäksi nyt on hyvä selvittää, missä tietoja säilytetään, kuinka pitkään ja onko kaikkea tietoa tarpeen kerätä”, lainopillinen asiamies Ville Kukkonen Suomen Yrittäjistä neuvoo.
“Jos yritys ei tarvitse jotain tietoa mihinkään, niin sitä ei ole järkevää säilöä vain säilömisen vuoksi. Varsinkin jos kyse henkilötiedoista”, Kukkonen huomauttaa.
Henkilötietojen suojaaminen on nyt erityisen ajankohtaista, sillä EU:n uusi tietosuoja-asetus astuu voimaan vajaan vuoden päästä eli toukokuussa 2018.
Tietosuoja-asetus tulee lisäämään yritysten hallinnollista taakkaa ja juridista riskejä. Asetus sisältää myös kovat sanktiot, jos tietosuoja-asiat ovat retuperällä. Pahimmillaan sakot voivat olla miljoonia, tai jopa kymmeniä miljoonia euroja.
Nyt onkin aika laittaa ainakin nämä viisi tietosuoja-asiaa kuntoon, Ville Kukkonen neuvoo pk-yrityksiä:
1. Selvitä mitä henkilötietoja yrityksesi kerää
Henkilötietoja ovat monet muutkin asiat kuin nimi, henkilötunnus ja yhteystiedot. Henkilötietoa kertyy yritykselle monella eri tapaa. Esimerkiksi yrityksen nettisivut keräävät paljon tietoa kävijöistä. Henkilöstä voi tulla tunnistettava esimerkiksi sijaintitiedon ja verkkotunnistetietojen perusteella sekä tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
EU:n tietosuoja-asetus koskee myös työntekijöiden henkilötietoja. Tietosuoja-asetus antaa kuitenkin jäsenvaltioille mahdollisuuden säätää yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä. Tässä vaiheessa on vielä epäselvää, millä tavalla tätä mahdollisuutta hyödynnetään Suomessa.
2. Käy läpi, miten henkilötietoja säilytetään
Kun olet selvittänyt, mitä kaikkea henkilötietoa yrityksesi kerää, selvitä henkilötietojen säilyttämisen menetelmät. Missä, miten ja kuinka pitkään asiakkaiden sekä työntekijöiden henkilötietoja säilytetään?
Ota huomioon, että jo nykyinen henkilötietolaki vaatii näiden asioiden selvittämistä. Asiakkailla on esimerkiksi jo nykyisin oikeus tarkistaa, mitä henkilötietoja hänestä on talletettu yrityksen järjestelmiin. Miten olet varautunut, jos yksittäinen asiakas pyytää saada tietää, mitä henkilötietoja yrityksesi on hänestä kerännyt ja tallettanut?
3. Huolehdi tietoturva-asiat kuntoon
Maailmalta kantautuu jatkuvasti uutisia, kuinka yksittäisen yrityksen tietojärjestelmään on murtauduttu ja yrityksen asiakkaiden henkilötietoja on päätynyt vääriin käsiin. Huolehdi että yrityksesi säilyttämät henkilötiedot ovat varmasti suojattu tietomurroilta ja -vuodoilta. Hyvä tietoturva on myös hyvää tietosuojaa.
4. Lopeta turhan tiedon kerääminen
EU:n uusi tietosuoja-asetus vaatii, että henkilötietoja on luvallista kerätä ainoastaan siinä laajuudessa, joka on kyseistä tarkoitusta varten tarkoituksenmukaista.
Kun tehdään vaikkapa nettiajanvaraus parturiin, käytettävä sovellus saattaa usein automaattisesti kerätä varaajan päätelaitteelta muutakin itse varauksen kannalta täysin epäolennaista tietoa. Tietojen minimoinnin vaatimus ei tällöin täyty, joten menettely on asetuksen vastaista.
5. Dokumentoi ja suunnittele
Dokumentoi tarkasti kaikki yrityksesi nykyiset tavat kerätä ja säilöä henkilötietoja. Aloita varautuminen EU:n tietosuoja-asetuksen voimaantuloon.
Uusi asetus muun muassa vaatii, että mahdollisista henkilötietovuodoista tulee ilmoittaa hyvin nopeasti sekä viranomaisille että tietosuojaloukkauksen kohteeksi joutuneille henkilöille. Yrityksellä tulee olla alle kahden vuoden päästä dokumentoidut suunnitelmat tällaisten tilanteiden varalle.
Lisätietoa tutkimuksesta:
- Kyselytutkimukseen vastasi 730 yrittäjää, joista 632 kuului Suomen Yrittäjien jäsenrekisteriin
- Tutkitut yritykset työllistävät 1-50 henkeä
- Tutkimuksen aiheisto kerättiin elo-syyskuussa 2016
- Elisa Oyj:n ja Suomen Yrittäjien tilaaman tutkimuksen toteutti Prior Konsultointi Oy
Lue myös
Tietoturva nousee yritysjohdon pöydälle
Blogi: Liiketoimintatiedot turvaan Microsoftin pilvipalveluiden avulla