EU:n tietosuoja-asetus
Tiedätkö mikä on GDPR? Ei hätää jos et, mutta nyt olisi tärkeää ottaa selvää ja ryhtyä toimiin! Varmaa on että asetus on hyväksytty vuosi sitten ja sen siirtymäaika päättyy 25.5.2018, jolloin kaiken tulee olla valmista. Ei riitä, että olet yrittänyt noudattaa asetusta vaan toimenpiteet tulee pystyä konkreettisesti näyttämään. Rikkeen sanktio voi olla 4% liikevaihdosta.
Lyhykäisyydessään kyseessä on EU:n tietosuoja-asetus, joka koskee henkilötietojen käsittelyä. Tämä asetus tulee korvaamaan Suomessa nykyisin noudatettua henkilötietolakia ja tarkoituksena on yhtenäistää henkilötietojen käsittelyä EU:n alueella.
Tietosuoja-asetus koskee melkeinpä kaikkia yrittäjiä. Jos yritykselläsi on palkansaajia, laskutat tai markkinoit yksityisiä henkilöitä, yritysrekisterissä on henkilöiden nimiä tai tietoja. Sähköpostin tai puhelimen puhelinluettelokin voidaan laskea rekisteriksi. Se taho, joka kerää näitä tietoja johonkin lainmukaiseen käyttötarkoitukseen on rekisterinpitäjä. Ja se, joka niitä käyttää johonkin tarkoitukseen on tietojen käsittelijä. Yrityksellä eli rekisterinpitäjällä on aina vastuu rekistereistä ja vastuuta ei pysty ulkoistamaan.
Lähtökohta on, että tietoja saa käyttää vain siihen tarkoitukseen kuin ne on alun perin kerätty ja vain ne henkilöt, joiden työtehtäviin käsittely kuuluu. Luonnollisen henkilön tulee saada tietää mitä tietoja hänestä on rekisteriin kerätty, kuka niitä käsittelee ja mihin tarkoitukseen. Tiedot tulee pystyä vaivattomasti myös poistamaan rekisteristä kun niiden käyttötarve lakkaa. Kuitenkin niin, että esimerkiksi kirjanpito- tai palkka-aineiston säilytysajat otetaan huomioon.
Tilitoimistolla isoin rekisteri on palkanlaskennan puolella niiden yrityksien kohdalla, joiden palkkahallintoa hoidetaan meillä. Mutta myös perinteisten kirjanpitoasiakkaiden materiaalissa voi olla aineistoa, joka luokitellaan asetuksen piiriin. Tulemme tiedottamaan asiakkaitamme uudistuksesta pitkin kevättä ja laadimme rekisterinpitäjän- ja käsittelijän selosteita yhdessä asiakkaiden kanssa. On tärkeää kuitenkin muistaa, että yrityksellä on todennäköisesti paljon muitakin rekistereitä kuin palkkahallinto tai kirjanpitoon liittyviä, jotka tulee käydä läpi ja laatia selosteet.
Aikaa asetuksen voimaantuloon ei ole enää kauaa, joten toimiin kannattaa alkaa heti. Miettikää mitä tietoja teidän yrityksessä kerätään, miksi niitä kerätään, kuka niihin pääsee käsiksi ja mihin tietoja luovutetaan. Internet on täynnä tietoja asetuksesta ja erilaisia koulutuksia järjestetään esimerkiksi yrittäjäyhdistyksien kautta, joihin kannattaa osallistua.
Kysyin viime viikolla Oululaisessa yrittäjäryhmässä miten olette valmistautuneet GDPR:ään. En saanut yhdeltäkään yrittäjältä vastausta asiaan…