Ai niin, GDPR! Unohtuiko osallistujalista pöydän kulmalle?

16.8.2018
EU:n tietosuoja-asetuksen siirtymäaika päättyi viime toukokuussa, ja huolimatta suuresta hälystä asetuksen ympärillä, on siirtymäajan jälkeinen aika sujunut toistaiseksi rauhallisesti. Yrittäjän ei kuitenkaan kannata levätä laakereillaan, jos tietosuojaan liittyvät toimet ovat yrityksessä rajoittuneet vain tietosuojaselosteen laatimiseen.

Tietosuojan huomioivat käytännöt on hyvä heti alusta alkaen omaksua ja toimia niiden mukaan, jotta mahdolliset sanktiot ja ei-toivotut seuraukset eivät yllätä. Vaikka vakuutusyhtiöt ovatkin alkaneet tarjota vakuutusta tietosuoja-asetuksen perusteella maksettavien vahingonkorvausten kattamiseksi, imagohaitat voivat usein olla jopa suuremmat kuin taloudelliset seuraamukset. 

Tietosuoja-asetus velvoittaa yritystä osoittamaan, että se kykenee noudattamaan asetusta myös käytännössä. Noudattamisen osoittaminen voi olla hankalaa, jos pomon pöydällä on kolme vuotta vanhoja työhakemuksia tai viime vuotisten pikkujoulujen osallistujalista, vaikka käsittelytoimia koskeva seloste väittäisi muuta. 

Imagohaitat voivat olla jopa suuremmat kuin taloudelliset seuraamukset.

Mikäli henkilötietoja on tarpeen säilyttää lakisääteisistä velvoitteista johtuen, täytyy ne säilyttää asianmukaisesti. Lukitsemattomassa huoneessa tai rekan nupissa säilyttäminen ei taatusti täytä tietosuoja-asetuksen asettamia edellytyksiä, vaan rekisteriin pääsy täytyy olla ainoastaan sen käyttöön oikeutetuilla henkilöillä, ei koko henkilökunnalla. 

Yksittäinen henkilötietoja sisältävä paperi ei kuitenkaan automaattisesti tarkoita, että sen käsittelemiseen sovellettaisiin tietosuoja-asetusta. Merkitystä on sillä, onko paperi osa jotakin rekisteriä, esimerkiksi työhakemus osa työnhakijarekisteriä. Vaikka yksittäinen henkilötietoja sisältävä paperi ei muodostaisikaan tietosuoja-asetuksen mukaista rekisteriä, täytyy se silti hävittää asianmukaisesti.

Useat yritykset lähettivät tietojenkäsittelysopimuksia sopimuskumppaneilleen, jotta tietosuoja-asetuksen asettamat velvoitteet tulevat täytetyksi. Kuljetusyritys on todennäköisesti ja toivottavastikin solminut tietojenkäsittelysopimuksen esimerkiksi digipiirturitietojen tallentamiseen liittyen, mikäli palvelu on ulkoistettu palveluntarjoajalle. Muistithan lukea sopimuksen läpi ennen allekirjoittamista! Jos alihankkijana työskentelevältä kuljetusyritykseltä edellytetään, että he luovuttavat tietoja kuljettajista asiakasyritykselleen, tulee molemmista yrityksistä rekisterinpitäjiä, jolloin he huolehtivat tietosuoja-asetuksen mukaisesti toimimisesta tahoillaan. Tietojen minimoinnin periaatteesta johtuen asiakasyrityksen ei pitäisi kerätä kuljettajista enempää tietoa kuin asian suhteen on välttämätöntä.

Ylivarovaisuus on pienempi paha.

Joskus sopimuskumppaneiden käsitykset rooleista eroavat, joten kannattaa pysyä tiukkana, mikäli esimerkiksi rekisterinpitäjänä toimiva sopimuksen laatija yrittää sälyttää velvollisuuksiaan käsittelijälle. Jotta velvollisuutensa tietää, kannattaa ensin selvittää, onko rooli rekisterinpitäjänä vai -käsittelijänä. Nyrkkisäännön mukaisesti rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot, ja rekisterinkäsittelijä ainoastaan käsittelee rekisterin sisältämiä tietoja toisen lukuun.

Mikäli jokin menettelytapa, käytäntö tai muu toimi herättää epäilyksiä tietosuojaan liittyen, kannattaa olla ennemmin ylivarovainen kuin piittaamaton. Henkilötiedot eivät kuulu missään tilanteessa roskalavalle, vaan turvallisesti talteen ylimääräisiltä silmäpareilta tai tarpeettomana silppuriin. Tietosuoja-asiat eivät ole rakettitiedettä, ja yrittäjä pääsee pitkälle toimiessaan tolkun mukaisesti.

SKAL-jäsenyrittäjät saavat GDPR-opastusta asiantuntijapalveluista, puhelin 09 478 999.

 

Kommentit (0 kpl)

 

Plain text

  • HTML-merkit ovat kiellettyjä.
  • Www-osoitteet ja email-osoitteet muutetaan automaattisesti linkeiksi.
  • Rivit ja kappaleet päätetään automaattisesti.
CAPTCHA
This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.
Eveliina Hokkanen
Eveliina Hokkanen

Kirjoittaja on Suomen Kuljetus ja Logistiikka SKAL ry:n lakimies. 

Muita blogimerkintöjä

Mikko Voutilainen
Jari Harju

Yhteistyössä jäsentemme hyväksi: