Takaisin

Rekisterinpitäjä, muista nämä viisi asiaa GDPR-asetuksessa

GDPR-asetus vie suuren osan markkinoinnin parissa työskentelevien työajasta toukokuussa.

Varatuomari Pekka Pulli, asianajotoimisto Rödl & Partnersilta, koulutti aamiaisseminaarin vieraitamme GDPR-asetuksesta. Tunnin aikana käytiin vilkasta keskustelua siitä, miten GDPR käytännössä vaikuttaa siihen miten markkinointia ja seurantaa yrityksissä tehdään.

GDPR ja termit haltuun

Henkilötiedolla tarkoitetaan kaikkea tunnistettuun tai tunnistettavissa olevaan yksityishenkilöön (luonnolliseen henkilöön) liittyvää tietoa. Tämä ei koske yrityksiä eikä yhteisöjä.

Rekisterinpitäjä on toimija, joka määrittelee henkilötiedon käsittelyn tarkoitukset ja keinot.

Henkilötiedon käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Esimerkiksi ulkoistettu palkkahallinto.

Hoida nämä viisi GDPR-asetukseen liittyvää asiaa kuntoon 25.5.2018 mennessä

1. Jokainen yritys on tilivelvollinen siitä, miten käsittelee henkilötietoja. Eli yrityksellä täytyy olla dokumentoitu käsittelyseloste ja rekisteriseloste. Kannattaa tutustua Tietosuojavaltuutetun sivuihin, www.tietosuoja.fi. Sieltä löytyy ohjeet.

2. Muista tehdä tarvittavat sopimukset henkilötietojen käsittelijän kanssa, kun ulkoistat tiedon käsittelyn yrityksesi ulkopuolelle.

3. Varmista ja dokumentoi prosessit ja järjestelmät niin, että käsittelylle on aina esimerkiksi oikeusperuste, suostumus tai sopimus. Muista myös, että alle 13- ja 16-vuotiailta pitää pyytää vanhempien suostumus.

4. Prosessien ja järjestelmien varmistaminen ja dokumentointi niin, että rekisteröityjen oikeuksien toteuttaminen ja tietovuotojen hallinta ja ilmoittaminen on asetuksen säännösten mukainen.

5. Käsittelyselosteiden eli eri käsittelytilanteiden dokumentoinnin laadinta. Jos yrityksessä on alle 250 työntekijää, tätä ei tarvita paitsi jos käsittely on säännönmukaista.

Lisävinkit

Nimeä yrityksesi tai yhteisösi tietosuojavastuullinen. Se voi olla joko henkilö tai ryhmä. Jokaisessa yrityksessä, pienessä ja suuressa, täytyy olla nimetty henkilö, joka tietää mitä tapahtuu nyt ja seuraavaksi. Verkko-osoite www.tietosuoja.fi on hyvä
lisätä kirjanmerkkeihin. Sinne päivittyy uusin tieto GDPR-asetuksesta.

Muista, että tietosuoja ei ole projekti vaan jatkuva prosessi. Se on sisäänrakennettu toiminto yrityksessä. Tiedonkäsittely tulisi nähdä yrityksissä  sisäänrakennettuna tapana toimia. Eli tietosuoja pitää ottaa mukaan toimintoihin. Aloita nykytilakartoituksesta eli selvitä mitä tietoja käsitellään ja missä.

Hallitse keskeiset tietosuojaperiaatteet ja vie ne käytäntöön. Eli tunnista mikä käyttötarkoitus tiedolla on, minimoi tiedon määrä ja säilytysaika ja rajoita pääsy tietoon vain niille, joiden työtehtäviin tieto liittyy.

Haluatko mukaan aamiaisseminaari-listallemme? Laita viestiä info@redland.fi