Pk-yrityksen yleisimmät tietosuojavirheet

Kirjoittaja: Kati Virtanen

Pk-yrityksessä käsitellään henkilötietoja osana päivittäistä toimintaa. Tietoja kertyy asiakkaista, työntekijöistä, sopimuskumppaneista sekä yhteistyötahoista, ja niitä on tallennettuina esimerkiksi sähköposteihin, erilaisiin tiedostoihin ja järjestelmiin.

Monessa yrityksessä toimintatavat ovat muodostuneet ajan myötä ilman, että niissä on huomioitu tietosuojaa. Tällöin ei ole aina selvää, mitä tietoja käsitellään ja millä perusteella.

Yrityksen tulee kuitenkin täyttää tietosuojalainsäädännön, kuten GDPR:n (EU:n yleinen tietosuoja-asetus), vaatimukset. Puutteet voivat johtaa merkittäviin taloudellisiin seuraamuksiin.

Seuraavassa muutamia keskeisiä kohtia, joissa pk-yrityksillä on usein parannettavaa tietosuojan osalta.

Tietosuojaseloste puuttuu tai se ei vastaa toimintaa

GDPR edellyttää, että yritys kertoo, mitä henkilötietoja se käsittelee ja millä perusteella. Käytännössä tämä velvollisuus täytetään usein laatimalla tietosuojaseloste, jossa tiedot on koottu yhteen ja joka on yleensä saatavilla yrityksen verkkosivuilla.

Pk-yrityksissä tyypillisiä tilanteita kuitenkin ovat:

  • selostetta ei ole lainkaan

  • se on laadittu yleisellä mallipohjalla eikä vastaa omaa toimintaa

  • sitä ei ole päivitetty toiminnan muuttuessa

Tällöin yrityksellä ei ole selkeää ja ajantasaista kokonaiskuvaa henkilötietojen käsittelystä, eikä tietoa ole helposti saatavilla niille, joita käsittely koskee. Tämä vaikeuttaa merkittävästi yrityksen mahdollisuutta antaa GDPR:n edellyttämää asianmukaista informaatiota.

Työntekijöitä ja työnhakijoita ei informoida asianmukaisesti

Työntekijöiden ja työnhakijoiden henkilötietojen käsittely poikkeaa muusta asiakastiedon käsittelystä ja edellyttää erillistä tarkastelua. Yrityksen tulee antaa kummallekin taholle selkeä kuva siitä, miten heidän tietojaan käsitellään rekrytointivaiheessa sekä mahdollisen työsuhteen aikana.

Yleisiä puutteita pk-yrityksissä ovat:

  • työntekijöitä ei ole informoitu heidän tietojensa käsittelystä tai annettu kuvaus on puutteellinen

  • työnhakijoille ei ole annettu erillistä kuvausta heidän tietojensa käsittelystä

  • tietoja on annettu hajanaisesti tai vain pyydettäessä

Monessa yrityksessä nämä tiedot on tarkoituksenmukaista koota erillisiin kuvauksiin tai tietosuojaselosteisiin, jotka koskevat nimenomaan työntekijöitä ja työnhakijoita. Jos informointi puuttuu tai on epäselvää, yritys ei täytä tältä osin tietosuojaan liittyviä velvoitteitaan.

Tietojenkäsittelysopimukset palveluntarjoajien kanssa puuttuvat

Pk-yrityksissä käytetään erilaisia ulkopuolisia palveluntarjoajia, kuten verkkosivujen toteuttajia, markkinoinnin kumppaneita tai IT-tukea. Näissä toiminnoissa käsitellään myös henkilötietoja, vaikka sitä ei erikseen olisi tiedostettu.

Suurten toimijoiden kanssa tehdyissä sopimuksissa tietosuojaa koskevat ehdot ovat yleensä valmiina osana sopimuskokonaisuutta. Sen sijaan pienempien kumppaneiden kanssa henkilötietojen käsittelyyn liittyvät ehdot ja sopimukset puuttuvat monesti kokonaan.

Henkilötietojen käsittelystä on sovittava osapuolten kesken aina kirjallisesti silloin, kun toinen osapuoli käsittelee tietoja yrityksen puolesta. Jos kirjallista sopimusta ei ole, yritys rikkoo suoraan GDPR:n vaatimuksia.

Omissa sopimuksissa ja käytännöissä ei ole huomioitu tietosuojaa

Pk-yrityksissä tietosuojaan liittyvät kysymykset jäävät usein sivuun myös omia sopimuksia laadittaessa ja toimintatapoja määriteltäessä.

Käytännössä tämä näkyy esimerkiksi siten, että asiakas- ja yhteistyösopimuksissa ei ole huomioitu henkilötietojen käsittelyä tai vanhoja sopimuksia ei ole päivitetty vastaamaan nykyisiä käytäntöjä tai vaatimuksia.

Tällöin yrityksellä ei ole selkeää pohjaa sille, miten henkilötietoja käsitellään eri tilanteissa ja millä ehdoilla. Epäselvyydet tulevat esiin yleensä vasta tilanteissa, joissa toimintaa joudutaan arvioimaan, eikä niiden korjaaminen jälkikäteen ole aina mahdollista.

Tietosuoja edellyttää aktiivisia toimenpiteitä

Vastuu tietosuojasta on yrityksellä. Yrityksen on huolehdittava siitä, että henkilötietojen käsittely on lainmukaista, tarvittavat asiakirjat ovat kunnossa ja sopimukset vastaavat vaatimuksia.

Kun nämä asiat on käyty läpi ja saatettu ajan tasalle, toiminta on selkeämpää ja riskejä voidaan hallita paremmin. Asia kannattaa arvioida etukäteen sen sijaan, että sitä joudutaan selvittämään jälkikäteen.

Tietosuojaviranomainen valvoo ja tarkastelee yritysten toimintatapoja. Puutteista voi aiheutua hallinnollisia seuraamuksia, jotka voivat olla yrityksen kokoon ja rikkomuksen vakavuuteen nähden merkittäviä. Seuraamusmaksuja on määrätty myös Suomessa, ja ne ovat yksittäistapauksissa nousseet jopa satoihin tuhansiin euroihin.

Ota yhteyttä, jos yritykseltäsi puuttuu tietosuojaseloste tai tietojenkäsittelysopimukset, tai haluat varmistaa, että sopimukset, työntekijöiden informointi ja muut keskeiset tietosuoja-asiat ovat kunnossa.

Kati Virtanen
Seuraava

Huoneenvuokralakeihin keskeisiä muutoksia