Jos yrityksesi tai järjestösi kerää asiakastietoja vaikkapa uutiskirjettä tai tuotemarkkinointia varten, voit joutua muuttamaan tietojen keruuta ja varastointia.

EU:n tietosuojauudistus Tulee sovellettavaksi 25. toukokuuta.

Kuluttaja saa uudella EU-direktiivillä päättää paremmin siitä, mihin hänen tietojaan käytetään.

Yritysten, järjestöjen ja viranomaisten pitää todistaa, mitä tietoja ne käyttäjistä keräävät ja mihin tarkoitukseen.

Tietosuojarikkomuksista voidaan jatkossa antaa paitsi huomautuksia, myös korkeita sakkoja.

EU:n tietosuoja-asetusta tarkennetaan Suomessa uudella tietosuojalailla, jonka hallitus esitteli eduskunnalle maaliskuun alussa.

Toukokuun 25. päivä alkaen EU:n yleinen tietosuoja-asetus tulee sovellettavaksi kaikille, niin niille yrityksille, järjestöille kuin viranomaisillekin, jotka käsittelevät EU-kansalaisten dataa.

Yhteisöt joutuvat ennen kaikkea paitsi miettimään, mitä tietoja ne keräävät ja mihin tarkoitukseen, myös jatkossa osoittamaan, että tietoja säilytetään vastuullisesti. Käyttäjälle annetaan lisäksi mahdollisuus päättää siitä, miten hänen tietojaan käytetään.

Mikko Ilomäki, toimitusjohtaja, Isolta Oy. Ronnie Holmberg / Yle

Pienessäkin yrityksessä kertyy paljon henkilötietoja

Helsinkiläisessä Isolta-laskutuspalvelussa tietosuojauudistukseen on perehdytty jo pitkään.

– Tietosuojauudistuksella tulee uusia velvoitteita yrityksille. Asiakas voi pyytää saada nähdä kaikki tiedot, jotka hänestä on tallennettu, ja hän voi pyytää poistamaan ne, toimitusjohtaja Mikko Ilomäki kertoo.

Pienessäkin yrityksessä henkilötietoja kertyy useasta eri lähteestä: asiakasrekisterit, henkilöstön tiedot ja yritykseen tulevat työhakemukset ovat vain muutamia esimerkkejä.

Kaikista tietokannoista pitää yrityksessä löytää dokumentointi, miten käsitellään ja milloin ne poistetaan, Ilomäki opastaa. Isolta on hakenut neuvoa asianajotoimistoilta ja kouluttanut henkilöstöään asetuksen sisällöstä.

– Olemme tehneet strategisen valinnan, että haluamme olla tässä tiennäyttäjänä ja toimia tukena meidän asiakkaillemme.

Minna Karvinen, varainhankinnan apulaisjohtaja, Unicef. Ronnie Holmberg / Yle

Henkilötietoja voi kertyä useaan eri rekisteriin

Henkilötiedoiksi lasketaan kaikki tiedot, joista yksittäinen ihminen on tunnistettavissa, kuten sähköpostiosoite, puhelinnumero, osoite tai luottotiedot. Niitä voivat olla myös sijaintia tai verkkokäyttäytymistä koskevat tiedot.

Lasten oikeuksia ajavan Unicef-järjestön tuloista 94 prosenttia tulee yksityishenkilöiltä. Varainhankinnan apulaisjohtaja Minna Karvinen kertoo, että tietosuoja-asetus velvoittaa järjestöä jatkossa tiedottamaan lahjoittajia tarkemmin heidän tietojensa käytöstä.

– Ihminen voi esimerkiksi pyytää järjestöltä, mitä tietoja hänestä on sillä olemassa. Asetuksen henki on, että on oltava avointa, läpinäkyvää ja ymmärrettävää, Karvinen sanoo.

Asetus parantaa Karvisen mukaan erityisesti lasten oikeuksia, koska lasten tietoja on käsiteltävä erityisen tarkkaan.

– Lapsi on enemmän haavoittuva siinä, ymmärtääkö hän, mihin hänen tietojaan voidaan käyttää, jos hän vaikka lataa jonkin sovelluksen tai hyväksyy pavelun käyttöehdot, Karvinen muistuttaa.

Reijo Aarnio, tietosuojavaltuutettu. Ronnie Holmberg / Yle

Tietosuoja kilpailuvalttina

Tietosuojavaltuutettu Reijo Aarnio neuvoo olemaan ensisijaisesti oman toimialan järjestöön yhteydessä EU:n tietosuoja-asetukseen liittyvissä kysymyksissä. Tietosuojauudistuksen ympärille on lisäksi syntynyt kokonaan uusi konsulttitoimiala, ja monet asianajotoimistot, tarjoavat siihen liittyvää neuvontaa.

– Pienyritykset pääsevät tietosuoja-asetuksessa paljon helpommalla kuin suuret, monikansalliset yritykset, Aarnio muistuttaa.

Aarnion mukaan suomalaisten tietosuojaosaaminen on vielä heikolla tasolla. Asiaan tutustuminen on uuden asetuksen astuttua voimaan kuitenkin vahva kilpailuvaltti.

– Tässä avataan eurooppalaiset 500 miljoonan kuluttajan sisämarkkinat, siellä tietosuoja-asetuksen noudattaminen tarkoittaa paljon. Toisaalta Suomeen tulee nyt myös uusia toimijoita, joita vastaan pitää kilpailla, Aarnio sanoo.

Tietosuojavaltuutetun mukaan yrityksen on osoitettava kuluttajalle olevansa luotettava kumppani.

– Keinoja tähän ovat esimerkiksi tietosuojan sertifikaatit. Euroopan unioni haluaa rakentaa turvallista uutta digitaalista ympäristöä, missä kuluttajat voivat kilpailuttaa palvelun tarjoajia.

Lisää aiheesta:

Uusi tietosuoja-asetus huolettaa yrittäjiä – Kauppakamarin toimitusjohtaja: "Kannattaa rauhoittua ja käyttää maalaisjärkeä"

Miten käy kerrostalojen saunavuorolistojen? 6 kysymystä tietosuojauudistuksesta

Oikeus tulla unohdetuksi laajenee – Googlelle pian poistomääräyksiä Suomesta?

Suomalaiset syytävät henkilötietojaan kymmeniin verkkopalveluihin – näin tietosuojasi paranee ensi vuonna