Tietosuoja
Tietosuoja vaikuttaa jokaisen yrityksen toimintaan. Lue alta, mitä sinun yrittäjänä tulee tietää tietosuojasta sekä miten laadit tietosuojaan liittyvät asiakirjat helpoiten.
Tältä sivulta löydät Docuen juristien koostaman tietopaketin tietosuojasta.
Sivulla käsiteltävät teemat:
I) Tietosuoja ymmärrettävästi – vinkit henkilötietojen käsittelyyn
II) Oletko jo laatinut nämä tärkeät tietosuoja-asiakirjat?
III) Näin Docue on tukenasi tietosuojavelvoitteiden täyttämisessä
I) Tietosuoja ymmärrettävästi – vinkit henkilötietojen käsittelyyn
Lue alta tärkeimmät tietosuojaan liittyvät termit sekä käytännönläheiset ohjeistukset siitä, mitä sinun yrittäjänä tulee tietää tietosuojasta.
Tietosuojan peruskäsitteet
Tietosuoja = Henkilötietojen asianmukainen käsittely.
Tietoturva = Toimenpiteet ja käytännöt, joilla pyritään suojaamaan tietoja ja tietojärjestelmiä. Tietoturvalla varmistetaan, että tiedot pysyvät luottamuksellisina ja että niihin pääsevät käsiksi vain oikeutetut henkilöt.
Henkilötieto = Kaikki tiedot, joiden perusteella voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, syntymäaika, puhelinnumero ja IP-osoite.
Henkilötietojen käsittely = Kaikki toimenpiteet, joita henkilötiedoille tehdään. Käsittely sisältää esimerkiksi tietojen luomisen, muokkaamisen, tallentamisen ja poistamisen.
Rekisteröity = Henkilö, jonka henkilötietoja käsitellään tai voidaan käsitellä. Esimerkiksi verkkopalveluun kirjautunut käyttäjä.
Rekisterinpitäjä = Henkilö tai yritys, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Esimerkiksi yrittäjä käsitellessään asiakkaidensa henkilötietoja omissa liiketoimissaan.
Henkilötietojen käsittelijä = Osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja ohjeiden mukaisesti. Esimerkiksi markkinointitoimisto, joka käsittelee henkilötietoja mainoskampanjan toteuttamiseksi.
Yrittäjän muistilista tietosuojan toteuttamiseen
Käsittele henkilötietoja lainmukaisesti: Sinun on oltava tarkasti selvillä siitä, mitä tietoja keräät, miksi ja millä perusteella. Tietojen käsittelyn periaatteista on myös kerrottava avoimesti. Alempana jaamme parhaat vinkkimme tämän kohdan toteuttamiseen käytännössä.
Kerää niin vähän henkilötietoja kuin mahdollista: Mitä vähemmän henkilötietoja kerätään, sitä vähemmän riskejä niiden käsittelyyn liittyy. Tietoja ei koskaan tule kerätä ja säilöä "muuten vain".
Säilytä tietoja vain niin kauan kuin on tarpeellista: Tämä edellyttää tietojen säilytysajan arviointia ja tarpeettomaksi käyneiden tietojen poistamista säännöllisesti.
Suojele henkilötietoja pitämällä huolta tietoturvasta: Tietosuoja ja tietoturva kulkevat käsi kädessä. Pidä huolta niin teknisin toimenpitein kuin työntekijöitäsi kouluttamalla, etteivät henkilötiedot päädy vääriin käsiin. Tietoturvatoimenpiteitä ovat esimerkiksi tietojärjestelmien salaus, käyttäjien tunnistus ja fyysisten tilojen suojaaminen lukituksilla. Muista myös laatia työntekijöidesi ja yhteistyökumppaneidesi kanssa salassapitosopimus, joka kieltää muiden henkilötietojen hyödyntämisen ja jakamisen.
Mieti peruste henkilötietojen käsittelylle etukäteen
Henkilötietojen käsittely edellyttää, että voit nimetä sille laista löytyvän perusteen ennen käsittelyn aloittamista. Yleensä yrittäjän kannalta peruste on jokin seuraavista:
Sopimus: Voit käyttää sopimusta laillisena perustana henkilötietojen käsittelylle, jos rekisteröity on itse sopimuksen osapuolena. Esimerkiksi jos henkilö tilaa tuotteita verkosta, hänen osoitetietojaan voidaan käsitellä niiden toimittamiseksi. Huomaa, ettet voi vedota sopimukseen henkilötietojen käsittelyn perusteena tilanteessa, jossa on kyse toisen yrityksen kanssa tekemästäsi sopimuksesta. Tällaisessa tilanteessa joudut käyttämään henkilötietojen käsittelylle muuta perustetta, kuten rekisteröidyn suostumusta.
Lakisääteinen velvoite: Tämä peruste soveltuu, kun yrityksen on käsiteltävä henkilötietoja lain noudattamiseksi. Lakisääteinen velvoite voi liittyä esimerkiksi työntekijöiden palkanmaksuun, kirjanpitoon tai rahanpesulain edellyttämään asiakkaan tuntemiseen.
Rekisteröidyn suostumus: Jotta suostumus olisi pätevä, sen on oltava vapaaehtoinen. Suostumusta annettaessa on käytävä ilmi mitä henkilötietoja annetaan, miten niitä käytetään ja kenen kanssa niitä jaetaan. Rekisteröidyn on ilmaistava tahtonsa yksiselitteisesti (esim. klikkaamalla itse "hyväksyn"). Rekisteröidyn on voitava peruuttaa suostumuksensa yhtä helposti kuin hän on sen antanutkin. Hänelle on myös annettava tieto siitä, että hän voi muuttaa mieltään milloin tahansa.
Oikeutettu etu: Tätä perustetta voidaan soveltaa silloin, kun yrityksen on käsiteltävä henkilötietoja hyvästä liiketoiminnallisesta syystä eikä muuhun lailliseen perusteeseen voida vedota. Yrityksen tulee kuitenkin harkita, onko sen oikeutettu etu (eli hyvä liiketoiminnallinen syy) tärkeämpi kuin rekisteröidyn oikeudet ja vapaudet (esim. oikeus yksityisyyteen). Arviointi tehdään suorittamalla tasapainotesti. Oikeutettu etu voi olla mahdollinen peruste esimerkiksi silloin, kun kyse on suoramarkkinoinnista, väärinkäytösten tutkinnasta (esim. kameravalvonta), tuote- ja palvelukehityksestä tai puheluiden tallentamisesta.
Muut mahdolliset perusteet: Muita lain mahdollistamia perusteita henkilötietojen käsittelyyn ovat elintärkeiden etujen suojaaminen (esim. henkilötietojen käsittely hätätilanteessa avun ja hoidon varmistamiseksi) ja yleistä etua koskeva tehtävä tai julkinen valta. Yrittäjänä nämä kuitenkin harvemmin kuuluvat keinovalikoimaasi.
Kaipaatko lisätietoa? Lue käsittelyperusteista tarkemmin täältä.
Huomioi rekisteröidyn oikeudet
Henkilöillä, joiden tietoja käsitellään, on monia oikeuksia. Yrittäjänä sinun on oltava tietoinen näistä oikeuksista, jotta osaat reagoida oikein ja vältät sanktiot.
Oikeus saada pääsy henkilötietoihin: Tämä oikeus antaa rekisteröidylle mahdollisuuden tarkistaa, mitä henkilötietoja hänestä on tallennettu ja millä perusteilla niitä käsitellään. Pyydettäessä sinun on toimitettava henkilölle kopio hänen tiedoistaan.
Tietojen oikaiseminen: Henkilöllä on oikeus vaatia, että hänen tietonsa korjataan, jos ne ovat virheellisiä tai puutteellisia.
Tietojen poistaminen eli oikeus tulla unohdetuksi: Sinun on poistettava henkilötiedot rekisteröidyn pyynnöstä, ellei tietojen säilyttämiselle ole laillista perustetta (esim. oikeudenkäynti).
Käsittelyn rajoittaminen: Henkilö voi rajoittaa tietojensa käsittelyä, jos tietojen käsittelyssä on epäselvyyttä tai erimielisyyttä. Esimerkiksi jos rekisteröity ilmoittaa henkilötietojensa olevan virheellisiä, hän voi kieltää sinua käsittelemästä tietojaan, kunnes ne on korjattu.
Tietojen siirtäminen järjestelmästä toiseen: Jos rekisteröity pyytää sinua ja se on teknisesti mahdollista, sinun tulee siirtää hänen henkilötietonsa hänelle tai hänen määrittelemälleen organisaatiolle.
Valituksen tekeminen valvontaviranomaiselle: Rekisteröity voi aina valittaa tietosuojavaltuutetun toimistoon, jos hän uskoo, että olet rikkonut lakia. Voit kuitenkin rohkaista rekisteröityä ottamaan ensisijaisesti yhteyttä sinuun.
Kaipaatko lisätietoa? Tutustu rekisteröidyn oikeuksiin tarkemmin täällä.
II) Oletko jo laatinut nämä tärkeät tietosuoja-asiakirjat?
Tietosuoja ei toteudu ilman asianmukaista dokumentaatiota. Tässä osiossa esittelemme kolme tärkeää asiakirjaa, jotka lähes jokaisen yrityksen on laadittava.
1. Tietosuojaseloste yrityksen verkkosivuille
Mikä se on: Tietosuojaseloste on viestintäväline, jolla yritys kertoo henkilötietojen käsittelyn periaatteistaan. Se on siis tietosuojaa koskevaa tärkeää ulkoista viestintää.
Mitä se sisältää: Tietosuojaselosteessa kerrotaan mitä henkilötietoja kerätään, mihin tarkoitukseen, kenen kanssa niitä jaetaan, kuinka tietoja suojataan ja kuinka pitkään niitä säilytetään. Lisäksi selosteesta käyvät ilmi rekisteröidyn oikeudet sekä yhteystiedot, joihin tietosuoja-asioissa voi ottaa yhteyttä.
Milloin tarvitset: Tietosuojaselostetta tarvitaan aina silloin, kun henkilötietoja kerätään. Henkilötietojen kerääminen voi tapahtua esimerkiksi asiakaspalvelua tai markkinointia varten.
2. Henkilöstön tietosuojaseloste
Mikä se on: Henkilöstön tietosuojaselosteessa yritys selventää, miten työntekijöiden henkilötietoja käsitellään. Tietosuojaseloste on kätevä tapa informoida henkilöstöä henkilötietojen käsittelystä ja samalla osoittaa, että yritys on täyttänyt tiedonantovelvollisuutensa suhteessa työntekijöihinsä. Tietosuojaseloste tallennetaan työntekijöiden nähtäville esimerkiksi yrityksen intranettiin.
Mitä se sisältää: Henkilöstön tietosuojaseloste sisältää tiedot siitä, miten organisaatio käsittelee henkilöstön henkilötietoja, kuten henkilötunnusta, yhteystietoja ja palkkatietoja. Selosteessa tulee myös ilmoittaa tietojen käsittelyn peruste, tietojen luovutukset ja säilytysajat sekä henkilöstön oikeudet tietojensa suhteen.
Milloin tarvitset: Kun yrityksellä on työntekijöitä. Työnantajalla on informointivelvollisuus henkilötietojen käsittelystä työntekijöiden määrästä riippumatta ja vaikka työntekijät työskentelisivät hyvin epäsäännöllisesti.
3. Sopimus henkilötietojen käsittelystä
Mikä se on: Tietosuojasopimuksessa eli henkilötietojen käsittelysopimuksessa rekisterinpitäjä ja henkilötietojen käsittelijä sopivat, miten käsittelijän tulee suojata rekisterinpitäjän sille luovuttamat tiedot yksityishenkilöistä. Henkilötietojen käsittelystä on sovittava kirjallisesti.
Mitä se sisältää: Tietosuojasopimus sisältää yksityiskohtaisen kuvauksen henkilötietojen käsittelystä, mukaan lukien tiedot siitä, mitä henkilötietoja käsitellään, miten niitä käsitellään, kuka käsittelee niitä ja kenelle niitä jaetaan. Sopimuksessa määritellään myös henkilötietojen suojaamista koskevat vaatimukset, tietoturvakäytännöt ja tietojen säilytysajat.
Milloin tarvitset: Esimerkiksi tilanteessa, jossa siirrät asiakkaiden tai työntekijöiden henkilötietoja yhteistyökumppanin käsiteltäväksi.
III) Näin Docue on tukenasi tietosuojavelvoitteiden täyttämisessä
Docuen avulla onnistut tietosuoja-asiakirjojen laatimisessa varmasti. Juristien laatimien sisältöjen ja ymmärrettävien ohjeiden yhdistelmä takaa laadukkaan lopputuloksen.
Docuella jopa yli 1 000 euron arvoisten asiakirjojen laatiminen onnistuu 10 minuutissa.
Juristien laatimat helppokäyttöiset asiakirjamallit
Asiakirjojen laatiminen vaivattomasti pikavalinnoilla
Sähköinen allekirjoitus & automaattinen arkistointi
Ennustettava ja edullinen hinnoittelu
Kokeile nyt täysin maksutta
Ei sitoumuksia. Luottokorttia ei tarvita.
Tietosuojadokumentaatio helposti – laadusta tinkimättä
Docuen avulla voit laatia tietosuojalainsäädännön edellyttämät asiakirjat itse – ilman säätöä, kalliita virheitä ja ulkopuolisia juristeja. Tarjoamme laadukkaat juridiset sisällöt, joiden avulla laadit tarvittavat asiakirjat milloin ja missä tahansa. Tämän helpommaksi ei tietosuoja muutu!
Tietosuoja | Docuen automatisoidut asiakirjamallit
"Olen käyttänyt elämässäni viiden Suomen Top 10 -asianajotoimiston palveluita. Docuen mallisisällöissä on huomioitu samat asiat kuin näiden toimistojen töissä. Docuen toimiva sähköinen allekirjoitus on antanut yhtiöstämme uusille kumppaneille vakaan ja edistyksellisen kuvan."
Markus Myllymäki
Toimitusjohtaja, Toivo Group
"Olemme tehneet Docuessa lukuisia erilaisia asiakirjoja, joko palvelun valmiilla asiakirjamalleilla tai omilla vanhoillamme. Olemme hyvin tyytyväisiä tähän ratkaisuun. Allekirjoittamiseen ei tarvitse sopia ja varata aikaa, koska allekirjoittaminen käy helposti tietokoneella tai kännykällä ajasta ja paikasta riippumatta."
Juha Saarela
Toimitusjohtaja, Puuilo
Valmis kokeilemaan itse?
Tietosuoja | Usein kysyttyjä kysymyksiä
Mikä on GDPR?
Koskeeko GDPR yritystäni?
Mikä on tietojenkäsittelysopimus?
Onko tietosuojaseloste pakollinen?
Mikä on tietosuojavastaava?
Mitä tietoja yritys saa kerätä työntekijöistä?
Mikä on henkilötietoasioiden valvontaviranomainen?
Mitä tietosuojavelvoitteiden rikkomisesta voi seurata?
Tags: tietosuoja, yrityksen tietosuoja, GDPR, tietosuoja asetus