Kuukausi aikaa laatia tietosuojasuunnitelma

Uusi tietosuoja-asetus astuu voimaan 25. toukokuuta. Se tuo yrityksille ja yhdistyksille velvoitteita, jos niillä on hallussaan asiakkaiden henkilötietoja tai jäsenluetteloita.
Yrityksen on tartuttava toimeen, jos sillä on asiakasrekisteri, varauskirja, verkkokauppa tai kotisivulla tarjouspyyntölomake tai puhelimessa asiakkaiden yhteystietoja tai yritys on saanut työpaikkahakemuksia sähköpostiinsa.
Mikäli joku edellä mainituista täyttyy, yrityksen pitää laatia tietosuojasuunnitelma.
Suunnitelma on selostus siitä, miten yritys käsittelee ja säilyttää tietoja turvallisesti ilman, että kukaan ulkopuolinen pääsee niihin käsiksi.
Fysioterapiayrittäjä Kati Juurakko järjestää asetusta koskevan koulutuksen parin viikon päästä. Hän epäilee, että velvoitteet tulevat monelle yllätyksenä.
Viimeistään tässä vaiheessa olisi hyvä ottaa selvää asetuksen sisällöstä ja hoitaa tietosuoja vaadittavalle tasolle.
Juurakko itse havahtui asian äärelle, kun Kelan, Valviran ja aluehallintoviraston tiedotteita alkoi tulla sähköpostiin vuoden vaihteessa. Myös tiedotusvälineet ovat rummuttaneet päivämäärän lähestymisestä.

Juurakko työskentelee alalla, jossa tietoturvaan on aina suhtauduttu vakavasti. Sosiaali- ja terveysalalla käsitellään salassa pidettäviä terveystietoja. Uusi asetus velvoittaa todentamaan, miten tietoja säilytetään ja miten yritys minimoi riskit, ettei tietosuoja vaarannu.
– Suunnitelma on tehtävä paperille. Viranomaisille ei riitä, että asia on annettu tiedoksi. Nyt on osoitettava, että on hoitanut asiansa direktiivin vaatimalla tavalla. Jos asiakas jotain syystä vaatii dokumenttia nähtäväksi eikä sitä ole esittää, sanktio voi olla jopa 4 prosenttia liikevaihdosta, Juurakko sanoo.
Monta kysymystä on hänen mukaansa vielä avoinna.
– Voinko esimerkiksi säilyttää varauskalenteria työlaukussa, ja riittääkö pin-koodi turvaamaan puhelimeen tallennetut asiakkiden yhteystiedot? Miten tietosuoja-asetuksen noudattamista valvotaan, ja puututaanko asiaan vasta, kun tietosuoja on vaarantunut?
Juurakko toivoo saavansa epäselvyyksiin vastauksia tulevalta kurssilta.
Sosiaali- ja terveyspalveluita tarjoaville yrittäjille tarkoitettu neljän tunnin kurssi pidetään 7. toukokuuta.

Tuloste vain tarvittaessa

MTK Parkanon puheenjohtaja Jukka Vesanto kertoo, että paikallisyhdistys on varautunut uuteen tietosuoja-asetukseen laatimalla nelisivuisen rekisteriselosteen, joka kertoo, miten se hoitaa jäsenrekisteriään.
– Yhdistyksen rekisteriselosteessa on tiedot yhdistyksestä ja jäsenrekisterin tietosisällöstä. Lisäksi siihen on kirjattu, mikä on tiedonkeruun tarkoitus, mihin tietoja käytetään, miten niitä säilytetään ja mihin tietoja voidaan luovuttaa, Vesanto luettelee.
Yhdistyksen jäsenellä on oikeus vaatia rekisteriselostetta nähtäväksi, jos hän haluaa selvyyden omien jäsentietojensa käytöstä ja säilytyksestä.
Tuottajayhdistys kirjaa jäsenrekisteriinsä jäsenen syntymäajan, sähköpostiosoitteen, henkilötunnuksen, tilan tuotantosuunnan sekä pelto- ja metsäpinta-alatiedot.
Tuottajajärjestö on kouluttanut jäsenyhdistyksiään ennen uuden tietosuoja-asetuksen voimaantuloa. Parkanon yhdistyksestä sekä puheenjohtaja että jäsensihteeri ovat suorittaneet kurssin hyväksytysti.
Jäsenrekisterin tiedot ovat jäsensihteerin takana netin sähköisessä järjestelmässä.
– Tulostettuja listoja tarvitaan harvoin. Vastaisuudessa niiden hävittämisessä täytyy olla erityisen huolellinen. Jos tulosteita tarvitaan, niitä on säilytettävä sellaisessa paikassa, etteivät ne joudu vääriin käsiin, Vesanto sanoo.

Sähköpostiin vain vastaanottajan nimi

Vesanto muistuttaa, että samat säännöt koskevat vanhoja, paperisia jäsenluetteloita.
Vuosikymmenten takaisten, arkistoon jääneiden todella vanhojen jäsenluetteloiden kanssa on harkittava, onko niillä historiallista arvoa.
– Niiden suhteen terve järki on hyvä työkalu. Tietosuoja on nykyajan haaste. Asiaan on jouduttu kiinnittämään huomiota, kun nykytekniikka pystyy jakamaan tietoa vaivattomasti, ja tulosteiden ottaminen on helppoa.
Vastaisuudessa esimerkiksi ryhmäsähköposteja lähetettäessä muiden vastaanottajien nimet eivät saa näkyä lähetystiedoissa.
Tietosuoja on alhaisempi yhdistyksen vastuullisilla toimihenkilöillä.
– Kun ottaa hoitaakseen vastuullisen tehtävän, täytyy tiedostaa, että oma nimeä ja yhteystietoja voidaan jakaa etujärjestön nettisivulla ja jäsenkirjeissä, Vesanto muistuttaa.