Tietosuojadokumentaatio – kolme vaiettua myyttiä

|

Tietosuoja GDPR on tällä hetkellä mediaseksikäs aihe, joka on ollut tapetilla viime syksystä alkaen. Karu totuus on kuitenkin se, että todella harvalla yrityksellä on vieläkään tietosuojadokumentaatio kunnossa. Vaikka kuinka olisi käynyt koulutuksissa ja käyttänyt aikaa netissä surffailluun.

Miksi? Tämän artikkelin lukemalla saat tietää kolme syytä, joista ei yleensä puhuta ääneen.

 

Yleistä tietosuojasta

GDPR eli General Data Protection Regulation, EU:n tietosuoja-asetus tulee Suomessakin voimaan toukokuussa 2018. Uudet säännökset koskevat henkilötietojen keräämistä ja käsittelyä yrityksissä.

Asetus parantaa rekisteröityneiden henkilöiden oikeuksia ja asettaa uusia velvoitteita yrityksille verrattuna nykyiseen lainsäädäntöömme. Lisäksi asetus tuo mukanaan sakkosanktiot, joten tietosuojaa ei enää voi lakaista maton alle.

Lisätietoa tästä aiheesta löydät blogikirjoituksestani Valmistaudu uuteen tietosuojaan >>

1. Koulutukset tuottavat pettymyksen

Oletko niiden valveutuneiden joukossa, jotka ovat jo hankkineet itselleen tietosuojaoppia? Olet käynyt koulutuksissa, seminaareissa tai lukenut tietoa netistä?

Koulutus herätti vain kysymyksiä. Mistä saan vastauksen niihin? Mitä minun oikeasti pitää tehdä?

Yleisimmät kommentit koulutuksen jälkeen ovat olleet enemmänkin kysymystä herättäviä kuin vastauksia saavia. Kuulostaako tutulta? Koulutuksesta on tarttunut jokunen mielenkiintoinen vinkki, jonka voisi hyödyntää omassa yrityksessä.

Mutta tietosuojan käsitteet kuulostavat vierailta. Vielä ei ole auennut, mitä oikeasti pitäisi siellä omassa yrityksessä tehdä.

Yrityksen tietosuoja-asiakirjat ja käytäntöjen muuttaminen jäivät vielä odottamaan tekijäänsä

Tästä aiheesta olen kirjoittanut myös aiemmassa blogikirjoituksessani GDPR on yrityksen kilpailuvaltti >>

Tietosuoja-asioiden koulutukseen sopii parhaiten monimuotoinen valmennus, jossa on tietoiskujen lisäksi työpaja -tyyppistä työskentelyä. Osanottajat itse laativat tietosuojadokumenttinsa asiantuntijan opastuksella.

Asiantuntijan on oltava hyvä ja sopiva. Lakimiesopinnot eivät yksin riitä hyvään asiantuntijuuteen, vaan lisäksi täytyy olla myös paloa tietosuoja-asioihin sekä IT -alan tuntemusta. Sujuva englanninkielikään ei ole pahitteeksi, sillä edelleenkin tietoa aiheesta löytyy hyvin englanniksi.

Ratkaisuna työpajat

Työpaja -tyyppiset koulutukset sopivat hyvin tietosuoja-asioiden pohtimiseen käytännön tasolla omassa yrityksessä sekä tietosuoja-asiakirjojen työstämiseen. Olemme järjestäneet tällaista koulutusta sekä livenä että verkossa hyvin palauttein.

Kotisivuillamme on lisätietoa tietosuojakoulutuksista >>

2. Kun tietosuoja -oppaiden anti ei riitä

Tietosuojaviranomaisen sivuilla on tietoa henkilötietojen käsittelystä ja EU:n tietosuoja-asetuksen mukanaan tuomasta uudistuksesta. Tämän linkin kautta voit tutustua tietosuojasivustoon >>

Tietosuojasta on kirjoitettu myös useita blogikirjoituksia eri toimijoiden blogeissa. Osa kirjoittajista on lakimiehiä, osa tietoturva-asiantuntijoita tai IT -alan toimijoita. GDPR -tietoa jakavat myös sellaiset henkilöt, jotka ovat hankkineet oppinsa osallistumalla itse tietosuojakoulutukseen tai lukemalla EU- tietosuoja-asetusta. Kaikki eivät ole tehneet mitään näistä.

Totuushan on se, että tietosuoja-asioista voi kirjoittaa kuka tahansa. Tämän vuoksi lähdekritiikki on erittäin tärkeää.

Olen kahlannut kymmeniä sivuja tietosuoja-opasta läpi. En vaan ymmärtänyt mitään. Enkä vieläkään tiedä, mitä minun oikeasti pitää tehdä!

Kirjoituksista saa tietoa, kunhan muistaa tarkistaa niiden luotettavuuden. Kaikki tieto ei kuitenkaan ole kirjoitettu ymmärrettävään muotoon, vaan niissä vilisee tietosuoja-asetustekstin käsitteitä. Nämä termit eivät kuitenkaan ole kaikille lukijoille tuttuja.

Ratkaisuna opas ja malliasiakirja

Tietosuoja on kiinnostanut minua jo siitä alkaen, kun ainoat lähdeaineistot olivat englanninkielisiä. Lisäksi IT kiinnostaa, joten tietosuojan parissa viihtyminen on luontevaa.

Pienyrittäjien stressin ja tietosuoja-asioiden helpottamiseksi on saatavilla selkeä, käytännönläheinen ja helppolukuinen oppaan. Opas on laadittu pienyrittäjien omasta toivomuksesta ja heitä kuunnellen.

Opas sisältää paitsi käytännön toimintaohjeet myös tietosuojaselosteen asiakirjamallin. Lisäksi oppaassa on videolinkki sekä linkkejä muuhun luotettavaan lisätietoon verkossa.

3. Tee-se-itse tietosuojadokumentaatio

Tietosuojadokumentit eivät valmistu itsestään. Niiden laatimiseksi on hankittava tietoa ja osattava soveltaa sitä juuri omaan yritystoimintaa. Jos et ole työsi puolesta perehtynyt tietosuojaan todella hyvin, on edessä pitkä ja kivinen tie.

Ensinnäkin kuluu omaa aikaasi. Kaksi viikkoakin on lyhyt aika, jos lasket siihen koulutuksiin osallistumista, tiedon hankkimista netistä ja asiakirjojen laatimista. Lisäksi vielä pitää tarkistaa omat tietosuojakäytännöt ja tarvittaessa kehittää niitä. Yleisesti ottaen suuri osa työstä on asiakirjojen laatimista.

Tämä aika on sinulta pois yrityksen liiketoiminnan harjoittamisesta. Yrityksen tuloja jää saamatta.

Jos sinulta kuluu aikaa kaksi viikkoa, on se viisipäiväisen työviikon ja 8 -tuntisen työpäivän mukaan laskettuna yhteensä 80 tuntia. Jos tuntiveloituksesi on vaikkapa 40,00 € ilman arvonlisäveroa, jää sinulta saamatta tuloja yhteensä 3.200,00 € ilman arvonlisäveroa.

Vastaavasti yhden viikon arvonlisäveroton liikevaihdon menetys olisi samoilla laskentakriteereillä ja tuntiveloituksella 1.600,00 €.

Jos olet aloittava yrittäjä, on tämä aika pois oman yrityksesi käynnistämisestä ja markkinoinnista. Sinulla ei välttämättä vielä ole töitä niin paljon, että voit laskea tulonmenetyksesi tekemättä jääneiden asiakastöiden mukaan koko ajalta. Aika on joka tapauksessa pois tulevista myyntituloista, kun et ole voinut sitä aikaa käyttää oman liiketoimintasi kehittymisen hyväksi.

Kallein tietosuojapalvelumme, tietosuoja-asiakirjat avaimet-käteen-periaatteella, maksaa 1.282,26 € + arvonlisävero 24 % eli vähemmän kuin viikon menetetyt tulot.

Tulonmenetyksesi ovat suurempia kuin yhdenkään tietosuojapalvelumme hintalappu. Lisäksi palvelujen ostohinnat ovat vielä verotuksessa vähennyskelpoisia.

Tämän lisäksi jäävät seuraavat kriittiset kysymykset ilmaan:

  • Riittääkö yksi tai kaksikaan viikkoa tietosuojan omatoimiseen työstämiseen?
  • Onko laskutuksesi suurempi kuin 40,00 €/h? Niin on myös saamatta jääneet tulosi
  • Jos myyt tuotteita tai palveluita, voi tulon menetyksesi olla vielä suurempi kuin laskennallisten työtuntien mukaan laskettu määrä?
  • Aiheuttavatko tietosuojapaineet Sinulle stressiä? Heikkeneekö työtehoasi?
  • Ehditkö viettämään hyvinvointisi kannalta tärkeää vapaa-aikaa?
  • Oletko varma, että dokumenttisi ja toimintasi täyttävät uusien säännösten vaatimukset?
  • Miten saat yritykseesi tuloja riittävästi korvaamaan oman tietosuojaan käyttämäsi ajan?

Mikä tahansa palveluistamme on Sinulle kannattavampi kuin asian omatoiminen työstäminen.

Yhteenveto

Tietosuoja GDPR koskettaa jokaista yritystä, sillä yritystoiminnan pyörittäminen ei onnistu ilman henkilökontakteja ja -tietojen tallentamista. Jo pelkästään yhteydenpito asiakkaan kanssa edellyttää henkilötietoja samoin kuin esimerkiksi laskutus; laskuun merkitään yhteyshenkilön nimi ja mahdollisesti yhteystiedotkin tai lasku lähetetään yhteyshenkilön sähköpostiosoitteella.

Tietosuoja on käytännössä otettava yrityksessä huomioon, vaikka käsittelisit vain paperilla olevia tietoja. Puhumattakaan sähköisistä henkilötiedoista ja erityisesti, jos yriytykselläsi on myös verkkokauppa.

Mitä ajatuksia tietosuojauudistus Sinussa herättää?

Artikkelin kirjoittaja

Verkkokalenterista aika varatuomari Inga Koskiselle, pätevälle naislakimiehelle
Varatuomari Inga Koskinen

 

“Tietosuoja on yksi lempiaiheistani, josta kirjoitan ja koulutan. Ja sen huomaa täällä blogissakin!
Lisäksi laadin yrityksille GDPR -dokumentteja.

Autan mielelläni Sinunkin yritystäsi! – Inga

 

Jätä kommentti