GDPR - Valmistaudu

GDPR eli tietosuoja-asetus tulee kohisten. Ota muutama minuutti ja valmistaudu ainakin alla olevan listan avulla.

Aluksi: Yrityksellä on asiakkaita, joten yritys on rekisterinpitäjä suhteessa omiin asiakkaisiinsa. Voissi lähettää laskut ja hoitaa maksumuistutusten lähetyksen yrityksen puolesta, joten Voissi on henkilötietojen käsittelijä. Tässä kirjoituksessa vinkit Voissin asikkaalle eli rekisterinpitäjälle eli Sinulle.

Käy läpi nykyiset asiakastiedot ja:

1) Poista turhat tiedot

Jatkossa henkilötietoja saa kerätä laillista tarkoitusta varten ja kerättyjen tietojen tulee olla tarpeelliset suhteessa siihen tarkoitukseen, johon niitä käytetään. Suomeksi sanottuna, halutessasi lähettää laskun asiakkaallesi, oleellisia tietoja ovat esimerkiksi nimi ja osoite. Et kuitenkaan tarvitse asiakkaan valokuvaa tai kuvakaappausta asiakkaan facebook-sivulta.

Toimi näin: Poista turhat tiedot.

2) Alaikäinen asiakkaana

Nyrkkisääntö

Alaikäinen ei voi ostaa velaksi eikä näin ollen alaikäiselle saa myydä laskulla. Muitakin oikeustoimia alaikäinen saa tehdä vain rajoitetusti. Tee sopimukset alaikäisiä koskevista palveluista, kuten esimerkiksi lasten harrastuksista, aina huoltajan kanssa. Koska alle 18-vuotiaalle ei saa myydä laskulla, Voississa laskun saajana tulee aina olla yli 18-vuotias henkilö.

GDPR - Tietoyhteiskunnan palvelut

Tietosuoja-asetuksen mukaan tietoyhteiskunnan palveluihin (=sähköisenä etäpalveluna toimitettavat palvelut) liittyvä alle 16 vuotiaan lapsen tietojen käsittely on kiellettyä, paitsi mikäli lapsen vanhempi on siihen antanut luvan. Jäsenvaltiot eli myös Suomi, saavat säätää tätä alemmasta iästä. Suomessa hallitus on esittänyt ikärajaksi 13-vuotta. Tätä ei ole kuitenkaan vielä vahvistettu, joten seuraa viranomaisten tiedotusta.

Toimi näin: Mikäli toimitat tietoyhteiskunnan palveluita, perkaa ainakin alle 13-vuotiaiden tiedot pois asiakasrekisteristä tai mikäli haluat säilyttää tiedot, hanki huoltajan suostumus.

3) Päätä, kauanko säilytät asiakastietoja

GDPR:n mukaan henkilötietoja voidaan säilyttää niin kauan, kuin se on tarpeen tietojen käsittelyn tarkoituksen toteuttamiseksi. Tämän jälkeen tiedot on poistettava.

Toimi näin: Määrittele, kauanko sinun toimintasi tai asiakassuhteen hoitamisen kannalta asiakkaan tietoja on tarkoituksenmukaista säilyttää sen jälkeen, kun viimeinenkin lasku on tullut maksetuksi. Pyydämme tätä tietoa Sinulta myöhemmin.

4) Tee seloste rekisteröidyn tietojen käsittelystä

Asiakkaalle tulee jatkossa toimittaa tieto siitä, miten hänen tietojaan rekisterinpitäjän eli Sinun toimesta käsitellään. Valmistaudu siis tähän, NYT. Kerättäessä rekisteröidyn henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle joko 1) GDPR:n 13 artiklan tiedot, kun tietoja kerätään rekisteröidyltä tai 2) GDPR:n 14 artiklan tiedot, kun tiedot saadaan muulta kuin rekisteröidyltä. Tietosuoja-asetus täällä.

Mikäli artiklat tuntuvat vaikeaselkoislta, alla suuntaa antava listaus siitä, mitä tietoja rekisteröidylle tulisi toimittaa:

  1. Rekisterinpitäjän tiedot
  2. Yhteyshenkilö rekisteriä koskevissa asioissa
  3. Tietosuojavastaavan yhteystiedot (mikäli valittu)
  4. Henkilötietojen käsittelyn tarkoitus
  5. Henkilötietojen käsittelyn oikeusperuste
    (esim. suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, yleinen etu, rekisterinpitäjän/kolmannen oikeutettu etu)
  6. Rekisterin tietosisältö (eli mitä tietoja käsitellään: nimi, osoite...)
  7. Säännönmukaiset tietolähteet
  8. Tietojen säännönmukaiset luovutukset (kelle tietoja luovutetaan)
  9. Tietojen siirto EU:n tai ETA:n ulkopuolelle
  10. Tietojen käyttäminen automaattiseen päätöksentekoon, kuten esimerkiksi profilointiin (käsittelyn logiikka, merkittävyys ja mahdolliset seuraukset rekisteröidylle)
  11. Rekisterin suojausperiaatteet
  12. Tietojen säilytysaika tai ajan määrittämiskriteerit
    Lisäksi tulee antaa tieto siitä, että rekisteröidyllä on lisäksi oikeus 1) pyytää rekisterinpitäjältä pääsyä omiin henkilötietoihinsa, kyseisten tietojen oikaisemista tai poistamista taikka pyytää käsittelyn rajoittamista, vastustaa käsittelyä sekä halutessaan siirtää tiedot järjestelmästä toiseen, 2) peruuttaa antamansa suostumus henkilötietojen käsittelyyn ja 3) tehdä valitus valvontaviranomaiselle.

Korostamme, että kyseessä on ainoastaan esimerkki ja jokainen jokainen rekisterinpitäjä on itse vastuussa siitä, että sen asiakirjat ja ilmoitukset ovat juuri sen omaan yritystoimintaan sopivat ja tietosuoja-asetuksen vaatimusten mukaiset.

Asiakkaillemme tiedoksi: Voissi ei luovuta tietoja EU:n tai ETA-alueen ulkopuolelle.

5) Valmistaudu esittämään asiakkaalle, mitä tietoja sinulla on hänestä

Voissiin tallennettujen tietojen osalta teemme ko. ominaisuuden Sinulle valmiiksi.

6) Varmista, että asiakkaalla on oikeus tulla unohdetuksi

Voissiin tallennettujen tietojen osalta teemme ko. ominaisuuden Sinulle valmiiksi.

Kysymyksiä?

Lisätietoja ja neuvontaa antaa Tietosuojavaltuutetun toimisto.
Lisätietoja täällä, neuvonnan ohjeistus täällä, tietosuojavaltuutetun toimiston yhteystiedot täällä. Asetus on kaikille uusi, joten seuraa Tietosuojavaltuutetun tiedotusta.

Rekisterinpitäjä eli kukin Voissia käyttävä yritys on vastuussa siitä, että se noudattaa GDPR:n vaatimuksia.

Voissi on GDPR-yhteensopiva asetuksen tullessa voimaan. Huomaathan, että Sinä Voissin käyttäjänä eli rekisterinpitäjänä olet vastuussa siitä, että Voissiin kirjaamasi tiedot ovat GDPR-yhteensopivat.

Esitetty toimenpidelista on tarkoitettu ainoastaan asiakkaidemme apuvälineeksi.