Jos pyörität pienyritystä tai olet osa pk-sektorin toimintaa, olet varmasti törmännyt GDPR:ään – tai ainakin kuullut siitä. Ehkä olet ajatellut, että ”eihän meillä ole mitään isoa asiakasrekisteriä” tai ”me ollaan niin pieni firma, ettei meitä tarvitse valvoa”. Totuus on kuitenkin toinen: GDPR koskee kaikkia yrityksiä, jotka käsittelevät henkilötietoja – riippumatta koosta. Ja asiakirjat ovat yksi keskeisimmistä kohteista, joissa henkilötietoja liikkuu päivittäin.
Tässä artikkelissa käyn läpi, mitä sinun tulee huomioida asiakirjojen käsittelyssä GDPR:n näkökulmasta. Tavoitteena on, että saat selkeän käsityksen velvoitteistasi ja konkreettisia työkaluja niihin vastaamiseen – ilman turhaa lakijargonia.
Miksi GDPR koskee juuri sinun asiakirjojasi
GDPR eli yleinen tietosuoja-asetus velvoittaa yrityksiä suojaamaan henkilötietoja. Henkilötiedoilla tarkoitetaan kaikkea sellaista tietoa, jolla yksittäinen ihminen voidaan tunnistaa: nimi, sähköpostiosoite, puhelinnumero, henkilötunnus, osoite ja niin edelleen.
Pk-yrityksessä henkilötietoja sisältäviä asiakirjoja syntyy jatkuvasti:
– Työsopimukset ja palkkalaskelmat
– Asiakassopimukset ja laskutustiedot
– Tarjouspyynnöt ja tilausvahvistukset
– Sähköpostit ja viestintä
– CV:t ja rekrytointimateriaalit
Jokainen näistä dokumenteista voi sisältää henkilötietoja, ja jokaisen käsittelyssä pitää noudattaa GDPR:n periaatteita. Jos teet virheen, sakot voivat olla merkittäviä – jopa 4 % liikevaihdosta tai 20 miljoonaa euroa.
Kolme perusperiaatetta, jotka ohjaavat kaikkea
GDPR:ssä on lukuisia sääntöjä, mutta kolme perusperiaatetta auttaa sinua ymmärtämään kokonaisuuden:
1. Käsittele vain tarpeellisia tietoja
Älä kerää tai säilytä henkilötietoja ”varmuuden vuoksi”. Jos et tarvitse asiakkaan syntymäaikaa palvelusi tarjoamiseen, älä kysy sitä. Sama pätee asiakirjoihin: älä arkistoi dokumentteja, joissa on henkilötietoja, jos niitä ei enää tarvita.
2. Suojaa tiedot asianmukaisesti
Henkilötietoja sisältävät asiakirjat on suojattava niin, etteivät ulkopuoliset tai edes oman yrityksen väärät henkilöt pääse niihin käsiksi. Tämä tarkoittaa sekä fyysistä että digitaalista suojausta.
3. Pidä tiedot ajan tasalla ja poista vanhentuneet
Henkilötietoja ei saa säilyttää ikuisesti. Kun asiakirjan säilytysvelvoite päättyy (esim. kirjanpitolain mukaan 6 vuotta), tiedot on tuhottava asianmukaisesti.
Käytännön askeleet: näin varmistat vaatimusten täyttymisen
Olen huomannut monien pk-yritysten kamppailevan sen kanssa, mistä aloittaa. Tässä konkreettinen polku:
Vaihe 1: Kartoita henkilötietoja sisältävät asiakirjat
Aloita tekemällä lista kaikista asiakirjatyypeistä, joita yrityksessäsi syntyy tai käsitellään. Merkitse ylös, mitä henkilötietoja kukin sisältää ja miksi niitä tarvitaan.
Vaihe 2: Selvitä, kuka pääsee käsiksi mihinkin
Käy läpi, keillä työntekijöillä on pääsy eri asiakirjoihin. Tarvitseeko markkinointiassistentti todella pääsyä henkilöstön palkkatietoihin? Todennäköisesti ei. Rajoita käyttöoikeudet vain niihin, joilla on asiallinen syy käsitellä kyseisiä tietoja.
Vaihe 3: Turvaa asiakirjojen säilytys
Digitaaliset asiakirjat: Käytä salasanasuojattuja kansioita, pilvipalveluissa kaksivaiheista tunnistautumista ja varmista, että tiedostot ovat salattuja. Varmuuskopioi säännöllisesti, mutta huolehdi, että myös varmuuskopiot ovat suojattuja.
Fyysiset asiakirjat: Lukittavat kaapit ovat edelleen relevantteja. Jos henkilötietoja sisältäviä papereita on toimistolla, ne eivät saa lojua avoimesti pöydillä tai arkistohyllyillä.
Vaihe 4: Luo selkeä säilytysaikataulu
Määrittele jokaiselle asiakirjatyypille säilytysaika. Kirjanpitolaki velvoittaa säilyttämään tiettyjä dokumentteja kuusi vuotta, mutta kaikilla asiakirjoilla ei ole tällaista vaatimusta. CV:t hakijoilta, jotka eivät tulleet valituiksi? Poista vuoden sisällä. Vanhat asiakassopimukset, joiden säilytysvelvoite on päättynyt? Tuhoamaan ne menevät.
Vaihe 5: Huolehdi turvallisesta hävittämisestä
Kun asiakirja on poistettava, pelkkä roskakoriin heittäminen ei riitä. Digitaaliset tiedostot on poistettava lopullisesti (ei vain ”roskakori”-toiminto), ja fyysiset paperit on silputtava. Monet yritykset tarjoavat turvallisia asiakirjojen tuhoamispalveluita – kannattaa harkita, jos käsittelet arkaluonteisia tietoja säännöllisesti.
Yksi käytännön esimerkki omasta arjesta
Muutama vuosi sitten törmäsin tilanteeseen, jossa eräs pk-yritys säilytti kaikkien aikaisempien työntekijöidensä henkilötietoja – jotkut jopa 15 vuoden takaa – ”siltä varalta, että joskus tarvitaan”. Kyseessä oli siis täysin turha säilytys ilman laillista perustetta. Kun asia huomattiin, jouduimme käymään läpi valtavan määrän dokumentteja ja tuhoamaan ne asianmukaisesti. Prosessi vei viikkoja ja aiheutti turhaa stressiä. Opetus? Älä kerää tai säilytä mitään ”varalta” – se kostautuu aina jossain vaiheessa.
Myyttejä ja väärinkäsityksiä GDPR:stä
Myytti 1: ”Meidän ei tarvitse huolehtia, koska olemme pieni yritys”
GDPR ei tee eroa yrityskoon suhteen. Jos käsittelet henkilötietoja, olet velvollinen noudattamaan asetusta – olipa kyseessä yhden hengen toiminimi tai 200 työntekijän yritys.
Myytti 2: ”GDPR tarkoittaa, ettei mitään saa enää kysyä”
Ei pidä paikkaansa. Saat kerätä henkilötietoja, kunhan sinulla on laillinen peruste (esim. sopimus, lakisääteinen velvoite tai henkilön suostumus) ja kerrot avoimesti, mihin tietoja käytetään.
Myytti 3: ”Kun sopimus päättyy, tiedot pitää hävittää heti”
Useilla asiakirjoilla on lakisääteinen säilytysaika, joka ylittää sopimussuhteen päättymisen. Kirjanpitomateriaali on hyvä esimerkki – sitä on säilytettävä kuusi vuotta, vaikka asiakassuhde olisi päättynyt jo vuosia sitten.
Usein kysytyt kysymykset
Pitääkö minun nimittää tietosuojavastaava?
Pk-yrityksissä tietosuojavastaavan nimittäminen on pakollista vain, jos yritys käsittelee suuria määriä arkaluonteisia henkilötietoja (esim. terveystiedot) tai jos käsittely on yrityksen ydintoimintaa. Useimmissa tapauksissa se ei ole pakollista, mutta vastuuhenkilön nimeäminen on silti suositeltavaa.
Voiko asiakirjoja lähettää sähköpostilla?
Voit, mutta varmista, että käytät turvallista yhteyttä ja että vastaanottajalla on oikeus saada kyseiset tiedot. Arkaluonteisten tietojen kohdalla kannattaa harkita salattua sähköpostia tai suojattua tiedostonjakopalvelua.
Entä jos asiakas pyytää tietojaan?
GDPR antaa henkilöille oikeuden saada pääsy omiin tietoihinsa. Sinun on pystyttävä toimittamaan asiakkaan henkilötiedot selkeässä muodossa kuukauden sisällä pyynnöstä – maksutta.
Yhteenveto: yksinkertainen checkilista yrityksellesi
Tässä vielä tiivistettynä asiat, joihin sinun kannattaa kiinnittää huomiota heti:
– Kartoita, mitä henkilötietoja sisältäviä asiakirjoja käsittelet
– Rajoita käyttöoikeudet vain tarvitsijoille
– Varmista digitaalisten ja fyysisten asiakirjojen suojaus
– Luo säilytysaikataulu jokaiselle asiakirjatyypille
– Hävitä vanhentuneet asiakirjat turvallisesti
– Dokumentoi prosessisi – se helpottaa myös mahdollisia tarkastustilanteita
GDPR:n noudattaminen ei ole rakettitiedettä, mutta se vaatii systemaattisuutta ja sitoutumista. Kun prosessit ovat kunnossa, ne pyörivät rutiininomaisesti eikä aihetta tarvitse miettiä joka päivä. Ja kun asiat ovat kunnossa, voit nukkua yösi rauhassa tietäen, että asiakkaidesi ja työntekijöidesi tiedot ovat turvassa.