Perusohje pienyrittäjälle tietosuoja-asetuksen vaatimuksista

4.5.2018

 

Kääntäjät ja tulkit käsittelevät henkilötietoja vähintäänkin asiakasluetteloiden ja toimeksiantajien kanssa tehtyjen sopimusten osana, joten toukokuun lopulla voimaan tuleva tietosuoja-asetus koskee myös heitä. Lisäksi toimeksiannoissa esiintyvien arkaluontoisia henkilötietoja tulee käsitellä vastuullisesti. SKTL on laatinut perusohjeen siitä, mitä ainakin kannattaa ottaa huomioon, jotta asetuksen tarkoitus täyttyisi. Täydennämme ohjeita tarvittaessa. Kääntäjä-lehden numerossa 2/18 on OTK Karola Baranin perusteellinen artikkeli aiheesta.

 

1. Varmista, että sinulla on perusteltu syy käsitellä henkilötietoja. Tällaisia ovat esimerkiksi asiakkuus ja sopimus. Toisin sanoen sinulla on oikeus käsitellä asiakkaittesi henkilötietoja ja sellaisten henkilöiden tietoja, joiden kanssa olet allekirjoittanut sopimuksen. Käännöksissä ja tulkkauksiin liittyvissä aineistoissa esiintyvät henkilötiedot ovat osa työtäsi, ja ne tulee säilyttää erityisen vastuullisesti, ja hävittää, kun henkilötietoja ei enää ole välttämätöntä säilyttää. Huomioi, että henkilötietoja säilytetään usein usean eri lainsäädännön perusteella. Tietosuoja-asetus ei ole ainoa. Eri laeissa voi olla säilyttämisen kannalta eri sääntöjä. Toiminnassasi joudut huomioimaan tämän.

 

2. Laadi seloste henkilötietojen käsittelyperiaatteista, jos

  • • käsittelet tietoja, joihin liittyy riski henkilön oikeuksille ja vapauksille
  • • henkilötietojen käsittely toiminnassasi ei ole satunnaista
  • • käsittelet erityisiin tietoryhmiin kuuluvia tietoja, esim. potilas- tai oppilastietoja, tai henkilötietoja, jotka koskevat rikostuomioita tai rikkomuksia.

 

Selosteesta tulee käydä ilmi:

  • • henkilötietojen käsittelijän, toisin sanoen asetuksessa tarkoitetun rekisterinpitäjän nimi eli yrityksesi nimi
  • • rekisteriasioista vastaava ja niitä hoitava henkilö; pienyrittäjillä yleensä sama henkilö
  • • käsittelyn tarkoitus; esim. liiketoimintaan liittyvä asiakasrekisteri
  • • kuvaus rekisteröityjen ryhmistä, esim. rekisteriin talletetaan asiakkaiden antamia tai asiakkuuteen liittyviä tietoja
  • • henkilötietojen vastaanottajien ryhmät, esim.: tiedot tallennetaan myös tilitoimiston järjestelmään; ilmoita myös, mihin varmuuskopiot tallennetaan, esim. jos varmuuskopioidaan salattuna muiden tiedostojen kanssa EU:n ulkopuolella sijaitsevalle Dropbox-palvelun palvelimelle
  • • tietoryhmien poistamisen määräajat, esim. asiakkuuteen liittyvät tiedot säilytetään asiakassuhteen keston ajan, ja poistetaan asiakkuuden päätyttyä, kun niihin liittyvien kirjanpitoaineistojen säilyttämisen velvoiteaika päättyy; toimeksiantoihin sisältyvät henkilötiedot poistetaan, kun toimeksiannon reklamaatioaika on umpeutunut.
  • • tekniset ja organisatoriset turvatoimet (kuvaa tietosuojajärjestelysi, niin sähköisen kuin manuaalisenkin aineiston suojaus).
  • • selostemalleja ja täyttämisohjeita on tietosuojavaltuutetun sivuilla.

 

3. Dokumentoi, miten informoit rekisteröityjä, esim. sisällyttämällä maininnan asiakasrekisteristä käyttämiisi sopimuksiin, ja varaudu tiedottamaan asiasta kysyttäessä.

 

4. Jos käytät ulkopuolista kirjanpitäjää tai alihankkijoita, joilla on pääsy yrityksesi tallentamiin henkilötietoihin, laadi heidän kanssaan yhteistyösopimus, jossa myös henkilötietojen käyttämisen prosessi kuvataan.

 

5. Varaudu siihen, että joudut perustelemaan toimintaasi ja mahdollisesti asianomaisen pyynnöstä poistamaan joitakin tietoja.

 

Tietosuoja-asetuksen velvoitteet pk-yrittäjälle tietosuojavaltuutetun toimistosta löytyvät täältä.