Miksi GDPR koskee myös sinua?
Monet pienyrittäjät ajattelevat, että GDPR on vain suuryritysten huoli. Tämä on virheellinen käsitys. EU:n yleinen tietosuoja-asetus (asetus 2016/679) koskee jokaista, joka käsittelee henkilötietoja, riippumatta yrityksen koosta.
Tämä artikkeli tarjoaa yleistä tietoa GDPR:n soveltamisesta pienyrityksiin. Se ei ole oikeudellinen neuvo yksittäistilanteisiin. Epäselvissä tilanteissa ota yhteys lakimieheen tai tietosuojavaltuutetun toimistoon.
Käytännössä lähes jokainen yrittäjä käsittelee henkilötietoja:
- Asiakkaiden nimet, sähköpostit ja puhelinnumerot
- Laskutusosoitteet
- Verkkosivuston kävijäanalytiikka
- Uutiskirjeen tilaajat
- Yhteistyökumppaneiden yhteystiedot
Jo pelkkä asiakasrekisterin ylläpitäminen täyttää henkilötietojen käsittelyn määritelmän. Myös toiminimi on rekisterinpitäjä, jos se kerää henkilötietoja liiketoiminnassaan.
Viisi askelta GDPR-vaatimustenmukaisuuteen
1. Kartoita käsittelemäsi henkilötiedot
Ensimmäinen askel on selvittää, mitä tietoja keräät, mistä ne tulevat ja minne ne menevät. Tee yksinkertainen lista:
| Tietoryhmä | Mistä kerätty | Mihin käytetään | Missä säilytetään |
|---|---|---|---|
| Asiakastiedot | Tilauslomake | Laskutus, toimitus | Laskutusohjelma |
| Sähköpostilistaus | Uutiskirjeen tilauslomake | Markkinointi | Mailchimp / vastaava |
| Verkkosivun kävijät | Automaattinen (evästeet) | Analytiikka | Google Analytics |
| Sopimuskumppanit | Sopimukset | Yhteydenpito | Sähköposti, pilvi |
Kartoitus toimii pohjana kaikille muille GDPR-toimenpiteille. Ilman sitä et tiedä, mitä tietoja yrityksesi todellisuudessa käsittelee.
2. Varmista oikeusperuste käsittelyille
Tietosuoja-asetuksen 6 artikla edellyttää, että jokaisella henkilötietojen käsittelyllä on laillinen peruste:
| Peruste | Milloin sopii |
|---|---|
| Sopimus | Asiakkaan tietojen käsittely tilauksen toimittamiseksi |
| Lakisääteinen velvoite | Kirjanpitolaissa vaaditut tiedot |
| Oikeutettu etu | Nykyisten asiakkaiden suoramarkkinointi |
| Suostumus | Uutiskirje, evästeet, markkinointi potentiaalisille asiakkaille |
Tärkeää: Suostumus on peruutettavissa milloin tahansa. Jos nojaat suostumukseen, sinulla on oltava selkeä mekanismi sen peruuttamiseen.
3. Laadi tietosuojaseloste
Tietosuojaseloste (privacy notice) on lakisääteinen velvoite. Sen tulee olla selkeästi saatavilla, esimerkiksi verkkosivustosi alatunnisteessa tai erillisellä sivulla. Katso valmis pohja artikkelista GDPR-seloste: malli ja ohje pienyrittäjälle.
Tietosuojaselosteen minimitiedot:
- Yrityksen nimi ja yhteystiedot
- Mitä henkilötietoja kerätään
- Miksi tietoja käsitellään (tarkoitus ja oikeusperuste)
- Kuinka kauan tietoja säilytetään
- Kenelle tietoja luovutetaan
- Rekisteröidyn oikeudet ja niiden käyttäminen
4. Huolehdi tietoturvasta
GDPR edellyttää “asianmukaisia teknisiä ja organisatorisia toimenpiteitä”. Pienyrittäjälle tämä tarkoittaa käytännössä:
Tekniset toimenpiteet:
- Vahvat ja yksilölliset salasanat + kaksivaiheinen tunnistautuminen
- Säännölliset ohjelmistopäivitykset
- Tietojen salaus siirron ja tallennuksen aikana (HTTPS, salattu pilvipalvelu)
- Pääsynhallinta: vain tarvittavilla henkilöillä pääsy tietoihin
Organisatoriset toimenpiteet:
- Kirjallinen ohjeistus tietojen käsittelystä (vaikka vain itsellesi)
- Selkeät säilytysajat ja poistokäytännöt
- Sopimukset alihankkijoiden kanssa (ns. käsittelysopimukset)
5. Tunne rekisteröidyn oikeudet
Jokainen henkilö, jonka tietoja käsittelet, voi pyytää sinulta:
| Oikeus | Sisältö | Vastaamisaika |
|---|---|---|
| Tarkastusoikeus | Kopio omista tiedoistaan | 1 kuukausi |
| Oikaisupyyntö | Virheellisten tietojen korjaus | 1 kuukausi |
| Poistamispyyntö | Tietojen poistaminen (“oikeus tulla unohdetuksi”) | 1 kuukausi |
| Käsittelyn rajoittaminen | Tietojen käsittelyn rajoittaminen | 1 kuukausi |
| Siirto-oikeus | Tiedot koneluettavassa muodossa | 1 kuukausi |
| Vastustamisoikeus | Oikeus vastustaa tiettyä käsittelyä | Välittömästi |
Pyynnöt on käsiteltävä maksutta. Poikkeuksena ovat selvästi perusteettomat tai toistuvat pyynnöt, joista voit periä kohtuullisen korvauksen.
Oikeusperusteet käytännössä
Oikeusperusteen valinta on yksi yleisimmistä kompastuskivistä. Väärä peruste voi mitätöidä koko käsittelyn laillisuuden.
Sopimus on luontevin peruste asiakassuhteessa. Kun asiakas tilaa tuotteen, saat käsitellä tilauksen toimittamiseen tarvittavia tietoja ilman erillistä suostumusta.
Oikeutettu etu vaatii tasapainotestin. Sinun on punnittava yrityksesi etu rekisteröidyn oikeuksia vastaan. Suoramarkkinointi olemassa oleville asiakkaille on tyypillinen oikeutetun edun tilanne, mutta se edellyttää helposti saatavilla olevaa kielto-oikeutta.
Suostumus on tiukin peruste. Se edellyttää vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua. Esitäytetyt valintaruudut eivät täytä suostumuksen vaatimuksia.
Tietosuojavastaava: milloin pakollinen?
Tietosuoja-asetuksen 37 artikla määrittää, milloin organisaation on nimettävä tietosuojavastaava (DPO). Pienyrittäjän ei useimmiten tarvitse sellaista nimetä.
DPO on pakollinen kolmessa tapauksessa:
- Käsittelijä on viranomainen tai julkishallinnon elin
- Ydintehtävät edellyttävät laajamittaista rekisteröityjen seurantaa
- Ydintehtävät edellyttävät laajamittaista erityisten henkilötietoryhmien käsittelyä
Käytännössä tavallinen verkkokauppa, konsulttiyritys tai rakennusliike ei täytä näitä kriteerejä. Jos kuitenkin käsittelet terveystietoja, rikosrekisteritietoja tai teet laajamittaista profilointia, tilanne muuttuu. Tällöin kannattaa selvittää DPO-velvoite tarkemmin.
Tietoturvaloukkaus: 72 tunnin sääntö
Tietoturvaloukkaus tarkoittaa tilannetta, jossa henkilötietoja tuhoutuu, häviää, muuttuu tai päätyy sivullisille. Tietosuoja-asetuksen 33 artikla asettaa ilmoitukselle tiukan aikarajan.
Ilmoitusvelvollisuus tietosuojavaltuutetulle: Loukkaus on ilmoitettava 72 tunnin kuluessa sen havaitsemisesta, jos se todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille. Ilmoitus tehdään tietosuojavaltuutetun sähköisellä lomakkeella.
Ilmoitusvelvollisuus rekisteröidyille: Jos loukkaus todennäköisesti aiheuttaa korkean riskin, myös asianomaisille henkilöille on ilmoitettava viipymättä. Ilmoituksessa on kerrottava loukkauksen luonne, mahdolliset seuraukset ja tehdyt toimenpiteet.
Käytännön toimintaohje loukkauksessa:
- Pysäytä loukkaus ja rajaa vahingot
- Dokumentoi tapahtuma, sen laajuus ja vaikutukset
- Arvioi riski rekisteröidyille
- Ilmoita tietosuojavaltuutetulle 72 tunnin kuluessa (jos riski on olemassa)
- Ilmoita rekisteröidyille, jos riski on korkea
Myös vähäiset loukkaukset on dokumentoitava sisäisesti. Tietosuojavaltuutettu voi pyytää nähtäväksi kaikki loukkauskirjaukset.
Käsittelysopimus alihankkijan kanssa
Kun käytät ulkopuolista palveluntarjoajaa henkilötietojen käsittelyyn, tarvitset käsittelysopimuksen (Data Processing Agreement, DPA). Tämä koskee esimerkiksi pilvipalveluita, kirjanpitäjää ja markkinointityökaluja.
Tietosuoja-asetuksen 28 artikla listaa käsittelysopimuksen pakolliset sisällöt:
- Käsittelyn kohde, kesto, luonne ja tarkoitus
- Käsiteltävien henkilötietojen tyyppi ja rekisteröityjen ryhmät
- Rekisterinpitäjän oikeudet ja velvoitteet
- Alikäsittelijöiden käyttöä koskevat ehdot
- Velvoite poistaa tai palauttaa tiedot sopimuksen päättyessä
Useimmat suuret SaaS-palvelut tarjoavat valmiin DPA:n palveluehdoissaan. Tarkista, että sopimus on olemassa ennen palvelun käyttöönottoa. Jos käytät pientä paikallista palveluntarjoajaa, sopimus voi puuttua, ja vastuu on sinulla rekisterinpitäjänä.
Tietojen säilytysajat
GDPR edellyttää, ettei henkilötietoja säilytetä pidempään kuin käsittelyn tarkoitus vaatii. Moni yrittäjä kuitenkin säilyttää tietoja varmuuden vuoksi loputtomiin. Tämä on asetuksen vastaista.
Tyypillisiä säilytysaikoja:
| Tietoryhmä | Suositeltu säilytysaika | Peruste |
|---|---|---|
| Kirjanpitoaineisto | 6 vuotta tilikauden päättymisestä | Kirjanpitolaki 2:10 |
| Työsuhdetiedot | 2 vuotta työsuhteen päätyttyä | Syrjintäkanteiden vanhentuminen |
| Markkinointirekisteri | Suostumuksen voimassaoloajan | Suostumusperuste |
| Verkkosivun analytiikka | 14 kuukautta (GA4 oletusasetus) | Oikeutettu etu |
| Tarjouspyyntöjen tiedot | 1 vuosi tarjouksen päättymisestä | Sopimuksen valmistelu |
Kirjaa säilytysajat tietosuojaselosteeseesi. Luo käytäntö, jolla vanhentuneet tiedot poistetaan tai anonymisoidaan säännöllisesti. Lisätietoja kirjanpidon säilytysajoista löydät verotarkastuksen muistilistasta.
Yleisimmät virheet ja väärinkäsitykset
“GDPR ei koske minua, koska yritykseni on pieni.” Väärin. Asetus koskee kaikkia yrityksiä, jotka käsittelevät henkilötietoja. Yrityksen kokoa ei mainita poikkeusperusteena missään asetuksen kohdassa.
“Suostumus kattaa kaiken.” Suostumus on vain yksi kuudesta oikeusperusteesta. Moneen käsittelyyn sopii paremmin sopimus, lakisääteinen velvoite tai oikeutettu etu. Suostumuksen väärinkäyttö voi johtaa ongelmiin, jos se peruutetaan.
“Tietosuojaseloste on sama kuin käyttöehdot.” Ne ovat eri asiakirjoja. Tietosuojaseloste kertoo, miten henkilötietoja käsitellään. Käyttöehdot määrittelevät palvelun käyttöä koskevat säännöt.
“Minun ei tarvitse huolehtia alihankkijoiden tietosuojasta.” Rekisterinpitäjänä olet vastuussa myös alihankkijoidesi toiminnasta henkilötietojen osalta. Käsittelysopimus on pakollinen, ja sinun on varmistettava, että alihankkija noudattaa asetusta.
“Henkilötietojen kerääminen on kiellettyä.” GDPR ei kiellä tietojen keräämistä. Se edellyttää, että kerääminen on perusteltua, läpinäkyvää ja oikeasuhtaista. Kerää vain tarpeelliset tiedot (tietojen minimoinnin periaate).
Erityistilanteet pienyrittäjälle
Evästeet ja verkkosivusto
Jos verkkosivustollasi on analytiikka- tai markkinointievästeitä, tarvitset:
- Evästesuostumustyökalun: käyttäjän on voitava valita, mitä evästeitä hyväksyy
- Evästeselosteen: lista käytetyistä evästeistä ja niiden tarkoituksesta
- Tietosuojakäytännön: kuvaus kaikesta henkilötietojen käsittelystä
Evästevaatimukset perustuvat sekä GDPR:ään että sähköisen viestinnän palveluista annettuun lakiin. Lisätietoja tekoälytyökalujen tietosuojariskeistä löydät oppaasta tekoäly ja tietosuoja pienyrityksessä.
Tietojen siirto EU:n ulkopuolelle
Jos käyttämäsi palvelu siirtää tietoja EU:n tai ETA:n ulkopuolelle, siirrolla on oltava asianmukainen suoja. EU:n ja Yhdysvaltojen välinen Data Privacy Framework kattaa monet yhdysvaltalaiset palvelut. Tarkista palveluntarjoajan tietosuojakäytännöstä, onko se sertifioitu.
Työntekijöiden henkilötiedot
Työnantajana käsittelet työntekijöiden henkilötietoja laajasti: palkat, terveystiedot, yhteystiedot ja työsuhteen tiedot. Työsuhteen tietosuojasta säädetään tietosuoja-asetuksen lisäksi laissa yksityisyyden suojasta työelämässä (759/2004).
Työnantajana sinun on informoitava työntekijöitä tietojen käsittelystä. Lisäksi terveystietojen käsittelyoikeus on rajoitettu tarkasti. Lisätietoja työnantajan velvollisuuksista löydät työsopimuksen ABC-oppaasta ja yrittäjän lakisääteisten velvoitteiden oppaasta.
Kustannukset ja seuraamukset
GDPR-rikkomuksista voidaan määrätä hallinnollinen seuraamusmaksu:
- Lievemmät rikkomukset: enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta
- Vakavat rikkomukset: enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta
Suomessa tietosuojavaltuutetun toimisto käsittelee valitukset ja valvoo asetuksen noudattamista. Käytännössä pienyrityksille määrätyt sakot ovat olleet pienempiä, tyypillisesti tuhansia tai kymmeniätuhansia euroja.
Sakkojen lisäksi on huomioitava muut kustannukset. Maineriski voi olla pienyrittäjälle sakkoa merkittävämpi seuraamus. Asiakkaiden luottamuksen menettäminen ja negatiivinen julkisuus vaikuttavat suoraan liiketoimintaan.
GDPR-vaatimustenmukaisuuden kustannukset ovat sen sijaan pienet. Tietosuojaselosteen laatiminen, käsittelysopimukset ja tietoturvakäytäntöjen dokumentointi vaativat lähinnä aikaa, eivät suuria investointeja.
GDPR-tarkistuslista pienyrittäjälle
- Kartoitettu, mitä henkilötietoja käsitellään ja missä
- Jokaiselle käsittelylle on oikeusperuste
- Tietosuojaseloste laadittu ja julkaistu verkkosivuilla
- Evästesuostumustyökalu asennettu (jos sivustolla evästeitä)
- Käsittelysopimukset solmittu alihankkijoiden kanssa
- Tietoturvakäytännöt dokumentoitu
- Prosessi rekisteröityjen pyyntöjen käsittelyyn olemassa
- Tietomurtotilanteen toimintasuunnitelma laadittu
- Säilytysajat määritelty ja vanhentuneiden tietojen poisto aikataulutettu
- Työntekijöille informoitu henkilötietojen käsittelystä (jos työnantaja)
Usein kysyttyä
Koskeeko GDPR myös yksityisiä elinkeinonharjoittajia?
Kyllä. GDPR koskee kaikkia, joka käsittelevät henkilötietoja — myös toiminimellä toimivia yrittäjiä. Asiakasrekisteri, laskutusjärjestelmä tai sähköpostilista ovat kaikki henkilötietojen käsittelyä.
Mitä henkilötieto tarkoittaa GDPR:ssä?
Henkilötieto on mikä tahansa tieto, josta luonnollinen henkilö voidaan tunnistaa suoraan tai epäsuorasti. Nimi, sähköpostiosoite, puhelinnumero, IP-osoite ja sijaintitieto ovat tyypillisiä esimerkkejä.
Pitääkö pienyrittäjän nimetä tietosuojavastaava?
Pienyrittäjän ei yleensä tarvitse nimetä tietosuojavastaavaa (DPO). DPO on pakollinen vain, jos yritys käsittelee henkilötietoja laajamittaisesti tai käsittelee erityisiä henkilötietoryhmiä (esim. terveystietoja) pääasiallisena toimintanaan.
Mitä tapahtuu tietoturvaloukkauksessa?
Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetulle 72 tunnin kuluessa, jos loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Vakavimmista loukkauksista on ilmoitettava myös asianomaisille henkilöille.
WLAKI.fi toimitus
Juridinen tietopankki yrittäjille