Yleinen

Tietosuoja check – Muistilista kuljetusyrityksille

Tietosuoja check - Muistilista kuljetusyrityksille

Uuden tietosuoja-asetuksen (GDPR) soveltaminen alkaa jo kolmen kuukauden kuluttua. Jos olet vasta alkanut tutustua aiheeseen tai se tuntuu edelleen hankalalta ei hätää: tietoa asetuksesta on saatavissa paljon. Hyvän kokonaiskuvan asetuksesta saat esimerkiksi täältä ja lisää voit lukea täältä.

Kuljetusyrityksissä liikkuu luonnollisesti paljon GDPR:n tarkoittamia henkilötietoja ja aivan erityisesti silloin kun operoidaan koulukuljetuksia tai SHL ja VPL -tyyppisiä kuljetuksia. Lisäksi yritykset käsittelevät henkilökuntansa ja yhteistyökumppaneidensa henkilötietoja sekä muodostavat erilaisia markkinointi- ja asiakastietorekistereitä.

Kokosin etenkin kuljetusyrityksille (ja miksei muillekin) sopivan muistilistan, johon nostin keskeisiä asioita tietosuoja-asetuksesta. Voit käyttää sitä apunasi, kun arvioit, käsitteleekö yrityksesi henkilötietoja asetuksen edellyttämällä tavalla. Muistathan, että voit pyytää apua tietosuojatyöhösi myös meiltä.

 

√ Mitä henkilötietoja käsitellään ja missä ne ovat

Tietosuoja-asetus säätelee nimenomaan henkilötietojen käsittelyä. On oleellista ymmärtää mitkä tiedot ovat henkilötietoja ja kuuluvat näin asetuksen piiriin sekä mitä tarkoittaa käsittely.

Henkilörekisterillä tarkoitetaan jäsenneltyä henkilötietojen joukkoa. Rekistereissä voi olla niin asiakkaiden, yhteistyökumppaneiden kuin työntekijöidenkin tietoja. Tietoja voi siis olla yllättävänkin paljon ja ne saattavat olla hajallaan, kun saman rekisterin tietoja käsitellään ensin esimerkiksi Excelissä, sitten kuljetustenhallintaohjelmassa ja lopuksi laskutuksessa.

Erityisten arkaluonteisten henkilötietojen eli niin sanottujen erityisten henkilötietoryhmien käsittelylle tarvitaan erityinen peruste. Tällaisia tietoja ovat esimerkiksi terveystiedot sekä lähtökohtaisesti myös lasten tiedot. Erityisiä henkilötietoryhmiä käsiteltäessä tulee varmistua siitä, että käsittelijällä on salassapitovelvollisuus sekä tarvittava ohjeistus tietoturvallisen käsittelyn varmistamiseksi.

√ Millä perusteella käsittely tapahtuu

Tietojen käsittelylle tulee aina olla lainmukainen peruste. Tällainen voi olla esimerkiksi sopimukseen perustuvan palvelun toteuttaminen tai rekisteröidyn henkilökohtainen ja todennettavissa oleva suostumus. Tietomäärä tulee minimoida ja vain oleellisia henkilötietoja käsitellä. Käsittelyn tulee olla läpinäkyvää ja turvallista.

√ Tunnista omat roolisi

Mikä on roolisi suhteessa mihinkin henkilörekisteriin? Oletko rekisterinpitäjä ja vai käsittelijä? Sekä vastuusi että oikeutesi määräytyvät tämän mukaan. Usein yritykset toimivat molemmissa rooleissa ja rekistereitä on monta.

Esimerkiksi koulukuljetukset ostaa yleensä kunta, joka myös luovuttaa kuljetettavien tiedot kuljetusyritykselle. Tällaisessa tapauksessa kunta on rekisterinpitäjä ja kuljetusyritys tietojen käsittelijä. Rekisterinpitäjällä on oikeus määrätä rekisterin käytöstä ja vastaavasti velvollisuus antaa ohjeistus tietojen käsittelyä varten.

Henkilötietojen käsittelijä käsittelee tietoja siis aina rekisterinpitäjän lukuun ja siksi kannattaakin varmistua siitä, että on saanut käsittelyohjeet dokumentoituna. Usein nämä sisältyvät esimerkiksi kuljetuspalvelusopimukseen tai annetaan erillisenä tietosuojaliitteenä sopimuksen yhteydessä.

√ Sopimukset ja ohjeistukset kuntoon

Henkilötietojen käsittelystä on oltava sopimus tai muu pätevä asiakirja, josta ilmenee käsittelyn tarkoitus, kohde, kesto, käsiteltävien henkilötietojen tyyppi sekä rekisterinpitäjän velvollisuudet ja oikeudet kuten myös se, että käsittelijät ovat sitoutuneet noudattamaan salassapitovelvollisuutta.

Myös alihankkijat ja yhteistyökumppanit voivat olla jonkin rekisterin käsittelijöitä olematta kuitenkaan varsinainen osa sitä sopimusta jonka perusteella henkilötiedot ovat tulleet käsiteltäviksi. Varmista, että rekisterinpitäjällä on aina ajantasainen tieto siitä ketkä henkilötietoja käsittelevät ja vastaavasti siitä, että alihankkijoillasi on tieto käsittelyn edellytyksistä ja tavoista.

Henkilötietoja käsittelevällä henkilökunnalla tulee olla asianmukaiset salassapitosopimukset, jotka usein on tehty työsopimuksen yhteydessä sekä ohjeistus rekisterin ylläpidosta ja sallituista käsittelytoimista. Riittävällä koulutuksella ja ohjeistuksella varmistut siitä, että henkilötietoja käsitellään tietoturvallisesti ja toisaalta siitä, että henkilökunta ei joudu pohtimaan, kuinka käsittelyä tulisi suorittaa. Luo prosessit liittyen asetuksen mukaisiin tietojen siirtoihin. luovutuksiin, tarkastuksiin sekä tietoturvaloukkausten varalle.

Sopimuksin varmistut siitä, että sinulla on oikeus käsitellä henkilötietoja sekä siitä että sopimus- ja yhteistyökumppaneiden toiminta vastaa GDPR:n vaatimuksia.

√ Selosteet ajan tasalle

Jokaisesta henkilötietoja sisältävästä rekisteristä tulee ylläpitää nykyisen henkilötietolain mukaisen rekisteriselosteen kaltaista tietosuojaselostetta.

Lisäksi henkilötietojen käsittelijän on ylläpidettävä selostetta käsittelytoimista osoittaakseen käsittelyn lainmukaisuus. Selosteessa kuvataan mm. henkilötietojen käsittelyn tarkoitus, käsittelytoimet ja säilytysajat sekä kerrotaan rekisteröidylle hänen oikeuksistaan. Käytännössä käsittelijän on siis dokumentoitava vastuullaan olevat käsittelytoimet, mikä tukee asetuksen mukaisen osoitusvelvollisuuden toteuttamista.

√ Osoitusvelvollisuus

Tietosuoja-asetutuksen noudattaminen tulee voida osoittaa dokumentein. Henkilötietoja käsittelevän tahon on siis oma-aloitteisesti ylläpidettävä dokumentaatiota, josta muodostuu ajantasainen kuva henkilötietojen käsittelyn tavoista ja toimintaperiaatteista. Esimerkiksi edellä mainittu seloste käsittelytoimista voi olla osa tällaista dokumentaatiota, jonka avulla henkilötietojen käsittelyn tilaa voidaan arvioida.

Osoitusvelvollisuus on ennakollinen eli dokumentaation on oltava aina ajan tasalla ja se on voitava esittää vaikka varsinaista tietoturvaloukkausta ei olisi tapahtunut. Yrityksen toimintamallien ajoittainen tarkastelu tarjoaa kuitenkin mahdollisuuden oman toiminnan laadun parantamiseen. Tietosuoja-asetukseen kannattaakin suhtautua ennen kaikkea mahdollisuutena kartoittaa ja kehittää yrityksen toimintaa.

Katja Kataja
Projektipäällikkö, Movit

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *