Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
Mitä GDPR tarkoittaa pk-yritykselle?

GDPR on haastava rasti kaikille, mutta miten se tulee vaikuttamaan pieniin ja keskisuuriin firmoihin?

Isommat organisaatoit ovat jo liikkeellä, pienemmät usein vasta pohtivat. Miten pienempien firmojen kannattaa yleensäkin lähteä liikkeelle tietosuojatyössä ja GDPR:ssä?

Tietosuojatyön aloittamiseen on kolme pääasiallista tapaa:

  1. Tee-se-itse -palvelut, kuten Tietosuojamalli
  2. Teeman opiskelu erilaisten koulutusten kautta
  3. Konsultin kutsuminen paikalle neuvomaan

Ennen kuin valitset, tutustu näihin kolmeen avainkysymykseen siitä, miten GDPR:ää sovelletaan pienissä yrityksissä.

K: Koskeeko GDPR yleensäkin meitä (pienenä yrityksenä)?

Vastaus: Kyllä. Jos olet lukenut jostain ohjeistusta, jonka mukaan GDPR ei koske pieniä firmoja, ne ovat virheellistä tietoa. GDPR koskee kaikkia.

(Pieniä vapauksia satunnaisesti (underline) henkilötietoja käsittelevät pienet firmat saavat, jotka on kerrottu GDPR artiklassa 30.)

K: Tarvitaanko meilläkin tietosuojavastaava?

Vastaus: Saatetaan tarvitakin. Tämä riippuu keräämänne tiedon luonteesta. Erityisiä henkilötietoja (ammattiliiton jäsenyys, terveystiedot, jne.) tai laajamittaista rekisteröityjen seurantaa (online-träkkäys, videokuvaus, jne.) tehtäessä tarvitaan aina tietosuojavastaava.

Tietosuojavastaavan nimeäminen voi olla hyvä veto muutenkin. Jonkin kannattaa olla vastuussa tietosuojatyöstä - jaettu vastuu voi olla ei kenenkään vastuu...

K: Mitä sakkoja joudun maksamaan, jos menee pahasti pieleen?

Vastaus: Uuden asetuksen sakot ovat moninkertaisia aiempiin verrattuina.  Sakkoa voi pienellekin yritykselle napsahtaa 10 miljoonaa euroa jo GDPR-vaatimusten laiminlyönnistä ja varsinaisista tietovuodoista aina 20 miljoonaan euroon asti.

GDPR on kaikenkokoisille yrityksille merkittävä asia. Tietosuojamalli.fi kaltaiset palvelut tarjoavat PK-yrityksille tavan ottaa tietosuojatyön haltuun itselleen, jolloin ei jäädä konsulttien varaan ja voidaan kohdistaa GDPR-investoinnit järkevämmin.

Kirjoitus on muokattu tiivistelmä ITPRO:n julkaisemasta artikkelista.

Sisältö

Jaa artikkeli