Metsäurakoinnissa käsitellään henkilötietoa, esimerkiksi metsänomistajaan, henkilöstöön, asiakkaaseen liittyvää. Tietojen käsittelyyn on tullut uusia säännöksiä. EU:n yleisen tietosuoja-asetuksen (GDPR) soveltaminen alkoi 25.5.2018. Euroopan unionin alueella toimivien yritysten tulee huolehtia, että niiden käsittelemien henkilötietojen tietosuoja on asetuksen vaatimalla tasolla. Jatkossa yritysten pitää mm. pystyä osoittamaan, että heillä on oikeus kerätä henkilötietoja ja että tietoja käsitellään huolellisesti tietosuojasta huolehtien. Yrityksillä on myös velvollisuus pyydettäessä antaa rekisteröidylle henkilölle hänen tietonsa ja vaadittaessa poistaa esimerkiksi asiakkaan tiedot.
Mitä tämä tarkoittaa metsäpalvelu- ja metsäkoneyrityksissä?
Käytännössä kaikissa yrityksissä käsitellään tietosuoja-asetuksen mukaisia henkilötietoja. Ne voivat olla esimerkiksi omien työntekijöiden, metsänomistaja-asiakkaan tai yhteistyökumppanin taikka tämän henkilöstön yhteystietoja. Asetuksessa mainittujen velvoitteiden hoitamiseksi yrityksessä on hyvä viisi askelta kohti hyvää tietosuojaa:
1) Selvitä nykytila
Nykytilan selvittämisen tarkoitus on selvittää, mitä henkilötietoja yrityksessä käsitellään, miksi niitä käsitellään, kuka käsittelee, miten tietosuoja on hoidettu. Henkilötietoja ovat niin omaan henkilöstöön kuin asiakkaisiin ja maanomistajiin liittyvät tiedot. Tietoja voi olla paperisina, sähköisinä tiedostoina tai esimerkiksi työhön liittyvissä urakanantajalta saaduissa tiedoissa. Käytännössä lähes kaikki työntekijät käsittelevät jossakin töidensä vaiheessa henkilötietoja.
Oleellista on tunnistaa yrityksen rooli henkilötiedon suhteen. Yritys voi olla henkilörekisterin pitäjä esim. oman henkilöstön tietojen osalta. Ja yritys on henkilötietojen käsittelijä esimerkiksi, kun se saa muilta yrityksiltä urakointia varten tietoja, jotka voivat sisältää esim. maanomistajien henkilötietoja. Vaatimukset ja etenkin vastuut ovat jossain määrin erilaiset eri rooleissa toimiessa. Rekisterinpitäjä on vastuussa tietojensa käsittelystä kaikissa vaiheissa, ja sen tulee varmistua, että myös henkilötietojen käsittelijöiden tietosuoja- ja turva on vaaditulla tasolla.
2) Määritä tarpeelliset henkilötiedot
Henkilötietoa saa kerätä ja säilyttää vain, jos se on tarpeellista toiminnan kannalta eli sille on oltava oikeusperuste. Peruste muodostuu esim. henkilön antamalla suostumuksella, urakointisopimuksen mukaisten velvollisuuksien hoidon myötä tai asiakkuuden myötä. Sellaiset henkilötiedot, joiden säilyttämiselle ei ole hyväksyttävää perustetta, on poistettava rekistereistä. Määrittele mahdollisuuksien mukaan myös enimmäissäilytysaika kaikelle säilytettävälle tiedolle. Kun henkilötiedon tarve poistuu, tiedot pitäisi poistaa reksitereistä tai muuttaa tunnistamattomaksi
3) Arvioi henkilötietojen käsittelyn riskit
Henkilötietojen rekisteröinti ja käsittely sisältää riskin tietojen häviämisestä, muuttumisesta, tai joutumisesta ei-toivottuun paikkaan. Tästä voi syntyä riski henkilön oikeuksille tai vapauksille, esimerkiksi yksityisten tietojen menetys tai jopa identiteettivarkaus. Yrityksen rekisteröimien taikka käsittelemiin henkilötietoihin liittyvät riskit on kartoitettava, kuvattava ja arvioitava. Yrityksen on itse määriteltävä aiheutuva riski sekä arvioitava, mikä on riskin toteutumisen mahdollinen seuraus ja mikä on riskin toteutumisen todennäköisyys.
4) Hoida tietojen suojaus
Henkilötiedot on suojattava. Tietoja suojaavat toimet toteutetaan suhteessa rekisteröitävän tai käsiteltävän henkilön oikeuksille ja vapauksille aiheutuvaan riskiin. Mikäli riski on pieni, tarvitaan vähäisempiä tietoturvatoimenpiteitä kuin vakaviin seuraksiin johtavien tietojen leviämisen estämisessä. Esimerkiksi henkilötunnusta on suojattava tiukemmin toimin, kuin puhelinnumeroa. Tietosuojaa ylläpitäviä toimia ovat esimerkiksi suppea käsittelijäjoukko, tietojärjestelmien tietoturva ja tietojen salaus, tekniset rajoitukset tietoon käsiksi pääsylle. Merkittävä tietosuojan varmistamisen keino on henkilöstön koulutus ja heille annetut ohjeet ja määräykset.
5) Dokumentoi, huolehdi osaamisesta ja kykene osoittamaan henkilötietojen hallinta
Yrityksellä on oltava kyky osoittaa noudattavansa säädäntöä myös käytännössä. Tätä kutsutaan asetuksessa osoitusvelvollisuudeksi. Tämä tapahtuu käytännössä dokumentoimalla edellä kuvatut asiat ja toimimalla kuvatulla tavalla.
Mistä löydän apua velvoitteideni täyttöön?
Koneyrittäjien liiton ja Metsäteho Oy:n ovat tehneet yhteistyössä tietosuoja-asetuksen velvoitteiden hoitamista käsittelevän oppaan ja, dokumentointityökalun sekä sopimusmallin, jolla yritykset sopivat tietosuojan ehdoista tilanteessa, jossa yritys luovuttaa hallussaan olevia henkilötietoja toisen yrityksen käsiteltäväksi (esim. pääurakoitsija antaa metsänomistajaa koskevaa tietoa aliurakoitsijan käsiteltäväksi urakan suorittamiseksi). Materiaalin tarkoitus on auttaa metsäkone- ja metsäpalveluyrityksiä sekä muita alan yrityksiä tietosuoja-asetuksen soveltamisessa ja tietosuojan saamisessa vaaditulle tasolle. Materiaalia löytyvät Puunhuolto.fi-sivustolta, http://puuhuolto.fi/tietosuoja/.
Timo Makkonen ja Simo Jaakkola
