Mitä GDPR oikein yrityksille käytännössä tarkoittaa

30. elokuuta 2017

Arcin tietosuoja-asiantuntijat Marja-Liisa Kuronen ja Leena Kangas pohtivat, mitä GDPR oikein yrityksille käytännössä tarkoittaa:

GDPR käytännössä?

GDPR (eli EU:n yleinen tietosuoja-asetus, jonka soveltaminen alkaa kaikissa EU-maissa 25.5.2018) on nyt kaikkien huulilla, ja monessa yrityksessä saatetaan kokea jopa ahdistusta aiheeseen liittyen. Monilla on jo hanke asian taklaamiseksi menossa. On toki myös jo yrityksiä, joissa asia on kunnossa, ja mitään paniikkia aiheeseen liittyen ei ole.

HR-järjestelmien toimittajana olemme olleet henkilötietobusineksessa jo yli 15 vuotta. Teemme omaa yrityksen sisäistä tietosuojavalmistautumistamme, ja samaan aikaan osallistumme yhteistyössä asiakkaidemme kanssa heidän tietosuojahankkeisiinsa, koska henkilötietojen käsittelijänä meillä on oma tehtävämme auttaa nykyasiakkaitamme tietosuojainformoinnissa.

Henkilötiedon käsittelyn ydinosaamiseemme perustuen olemme tekemässä tietosuojatyötä myös laajemmin – tässä kirjoituksessa valotamme tätä tehtäväkenttää.

Monet  jo tähän mennessä tietävät, mitä tietosuoja-asetus sisältää, mutta mitä GDPR-tekeminen sitten käytännössä oikein tarkoittaa?

Useimmille meistä se tarkoittaa

  • yrityksen sisäisten toimintatapojen ja ohjeiden läpikäyntiä ja täydentämistä,
  • järjestelmätason tietosisältöjen ja käsittelyperusteiden selvittämistä,
  • oman henkilöstön tietosuojakoulutusta ja -tiedotusta,
  • neuvottelua ja toimitussopimusten täydentämistä toimittajien kanssa, ja
  •  monesti myös muutosten toteuttamista tietojärjestelmiin.

Yleisessä keskustelussa on painotettu tietojärjestelmien vaatimia muutoksia ja niiden aiheuttamia kustannuksia, mutta kyseessä on myös toimintatapoihin ja niiden tarkentamiseen liittyvä muutoshanke.

Pähkinänkuoressa: on selvitettävä, miten ja missä eri tietojärjestelmissä yrityksessäsi käsitellään henkilötietoja, ja miten nuo henkilötiedot pidetään turvassa.

Yksi osa tuosta turvallisena pitämisestä liittyy järjestelmiin ja niiden tekniseen tietoturvaan, mutta yhtä suuri osa liittyy tietoja käsitteleviin henkilöihin ja heidän työtapoihinsa. Esimerkiksi, kuinka helppoa onkaan unohtaa puhelimessa ollessaan, että ympärillä on henkilöitä, joille puhelimessa keskustelemasi asiat eivät kuulu. Jokainen meistä muistaa varmasti olleensa todistamassa sellaista keskustelua.

Kaikki alkaa siitä, että tehdään ns. gap-analyysi, eli selvitetään, mitä yrityksessäsi pitää tehdä. Sitä varten on olemassa tarjolla moninainen joukko tarkastuslistoja, mm. tietosuojavaltuutetun toimisto tarjoaa niitä.

Jos yrityksessäsi noudatetaan laatujärjestelmää tai prosessinne on jo muutoin kuvattu, olemassa olevat henkilötietoja käsittelevät prosessit ja ohjeet tulee käydä läpi tai luoda puuttuvat. Näitä ovat esimerkiksi rekrytointiprosessi ja muut HR-prosessit, unohtamatta muita kohdealueita, joissa henkilötietoja käsitellään, esimerkiksi myynti ja asiakaspalvelu ovat tällaisia alueita. Kun kaikkiin kuvauksiin on huomioitu tietosuoja-asetuksen vaatimukset, muutoksien koulutuksesta vaikutuspiirissä olevalle henkilöstölle tulee huolehtia.

Yksi tietosuoja-asetuksen vaatimuksista on toiminnan läpinäkyvyyden lisääminen henkilötietojen omistajan – eli henkilön itsensä - suuntaan. Esimerkiksi, koska jokaisessa yrityksessä käsitellään lakiin perustuen työntekijöiden henkilötietoja, on työnantajan tiedotettava entistä paremmin siitä, miten henkilötietoja käsitellään. Henkilötietoja sisältävästä rekisteristä – joka voi olla muukin kuin HR-järjestelmä - on tehtävä henkilörekisteriseloste (tai uudelta nimeltään tietosuojaseloste), josta selviää mm. tietojen käsittelyn vastuuhenkilö, talletettavat tiedot jne. Jotta läpinäkyvyys toteutuisi täydellisesti, henkilön on halutessaan mahdollista pyytää myös kaikki tiedot itsestään paperilla tai myös koneluettavassa muodossa. Tähänkin on hyvä varautua.

Kun kaikki muutokset ja parannukset on tehty, lopuksi on sovittava kaiken tämän säännöllinen läpikäynti ja seuranta. Jos yritykseen on hankkeen aikana nimitetty tietosuojavastaava, niin tämä on tietysti hänen vastuullaan, mutta vaikkei olisikaan, on huolehdittava siitä, että tietosuojakäytännöt pysyvät mielessä ja aktiivisena osana yrityksen päivittäistä toimintaa.

Olemme koonneet alta avautuvaan linkkiin oman Kuuden kohdan ohjelmamme tietosuojan käyttöönotosta. Ole hyvä ja lataa omasi!

 

Leena Kangas                             Marja-Liisa Kuronen