Tietosuoja osana yrityksen kokonaistiedonhallintaa

Tätä kirjoitettaessa Matti Mattsson on juuri voittanut Suomelle olympiapronssia 200 metrin rintauinnissa. Matin tarina on hieno ja kertoo tavoitteiden saavuttamiseksi tarvittavasta työstä, epätoivon hetkistä matkan varrella ja muutosten tarpeiden ymmärtämisestä, kun asiat eivät toimi.

Tietosuoja-asetuksen vaikutukset 2018-2021

EU:n tietosuoja-asetus on ollut voimassa nyt hieman yli kolme vuotta. Valtavasti fokusta oli maagisessa toukokuun lopussa 2018. Varsinkin suurissa yrityksissä panostettiin paljon tietosuoja-asioiden saattamiseksi riittävälle tasolle. Työtunteja ja taloudellisia resursseja käytettiin runsaasti. Osa yrityksistä valitsi kevyemmän tien ja päivitti vain dokumentaationsa vastaamaan uutta asetusta. Joissain yrityksissä ei tehty mitään. Jäätiin odottamaan miten Suomen tietosuojaviranomainen reagoi uuden asetuksen suomilla valtuuksillaan. Sanktioiden ja näkyvän ohjauksen osalta ensimmäisen puolentoista vuoden arvio on: Ei mitenkään. Muualla Euroopassa reagoitiin uuden asetuksen tuomiin mahdollisuuksiin ärhäkämmin. Suomessa näytti pitkään siltä että ne yritykset, jotka eivät panostaneet GDPR:n mukanaan tuomiin vaatimuksiin olivat tehneet ”oikean” valinnan.

Tietosuojavaltuutetun toimiston aloitettua ratkaisujen antamisen tietosuojarikkomuksissa virisi uusi mielenkiinto tietosuoja-asioiden kuntoon laittamiseksi yrityksissä. Myös tapaus Vastaamon saama julkisuus lisäsi näkyvää keskustelua tietosuojaan ja tietoturvaan liittyvistä asioista. Viimeistään tässä vaiheessa oli kaikille selvää millaisia vaikutuksia asiakastietojen tai yleisemmin henkilötietojen vuotamisella voi olla. Havahduttiin myös siihen, että asioiden kuntoon laittaminen pelkästään paperilla ei riitä. Tietosuojan kokonaisvaltainen toteutuminen vaatii yhteistyötä yrityksen eri toimintojen välillä, koko henkilöstön kouluttamista toistuvasti työtehtävän mukaisella koulutuksella, kumppaneiden ja alihankkijoiden tietosuojalupausten verifiointia myös käytännön tasolla ja tietenkin tietosuojan huomioimista kaikissa sopimuksissa.

Tietosuojatyön johtaminen

Tietosuojatyön johtaminen yrityksissä on usein määritelty lisävastuuksi henkilölle, jolla on jokin muu ns. päätehtävä. Sellaisissa yrityksissä, joissa henkilötietojen käsittely on hyvin vähäistä eikä kohdistu arkaluontoisiin henkilötietoryhmiin tämä saattaa olla toimiva ratkaisu. Sen sijaan yrityksissä, joissa henkilötietoja käsitellään laajasti, tulisi tietosuojatyöhön nimetä tietoturvan tapaan dedikoitu vastuuhenkilö jonka päätehtävänä on yrityksen tietosuoja-asioiden kehittäminen ja valvonta.

Tietosuojavastaavan tehtäviin kuuluu tietosuojatyön organisointi yrityksessä. Hyvänä lähtökohtana on tietosuojatyön dokumentointi ja tietosuojaryhmän perustaminen. Tähän ryhmään tulisi liittää yrityksen kaikkien liiketoimintojen ja tukitoimintojen edustus. Tietosuojatyöllä tulee luonnollisesti olla yritysjohdon mandaatti toiminnalleen. Perustoiminnat määritellään tietosuojan vuosikellossa, jossa on ajoitettuna kaikki vuosittain toistuvat tietosuojaan liittyvät toimet yrityksessä. Tietosuojaan liittyviin poikkeamiin, tietoturvaloukkauksiin ja henkilötietoihin liittyvien oikeuksien täyttämiseen tulee olla omat kuvatut prosessinsa.

Ymmärrys tietosuojaan yhdessä

Henkilötietojen suoja ei onnistu kenenkään yksittäisenä suorituksena vaan vaatii koko yrityksen yhteistä tekemistä ja tietosuojan huomioimista kaikissa toimissa. Tietosuojan läheisimmät kumppanit ovat tietoturva, lakiasiat, riskienhallinta, henkilöstöhallinto ja ne liiketoiminta-alueet, joissa henkilötietoja käsitellään laajasti (esimerkiksi myynti ja asiakaspalvelu.) Rekisteröityjen oikeuksien toteutuminen vaatii yritykseltä myös hyvää kokonaistiedon hallintaa. Henkilötietojen kerääminen, tallentaminen, säilyttäminen ja poistaminen tulee perustua dokumentoituun ohjeistukseen. Tietojen tulee olla hyvin suojattuja mutta samalla myös helposti löydettävissä tarpeen vaatiessa.

Me Spartalla voimme auttaa erilaisia yrityksiä saavuttamaan seuraavan askeleen tietosuojaan ja tiedonhallintaan liittyen. Vankka kokemuksemme näillä alueilla nopeuttaa haluttujen tavoitteiden saavuttamista.

Matti ui pronssiuintinsa yksin. Ilman osaavaa ja asiantuntevaa taustajoukkoa hän olisi tuskin koskaan päässyt olympiafinaaliin…