FACILOR - Onnistu järjestelmähankinnassa
  • Etusivu
  • Palvelut
  • Koulutukset
  • Kokemuksia
  • Meistä
  • Artikkelit
  • Yhteys

Tietosuoja-asetus ei ole (vain) IT-osaston asia

1/25/2018

 
Picture
GDPR-kiima alkaa olla kuumimmillaan. Organisaatiot valmistautuvat asetukseen ja tekevät oikeita toimenpiteitä hyvää vauhtia. Käydään koulutuksissa, pistetään järjestelmiä, sopimuksia ja tietosuojaselosteita kuntoon.

"Hyvä hyvä! Huusivat lapset", sanoisi entinen peruskoulun opettajani.

Keskustelu GDPR:n suhteen pyörii kuitenkin liikaa vain IT-järjestelmien ympärillä. Asetuksen haltuunotossa on nimittäin hyvä muistaa, että järjestelmien kuntoonlaitto on vain yksi osa-alue tietosuojan varmistamisessa.
Keskustelu pyörii liikaa vain IT-järjestelmien ympärillä
Artiklan 24 mukaisesti:

"1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa."

Kiinnitä huomio tässä kohtaan "organisatoriset toimenpiteet"!

Ne ovat niitä toimenpiteitä, joita tehdään johtamissäännöissä, käytännöissä ja prosesseissa eli käytännössä ihmisten arjessa. Pitää esittää kysymyksiä (esimerkkinä rekrytointiprosessi):
  • Mitä tietoa tallennamme hakijasta?
  • Ketkä käsittelevät hakijoiden tietoja eri vaiheissa prosessia?
  • Miten laajasti hyödynnämme hakijan tietoja talon sisällä? Entä talon ulkopuolella?
  • Miten siirrämme hakijan tiedot ulkoisille kumppaneille, esim. soveltuvuusarviokonsultille?
  • Olemmeko ohjeistaneet rekrytoivia esimiehiä hakemusten käsittelyssä?
    • Mitä kysytään haastatteluissa?
    • Mitä tietoja viedään rekrytointijärjestelmän haastattelumuistiinpanoihin?
    • Miten informoimme hakijoita prosessin eri vaiheissa?
  • Olemmeko ohjeistaneet kumppaneita (esim. soveltuvuusarviokonsultteja) hakemusten käsittelyssä?
  • Mitä teemme hakijoiden tiedoille, kun emme niitä enää tarvitse?
  • Miten huolehdimme manuaalisista arkistoista?
Kiinnitä katse kohtaan "organisatoriset toimenpiteet"!
Vaikka meillä olisi kuinka hyvät järjestelmät, joissa tietoturvaratkaisut ovat viimeisen päälle ja olemme varmistaneet sopimuksilla GDPR-velvoitteiden vastuuttamisen myös henkilötietojen käsittelijälle, eli tietojärjestelmän toimittajalle, voi ihminen yhä tehdä virheitä.

Olemme saaneet lukea useista tapauksista, joissa henkilötietoja on päätynyt esim. roskalavalle tai excel-taulukoiden kautta Google Drivessa julkiseen jakeluun.

Nämä tapaukset johtuvat yleensä inhimillisestä virheestä. Ihminen, joka asiaa hoiti, ei osannut ajatella, mihin hänen toimenpiteensä johtaa. Hän ei ehkä tiennyt, että näin ei saisi toimia.

Voi myös käydä vahinkoja. Työharjoittelijalle annetaan tehtäväksi siivota toimiston nurkkia. Ohjeistus oli hieman epäselvä ja hän kantaa vanhat sairauslomatodistus-mapit roskalavalle sellaisenaan, vaikka ensin piti pistää silppuriin ne todistukset.

Tietosuoja toteutuu siis lopulta ihmisissä, eikä vain tietojärjestelmissä. Tämän vuoksi GDPR-kiimaa pitäisi olla muuallakin, kuin IT-osastolla.
Tietosuoja toteutuu lopulta ihmisissä.
Edellisestä tullaankin sujuvasti manuaalisiin rekistereihin. Prosessien ja käytäntöjen lisäksi on nimittäin syytä kiinnittää huomiota myös manuaalisiin rekistereihin. Henkilöstöhallinnossa on usein erilaisia mappiarkistoja esim. työsopimuksille, sairauslomatodistuksille jne. Lisäksi voi olla erilaisia excel-taulukoita, raportteja jne, joissa on valtavasti henkilötietoa, usein myös arkaluontoista.

Manuaaliset rekisterit unohtuvat helposti, jos GDPR-työssä kiinnitetään huomiota vain tietojärjestelmiin. Myös monet GDPR-työtä helpottavat palvelut jättävät manuaaliset rekisterit sivurooliin ja keskittyvät lähinnä eri tietojärjestelmien hallintaan.

Manuaaliset rekisterit ovat kuitenkin yhtä lailla tietosuoja-asetuksen velvoitteiden piirissä. Näidenkin osalta on syytä kuvata, miten ne on suojattu, kuka niiden tietoja pääsee käsittelemään ja miten vanhentuneet / tarpeettomat tiedot siivotaan pois.

Ja taas toimitaan sen mukaisesti, eikä jätetä vain kuvauksen asteelle.

Käytännössä tullaan huomaamaan, että manuaalisten rekisterien käsittely on valtavan työlästä ja aletaan ketteröittämään prosesseja sekä miettimään paremmin, onko tätä tietoa todella tarve säilyttää paperimuotoisena vai riittäisikö, että tieto on tallessa tietojärjestelmässä. Ja hyvä niin, näin kehitys kehittyy!
Manuaalisten rekisterien suojaus unohtuu helposti, jos keskitytään vain IT-järjestelmiin
Mitä sitten pitäisi tehdä, jotta GDPR-työ ei olisi vain IT-osaston asia?

Käytännössä vaatii mm. seuraavia toimenpiteitä:
  1. Käydään läpi kaikki prosessit, joissa henkilötietoja käsitellään
    1. Tunnistetaan erilaiset rekisterit ja niiden käyttötarkoitus
    2. Tunnistetaan henkilöt ja roolit, jotka ovat mukana tietojen käsittelyssä
    3. Tunnistetaan eri järjestelmät, joita on käytössä (järjestelmätoimittajat henkilötietojen käsittelijänä)
    4. Tunnistetaan manuaaliset rekisterit
    5. Tunnistetaan muut ulkoiset toimijat, jotka ovat henkilötietojen käsittelijöinä mukana
    6. Tunnistetaan, kuka "omistaa" prosessin ja siihen liittyen henkilötiedot
  2. Tehdään tarvittavat toimenpiteet henkilörekistereihin ja järjestelmiin liittyen
    1. Tietosuojaselosteet kuntoon (mm. määritellään käsittelyperuste)
    2. Järjestelmätoimittajien kanssa asiat kuntoon (vaatimukset ja ohjeistukset -> sopimusmuutokset) -> tämä voisi olla IT-osaston vastuulla
    3. Tarvittaessa järjestelmien uudistusta ja jopa vaihtoa!
    4. Palvelutoimittajien kanssa asiat kuntoon (soveltuvuusarviokonsultit, tilitoimisto jne)
  3. Ohjeistetaan henkilöstö henkilötietojen käsittelyyn
    1. Prosessikuvaukset
    2. Ohjeistukset
    3. Henkilöstön kouluttaminen!!
  4. Dokumentoidaan kaikki edelliset toimenpiteet (osoitusvelvollisuuden täyttäminen)

Henkilöstön kouluttaminen on olennainen osa tietosuoja-asetuksen haltuunottoa. Kouluttamiseen on useita erilaisia menetelmiä ja niitä kannattaa hyödyntää monipuolisesti.
Henkilöstön kouluttaminen on yksi olennainen osa tietosuoja-asetuksen haltuunottoa
Allekirjoittaneella on 18 vuoden kokemus henkilötietojen käsittelystä HR-tietojärjestelmien parissa. Työssäni erilaisten järjestelmien käyttöönotoissa ja järjestelmäkehityksessä olen saanut perehtyä jo vanhaan henkilötietolakiin. Olenkin auttanut vuosien varrella asiakkaitani ymmärtämään, miten henkilötietoja voidaan käsitellä lain mukaisesti. Olen myös kouluttanut tuhansia järjestelmäkäyttäjiä ja näissä koulutuksissa on aina vähintään sivuttu myös tietosuoja-asioita.

Olen ottanut haltuun luonnollisesti myös uuden tietosuoja-asetuksen erityisesti HR-toimintojen näkökulmasta ja koulutan asiakkaitani tietosuoja-asetuksen haltuunotossa käytännönläheisellä otteella CASE-esimerkkien kautta. Ei siis pelkkää kuivaa lakitekstiä, vaan aitoa käytännönläheisyyttä monimutkaisen asian haltuunottoon.

Ota yhteyttä, mikäli teillä on tarve ottaa syvempää ja käytännönläheistä näkökulmaa tietosuoja-asetukseen!

Osallistu yleisiin koulutuksiin, joiden avulla on helppo ottaa perusteet haltuun:
  • Oulussa 15. helmikuuta
    • https://www.oulunkauppakamari.fi/?id=43&event_id=407
  • Ylivieskassa 16. helmikuuta
    • https://www.oulunkauppakamari.fi/?id=43&event_id=428
  • Jyväskylässä 8. maaliskuuta
    • https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-asetuksen-kiekuroista-konkretiaan-johdatus-tietosuojaan/770/
  • Helsingissä 6. maaliskuuta pidettävä Henry ry:n tilaisuus tuli välittömästi täyteen
  • Helsinkiin tulossa lisää koulutuksia maaliskuulle, pysy kuulolla!
  • Myös muille paikkakunnille tulossa koulutuksia

Huom! Kauppakamarin koulutuksissa jäsenalennus myös Henry ry:n jäsenille! Ilmoita jäsenyystieto ilmoittautumislomakkeella!

    Arkisto

    January 2020
    December 2018
    February 2018
    January 2018
    May 2017
    April 2016
    March 2016
    December 2015
    October 2015
    September 2015
    August 2015

    Kategoria

    All
    Digitalisaatio
    ESPD-lomake
    GDPR
    Hankinta
    Hankintalaki
    Henkilötiedot
    Hris
    Hrit
    HR-järjestelmä
    Hr-järjestelmä
    IT2015
    IT Hankinnat
    IT-hankinnat
    Järjestelmähankinta
    JIT2015
    Julkiset Hankinnat
    Käyttöönottoprojekti
    Markkinavuoropuhelu
    Pilvipalvelu
    Sopimus
    Sopimusehdot
    Soveltuvuusvaatimukset
    Tarjouspyyntö
    Tietosuoja
    Tietosuoja Asetus
    Tietosuoja-asetus

      Tilaa artikkelit

    Tilaa
Tutustu tietosuojakäytäntöömme: https://www.facilor.fi/tietosuojaseloste.html

© COPYRIGHT FACILOR OY 2020

  • Etusivu
  • Palvelut
  • Koulutukset
  • Kokemuksia
  • Meistä
  • Artikkelit
  • Yhteys