GDPR-kiima alkaa olla kuumimmillaan. Organisaatiot valmistautuvat asetukseen ja tekevät oikeita toimenpiteitä hyvää vauhtia. Käydään koulutuksissa, pistetään järjestelmiä, sopimuksia ja tietosuojaselosteita kuntoon. "Hyvä hyvä! Huusivat lapset", sanoisi entinen peruskoulun opettajani. Keskustelu GDPR:n suhteen pyörii kuitenkin liikaa vain IT-järjestelmien ympärillä. Asetuksen haltuunotossa on nimittäin hyvä muistaa, että järjestelmien kuntoonlaitto on vain yksi osa-alue tietosuojan varmistamisessa. Keskustelu pyörii liikaa vain IT-järjestelmien ympärillä Artiklan 24 mukaisesti: "1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa." Kiinnitä huomio tässä kohtaan "organisatoriset toimenpiteet"! Ne ovat niitä toimenpiteitä, joita tehdään johtamissäännöissä, käytännöissä ja prosesseissa eli käytännössä ihmisten arjessa. Pitää esittää kysymyksiä (esimerkkinä rekrytointiprosessi):
Kiinnitä katse kohtaan "organisatoriset toimenpiteet"! Vaikka meillä olisi kuinka hyvät järjestelmät, joissa tietoturvaratkaisut ovat viimeisen päälle ja olemme varmistaneet sopimuksilla GDPR-velvoitteiden vastuuttamisen myös henkilötietojen käsittelijälle, eli tietojärjestelmän toimittajalle, voi ihminen yhä tehdä virheitä. Olemme saaneet lukea useista tapauksista, joissa henkilötietoja on päätynyt esim. roskalavalle tai excel-taulukoiden kautta Google Drivessa julkiseen jakeluun. Nämä tapaukset johtuvat yleensä inhimillisestä virheestä. Ihminen, joka asiaa hoiti, ei osannut ajatella, mihin hänen toimenpiteensä johtaa. Hän ei ehkä tiennyt, että näin ei saisi toimia. Voi myös käydä vahinkoja. Työharjoittelijalle annetaan tehtäväksi siivota toimiston nurkkia. Ohjeistus oli hieman epäselvä ja hän kantaa vanhat sairauslomatodistus-mapit roskalavalle sellaisenaan, vaikka ensin piti pistää silppuriin ne todistukset. Tietosuoja toteutuu siis lopulta ihmisissä, eikä vain tietojärjestelmissä. Tämän vuoksi GDPR-kiimaa pitäisi olla muuallakin, kuin IT-osastolla. Tietosuoja toteutuu lopulta ihmisissä. Edellisestä tullaankin sujuvasti manuaalisiin rekistereihin. Prosessien ja käytäntöjen lisäksi on nimittäin syytä kiinnittää huomiota myös manuaalisiin rekistereihin. Henkilöstöhallinnossa on usein erilaisia mappiarkistoja esim. työsopimuksille, sairauslomatodistuksille jne. Lisäksi voi olla erilaisia excel-taulukoita, raportteja jne, joissa on valtavasti henkilötietoa, usein myös arkaluontoista. Manuaaliset rekisterit unohtuvat helposti, jos GDPR-työssä kiinnitetään huomiota vain tietojärjestelmiin. Myös monet GDPR-työtä helpottavat palvelut jättävät manuaaliset rekisterit sivurooliin ja keskittyvät lähinnä eri tietojärjestelmien hallintaan. Manuaaliset rekisterit ovat kuitenkin yhtä lailla tietosuoja-asetuksen velvoitteiden piirissä. Näidenkin osalta on syytä kuvata, miten ne on suojattu, kuka niiden tietoja pääsee käsittelemään ja miten vanhentuneet / tarpeettomat tiedot siivotaan pois. Ja taas toimitaan sen mukaisesti, eikä jätetä vain kuvauksen asteelle. Käytännössä tullaan huomaamaan, että manuaalisten rekisterien käsittely on valtavan työlästä ja aletaan ketteröittämään prosesseja sekä miettimään paremmin, onko tätä tietoa todella tarve säilyttää paperimuotoisena vai riittäisikö, että tieto on tallessa tietojärjestelmässä. Ja hyvä niin, näin kehitys kehittyy! Manuaalisten rekisterien suojaus unohtuu helposti, jos keskitytään vain IT-järjestelmiin Mitä sitten pitäisi tehdä, jotta GDPR-työ ei olisi vain IT-osaston asia? Käytännössä vaatii mm. seuraavia toimenpiteitä:
Henkilöstön kouluttaminen on olennainen osa tietosuoja-asetuksen haltuunottoa. Kouluttamiseen on useita erilaisia menetelmiä ja niitä kannattaa hyödyntää monipuolisesti. Henkilöstön kouluttaminen on yksi olennainen osa tietosuoja-asetuksen haltuunottoa Allekirjoittaneella on 18 vuoden kokemus henkilötietojen käsittelystä HR-tietojärjestelmien parissa. Työssäni erilaisten järjestelmien käyttöönotoissa ja järjestelmäkehityksessä olen saanut perehtyä jo vanhaan henkilötietolakiin. Olenkin auttanut vuosien varrella asiakkaitani ymmärtämään, miten henkilötietoja voidaan käsitellä lain mukaisesti. Olen myös kouluttanut tuhansia järjestelmäkäyttäjiä ja näissä koulutuksissa on aina vähintään sivuttu myös tietosuoja-asioita.
Olen ottanut haltuun luonnollisesti myös uuden tietosuoja-asetuksen erityisesti HR-toimintojen näkökulmasta ja koulutan asiakkaitani tietosuoja-asetuksen haltuunotossa käytännönläheisellä otteella CASE-esimerkkien kautta. Ei siis pelkkää kuivaa lakitekstiä, vaan aitoa käytännönläheisyyttä monimutkaisen asian haltuunottoon. Ota yhteyttä, mikäli teillä on tarve ottaa syvempää ja käytännönläheistä näkökulmaa tietosuoja-asetukseen! Osallistu yleisiin koulutuksiin, joiden avulla on helppo ottaa perusteet haltuun:
Huom! Kauppakamarin koulutuksissa jäsenalennus myös Henry ry:n jäsenille! Ilmoita jäsenyystieto ilmoittautumislomakkeella! |
Arkisto
February 2021
Kategoria
All
|