Tietosuoja-asetus ei ole (vain) IT-osaston asia

GDPR-kiima alkaa olla kuumimmillaan. Organisaatiot valmistautuvat asetukseen ja tekevät oikeita toimenpiteitä hyvää vauhtia. Käydään koulutuksissa, pistetään järjestelmiä, sopimuksia ja tietosuojaselosteita kuntoon.

"Hyvä hyvä! Huusivat lapset", sanoisi entinen peruskoulun opettajani.

Keskustelu GDPR:n suhteen pyörii kuitenkin liikaa vain IT-järjestelmien ympärillä. Asetuksen haltuunotossa on nimittäin hyvä muistaa, että järjestelmien kuntoonlaitto on vain yksi osa-alue tietosuojan varmistamisessa.

Keskustelu pyörii liikaa vain IT-järjestelmien ympärillä

Artiklan 24 mukaisesti:

"1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa."

Kiinnitä huomio tässä kohtaan "organisatoriset toimenpiteet"!

Ne ovat niitä toimenpiteitä, joita tehdään johtamissäännöissä, käytännöissä ja prosesseissa eli käytännössä ihmisten arjessa. Pitää esittää kysymyksiä (esimerkkinä rekrytointiprosessi):

• Mitä tietoa tallennamme hakijasta?
• Ketkä käsittelevät hakijoiden tietoja eri vaiheissa prosessia?
• Miten laajasti hyödynnämme hakijan tietoja talon sisällä? Entä talon ulkopuolella?
• Miten siirrämme hakijan tiedot ulkoisille kumppaneille, esim. soveltuvuusarviokonsultille?
• Olemmeko ohjeistaneet rekrytoivia esimiehiä hakemusten käsittelyssä?
  • Mitä kysytään haastatteluissa?
  • Mitä tietoja viedään rekrytointijärjestelmän haastattelumuistiinpanoihin?
  • Miten informoimme hakijoita prosessin eri vaiheissa?
• Olemmeko ohjeistaneet kumppaneita (esim. soveltuvuusarviokonsultteja) hakemusten käsittelyssä?
• Mitä teemme hakijoiden tiedoille, kun emme niitä enää tarvitse?
• Miten huolehdimme manuaalisista arkistoista?
  

Kiinnitä katse kohtaan "organisatoriset toimenpiteet"!

Vaikka meillä olisi kuinka hyvät järjestelmät, joissa tietoturvaratkaisut ovat viimeisen päälle ja olemme varmistaneet sopimuksilla GDPR-velvoitteiden vastuuttamisen myös henkilötietojen käsittelijälle, eli tietojärjestelmän toimittajalle, voi ihminen yhä tehdä virheitä.

Olemme saaneet lukea useista tapauksista, joissa henkilötietoja on päätynyt esim. roskalavalle tai excel-taulukoiden kautta Google Drivessa julkiseen jakeluun.

Nämä tapaukset johtuvat yleensä inhimillisestä virheestä. Ihminen, joka asiaa hoiti, ei osannut ajatella, mihin hänen toimenpiteensä johtaa. Hän ei ehkä tiennyt, että näin ei saisi toimia.

Voi myös käydä vahinkoja. Työharjoittelijalle annetaan tehtäväksi siivota toimiston nurkkia. Ohjeistus oli hieman epäselvä ja hän kantaa vanhat sairauslomatodistus-mapit roskalavalle sellaisenaan, vaikka ensin piti pistää silppuriin ne todistukset.

Tietosuoja toteutuu siis lopulta ihmisissä, eikä vain tietojärjestelmissä. Tämän vuoksi GDPR-kiimaa pitäisi olla muuallakin, kuin IT-osastolla.

Tietosuoja toteutuu lopulta ihmisissä.

Edellisestä tullaankin sujuvasti manuaalisiin rekistereihin. Prosessien ja käytäntöjen lisäksi on nimittäin syytä kiinnittää huomiota myös manuaalisiin rekistereihin. Henkilöstöhallinnossa on usein erilaisia mappiarkistoja esim. työsopimuksille, sairauslomatodistuksille jne. Lisäksi voi olla erilaisia excel-taulukoita, raportteja jne, joissa on valtavasti henkilötietoa, usein myös arkaluontoista.

Manuaaliset rekisterit unohtuvat helposti, jos GDPR-työssä kiinnitetään huomiota vain tietojärjestelmiin. Myös monet GDPR-työtä helpottavat palvelut jättävät manuaaliset rekisterit sivurooliin ja keskittyvät lähinnä eri tietojärjestelmien hallintaan.

Manuaaliset rekisterit ovat kuitenkin yhtä lailla tietosuoja-asetuksen velvoitteiden piirissä. Näidenkin osalta on syytä kuvata, miten ne on suojattu, kuka niiden tietoja pääsee käsittelemään ja miten vanhentuneet / tarpeettomat tiedot siivotaan pois.

Ja taas toimitaan sen mukaisesti, eikä jätetä vain kuvauksen asteelle.

Käytännössä tullaan huomaamaan, että manuaalisten rekisterien käsittely on valtavan työlästä ja aletaan ketteröittämään prosesseja sekä miettimään paremmin, onko tätä tietoa todella tarve säilyttää paperimuotoisena vai riittäisikö, että tieto on tallessa tietojärjestelmässä. Ja hyvä niin, näin kehitys kehittyy!

Manuaalisten rekisterien suojaus unohtuu helposti, jos keskitytään vain IT-järjestelmiin

Mitä sitten pitäisi tehdä, jotta GDPR-työ ei olisi vain IT-osaston asia?

Käytännössä vaatii mm. seuraavia toimenpiteitä:

1. Käydään läpi kaikki prosessit, joissa henkilötietoja käsitellään
   1. Tunnistetaan erilaiset rekisterit ja niiden käyttötarkoitus
   2. Tunnistetaan henkilöt ja roolit, jotka ovat mukana tietojen käsittelyssä
   3. Tunnistetaan eri järjestelmät, joita on käytössä (järjestelmätoimittajat henkilötietojen käsittelijänä)
   4. Tunnistetaan manuaaliset rekisterit
   5. Tunnistetaan muut ulkoiset toimijat, jotka ovat henkilötietojen käsittelijöinä mukana
   6. Tunnistetaan, kuka "omistaa" prosessin ja siihen liittyen henkilötiedot
2. Tehdään tarvittavat toimenpiteet henkilörekistereihin ja järjestelmiin liittyen
   1. Tietosuojaselosteet kuntoon (mm. määritellään käsittelyperuste)
   2. Järjestelmätoimittajien kanssa asiat kuntoon (vaatimukset ja ohjeistukset -> sopimusmuutokset) -> tämä voisi olla IT-osaston vastuulla
      
   3. Tarvittaessa järjestelmien uudistusta ja jopa vaihtoa!
      
   4. Palvelutoimittajien kanssa asiat kuntoon (soveltuvuusarviokonsultit, tilitoimisto jne)
      
3. Ohjeistetaan henkilöstö henkilötietojen käsittelyyn
   1. Prosessikuvaukset
   2. Ohjeistukset
   3. Henkilöstön kouluttaminen!!
4. Dokumentoidaan kaikki edelliset toimenpiteet (osoitusvelvollisuuden täyttäminen)

Henkilöstön kouluttaminen on olennainen osa tietosuoja-asetuksen haltuunottoa. Kouluttamiseen on useita erilaisia menetelmiä ja niitä kannattaa hyödyntää monipuolisesti.

Henkilöstön kouluttaminen on yksi olennainen osa tietosuoja-asetuksen haltuunottoa

Allekirjoittaneella on 18 vuoden kokemus henkilötietojen käsittelystä HR-tietojärjestelmien parissa. Työssäni erilaisten järjestelmien käyttöönotoissa ja järjestelmäkehityksessä olen saanut perehtyä jo vanhaan henkilötietolakiin. Olenkin auttanut vuosien varrella asiakkaitani ymmärtämään, miten henkilötietoja voidaan käsitellä lain mukaisesti. Olen myös kouluttanut tuhansia järjestelmäkäyttäjiä ja näissä koulutuksissa on aina vähintään sivuttu myös tietosuoja-asioita.

Olen ottanut haltuun luonnollisesti myös uuden tietosuoja-asetuksen erityisesti HR-toimintojen näkökulmasta ja koulutan asiakkaitani tietosuoja-asetuksen haltuunotossa käytännönläheisellä otteella CASE-esimerkkien kautta. Ei siis pelkkää kuivaa lakitekstiä, vaan aitoa käytännönläheisyyttä monimutkaisen asian haltuunottoon.

Ota yhteyttä, mikäli teillä on tarve ottaa syvempää ja käytännönläheistä näkökulmaa tietosuoja-asetukseen!

Osallistu yleisiin koulutuksiin, joiden avulla on helppo ottaa perusteet haltuun:

• Oulussa 15. helmikuuta
  • https://www.oulunkauppakamari.fi/?id=43&event_id=407
• Ylivieskassa 16. helmikuuta
  • https://www.oulunkauppakamari.fi/?id=43&event_id=428
• Jyväskylässä 8. maaliskuuta
  • https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-asetuksen-kiekuroista-konkretiaan-johdatus-tietosuojaan/770/
• Helsingissä 6. maaliskuuta pidettävä Henry ry:n tilaisuus tuli välittömästi täyteen
• Helsinkiin tulossa lisää koulutuksia maaliskuulle, pysy kuulolla!
• Myös muille paikkakunnille tulossa koulutuksia

Huom! Kauppakamarin koulutuksissa jäsenalennus myös Henry ry:n jäsenille! Ilmoita jäsenyystieto ilmoittautumislomakkeella!