EU:n tietosuoja-asetus, tuttavallisemmin ”GDPR” (The General Data Protection Regulation, Regulation (EU) 2016/679) tulee voimaan 25.5.2018. Asetus muuttaa, ajantasaistaa ja yhtenäistää nykyistä tietosuojasääntelyä EU:ssa merkittävällä tavalla. Yrityksen näkökulmasta uudistus on mittava ja tuo myös suomalaiseen tietosuojasääntelyyn uusia käsitteitä ja velvoitteita.
Asetuksen voimaantuloon on tämän artikkelin julkaisuhetkellä alle 4 kuukautta. Mitä minun kannattaa tehdä tai mitä vielä ehdin tehdä? Vaikka aikaa on enää hieman reilut 100 päivää, on vielä paljonkin tehtävissä. Ohessa alla on listattuna ne seikat, joista suosittelen aloittamaan omassa yrityksessänne. Lisäksi avaan, kuinka Eilakaislan osalta muutosprosessi toteutettiin.
1. GDPR:n soveltaminen ja henkilötiedot omassa organisaatiossa
Muista, että henkilötietolakia ja EU:n tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn.Liikkeelle voidaan lähteä esimerkiksi siitä, missä omassa organisaatiossa käsitellään ja tallennetaan henkilötietoja. Käy läpi henkilötietojen käsittelyn vaiheet ja havainnollista organisaatiolle henkilötietojen kulkua esim. flow-kaaviolla tai taulukolla. Kun on ensin selvillä, missä henkilötieto liikkuu organisaation sisällä, voidaan lähteä suunnittelemaan tarvittavia muutoksia, käytäntöjen ja prosessien sekä sopimusten muutoksia.
2. Sopimukset ja tietosuojaselosteet
Käy läpi ne sopimukset, jotka koskettavat jollakin tavalla henkilötietoja. Listaa sopimukset ja käy läpi sopimusten mahdollinen päivitystarve. Osa sopimuksista voi olla jo niin vanhoja, että koko sopimuksen uusiminen on molemman osapuolen intressissä. Ota yhteyttä asiakkaisiin ja yhteistyökumppaneihin tarvittavien muutosten osalta vasta kun olet täysin selvillä päivitystarpeesta.
Tietosuojaseloste on rekisteriseloste, jossa lisäksi informoidaan rekisteröidyn oikeuksista. Uusi kaikki tarvittavat selosteet ja laadi seloste niihin toimintoihin, joista sellainen puuttuu. Selkeyden kannalta tietosuojaselosteeseen on hyvä laittaa yhteyshenkilöksi organisaatiosta se henkilö, joka tosiasiallisesti hoitaa ja ymmärtää tietosuojaan liittyviä asioita (mahdollisesti tietosuojavastaava, jos sellainen on valittu organisaatioon).
3. Sisäiset käytänteet ja prosessit
Henkilötietoja organisaatiossa käsittelevien työntekijöiden kanssa on syytä käydä läpi tietosuojaperiaatteet ja työtehtäviin liittyvät erityisvaatimukset tietosuojan ja tietoturvan kannalta. Sisäisessä koulutuksessa on hyvä pohtia avaintoimintojen prosesseja, joissa henkilötieto liikkuu ja onko prosesseissa ongelmia- tai riskikohtia. Esimerkkinä vaikkapa markkinointiosaston keräämät henkilötiedot tai HR-osaston henkilötietojen käsittely. Samalla tämä on hyvä hetki käydä läpi yrityksen tietoturvaan liittyvät asiat ja päivittää mahdolliset tietoturvaohjeet sekä ohjelmistot ja laitteet. Nykypäivänä esimerkiksi Office365-ympäristö tarjoaa pin-koodi kyselyt laitteisiin pakotettuna, mikä lisää käyttäjien tietoturvaa.
4. Henkilökunnan kouluttaminen
Koulutuksesta on henkilökunnalle hyötyä ainakin kahdella saralla – ensinnäkin tietosuoja-asioiden noudattamisen vuoksi ja toiseksi niissä tilanteissa, joissa henkilökunta on tekemisissä asiakkaiden tai yhteistyökumppaneiden kanssa. Esimerkiksi myyntiorganisaatiolle voi olla kriittistä ymmärtää asiakkaan tarpeet ja toimintamahdollisuudet GDPR-muutoksien jälkeen, jolloin ”vanhan mallin” mukainen tarjous voi romuttaa potentiaalisen kaupan asiakkaan kanssa. Ostajan roolissa taas on hyötyä siitä, että ostaja osaa vaatia palvelulta GDPR:n mukaista sisältöä ja varmistaa takeet asetuksen noudattamisesta.
5. Tietosuojavastaava
Vaikka tietosuojavastaavan nimittäminen ei olisi pakollista, on muutosprosessin aikana ja sen jälkeen organisaatiolle hyödyllistä nimittää tietosuojavastaava, joka johtaa muutosta ja jolle annetaan riittävästi resursseja sekä valtaa muutoksen toteuttamiseen. Tietosuojavastaavalla tulisi riittävien resurssien lisäksi olla asian laajuuden vaatimaa ymmärrystä IT- ja tietosuoja-asioihin, jotta hänellä on käytännön mahdollisuus onnistua muutoksen toteuttamisessa. Isommassa organisaatiossa luonnollinen valinta on yleensä ”talon lakimies” tai mahdollisen IT-puolen johtaja. Osaamista tulisi olla EU:n tietosuojalainsäädännöstä ja kansallisestä henkilötietolainsäädännöstä.
Miten eteenpäin?
- Muutosprosessin laajuus kannattaa mitoittaa fiksusti yrityksen toiminnan laajuuteen. Pienen ja keskisuuren yrityksen kannattaa varata muutosten tekemiseen minimissään 3 kuukautta. Aikaa on siis vielä, mutta kannattaa ehdottomasti aloittaa nyt.
- Kriittisintä yritykselle on ensin selvittää, missä tapauksissa se käsittelee henkilötietoja ja missä tilanteissa tietoa tallennetaan.
- Myös nykyisten sekä tulevien yhteistyökumppanien, alihankkijoiden ja palveluntarjoajien valinnassa kannattaa pitää huolta siitä, että vastapuoli on ottanut huomioon tulevan muutoksen ja on asianmukaisesti perillä uudistuksista.
- Mikäli omat resurssit tai osaaminen ovat tietosuoja-asioiden suhteen kortilla, kannattaa rohkeasti konsultoida tietosuojalainsäädännön ja sopimusoikeuden hallitsevaa lakimiestä. Hyvällä lakimiehellä on myös ymmärrystä IT-laitteistojen ja IT-ohjelmistojen puolelta.
- Samalla yritys voi päivittää sopimuspohjia myös muilta osin, joten raskaalta tuntuva prosessi hyödyttää yrityksen muitakin toimintoja. Ulkopuolelta tuleva erikoisosaaminen tuo prosessiin myös objektiivisuutta ja uusia näkökulmia sekä vapauttaa omia resursseja omaan ydinosaamiseen.
Käytännön esimerkki Eilakaislan muutosprosessista
- Muutosprosessi aloitettiin Eilakaislan osalta kesällä 2017 sopimusten kartoittamisella ja henkilötietovirtojen määrittelyllä (missä henkilötietoa liikkuu).
- Prosessi jatkui syksyllä usealla yhteisellä sessiolla, joissa eri osastojen tilanteita henkilötietojen käsittelyyn liittyen käytiin läpi. Samalla kartoitettiin riskejä sekä organisaation tietoturvaa ja sopimusten päivittäminen laitettiin alulle.
- Vuoden vaihteen tienoilla Eilakaislan sopimusriskit saatiin halutulle tasolle ja kaikki tietosuojaa koskevat suuret muutokset oli saatu valmiiksi.
- Organisaatio sai ohjeet uusien sopimusten hallinnasta ja tietosuojaan liittyvästä koulutustarpeista.
Suosittelen vastaavaa kokonaisvaltaista mallia prosessia aloittavalle yritykselle ja samalla haluan painottaa prosessin jälkeistä koulutusta ja tietojen päivittämistä, johon myös Eilakaislan johto on suhtautunut positiivisella otteella.
" Kun yrityksessä on tietosuoja-asiat kunnossa ja henkilökunta osaa riittävän hyvin perusasiat, saa yritys kilpailuetua niihin toimijoihin nähden, joissa asiat ovat vielä puolitiessä. Pelkkää keppiä ei siis tarvitse varoa, vaan tietosuoja-asetuksen haltuun ottamisessa on myös jaossa säkkikaupalla porkkanoita.
