COMPLIANCE

167 päivää uuteen tietosuoja-asetukseen: Onko nämä asiat teillä jo tehty?

Uudet tietosuojavaatimukset koskevat kaikkia tahoja, jotka käsittelevät henkilötietoja. Lindorffissa valmistaudutaan jo täyttä vauhtia toukokuuhun. Profit seuraa GDPR-hankkeen etenemistä kolmiosaisessa juttusarjassa.

Lindorffilla henkilötietojen kartoitus aloitettiin tietosuoja-asetusta silmällä pitäen jo puolitoista vuotta sitten.

Lindorffilla henkilötietojen kartoitus aloitettiin tietosuoja-asetusta silmällä pitäen jo puolitoista vuotta sitten.

EU:n tietosuoja-asetus eli GDPR (General Data Protection Regulation) tulee siis sovellettavaksi ensi vuonna 25. toukokuuta. Se velvoittaa yrityksiä ja organisaatiota käsittelemään hallussaan olevia henkilötietoja entistä huolellisemmin ja myös dokumentoimaan tarkasti, että ne noudattavat lainsäädäntöä.

Luotohallinnan palvelukumppaninani Lindorff käsittelee paljon henkilötietoja. Siksi tietosuoja-asetukseen valmistaudutaan yrityksessä perusteellisesti. Henkilötiedolla tarkoitetaan erilaisia luonnollista henkilöä koskevia tietoja, joista hänet voidaan tunnistaa.

– Nimet, henkilötunnukset ja osoitteet ovat henkilötiedon ydintä. Kyse on kuitenkin muustakin datasta, jota käsitellään ja jota syntyy osana yksityishenkilöitä koskevaa luottopäätöksentekoa, laskutusta, myyntireskontran hoitoa ja perintää, projektipäällikkö Elina Glad huomauttaa.

– GDPR-hanke käynnistyi loppukeväästä, mutta henkilötietojen kartoitustyö aloitettiin jo puolitoista vuotta sitten, yhtiölakimies Ossi Elonen kertoo.

Suurin urakka on henkilötietojen käsittelyn dokumentointi

GDPR-hankkeen suurimpiin haasteisiin Glad laskee tietosuojaa koskevan dokumentoinnin. Tietosuojaviranomaisille on pystyttävä osoittamaan yksityiskohtaisesti, että henkilötietojen käsittely on suunniteltu ja sitä toteutetaan asetuksen mukaisesti.

Ossi Elosen mukaan yrityksissä pitää tietää tarkasti, miten henkilötiedot liikkuvat yhtäältä sisäisissä järjestelmissä ja toisaalta ulkoisissa prosesseissa asiakkaiden ja palvelukumppaneiden välillä.

– Lindorffissa toimintaprosessit on jo kuvattu hyvin, mutta henkilötietojen käsittelystä meidän on tehtävä aiempaa yksityiskohtaisemmat kuvaukset. Se vaatii paljon aikaa ja työtä, Elonen sanoo.

Hänen mukaansa osoitusvelvollisuus koostuu monesta yksityiskohdasta, esimerkiksi sisäisistä koulutuksista laadituista raporteista.

– Tietosuoja-asetuksessa ei ole kuitenkaan yksityiskohtaisia määräyksiä raporteista. Viranomaiset arvioivat viime kädessä, onko dokumentointi ollut riittävää, Elonen sanoo.

Jokaisen on tiedettävä, miten henkilötietoja pitää käsitellä

Glad ja Elonen kiersivät syksyllä eri tiimeissä kertomassa, mistä asetuksessa on oikein kysymys ja miksi asia on niin tärkeä Lindorffille ja sen asiakkaille.

– Kyse on pitkälti tietämyksen lisäämisestä, ja siitä, ettei missään enää kukaan kuvittelisi, ettei omassa tiimissä käsitellä henkilötietoja. Tavoitteena on saada jokainen työntekijä ymmärtämään, mistä on oikein kyse, kun puhutaan henkilötiedoista ja mikä on tietosuojan merkitys omassa työssä, Glad toteaa.

Tietoturvallisten teknisten järjestelmien ohella Elina Glad painottaakin työntekijöiden vastuullista asennetta tietosuoja-asioissa. Ennen asetuksen voimaantuloa Lindorffissa järjestetään sarja henkilöstön koulutuksia, jotka räätälöidään asiantuntijoiden työtehtävien mukaan.

Tietosuojaloukkauksia varten oma toimintamalli

Glad huomauttaa, että tietosuoja on paljolti sisäisten toimintatapojen kehittämistä.

– On esimerkiksi varmistuttava, että henkilötiedot tuhotaan asianmukaisesti, kun niiden käyttöön ei ole enää lain mukaista perustetta.

Toimintamallien on oltava kunnossa myös sellaisten tilanteiden varalta, että henkilötietoja vuotaa tavalla tai toisella vääriin käsiin. Uusi asetus velvoittaa yrityksen ilmoittamaan laajoista tietoturvaloukkauksista viranomaisille 72 tunnin kuluessa. Myös loukkauksen kohteiksi joutuneille asiasta on kerrottava ilman viivästystä.

– Aikaraja on tiukka. Yrityksen pitää kolmen vuorokauden sisällä tunnistaa virhe ja tehdä siitä selvitys. Se edellyttää, että toimintamalli on tarkkaan suunniteltu etukäteen, Glad toteaa.

Henkilötietojen käsittelyssä tarvitaan myös tapauskohtaista arviointia

Elosen mukaan osaavan henkilöstön roolia korostaa ennestään se, että henkilötietojen käsittelyssä tarvitaan myös tapauskohtaista arviointia. Tämä voi koskea esimerkiksi sähköpostilla lähetettäviä tietoja. Lindorffin ohjeistuksen mukaan esimerkiksi henkilötunnuksia ei saa lähettää sähköpostilla, jos yhteyttä ei ole salattu.

– Meidän on mietittävä jatkossa, miten viestintään ja tietojen vaihtoon liittyviä ohjeita täsmennetään. Tämä on tärkeä asia, sillä osa asiakaspalvelusta toimii sähköpostin varassa, ja asiakaspalvelun on oltava jatkossakin vaivatonta ja jouhevaa.

Tietosuoja-asetus edellyttää, että paljon henkilötietoja käsittelevien organisaatioiden on nimettävä erityinen tietosuojavastaava. Compliance-asioista muutoinkin vastaava Ossi Elonen hoitaa toistaiseksi tehtävää Lindorffissa. Hänen tuekseen kootaan työryhmä, jossa on edustajia eri osastoilta.

Seuraavien viikkojen aikana Lindorffin GDPR-hankkeessa keskitytään koulutusvalmistelujen ohella muun muassa asiakkaiden ja alihankkijoiden kanssa tehtyjen sopimusten päivittämiseen.

Lue lisää sopimuspäivityksistä ja siitä, miten tietosuoja-asetus vaikuttaa asiakasyritysten ja Lindorffin väliseen yhteistyöhön.

Näin GDPR vaikuttaa Lindorffin laskutukseen ja perintään