Tiimiakatemia on Jyväskylän Ammattikorkeakoulun yrittäjyyden huippuyksikkö

EU:n yleinen tietosuoja-asetus tulee. Onko yrityksemme valmis?

Kirjoitettu 14.05.18
Esseen kirjoittaja: Timo Salo
Kirjapisteet: 1
Kirja: https://y-studio.fi/artikkelit/tietosuoja-asetus-viisi-askelta/
Kirjan kirjoittaja:
Kategoriat: 1. Oppiminen

VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Toukokuun 25. päivä uusi asetus astuu voimaan, mutta mitä se sinulle tarkoitta. Näin pienen toimijan näkökulmasta, jopa kohtuuttoman määrän töitä ja tiedon etsintää. Ikävä tosiasia on, että asetus on sama kaiken kokoisille yrityksille ja seuraamukset tuntuvia, mikäli asetusta ei noudata.
Olen nyt kahlannut netistä ja muutamasta koulutuksesta, mitä se meidän kohdallamme tarkoittaa ja mitä tulee vielä laittaa kondikseen.

1. Selvitän mikä nykyinen tilanteeni on
Käyn lävitse kaikki omassa käytössäni olevat hajanaiset ja keskitetyt henkilörekisterit. Eli esimerkiksi eri projekteja varten kerätyt soittolistat tai fyysiset kansiot joihin on kerätty Pukia-projektin lähtevät tilaukset. Kaikki nämä ovat tulkittavissa henkilörekistereiksi ja siten tietosuoja-asetuksen piirissä. Oletettavasti näitä rekisterejä on enemmän, kuin nyt tiedostankaan.
Kun olen tunnistanut rekisterit, pitää jokaisen rekisterin kanssa miettiä miksi kyseinen rekisteri on kerätty ja kuinka pitkään rekisterin säilyttäminen on toimintamme kannalta tarpeellista. Asetuksen mukaan henkilötietoja ei saa säilyttää vain siksi, että niistä voi olla hyötyä joskus myöhemmin. Käyn myös lävitse rekisterin tietojen ja koko rekisterin elinkaaren, miten tietoja ketätää, minne tieto tallenetaan, miten ja missä järjestelmissä niitä käsitellään ja kuinka tieto lopulta tuhotaan. Huomiota minun tulee kiinnittää tietoturvaan, myös fyysisien rekisterien osalta. Meillä esimerkiksi toimiston mappikaapit eivät ole lukittu, joten tässä piilee mahdollinen tietoturvariski.

2. Riskien arviointi
Haasteen tämä kaiken toteuttamiseen tekemiseen tekee se, ettei ole olemassa mitään järjestelmää, jossa tarkistuttaa oma toiminta ja suunnitelmat. Mikäli joskus joutuu tarkistuksen kohteeksi, silloin katsotaan, onko asiat kuten pitäisi ja mietitään mahdollisia jatkotoimenpiteitä. Yleisen näkemyksen mukaan näin alkuun asetuksen valvonta keskittyy suurempiin toimijoihin. Näiden kautta pyritään hakemaan ennakkotapauksia, joiden kautta nähdään mitkä ovat todelliset vaatimukset ja mitkä ovat riittävät toimenpiteet asetuksessa mainittujen velvollisuuksien täyttämiseksi. Pyrin seuraamaan ajankohtaosta tietoa ja siten tekemään paremman riskianalyysin.

3. Sopimusten tarkistaminen
Tämän ovat hyvin hoitaneet meidän palveluntarjoajat. Uusien sopimusten läpikäynti on työllistänyt hiukan ja lisää näitä on mitä ilmeisimmin tiedossa. Muihin pienempiin toimijoihin meillä sopimuksia ei ole, joten ne eivät tuota vaivaa.

4. Prosessien arvioin, päivitys ja dokumentointi
Tämä osa-alue on ehdottomasti aikaa vievin, eikä millään ehdi valmistumaan ennen asetuksen toimeenpanoa. Olisi itsellekin hyvä ymmärtää tiedon tallentamisen prosessit, siten kaikille olisi selvää, miten toimitaan. Tällä hetkellä mitään prosesseista ei ole luotu, saati sitten dokumentoitu. Ensimmäinen askel tämän toteuttamiseen, on tutustua vaatimuksiin, kuinka prosessit tulisi kuvailla ja suunnitella.

5. Viestintä
Asia joka nykyisistä lomakkeista puuttuu, on rekisteriselosteet. Näin ollen päivittäminen ei riitä, vaan ne tulisi kirjoittaa ja lisätä sivuille. Ainakin saunalautta.fi tarvitsee tämän kipeästi. Tällä hetkellä meillä on käytössä useita tietokantoja asiakkaista ja potentiaalisista asiakkaista, mutta viestintä tietojen hyödyntämisestä ei ole ajan tasalla rekistereissä oleville henkilöille.

Tämä tarkastelu osoittaa, ettei yrityksemme, tai edes omat projektini ole tietosuoja-asetukseen valmiina. Tulee olemaan haaste, tai paremminkin sula mahdottomuus saada asiat aikarajaan mennessä hoidettua. Tämä hiukan huolettaa minua, tosin tiedän, etten ole yksin tämän ongelman kanssa. Pyrinkin nyt seuraamaan asiaan liittyvää uutisointia aktiivisesti. Näin osaan reagoida asiaan, kun määritelmät tarkentuvat ja selkeytyvät konkretian tasolle.

Vastauksena, otsikon kysymkseen: yrityksemme on vielä kaukana tietosuja-asetuksen määrittämistä vaatimuksista.