Osoitusvelvollisuuteen kuuluu tietojen käsittelyn nykytilan kartoitus ja tietosuojan ottaminen osaksi toimintojen suunnittelua ja mallinnusta. Tietosuojaperiaatteiden käytännön toteutusta, prosesseja ja menettelytapoja pitää pystyä todentamaan aukottomalla dokumentoinnilla, jonka tulee pyydettäessä olla valvontaviranomaisen saatavilla. Tietosuojan on oltava” sisäänrakennettu ja oletusarvoinen” ja itse tietojen käsittely ja tietojen säilytys on pidettävä minimissä.
” Yritysten on mietittävä tarkkaan, kuka tietoa ylipäätänsä käsittelee, miksi ja kauanko tietoa säilytetään. Se teettää töitä”, Rusi arvioi.
”
Tietojen huolellinen käsittely on avain kaikkeen.
Monen kerroksen väkeä Evershedsillä näkyi viime syksynä selvä piikki liittyen GDPRkyselyihin. Yrityksessä on puolisen tusinaa lakimiestä, jotka tekevät työtä tietosuojan parissa. Evershedsiin yhteyttä ottaneiden yritysten joukossa oli paljon sellaisia, joilla homma oli varsin hyvin hanskassa, mutta myös joitakin sellaisia, jotka olivat vielä aika epävarmoja siitä mitä tuleman pitää.
” Yritysten tietoisuus GDPR: stä vaihtelee aika tavalla. Niissä yrityksissä, joissa henkilötietojen käsittely ei ole olennainen osa liiketoimintaa, ei välttämättä ole asiaa paljon mietitty. Jos taas henkilötietojen käsittely on tärkeä osa bisnestä, siihen on kiinnitetty huomiota jo aiemmin.”
Tähän liittyy elimellisesti Privacy Impact Assessment( PIA) eli tietosuojaa koskeva vaikutustenarviointi, joka yrityksen pitää tehdä, jos se suorittaa riskialtista tai laajamittaista henkilötietojen käsittelyä.
Kolmen vuorokauden armonaika Tietoturvaloukkauksen sattuessa rekisterinpitäjän on tehtävä ilmoitus valvontaviranomaisille 72 tuntia loukkauksen ilmitulosta. Ilmoituksen voi jättää tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä. Yritysten tulee huolehtia asianmukaisesta dokumentoinnista.
” Esimerkiksi verkkokaupan, joka huomaa että sen asiakkaiden luottokorttitietoihin on päästy luvattomasti käsiksi, on tehtävä ilmoitus 72 tunnin kuluessa siitä, kun luvaton pääsy havaittiin”, kuvailee Rusi.
Perttu Seppänen Accountor HR Solutions Oy: stä toteaa, että GDPR vaikuttaa moneen asiaan – ja HR on vain yksi pala isompaa kokonaisuutta. Samaan hengenvetoon on kuitenkin selvää, että niin kauan kuin yrityksissä esimerkiksi pidetään henkilöstörekistereitä, uudenlaista organisoitumista tarvitaan.
” HR-tiedon osalta nousee esiin kysymys, ketkä sitä saavat käsitellä ja onko se suojattu tarpeeksi hyvin. Tietojen huolellinen käsittely on avain kaikkeen.”
Sokeita pisteitä löytyy yhä Seppäsen mukaan suomalaiset yritykset ovat varautuneet muutokseen pääasiassa hyvin. Ongelmallisin alue on dokumentaatio eli vaikka prosessit sinänsä ovat kunnossa, niitä ei ole kirjattu ylös vedenpitävästi.
” Isoissa yrityksissä huomaa, että prosessit toimii ja niille on nimetty omistajat, mutta edelleen varjoalueita löytyy”, hän kuvailee mutta lisää, että toukokuuhun on toki vielä matkaa. Seppäsen mukaan” iso pyörä” on pyörinyt yrityksissä jo pitkään, kun eri rekistereitä ja järjestelmiä on käyty läpi GDPRnäkökulmasta.
” HR: n osalta muutos konkretisoituu ehkä vasta nyt, kun kaikki tehty työ paketoidaan valmiiksi keväällä.”
” PK-yrityksissä muutos on sitten enemmän resurssikysymys kuin pelkkä järjestelmäasia”, Seppänen katsoo. Kaikenkokoisilla firmoilla riittää silti kysymyksiä.
” Esimerkiksi meille tulee kyselyjä siitä, onko Mepcotuotteiden ja tuotekehityksen dokumentaatio riittävää. Samalla halutaan laajemminkin tietoa GDPR-yhteensopivuudesta. Kyselyihin voimme hyvillä mielin todeta, että asiaan on varauduttu kokonaisvaltaisesti ja huolellisesti”, Seppänen lopettaa.
Uoma haussa? Keijo Karjalainen Sympa Oy: stä kertoo, että aihepiiri puhuttaa nyt kaikkia niitä organisaatioita, joissa käsitellään henkilötietoja.” Viranomaisetkaan eivät vielä tiedä, mitkä ovat asetuksen kaikki vaikutukset”, hän pohtii. Samalla yrityksissä kysytään, kellä on vastuu – tietohallinnolla, HR: llä vai kenellä?
Sympassa on varauduttu tietosuoja-asetuksen tuloon jo vuosia.” Meidän henkilöstön koulutus alkoi itse asiassa jo lakiluonnoksista”, Karjalainen toteaa.
Matkan varrella on huomattu, että tietosuojaan kannattaa panostaa, koska se lisää samalla myös tietoturvaa.” Jahka GDPR-yhteensopivuus on saavutettu, yrityksissä huomataan kyllä, että se loppupelissä helpottaa toimintaa”, hän uskoo.
Tehtävän työn määrä ei Sympalla ollut mitenkään valtava: Sympan järjestelmät olivat lähtökohtaisesti noin 95 % valmiita GDPR: ään ja puuttuva rutistus ei ollut lainkaan mahdoton.
” Muutos vaatii etupäässä sitä, että henkilötiedot ovat ajan tasalla, suojattuja ja saatavilla”, hän kiteyttää.
Automaatio avuksi Jokunen kysymys toki mietityttää, kuten oikeus tulla unohdetuksi. Karjalaisen mukaan esimerkiksi kehityskeskusteluista tehdyt muistiot voidaan heittää roskakoriin, jahka työntekijä on häi-
20 HR viesti 1 / 2018