Yritys, tee ainakin nämä tietosuojasi eteen

Keskuskauppakamarin lakimies Minna Aalto-Setälän mukaan opas on pyritty kirjoittamaan yrityksille yritysten näkökulmasta siten, että se selventää ja auttaa keskeisten tietosuojaan liittyvien käsitteiden ja periaatteiden ymmärtämisessä. Hänen mukaansa on tärkeää hahmottaa se, että tietosuoja koskee jokaista.

“Kyse on ihan meidän kaikkien tiedoista. Siksi ei ole yhdentekevää, miten henkilötietoja käsitellään niin yhteiskunnassa kuin osana yritysten liiketoimintaa. Tänä päivänä kukaan meistä ei voi enää päättää, ettei halua olla mukana verkottuneessa ympäristössä tai ettei anna ainakin joitakin tietoja sähköisiin palveluihin. Yhä isompi osa päivittäisestä viestinnästä ja viranomaisten hallussa olevista tiedoista on olemassa ainoastaan sähköisessä muodossa. Kauhuskenaario on se, että yrityksen työntekijä selailee asiakkaiden henkilötietoja vaikkapa joukkoliikennevälineessä ilman suojausta - ei tahallaan, mutta ymmärtämättömyyttään. Siksi näistä asioista tulee puhua ja tuntea perussäännöt”, hän sanoo.

Yrityksen tietosuojaoppaaseen on koottu käytännön suosituksia tietosuojaan liittyvistä toimenpiteistä. Aalto-Setälä kuitenkin muistuttaa, että tietosuoja-asetuksen vaatimusten täyttäminen ei ole kertaluonteinen projekti, vaan se on osa organisaation jokapäiväistä toimintaa. “Suosittelen tutustumista oppaassa kuvattuun jatkuvan kehityksen malliin”, Aalto-Setälä toteaa.

Yritykselle ja organisaatiolle suositeltavia yleisiä toimenpiteitä ovat:

1. Johdon osallistuminen

Johto on vastuussa organisaation tietosuojatoiminnasta ja vastaa viime kädessä siitä, että tietosuoja-asetuksen vaatimuksia noudatetaan. Johdon tärkein tehtävä on antaa ja turvata riittävät resurssit, jotka mahdollistavat tietosuojan jatkuvan kehittämisen. Tämä voidaan esimerkiksi toteuttaa noudattamalla tietosuojan jatkuvan kehityksen mallia ja käynnistämällä sen perusteella tarpeelliset kehitystoimet. Lisäksi tietosuoja tulee sisällyttää organisaation strategiseen ohjaukseen säännöllisesti kuuluvaan raportointiin.

2. Riskiarviointi ja riskienhallinnan kehittäminen

Monissa organisaatioissa riskienhallinta on osa johtamisjärjestelmää. Tietosuoja-asetus ei tuo tähän toimintaan mitään uutta, mutta tietosuoja on otettava mukaan osaksi sitä. Riskiarviointiin kuuluu henkilötiedon käsittelyyn liittyvien riskien tunnistaminen, analysoiminen sekä tarvittavien riskienhallintatoimien laatiminen. Riskiarvioinnissa kaikkein oleellisinta on varmistaa henkilötietojen riittävä tietoturva niiden koko elinkaaren ajan.

Kun ensimmäinen tietosuojaan liittyvä riskiarviointi ja hallintatoimien tunnistaminen on tehty, pitää varmistua, että tietosuoja on jatkossa mukana organisaation riskienhallintajärjestelmässä ja -prosessissa.

3. Koulutus ja ohjeistus

Henkilöstön tietosuojaosaamisesta on huolehdittava riittävällä koulutuksella ja ohjeistuksella. Tämä koskee erityisesti henkilöstöä, jonka työtehtäviin kuuluu henkilötietojen käsittelemistä. Lisäksi organisaation kannattaa tarjota täsmäkoulutusta esimerkiksi henkilöstöhallinnon tai markkinoinnin parissa toimiville.

4. Dokumentaatio ja viestintä

Kehittämistoimien ja muutosten yhteydessä on syytä päivittää myös tietosuojaa koskeva dokumentaatio sekä viestintään liittyvät mahdolliset asiakirja- tai viestipohjat, kuten rekisteröidyille ja valvontaviranomaiselle lähetettävät ilmoitukset, sekä muu tietosuojaan liittyvä materiaali.