Tietosuoja on edelleen ajankohtainen, sillä uusi tietosuojalaki tulee voimaan tammikuun ensimmäisenä päivänä. Sillä täydennetään ja täsmennetään kansallisesti EU:n yleisen tietosuoja-asetuksen eli GDPR:n säännöksiä. Keskuskauppakamari ja Microsoft julkaisivat yhteistyössä yrityksille suunnatun tietosuojaoppaan, joka antaa perustason ohjeita siitä, miten tietosuoja-asiat kannattaa yrityksen arjessa järjestää.
Keskuskauppakamarin lakimies Minna Aalto-Setälän mukaan opas on pyritty kirjoittamaan yrityksille yritysten näkökulmasta siten, että se selventää ja auttaa keskeisten tietosuojaan liittyvien käsitteiden ja periaatteiden ymmärtämisessä. Hänen mukaansa on tärkeää hahmottaa se, että tietosuoja koskee jokaista.
Kyse on ihan meidän kaikkien tiedoista. Siksi ei ole yhdentekevää, miten henkilötietoja käsitellään niin yhteiskunnassa kuin osana yritysten liiketoimintaa. Tänä päivänä kukaan meistä ei voi enää päättää, ettei halua olla mukana verkottuneessa ympäristössä tai ettei anna ainakin joitakin tietoja sähköisiin palveluihin. Yhä isompi osa päivittäisestä viestinnästä ja viranomaisten hallussa olevista tiedoista on olemassa ainoastaan sähköisessä muodossa. Kauhuskenaario on se, että yrityksen työntekijä selailee asiakkaiden henkilötietoja vaikkapa joukkoliikennevälineessä ilman suojausta – ei tahallaan, mutta ymmärtämättömyyttään. Siksi näistä asioista tulee puhua ja tuntea perussäännöt, hän sanoo.
Yrityksen tietosuojaoppaaseen on koottu käytännön suosituksia tietosuojaan liittyvistä toimenpiteistä. Aalto-Setälä kuitenkin muistuttaa, että tietosuoja-asetuksen vaatimusten täyttäminen ei ole kertaluonteinen projekti, vaan se on osa organisaation jokapäiväistä toimintaa. “Suosittelen tutustumista oppaassa kuvattuun jatkuvan kehityksen malliin”, Aalto-Setälä toteaa.
Pienen firman minim
Meillä ER-tuessa suurin osa vastaantulevista yrityksistä on pieniä, usein yhden tai parin hengen yrityksiä, joissa tietosuojasta ei ole tietoakaan. Näille pienille yrityksille pari vinkkiä ennen näitä suurempien organisaatioiden suosituksia:
Opettele erilaisten verkkopalveluiden ja pilvipalveluiden käyttö – vähintäänkin se yksi ja ainoa tietokoneesi ja sen tärkeimmät tiedot on hyvä tallentaa ”pilveen”. Toiseksi: pidä tietokoneellasi vähintäänkin kunnollinen salasana, ettei aivan kaikki pääse suoraan koneesi tietoihin.
Harkitse asiakastietojen ja laskutuksen hoitamista verkkopalvelun kautta, jotta mikään ei katoa vaikka oma tietokone hajoaisi. Lisäksi vielä yksi vinkki: yritä löytää joku paikallinen IT-firma, henkilö, joka voi toimia oman yrityksesi konsulttina ja apuna kun sitä tarvitset – siis jos et itse ole ”tekniikan ihmelapsi”
Yritykselle ja organisaatiolle suositeltavia yleisiä toimenpiteitä ovat:
1. Johdon osallistuminen
Johto on vastuussa organisaation tietosuojatoiminnasta ja vastaa viime kädessä siitä, että tietosuoja-asetuksen vaatimuksia noudatetaan. Johdon tärkein tehtävä on antaa ja turvata riittävät resurssit, jotka mahdollistavat tietosuojan jatkuvan kehittämisen. Tämä voidaan esimerkiksi toteuttaa noudattamalla tietosuojan jatkuvan kehityksen mallia ja käynnistämällä sen perusteella tarpeelliset kehitystoimet. Lisäksi tietosuoja tulee sisällyttää organisaation strategiseen ohjaukseen säännöllisesti kuuluvaan raportointiin.
2. Riskiarviointi ja riskienhallinnan kehittäminen
Monissa organisaatioissa riskienhallinta on osa johtamisjärjestelmää. Tietosuoja-asetus ei tuo tähän toimintaan mitään uutta, mutta tietosuoja on otettava mukaan osaksi sitä. Riskiarviointiin kuuluu henkilötiedon käsittelyyn liittyvien riskien tunnistaminen, analysoiminen sekä tarvittavien riskienhallintatoimien laatiminen. Riskiarvioinnissa kaikkein oleellisinta on varmistaa henkilötietojen riittävä tietoturva niiden koko elinkaaren ajan.
Kun ensimmäinen tietosuojaan liittyvä riskiarviointi ja hallintatoimien tunnistaminen on tehty, pitää varmistua, että tietosuoja on jatkossa mukana organisaation riskienhallintajärjestelmässä ja -prosessissa.
3. Koulutus ja ohjeistus
Henkilöstön tietosuojaosaamisesta on huolehdittava riittävällä koulutuksella ja ohjeistuksella. Tämä koskee erityisesti henkilöstöä, jonka työtehtäviin kuuluu henkilötietojen käsittelemistä. Lisäksi organisaation kannattaa tarjota täsmäkoulutusta esimerkiksi henkilöstöhallinnon tai markkinoinnin parissa toimiville.
4. Dokumentaatio ja viestintä
Kehittämistoimien ja muutosten yhteydessä on syytä päivittää myös tietosuojaa koskeva dokumentaatio sekä viestintään liittyvät mahdolliset asiakirja- tai viestipohjat, kuten rekisteröidyille ja valvontaviranomaiselle lähetettävät ilmoitukset, sekä muu tietosuojaan liittyvä materiaali.