GDPR – tässäkö se oli?

2018-05-24

Vaikutusten arvioinnit, sopimukset henkilötietojen käsittelyyn, informointikäytäntöjen tarkistaminen, tietosuojavastaavan nimittäminen… Mikään ei tunnu olevan läheskään valmiista ja paniikki iskee.

Heidi Helwe Cyber Intelligence Consultant

Käytävällä ei kannata juosta ja ylimääräisiä kokouksia ei kannata pitää. Joskus paras tapa toimia on vain ottaa pari askelta taaksepäin ja katsoa ulkopuolelta, mitä on järkevää tehdä. Kriittisimmät ensin, kunnioitetaan kollegaa ja tehdään yhteistyötä, huutoa ei kukaan kuuntele.

Tänä päivänä kaikki näyttää olevan jollain tavalla verkossa sähköisessä muodossa, esimerkiksi varauskalenterit, sähköiset tilausjärjestelmät, lomakkeet. Henkilötietoja käsitellään verkossa valtavasti, vaikka se ei olisikaan liiketoiminnan ydintehtävä.

Monessa organisaatiossa asiat ovat vielä kesken

Monessa organisaatiossa ei ole läheskään valmista. Tämä on hyvin yleinen tilanne tietosuojan kehitysprojektien ympärillä. Kukaan ei halua rikkoa voimassaolevaa lainsäädäntöä, mutta myönnetään se tosiasia, että tietoa ei ole laskeutunut yrityksiin mahdollisimman selkeässä muodossa. Monessa organisaatiossa on henkilöstöpula ja alimitoitetuilla resursseilla pyöritetään päivittäistä liiketoimintaa. Suuren tietosuojaprojektin istuttaminen osaksi organisaation käynnissä olevia projekteja on aiheuttanut suuria haasteita. Tuntitolkulla on istuttu kokouksissa. Jokainen on yrittänyt opiskella ja sisäistää mitä GDPR tarkoittaa oman työn näkökulmasta.  Kenelle GDPR-projekti edes kuuluu?

Asetukseen liittyvää tietoa on myös löytynyt kohta vanhenevan henkilötietolain ja tietosuoja-asetuksen termeillä. Organisaatioissa ollaan törmätty termiongelmiin ja sanaviidakko on sumentanut selkeän tekemisen näkökenttää. Moni organisaatio on jäänyt odottamaan selkeämpiä ja konkreettisia käytännönläheisiä ohjeita ja tämä ei ole ehkä ollut paras mahdollinen vaihtoehto. 

Tietosuojavastaavan löytäminen on ollut vaikeaa ja sen työtehtävien ymmärtäminen vielä haastavampaa. Myöskin se, tarvitsisiko organisaation kyseistä vastaavaa edes nimittää, on ollut useiden kokouksien ja kartoitusprojektien takana.

Tietosuojan vaikutustenarviointi on tuottanut paljon haasteita, sen kokonaisuuden ymmärtäminen ja kaikkien artikloiden läpikäynti. Informointi rekisteröidylle ja näiden velvoitteiden sisäistäminen käytännön tasolle on saattanut vienyt lukuisia työtunteja. Lisäksi tietosuoja-asetus tuo vielä paljon muita aiheeseen liittyviä tehtäviä.

Onko peli menetetty?

Monia arveluttaa, onko tehty kaikki tarpeellinen asetuksen eteen, täytämmekö me osoitusvelvollisuuden. Ikinä ei ole liian myöhäistä. Tietenkin lakia ja voimassa olevia säännöksiä tulee aina noudattaa, mutta ei ole liian myöhäistä pyytää apua ja lähteä tehostetusti korjaamaan tietosuojan osa-alueita.

Tämän vuoksi on suositeltavaa pyytää ulkopuolista näkemystä siitä, mikä on todellinen tietosuojan tilanne organisaatiossa. Ulkoisella katselmoinnilla voidaan säästää paljon organisaation resursseja välttämällä tarpeettomat toimenpiteet. Selkeästi aikataulutetut tehtävät tuovat mielenrauhaa ja konkretisoivat tilannetta tähdäten järkevään, tehostettuun tekemiseen.