Henkilöstön ymmärrys tietosuojasta
Työntekijät ovat organisaatioiden tärkein voimavara, myös tietosuoja-asioissa. Tietosuoja on kaikkien asia ja osa päivittäistä elämää. Hyvin koulutettu ja osaava henkilökunta on avain tietosuojan toteuttamisessa ja erinomainen vakuutus tietosuojauhkia vastaan; siihen kannattaa panostaa.
Vaikka tietosuojapoikkeamat yhdistetään ensimmäisenä tietomurtoihin, rikolliseen toimintaan ja haittaohjelmiin, suurimpaan osaan niistä syynä kuitenkin on tavallisen työntekijän osaamattomuus tai huolimattomuus ja inhimilliset virheet arjen työssä. Puutteellisesta osaamisesta johtuva tietosuojapoikkeama voi aiheuttaa ongelmia paitsi sen kohteeksi joutuneelle henkilölle, myös vakavia seurauksia, esimerkiksi sakkorangaistuksista ja mainehaitoista johtuvia suuria taloudellisia menetyksiä, koko organisaatiolle.
Organisaation työntekijöiden riittävä tietosuojaosaaminen on osa henkilötietojen käsittelyn riskien hallintaa. Selkeällä ohjeistuksella sekä hyvällä perehdytyksellä ja koulutuksella voidaan merkittävästi parantaa henkilötietojen käsittelyn turvallisuutta organisaatiossa.
Kenen on ymmärrettävä tietosuojavaatimukset?
Jokaisen työntekijän on hyvä olla selvillä tietosuojavaatimuksista ja siitä, mitä ne tarkoittavat omassa työarjessa, sekä siitä, mihin ottaa yhteyttä mahdollisten kysymysten ja ongelmien ilmetessä.
”Koko organisaation kouluttaminen on tehokas tapa jalkauttaa tietosuojan kulttuuria ja hyvä keino laskea yleistä riskitasoa. Näin voidaan myös osaltaan täyttää asianmukaisen henkilötietojen käsittelyn osoitusvelvollisuutta.”
Tietysti tietosuojatietoisuuden ylläpitämisessä on otettava huomioon työntekijöiden erilaiset roolit henkilötietojen käsittelyssä. Voi olla, että koko henkilöstön täysimittainen kouluttaminen ei välttämättä ole tarpeellista, vaan vain perustiedot esimerkiksi tietosuojan tietoiskun muodossa riittävät suurelle osalle työntekijöitä.
Itsestään selvää on, että mitä enemmän työntekijän työ liittyy henkilötietojen käsittelyyn, sitä suurempi merkitys tietosuojakoulutuksella on. Rooleja, jotka pääasiallisesti käsittelevät henkilötietoja työssään ja jotka siis tarvitsevat kattavat tiedot ja ohjeet oikeisiin toimintatapoihin, käytännössä usein ovat HR-, myynti- ja markkinointi-, asiakaspalvelu- sekä esimiestyössä toimivat.
Lisäksi tietosuojakoulutus on erittäin tärkeää organisaation johdolle, koska vastuu liiketoiminnasta kulkee käsi kädessä tietosuojavastuun kanssa. Siispä on oleellista, että johtoporras on hyvin tietoinen tietosuoja-asetuksen vaatimuksista ja vaikutuksista.
Kuinka tietosuoja-asioihin perehtyminen kannattaa aloittaa?
Henkilöstön tietosuojatietoisuuden ylläpitäminen lähtee uuden työntekijän perehdytyksestä. Jotta voidaan olla varmoja, että henkilötietoja käsitellään asianmukaisesti, jokaisen uuden työntekijän tulee saada asianmukainen ja omaan työrooliinsa riittävä perehdytys tietosuoja-asioihin. Lisäksi työntekijöillä täytyy aina olla helposti saatavilla olevat selkeät ohjeet.
”Tietosuojaan liittyvää muistutusta ja koulutusta on hyvä tehdä säännöllisesti, jotta asiat pysyisivät käyttömuistissa.”
Osaamista tulee organisaatiossa ylläpitää ja kehittää jatkuvasti; hyväksi havaittu sykli on pitää koko henkilöstölle tietosuojan tietoisku vähintään kerran vuodessa, ja järjestää laajempi tietosuojakoulutus niille, jotka henkilötietoja eniten työssään käsittelevät, vähintään kahden vuoden välein.
Mitä kaikkea tietosuojaan liittyen tulisi huomioida?
Organisaation työntekijöiden tulee ymmärtää tietosuojan perusteet ja noudattaa työssään niihin liittyviä periaatteita. On myös tärkeää, että henkilöstölle on selvää, miten tulee toimia erilaisissa ongelmatilanteissa.
Perehdytys, koulutus ja ohjeistus kannattaa suunnitella organisaation toimiala ja erityistarpeet sekä työntekijän rooli huomioon ottaen. Esimerkkejä aiheista, joita kannattaa käydä koulutuksissa läpi:
- Mitä tarkoitetaan henkilötiedoilla?
- Miten henkilötietoja käsitellään asianmukaisesti?
- Miten tietopyyntö hoidetaan?
- Miten toimitaan poikkeustilanteissa?
Koulutus kannattaa suunnitella ja toteuttaa mahdollisimman käytännönläheisesti, ottaen joka kohdassa huomioon arjen työssä kohdattavia esimerkkejä tyypillisistä tietosuojahaasteista erilaisissa tilanteissa ja niissä tarvittavia toimenpiteitä.
Työntekijän on koulutuksen jälkeen oltava selvillä siitä, millainen henkilötietojen käsittely kuuluu hänen tehtävänkuvaansa ja mihin hänen on kiinnitettävä huomiota omassa työssään. Koulutuksessa on hyvä kertoa siitä, mitä tietosuojaan liittyviä dokumentteja organisaatiossa on tehty, mm. tietosuojapolitiikka ja -selosteet, ja mistä ne löytyvät. Koulutuksessa on usein tarpeen käydä läpi myös tietoturvaan liittyviä seikkoja, kuten järjestelmien käyttöoikeushallintaa ja muuta tietojen teknistä suojausta.
Hyvin hoidettu tietosuoja on organisaation yhteinen asia
Olennaista tietosuojatietoisuuden ylläpitämisessä on johdon tuki, joka näkyy muun muassa resursoinnissa, tiedottamisessa, ja motivoinnissa.
Jotta työntekijät ymmärtäisivät tietosuojan ja siihen liittyvän koulutuksen tärkeyden ja omat vastuunsa, heille tulee kertoa henkilötietojen käsittelyyn liittyvistä lainsäädännöllisistä velvoitteista ja työntekijöille sen myötä asetetuista odotuksista.
On organisaation johdon vastuulla, että työntekijöiden tietosuojan osaamisen taso on riittävä. Huolellinen henkilöstön tietosuojaohjeistus ja -koulutus on sekä vaadittua että kannattavaa organisaatiolle. Riittävien tietosuojataitojen ylläpitäminen vaatii aina panostuksia, mutta on pieni vaiva siihen nähden, mitä tietosuojapoikkeama, esimerkiksi henkilötietoja sisältävän massasähköpostin lähettäminen vahingossa, voi pahimmillaan aiheuttaa.
”Tietosuojatietoisuuden ylläpito tulee nähdä ennen kaikkea sijoituksena
eikä vain pakollisena kustannuksena organisaatiolle.”
Jos tarvitset apua organisaatiosi tietosuojatietoisuuden kasvattamisessa ja/tai ylläpitämisessä, ota rohkeasti yhteyttä Lawderin aulaan – palvelemme napin painalluksen päässä arkisin 9-15.
Aino Kosunen
Data Protection Lawyer
Lawder Oy
