Tietosuoja herättää monessa yrityksessä kahdenlaisia tunteita. Toisaalta tiedetään, että GDPR:ää pitää noudattaa. Toisaalta ei olla varmoja, mitä se oikeasti tarkoittaa omassa arjessa – ja onko meillä jo kaikki kunnossa.
Lyhyt vastaus: todennäköisesti ei ole. Mutta se ei ole ongelma, vaan lähtökohta. Tietosuoja ei vaadi täydellisyyttä kerralla – se vaatii suunnan ja tekemistä.
Mistä tietosuojassa on kyse?
Tietosuojassa on pohjimmiltaan kyse siitä, että ihmisten henkilötietoja käsitellään reilusti, turvallisesti ja läpinäkyvästi. EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan 2018, ja se koskee käytännössä jokaista yritystä, joka kerää tai käsittelee henkilötietoja – koosta riippumatta.
Suomessa GDPR:n rinnalla sovelletaan kansallista tietosuojalakia (1050/2018) ja useita erityislakeja, kuten lakia yksityisyyden suojasta työelämässä. Kokonaisuus voi tuntua monimutkaiselta, mutta käytännön tasolla kyse on viidestä perusasiasta:
- Ymmärrä GDPR:n perusteet
Ei tarvitse osata asetusta ulkoa, mutta yrityksen avainhenkilöiden on ymmärrettävä, mikä GDPR on, ketä se koskee ja mitä se käytännössä edellyttää.
- Tiedä, mitä tietoja käsittelet
Kartoita, mitä henkilötietoja yrityksessäsi liikkuu, missä järjestelmissä ne ovat ja millä perusteella niitä käsitellään. Tämä on kaiken tietosuojatyön pohja.
- Pidä dokumentaatio kunnossa
GDPR edellyttää osoitusvelvollisuutta – pelkkä väite siitä, että "meillä on asiat hyvin" ei riitä. Pitää olla tietosuojaselosteet, käsittelyrekisteri, sopimukset ja tietosuojapolitiikka.
- Arvioi, tarvitaanko tietosuojavastaavaa
Tietyissä tilanteissa DPO on pakollinen, mutta myös vapaaehtoisesti nimitetty – tai ulkoistettu – tietosuojavastaava on monelle yritykselle fiksuin tapa hoitaa asia.
- Varaudu loukkauksiin
Tietoturvaloukkaukset tapahtuvat. Tärkeintä on, että yrityksellä on suunnitelma, vastuuhenkilöt ja kyky reagoida nopeasti.
Milloin kannattaa hakea apua?
Aina ei tarvitse tehdä kaikkea itse. Asiantuntijaan kannattaa olla yhteydessä erityisesti silloin, kun tietosuojan nykytilanne on epäselvä, dokumentaatio puuttuu tai on vanhentunut, on tapahtunut loukkaus tai sellaista epäillään, uusi järjestelmä tai palvelu otetaan käyttöön, tai halutaan ulkoistaa tietosuojavastaavan tehtävä.
Lawder tarjoaa tietosuojapalveluja, jotka on rakennettu yritysten todellisiin tarpeisiin. Ei turhaa byrokratiaa, vaan konkreettista apua oikeisiin asioihin.