HR viesti 1/2018 | Page 20

Osoitusvelvollisuuteen kuuluu tietojen käsittelyn nykytilan kartoitus ja tietosuojan ottaminen osaksi toimintojen suunnittelua ja mallinnusta . Tietosuojaperiaatteiden käytännön toteutusta , prosesseja ja menettelytapoja pitää pystyä todentamaan aukottomalla dokumentoinnilla , jonka tulee pyydettäessä olla valvontaviranomaisen saatavilla . Tietosuojan on oltava ” sisäänrakennettu ja oletusarvoinen ” ja itse tietojen käsittely ja tietojen säilytys on pidettävä minimissä .
” Yritysten on mietittävä tarkkaan , kuka tietoa ylipäätänsä käsittelee , miksi ja kauanko tietoa säilytetään . Se teettää töitä ”, Rusi arvioi .

Tietojen huolellinen käsittely on avain kaikkeen .

Monen kerroksen väkeä Evershedsillä näkyi viime syksynä selvä piikki liittyen GDPRkyselyihin . Yrityksessä on puolisen tusinaa lakimiestä , jotka tekevät työtä tietosuojan parissa . Evershedsiin yhteyttä ottaneiden yritysten joukossa oli paljon sellaisia , joilla homma oli varsin hyvin hanskassa , mutta myös joitakin sellaisia , jotka olivat vielä aika epävarmoja siitä mitä tuleman pitää .
” Yritysten tietoisuus GDPR : stä vaihtelee aika tavalla . Niissä yrityksissä , joissa henkilötietojen käsittely ei ole olennainen osa liiketoimintaa , ei välttämättä ole asiaa paljon mietitty . Jos taas henkilötietojen käsittely on tärkeä osa bisnestä , siihen on kiinnitetty huomiota jo aiemmin .”
Tähän liittyy elimellisesti Privacy Impact Assessment ( PIA ) eli tietosuojaa koskeva vaikutustenarviointi , joka yrityksen pitää tehdä , jos se suorittaa riskialtista tai laajamittaista henkilötietojen käsittelyä .
Kolmen vuorokauden armonaika Tietoturvaloukkauksen sattuessa rekisterinpitäjän on tehtävä ilmoitus valvontaviranomaisille 72 tuntia loukkauksen ilmitulosta . Ilmoituksen voi jättää tekemättä ainoastaan , mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä . Yritysten tulee huolehtia asianmukaisesta dokumentoinnista .
” Esimerkiksi verkkokaupan , joka huomaa että sen asiakkaiden luottokorttitietoihin on päästy luvattomasti käsiksi , on tehtävä ilmoitus 72 tunnin kuluessa siitä , kun luvaton pääsy havaittiin ”, kuvailee Rusi .
Perttu Seppänen Accountor HR Solutions Oy : stä toteaa , että GDPR vaikuttaa moneen asiaan – ja HR on vain yksi pala isompaa kokonaisuutta . Samaan hengenvetoon on kuitenkin selvää , että niin kauan kuin yrityksissä esimerkiksi pidetään henkilöstörekistereitä , uudenlaista organisoitumista tarvitaan .
” HR-tiedon osalta nousee esiin kysymys , ketkä sitä saavat käsitellä ja onko se suojattu tarpeeksi hyvin . Tietojen huolellinen käsittely on avain kaikkeen .”
Sokeita pisteitä löytyy yhä Seppäsen mukaan suomalaiset yritykset ovat varautuneet muutokseen pääasiassa hyvin . Ongelmallisin alue on dokumentaatio eli vaikka prosessit sinänsä ovat kunnossa , niitä ei ole kirjattu ylös vedenpitävästi .
” Isoissa yrityksissä huomaa , että prosessit toimii ja niille on nimetty omistajat , mutta edelleen varjoalueita löytyy ”, hän kuvailee mutta lisää , että toukokuuhun on toki vielä matkaa . Seppäsen mukaan ” iso pyörä ” on pyörinyt yrityksissä jo pitkään , kun eri rekistereitä ja järjestelmiä on käyty läpi GDPRnäkökulmasta .
” HR : n osalta muutos konkretisoituu ehkä vasta nyt , kun kaikki tehty työ paketoidaan valmiiksi keväällä .”
” PK-yrityksissä muutos on sitten enemmän resurssikysymys kuin pelkkä järjestelmäasia ”, Seppänen katsoo . Kaikenkokoisilla firmoilla riittää silti kysymyksiä .
” Esimerkiksi meille tulee kyselyjä siitä , onko Mepcotuotteiden ja tuotekehityksen dokumentaatio riittävää . Samalla halutaan laajemminkin tietoa GDPR-yhteensopivuudesta . Kyselyihin voimme hyvillä mielin todeta , että asiaan on varauduttu kokonaisvaltaisesti ja huolellisesti ”, Seppänen lopettaa .
Uoma haussa ? Keijo Karjalainen Sympa Oy : stä kertoo , että aihepiiri puhuttaa nyt kaikkia niitä organisaatioita , joissa käsitellään henkilötietoja . ” Viranomaisetkaan eivät vielä tiedä , mitkä ovat asetuksen kaikki vaikutukset ”, hän pohtii . Samalla yrityksissä kysytään , kellä on vastuu – tietohallinnolla , HR : llä vai kenellä ?
Sympassa on varauduttu tietosuoja-asetuksen tuloon jo vuosia . ” Meidän henkilöstön koulutus alkoi itse asiassa jo lakiluonnoksista ”, Karjalainen toteaa .
Matkan varrella on huomattu , että tietosuojaan kannattaa panostaa , koska se lisää samalla myös tietoturvaa . ” Jahka GDPR-yhteensopivuus on saavutettu , yrityksissä huomataan kyllä , että se loppupelissä helpottaa toimintaa ”, hän uskoo .
Tehtävän työn määrä ei Sympalla ollut mitenkään valtava : Sympan järjestelmät olivat lähtökohtaisesti noin 95 % valmiita GDPR : ään ja puuttuva rutistus ei ollut lainkaan mahdoton .
” Muutos vaatii etupäässä sitä , että henkilötiedot ovat ajan tasalla , suojattuja ja saatavilla ”, hän kiteyttää .
Automaatio avuksi Jokunen kysymys toki mietityttää , kuten oikeus tulla unohdetuksi . Karjalaisen mukaan esimerkiksi kehityskeskusteluista tehdyt muistiot voidaan heittää roskakoriin , jahka työntekijä on häi-
20 HR viesti 1 / 2018