Tietosuojan toteuttaminen pienessä ja keskisuuressa yrityksessä
Julkaistu 08.01.2018Tietosuojan toteuttaminen pk-yrityksessä
EU:n tulevan tietosuoja-asetuksen mukana on tullut paljon hämmennystä siitä, mitä yritysten tulisi konkreettisesti tehdä noudattaakseen asetuksen vaatimuksia. Sama koskee nykyistä henkilötietolainsäädäntöä, jonka sisältö menee osittain päällekkäin tulevan asetuksen vaateiden kanssa.
Euroopan unionin viralliset dokumentaatiot ja ohjeistukset sekä muu julkinen materiaali aiheesta ovat laiha lohtu henkilöille, jotka eivät omaa taustaa riskienhallinnasta tai lakitekstien tulkitsemisesta. Samaan aikaan konsultit pelottelevat vastuilla ja suurilla sakoilla muistuttaen myös, että aikaakin on jäljellä vain puolisen vuotta, kunnes asetusta lähdetään soveltamaan EU:n alueella.
Maito ei kuitenkaan ole vielä maassa, sillä, vaaditut konkreettiset toimenpiteet, ovat varsin kohtuulliset. Tärkeintä olisi pystyä hahmottamaan se, kuinka yrityksen sisällä käsitellään henkilötietoja. Tämä on usein vaikein ja työläin osuus, mutta ehdoton työvaihe tietosuojan varmistamiseksi.
Rekisteriselosteiden luominen, tietosuojan nykytilan arviointi ja arkaluontoisten tietojen käsittely
Ensimmäiseksi tulisi luoda henkilötietoja keräävistä ja käsittelevistä järjestelmistä rekisteriselosteet, joista selviää minkälaisia tietoja, miten ja miksi niitä kerätään ja mihin niitä hyödynnetään. Rekisteriselosteiden lisäksi tietovuoselvityksen auttaa asiassa eteenpäin. Tarkemmin sanottuna: mistä tiedot tulevat, missä ne liikkuvat ja kuka niitä käsittelee. Yrityksen pitää myös tiedostaa, ovatko jotkut tiedoista arkaluontoisia.
Arkaluontoisina tietoina pidetään esimerkiksi henkilön etnistä taustaa, uskonnollista, poliittista, yhteiskunnallista vakaumusta, terveystietoja, sosiaalihuollon palveluja ja ammattiliittoon kuulumista. Näiden tietojen ei välttämättä tarvitse olla suoraan olemassa, vaan riittää, että ne ovat pääteltävissä rekisteröidyistä tiedoista sekä liitettävissä yksittäiseen henkilöön. Näiden tietojen kerääminen ja käsittely ovat myös lähtökohtaisesti kielletty, ellei siihen ole hyväksyttävä syy.
Rekisteriselosteiden laadinta, tietovirtojen selvittäminen, arkaluontoisien tietojen sekä niiden käsittelyn selvittäminen perusteineen sekä näiden kaikkien dokumentointi yksiin kansiin, ovat toimenpiteitä, jotka ovat tehtävissä ilman kalliita konsultteja tai monimutkaisia auditointeja, ja joiden avulla ollaan jo pitkällä tietosuoja-asetuksen vaateiden täyttämisessä.
Koulutuksia toimenpiteisiin
Toimenpiteiden kuten rekisteröityjen henkilöiden oikeuksien toteutuminen, riskiarviointi, tekniset ja hallinnolliset tietoturva-asiat sekä henkilöstön kouluttaminen, ovat osa-alueita, joiden kanssa moni pk-yritys tarvitsee ulkoista asiantuntija-apua.
Toteutamme tietosuojan nykytilan arviointeja, autamme tarvittaessa dokumenttien laadinnassa ja järjestämme tietosuojaan ja tietoturvallisuuteen liittyvää koulutusta.
Tämän artikkelin on kirjoittanut Alertumin tietoturva- ja tietosuojakouluttaja Leo Hämäläinen.
Lisätietoa koulutuksista ja analyysista saat Alertumin kehitysjohtajalta Lari Lindéniltä.