GDPR – inte ditt ansvar som IT-chef men din uppgift

Yleinen tietosuoja-asetus on koko organisaation tehtävä, josta johto vastaa

Turhautuminen jossain määrin on todennäköistä, kun yleiseen tietosuoja-asetukseen liittyvät asiat kasaantuvat IT-päällikön työpöydälle. On kohtuutonta vaatia, että vain yksi tai kaksi henkilöä tietävät miksi organisaatio kerää, käsittelee ja kenties myös jakaa tietoja. Henkilötietojen käsittely on olennainen osa henkilöstö- ja palkkahallintoa ja se on isossa roolissa myös organisaation muilla osastoilla. Yleisen tietosuoja-asetuksen noudattamisen varmistamiseksi onkin tärkeää, että työssä on mukana monia ihmisiä. Kuka vastuuta sitten varsinaisesti kantaa? Entä mikä on IT-vastaavan todellinen tehtävä yleiseen tietosuoja-asetukseen liittyen?

Kuka on vastuussa yleiseen tietosuoja-asetukseen liittyvistä asioista?

Lyhyt ja ytimekäs vastaus kysymykseen on, että yrityksen johto on vastuussa asiasta. Yrityksen edustajien on tiedettävä miksi henkilötietoja kerätään, miten niitä käsitellään ja mihin lailliseen perusteeseen toiminta pohjautuu.

Vaikka pääasiallinen vastuu ei olekaan IT-osastolla, niin yleisen tietosuoja-asetuksen noudattamiseen vaadittavien toimien toteuttaminen lankeaa usein kyseisen osaston työntekijöille. Kaikki yrityksen toiminnot hyödyntävät erilaisia IT-järjestelmiä. Järjestelmien ylläpidon lisäksi IT-osaston tehtävänä on usein varmistaa, että järjestelmässä olevat henkilötiedot ovat helposti saatavilla ja niitä käsitellään luottamuksellisesti sekä suojellaan mahdolliselta väärinkäytöltä. IT-vastaavan on myös varmistettava, että hänellä on pääsy kaikkiin tarvittaviin tietoihin ja edellytykset johtaa lain noudattamisen teknistä puolta.

Kaikki henkilötietoja käsittelevät mukaan tietosuoja-asetukseen liittyvään työhön

Ensimmäiseksi on tärkeää laatia rutiinit ja prosessit, joiden mukaan yrityksessä käsitellään henkilötietoja. Rutiinien tulee kattaa myös tavanomaiset IT-vastuualueet, kuten käyttäjähallinnan, salauksen, lokien ylläpidon ja niin edelleen. On myös tärkeää kartoittaa mihin järjestelmiin ja prosesseihin yleinen tietosuoja-asetus vaikuttaa. Esimerkiksi henkilöstö- ja palkkahallinnossa vaikutuksen alaisena ovat palkkajärjestelmät ja muut sovellukset, joiden avulla käsitellään henkilöstön tietoja. Puuteanalyysi (GAP-analyysi) on tehokas työkalu prosessien kartoittamiseen. Analyysissä yksikköjen edustajat selvittävät, miten yksiköissä käsitellään henkilötietoja. Analyysin avulla saadaan kattava kuva nykytilanteesta ja voidaan määritellä millaisia toimenpiteitä yleisen tietosuoja-asetuksen noudattaminen yrityksessä vaatii.

Kaikkien henkilötietoja käsittelevien osastojen on oltava luonnollisesti tietoisia käsittelyn sisällöstä, jotta koko organisaation tiedonkäsittelystä saataisiin kattava kokonaiskuva. Edellytyksenä on, että työt kootaan yhteen ja että enemmistö yrityksen osastoista tekee tiivistä yhteistyötä IT-osaston kanssa.

Oman yrityksen käsittelytapojen kartoittaminen

Suurissa ja maantieteellisesti laajalle levittäytyneissä organisaatioissa on melko tavallista, että useita eri IT-järjestelmiä käytetään samaan tarkoitukseen. Työpisteet saattavat sijaita eri paikoissa, vaikka työntekijät kuuluisivatkin samaan yksikköön. Järjestelmät ovat joskus yhteydessä toisiinsa, mutta ne voivat yhtä hyvin olla myös itsenäisiä kokonaisuuksia. Sen vuoksi on ratkaisevan tärkeää selvittää, millaisia tietoja kussakin järjestelmässä käsitellään sekä varmistaa tietojen jäljitettävyys. Samalla mahdolliset epäkohdat tulevat myös esille. Niitä ovat esimerkiksi tapaukset, joissa käsittelyyn liittyvät tiedot puuttuvat kokonaan tai ne ovat puutteellisia. Voi myös olla, ettei henkilötietojen keräämiseen ja käsittelyyn ole laillista perustetta tai toiminta on muutoin yleisen tietosuoja-asetuksen vastaista.

Seuraavat kysymykset voivat olla hyviä lähtökohtia kartoitukselle.

  • Minkälaisia henkilötietoja käsittelemme?
  • Miten tiedot luokitellaan (ts. kuinka arkaluontoisia tiedot ovat)?
  • Miltä osin säilyttämämme tiedot täyttävät yleisen tietosuoja-asetuksen vaatimukset?
  • Mitkä ovat lailliset perusteet tietojen säilyttämiseen ja käsittelyyn?
  • Millä tavalla henkilötietoja käsitellään IT-järjestelmässämme?

Henkilöstöhallinnon ja IT:n yhteistyö helpottaa työtä huomattavasti

Yleisen tietosuoja-asetuksen noudattamisen varmistaminen voi tuntua monille IT-vastaaville ylivoimaiselta tehtävältä. Selkeä rakenne ja tiivis yhteistyö muiden osastojen kanssa kuitenkin keventävät taakkaa huomattavasti. Henkilöstöosaston ja muiden henkilötietoja käsittelevien osastojen kanssa on sen vuoksi laadittava yhteisiä rutiineja ja prosesseja.

Yleiseen tietosuoja-asetukseen liittyvän yhteistyön tavoitteen voi tiivistää kolmeen kohtaan:

  1. selkeä käsitys siitä, miksi tietoja kerätään, miten niitä käytetään ja kuinka kauan niitä säilytetään
  2. selvät rutiinit ja prosessit, joiden avulla varmistetaan henkilötietojen tunnistettavuus, jäljitettävyys, helppo käsittely ja turvallisuus
  3. läpinäkyvyys ja selkeät rutiinit suostumuksen käsittelyyn, jotta yrityksen ja rekisteröidyn väliseen suhteeseen ei jää aukkoja.

Koko yrityksen on tietenkin toimittava yleisen tietosuoja-asetuksen mukaisesti, jotta uusista säännöksistä saadaan muodostettua kattavampi ja syvempi ymmärrys. Asiat ovat kuitenkin jo hyvällä mallilla, jos edellä mainitut rutiinit ja prosessit ovat kunnossa.

Lisätietoja yleisestä tietosuoja-asetuksesta löydät Tietosuojavaltuutetun verkkosivuilta.

Aditro kantaa vastuuta tietoturvasta ja yleisen tietosuoja-asetuksen perusteellisesta noudattamisesta. Haluatko tietää, miten autamme asiakkaitamme toimimaan yleisen tietosuoja-asetuksen mukaisesti henkilöstö- ja palkkaprosesseissa?

Yhteydenotot ja lisätiedot:
myynti@aditro.com

 


Teimme sinulle maksuttoman GDPR-oppaan:

Yleinen tietosuoja-asetus on koko organisaation tehtävä, josta johto vastaa