GDPR-sel­vi­tys — Mitä pro­ses­si vaa­ti meiltä?

Suvi Lin­ko­ne­va teki meil­lä kuu­den vii­kon mit­tai­sen GDPR-sel­vi­tyk­sen, jos­sa kar­toi­tet­tiin nykyi­siä tie­to­suo­ja­pro­ses­se­jam­me ja nii­den vas­taa­vuut­ta uuteen tie­to­suo­ja-ase­tuk­seen näh­den. Pyy­sim­me Suvia ker­to­maan koke­muk­ses­taan ja anta­maan neu­vo­ja myös muil­le samas­sa tilan­tees­sa ole­vil­le organisaatioille.

Mitä olet teh­nyt ISLET:llä?

Olen teh­nyt ISLET:llä GDPR-arvioin­nin, jos­sa sel­vi­tin hen­ki­lö­tie­to­jen käsit­te­lyn toteu­tus­ta täl­lä het­kel­lä. Arvioin myös, miten hen­ki­lö­tie­to­jen käsit­te­lyä tuli­si päi­vit­tää tie­to­suo­ja-ase­tuk­sen näkö­kul­mas­ta, kun uut­ta tie­to­suo­ja-ase­tus­ta ale­taan sovel­taa tou­ko­kuus­sa. Päi­vi­tim­me ja doku­men­toim­me yhdes­sä yri­tyk­sen joh­don kans­sa kaik­ki pro­ses­sit yksi­tyis­koh­tai­ses­ti vas­taa­maan tietosuoja-asetusta.

Miten tie­to­suo­ja-arvioin­ti aloitettiin?

Aluk­si sel­vi­tin, mil­lai­sia roo­le­ja yri­tyk­ses­sä on hen­ki­lö­tie­to­jen käsit­te­lyn näkö­kul­mas­ta. Sel­vi­tin myös, mitä kaik­kea hen­ki­lö­tie­toa on kerät­ty ja mis­sä sitä säi­ly­te­tään. Sen jäl­keen poh­dim­me ja lis­ta­sim­me yhdes­sä joh­don kans­sa, mil­lä perus­teel­la ja mihin tar­koi­tuk­siin tätä tie­toa käsitellään.

Mihin on men­nyt eni­ten aikaa?

Eni­ten aikaa on men­nyt doku­men­toin­tiin. Tie­to­suo­ja-ase­tuk­sen mukai­ses­ti kaik­ki tar­vit­ta­va on olta­va doku­men­toi­tu­na, jot­ta se voi­daan osoit­taa jat­kos­sa toteu­te­tuk­si. Jos jota­kin toi­min­ta­ta­paa ei ole doku­men­toi­tu, ei sitä ole ole­mas­sa tie­to­suo­ja-ase­tuk­sen näkökulmasta.

Olem­me laa­ti­neet esi­mer­kik­si tar­kat pro­ses­si­ku­vauk­set, jot­ka hel­pot­ta­vat työn­te­ki­jöi­den arkea. Kun pro­ses­sit on kuvat­tu yksi­tyis­koh­tai­ses­ti, löy­ty­vät niis­tä tar­kat ohjeet, miten toi­mia esi­mer­kik­si tietoturvaloukkaustilanteissa.

Mitä olet oppinut?

Olen oppi­nut kuin­ka pal­jon eri­lai­sia näkö­kul­mia tie­to­suo­ja-ase­tuk­seen voi olla. Eri aloil­ta ja eri taus­tois­ta tule­vil­la ihmi­sil­lä on hyvin­kin eri­lai­sia näkö­kul­mia ja kysy­myk­siä. Näi­tä kysy­myk­siä en oli­si itse osan­nut enna­koi­da ja kysy­myk­set ovat olleet hyvin relevantteja.

Olen myös huo­man­nut, kuin­ka moni­ta­hois­ta tie­to­suo­jan pro­ses­si­ke­hi­tys on SAP:n maa­il­mas­sa. Jär­jes­tel­mäs­sä on pal­jon tie­toa saa­ta­vil­la ja yri­tyk­sen tulee pys­tyä tar­kas­ti mää­rit­te­le­mään saa­ta­vis­sa ole­va tie­to, osoit­ta­maan sen käyt­tö­tar­koi­tus ja mää­rit­te­le­mään ket­kä pää­se­vät tie­toon käsiksi.

Mil­lai­nen pro­jek­ti oli?

Pro­jek­ti oli todel­la mie­len­kiin­toi­nen. Muu­ta­man kuu­kau­den mit­tai­nen aika osoit­tau­tui yllät­tä­vän lyhyek­si ajan­jak­sok­si arvioi­da kaik­ki mate­ri­aa­lit sekä sel­vit­tää ja doku­men­toi­da tie­to­jen käyttö.

Miten neu­voi­sit mui­ta GDPR-ase­tuk­sen kanssa?

Jos et ole vie­lä aloit­ta­nut val­mis­tau­tu­maan GDPR:än, nyt on vii­mei­set het­ket käsil­lä. Työ­hön voi men­nä hel­pos­ti­kin hyvin pal­jon aikaa. Ei rii­tä, että pro­ses­sit ja toi­min­ta­ta­vat ovat ole­mas­sa, jos nii­tä ei ole doku­men­toi­tu huo­lel­li­ses­ti. Riit­tä­vä doku­men­taa­tio on siis avain koko GDPR-sel­vi­tyk­sen toteutukseen.

Mil­lais­ta ISLET:llä oli olla töissä?

Oli aivan huip­pua olla ISLET:llä ja tyk­kä­sin todel­la pal­jon työs­ken­nel­lä osa­na ISLET:n tii­miä. Minut otet­tiin heti mukaan osak­si mah­ta­vaa tii­miä ja sain kat­ta­van pereh­dy­tyk­sen yri­tyk­sen toi­min­taan. Viih­dyin mie­let­tö­män hyvin ISLET:llä ja pro­jek­ti oli erit­täin mielenkiintoinen.

Voim­me­ko aut­taa sinua GDPR:ssä? Tutus­tu tar­joa­miim­me pal­ve­lui­hin tääl­tä

Yhteys­tie­dot:
Piia Hoffs­ten
Chief Ope­ra­ting Officer
piia.hoffsten (a) isletgroup​.fi
+358 40 5877 303

#GDPR #tie­to­suo­ja #IsletGroup #Islet­ter­li­fe