Tietosuoja-asetuksen vastaanotto redandblue:lla

Sen paljon puhutun tietosuoja-asetuksen tulo sen kuin lähenee. Asetuksesta on puhuttu ja blogattu jo sen verran paljon, että taidan itse keskittyä kertomaan mitä me redandbluella olemme tehneet asian eteen ja kuinka se vaikuttaa asiakkaisiimme.

Tutustuminen ja dokumentointi

Alkuun vielä nopea kertaus termistöstä: Palveluidemme näkökulmasta me (redandblue) olemme henkilötietojen käsittelijä ja palvelun omistaja (asiakas) on itse rekisterinpitäjä. Me olemme toki myös itse rekisterinpitäjiä, esimerkiksi omilla verkkosivuillamme sallimme käyttäjien liittymisen uutiskirjeeseen, joka kerryttää henkilörekisteriä.

Lain näkövinkkelistä rekisterinpitäjä on itse vastuussa omasta rekisteristään, vaikka sillä olisikin muita käsittelijöitä. Tästä syystä on hyvä hoitaa kuntoon kirjalliset sopimukset mahdollisten alihankkijoiden ja muiden kumppanien kanssa. Rekisterinpitäjän tulee olla tietoinen mm. mitä tietoa heidän hallussaan on, sekä miksi ja miten sitä käsitellään.

Olemme kartoittaneet sekä dokumentoineet järjestelmiä joissa meillä on henkilötietoa. Samalla olemme karsineet turhia järjestelmiä käytöstä. Työn lomassa on myös löytynyt henkilötietoa, jota olemme voineet tarpeettomana siivota pois tai vähentää kerätyn tiedon määrää. Lisäksi olemme hahmotelleet sisäistä prosessia rekisteröidyiltä tulevien pyyntöjen käsittelyyn.

Meidän, kuten myös asiakkaidemme, verkkosivulta tulee löytyä tietosuojaseloste ja/tai rekisteriseloste, mikäli mitään henkilötietoa sivuston kautta liikkuu.

Käytäntöjen viilaus

Osana tätä selvitystyötä olemme viilanneet sisäisiä käytäntöjä tietojen käsittelyn osalta. Viimeisimpänä lisänä tietojen käsittelyyn on tuotu järjestelmällisyyttä ja käytäntöjä on yhdenmukaistettu. Sitä mukaan kun parempia käytäntöjä löytyy, otamme niitä käyttöön koko porukalle ja jälleen dokumentoimme kuinka toimimme. Parhaillaan päivitämme olemassa olevien sopimusten ehtoja henkilötietojen käsittelyn osalta ja seuraavaksi katsomme että sopimukset ovat kunnossa myös alihankkijoidemme kanssa.

Käytäntömme tuskin ovat täysin valmiita (toisaalta mikäpä tällä alalla ikinä on), mutta asiat etenevät ja suunta on selvä. Käytäntöjen parantamista jatketaan, sisäistä ymmärrystä lisätään ja työkaluja sekä tietoturvaa parannetaan jatkuvasti.

Summa summarum

Itse näen tietosuoja-asetuksen hyvänä asiana. Itsekään en haluaisi tietojeni vuotavan mihinkään (vahingossa tai tahallaan), enkä halua että omilla toimillani vuotaisin muiden tietoja. Asetus tuo siis kaikille hyvän ja tarvitun ryhtiliikkeen ja niin sanottu leväperäisyys tai pelkän maalaisjärjen varassa toimiminen varmasti jää vähemmälle.

Asetus vaatii toki paljon tutustumista ja selvittelyä, mutta loppujen lopuksi mitään ihmetemppuja ei tarvita. Meilläkin varmasti eniten aikaa on vienyt selvittely ja dokumentointi – käytännön toimet ovat pientä viilausta tuon selvittelyn sivussa. Dokumentaatio, vaikka sekin on osa hyviä käytäntöjä, jää helposti liian vähälle huomiolle. Mekin olemme kirjoittaneet paljon uutta dokumentaatiota ja käytännössä dokumentoineet jo niitä asioita joita olemme tehneet kauan.

Mielestäni GDPR ei siis ole asia ”jonka voi laittaa kuntoon”, vaan se on osa jokapäiväistä tekemistä sekä hyviä käytäntöjä ja se elää alan ja firman muutoksen mukana.

Heräsikö kysymyksiä tai mietteitä?

Ota yhteyttä: Hannu Kärkkäinen, hannu@redandblue.fi