Kuka teillä tekee GDPR:ää?
2.2.2018 | Blogi

Aloitin tammikuun alussa Sarasella rekrytoivien koulutusohjelmien projektipäällikkönä. Ensimmäinen työstämäni projekti on ollut ajan hermolla: Data Protection Specialist -ohjelma on koko vuoden kestävä ohjelma, jonka avulla perehdytetään osaajia tietosuoja-asetus GDPR:n pariin.

Muistan rekrytointiprosessistani Saraselle erityisesti sen, miten niissä toistui muutamia kertoja kysymys kiinnostuksestani tietoturva-asioihin. Olen kyllä kiinnostunut tietoturvaan liittyvästä kentästä, mutta sisimmässäni ajattelin tietoturva-asioiden olevan aika rajoittunut ympäristö ja että se koskee organisaatioissa hyvin pientä ja valittua joukkoa ihmisiä. Kuten nyt olen huomannut, tietoturva ja sen ymmärtäminen onkin keskeisessä asemassa usean toimialan organisaatioissa ja se koskettaa melkeinpä jokaista yksikköä ja liiketoiminta-aluetta.

Lähestyin aihetta ottamalla meidän omat käytäntömme ja tietosuojamme tason Sarasella tarkasteluun. Olemme toimialalla, jossa toimintamme keskeisen palvelun – rekrytoitavien ja koulutuksiimme osallistuvien henkilöiden sekä yritysten tarpeiden yhdistäminen – sivutuotteena kertyy valtava määrä henkilötietoja. Saranen on osa Barona-konsernia, joka on tarkastellut jo melkoisen laajasti tietosuoja-asetusta. Sarasellakin on henkilötietorekisterissään paljon nimiä, mutta Barona-konsernilla vielä moninkertainen määrä, työllistäähän konserni vuosittain yli 15 000 henkilöä uusiin tehtäviin.

Olemme saaneet paljon ulkopuolista tukea eri palveluntarjoajilta ja sisäisiä koulutuksia aiheesta on meidän henkilöstöstämme valituille tahoille pidetty hiljattain. Juteltuani Barona Groupin IT-johtaja Jani Kinnusen kanssa sain selville, että olemmekin jo pitkällä EU-vaatimusten mukaiseksi yhtiöksi. Tietosuojavastaava on nimetty, ja eri liiketoiminnoista on muodostettu ryhmiä, joissa jokaisessa on oma ”tietosuojavelho”. Näin tietosuoja-asiat etenevät jokaisella liiketoimintasektorilla nyt ja tulevaisuudessa tehokkaasti. Termistö on jo hallussa, rekisteriselosteet on tarkastettu ja dokumentaatioon ja ohjeistukseen on panostettu.

Olemme siis organisaationa valmistautuneet tulevaan, vaikka käytännöt ja toimintatavat tulevat vielä kevään osalta varmasti täsmentymään ja henkilöstön laajempi mukaan ottaminen lienee vain ajan kysymys. Vaikka me olemme yleisesti melko hyvin valmistautuneet tulevaan, niin olen erittäin huolestunut yleisesti yritysten ja organisaatioiden kyvystä hahmottaa GDPR:n mukanaan tuomien uusien toimintamallien merkitys omissa organisaatioissaan.

Sarasen tilannetta selvittäessäni, olen huomannut, että työsarkaa on ollut valtavasti. Ihan yksi ihminen ei tätä pysty kerralla tekemään, ainakaan isossa organisaatiossa. Pienet ja keskisuuretkin yrityksetkin tarvitsevat vähintään yhden henkilön keskittymään lähes täyspäiväisesti GDPR:ään, mikäli suunnittelutyö asetukseen reagoinnin suhteen on vasta lapsenkengissä. GDPR voi myös olla puolet työnkuvasta, ja puolet jotakin yrityksen muuta toimintaa tukevaa. Resursointi on vain tässäkin haasteellista: ostaako GDPR-osaamista ulkopuolelta vai etsiäkö sopiva tyyppi omille palkkalistoille?

Olen hahmotellut seuraavan muistilistan yrityksille, jotka kenties eivät ole vielä pohdinnoissaan edenneet aivan yhtä pitkälle kuin me täällä Sarasella, tai joiden olisi nyt viimeistään aloitettava oman organisaation toimintamallien ja henkilötietojen analyyttisempi tarkastelu. Samalla pohdinnat auttavat hahmottamaan kenties paremmin organisaationne tarvetta käyttää ulkopuolista asiantuntijatahoa, organisaationne henkilöstön kouluttajaa tai mahdollista tarvetta etsiä osaava, aihealueesta kiinnostunut GDPR:n periaatteet ymmärtävä henkilö talon sisälle toteuttamaan riskikartoitusta ja dokumentointia. Muistilistan saat ladattua alla olevan linkin kautta.

Lisää aiheesta

Ota yhteyttä

Henkilötietoja käytetään Saranen Consulting palveluista kertomiseen yhteydenoton yhteydessä. Lue lisää henkilötietojen käsittelystämme tietosuojaselosteestamme.