Sanoista tekoihin henkilötietojen suojaamisessa

Tietosuojan parissa työskentelevät elävät kiireistä aikaa, sillä tietosuoja-asetuksen voimaan astumiseen on enää kahdeksan kuukautta. Lisäksi tämän määräajan jälkeen on viimeistään siirryttävä asianmukaisen tietosuojan jatkuvaan ylläpitämiseen ja kehittämiseen.


Miten saa varmistettua, että valmistautumisen yhteydessä vaivalla dokumentoidut menettelytavat ja prosessit eivät jää vain musteeksi paperille? Miten henkilötietojen suojaamisen saa oikeasti osaksi yrityksen arvomaailmaa ja kulttuuria? Nämä asiat ovat itselläni tällä hetkellä päällimmäisenä mielessä.

Onnistuneen ns. compliance-kulttuurin luomiseen tarvitaan näitä neljää asiaa:

  • sitoutumista
  • selkeyttä
  • viestintää
  • koulutusta.

Ilman näitä riskinä on, ettei sisäisiä sääntöjä ja toimintatapoja noudateta riittävällä tavalla.

Johdon näytettävä tietä

Kun henkilötietojen suojaamista koskevat säännökset ja vaatimukset tiukentuvat, ylin johto on keskeisessä asemassa uusien rutiinien ja ohjeiden käyttöönottamisessa ja niiden jatkuvassa noudattamisessa. Ei riitä, että organisaatiolle laaditaan hienot sisäiset säännöt ja ohjeet, vaan johdon pitää selkeästi viestittää ja perustella organisaatiolle, minkä takia sääntelyjen noudattaminen on tärkeää yrityksen toiminnan ja yksittäisten henkilöiden kannalta.

Tämän lisäksi johdon pitää omalla toimintatavallaan osoittaa sitoutumisensa henkilötietojen suojaamiseen ja uusien vaatimusten sekä toimintatapojen noudattamiseen. Johdon toimintatapa ja viesti organisaatiolle pitää olla johdonmukainen ja jatkuva. Tällä tavalla on helpompaa saada ”oikea ajattelutapa” valumaan alas organisaatiossa ja luomaan sääntöjen noudattamisen kannalta toivotut käytöstavat henkilötasolla.

Työntekijöille selkeät ohjeet

Työntekijöille pitää myös antaa selkeät ja tarkat tiedot siitä mitä heiltä odotetaan henkilötietojen suojaamisen osalta. Vastuualueiden, roolien ja raportointikanavien pitää olla mahdollisimman yksinkertaisia ja selkeitä ottaen huomioon kunkin organisaation erityispiirteet. Selkeällä organisaatiokaavalla ja työnjaolla ei jää epäselvyyttä siitä, kuka arkipäivässä vastaa tietosuojaan liittyvistä asioista ja miten pitää toimia eri tilanteissa. Laadukkaan ja korkeatasoisen henkilötietojen suojauksen toteuttaminen sisäisiä ohjeita noudattamalla voi jopa olla osa työntekijöiden henkilökohtaisia tavoitteita.

Koulutus ja viestit kuntoon

Viestinnän tärkeys toistuu myös henkilökunnan kouluttautumisessa. On aivan selvää, että oikean tai uuden toimintatavan sisäistäminen on vaikeaa, jos ei käytännössä tiedä, mistä on kyse ja asia ei tunnu järkevältä arjen tehtävissä. Henkilökunnan kouluttautumisessa on tämän takia syytä pitää mielessä, että koulutus kohdistetaan ja paketoidaan oikealla tavalla, jotta työntekijät voivat samaistua siihen. Kouluttautumistahan ei välttämättä aina tarvitse järjestää varsinaisena koulutustilaisuutena, vaikka se tehokas tapa onkin, etenkin, kun otetaan uudet rutiinit ja toimintatavat käyttöön lain muutosten johdosta. Jos haluaa koulutusmielessä kiinnittää henkilökunnan huomioita yksittäisiin asioihin, sen voi tehdä esimerkiksi uutiskirjeen tai blogikirjoituksen kautta, tai jopa kahden-keskeisenä keskusteluna, jos tilanne sen vain sallii.

Omasta kokemuksestani tiedän, että vaikeinta on usein saada vanha koira istumaan, eli organisaatio tai henkilö jättämään vanhat tottumukset ja hyväksymään uusia toimintatapoja, mutta sinnikkyys palkitaan. Johdonmukaisella toimintatavalla sekä jatkuvan viestinnän ja koulutuksen kautta asia ei pääse unohtumaan. Myös asiamukaisen valvonnan kautta voidaan nopeallakin aikataululla reagoida mahdollisiin puutteisiin toimintatavoissa ja menettelyissä.

Jannica Boucht

Jannican avaus on osa blogikirjoitusten sarjaa, jossa asiantuntijamme kertovat käytännönläheisellä tavalla ja eri näkökulmista, mitä EU:n uusi tietosuoja-asetus tarkoittaa ja miten yritysten tulisi valmistautua sen 25.5.2018 voimaantuloon. Uusi tietosuoja-aiheinen avaus ilmestyy noin kerran kuukaudessa. Seuraa blogiamme!

Lue myös tietosuoja-sarjamme aiemmat kirjoitukset:

Riitta Sedig ja Maiju Kurvi: Tietosuoja-asetus + HR = ? 24.8.2017

Terhi Karjala ja Jari Piittinen: Tietosuoja-asetus tulee voimaan ensi keväänä, onko yrityksesi sopimukset jo kartoitettu? 15.6.2017

Timo Valonen: Miten tikku-ukkopiirustukset auttavat kehittämään tietosuojaa? 24.5.2017

Kirsi Putkonen: EU:n uusi tietosuoja-asetus lisää kansalaisten oikeuksia ja yrityksen velvollisuuksia – miten aloittaa valmistautuminen yrityksessäsi? 27.4.2017


EY-Jannica-Boucht-150x179Jannica Boucht

email

Senior Legal Councel Jannica Boucht on toiminut liikejuridiikan parissa vuodesta 2000 sekä juridisena neuvonantajana että ns. compliance officerin tehtävässä sijoitusalalla. Hän on osa EY:n kansainvälistä Privacy Law -tiimiä. Jannica avustaa asiakkaita mm. henkilötietojen käsittelyyn liittyvissä asioissa ja toimii tukena esimerkiksi sisäisten ohjeistusten ja toimintatapojen luomisessa.



Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s