Mikroyrittäjä suuryrityksen tietosuojaprojektin ohjaksissa

Jokaisessa eurooppalaisessa organisaatiossa pitäisi olla parhaillaan menossa jonkinasteinen tietosuojaprojekti. Itse työskentelen ison suomalaisyrityksen tietosuojaprojektissa, ja yritän hieman avata tätä moniulotteista ja arkaluonteista projektimaailmaa.

EU:n uuden tietosuoja-asetuksen siirtymäaika päättyy toukokuussa 2018, jolloin jokaisen yrityksen ja henkilötietoja käsittelevän organisaation täytyy toimia henkilötietoja käsitellessään asetuksen mukaisesti. Asetus kattaa koko Euroopan kaikki toimialat, jonka takia se on kirjoitettu hyvin
yleisellä tasolla.

Viranomaisilta ei tule tarkkaa ohjeistusta, miten toimimalla asetusta noudatetaan. Sen sijaan jokainen yritys tekee asetuksesta oman tulkintansa, jonka perusteella ne tarkentavat toimintatapojaan ja muuttavat tietojärjestelmiään. Siirtymäajan päätyttyä käytännöt tarkentuvat, jolloin vasta ennakkotapausten perusteella mitataan, miten lähellä yritysten tulkinta on viranomaisen tulkintaa. Tämä tekee tietosuojaprojekteista äärimmäisen haastavia.

Juridinen dokumentaatio

Ison yrityksen tietosuojaprojekti sisältää valtavia asiakokonaisuuksia, jotka täytyy ottaa haltuun yksi kerrallaan, sadoissa pienissä palasissa. Tämänhetkisen asiakasyritykseni lakiosastolla ollaan hyvin perillä asetuksen sisällöstä, ja projektissa toteutetaan asioita juristien tulkinnan mukaisesti.

Yksi isoimpia tietosuoja-asetuksen tuomia käytännön muutoksia on yrityksen velvollisuus todistaa, että henkilötietojen kanssa toimitaan asetuksen mukaisesti. Todistusvelvollisuus on yrityksellä itsellään ja se toteutetaan huolellisen dokumentaation avulla.

Valtavan tietomäärän yksityiskohtainen karsiminen

Tietosuojaprojektin isoin kakku on ICT-työtä, joka on tällä hetkellä kovalla vauhdilla käynnissä. Yksi iso asiakokonaisuus on tiedon poistaminen. Tiedon tallentaminen on ollut edullista, ja isoilla konserneilla on hurja määrä erilaisia järjestelmiä, joissa on tallessa valtavasti erilaisia henkilöihin liittyviä tietoja. Asetuksen tulkinnasta riippuen erityyppisille henkilötiedoille täytyy määritellä, miten kauan tieto on tarpeen, jonka jälkeen se täytyy poistaa.

Hankalaksi asian tekee se, että tietojärjestelmiä ei ole suunniteltu tiedon poistamista varten. Poistomekanismien rakentaminen jälkikäteen on työlästä, sillä yksittäisten tietojen poistaminen valtavista tietomassoista on tarkkaa työtä. Tarpeettoman henkilötiedon poistaminen ottaa aikansa. Tiedon poistoajon suorittaminen voi kestää tunnin tai jopa viikon, jonka aikana normaali linjatyö ei kuitenkaan saisi häiriintyä.

Henkilökunnan koulutus

Yksi tietosuojaprojektin laajoista osa-alueista on asennemuutoksen ja toimintatavan päivittäminen tuhansien työntekijöiden arkiseen tekemiseen: miten jokaista henkilötietoa tai dokumenttia tulee käsitellä. Olemme laajan sidosryhmäanalyysin avulla kartoittaneet kymmeniä erilaisia sidosryhmiä, miten muutos heidän työhönsä vaikuttaa. Suunnittelemme koulutuskokonaisuuksia ryhmäkohtaisesti: kuka pärjää yleiskoulutuksella ja kenelle tarvitaan tarkempi, oman tekemisen tasolle viety koulutus.

Tässä työssä hankepäällikön ja minun apunani on muutoksesta vastaava henkilö, jonka kanssa yhteistyössä edistämme asioita. Muutoksen jalkauttamisen tasot vaihtelevat ohjeistuksesta kouluttamiseen.

Tiedottaminen asetuksen yksilötason vaikutuksista

Henkilötietoa on lähes kaikkialla ja sen käsitteleminen koskettaa kaikkia osapuolia, niin sisäisiä kuin ulkoisia toimijoita. Verkostoituminen on voimakasta, yrityksillä on paljon kumppaneita, ja tämän kokonaisuuden hallitseminen on työlästä. Rekisterin pitäjän vastuu on suuri, ja kun palvelu on ulkoistettu, on rekisterin pitäjä vastuussa myös ulkoisen palveluntuottajan tekemisistä. Sopimusteknistä vastuuta halutaankin ulottaa myös varsinaisen palveluntuottajan suuntaan.

Ulkoisten ja sisäisten kumppanien sekä viranomaistahon lisäksi tietosuoja-asetuksen tuomista muutoksista täytyy tiedottaa myös asiakkaita. Tietoa karttuu monia eri väyliä pitkin: yhtiöiden verkkosivuilta, sovelluksista, sopimuksista ja tiedotteista. Myös asiakaspalvelukeskusten on oltava valveutuneita tietosuoja-asetuksen vaikutuksista. Rummutus kiihtyy, mitä lähemmäs siirtymäajan päättymistä tullaan, ja sen avulla ihmisten tietoisuus omista oikeuksistaan kasvaa koko ajan.

Tämän monivuotisen projektin keskeltä haluan kuitenkin muistuttaa, että meidän tavallisten ihmisten elämään uusi tietosuoja-asetus tuo lisää oikeuksia ja tarkentaa henkilötietojemme käyttämiseen liittyviä asioita, joiden perusta on ollut kansallisessa lainsäädännössämme jo pitkään.

Mika Salonen
projektipäällikkö

Jaa artikkeli:

Lataa IT-ostamisen ABC -opas!

Asiantuntijoiden kanssa yhteistyössä kirjoitettu IT-ostamisen ABC pitää sisällään paljon käytännönläheisiä ohjeita IT-ostamiseen.

Project-IT Vinssi on projektinhallinnan ammattilaisten verkosto, joka mahdollistaa heille väylän arvostettujen suomalaisten yritysten erilaisiin projektitoimeksiantoihin.