Oletko ajatellut, että tietosuojaseloste ja evästekysely ovat ainoat GDPR:n vaatimat toimenpiteet? Jos olet, niin saatat yllättyä. Hyvä tietosuojaseloste vastaa moneen vaadittuun asiaan, mutta usein se laaditaan vain asiakkaita varten verkkosivuille. Myös teidän henkilöstönne osalta tulisi olla selkeästi dokumentoitu, miten henkilötietoja käytetään ja miten niitä käsitellään. Ja sama kumppaneiden tietojen osalta.
Oikeastaan ihan kaikesta, mihin liittyvät henkilötiedot, tulisi olla dokumentoidut toimintamallit. Toimintamalleissa määritellään, kuinka henkilötietoja käsitellään, kuka niitä käsittelee, kauanko niitä säilytetään ja miten tietojen käsittelystä on tehty mahdollisimman turvallista.
Mikä on henkilötieto?
Henkilötieto on vaikka pelkkä nimi, jos se on tarpeeksi yksilöivä. Niin kuin vaikka mun nimi, toista Minttu Murtomäkeä ei taida Suomesta löytyä. Nimi ja titteli ainakin voidaan jo helposti yhdistää tiettyyn ihmiseen. Saatikka sitten jos puhutaan henkilötunnuksista. Käytännössä kaikissa yrityksissä käsitellään henkilötietoja, joissa on edes yksi ihminen töissä. Tai kenellä on yksikin asiakas tai kumppani. Näistä muodostuu kolme eri rekisteriä, jotka tulisi olla olemassa, jos joku niitä kysyy.
Kyllä meillä on kaikki hyvin
Meilläkin oli todella moni GDPR:ään liittyvä asia jo valmiiksi hyvällä tasolla ja asianmukaisesti hoidettu. Isoin miinus tuli siitä, että niitä ei ollut millään tavalla dokumentoitu. Ja näin pitäisi olla, jotta on tarvittaessa esittää mustaa valkoisella siitä, että näin me toimimme.
Puuttuvia dokumentteja meillä olivat mm. henkilöstön tietojen käsittelyyn liittyvä dokumentaatio, tietoinventaario ja malli rekisteröityjen oikeuksiin liittyvien toimenpiteiden suorittamisesta.
Kun ajattelinkin sitä määrää virallisia dokumentteja, joita pitäisi tuottaa, tuli hiki. Ja tarkistin vielä, että tarvitseeko todella kaikilla yrityksillä olla nämä kaikki. Kyllä tarvitsee. Jos kysytään, niin pitää pystyä osoittamaan selkeästi, miten asiat on meillä hoidettu.
Näin luovalle ihmiselle dokumenttien tuottaminen ei ole mitään herkkua. Jos ei stressiä ollut ennen tätä, niin nyt ainakin sitä pukkasi ja pahasti.
Miten dokumenttiviidakossa voi selvitä?
Annan teille yhden vinkin ja se on ainoa, jonka tarvitsette. Vinkki on: myGDPR-palvelu.
Tämä palvelu on tuotteistettu aivan loistavaksi ja tekee viidakosta selkeästi hahmotettavan kokonaisuuden, jonka pystyy simppelisti ottamaan haltuun. Palvelu myös tuottaa raportointia varten vaadittavan dokumentaation ja tietotilinpäätöksen käytännössä automaattisesti meidän syöttämiemme tietojen pohjalta.
myGDPR-palvelu alkaa lähtötilanteen kartoituskysymyksillä, joiden pohjalta muodostuvat tehtävät, jotka tulee vielä tehdä. Meidän osalta siis läheskään kaikki tehtävät eivät tulleet edes näkyviin, koska ne eivät liittyneet meillä oleviin henkilötietoihin. Tehtäviin on valmiit pohjat, joita voi muokata omia käytänteitä ja tarpeita vastaaviksi. Tehtäviä voi vastuuttaa eri henkilöiden tehtäväksi ja deadlineista tulee muistutukset sähköpostiin. Myös vuosikelloon voi rakentaa muistutukset, jotta esim. tietosuojaselosteiden ajantasaisuus tulee tarkistettua, edes vaikka kerran vuodessa.
Korvaamaton apu palvelun käynnistyksessä oli yhteinen aloitustapaaminen Citruksen GDPR-asiantuntijan kanssa. Yhdessä täytimme lähtötilannekartoituksen ja saimme kysyä kaikki mahdolliset ja mahdottomat kysymykset. Aloitustapaamisessa saimme myös hyvät vinkit siihen, miten me voimme helpoiten hoitaa GDPR:ään liittyvät toimenpiteet. Esimerkiksi ihan kaikesta ei tarvita omaa dokumenttia, vaan tiedot voi kasata tietosuojapolitiikka-dokumenttiin.
Summa summarum
Me otimme siis käyttöön myGDPR-palvelun ja se varmasti säästi meiltä paljon hermoja, aikaa ja rahaa. Tähänkin voisi sanoa, parempi myöhään kuin ei milloinkaan. Nämä asiathan siis olisi pitänyt jo olla kunnossa aikoja sitten.
Nyt viimeistelemme vielä dokumenttejamme ja myGDPR muistuttaa meitä niiden ajantasaisuuden tarkistamisesta aika ajoin. Niin ja jos joku asia lainsäädännössä muuttuu, niin siitäkin tulee meille tieto ja palvelua muokataan vastaamaan muuttunutta pykälää.
Ja jos vielä tähän loppuun saa yhdet kehut sanoa, niin sanon että suosittelen palvelua teillekin! Ja ottakaa ihmeessä samalla mallia hienosta tuotteistuksesta.
Minttu
Ps. Olemme maksaneet palvelun käyttöönotosta ja kirjoitin tämän vapaaehtoisesti, kylläkin helpottuneena.