Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen eli GDPR:n vaatimusten mukaisesti 25.5.2018 jälkeen, jolloin siirtymäaika päättyy. Uusi tietosuoja-asetus on tervetullut uudistus, joka tuo aiempaa selkeämmät ja yhdenmukaisemmat raamit henkilötietojen käsittelylle EU:n sisällä.
Tietenkään itse asia, johon GDPR:llä halutaan vaikuttaa, ei ole uusi. Henkilötietoja on pitänyt tähänkin asti käsitellä tietoturvallisesti. Todellisuudessa käytännöt ovat kuitenkin vaihdelleet niin yksittäisten organisaatioidenkin välillä kuin jäsenmaidenkin kesken. Jopa Suomessa, jossa nykyinen henkilötietolaki on asettanut verrattain korkean tason tietoturvalle, osassa organisaatioita prosessit ja henkilötietojen käsittelytavat ovat puutteellisia tai suorastaan leväperäisiä.
Tietosuojavaltuutetun oppaan alussa todetaan ”Organisaation on tietosuoja-asetuksen vaikutuksia arvioidessaan hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta.” Nykytilan kartoitus edellyttää olemassa olevien prosessien kuvaamista.
Lauseeseen tiivistyy organisaation sisäisten käytäntöjen kannalta yksi tärkeimmistä velvollisuuksista. Prosesseja kartoittaessa voi jo heti alkumetreillä paljastua, etteivät nykyiset prosessit toimi parhaalla mahdollisella tavalla. Tai vielä pahempaa: prosesseja ei ole edes olemassa.
GDPR:n mukaista prosessien kuvaamista ja käytäntöjen dokumentointia ei voi kuitata tehdyksi pelkästään dokumentinhallintajärjestelmää vaihtamalla. Pelkkä ohjelman vaihtaminen uuteen ohjelmaan ei ratkaise mitään, jos puutteet ja ongelmat ovat organisaation prosesseissa tai hiljaisissa käytännöissä.
Tietosuoja-asetuksen myötä kansalaisella on paremmat mahdollisuudet kontrolloida itsestään kerättyjä tietoja ja oikeus niin sanotusti ”tulla unohdetuksi” Jotta nämä oikeudet toteutuvat varmasti, organisaatiolla on oltava mietitty prosessi.
Kokemuksen perusteella väitän, että asiakirjahallinnan tärkein vaihe on heti prosessin alussa, kun dokumentti luodaan tai se saapuu organisaatioon. Hyvin hoidettuna prosessin alussa tehdyt toimenpiteet heijastuvat koko prosessin läpi. Yritykseen saapuvan tiedon tunnistaminen, ”sieppaus” ja oikeaan paikkaan ohjaaminen ratkaisee osaltaan jo huomattavan määrän GDPR:n asettamia vaatimuksia.
Osana valmistautumista kannattaa harkita myös paperiarkistojen digitointia. Kun henkilötietojen sijainnit on kartoitettu paperiarkistoja ja sopimuspapereita myöten sekä lisäksi digitoitu, ollaan jo hyvässä vauhdissa henkilötietojen käsittelyn kokonaiskuvan muodostamisessa. Ylipäätään sekä tietosuoja-asetukseen valmistautuminen että minkä tahansa asianhallintaan liittyvän ohjelman käyttöönotto on helppoa, kun prosessit ovat hyvin mietittyjä ja kuvattuja.
Vaikka asetus tuokin rekisterinpitäjille uusia hallinnollisia tehtäviä, se yhdenmukaistaa käytäntöjä ja myös samalla määrittelee aiempaa selkeämmin mikä esimerkiksi henkilötieto tarkoittaa. Toiminnan muuttaminen GDPR:n vaatimusten mukaisesti tekeekin erittäin hyvää monen organisaation sisäisille käytännöille.
Jos haluat aloittaa organisaatiossasi valmistautumisen tietosuoja-asetuksen tuloon, lataa avuksesi tarkistuslistamme Valmistaudu tietosuoja-asetukseen (GDPR).