EU-tasoisen tietosuoja-asetuksen uudistuksen myötä moni yritys käynnistää tietosuojatoiminnan tekemistä. Uudistus on aiheuttanut paljon parranpärinää. Osa on oikeutettua, osa turhaa. Työ on kuitenkin tehtävissä ja tuo slogan ”homma hommana” sopii mielestäni tähän haasteeseen erityisen hyvin.
Keskustelun paaluttamiseksi ja organisaatioiden avuksi tietosuojavaltuutetun toimisto (TSVT) on kuluneella viikolla (24.1.) julkaissut melko käytännönläheisen oppaan otsikolla ”Miten valmistautua EU:n tietosuoja-asetukseen?”. Käytännönläheisyys on toki suhteellista ja tätä voi testata lukemalla esimerkiksi teoksen ensimmäisen kappaleen kaksi ensimmäistä lausetta ajatuksella. Kappaleessa peräänkuulutetaan tietotilinpäätöksen tekemistä.
Tietotilinpäätöksen tekeminen on vaativa perusvaihe, sillä se tulee tehdä siten, että se tukee systemaattista tietosuojatyötä (eli TSVT:n dokumentin muita osia). Mikäli perustyötä ei tehdä kunnolla ajaudutaan yksittäistapausten hoitamiseen ja pahimmillaan tulipalojen sammutteluun.
Tietosuojatyön tekeminen yksittäistapausten kautta on kuitenkin valitettavan yleistä ja sille on ”syynsä”. Juridiikan asiantuntijat lähestyvät teemaa yksittäisten tapausten ratkaisemisen näkökulmasta ja IT-asiantuntijat teknisen kielen kautta. Käytännössä haasteet ilmenevät kuitenkin liiketoiminnan prosessien kautta ja helposti päädytään tilanteeseen, jossa
asiakasrajapinnassa on kehitysmahdollisuus-/haaste,
johon lakiosasto antaa ylivarovaisen tulkinnan (kieltää),
jota sitten IT-osasto lähtee kiertämään,
jotta liiketoiminnalle saadaan ratkaisu.
Tietosuojatoiminta tuleekin rakentaa sellaiseksi, että yrityksen datatoiminta (tietotilinpäätös) ja siihen liittyvä normisto (lait ja asetukset) tunnistetaan ja tunnetaan liiketoiminnan kielen kautta. Näin luodaan organisoitu, dokumentoitu ja systemaatinen toimintamalli. Parhaimmillaan tietosuojatoiminta onkin osa yrityskulttuuria, jossa huolehditaan organisaation eri tasojen tietosuojatietoisuudesta, haetaan asiakkaan etua ja hyvällä viestinnällä vahvistetaan asiakasluottamusta.
Tavoitteena on mahdollistaa
asiakaslähtöinen tietosuojatoiminta,
jossa laki- & IT-asiantuntijoilla on asiantuntijarooli,
mutta linjaukset ja päätökset tehdään liiketoimntaorganisaatiossa.
Arvotiedolla on käytännönläheinen kokemus tällaisen käynnistämisestä.
Tässä linkki tietosuoja-lehti_4_2007_vastuullista_tietosuojatoimintaa. Artikkelissa kuvataan kolmivaiheinen projekti, jossa tietosuojatoiminta otettiin haltuun – systemaattisesti. Ei ole täysin sattumaa, että TSVS:n dokumentissa tunnistan tämän vaiheistuksen. Toiminnan projektoinnista lisää Arvotieton sivulla.
Ota yhteyttä – sparraan mielelläni työssä.