3+1 vinkkiä ammattiliiton jatkuvaan tietosuojatyöhön

12.10.2020#Yleinen

Ammattiliitoissa ja -järjestöissä käsitellään runsasta henkilötietojen massaa – isoimmilla liitoilla voi olla jopa tuhansia jäseniä, ja esimerkiksi jäsenten edunvalvontaan erikoistunut henkilökunta saattaa käsitellä myös erityisen sensitiivistä henkilötietoa.

GDPR-asetuksen voimaantullessa liitoilla ja järjestöillä on ollut iso työ päivittää tietosuojatyön toimintatapojaan. Lain voimaantulo potkaisi käyntiin projektin, jossa on mm. kartoitettu omaa tietoympäristöä: mitä tietoa on ja missä, kuka sitä käsittelee ja miten se on suojattu. Henkilökuntaa on koulutettu, riskiarvioita tehty ja toimenpiteitä dokumentoitu osoitusvelvollisuuden täyttämiseksi.

Nyt vuoden 2018 GDPR-pöhinästä alkaa olla jo toista vuotta ja toimintatapojen uudistaminen on saatu monissa liitoissa päätökseen. Organisaatioissa on myös huomattu, ettei tietopyyntöjä ole tullut niin paljon kuin ehkä aluksi pelättiin. Samalla tietosuojatyöhön aluksi valjastetut resurssit ovat vähentyneet ja tietosuojavastaavilla on kädet täynnä omia töitään.

Tietosuojasta huolehtiminen on kuitenkin prosessi eikä projekti – lain säätämät velvoitteet eivät ole kadonneet, vaan niitä tulisi hoitaa nyt rutiininomaisesti osana liiton päivittäistä toimintaa. Miten siis voidaan varmistaa, että tietosuojatyö on jatkuvaa, eikä jää hoitamatta pitkässä juoksussa?

1) Tee tietosuojatyötä suunnitelmallisesti

Tietosuojatyötä kannattaa tehdä GDPR-asetuksen asettamien vaatimusten pohjalta laaditun suunnitelman mukaisesti. Ad hoc -tekemisen riskinä on mm. tietosuojarikkeet ja osoitusvelvollisuuden laiminlyönti. Liittomaailmassa on hyvä muistaa sopia käytännöistä myös yhdessä paikallisten toimijoiden kanssa. Sekä liitoilla että niiden paikallisosastoilla on yhteisvastuu tietosuojan toteutumisesta.

2) Huomioi aktiivisesti tietosuojaympäristössä tapahtuvat muutokset

Liiton toimintaympäristön muutokset aiheuttavat muutoksia myös tietosuojan näkökulmasta: järjestelmiä otetaan käyttöön ja jatkokehitetään, toimistoja muutetaan uusiin tiloihin, uusia työntekijöitä tulee taloon, prosesseihin tulee muutoksia ja niin edelleen. Muutosten tapahtuessa helpoin ja kustannustehokkain tapa on arvioida muutoksen vaikutukset tietosuojan toteutumiseen saman tien ja tehdä tarvittavat muutokset ennakoivasti.

3) Priorisoi tietosuojatyö riskiperusteisesti

Riskilähtöinen tietosuojatyö on erinomainen tapa priorisoida toimepiteitä: riskiarviointien kautta selviää sen hetken isoimmat uhat, jotka saadaan näin ollen heti työn alle. Näin myös pienillä resursseilla toimiva ammattiliitto tai -järjestö pystyy ennakoimaan ja panostamaan tärkeimpiin asioihin ensin. Riskilähtöinen toiminta on myös tietosuojalain edellyttämää: “rekisterinpitäjällä on myös osoitusvelvollisuus riskiperusteisen lähestymistavan noudattamisesta”, kertoo Tietosuojavaltuutettu.

+1) Järjestelmätuki tietosuojatyölle

Jatkuvaa tietosuojatyötä tukemaan voi hankkia myös järjestelmän, jonka avulla organisaatio pysyy aina ajan tasalla tietosuojansa tilanteesta ja pystyy helposti ohjaamaan ja dokumentoimaan toimintaansa. Esimerkiksi GDPRdesk on työkalu, joka on suunniteltu kaikkien tietosuojavelvollisuuksien hoitamiseen: mm. riskienhallinta, tietosuojapyyntöjen ja -poikkeamien käsittely, henkilötietoa sisältävien rekisterien ja järjestelmien rekisteröinti, tietosuojan tilan arviot, dokumentit ja raportointi sekä tietotilinpäätöksen laatiminen onnistuvat GDPRdeskin avulla.

Älä epäröi etsiä apua. Lakipykälien tulkinta ja sen suhteuttaminen omaan toimintaan voi syödä sisäisiä resursseja valtavasti, jolloin kaikki asetuksen velvollisuudet eivät välttämättä täyty. Pitkässä juoksussa voi olla kustannustehokkainta valita luotettava taho auttamaan tietosuojatyössä. Kannataa huomoida, että palvelua tarjoava yritys tuntee toimialan tarpeet hyvin ja ymmärtää myös tietohallinnon ja tietoturvan pykälät.

SoulCore on järjestelmätoimittaja, joka on vuosien ajan toiminut Suomen suurimpien liittojen ja järjestöjen yhteistyökumppanina sekä prosessi- että järjestelmäkehityksessä. Tutustu liitto- ja järjestösektorin ratkaisuihimme!