Ammattiliitoissa ja -järjestöissä käsitellään runsasta henkilötietojen massaa – liitoilla voi olla jopa tuhansia jäseniä, ja esimerkiksi jäsenten edunvalvontaan erikoistunut henkilökunta saattaa käsitellä myös erityisen sensitiivistä henkilötietoa.
GDPR-asetuksen voimaantullessa liitoilla ja järjestöillä on ollut iso työ organisoida tietosuojatyön toimintatapojaan. Lain voimaantulo potkaisi käyntiin projektin, jossa on mm. kartoitettu omaa tietoympäristöä: mitä tietoa on ja missä, kuka sitä käsittelee ja miten se on suojattu. Henkilökuntaa on koulutettu, riskiarvioita tehty ja toimenpiteitä dokumentoitu osoitusvelvollisuuden täyttämiseksi.
Nyt vuoden 2018 GDPR-pöhinästä alkaa olla jo tovi, ja toimintatavat ovat monissa organisaatioissa vakiintuneet. On myös saatettu huomata, ettei rekisteröityjen tietopyyntöjä ole tullutkaan niin paljon, kuin ehkä aluksi pelättiin. Samalla tietosuojatyöhön alunperin varatut resurssit ovat vähentyneet ja tietosuojavastaavilla on kädet täynnä omia töitään.
Tietosuojasta huolehtiminen on kuitenkin prosessi eikä projekti – lain säätämät velvoitteet eivät ole kadonneet, vaan niitä tulisi hoitaa nyt rutiininomaisesti osana liiton päivittäistä toimintaa. Mikä olisi siis hyvä tapa jatkuvaan tietosuojan ylläpitämiseen?
1) Tee tietosuojatyötä suunnitelmallisesti ja priorisoiden
Tietosuojatyötä kannattaa tehdä GDPR-asetuksen asettamien vaatimusten pohjalta laaditun suunnitelman mukaisesti. Ad hoc -tekemisen riskinä on mm. tietosuojarikkeet ja osoitusvelvollisuuden laiminlyönti. Liittomaailmassa on hyvä muistaa sopia käytännöistä myös yhdessä paikallisten toimijoiden kanssa. Sekä liitoilla että niiden paikallisosastoilla on yhteisvastuu tietosuojan toteutumisesta.
Suunnitelmallisen tekemisen perustana on tieto nykytilanteesta sekä toimenpiteiden priosirointi (katso kohta 3). Suunnitelmallisen tekemisen avuksi on olemassa monia työkaluja, kuten tietosuojan vuosikello (lähde: opitietosuojaa.fi), jota voi muokata oman liiton tai järjestön tarpeiden mukaisesti. Vuosikellon avulla on helppo suunnitella ja ajoittaa tärkeimmät toimenpiteet, varautua ajoissa tuleviin tehtäviin ja edistää tietosuojatyötä askel kerrallaan. Vuosikello auttaa myös tietosuojatyön näkyväksi tekemistä organisaation sisällä – sen avulla voi esimerkiksi viestiä johdolle tai sitouttaa sidosryhmiä yhteistyöhön.
2) Huomioi aktiivisesti tietosuojaympäristössä tapahtuvat muutokset
Liiton toimintaympäristön muutokset aiheuttavat muutoksia myös tietosuojan näkökulmasta: järjestelmiä otetaan käyttöön ja jatkokehitetään, toimistoja muutetaan uusiin tiloihin, uusia työntekijöitä tulee taloon, prosesseihin tulee muutoksia, ja niin edelleen.
Muutosten tapahtuessa helpoin ja kustannustehokkain tapa on arvioida muutoksen vaikutukset tietosuojan toteutumiseen saman tien ja tehdä tarvittavat muutokset ennakoivasti. Näin vältytään tilanteelta, jossa tietosuojaan liittyvät päivitykset laahaavat perässä, ja lopulta vyyhdin selvittämiseen käytetyt resurssit ovat paljon suuremmat, kuin mitä aikainen reagointi olisi vaatinut.
Tulevat muutokset ja niihin liittyvät tehtävät on hyvä suunnitella ja ajoittaa esim. aiemmin esitellyn vuosikellon avulla, ja laatia toimenpiteiden toteuttamisen tueksi tarkastuslistoja tai käsikirjoja.
3) Priorisoi tietosuojatyö riskiperusteisesti
Riskilähtöinen tietosuojatyö on erinomainen tapa priorisoida toimepiteitä: riskiarviointien kautta selviää sen hetken isoimmat uhat, jotka voidaan ottaa ensimmäisenä työn alle. Näin myös pienillä resursseilla toimiva ammattiliitto tai -järjestö pystyy ennakoimaan ja panostamaan tärkeimpiin asioihin ensin. Riskilähtöinen toiminta on myös tietosuojalain edellyttämää: ”rekisterinpitäjällä on myös osoitusvelvollisuus riskiperusteisen lähestymistavan noudattamisesta”, kertoo Tietosuojavaltuutettu. Tunnistettuja riskejä voi luokitella esimerkiksi niiden vakavuuden ja todennäköisyyden perusteella.
+1) Järjestelmätuki tietosuojatyölle
Jatkuvaa tietosuojatyötä tukemaan voi hankkia myös järjestelmän, jonka avulla organisaatio pysyy aina ajan tasalla tietosuojansa tilanteesta, ja pystyy helposti ohjaamaan ja dokumentoimaan toimintaansa. Esimerkiksi GDPRdesk on työkalu, joka on suunniteltu kaikkien tietosuojavelvollisuuksien hoitamiseen: mm. riskienhallinta, tietosuojapyyntöjen ja -poikkeamien käsittely, henkilötietoa sisältävien rekisterien ja järjestelmien listaaminen, tietosuojan tilan arviot, dokumentit ja raportointi sekä tietotilinpäätöksen laatiminen onnistuvat helposti GDPRdeskin avulla.
Voit kokeilla GDPRdeskiä ilmaiseksi kuukauden ajan ilman sitoumuksia. Aloita ilmainen kokeilu täällä!
Toivotamme antoisaa jatkoa liiton tietosuojatyöhön!
***
SC Software on järjestelmätoimittaja, joka on vuosien ajan toiminut Suomen suurimpien liittojen ja järjestöjen yhteistyökumppanina sekä prosessi- että järjestelmäkehityksessä. Tutustu liitto- ja järjestösektorin ratkaisuihimme!
