Teema, Uutisia Hämeestä, Valiokuntauutisia

Uusi tietosuoja-asetus on myös mahdollisuus toiminnan kehittämiseksi

Hämeen kauppakamarin vuoden 2018 viidestä päätavoitteista yksi on yritysturvallisuuden vahvistaminen. Kaupan valiokunnan vuoden ensimmäisen kokouksen teemana kauppakamarin tavoitteeseen liittyen oli tietosuoja kaupan sekä palveluiden alalla. Esille nousivat EU:n tietosuoja-asetus, sen toteutus ja tietoriskien hallinta. Esimerkkiyrityksinä toimivat DNA ja S-ryhmä.
Päivi Pulkki
Pixhill.com/Sergey Nivens
FacebookTwitterLinkedInEmail

Kokouksessa CastilSec Oy:n toimitusjohtaja Heikki O. Penttinen kertoi yleisen tietosuoja-asetuksen (GDPR) sisällöstä, jota on noudatettava 25.5.2018 alkaen. ”Suurimpia uudistuksia ovat muun muassa rekisteröidyn oikeuksien laajeneminen, tietosuojavastaavan nimittäminen, hallinnolliset sakot, velvollisuus ilmoittaa tietoturvaloukkauksista ja osoitusvelvollisuus”, Penttinen totesi.

“Lisäksi tietosuoja-asetus on ensimmäinen laki, joka velvoittaa käsittelemään tietoihin kohdistuvia riskejä, huolehtimaan riittävästä tietoturvasta ja osoittamaan, että kaikki tämä on tehty”, korosti Penttinen.

Teleoperaattori DNA:ssa aloitettiin tietosuoja-asetukseen valmistautuminen tietoisuuden kasvattamisella jo alkuvuodesta 2016. Saman vuoden syksyllä valittiin yrityksen tietosuojavastaava ja perustettiin erillinen ohjelma, jonka tavoitteeksi määriteltiin tietosuoja-asetuksen mukaisten vaatimusten täyttäminen määräaikaan mennessä. Ohjelma koostuu useammasta erillisestä projektista. DNA nimitti tammikuussa 2017 Tietosuoja-ryhmän, jonka tehtävänä on koordinoida ja valvoa tietosuojavastaavan johdolla tietosuojan toteutumista.

”Tietosuoja-asetuksen keskeisimpinä asioina ovat rekisteröidyn oikeuksien toteutuminen, henkilötietojen tunnistaminen ja hallinta sekä henkilötietoja käsittelevien prosessien dokumentointi, kumppanisopimusten tarkastaminen sekä oman henkilökunnan ja alihankkijoiden koulutus”, tiivisti DNA:n tietoturvapäällikkö Seppo Pekonen.

DNA:lla ns. ”tietosuoja-ajattelu” on haluttu tuoda osaksi jokaisen työntekijän arkea. Kaikki työntekijät koulutetaan jokaisen työtehtäviin sopivalla tavalla.

Tietosuoja-asetukseen valmistautuminen kaupan alalla

Hämeen kauppakamarin Kaupan valiokunnan puheenjohtaja, Osuuskauppa Hämeenmaan talousjohtaja ja toimialajohtaja Risto Korkka arvioi, että tietosuoja-asetus tuo mukanaan myös positiivisia puolia ja liiketoimintamahdollisuuksia.

”Hyvin hoidetulla tietosuojalla ylläpidetään ja kehitetään asiakkaiden ja oman henkilöstön luottamusta S-ryhmän toimijoita sekä nykyisiä ja uusia palveluita kohtaan”, totesi Korkka.

”Henkilötietoja käsittelevien prosessien yhtenäistäminen ja tarpeettoman henkilötiedon poistaminen mahdollistavat prosessien virtaviivaistamisen ja automatisoinnin. Lisäksi yhdenmukaiset henkilötietojen käsittelyprosessit mahdollistavat paremman asiakastiedon hallinnan ja hyödyntämisen liiketoiminnassa”, Korkka jatkoi.

SOK:n hallintopalvelut ja riskienhallinta -yksikön toiminnasta vastaava johtaja Antti-Pekka Kuusiluoma kertoi, miten tietosuoja-asetukseen on valmistauduttu S-ryhmässä. Lähtökohtana oli muun muassa arvioida asetuksen vaikutukset n. 2,2 milj. asiakasomistajaan, 38 800 työntekijään, 20 alueosuuskauppaan ja SOK:n tytäryhtiöihin – rekistereitä oli tunnistettu yli 1700 kpl. Tietosuoja-hanke käynnistettiin varsinaisesti alkuvuodesta 2017.

”S-ryhmässä on asetukseen valmistautuminen aloitettu tunnistamalla, luokittelemalla ja dokumentoimalla omat henkilörekisterit, henkilötietoluokat, henkilötietoja käsittelevät prosessit sekä henkilötietoja käsittelevät tietojärjestelmät. Parhaillaan on käynnissä asetuksen mukaisen vaikutustenarviointiprosessin ja tietoturvaloukkausten ilmoitusprosessin implementointi S-ryhmän organisaatioihin”, sanoi Kuusiluoma.

”Tietosuoja-asetus ja siitä aiheutuvat muutokset kannattaa nähdä mahdollisuutena kehittää yrityksen toimintaa”, Kuusiluoma totesi. Pienempiä tietosuojaan valmistautuvia yrityksiä hän kehotti kartoittamaan, mitä henkilötietoja yritys käsittelee ja mikä on henkilötietojen elinkaari, siirtyykö tietoa kolmansille osapuolille ja onko näiden kanssa laadittu asianmukaiset tietojenkäsittelysopimukset. Lisäksi tulee laatia dokumentaatio, jolla tarvittaessa osoitetaan yrityksen täyttävän asetuksen vaatimukset.