Suvi Linkoneva teki meillä kuuden viikon mittaisen GDPR-selvityksen, jossa kartoitettiin nykyisiä tietosuojaprosessejamme ja niiden vastaavuutta uuteen tietosuoja-asetukseen nähden. Pyysimme Suvia kertomaan kokemuksestaan ja antamaan neuvoja myös muille samassa tilanteessa oleville organisaatioille.

 

Mitä olet tehnyt BPS:llä?

Olen tehnyt BPS:llä GDPR-arvioinnin, jossa selvitin henkilötietojen käsittelyn toteutusta tällä hetkellä. Arvioin myös, miten henkilötietojen käsittelyä tulisi päivittää tietosuoja-asetuksen näkökulmasta, kun uutta tietosuoja-asetusta aletaan soveltaa toukokuussa. Päivitimme ja dokumentoimme yhdessä yrityksen johdon kanssa kaikki prosessit yksityiskohtaisesti vastaamaan tietosuoja-asetusta.

 

Miten tietosuoja-arviointi aloitettiin?

Aluksi selvitin, millaisia rooleja yrityksessä on henkilötietojen käsittelyn näkökulmasta. Selvitin myös, mitä kaikkea henkilötietoa on kerätty ja missä sitä säilytetään. Sen jälkeen pohdimme ja listasimme yhdessä johdon kanssa, millä perusteella ja mihin tarkoituksiin tätä tietoa käsitellään.

 

Mihin on mennyt eniten aikaa?

Eniten aikaa on mennyt dokumentointiin. Tietosuoja-asetuksen mukaisesti kaikki tarvittava on oltava dokumentoituna, jotta se voidaan osoittaa jatkossa toteutetuksi. Jos jotakin toimintatapaa ei ole dokumentoitu, ei sitä ole olemassa tietosuoja-asetuksen näkökulmasta.

Olemme laatineet esimerkiksi tarkat prosessikuvaukset, jotka helpottavat työntekijöiden arkea. Kun prosessit on kuvattu yksityiskohtaisesti, löytyvät niistä tarkat ohjeet, miten toimia esimerkiksi tietoturvaloukkaustilanteissa.

 

Mitä olet oppinut?

Olen oppinut kuinka paljon erilaisia näkökulmia tietosuoja-asetukseen voi olla. Eri aloilta ja eri taustoista tulevilla ihmisillä on hyvinkin erilaisia näkökulmia ja kysymyksiä. Näitä kysymyksiä en olisi itse osannut ennakoida ja kysymykset ovat olleet hyvin relevantteja.

Olen myös huomannut, kuinka monitahoista tietosuojan prosessikehitys on SAPin maailmassa. Järjestelmässä on paljon tietoa saatavilla ja yrityksen tulee pystyä tarkasti määrittelemään saatavissa oleva tieto, osoittamaan sen käyttötarkoitus ja määrittelemään ketkä pääsevät tietoon käsiksi.

 

Millainen projekti oli?

Projekti oli todella mielenkiintoinen. Muutaman kuukauden mittainen aika osoittautui yllättävän lyhyeksi ajanjaksoksi arvioida kaikki materiaalit sekä selvittää ja dokumentoida tietojen käyttö.

 

Miten neuvoisit muita GDPR-asetuksen kanssa?

Jos et ole vielä aloittanut valmistautumaan GDPR:än, nyt on viimeiset hetket käsillä. Työhön voi mennä helpostikin hyvin paljon aikaa. Ei riitä, että prosessit ja toimintatavat ovat olemassa, jos niitä ei ole dokumentoitu huolellisesti. Riittävä dokumentaatio on siis avain koko GDPR-selvityksen toteutukseen.

 

Millaista BPS:llä oli olla töissä?

Oli aivan huippua olla BPS:llä ja tykkäsin todella paljon työskennellä osana BPS:n tiimiä.  Minut otettiin heti mukaan osaksi mahtavaa tiimiä ja sain kattavan perehdytyksen yrityksen toimintaan. Viihdyin mielettömän hyvin BPS:llä ja projekti oli erittäin mielenkiintoinen.

 

Voimmeko auttaa sinua GDPR:ssä? Tutustu tarjoamiimme palveluihin täältä

Yhteystiedot:
Piia Hoffsten
Chief Operating Officer
piia.hoffsten (a) bps.fi
+358 40 5877 303

 

Avainsanat: #GDPR #tietosuoja #tietoturva #BPSSpirit #uratarina