Pirannava Intelligence Oy
Tietosuoja voi olla tärkeä osa yrityksen toimintaa, mutta siihen tarttuminen voi tuntua hankalalta ja ylimääräiseltä työltä. Vai toimitko verkkoyhteisöjen parissa ja tarvitset kehittämiseen ja moderointiin uutta näkökulmaa. Näihin molempiin osa-alueisiin saat kauttamme yli 15 vuoden kokemuksen, joka otetaan käyttöön juuri sinun tarpeidesi mukaan.
Tietosuojaisännöinti
Uudenlainen tapa hoitaa tietosuojavastaavan tehtävät
Ota yhteyttä
Katsotaan yhdessä tarpeisiisi sopiva ratkaisu
Asiantuntija
Käytännönläheinen asiantuntija käytössäsi
Tietosuojan käyttötapauksia
Pienehkö yritys, joka toimii alihankkijana useissa datan analysointiin liittyvissä yrityksissä ja hankkeissa, tarvitsee ajanmukaiset dokumentaatiot omasta toiminnastaan ja sopimusliitteet. Tilanne haluttiin haltuun kustannustehokkaasti, mutta kuitenkin käytännöntasolla siten, että yrityksen ei itsensä tarvitse kohdistaa toteuttamiseen useita henkilöresursseja.
Nykytilanne kartoitettiin puhelinhaastattelussa, jonka perusteella laadittiin tarvittavat dokumentit. Tämän lisäksi laadittiin kevyt toimintamalli, jolla yritys voi tarkistaa vuosittain tietosuojan tason.
Kansainvälinen konserni, jossa suuri tarve saada tietosuoja-asiat lainsäädännön laatimalle tasolle. Yrityksessä on huomioitu tietosuojaa osittain kansainvälisesti ja osittain maakohtaisesti, mutta tekemisestä on puuttunut rakenne ja kokonaisuus on jäänyt huomiotta. Koska asia ei ole edennyt tarpeeksi ja se on koettu kaikin puolin vaikeaksi toteuttaa, tarvittiin ulkopuolinen taho auttamaan ja vetämään langat yhteen.
Yrityksen toimialan vuoksi tietosuojavastaavan nimittäminen oli pakollista ja sellainen oli jo nimettykin. Yrityksen johdolla oli hyvä tietämys tietosuojatarpeista ja sen vuoksi asiaan panostettiin ja asia projektoitiin. Tietosuoja päätettiin kunnostaa ensin Suomessa, jonka jälkeen muissa maissa samalla mallilla. Projektiin valittiin ydinryhmä, joka sisälsi:
- Johdon henkilöitä, joilla tarvittavat valtuudet päättää asioita
- Henkilöitä, joiden työnkuva oli vahvasti henkilötietojen käsittelyssä
- Tekniset osaajat
Projekti aloitettiin nykytilan kartoituksella, jossa jokaiselle määriteltiin vastuualue. Kartoituksessa käytettiin yhtenäistä rakennetta, jolloin saatiin nopeasti hahmotettua pienemmät toiminteet sekä kokonaisuus. Nykytilan kartoituksessa käytettiin myös asiantuntijahaastatteluja. Selkeän kartoitusmallin avulla saatiin nykytilanne analysoitua tehokkaasti ja ymmärrettävästi. Tämän pohjalta laadittiin toimintasuunnitelma. Osa suunnitelmasta oli nopeasti toteutettavia ratkaisuja, mutta osa taas vaati pidempää aikajännettä. Osa tarvittavista toimenpiteistä oli selkeästi teknistä arkkitehtuuria muuttavia, jotka luonnollisesti vaativat pidemmän suunnittelun ja toteutuksen.
Toimintasuunnitelman toteuttaminen vastuutettiin ja aikataulutettiin. Koko projektin ajan tietosuojaa dokumentoitiin ja laadittiin tietosuojan jatkuvaan seurantaan ja hallintaan työkaluja. Muodostuneita dokumentteja ja työkaluja olivat mm:
- Yrityksen sisäinen tietosuojakäytänteet -dokumenttikirjasto
- Tietosuojaselosteiden ajantasaistaminen ja rekisteröidyn oikeuksien informointi
- Tietosuojatilinpäätös
- Riskianalyysit henkilötietojen käsittelyssä
- Kartoituspohjat ja vaikutusten arviointimalli
- Kokonaisarkkitehtuurikuvaus
- Sopimusten liitteet ja päivitykset
Tietosuojavastaava oli mukana koko projektin ajan, joka avasi hänelle hyvän näkymän tietosuojaan ja jatkotyö helpottui sekä selkiytyi. Projektin lopuksi järjestettiin henkilöstön koulutukset.
Yritys, joka käsittelee paljon henkilötietoja, osa arkaluontoista tietoa, on uudistamassa teknisiä ratkaisujaan, mukaaan lukien henkilötietojärjestelmä. Yrityksellä tietosuoja- ja turva hallittua, mutta isoon tekniseen uudistukseen tarvitaan tukea. Koska henkilötietoja käsitellään paljon, tietosuoja on yksi projektin oleellisimmista osa-alueista niin teknisesti, toiminnallisesti kuin liiketoiminnallisestikin.
Työ aloitetaan tutustumalla nykytilaan ja nykyisiin ratkaisuihin sekä tutustumalla uuteen ratkaisuun. Vaikutusten arviointi on merkittävässä roolissa projektin kulun suhteen ja arviointia tehdään koko projektin ajan osioittain, toimintamallien ja teknisten ratkaisujen osalta. Ennen varsinaisen projektin alkua ja toteutusta tehdään vaikutusten arviointia yleisesti henkilötietojen käsittelystä organisaation prosesseissa. Vaikutusten arvioinnin ohella tietosuojaa dokumentoidaan ja päivitetään olemassa olevia dokumentteja.
Yrityksen johdolla on selkeä ymmärrys tietosuojan merkityksestä ja vaikutusten arviointi otetaan huolellisesti huomioon. Tämä näkyy erityisesti tilanteissa, joissa vaaditaan vaikutusten arvioinnin perusteella muutoksia.
Projektin toteutuksen jälkeen suoritetaan vielä loppuanalyysi ja varmistetaan tietosuojan oikeellisuus järjestelmissä ja toiminteissa. Yrityksen johto käyttää tietosuojatilinpäätöstä työkaluna tietosuojan hallinnassa ja laatii sen vuosittain. Tätä varten projekti dokumentoidaan jo valmiiksi.
Ulkopuolisen tietosuoja-asiantuntijan käyttäminen tällaisessa projektissa antaa yrityksen omille työntekijöille mahdollisuuden keskittyä omiin vahvuuksiin ja tekemiseen. Ulkopuolisen kriittinen tarkastelu toi projektiin jämäkkyyttä, auttoi prosessien hallinnassa ja toi ulkopuolisen näkökulman ympäristön toimivuuteen.
Yhteen, hyvin erityiseen alaan keskittynyt toimija pystyttää verkkokaupan ja tarvitsee tietosuoja-asiantuntijaa toteuttamaan ja varmistamaan tietosuojan oikeellisuuden. Toimijalla itsellään ei ole tietotaitoa tietosuojasta tai tietoturvasta.
- Verkkokaupan toiminta ja henkilötietojen käsittely käydään läpi toimijan kanssa
- Verkkokaupan vaatimukset käydään läpi verkkokaupan teknisen toteuttajan kanssa
- Laaditaan tarvittavat dokumentit ja tehdään tarvittavat vaikutusten arvioinnit
- Ennen käyttöönottoa varmistetaan toteutuksen ja tietosuojavaatimusten yhteensopivuus
- Verkkokaupan pitäjälle perustietosuojaopastusta
- Verkkokaupan pitäjälle laaditaan toimintamalli jatkoon