Tietosuoja – pakollinen paha vai bisneksen turva?

Tänään vietetään taas kansainvälistä tietosuojapäivää. Moni tuntuu mieltävän tietosuojan pakkopullana ja isona kulueränä organisaatiolle. Aina ei myöskään ymmärretä, mitä tietosuoja käytännössä tarkoittaa. Nyt kun esimerkiksi julkisuudessa puhuttaneet tietoturvaloukkaukset ovat herätelleet ihmisiä, oikeanlainen tietojen käsittely voi kuitenkin toimia jopa organisaation valttikorttina.

Mitä muuta tietosuoja on, kuin kasa dokumentteja? Dokumentit ovat olennainen osa osoitusvelvollisuutta. Ei dokumentaatiota – ei näyttöä siitä, että asioista on huolehdittu. Täytyy kuitenkin muistaa, että vaikka organisaatio olisikin jo laatinut asetuksen vaatimat dokumentit, ei niistä ole hyötyä, jos ne makaavat työpöydän kulmalla. Jotta niistä hyödytään, tulee ne ottaa osaksi toimintaa ja se taas edellyttää ymmärrystä siitä, miksi ne on laadittu.

Tietosuojalainsäädännön tavoitteena on suojata henkilöiden yksityisyyttä ja oikeuksia. Yksi tärkeimmistä oikeuksista on saada tietää mitä tietoja kerätään ja miksi. Kun yritys kertoo näistä selkeästi, vähenee tarve pyytää omia tietojaan nähtäväksi. Lainsäädäntö asettaa lisäksi määräaikoja tietojen toimittamiselle, joka on lisäsyy sille, että prosessien ja dokumentaation tulee olla kunnossa. Uskallamme epäillä, että harvalla yrityksellä on niin automatisoidut järjestelmät, että kaikki tietosuojalainsäädännön edellyttämät toimet hoituisivat nappia painamalla. Ja toisaalta kun siihen päästään, tulee toimien kuitenkin olla ensin dokumentoitu. Ideaali tilanne olisikin, että asiat osataan linkittää yhteen ja ne saadaan hoidettua kuin nappia painamalla. Tietosuojan ottaminen osaksi yrityksen toimintoja edellyttää, että ymmärretään laadittujen dokumenttien sisältö ja miten ne liittyvät toisiinsa. Tätä ymmärrystä koitamme tiimissämme jalkauttaa.

Tietosuoja on kaiken kaikkiaan laaja kokonaisuus, jonka hallitsemiseen tarvitaan paljon osaamista. Kokonaisuuden hahmottaminen voi olla vaikeaa sellaiselle, joka ei ole perehtynyt tietosuojaan liittyvään lainsäädäntöön. Ja vaikka tietosuoja-asetusta olisikin lukenut, on kokonaan toinen asia ymmärtää sen sisältö. Asetusta ei voi lukea fundamentalistisesti artikla kerrallaan vaan sitä tulee tulkita kokonaisuutena. Tämä on se, missä asiantuntemustamme todella tarvitaan. Meidän tietosuoja-asiantuntijoiden tehtävä onkin auttaa organisaatioita tunnistamaan lainsäädännön merkitykset ja käytännön sekä ymmärtämään sen vaatimukset.