GDPR-projekti CSI Helsingissä alkoi keväällä 2017 webinaarista, jossa globaali ohjelmistotalo kertoi tulossa olevasta muutoksesta EU:n lainsäädännössä. Puhujat saivat kuulijoiden jakamattoman huomion alkajaisiksi toteamalla, miten säädöksen rikkominen maksaisi heille useita miljardeja.
Sanktioiden uhka on varmasti jäänyt mieleen kaikille GDPR:n kanssa tekemisiin joutuneille, motivoiden perehtymään asiaan ja ryhtymään tarvittaviin toimenpiteisiin.
Mistä aloittaa?!
Alussa vaatimusten täyttäminen tuntui lähes ylivoimaiselta urakalta. Saatavilla oleva tieto oli hajanaista, tietosuojavaltuutettu informoi asetuksesta antamatta kuitenkaan konkreettisia ohjeita ja jo asetuksen lukeminenkin oli työlästä ei-juristille. Koska päätimme olla ostamatta GDPR-compliancea palveluna - jota toki oli kiitettävästi tarjolla - oli aloitettava käsitteiden selvittämisestä. Eli aika lailla pohjalta.
Tilannekartoitus toi mielenrauhaa
Perusasioiden selvittyä alkoi oman tilanteen kartoitus mm. yhteistyökumppaneilta saatujen Excel-työkalujen avulla. Melko nopeasti kävi selväksi, että kun tietosuoja-asiat oli entuudestaan hoidettu asiallisesti, kyseessä ei ollutkaan valtaisa uudistus. GDPR tarkoitti lähinnä omien rekistereidemme läpikäyntiä, siivousta ja ohjeistuksen täsmentämistä. Luovuimme mm. tarpeettomasta, vanhentuneita liidejä sisältävästä asiakkuudenhallintajärjestelmästä, joten rekistereihimme jäi lähes pelkästään nykyisiä ja potentiaalisia asiakasyrityksiä ja näiden työntekijöiden yhteystietoja. Samalla myös oma HR-rekisterimme meni uusiksi ja sai tehokkaammat käyttöoikeusrajaukset.
Suurimpana haasteena sopimukset
Tietyissä tilanteissa toimimme väistämättä asiakkaidemme rekistereissä olevien henkilötietojen käsittelijöinä. Projektin suurin ponnistus olikin saada henkilötietojen käsittelystä aikaan sopimus, joka olisi kaikkien asiakkaiden hyväksyttävissä. Moni yritys on päätynyt täydentämään sopimustaan vain GDPR-liitteellä. CSI-ohjelmistojen liiketoimintakriittisen luonteen vuoksi katsoimme kuitenkin parhaaksi tehdä käsittelystä erilliset sopimukset. Onneksi asiakaskuntamme on sopimusasioissa poikkeuksellisen valveutunutta, ja useampikin asianajotoimisto antoi ystävällisesti kommenttinsa sopimuksen viimeistelemiseksi.
Satojen sopimusten allekirjoittaminen lyhyessä ajassa ei olisi onnistunut perinteisiä paperidokumentteja edestakaisin lähettelemällä. Sähköisen allekirjoituspalvelun avulla valtaosa sopimuksista saatiin kuntoon jo ennen GDPR:n voimaantuloa. Loput asiakkaistamme palauttavat sopimuksia tasaiseen tahtiin sitä mukaa kuin omilta asiakaskiireiltään ehtivät.
GDPR:n saldo
GDPR toi kovasti ylimääräistä työtä, mutta myös mahdollisuuksia ja kehittämisideoita. Ohjelmiston osalta pääsimme miettimään, kuinka parhaiten auttaisimme asiakkaitamme GDPR:n velvoitteiden täyttämisessä. Tuore henkilötietoraportti listaa nyt henkilöstä CSI-ohjelmistoon tallennetut tiedot muodossa, joka on lähetettävissä joko raporttina tai sähköisessä muodossa. Halutessaan asiakas voi myös seurata entistä tarkemmin, kuka ja milloin on muuttanut tai tarkastellut ohjelmistoon tallennettuja tietoja. Ohjelmiston GDPR-toiminnallisuus kehittyy sitä mukaa kun uusia tarpeita ilmenee.
Projekti tuotti tervetulleita parannuksia myös sisäisiin prosesseihimme. Sähköiseen allekirjoitukseen siirtymisen ohella saimme mm. alihankkijasopimukset ajan tasalle, selkiytimme ja dokumentoimme toimintamallimme eri tilanteissa ja tuhosimme tarpeettomat rekisterit, joita herkästi pääsee syntymään. Myös henkilökunnan koulutusten yhteydessä syntyi hyviä keskusteluja tietosuojasta ja yrityksemme toimintatavoista.
GDPR ei lopu tähän
GDPR on jatkuva prosessi. Suurin ponnistus on kuitenkin osaltamme takana, ja jatkossa lienee helpompaa. Tuotekehitysideoita aiheeseen liittyen tulee varmasti lisää niin asiakkailta kuin omalta tiimiltämmekin, mikä on pelkästään positiivinen asia.
Positiivisena pidän myös sitä, että hanke on muokannut entisestään valmiuttamme prosessien kehittämiseen ja turhien tietojen poistamiseen. Asetuksen edellyttämät tietosuoja-asioiden jatkuva läpikäynti ja säännölliset henkilöstön koulutukset pitävät varmasti mielen valppaana jatkossakin.
Jari Loiri CSI Helsinki, tekninen asiantuntija Elämä on muutakin kuin teknologiaa. Silloin, kun teknologia helpottaa ihmisen eloa, olen sen ystävä. |