Pk-yritysten tietosuojataidot puutteellisia – Haltuunotto ei ole niin vaikeaa, miltä se aluksi vaikuttaa.
Kauppalehden 6.9.2022 julkaistussa artikkelissa kerrotaan Tieken ja Tietosuojavaltuutetun tekemästä Gdpr2dsm-hankkeesta, jossa kartoitettiin muutama vuosi sitten Pk-yritysten tietosuojan tilaa. Artikkeli herättää paljon ajatuksia siitä, millä tolalla suomalaisten yritysten tietosuoja-asiat ovat.
”90 prosenttia yrityksistä tiesi, mikä gdpr on ja miten tietosuoja pitäisi hoitaa. 70 prosenttia yrityksistä vastasi, että hommat on hoidettu. Kun kysyttiin missä on ongelmia ja tarvitsette apua, melkein 80 prosenttia vastasi, ettei ymmärretäkään kaikkea ja tarvitaan apua.”
Timo Simell, Tieke
Hankkeessa selvisi, että Pk-yrityksistä vain 15-20% on hoitanut tietosuoja-asioitaan ulkoistamalla eli suurin osa pohtii tietosuoja-asioita täysin itsenäisesti, vaikka tietosuojataidot ovat osoittautuneet monelta osin puutteellisiksi.
Tietosuojadokumentaation voi hoitaa helposti kuntoon.
”Sääntelyn ydinsisältö on simppeli ja yksinkertainen. Kun tämä 2018 keväällä tuli, siihen liittyi paljon konsulttihypetystä ja uhkakuvien luomista. Perustiedot eivät ole rakettitiedettä. Ei tarvitse olla 10-sivuinen lakiterminen tekstiä sisältävä paketti. Mieti, mitä järjestelmiä on ja mitä tietoja kerätään. Kuka tietoja käsittelee ja mitä niillä tehdään”, Warma-Lehtinen kertoo. Eija Warma-Lahtinen, Lakimies, Castren & Snellman.
Jos liiketoiminta on tyyliä mies ja excel, tietosuojadokumentaation hoitaminen ilman asiantuntijan apua voi olla lopulta suhteellisen yksinkertainen asia. Tietosuojaselostepohjia ei kuitenkaan kannata poimia netistä, ne eivät sellaisenaan edusta sinun yritystäsi ja sinun liiketoiminnasta aiheutuvia rekistereitä saatikka sitä, kuinka tietoja yrityksessäsi käsitellään. Jokainen yritys laatii rekisterit itse.
Jos puolestaan yrityksessä kertyy rekistereitä enemmänkin, tietosuojaselosteiden laatiminen vie aikaa ja niiden manuaalinen hallinta voi olla raskasta. Silloin pitää pohtia, onko oman ajan ja vaivan arvoista lähteä tekemään dokumentaatiota itse, vai kannattaako ottaa käyttöön esimerkiksi Easy GDPR:n kaltainen palvelu, jossa on valmiiksi auki kirjoitettu dokumentaatio ja kattava materiaalipankki sekä työkalut, joilla tätä kaikkea on helppoa ja nopeaa hallita sekä jakaa eri kanaviin.
Valitsitpa toteutuksen tavaksi omat aikaresurssit tai Easy GDPR-palvelun, tietosuojadokumentaatio ei vaadi lakimiehen palkkaamista tai lakikoukeroiden ulkoa opettelua. Tietosuojadokumentaatiota kannattaa ajatella vähän niin kuin kirjanpitona. Pidät kirjaa siitä, mitä tietoja keräät, missä niitä säilytät ja miten niitä käsittelet.