Sympa aloitti seuraamaan tietosuoja-asetuksen valmistelua jo vuonna 2015 tunnistettuaan, että vielä neuvotteluvaiheessa oleva asetus tulee vaikuttamaan yrityksen toimintaan oleellisesti. Sympan mukaan yrityksen toiminnan kannalta oli oleellista tehdä valinta sen välillä, nähdäänkö tietosuoja uhkana vai mahdollisuutena. Sympalla lähdettiin pohtimaan sitä, miten tietosuojasta tehdään mahdollisuus ja yrityksen menestystekijä.
Tietosuoja-asetuksen astuessa voimaan Sympa koki suurimmaksi haasteekseen tietosuoja-asetuksen yleisluonteisuudesta johtuvan epäselvyyden. Joidenkin asetuksen kohtien tulkinta oli haastavaa, eikä ennakkotapauksia vielä oikeastaan ollut. Apua työskentelyyn löydettiin valvontaviranomaisten, kuten Iso-Britannian tietosuojavaltuutetun toimiston sivujen konkreettisista esimerkeistä.
Sympa järjesti jo varhaisessa vaiheessa tietosuojakoulutusta henkilöstölle ja asiakkaille. Tavoitteena oli, että yritys olisi ”GDPR-yhteensopiva” heti tietosuoja-asetuksen astuessa voimaan. Muun valmistautumisen lisäksi Sympalla toteutettiin ja päivitettiin tietoturvasertifiointeja. Sympa on onnistunut erinomaisesti asettamissaan tavoitteissa.
Kun Sympan palvelua kehitetään ja asiakkaita neuvotaan palvelun käytössä, Sympan henkilöstön on osattava huomioida tietosuoja-asetuksen vaatimukset. Henkilöstön tietosuojaosaaminen on siis ollut avainasemassa tietosuojan toteutumisen kannalta. Henkilöstön on osattava myös tunnistaa ongelmat ja kysymykset, joihin oma osaaminen eri riitä ja joihin vastaamiseen tarvitaan erityistä tietosuoja-asiantuntemusta.
”Henkilötietojen on oltava ajan tasalla, saatavilla ja suojassa.”
Osaamisen kehittämisessä on pyritty jatkuvaan ohjeistukseen ja koulutukseen. Oleellista on ollut tarkastella tietosuojaa positiivisena asiana: hyvin hoidetun tietosuojan avulla yritys erottuu kilpailijoista myönteisessä valossa. Henkilöstöä ei ole haluttu motivoida pelkästään sen kautta, että lainsäädäntöä on pakko noudattaa. Koulutuksissa on tarvittu yksinkertaisia määritelmiä abstrakteille käsitteille. Eräs Sympan yksinkertaistettu määritelmä tietosuoja-asetukselle on ollut: ”henkilötietojen on oltava ajan tasalla, saatavilla ja suojassa”.
Koulutuksissa on lähdetty liikkeelle yksinkertaisista ja konkreettisista asioista, kuten siitä, miten tiedot organisaation työntekijöistä pidetään ajan tasalla. Alusta saakka on pyritty välttämään ylätason koulutuksia, jotka eivät vastaa käytännön haasteita. Tärkeintä koulutuksissa ovatkin olleet konkreettiset esimerkit siitä, miten tietosuoja näkyy koulutettavan omissa työtehtävissä, sekä eri toiminnoissa ja tiimeissä. Esimerkiksi markkinointiosasto on oppinut, miten juuri he voivat työssään edistää tietosuojan toteutumista.
1. Näe hyödyt omalle liiketoiminnalle
Pääasia on, että tietosuojasta ei tehdä liian isoa mörköä. Yrityksen tulisi pyrkiä näkemään tietosuojasääntelyn hyödyt ja muuttamaan tietosuojan yritykselle positiiviseksi asiaksi. Tietosuojavaatimusten hoitaminen kunnolla tukee liiketoimintaa ja voi olla yritykselle myyntivaltti.
2. Selvitä oman yrityksen nykytilanne ja etene askel kerrallaan
Tietosuoja-asetus voi vaikuttaa haastavalta. Ei kannata välttämättä käydä suoraan asetuksen lakitekstiä läpi, siinä ”voi eksyä”. Kannattaa sitä vastoin edetä askel kerrallaan ja aloittaa pienistä asioista. Yrityksen on hyvä aloittaa tarkastelemalla omaa palvelua ja tuotteitaan. Jotta yrityksen tietosuojaa voidaan kehittää paremmaksi, on selvitettävä ensin se, mikä on yrityksen nykytilanne henkilötietojen käsittelyn suhteen.
3. Kouluta henkilöstö konkreettisilla esimerkeillä
Henkilöstön koulutusta ei pidä jättää abstraktille tasolle. Jos jätetään, niin myös henkilöstön osaaminen voi jäädä yleiselle tasolle, eivätkä ihmiset osaa soveltaa tietosuojaa koskevia ohjeita käytännössä. Kullekin henkilöstöryhmälle tulee olla omat koulutuksensa ja heidän työtehtäviinsä liittyviä käytännön esimerkkejä.
4. Hyödynnä saatavilla olevia työkaluja
Hyödynnä saatavilla olevia itsearviointi- ja vaikutustenarviointityökaluja. Työkalut voivat auttaa hahmottamaan, mitä ja kenen henkilötietoja yritys käsittelee ja millä tavalla. Kartoituksien kautta saadaan selville mahdolliset aukot ja puutteet. Tuloksena muodostuu tehtävälista ja sitten sitä vain lähdetään toteuttamaan tehtävä kerrallaan. ”Ei se ole muuta kuin kovaa duunia”, totesivat sympalaiset.
5. Kansainvälisessä toiminnassa varmista kohdemaan lainsäädäntö
Yrityksen lähtiessä laajentamaan toimintaansa ulkomaille, on tiedettävä mitä kohdemaan lakeja yrityksen palveluun tai tuotteeseen sovelletaan. Vaikka tietosuoja-asetusta sovelletaan kaikissa EU-maissa, kohdemaassa saattaa olla tietosuoja-asetuksen lisäksi muita henkilötietojen käsittelyyn vaikuttavia lakeja. Lisäksi se, minkä maan lakia sovelletaan, kannattaa huomioida sopimuksissa. Tietosuoja-asetuksen lisäksi tulee huomioida palvelun myyntiin liittyvää lainsäädäntöä ja menettelytapoja.
Haastateltavina olivat Sympa Oy:n toimitusjohtaja Keijo Karjalainen ja Sympa Oy:n Head of legal Terho Nevasalo. Haastattelu toteutettiin huhtikuussa 2022.
Sympa Oy:n päätuote on henkilöstön hallintaan tarkoitettu palveluohjelmisto, jota käytetään pilvipalveluna. Palvelua käytetään noin 100 maassa ja sen käyttäjät toimivat tietosuojan näkökulmasta rekisterinpitäjän roolissa. Sympa toimii henkilötietojen käsittelijänä. Sympa katsoo, että heidän liiketoimintansa on ”henkilötietointensiivistä” eli se koostuu pääosin henkilötietojen käsittelystä. Yritys on perustettu 2005 ja sen kotipaikka on Lahdessa. Työntekijöitä on 190.
