Asiakastarina - Rakennustieto
Ulkoistettu tietosuojavastaava toimii tietosuojatyön kiiteltynä veturina.Tausta
Citruksen asiantuntija Kaarina Limingoja on toiminut vuoden 2021 alusta alkaen Rakennustieto-konsernin ulkoistettuna tietosuojavastaavana.
Ymmärsimme, että tietosuojavastaavan tehtävässä vaaditaan sellaista tietoa ja osaamista, jota meidän 50 hengen yrityksessä ei ollut. Oman henkilöstön koulutuksen sijaan päädyimme ulkoistamaan ammattilaisen hoitamaan tietosuoja-asiamme kuntoon," kertoo Marjut Jensén Rakennustieto Oy:n talous- ja henkilöstöjohtaja.
Tavoite
Tehokas yhteistyö käynnistettiin tarpeiden määrittelyllä. Ulkoistetun tietosuojavastaavan tehtäviksi määriteltiin nämä tavoitteet:
- Nykytilaselvitys tietosuojaan liittyvistä prosesseista ja käytännön toimintatavoista sekä niiden mahdolliset poikkeamat verrattuna tietosuoja-asetuksen asettamiin vaatimuksiin
- Tietosuojadokumentaation tuottaminen
- Tietosuojan ylläpito (sisältää henkilökunnan koulutukset)
- Vuosittainen auditointi
- Asiakkaan pyytämät neuvonannot ja palaverit
Toteutus
Tammi-huhtikuun välisenä aikana Limingoja panosti nykytilakartoituksen tekemiseen, yrityksen tietosuoja-asioiden nostamiseen vaatimusten mukaiselle tasolle ja henkilöstön kouluttamiseen.
Maaliskuussa Rakennustieto Oy perusti tietosuojaryhmän, johon kuuluivat Limingojan lisäksi edustajat konsernin henkilöstöhallinnosta, asiakkuudet ja asiakasjärjestelmät -osastolta, markkinointi- ja viestintäosastolta sekä tytäryhtiöistä.
Tällä tavoin kiinnitimme konsernin keskeiset toiminnot tietosuojatyöhön ja varmistimme, että niiden tietosuojanäkemykset huomioidaan yhteisissä tietosuojadokumenteissa. Tietosuojaryhmä valmistelee ja käsittelee tietosuojan linjaukset ja ohjeet ennen kuin ne esitellään konsernin johdolle hyväksyttäväksi,” Citruksen Limingoja kuvailee ryhmän vastuita ja tehtäviä.
Toukokuusta eteenpäin Limingojan rooliin Rakennustieto Oy:ssä on kuulunut tietosuoja-asioihin liittyvää neuvontaa ja ylläpitoa, josta on kertynyt kuukausittain noin puolikkaan henkilötyöpäivän verran tehtävää. Lisäksi vuosittain tehtäviksi suunniteltujen tietosuojan ja siihen liittyvät dokumentaation katselmointi-, ylläpito- ja päivitystyöhön arvioidaan kuluvan yhteensä noin yhden henkilötyöpäivän verran.
Juttelimme toimitusjohtajamme kanssa vastikään siitä, miten tuntuukin hyvältä, kun meillä on nyt ammattilainen tekemässä tuota asiaa,” tiivistää Jensén Rakennustieto Oy:n kokemuksen yhteistyöstä Citruksen Limingojan kanssa.
Rakennustieto Oy:lle tietosuojavastaavan ulkoistaminen on ollut tärkeä osa vaatimuksiin vastaamista ilman huolta siitä, että jotain olennaista vahingossa jäisi huomioimatta.
Ulkoistus on tuonut meille varmuuden siitä, että tietosuoja-asiat hoidetaan nyt ammattimaisesti ja tehokkaasti konsernissamme,” Jensén summaa hyvän yhteistyön Citruksen Limingojan kanssa.
Tietosuoja ei ole projekti vaan jatkuva prosessi
Tietosuojan tavoitteiden saavuttaminen on jatkuva prosessi, eikä kertaluonteinen projekti. Rakennustieto Oy:n konsernin tietosuojatason ylläpitoon kuuluu tiettyjen tietosuojaan liittyvien asioiden säännöllinen katselmointi.
Limingoja nimeää hyväksi keinoksi tietosuojan toimenpiteiden vuosikellon luomisen, joka sisältää kalenterivuoden aikana kvartaaleittain katselmoitavat ja päivitettävät dokumentit ja prosessit sekä hoidettavat toimet.
Omassa työssään Limingoja rytmittää vuosikellon toimenpiteet näin:
- Q1: Tietosuojapolitiikan ja tietosuojaohjeiden katselmointi
- Q2: Tietosuojatietoisku koko henkilökunnalle, tietosuojakoulutus esimiehille tarvittaessa
- Q3: Henkilötietojen käsittelyn prosessien sekä tietosuojaselosteiden katselmointi
- Q4: Tietosuojan ja henkilötietojen käsittelyn tilannekatsaus konsernin johtoryhmälle, tietosuojakoulutus esimiehille tarvittaessa
Vuosikelloon ajoitettujen perustoimenpiteiden lisäksi tietosuoja-asioissa pitää olla koko ajan valmiudessa reagoida nopealla aikataululla esimerkiksi henkilötietoihin liittyviin poikkeamiin,” Limingoja kertoo.
Haluatko kuulla lisää tietosuojavastaavan ulkoistamisen mahdollisuuksista?
Kaarina Limingoja
CIPP/E, CIPM