Tietosuoja

Henkilökunnan koulutus osana GDPR:ään valmistautumista

Viime aikoina kasvava osa yrityksistä on alkanut miettiä eri keinoja, kuinka olla lähestyvän yleisen tietosuoja-asetuksen (End User Consents Under the GDPR – Part 2: A Checklist for Data Controllers) (GDPR) asettamien vaatimuksien mukainen. Yksi GDPR:n keskeisiä muutoksia on osoitusvelvollisuus: oikeiden toimenpiteiden lisäksi on pystyttävä osoittamaan, että tietosuojaan liittyviä periaatteita noudatetaan, esimerkiksi dokumentaatioilla.

Henkilöstön kouluttaminen tietosuojasta on erinomainen tapa osoittaa GDPR:n vaatimustenmukaisuutta. Ennen kaikkea, henkilöstön koulutus on tehokas tapa vähentää yrityksen tietosuojaan liittyviä riskejä. Tietosuojan kannalta inhimillisillä virheillä voi usein olla vakavat seuraukset koko organisaatoille ja sen maineelle.

Tehokas ja läpinäkyvä henkilötietojen käsittely on toimiva tapa saavuttaa kilpailuetua tämän hetken dataintensiivisessä maailmassa. Tästä huolimatta yleinen asenne tietosuojaa ja GDPR:ää kohtaan on valitettavasti sävyltään negatiivinen ja aihetta lähestytään usein sakkojen välttämismielessä. Tietosuojakoulutus mahdollistaa kyvyn erottua kilpailijoista ja rakentaa luottamusta loppukäyttäjän kanssa. Siinä on kyse organisaation vastuiden ymmärtämisestä ja näiden mukaan toimimisesta. On myös hyvä muistaa, että jokainen meistä on rekisteröity. Näin ollen GDPR- ja tietosuojakoulutus on myös omien oikeuksien ymmärtämistä.

Tällä hetkellä markkinoilla on erilaisia tapoja järjestää henkilöstölle GDPR- ja tietosuojakoulutusta. Olemassa olevat vaihtoehdot sisältävät luokkahuonekoulutuksia, seminaareja ja verkkokoulutuksia. Sopivan koulutusmuodon valinta riippuu koulutettavan ryhmän tarpeista, koosta ja roolista henkilötietojen käsittelyyn liittyen. Koulutuksessa päätavoitteena on ymmärtää, kuinka GDPR vaikuttaa kuhunkin ryhmään. Ymmärrys osaltaan määrittää GDPR:n määräysten mukaisuuden sekä kyvyn käyttää tietosuojaosaamista kilpailuetuna. Tämän kaiken tekeminen kukkarolle ystävällisellä tavalla kuulostaa jo melko hyvältä.

Tosiasia on, että tarjolla on usein vain rajallinen määrä resursseja. Joskus valinta on tehtävä koko organisaation tai tiettyjen ryhmien kouluttamisen välillä. Tämä on erityisesti tilanne organisaatioissa, joissa henkilötietojen käsittelyyn liittyy matalampi riski ja koko henkilöstön täysimittainen kouluttaminen ei välttämättä ole tarpeellista. Tiettyjen erikoisryhmien kouluttaminen voidaan todeta toimivaksi vaihtoehdoksi, jos tehtävä sisältää esimerkiksi arkaluontoisten henkilötietojen käsittelyä. Koko organisaation kouluttaminen voidaan nähdä tehokkaana tapana jalkauttaa tietosuojan kulttuuria ja hyvänä tapana laskea yleistä riskitasoa. Tämä voidaan myös tulkita varmempana vaihtoehtona näyttää osoitusvelvollisuutta. Yleisesti organisaatiot, jotka käsittelevät henkilötietoja korkeammalla riskitasolla ovat velvoitettuja keskittymään tarkemmin GDPR- ja tietosuojakoulutukseen. Loppujen lopuksi kaikkien yritysten, keskittyivätpä nämä henkilötietojen käsittelyyn tai eivät, tulisi ottaa henkilökunnan tietosuojaosaaminen vakavasti. GDPR vaikuttaa kaikkiin organisaatioihin, jotka käsittelevät EU:n sisällä asuvien yksilöiden henkilötietoa.

Tällä hetkellä ohjeistukset ja säännöt GDPR- ja tietosuojakoulutuksen tarjoamiseen ovat melko vähäiset, jotta sopiva vaatimustenmukaisuus GDPR:n kanssa saavutettaisiin. Tämän lisäksi tulisi myös miettiä, mikä on hyvä koulutuksen taso, jotta tarvittavat tietosuojaan liittyvät taidot voitaisiin saavuttaa.

Pienemmillä organisaatioilla GDPR- ja tietosuojakoulutukseen sijoittaminen voidaan nähdä pienenä hintana sen suomiin hyötyihin suhteutettuna. Luonnollisesti isommissa organisaatioissa koulutuksen osoittaminen oikeille ja oleellisille ryhmille muodostuu mielenkiintoiseksi aiheeksi. Itsestään selvä nyrkkisääntö on, että mitä enemmän henkilön työ liittyy henkilötietojen käsittelyyn, sitä suurempi merkitys tietosuojakoulutuksella on. Lisäksi ryhmät, jotka ovat vastuussa liiketoiminnasta (esimerkiksi yrityksen johto) ovat erityisen tärkeitä kohteita tietosuojakoulutukselle. Vaikka työn luonne ei suoraan osu henkilötietojen kenttään, osoitusvelvollisuuden kannalta on oleellista, että yrityksen johto on hyvin tietoinen GDPR:stä ja sen vaikutuksista. Vastuu liiketoiminnasta kulkee käsi kädessä tietosuojavastuun kanssa. Yrityksen koko saattaa olla harhaanjohtava mittari määriteltäessä tarvetta tietosuojakoulutukselle. Pieni yritys saattaa tietämättäänkin käsitellä paljonkin henkilötietoa, kun taas suuremmassa yrityksessä henkilötietoa on usein luonnollisista syistä enemmän. Yrityksen koon sijaan tulisi miettiä henkilötiedon määrää, varsinkin sen volyymia ja luonnetta, kun tehdään päätöksiä GDPR- ja tietosuojakoulutuksiin liittyen.

Kuten mainittu, mitään suoria sääntöjä GDPR- ja tietosuojakoulutuksen sopivaan tasoon liittyen ei juuri löydy, mutta tiettyjä ohjenuoria tulisi ottaa huomioon, kun päätetään sijoittamisesta koulutukseen. Koulutus GDPR:stä ja tietosuojasta tulisikin nähdä ennen kaikkea sijoituksena eikä vain pakollisena kustannuksena.

Luokkahuonekoulutukset ovat loistava tapa saada yksilöllisesti räätälöityä koulutusta tietyn ryhmän tarpeisiin. Tämä voi olla kuitenkin kömpelö tyyli kouluttaa suurempia ryhmiä. Tältä kantilta ajateltuna seminaarit sopivat suuremmalle yleisölle paremmin. Molempien koulutusvaihtoehtojen huonona puolena voidaan todeta organisoinnin haastavuus. Verkkokoulutus on sopiva vaihtoehto pienille startupeille, suurille monikansallisille organisaatoille ja kaikelle siltä väliltä. Verkkokoulutus on ketterä tapa kouluttaa henkilöstöä joustavasti ja se tarjoaa mahdollisuuden osoitusvelvollisuuden näyttämiseksi, esimerkiksi sähköisellä suoritusmerkinnällä. Helpon muokattavuuden takia, verkkokoulutus voidaan suunnata koko organisaation henkilöstölle tai nopeasti muokata tietylle erikoisryhmälle sopivaksi.

Katso Privaonin e-Learning – verkkokoulutus GDPR:stä ja tietosuojasta koko organisaatiolle täältä. Voit tutustua koulutukseen videolta!

ville_silvola

Ville Silvola