Tietosuoja lähtee ihmisistä

28.5.2018

Tietosuoja-asetuksen vaatimuksiin vastaamisesta kehkeytyi pitkä ja tiivis koulutushanke. Henkilötietojen käsittelyssä parhaan suojan takaavat osaavat ihmiset.

Henkilötietojen suojaaminen on aiheuttanut UPM:ssä paljon töitä jo parin vuoden ajan uuden tietosuoja-asetuksen takia. Vaikka asiat eivät olleet millään muotoa rempallaan, nyt kaikkien EU-alueella toimivien yritysten on pystyttävä osoittamaan, että tietosuoja on viime viikolla voimaan tulleen asetuksen vaatimalla tasolla.

”Keväällä 2016 pienen tiimin aloittamasta selvitystyöstä kehkeytyi nopeasti koko konsernin kattava projekti. Pienen tietosuojan kanssa täysipäiväisesti töitä paiskivan tiimin lisäksi asia on koskenut tuhansia UPM:läisiä”, GDPR-hanketta vetänyt Jaakko Kortesmäki kertoo.

”Käsittelemme oman henkilöstömme henkilötietojen lisäksi suuren määrän henkilötietoa asiakkaistamme, toimittajistamme ja kumppaneistamme. Heidän henkilötietojensa vastuullinen käsittely on pohja luottamukselliselle yhteistyölle.”

Ihmisissä onnistumisen avaimet

Aluksi oli jopa epäselvää, miten asetuksen vaatimukset vaikuttaisivat: oliko odotettavissa iso tietojärjestelmähanke vai oliko enemmänkin tarvetta toimintatapojen muuttamiselle uusilla ohjeilla ja koulutuksella. Pian kävi selväksi, että hankkeen painopisteen pitää olla ihmisissä.

”Tekemämme arvion mukaan paras keino pienentää henkilötietojen käsittelemiseen liittyviä riskejä on se, että henkilöstömme koulutetaan hyvin. Sen jälkeen jokainen osaa käsitellä henkilötietoja ja tehdä oikeita päätöksiä.”

Uudet sisäiset ohjeet koskevat meitä kaikkia. Yli 7 000 työntekijää on käynyt läpi pakollisen verkkokoulutuksen, ja paljon henkilötietoja työssään käsitteleville on järjestetty räätälöityjä koulutuksia. Tietosuojatiimi onkin pitänyt yli 150 erilaista perehdytystä erilaisille henkilöstöryhmille.

Hankkeen onnistuneen toteutuksen takana on kaksi päätekijää, hyvin ihmiskeskeisiä nekin.

”Yksi ehkä eniten yllättäneitä piirteitä tässä hankkeessa on ollut se, että meillä ihmiset ovat olleet paitsi vakavissaan myös innostuneita. Tiimimme saikin paljon käytännönläheisiä kysymyksiä”, Jaakko sanoo.

Toinen onnistumisen edellytys on ollut se, että täyspäiväisesti hanketta pyörittäneellä tiimillä on ollut riittävästi kaistaa vastata kaikkiin sille tuleviin kysymyksiin. Asetuksen voimaan tulon jälkeen työtä jatkaa aiheelle omistautunut tiimi. Siinä on edustajia organisaation eri toiminnoista ja maantieteellisiltä alueilta. Näin eri maiden lait pystytään ottamaan huomioon.

Sama toimintatapa kaikkialla

Uuden lain vaatimukset liittyvät lähinnä henkilötietojen dokumentointiin, raportointiin sekä läpinäkyvyyteen.

UPM:ssä uusi asetus ja sen vaatimat muutokset nähtiin mahdollisuutena yhtenäistää käytäntöjä ympäri maailmaa. EU:n asetus on hyvin tiukka, joten sen noudattaminen takaa hyvän suojan kaikkialla.

”Meidän kaltaisella yhtiöllä arkaluonteisinta tietoa kertyy henkilöstöstä. Siitä yhtä lailla kuin muidenkin sidosryhmiemme henkilötiedoista pidämme aina hyvää huolta.”

Anne Hänninen

Related Stories