Osaamisen arviointia
Tietosuojayökalun yhteiskehittäminen käynnistyi kesäkuussa yhteisessä työpajassa 30 osallistujan voimin. Työkalu on suunnattu erityisesti henkilöille, jotka vastaavat tietosuojasta pk-yrityksessä. Työkalun käyttäjä voi tehdä aluksi vapaavalintaisen lähtötasotestin, johon hän vastaa oman osaamisensa ja yrityksen tietosuojatilanteen pohjalta. Lähtötasotestin tulokset vaikuttavat myöhemmin siihen, minkä tasoisia kysymyksiä työkalu vastaajalle kohdentaa. Työpajassa lähtötasotestin ideaa pidettiin hyvänä, mutta aivan alkuun toivottiin henkilötiedon ja rekisterinpitäjän kaltaisten peruskäsitteiden selventämistä.
Roolin valinta
Lähtötasotestin jälkeen vastaaja valitsee roolin, jossa hän tuleviin kysymyksiin vastaa. Roolina voi olla esimerkiksi rekisterinpitäjä tai henkilötietojen käsittelijä. Työpajassa kiinnitettiin huomiota siihen, että vastaaja ei välttämättä itsekään tiedä, missä roolissa hän tietosuojan näkökulmasta on. Vastaajan yritys saattaa myös olla useassa roolissa, esimerkiksi rekisterinpitäjänä oman henkilöstön suuntaan ja henkilötietojen käsittelijänä asiakkaiden suuntaan. Tietosuojatyökalun kysymyksiin voi onneksi vastata useasti eri näkökulmista, jolloin kokonaisuudesta saa selkeämmän kuvan. Ennen roolin valintaa tietosuojatyökalun tulee tarjota lisätietoa eri roolien merkityksestä.
Yrityksen tietosuojatilanne ja jatkosuositukset
Lähtötasotestin ja roolin valitsemisen jälkeen käyttäjä vastaa yrityksensä tilanteen pohjalta tietosuojaa koskeviin kysymyksiin. Kysymyspatteriston tavoitteena on kartoittaa sitä, missä määrin yritys toimii tietosuoja-asetuksen vaatimusten mukaisesti. Kysymyksenä voi olla esimerkiksi “Onko yrityksessänne tunnistettu tietojen maantieteelliset käsittelysijainnit, mukaan lukien mahdolliset siirrot EU/ETA ulkopuolelle?”. Työpajassa kommentoitiin, että jotkin kysymykset vaatisivat lisätietoa-painikkeen, joka konkretisoi kysymystä esimerkin kautta. Osaan kysymyksistä toivottiin myös tarkentavia lisäkysymyksiä.
Lopulta käyttäjä saa vastaustensa pohjalta raportin, joka antaa yritykselle palautetta tietosuojatilanteesta ja vinkkejä jatkoa ajatellen. Työpajassa raportin toivottiin olevan konkreettinen, “tee ainakin nämä asiat” -tyylinen tarkistuslista. Lakijargonia tulisi välttää, mutta toisaalta asiantuntijoille toivottiin viittauksia lakitekstiin, jotta yhteys lainsäädäntöön tulisi selväksi. Myös raporttiin toivottiin runsaasti konkreettisia esimerkkejä ja visuaalisuutta. Raportin toivottiin myös antavan arvioita erilaisista riskeistä, joita tietosuojan puutteisiin liittyy.
Tietosuojatyökalun kehitys jatkuu
Kehitämme tietosuojatyökalusta ensimmäisen version saamamme palautteen pohjalta. Yhteiskehittäminen jatkuu 15.10. Järjestettävässä työpajassa. Tavoitteena on, että työkalu saadaan pk-yritysten käyttöön hankkeen päättyessä vuoden 2022 loppuun mennessä. Työkalu toteutetaan avoimeen lähdekoodiin perustuvalla ratkaisulla, mikä mahdollistaa sen vapaan jatkokehittämisen. Työkalu käännetään ruotsin ja englannin kielelle, mikä mahdollistaa sen hyödyntämisen myös muissa EU-maissa.
- Kaksivuotinen hanke: GDPR avaa ovia digitaalisille sisämarkkinoille: pk-yritysten keskeiset verkkotyökalut ja tuki mahdollisuuksien hyödyntämiseen (GDPR opening doors to the digital single market: SME centric online tools and support for leveraging the opportunity)
- Hanketta rahoittaa Euroopan unionin Perusoikeudet, tasa-arvo ja kansalaisuus -ohjelma (Rights, Equality and Citizenship Programme)
- Koordinaattorina toimii tietosuojavaltuutetun toimisto hankekumppaninaan TIEKE Tietoyhteiskunnan kehittämiskeskus ry.