Miltä GDPR näyttää organisaatioiden arjessa?

Eduhousen webinaarissa kysyimme osallistujilta, millaisia haasteita organisaatiot kohtaavat GDPR:n kanssa arjen työssä.

GDPR eli yleinen tietosuoja-asetus säätelee EU:ssa, miten organisaatioiden tulee kerätä, säilyttää ja hallinnoida henkilötietoja.

Eduhousen kyselyyn vastasi noin 80 asiantuntijaa ja johtajaa eri organisaatioista.

 Kyselyn tulokset antavat kuvan siitä, missä GDPR näkyy organisaatioiden arjessa ja millaisissa tilanteissa haasteita usein syntyy. 

Yksi havainto nousee esiin:

Monissa organisaatioissa GDPR:n haaste ei liity niinkään sääntelyn ymmärtämiseen, vaan siihen, miten se toteutuu arjen työssä.

Epävarmuus GDPR:ssä syntyy arjen työssä

Kysyimme, missä GDPR aiheuttaa eniten epävarmuutta arjen työssä. Suurimmaksi epävarmuuden lähteeksi nousi osaamistason vaihtelu organisaation eri osissa (32 %).

• Osaamistaso organisaation eri osissa (32 %)
• Ohjeiden ja käytännön välinen kuilu (27 %)
• Vastuunjako eri roolien välillä (22 %)
• Toiminta poikkeustilanteissa (15 %)
• En osaa sanoa (1 %)
• Muu (4 %)

Epävarmuus liittyy usein tilanteisiin, joissa GDPR kohtaa arjen työn, kuten esimerkiksi:

• miten henkilötietoja käsitellään käytännössä
• kuka on vastuussa missäkin tilanteessa
• miten toimitaan poikkeustilanteissa

Monissa organisaatioissa ohjeet ja periaatteet ovat olemassa, mutta niiden soveltaminen arjen tilanteissa ei aina ole täysin selkeää. 

GDPR-riskien hallinnassa puuttuu yhteinen perusta

Kysyimme myös, mikä jää useimmiten puuttumaan GDPR-riskien hallinnassa. Vastauksissa korostui erityisesti yhteinen perusosaaminen  (28 %).

• Yhteinen perusosaaminen (28 %)
• Selkeä vastuunjako arjessa (23 %)
• Tapa osoittaa osaaminen tarvittaessa (19 %)
• Selkeä ja ymmärrettävä viestintä (13 %)
• Tuki poikkeustilanteissa (13 %)
• En osaa sanoa (4 %)

Jos yhteinen perusosaaminen ei ole riittävällä tasolla, riskien hallinta voi jäädä helposti yksittäisten asiantuntijoiden varaan.

GDPR ei koske vain tietosuojavastaavaa tai IT:tä. Se koskee koko organisaatiota.

Vain 11 % organisaatioista pystyy osoittamaan henkilöstön GDPR-osaamisen hyvin

Kysyimme myös, kuinka hyvin GDPR-osaaminen pystytään organisaatioissa osoittamaan.

• Hyvin (11 %)
• Kohtalaisesti (49 %)
• Heikosti (31 %)
• En osaa sanoa (9 %)

Vain 11 % kyselyyn vastaajista kokee, että organisaatio pystyy osoittamaan henkilöstön GDPR-osaamisen hyvin.

Suurin osa arvioi tilanteen kohtalaiseksi tai heikoksi. Vaikka osaamista voi olla, sitä ei välttämättä pystytä todentamaan selkeästi esimerkiksi auditoinneissa tai viranomaiskyselyissä.

Kolme keskeistä haastetta organisaatioiden GDPR-arjessa

Kyselyn perusteella GDPR:n haasteet liittyvät erityisesti kolmeen asiaan.

1. Osaamisen epätasaisuus
Kaikilla organisaation osilla ei ole samaa ymmärrystä henkilötietojen käsittelystä.

2. Vastuiden ja käytäntöjen epäselvyys
Ohjeet eivät aina muutu selkeäksi toiminnaksi arjen tilanteissa.

3. Osaamisen todennettavuus
Organisaatioissa ei aina ole selkeää tapaa osoittaa, että henkilöstö osaa toimia oikein.

Kun nämä kolme asiaa ovat kunnossa, myös GDPR-riskien hallinta muuttuu huomattavasti helpommaksi.

Eduhousen GDPR-sertifikaatti vahvan tietosuojaosaamisen saavuttamiseen ja todistamiseen

 Eduhousen GDPR-sertifikaatti koulutuksineen auttaa organisaatioita siirtymään kankeasta ohjeiden noudattamisesta sujuvaan arjen GDPR-toimintaan. GDPR-sertifikaatin avulla huolehdit paitsi ajantasaisista tiedoista ja taidoista, myös osaamisen ja luotettavuuden todistamisesta esimerkiksi omille asiakkaille ja kumppaneille.