Henkilötietojen käsittely

Miten Coor varmistaa sen, että henkilötietojen käsittely vastaa uutta tietosuoja-asetusta?

Coorissa on meneillään mittava työ, jonka tavoitteena on huolehtia uuden tietosuoja-asetuksen (GDPR) perustarkoituksesta. Rekisteröidylle tulee toisin sanoen antaa riittävästi tietoa henkilötietojensa käsittelystä Coorissa sekä oikeus määrätä käsittelyn laajuus ja valvoa tietojen oikeellisuutta. Jokaisen henkilötietoja käsittelevän coorilaisen on otettava aktiivinen vastuu uusien – ja osittain entistä laajempien – sääntöjen noudattamisesta sekä kyettävä osoittamaan tämä.

Coor on hyvin valmistautunut lisävaatimuksiin. Kussakin maassa ja konsernitasolla on meneillään laaja GDPR-hanke, jossa tietosuoja-asetuksen vaatimuksiin vastataan kehittämällä prosesseja, rutiineja, IT-tukea, tiedotusta ja koulutusta. Coorin GDPR-hanke koskee sekä Coorin omaan organisaatioon liittyviä henkilötietoja että Coorin asiakkaiden puolesta käsiteltäviä henkilötietoja.
Suomen kansallista hanketta tukee yhteinen konsernihanke, joka tarjoaa laintulkintaan liittyvää apua ja opastusta. GDPR-toimenpiteitä seurataan Coorin johtoryhmässä (Executive Management Team, EMT), ja niistä raportoidaan säännöllisesti kansallisella ja konsernitasolla aikataulussa pysymiseksi.

Hankkeessa analysoidaan ja arvioidaan tietosuoja-asetuksen liiketoimintavaikutuksia. Coor on ryhtynyt ja ryhtyy jatkossa arviointien pohjalta toimiin, joita pidetään välttämättöminä tai toivottavina uusien ja entistä laajempien vaatimusten toteuttamiseksi. Coor tekee tämän muun muassa päivittämällä henkilötietojen sisäisiä käsittelykäytäntöjä ja pyrkii siten lisäämään koko organisaation osaamista ja ymmärrystä tästä tärkeästä asiasta.

Kun Coorissa suunnitellaan uutta henkilötietojen käsittelyä, johon liittyy rekisteröityjen kannalta korkeita riskejä, Coorin on tehtävä arviointi käsittelyn mahdollisista vaikutuksista rekisteröityihin sekä välttämättömistä riskinhallintatoimista (tietosuojaa koskeva vaikutustenarviointi). Coor on ottanut käyttöön prosesseja ja työkaluja tämän varmistamiseksi.

Tietosuoja-asetukseen sisältyy myös vaatimuksia, jotka koskevat sisäänrakennettua tietosuojaa. Tämä tarkoittaa sitä, että jokaisessa henkilötietoja käyttävässä uudessa palvelussa tai liiketoimintaprosessissa on arvioitava kyseisten tietojen suojelutarvetta ja otettava käyttöön suojelua tukevia järjestelmiä. Tätäkin asiaa käsitellään GDPR-hankkeessa.
Coor tekee lisäksi IT-toimittajiensa kanssa yhteistyötä, joka liittyy henkilötietojen ja muun tiedon käsittelyn tietoturvaan.