Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.
Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.
Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:
Nyt tiedät, mitä et tiennyt.
Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:
- millaista henkilötietojen käsittelytoimintaa yrityksellä on,
- mitä tietoja yritys käsittelee, ja
- mihin tiedot on tallennettu.
Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?
Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.
Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.
Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!
Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.
Vastaa