Mikä on GDPR ja miten HR:n tulisi reagoida?

Kuten olen aiemminkin kirjoittanut, Euroopan Unionin uuden General Data Protection Regulation (GDPR) -tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018. Uuden asetuksen tarkoitus on vahvistaa ja yhdenmukaistaa yksityishenkilöiden tietosuojaa EU-maissa. Niinpä jokainen meistä hyötyy GDPR-asetuksesta.

Suurimmalla osalla organisaatioista on kuitenkin työsarkaa edessään, jotta asetuksen vaatimukset täyttyvät. Työ on todellakin vaivan arvoista, sillä asetuksen rikkominen voi johtaa suurehkoihin sakkoihin.

Ilman sakkouhkaakin tietosuoja-asetuksen vaatimuksiin vastaaminen kannattaa. Asetus nimittäin palkitsee yrityksiä, joiden HR-tiedot ovat vain valittujen henkilöiden saatavilla, silloin kun he niitä tarvitsevat, yhdestä järjestelmästä.

GDPR-asetus yksilön näkökulmasta

Lyhykäisyydessään tietosuoja-asetus vaatii, että jokaisella henkilöllä (työntekijät, kumppanit, asiakkaat jne.) on oikeus päästä käsiksi kaikkiin tietoihin, jotka yritys heistä on tallentanut, helposti luettavassa muodossa. Jokaisella meistä on myös oikeus saada tietomme tuhottua pysyvästi, oikeus siirtää tiedot toiseen järjestelmään ja oikeus saada tietää mahdollisista tietomurroista.

GDPR-asetuksen velvotteiden täyttäminen on hyvin pitkälti kiinni tietojärjestelmistä, joihin HR-tietoja on tallennettu. Jokaisen yrityksen tulisi varmistaa, että henkilötiedot on tallennettuna järjestelmään, joka integroituu sujuvasti muihin järjestelmiin, että tietoja pidetään jatkuvasti ajan tasalla ja vain sallittujen henkilöiden tarkasteltavissa, ja että tiedot ovat tarpeen tullen valmiina luovutettavaksi asianosaiselle.

Valitettavasti suurin osa palkanlaskenta- ja HR-järjestelmistä eivät kykene käsittelemään muuttuneita vaatimuksia eivätkä siirtämään tietoja järjestelmästä toiseen. Joustavuuden puute helposti johtaa siihen, että eri ihmiset ja organisaatiot luovat uusia tiedostoja (kuten Excel-taulukoita) tai hankkivat käyttöönsä useita eri järjestelmiä henkilötietojen hallintaan. Koska järjestelmät eivät keskustele keskenään, vanhentunutta tietoa kertyy väistämättäkin. Niinpä kaikkien tietystä henkilöstä tallennettujen tietojen tulostaminen on vaivalloista ellei jopa mahdotonta.

GDPR-asetus organisaation näkökulmasta

Tietosuoja-asetuksen ytimessä on jakaa vastuu tietosuojasta controllerin (tyypillisesti HR) ja prosessoijan (esimerkiksi IT-järjestelmän toimittaja) välille. Controllerin tehtävänä on valita toimittajat, jotka vastaavat asetuksen vaatimuksiin ja antaa toimittajille kirjalliset ohjeet tietojen käsittelyyn.

Toimittajan tehtävä kärjistettynä on varmistaa, että tiedot käsitellään salattuna ja turvallisesti sekä tiedonsiirron että säilytyksen aikana, ylläpitää rekisteriä kaikista tiedonkäsittelyistä ja määrittää tietosuojavastaava (Data Protection Officer) valvomaan vaatimusten täyttymistä. Vaatimuslista toimittajille on todellisuudessa huomattavasti pidempi ja useat toimittajat tulevat epäilemättä ajautumaan vaikeuksiin erilaisten protokollien noudattamisessa.

Mitä HR:n tulisi tehdä seuraavaksi?

Edellisessä blogikirjoituksessani sivusin GDPR-asetuksen positiivisia vaikutuksia: yritysten on pakko muokata tietosuojakäytäntöjään. Muutos on erittäin tervetullut ja toivottavasti johtaa tilanteeseen, jossa henkilötietoja säilytetään lukumäärällisesti harvemmissa järjestelmissä, jotka toisaalta ovat huomattavasti turvallisempia. Parantuneen tietoturvan lisäksi tämä muutos todennäköisesti karsii HR:n tarpeettomia tiedonhallintatehtäviä.

Tutustu HR:n GDPR-muistilistaan

Ensimmäinen askel GDPR-vaatimusten noudattamisessa on dokumentoida kaikki nykyiset henkilötietojen tallennuspaikat. Tämä on usein helpommin sanottu kuin tehty, joten loimme avuksi kätevän HR:n GDPR-muistilistan, jossa on selkeät ohjeet dokumentointiin.

Seuraavaksi on syytä varmistaa, että käyttämäsi toimittajat noudattavat asetuksen vaatimuksia. Kartoita siis kaikki nykyiset toimittajasi, ja tarkista heidän tilanteensa. On yleensä hyvä merkki, mikäli toimittajalta löytyy ISO-sertifikaatti.

Lopuksi on vielä syytä määritellä periaatteet, joiden mukaan tietoja käsittelet. Tässäkin työssä auttaa selkeä muistilistamme.