GDPR, joka tuli voimaan 25. toukokuuta 2018, on Euroopan unionin asetus, jonka tavoitteena on suojella henkilötietoja ja antaa yksilöille enemmän valtaa omiin henkilötietoihinsa. Asetuksella on merkittävä vaikutus henkilöstöhallintoon, sillä HR kerää ja hallinnoi suuria määriä henkilötietoja. GDPR koskee HR-toiminnan eri osa-alueita, aina kesätyöntekijöiden hakijatiedoista työntekijöiden lähiomaisten yhteystietojen säilyttämiseen.
GDPR yksityishenkilöille
GDPR:n mukaan yksityishenkilöillä, kuten asiakkailla, työntekijöillä ja yhteistyökumppaneilla, on oikeus saada itsestään tallennetut henkilötiedot ymmärrettävässä muodossa kysyttäessä haltuunsa. Yksityishenkilö voi pyytää tietojensa poistamista pysyvästi, tietojen siirtämistä toiseen järjestelmään sekä tietoa kaikista mahdollisista tietoturvaloukkauksista. Sääntöjen noudattaminen edellyttää henkilöstötietojärjestelmien koskemattomuuden ja käytettävyyden varmistamista, tietojen pitämistä ajan tasalla ja pääsyn rajoittamista siihen henkilöstöön, joilla on lupa käsitellä henkilöstötietoja.
GDPR organisaatioille
GDPR jakaa vastuun turvallisesta tiedonhallinnasta rekisterinpitäjän (tyypillisesti henkilöstöosasto) ja henkilötietojen käsittelijän (esim. palveluntarjoajan) kesken. Rekisterinpitäjä valitsee vaatimustenmukaiset toimittajat ja antaa heille ohjeet tietojen hallinnasta. Palveluntarjoajien on taattava tietojen salaus ja tietoturva tallennuksen ja siirron aikana, ylläpidettävä käsittelyrekistereitä ja nimettävä tietosuojavastaava varmistamaan vaatimustenmukaisuus.
GDPR HR-ammattilaisille
Yleinen tietosuoja-asetus sääntelee ja suojaa henkilötietojen käsittelyä. HR-ammattilaisten on otettava huomioon erityisesti seuraavat keskeiset seikat:
- Henkilötiedoilla tarkoitetaan kaikkea henkilöihin liittyvää dataa, josta hänet voi tunnistaa.
- Yleinen tietosuoja-asetus vaikuttaa kaikkiin henkilötietoja käsitteleviin henkilöihin, myös HR-ohjelmistojen myyjiin.
- Työnantajien on viipymättä ilmoitettava tietoturvaloukkauksista viranomaisille ja asianomaisille henkilöille.
- Työntekijöiden henkilötietoja säännöllisesti käsittelevien yritysten on nimettävä tietosuojavastaava.
- GDPR antaa työntekijöille enemmän määräysvaltaa omiin tietoihinsa, kuten pääsyn omiin tietoihinsa ja mahdollisuuden tietojen oikaisuun tai poistamiseen sekä suostumusten peruuttamiseen.
Henkilöstöhallinnon ammattilaiset voivat käyttää tietoja vain tiettyyn tarkoitukseen, ja heidän on saatava työntekijän suostumus tietojen tallentamiseen. GDPR-asetusta sovelletaan kaikkiin työnantajiin, joilla on EU:ssa työskenteleviä työntekijöitä, riippumatta työnantajan sijainnista. HR-toimintojen ulkoistaminen edellyttää asianmukaisia tietojen kartoitusta ja työntekijöille tiedottamista, jos heidän tietojaan siirretään maihin, joissa ei ole voimassa tietosuojaa tai riittävää tietosuojalainsäädäntöä. Työnantajien on varmistettava riittävät toimenpiteet ja riskien arvioinnit tällaisten siirtojen turvaamiseksi.
Haluatko tietää, noudattaako yrityksesi GDPR:ää? Voit ladata muistilistamme, joka auttaa sinua selvittämään, missä tietoja säilytetään ja varmistamaan, että tietoja käsittelevät yritykset tekevät sen oikein ja että niillä on tarvittavat sertifikaatit.