1. Home>
  2. Inspiroidu>
  3. Tietoturva & GDPR>
Totuttujen toimintatapojen muuttaminen suuri haaste GDPR-työssä

Totuttujen toimintatapojen muuttaminen suuri haaste GDPR-työssä

Uusi yleinen tietosuoja-asetus (GDPR) vaikuttaa suuresti henkilöstö- ja palkkahallinnon työntekijöiden arkeen, sillä henkilötietojen käsittely on oleellinen ja erittäin tärkeä osa työtä. Sääntöjen asianmukaisen noudattamisen takaamiseksi pitkällä aikavälillä monien osatekijöiden on toimittava hyvin yhteen. Randstadin henkilöstöpäällikkö Camilla Campelo painottaa päivittäisten työrutiinien muuttamisen tärkeyttä.

Yleinen tietosuoja-asetus asettaa entistä korkeammat vaatimukset sille, mitä henkilötietoja käsitellään, miksi niitä tallennetaan ja missä niitä säilytetään. Lisäksi organisaatioiden on myös tiedettävä kenellä on pääsy tietoihin ja millaisia vaatimuksia eri tyyppisten tietojen käsittelyyn liittyy.

Henkilötietojen käsittelyyn ja säilyttämiseen liittyvien vaatimusten tiukentamisella on kolme tärkeää tavoitetta:
1. vähentää käsiteltävien henkilötietojen määrää
2. lyhentää tarpeettomiksi jääneiden henkilötietojen säilytysaikaa
3. varmistaa henkilötietojen turvallisuus.

Järjestelmätuki ja prosessiseuranta eivät kata kaikkea

Uudesta lainsäädännöstä kuultuaan useimmat yritykset ovat käyttäneet paljon aikaa ymmärtääkseen mitä yleinen tietosuoja-asetus ja sen vaatimukset tarkoittavat niiden kannalta. Järjestelmiä, tietovirtoja ja prosesseja on kartoitettu ja muutettu turvallisemmiksi, jotta henkilötietoja käsiteltäisiin jatkossa oikein. Esimerkiksi säilytyksen, jäljitettävyyden, poiston ja raportoinnin kaltaisten säännönmukaisten vaatimusten noudattaminen onnistuu päivitettyjä ja uusia järjestelmäprosesseja yhdistelemällä. On loogista aloittaa työskentely tästä päästä, jotta saadaan kokonaiskuva siitä, mihin järjestelmiin ja tietoihin yleinen tietosuoja-asetus vaikuttaa. Henkilöstö- ja palkkahallinnon pitää muun muassa käydä läpi kaikki palkkajärjestelmän osat ja määrittää tietojenkäsittelytavat sen perusteella, onko käsittelyssä mukana henkilötietoja vai ei. Uusien määräyksien ymmärtäminen ja noudattaminen pitkäjänteisesti vaatii kuitenkin enemmän.

– Olemme varmoja, että omat henkilöstö- ja palkkajärjestelmämme pystyvät käsittelemään ja tallentamaan tietoa yleisen tietosuoja-asetuksen vaatimusten mukaisesti. Mielestäni suurin haaste koko organisaatiossa on tuttujen toimintatapojen muuttaminen, rekrytointi- ja henkilöstövuokrausyritys Randstadin henkilöstöjohtaja Camilla Campelo sanoo.

Yritysten tulee olla tietoisia toimintatapojen muutoksen tärkeydestä ja luoda muutokselle edellytykset. Jokaisen työntekijän ajattelu- ja toimintatavat päivittäisessä työssä ovat ratkaisevassa asemassa yleisen tietosuoja-asetuksen noudattamisessa pitkällä tähtäimellä. Esimerkkeinä voidaan käyttää henkilötietojen käsittelyä sähköpostissa tai tavallisten työtehtävien ohessa tehtävää rutiininomaista tiedon tallentamista.

– Monet organisaatiot ovat tallentaneet valtavan määrän tietoa. Tietoja tallennetaan usein järjestelmään automaattisesti sen kummempia ajattelematta. Työntekijät saattavat myös joskus ajatella, että tietojen väliaikainen ja paikallinen tallentaminen helpottaa päivittäisten työtehtävien hoitoa.

Camilla painottaa, että kaikkien henkilötietoja käsittelevien työntekijöiden on oltava aiempaa huolellisempia ja poistettava jatkuvasti henkilötietoja, joiden säilyttämiselle ei ole enää perusteita.

Toimintatapojen muuttaminen on kaikkien vastuulla

Yleinen tietosuoja-asetus on korkealla Randstadin päiväjärjestyksessä. Eri osastojen edustajista koostuvan projektiryhmän muodostaminen tuntui luonnolliselta vakiintuneiden projektityöskentelytapojen ja useita eri toimintoja käsittävien projektien tuoman kokemuksen myötä. Lakiosasto ja IT-osasto johtavat tietosuoja-asetusprojektia yhdessä. Yritys palkkasi myös vuoden 2018 alussa tietosuojavastaavan (Data Protection Officer), joka edistää ja valvoo yleisen tietosuoja-asetuksen noudattamista yhdessä esimiesten kanssa.

– Uusien määräysten astuessa voimaan on tärkeää, että ne koetaan osana normaalia työrutiinia eikä ylimääräisenä työnä. Yleinen tietosuoja-asetus ja kaikki sen tuomat muutokset voivat tuntua pelottavilta, jolloin on olemassa riski, ettei toimeen uskalleta ryhtyä tai sitä epäröidään. Kukaan ei voi osata ja tietää kaikkea heti alussa ja kohtaamme vielä varmasti monia uusia asioita, jotka pitää ottaa huomioon. Myös työntekijämme voivat tarvittaessa kääntyä tietosuojavastaavan puoleen. Ero työskentelytavoissa ei kuitenkaan ole niin suuri kuin monet luulevat – olemmehan käsitelleet henkilötietoja aiemminkin, Camilla toteaa.

Merkittävin ja uuden suhtautumistavan vaativa eroavaisuus on se, että henkilötietojen käsittelystä tulee aiempaa tiiviimpi osa työtä. Juuri se tekee muutoksesta vaikeaa.

– Toimintatapojen muuttaminen on kaikkien vastuulla! Muutoksesta selviäminen on helpompaa, jos opettelemme asioita yhdessä ja tuemme toisiamme. Jokaisen on ymmärrettävä, että heidän tulee toimia itsenäisesti, esittää kysymyksiä ja ottaa vastuuta päivittäisessä työssä. Saamme myös aina apua järjestelmätuesta, prosesseista ja yleisistä rutiineista.

 

Miten yrityksessäsi varmistetaan, että yleistä tietosuoja-asetusta noudatetaan päivittäisessä työssä? Kerro meille kokemuksistasi. Haluatko tietää, miten autamme asiakkaitamme toimimaan yleisen tietosuoja-asetuksen mukaisesti henkilöstö- ja palkkaprosesseissa? Ota yhteyttä asiantuntijoihimme.