Yrityksille kertyy yrityksen koosta ja rakenteesta riippuen merkittäviä määriä tietoa työntekijöistään. Näiden tietojen käsittelyä sääntelee laki, eikä tietosuojasta huolehtiminen olekaan mikään vapaaehtoinen asia. Pahimmillaan velvoitteista luistaminen, lainvastainen tietojen kerääminen tai huolimaton tietojen käsittely tuo mukanaan maineriskejä tai jopa viranomaisseuraamuksia. Toisaalta hyvin kommunikoitu ja järjestetty tietojen käsittely tietosuojasta huolehtien toimii luottamuksen luojana – niin omien työntekijöiden suuntaan, kuin lopulta myös asiakkaille.
Vastuussa on aina yrityksen johto
Tietosuojajohtamiseen liittyen on vielä havaittavissa joitakin vanhakantaisia käsityksiä. Monesti esimerkiksi ajatellaan, että tietosuoja-asiat ovat IT:n vastuulla. Näin ei kuitenkaan ole; tietosuoja ja tietoturva ovat aina olleet yrityksen johdon vastuulla, ja nykyään EU:n tietosuoja-asetuksen, GDPR:n, myötä ne ovat sitä yhä vahvemmin. Toki IT-osasto on avainasemassa esimerkiksi teknisen tietoturvan osalta, eli myös IT:n osaamista tarvitaan riippumatta siitä, onko IT mahdollisesti ulkoistettu.
Samat lainalaisuudet pätevät myös henkilöstön tietojen hallintaan. Vastuu ei ole HR:llä, vaan yrityksen johdolla. HR luonnollisestikin käsittelee näitä tietoja paljon ja huolehtii niistä, mutta tietosuojasta huolehtiminen lähtee johtotasolta.
Ymmärrä mitä, miksi ja miten
Ensimmäinen lähtökohta tietosuoja-asioissa HR:n ja palkkahallinnon näkökulmasta on ylipäätään ymmärrys ja sen tunnistaminen, mitä kaikkea tietoa kerätään, ja miksi. Tätä kautta voidaan lähteä kuvaamaan auki prosessia, jossa tieto liikkuu yrityksen sisällä, eri järjestelmissä ja mahdollisesti ulkoistetuilla kumppaneilla. On tärkeää ymmärtää ja hahmottaa toimintatavat myös tietojen säilytyksestä, arkistoinnista, käytettävyydestä ja käyttöoikeuksista, sekä tuhoamiskäytännöistä.
Prosessin kuvaaminen antaa mahdollisuuden tunnistaa haavoittuvuuksia ja riskejä tietosuojanäkökulmasta. Lisäksi samalla voidaan löytää tehostamisen paikkoja, kun tunnistetaan toimintatavat. Prosessikuvaus auttaa myös ymmärtämään, missä esimerkiksi erilaisista järjestelmäratkaisuista voisi olla hyötyä.
Aina itse tekeminen ei ole paras ratkaisu
Ulkoistamalla esimerkiksi palkkahallinnon tai kirjanpidon voi yritys vaikuttaa merkittävästi henkilötietojen hallintaan liittyviin riskeihinsä. Tietoturvan ja tietosuojan hallitseva kumppani on hyvä lisä tietojenkäsittelyyn, ja parhaassa tapauksessa säästää aikaa sekä vaivaa, antaen mahdollisuuden keskittyä ydinliiketoimintaan.
Ulkoistuksissa, kuten myös erilaisten järjestelemien valinnassa, on tärkeää tutustua tarkkaan kumppanin tietoturvaan ja tietojenkäsittelytapoihin. GDPR asettaa tietyt vaatimukset kumppaneille, ja ennen yhteistyön aloittamista on tärkeää tehdä tietojenkäsittelysopimus.
Me HR Legalilla olemme tehneet yhteistyötä Rantalaisen kanssa, ja voimme vilpittömästi suositella Rantalaista luotettavana ja osaavana kumppanina tietosuojakäytäntöjen näkökulmasta.
Tapio Pesonen, Legal advisor, HR Legal Services Oy
HR, tietosuoja, työsuhde- ja liikejuridiikka
Kiinnostuitko? Pyydä tarjous HR-kartoituksesta!