Ne, jotka ovat omaksuneet GDPR:n ilman vastalauseita, todennäköisesti tekevät parempia datapohjaisia liiketoimintapäätöksiä kuin ne, jotka ovat vastustaneet asetusta.
Yleinen tietosuoja-asetus, joka tunnetaan myös nimellä GDPR, tuli voimaan toukokuussa 2018. Sen myötä tuli myös paljon epävarmuutta, kiihkeää valmistautumista ja kolme sanaa, joita kaikki kavahtivat: “Oletko valmis GDPR:ään?” Kuormitus oli epäilemättä suurin HR-osastojen työntekijöillä, jotka pinnistelivät usein kovassa paineessa ja lyhyissä aikarajoissa saadakseen tietonsa ja käytäntönsä asianmukaisiksi.
Onko asetus muuttanut tapaa, jolla suhtaudumme työhömme ja päivittäiseen arkeemme vuotta myöhemmin? Lukuun ottamatta sitä, että verkkosivustoilla saa valita evästeasetukset, eroja ei tunnu olevan paljon. Olen jopa kuullut yritysten henkilöstöpäälliköiden sanovan, että “GDPR on vanha juttu – mikään ei ole muuttunut, suurin osa ihmisistä on unohtanut sen, eikä kukaan oikeasti tiedä, mitä vaatimustenmukaisuus todella tarkoittaa. Meidän ei tarvitse huolehtia siitä.”
Valmistautumisvaiheessa monet ennakoivat GDPR:n jälkeisen elämän olevan täynnä lamauttavia sakkoja, jotka kurittavat niin isoja kuin pieniä yrityksiä. Yritykset noudattivat asetusta vain pakon takia eivätkä välttämättä ymmärtäneet niitä luontaisia hyötyjä, joita ne todellisuudessa saivat.
Tuohon aikaan useimmilta jäi huomaamatta, että huonolta julkisuudelta ja isoilta sakoilta välttymisen lisäksi GDPR:n noudattaminen on auttanut HR-osastoja ja yrityksiä – joko tarkoituksella tai vahingossa – muuttumaan tehokkaammiksi ja ennakoivimmiksi liiketoiminnan käytäntöjen suhteen.
Olen jopa kuullut yritysten henkilöstöpäälliköiden sanovan, että "GDPR on vanha juttu – mikään ei ole muuttunut". Useimmat ihmiset eivät ymmärrä, että GDPR on auttanut HR:ää enemmän kuin he tietävätkään.
GDPR pähkinänkuoressa
Pohjimmiltaan GDPR:ssä on kyse siitä, että tallennetut tiedot on pidettävä ajan tasalla, saatavilla niiden omistajille ja niille, jotka laillisesti saavat käyttää niitä, ja piilossa kaikilta muilta. EU:n alueella jokaisella henkilöllä on selvät ja ymmärrettävät oikeudet. Ihmisillä on oikeus saada omat tietonsa, oikeus korjata ne ja oikeus poistaa ne. Kuten kirjoitin aiemmin, GDPR:n noudattaminen tarkoittaa yksinkertaisuudessaan ajan tasalla olevien tietojen saatavuutta niitä tarvitseville ihmisille – siksi GDPR on mielestäni hieno asia.
Oliko meteli sen arvoista?
Näin laajaan asiaan liittyvät prosessit ja päätökset vievät aikaa. Julki on tullut tietoja vain muutamista sakkoja saaneista yrityksistä, kuten British Airways ja hotelliketju Marriott.
Toisin kuin muihin Euroopan maihin, Pohjoismaihin on tullut sakkoja hyvin vähän. Pohjoismaiden tunnetuin tapaus lienee Tanskasta, jossa GDPR-viranomaiset suorittivat valvontakäynnin tanskalaiseen huonekaluyritykseen ja ehdottivat 1 500 000 Tanskan kruunun suuruista sakkoa, koska yritys ei ollut poistanut 385 000 asiakkaan tietoja.
GDPR:ssä määrätään, että henkilötiedot on tallennettava siten, että rekisteröityjä ei voida tunnistaa pidempään kuin on tarpeen niitä tarkoituksia varten, joiden takia henkilötietoja käsitellään.
Koska yritys ei ollut määritellyt, milloin henkilötietoja ei enää tarvita käsittelyä varten, se ei ollut poistanut tietoja, mikä merkitsi GDPR-asetuksen määräysten rikkomista.
Passiivisuus tietojen tallentamisessa ja käytössä on vastoin GDPR:ää, minkä lisäksi yritys menettää mahdollisesti suuria liiketoimintahyötyjä. Ennen GDPR:ää “voittajia” olivat vain ne, jotka ymmärsivät tietojen todellisen arvon, mutta nyt asetus on vahingossa tasoittanut pelikenttää, sillä se pakottaa ihmiset perehtymään tietoihinsa.
Paremmat tiedot tarkoittavat parempia liiketoimintapäätöksiä
Ajattelutavan muuttaminen olennaisten henkilötietojen osalta voi tuoda valtavasti arvoa liiketoiminnalle, sillä tietojen käsittely GDPR:n mukaisesti voi tukea yritystä monin tavoin.
Aiemmin henkilöstöhallinnon tärkeimmät vastuut olivat enimmäkseen hallinnollisia tehtäviä ja henkilöstön pitäminen motivoituneena. Koska nykyisin voimaan tulee uusia, yrityksen koko liiketoimintaan vaikuttavia määräyksiä, kuten GDPR, HR on yhä enenevässä määrin strateginen voimavara ja mahdollistaa tehokkaammat prosessit, jotka parantavat yrityksen yleistä kilpailu- ja suorituskykyä sekä kannattavuutta.
Ajantasaisten tietojen todelliset hyödyt
Ajantasaiset henkilötiedot tarkoittavat GDPR:n noudattamisen lisäksi sitä, että yrityksellä on paremmat tiedot, ja niiden avulla voi tehdä parempia liiketoimintapäätöksiä. Paremmat päätökset tarkoittavat parempaa perustaa tulevaisuutta varten, vähemmän tietoturvaongelmia ja enemmän aikaa parempiin prosesseihin.
Totta puhuen useimpia palkanlaskenta- tai HR-järjestelmiä ei ole suunniteltu käsittelemään henkilötietoihin liittyviä muuttuvia vaatimuksia tai edes tiedonsiirtoja yritysten käyttämien eri järjestelmien välillä. Monipuolisuuden puute saa usein aikaan sen, että organisaatiot ja yksittäiset ihmiset luovat uusia tiedostoja (kuten laskentataulukoita) tai hankkivat useita järjestelmiä henkilötietojen hallintaan. Ilman integraatioita ja liitettävyyttä tämä merkitsee sitä, että vanhentunutta offline-tietoa on kasoittain eri paikoissa. Yksittäisen tietueen hankkiminen kaikista tärkeistä henkilötiedoista on iso, ellei mahdoton urakka.
Paremmat päätökset tarkoittavat parempaa perustaa tulevaisuutta varten, vähemmän tietoturvaongelmia ja enemmän aikaa parempiin prosesseihin.
Tue organisaatiosi pitkän tähtäimen strategiaa GDPR:n avulla
Uudet määräykset, kuten GDPR, pakottavat yritykset aloittamaan uusia vuoropuheluja siitä, miten laki vaikuttaa niihin, millaisiin toimiin niiden on ryhdyttävä ja mikä lopputulos tulee olemaan. GDPR herätti tietoisuuden yksityisyydestä ja siitä, miten henkilötietoja hallitaan yrityksessä, eli kenellä on pääsy mihinkin tietoihin ja miksi.
Tällaiset keskustelut voivat ja niiden pitäisi olla lähtöisin henkilöstöosastolta, ja näillä keskusteluilla on väistämättä voimakas vaikutus muuhun liiketoimintaan. GDPR korostaa sitä, miten HR voi tukea ja kehittää organisaatiota ja sen pitkän aikavälin strategiaa siirtymällä aiemmasta hallintoon keskittyneestä roolistaan kohti liiketoiminnan laajuista strategista voimavaraa.
Jälkipuintia – mikä on oikeasti muuttunut GDPR:n jälkeen?
GDPR:n vaikutus on ollut suurempi kuin saamme koskaan tietää tai pystymme numeerisesti mittaamaan. Se on vähintäänkin pakottanut yritykset avoimeen vuoropuheluun siitä, miten ne tallentavat tietoja. Tietojen paremman analysoinnin avulla saattaa löytyä lisää liiketoimintamahdollisuuksia, joista voi olla hyötyä yritykselle.
Tietojen tallennuksen vaatimustenmukaisuuteen ja ennakointiin välinpitämättömästi tai epäröivästi suhtautuneet yritykset saattavat pian saada kannustimia toimia, kun julki tulee yhä enemmän GDPR-sakkoja ja -rangaistuksia.
Kaiken kaikkiaan GDPR on ollut tervetullut muutos, joka toivottavasti johtaa siihen, että henkilötietojen tallennusjärjestelmiä on vähemmän, ja niiden tietoturva on parempi. Tietoturvan lisäksi tällaiset muutokset merkitsevät todennäköisesti myös vähemmän ylläpitotöitä HR:lle.