Miksi pidän GDPR:stä?

GDPR (General Data Protection Regulation) on lopulta hyvin yksinkertainen tietosuoja-asetus: pidetään henkilötiedot ajan tasalla ja saatavilla henkilöille, jotka tarvitsevat niitä. Piilotetaan tiedot muilta. Selvää kuin pläkki.

Jokaisella EU-kansalaisella ja vakituisella asukkaalla on asetuksen myötä selkeät ja kohtuulliset oikeudet. Meillä on oikeus päästä käsiksi omiin tietoihimme, oikeus korjata niitä, oikeus saada ne omaan käyttöömme ja oikeus poistaa tiedot. Edelleen hyvin suoraviivaista ja asiallista.

Mutta olemmeko yrityksinä valmiita asetukseen? Useat organisaatiot käyttävät palkanlaskentaa pääasiallisena henkilötietojen tallennusjärjestelmänä ja tukevat palkanlaskentaa tarpeen mukaan Excel- ja Word-asiakirjoilla. Osaa tiedoista hallitaan kenties myös ERP-järjestelmissä tai muissa vastaavissa IT-järjestelmissä.

Kun haluat varmistaa, että organisaatiosi on valmis tukemaan GDPR-tietosuoja-asetuksen vaatimuksia, paras tapa aloittaa on pyrkiä vastaamaan seuraaviin kysymyksiin:

  • Pystymmekö pyydettäessä toimittamaan henkilön kaikki tiedot kohtuullisessa ajassa?
  • Pystymmekö pyydettäessä poistamaan kaikki nuo tiedot?
  • Pystymmekö pyydettäessä lähettämään henkilölle kaikki hänen tietonsa xml-muodossa tai muussa helposti luettavassa muodossa?

Mikäli vastaukset kysymyksiin ovat myönteisiä, on vielä syytä varmistaa, että tiedämme minne henkilötiedot tallennetaan, miksi tiedot tallennetaan, mihin tietoja käytetään, kenellä on pääsy tietoihin, minne tiedot varmuuskopioidaan ja miten tiedot (ja varmuuskopiot) pidetään ajantasalla?

Mitä henkilöstöhallinnolta vaaditaan GDPR-asetuksen vaatimusten tukemiseen?

Jotta tietosuoja-asetuksen vaatimukset täyttyvät HR:n osalta, järjestelmiltä ja prosesseilta vaaditaan liitettävyyttä muihin järjestelmiin, muokattavia rajapintoja ja joustavia käyttöoikeuksia. Jotta nämä vaatimukset täyttyisivät, tarvitsemme HR-järjestelmän, joka pystyy käsittelemään kaiken sisällön ilman Exceliäkin. Ja kaikkien tietojen on oltava saatavilla muille järjestelmille rajapintojen tai muiden yhteyksien kautta ilman sähköpostiakin.  

99 % palkanlaskentaan pohjautuvista HR-järjestelmistä on rakennettu staattisen sisällön varaan. Tämä rajoittaa jatkuvaa, ketterää kehitystä ja luo vakavia haasteita toiminnalle, kun GDPR astuu voimaan.

Tietosuoja-asetus pakottaa meidät rajaamaan pääsyn vain tarpeellisiin tietoihin. Staattisen sisällön varaan luoduissa järjestelmissä tämä tulee olemaan iso haaste, ja se voi merkittävästi rajoittaa henkilöstöhallinnon prosesseja.

Pääsyä tietoihin ei voi avata kenellekään, mikäli tiedot sisältävät hitusenkin sellaista informaatiota, jota ei oikeasti tarvita kyseissä tietopyynnössä. Esimerkiksi työntekijän kotiosoitetta ei tule avata IT-tiimille tai ERP-integraatioille, mikäli IT tai ERP ei oikeasti tarvitse kyseistä tietoa. Toisen henkilön tietoja ei myöskään voida luovuttaa yhdellekään käyttäjälle ilman vahvoja perusteita.

Näitä rajoituksia on vaikea toteuttaa monissa järjestelmissä, vaikka rajoitukset oikeasti ovat hyvin järkeviä. Valitettavasti vanhentunut teknologia ei enää ole riittävä peruste tehdä asioita väärin.

Helpoin ratkaisu on rajoittaa henkilöstöhallinnon työtä, mutta siinä taas ei ole mitään järkeä.

Miten HR:n tulisi valmistautua vuoteen 2018?

Tietosuoja-asetus astuu voimaan tätä kirjoitettaessa noin vuoden kuluttua, eli aikaa vielä on.

Tällä hetkellä tiedetään asetuksen sanamuodot, ja viranomaiset ovat toimittaneet periaatteelliset ohjeet ja suuntaviivat. Yksityiskohdat kuitenkin ovat vielä auki. Uusia ohjeita julkaistaan jatkuvasti ja ensi vuoden aikana tehdään ennakkopäätöksiä.

GDPR on siis maraton. Projekti asetuksen vaatimusten tukemineksi kannattaa aloittaa välittömästi ja seuraavan 12 kuukauden aikana projektista tulee muokata osaksi jatkuvaa prosessia.

Koostamastamme HR:n GDPR-muistilistasta löydät kätevästi perusasiat, jotka tulee ottaa huomioon. Kun laitat perusasiat ensin kuntoon, sinulla on hyvä pohja jatkuvalle kehitykselle ja vaatimusten tukemiselle. Sen jälkeen voit paremmin keskittyä tärkeämpiin HR-asioihin, kuten osaamisen kehittämiseen.

Pelkkä vaatimusten tukeminen ei HR:n osalta vielä riitä, mutta se luo hyvän perustan. Kertauksena: GDPR-asetuksen vaatimusten tukeminen tarkoittaa, että henkilötiedot ovat ajan tasalla ja saatavilla henkilöille, jotka tarvitsevat niitä. Ja juuri tästä syystä arvostan suuresti GDPR-asetusta.