Miksi GDPR on HR:n(kin) ystävä?

Toukokuu ja uusi Euroopan tietosuoja-asetus, GDPR (General Data Protection Regulation) lähestyvät uhkaavasti. Tietosuoja-asetukseen liittyvää tietoa, pelotteluita ja kirjoituksia pursuaa joka kanavalta. Mutta mistä tässä kaikessa on pelkistettynä kyse, mitkä ovat henkilöstöhallinnon vähittäisvaatimukset GDPR-valmiuden saavuttamiselle ja miten asetus muokkaa tulevaisuuden HR:n roolia?

GDPR on lopulta hyvin yksinkertainen tietosuoja-asetus: pidetään henkilötiedot ajan tasalla ja saatavilla henkilöille, jotka tarvitsevat niitä. Piilotetaan tiedot muilta. Selvää kuin pläkki.

Jokaisella EU-kansalaisella ja vakituisella asukkaalla on asetuksen myötä selkeät ja kohtuulliset oikeudet. Meillä on oikeus päästä käsiksi omiin tietoihimme, oikeus korjata niitä, oikeus saada ne omaan käyttöömme ja oikeus poistaa tiedot. Edelleen hyvin suoraviivaista ja asiallista.

Mitä tämä sitten käytännössä tarkoittaa henkilöstöhallinnon ammattilaisille, ja kuinka tuleva asetus muuttaa HR:n roolia?

Mitä henkilöstöhallinnolta vaaditaan GDPR-asetuksen vaatimusten täyttämiseen?

Kun haluat varmistaa, että organisaatiosi on valmis tukemaan GDPR-tietosuoja-asetuksen vaatimuksia, paras tapa aloittaa on pyrkiä vastaamaan seuraaviin kysymyksiin:

• Pystymmekö pyydettäessä toimittamaan henkilön kaikki tiedot kohtuullisessa ajassa?
• Pystymmekö pyydettäessä poistamaan tarvittavat tiedot?
• Tiedämmekö mitkä tiedot meidän pitää lain mukaan säilyttää ja mitä voidaan poistaa?
• Pystymmekö pyydettäessä lähettämään henkilölle kaikki hänen tietonsa helposti luettavassa muodossa?
• Pystymmekö osoittamaan kaikille mitä tietoja, kenen toimesta ja mihin tarkoitukseen heidän tietojansa käsittelemme?

Mutta olemmeko yrityksinä valmiita asetukseen? Useat organisaatiot käyttävät palkanlaskentaa pääasiallisena henkilötietojen tallennusjärjestelmänä ja tukevat palkanlaskentaa tarpeen mukaan Excel- ja Word-asiakirjoilla. Osaa tiedoista hallitaan kenties myös ERP-järjestelmissä tai muissa vastaavissa IT-järjestelmissä.

Jotta tietosuoja-asetuksen vaatimukset täyttyvät HR:n osalta, järjestelmiltä ja prosesseilta vaaditaan liitettävyyttä muihin järjestelmiin, muokattavia rajapintoja ja joustavia käyttöoikeuksia. Jotta nämä vaatimukset täyttyisivät, tarvitsemme järjestelmiä, jotka pystyvät käsittelemään kaiken sisällön ilman Exceliäkin. Ja kaikkien tietojen on oltava saatavilla muille järjestelmille rajapintojen tai muiden yhteyksien kautta ilman sähköpostiakin.

GDPR:n mahdollisuudet tulevaisuuden HR:lle

Vaikka suosittelemmekin, että tietosuoja-asetukseen suhtaudutaan enemmänkin mahdollisuutena kuin uhkana, pelkkä vaatimusten tukeminen ei HR:n osalta vielä riitä. HR:n on valmistauduttava huolellisesti myös tiedottamalla johtoa, esimiehiä ja työntekijöitä muutoksista, ja HR:n vastuulle jää usein varmistaa henkilöstötietoja käsittelevien järjestelmien vaatimustenmukaisuus asetuksen kanssa.

Paitsi että GDPR-asetuksen noudattaminen suojaa yritystäsi huonolta julkisuudelta ja mahdollisilta sakoilta, asetusta voi myös hyödyntää ponnahduslautana periaatteellisemmille keskusteluille. On tärkeää tehdä yrityksen yksityisyydensuojaa ja henkilötietojen käsittelyä koskevat käytännöt läpinäkyväksi, eli käytännössä kysyä mitä tietoja säilytämme sekä kenellä on pääsy kyseisiin tietoihin ja miksi. Näiden liiketoimintaan suurestikin vaikuttavien asioiden esiin nostaminen on oiva esimerkki HR:n strategisesta roolista, joka korostuu GDPR:n kaltaisten asetusten äärellä.

Pelkkä vaatimusten tukeminen ei HR:n osalta vielä siis riitä, mutta se luo hyvän perustan. Kertauksena: GDPR-asetuksen vaatimusten tukeminen tarkoittaa, että henkilötiedot ovat ajan tasalla ja saatavilla henkilöille, jotka tarvitsevat niitä. Ja juuri tästä syystä arvostan suuresti GDPR-asetusta.