10 asiaa, jotka HR-tiimin täytyy tietää henkilötietojen käsittelystä
Henkilötietojen tallentaminen ja käsittely ovat osa HR-tiimin ja organisaation esihenkilöiden päivittäistä työtä. Aivan kuten yritys huolehtii asiakastietojen tietosuojasta, myös yrityksen omista työntekijöistä tallennetaan henkilötietoja, jotka kuuluvat tietosuojalainsäädännön piiriin. Tässä artikkelissa käymme läpi 10 kysymystä ja vastausta, joihin HR-tiimin kannattaa kiinnittää huomiota henkilötietoja käsiteltäessä.
Tärkeä henkilötietojen käsittelyä säätelevä laki on EU:n yleinen tietosuoja-asetus GDPR (General Data Protection Regulation), jota alettiin soveltaa kaikissa EU-maissa keväällä 2018. Tietosuoja-asetus antaa suojan yrityksen työntekijöiden henkilötiedoille ja antaa enemmän keinoja hallita tietojen käsittelyä. Asetuksen mukaisesti yritys tai organisaatio on määritelmällisesti rekisterinpitäjä ja henkilötietojen tallentaja.
1. Millaisia henkilötietoja työntekijöistä on tarpeen tallentaa ja käsitellä?
HR-tiimin näkökulmasta henkilötietojen tallentaminen kattaa työntekijöiden perustiedot, kuten nimen, osoitteen, syntymäajan, yhteystiedot ja henkilötunnuksen. Lisäksi voidaan tallentaa tietoja työhistoriasta, palkasta, työsuhteeseen liittyvistä tiedoista ja tarvittaessa terveystiedoista.
2. Millä perusteella yrityksellä on oikeus kerätä ja käsitellä näitä henkilötietoja?
Työntekijän henkilötietojen käsittely perustuu usein työsopimuksen täytäntöönpanoon tai lakisääteiseen velvoitteeseen, esimerkiksi siihen, että yrityksen täytyy toimittaa työntekijän palkkatiedot viranomaiselle. Erillinen työntekijän antama suostumus voi olla tarpeen joissakin tapauksissa, kuten arkaluonteisten tietojen käsittelyssä tai työntekijöiden terveystietojen osalta.
3. Miten varmistetaan, että kerätyt henkilötiedot ovat oikeellisia ja ajantasaisia?
Tietojen oikeellisuus ja ajantasaisuus ovat ensiarvoisen tärkeitä. Työntekijän on annettava tarkat tiedot ja yrityksen on tarjottava mahdollisuus niiden päivitykseen aina tarvittaessa. Säännölliset tarkastukset ja päivitykset sekä järjestelmällinen tiedonhallinta auttavat varmistamaan tiedon oikeellisuuden.
4. Millaisia asioita täytyy ottaa huomioon henkilötietojen suojaamisessa ja väärinkäytön ehkäisemisessä?
Lähtökohtaisesti henkilötietoja saa organisaation sisällä nähdä ja käsitellä vain ne henkilöt, joilla on siihen tarvittava oikeus ja tarpeellinen peruste. Jotta väärinkäyttö voidaan ehkäistä, käyttöoikeuksien rajaamisen lisäksi on syytä käyttää teknisiä ja organisatorisia toimenpiteitä, kuten keskitettyä käyttäjätunnusten hallintaa, sekä koulutusta henkilötietojen turvalliseen käsittelyyn.
5. Kuinka kauan henkilötietoja pitää säilyttää?
Säilytysajat voivat vaihdella eri henkilötietojen osalta. Perusperiaate on, että tietoja säilytetään vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. Tavallisesti työntekijöiden henkilötietoja säilytetään työsuhteen ajan ja tarvittavat tiedot vielä sen päättymisen jälkeen voimassaolevien lakisääteisten velvoitteiden täyttämiseksi. Onkin tärkeää tarkistaa tapauskohtaisesti lainsäädännöstä tai ammattijärjestöjen suosituksista ajantasaiset säilytysajat eri tietotyypeille.
6. Mitä oikeuksia rekisteröidyillä henkilöillä on henkilötietojen korjaamisen ja poistamisen suhteen?
Rekisteröidyllä henkilöllä on oikeus saada pääsy organisaation hänestä tallennettuihin henkilötietoihin, korjata virheelliset tiedot, pyytää tietojen poistamista tai rajoittaa niiden käsittelyä. Yrityksen on syytä huolehtia prosesseista, joiden avulla voidaan toteuttaa nämä oikeudet, ja vastata rekisteröityjen pyyntöihin asianmukaisessa aikataulussa.
7. Kuka johtaa henkilötietojen valvontaa kun yrityksellä on työntekijöitä useassa EU-maassa?
Johtava valvontaviranomainen johtaa henkilötietojen käsittelyn valvontaa mikäli yrityksellä on työntekijöitä useammassa EU-maassa. Tällöin noudatetaan ns. yhden luukun periaatetta, eli yrityksen tarvitsee asioida vain yhden valvontaviranomaisen kanssa, joka puolestaan tekee yhteistyötä muiden valvontaviranomaisten kanssa. Jos esimerkiksi yrityksen päätoimipaikka on Suomessa, johtava valvontaviranomainen on Suomen tietosuojavaltuutettu.
8. Miten mahdollisia tietoturvaloukkauksia tai tietomurtoja pitäisi käsitellä?
Yrityksen on hyvä luoda etukäteen valmiussuunnitelma tietoturvaloukkausten varalle. Jos yritys tai sen työntekijä havaitsee tai epäilee tietomurtoa tai tietoturvaloukkausta, pitää toimia välittömästi tietoturvaloukkauksen estämiseksi, selvittämiseksi ja asianmukaisen ilmoituksen tekemiseksi asianomaisille tahoille sekä tarvittaessa valvontaviranomaiselle.
9. Tarvitaanko henkilötietojen käsittelyyn suostumusta, kun kyseessä on esimerkiksi työntekijän terveystiedot tai muut arkaluonteiset tiedot?
Terveystietojen ja muiden arkaluonteisten tietojen käsittelyyn tarvitaan henkilön suostumus. Lisäksi tietojen käsittely voidaan perustella työntekijöiden terveydenhuoltoa, työkyvyn seurantaa tai lakisääteisiä velvoitteita varten.
10. Mitä henkilötiedoille pitää tehdä esimerkiksi työsuhteen päättyessä?
Työsuhteen päättyessä, vastuulliset henkilöt yrityksessä huolehtivat henkilötietojen asianmukaisesta poistamisesta tai arkistoinnista. Tämä sisältää esimerkiksi tarpeettomien tietojen tuhoamisen tai anonymisoinnin sekä rekisteröityjen oikeuksien huomioon ottamisen tietojen säilyttämisen suhteen. Moni yritys on määritellyt selkeät tehtävälistat menettelytavoista henkilön poistuessa yrityksen palveluksesta.
Vaikka sovellettava lainsäädäntö muodostaa yrityksen henkilötietojen tallentamisen ja käsittelyn peruspilarit, on tärkeää luoda yritykselle selkeitä toimintaprosesseja ja tehtävälistoja, joilla varmistetaan, että henkilötietojen käsittely tapahtuu oikein, ja jotta mahdollisiin ongelmatapauksiin pystytään reagoimaan nopeasti.
Miten HR-tiimit voivat hyödyntää Zefortia täyttääkseen tietosuojalainsäädännön vaatimukset?
Zefortia käytetään yrityksissä laajasti eri osastoilla, kuten yrityksen johdossa, hankintatiimeissä, lakiosastoilla ja henkilöstöhallinnossa. Järjestelmänä Zefort täyttää GDPR:n vaatimukset mm. sillä, että Zefortiin tallennetut tiedot ja dokumentit säilytetään EU:n alueella. Zefortilla on myös ISO 27001 -sertifikaatti, johon täyttää tiukat vaatimukset mm. tietoturvan jatkuvan ylläpitämisen osalta.
HR:n tarpeisiin Zefort soveltuu erinomaisesti niin rekrytoinnissa, uusien työntekijöiden onboardingissa kuin offboardingissakin. Zefort Formsin avulla HR-tiimit voivat kerätä ja ylläpitää henkilötietoja sekä tallentaa työsopimukset liitteineen suoraan Zefortiin työsuhteen eri vaiheissa.
Zefortin avulla tietoja ei tarvitse kerätä erikseen sähköposteilla, paperilla tai tekstiviesteillä, vaan tiedot tallentuvat mutkitta Zefortin tietoturvalliseen järjestelmään. Mikä parasta, työsopimusten allekirjoitus hoituu kätevästi osana prosessia.
Tietosuojaan liittyen Zefortissa voi rajata käyttö- ja lukuoikeudet vain niille organisaation henkilöille, joilla on tarve päästä käsittelemään kyseisiä henkilötietoja. Zefortin Audit Log -työkalu tarjoaa todennettavan näkyvyyden siihen, kuka on tarkastellut tai muokannut työntekijöiden tietoja.
Zefortin myötä HR-tiimillä ja esihenkilöillä säilyy kontrolli työntekijöiden tietoihin ja niiden turvalliseen käsittelyyn koko työsuhteen ajan.
