GDPR:n voimaantulosta 2 vuotta: palkkapalvelun keskiössä tietojen luottamuksellinen ja lainmukainen käsittely

EU:n yleinen tietosuoja-asetus astui voimaan keväällä 2018. Asetuksen tavoitteena on ollut parantaa henkilötietojen suojaa ja vahvistaa säännöt henkilöiden suojelulle henkilötietojen käsittelyssä ja määritellä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Henkilötietojen käsittelyyn kohdistuvia toimia asetuksessa ohjaa tietosuojaperiaatteet aina tietojen keräämisestä niiden käsittelyyn ja lopulta tietojen poistamiseen asti.

Liiketoimintamme keskiössä on asiakkaidemme henkilötietojen, usein sensitiivistenkin palkanmaksuun vaikuttavien tietojen, luottamuksellinen ja lainmukainen käsittely. Ulkoistuspalveluasiakkaidemme tietojen käsittelijänä me Aditrolla olemme tehneet töitä voidaksemme auttaa asiakkaitamme rekisterinpitäjinä täyttämään yleisen tietosuoja-asetuksen vaatimukset. Näistä viimeisin – GDPR phase 2 -projekti – saatiin päätökseen huhtikuussa 2020.

GDPR-projektit pureutuivat tietojen asianmukaiseen ja turvalliseen säilyttämiseen, tietojen lainmukaisten säilytys- ja poistoaikojen määrittelyyn eri sovelluksissa ja järjestelmissä sekä yhtenäisten toimintatapojen luomiseen koko ulkoistuspalveluiden henkilöstölle. Tämän myötä esimerkiksi ulkoistuspalveluasiakkaidemme Asiakashakemistot yhdenmukaistettiin niin, että hakemiston kansioilla on lain ja käyttötarkoituksen mukaiset säilytysajat. Myös Aditro Pointin aineiston, asiakassivujen vanhojen palvelupyyntöjen ja ulkoistuspalveluiden yhteissähköpostilaatikoiden viestien säilytys- ja poistoajat ovat olleet projektissa muutosten kohteina. Pyrkimyksenä on ollut kehittää tietojen poistotoiminnallisuuksiin automatisoituja ratkaisuja, jotta inhimillisen virheen riski tiedon vääränaikaiseen poistamiseen olisi minimaalinen.

Viime talvena ulkoistuspalveluidemme GDPR-kehitystoimien valmiusastetta tarkasteltiin Aditron sisäisessä auditoinnissa.  Auditointi antoi hyvät suuntaviivat kohti ulkoisia GDPR-auditointeja.

Vaikka GDPR-projektit päättyivät, työ edelleen jatkuu. On tärkeää, että tietosuoja-asetuksen tavoitteet ja periaatteet nivoutuu saumattomasti osaksi jokapäiväistä palkka- ja HR-asiantuntijoidemme työ- ja toimintatapoja. Tämän vuoksi koulutamme ja kertaamme keskeisiä tietoturva- ja tietosuoja-asioita säännöllisesti henkilökuntamme kanssa, ja seuraamme aktiivisesti alan kehityssuuntia.    

LATAA MAKSUTON GDPR -OPAS: ”YLEINEN TIETOSUOJA-ASETUS HENKILÖSTÖ- JA PALKKAHALLINNOSSA”