EU:n yleisen tietosuoja-asetusta sovelletaan toukokuusta 2018. Nykyinen henkilötietolaki kumotaan, mutta ainakin tämän hetkisen tiedon mukaan työelämän tietosuojalaki jää voimaan. Työnantaja saa siis jatkossakin käsitellä työsuhteen kannalta tarpeellisia henkilötietoja, mutta sen ohella on noudatettava tietosuoja-asetuksen vaatimuksia.

Työnantajille kertyy henkilötietoja työntekijöistä mm. rekrytoinnin, työsopimuksen solmimisen ja kehityskeskustelujen yhteydessä. Lisäksi henkilötietoja tallentuu HR-järjestelmien ohella esimiesten, palkkahallinnon, työterveyden ja IT-tuen haltuun.

Mitä tietoja työntekijöistä voi kerätä?

Työnantaja saa käsitellä työntekijöistä vain työsuhteen kannalta tarpeellisia tietoja, ja tiedot on ensisijaisesti kerättävä työntekijältä itseltään. Jos tietoja kerätään muistakin lähteistä, on työntekijältä lähtökohtaisesti pyydettävä suostumus. Lisäksi työelämän tietosuojalaissa säännellään esimerkiksi työntekijän terveystietojen käsittelystä, teknisestä valvonnasta ja työsähköpostiviestinnän suojasta.

Mikä muuttuu tietosuoja-asetuksen myötä?

Tietosuoja-asetuksesta huolimatta työnantaja saa käsitellä työsuhteen kannalta tarvittavia henkilötietoja. Käsittelyperuste pitää kuitenkin määritellä ja kirjata aiempaa selkeämmin. Uusi sääntely lisää myös hallinnollisia velvoitteita. Lisäksi sääntelyn valvonta ja sanktiot tiukentuvat.

Esimerkkejä asetuksen tuomista muutoksista:

• Lisävelvoitteita informoida työntekijöitä henkilötietojen käsittelystä
• Tiedoille määriteltävä käsittelyperuste ja säilytysajat tai- säilytyskriteerit
• Työntekijöiden henkilötietoihin liittyvät oikeudet vahventuvat
• Henkilötietojen käsittelyn ulkoistamisesta on laadittava kirjallinen sopimus palveluntarjoajan kanssa. Tietosuoja-asetuksessa myös määritellään tiettyjä kriteereitä sopimuksen sisällölle.
• Työpaikan tekninen valvonta voi jatkossa edellyttää asetuksen mukaisen riskiarvion tekemistä.
• Viranomaisia varten laadittava käsittelyseloste.

Tietosuoja-asetuksella voi olla myös laajempia vaikutuksia henkilöstöhallinnon prosesseihin. Työnantajan on noudatettava kaikessa työntekijöiden henkilötietojen käsittelyssä korkeatasoista tietosuojan ja tietoturvan tasoa sekä oletusarvoisen ja sisäänrakennetun tietosuojan periaatteiden noudattamista. Erityistä huomiota on kiinnitettävä mahdollisiin riskitekijöihin. Sääntelyn noudattaminen on myös pystyttävä osoittamaan, joten jatkossa on aiempaa tärkeämpää ylläpitää riittävää tietosuojadokumentaatiota.

Miten valmistautua tietosuoja-asetukseen?

Asetukseen valmistautumisen voi aloittaa tekemällä tietosuojatestin ja tietosuojainventaarion, jolla kartoitetaan tietojen käsittelyä koskevat nykykäytännöt ja prosessit. Tämän jälkeen on helpompi aloittaa uuden sääntelyn edellyttämien muutoksien toteuttaminen.

• Kartoita, mitä tietoja työntekijöistä ja-hakijoista kerätään, millä perusteella ja mihin tietoja luovutetaan.
• Määritä, kuinka pitkään ja millä perusteella tietoja on tarpeen säilyttää.
• Listaa, mille tahoille työntekijöiden tietoja luovutetaan.
• Päivitä asetuksen edellyttämä dokumentaatio. Esimerkiksi nykysääntelyn mukainen HR-rekisteriseloste vaatii päivityksiä. Selvitä, onko tarvetta laatia erillistä käsittelyselostetta.
• Päivitä sopimukset, joiden nojalla henkilötietoja siirretään ulkopuolisille tahoille.
• Huolehdi riittävästä tietoturvasta ja varmista käsittelyn turvallisuus. Rajoita mm. HR-järjestelmien pääsyoikeuksia ja varaudu tietoturvaloukkauksiin.
• Selvitä, onko tarvetta erityiselle tietosuojaa koskevalla vaikutusarvioinnille.
• Selvitä, onko tarvetta nimittää tietosuojavastaava.
• Huolehdi sisäisten ohjeistusten päivittämisestä ja henkilökunnan riittävästä koulutuksesta.

Lisätiedot: 

Ville Kukkonen, Associate, puh: +358 40 745 6784, [email protected]