Uuden tietosuoja-asetuksen (GDPR) huomioiminen Valtissa

15.2.2018

EU:n uuden tietosuoja-asetuksen (GDPR) siirtymäaika päättyy 25.5.2018 ja sen tarkoitus on yhtenäistää EU-maiden tietosuojakäytäntöjä. Uuden tietosuoja-asetuksen myötä henkilörekisterin pitäjillä ja henkilötietoja käsittelevillä toimijoilla on oltava tieto ja vastuu siitä, missä paikassa henkilötietoja käsitellään ja säilytetään. Rekisterin pitäjällä tulee olla myös asianmukaiset menetelmät sekä tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.

EU-kansalaisilla on uuden asetuksen myötä oikeus saada tietää, mitä tietoja heistä on yritysten rekistereissä ja kenellä on oikeus käsitellä tietoja. Henkilörekistereissä olevilla on myös oikeus muokata omia tietojaan tai pyytää niitä kokonaan poistettaviksi.

Varsinkin kaltaisiemme henkilöstöalan yritysten tulee olla tarkkana siitä, mitä kaikkea tulee huomioida uuden asetuksen myötä. Asetustahan koskee kaikkia yrityksiä toimialasta riippumatta, mutta luonnollisesti henkilöstöpalveluja tarjoavilla yrityksillä on paljon sellaista tietoa ihmisistä, joiden tulee olla asetuksen mukaisesti tallessa ja toisaalta myös saatavilla.

Tällä hetkellä olemme Valtissa melkein valmiita GDPR:n voimaan astumiseen. Valtti käyttää toiminnanohjausjärjestelmänään Tehoste-ohjelmistoa, jonka puitteissa tietoturva-asiat on huomioitu erittäin hyvin. Järjestelmään jää aina jälki, kun jonkun henkilön tiedot avataan, ja avaaja pystytään helposti jäljittämään. Pystymme osoittamaan, että henkilötietoihin ei pääse käsiksi asiattomat henkilöt. Lisäksi otamme käyttöömme Helmi Pro -varmistuspalvelun, johon tallennamme kaiken tiedon, jota Tehosteeseen ei syötetä. Meillä pidetään huoli siitä, että jos tietokoneemme joutuvat vääriin käsiin, ei ulkopuolisella ole mahdollisuutta päästä kirjautumaan koneillemme tai Tehoste-järjestelmään. Emme koskaan tallenna käyttäjätunnuksia tai salasanoja valmiiksi, vaan kirjoitamme ne aina uudelleen kirjautuessamme.

Tietosuoja-asetuksen täyttämiseksi ei riitä pelkkä väittämä, että noudattaa lakia. Rekisterinpitäjällä tai henkilötietojen käsittelijällä on niin sanottu osoitusvelvollisuus, eli näiden on pystyttävä selkeästi todistamaan, että sääntöjä noudatetaan. Selkeästi kuvatut ja dokumentoidut prosessit henkilötietojen käsittelystä auttavat tässä. Dokumentoinnista yksinkertaisena esimerkkinä voidaan mainita kirjattuna käytäntö, miten yrityksessä toimitaan, kun työntekijä toimittaa todistuksen sairauspoissaolostaan.

Valtissa on siis selkeä ympäristö, jossa henkilötietoja säilytämme ja missä ne myös pysyvät turvassa. Kaikkine detaljeineen GDPR tuntuu välillä hieman yliampuvalta, mutta toisaalta jatkuvasti enenevästi digitalisoituvassa maailmassa on varmasti aiheellista velvoittaa yrityksiä pitämään huoli siitä, että henkilötiedot tulee tallennettua asianmukaisesti ja että niistä saa tarvittaessa nopeastikin lisätietoa sekä ne toisaalta pidetään asetuksen mukaisesti salattuina. Itse toimitusjohtajana vastaan siitä, että yrityksessämme noudatetaan tietosuoja-asetusta parhaalla mahdollisella tavalla. Tämän myötä toiminkin siis Valtin tietoturvavastaavana.

Lisätietoa aiheesta: Oikeusministeriön selvitys 4/2017 OM 42017

 

Raikkaita talvipäiviä kaikille!

 

  • Laura