”Kenelläs ne pääkäyttäjän oikeudet tähän järjestelmään olivatkaan? Ai, Matilla, Mattihan jäi eläkkeelle kolme vuotta sitten…” ”Annin avaimet ovat kadonneet, mihinköhän kaikkialle niillä avaimilla oli pääsy?” ”Äh, se Vellamon uusi tilinumero jäi post-it -lapulla kahvihuoneen pöydälle!”
Nämä skenaariot saattavat kuulostavaa pieniltä inhimillisiltä virheiltä, mutta ovat todellisuudessa esimerkkejä henkilöstötietojen hallintaan liittyvien riskien toteutumisesta.
Tiedolla johtamisen aikakautena riskien kartoittamisesta, ennakkoinnista, hallinnasta ja minimoinnista puhutaan yhä enemmän. HR:n ja palkkahallinnon näkökulmastakin riskejä on useita erilaisia; on puhtaasti henkilöstöön ja työsuhteisiin liittyviä riskejä, kuten resursoinnin haasteita, sairastumisia, virheitä ja osaamisen vanhentumista. Oma, laaja kokonaisuutensa ovat tietojen hallintaan liittyvät riskit.
Erityisesti vuonna 2018 voimaan astuneen EU:n tietosuoja-asetuksen, GDPR:n, myötä myös HR:n ja palkkahallinnon näkökulmasta on noussut entistä merkittävämpään roolin se, miten henkilötietoja käsitellään. GDPR:n lisäksi henkilötietojen käsittelyä säätelevät laki yksityisyyden suojasta työelämässä, sekä kansallinen tietosuojalaki.
Tietoa kertyy väistämättä paljon
Työsuhteen elinkaaren aikana yritykselle kertyy huomattavan paljon tietoja työntekijöistään. Tietoja käsittelee yleensä useampi taho; esihenkilöiden lisäksi HR ja palkkahallinto. Jos yrityksen käytännöt tietojen käsittelystä eivät ole kunnossa, saattavat yksittäisen henkilön tiedot päätyä vääriin käsiin ja niidenkin käsittelijöiden silmien alle, kenelle ne eivät kuulu.
Huomioitavia asioita on paljon. Tarkista alla olevasta listasta, löydätkö oman yrityksesi osalta kehitettävää:
- Tiedetäänkö, kenellä kuuluu olla oikeuksia järjestelmiin? Onko jokaisella vain tarvittavat oikeudet? Miten huolehditaan oikeuksien poisto työsuhteen päättyessä?
- Ovatko tietoturva-asiat kunnossa? Tunnistetaanko tietojenkalasteluviestit?
- Säilytetäänkö ja käsitelläänkö mahdollisia fyysisiä dokumentteja niin, että niihin pääsevät käsiksi vain oikeat henkilöt? Huolehditaanko tietojen tuhoamisesta asetusten, lakien ja säädösten mukaisesti?
- Ovatko sopimustekniset asiat kunnossa? Tiedetäänkö, miten kumppanit käsittelevät tietoja?
Takaisin kartalle – ota ensiaskel henkilöstön tietoihin liittyvien riskien hallintaan
Ensiaskel henkilöstötietoihin liittyvien riskien hallinnassa on sen ymmärtäminen, mitkä kaikki tiedot ovat henkilötietoja, ja mitkä niistä ovat mahdollisesti arkaluontoisia. Toimivat järjestelmät ja käytännöt taas omalta osaltaan tukevat tiedon säilyttämistä, jakamista oikeille tahoille, sekä aikanaan myös poistamista.
Rantalainen ja HR Legal Services Oy järjestävät yhdessä ilmaisen webinaarin, jossa käydään läpi tärkeimmät asiat henkilöstötietoihin liittyvistä riskeistä ja niiden hallinnasta – tule mukaan kuulemaan lisää aiheesta!
Ilmoittaudu webinaariin
