Blogi

GDPR – pitääkö palkkahallinnossa olla huolissaan?

Blogi | 20.6.2018

EU:n tietosuoja-asetus GDPR, jonka siirtymäaika päättyi 25.5.2018,  sai valtavan huomion sosiaalisessa mediassa ja tuota päivää odotettiin pelolla. Suurimmalle osalle palkkahallinnon alalla työskentelevistä kyseinen päivä taisi kuitenkin olla ihan tavallinen perjantai, jolloin tulevasta viikonlopusta toivottiin aurinkoista ja helteistä. Kuinka mullistavaksi tuo päivä lopulta muodostui, ja kuinka isoiksi ja laajoiksi etukäteen kohutut sanktiot ja seuraamukset tämän asetuksen vastaisesta toiminnasta muodostuvat, on nähtävillä vasta kuukausien ja vuosien kuluessa.

Lyhenne GDPR on näkynyt kuluneina viikkoina lisääntyneinä sähköpostiviesteinä ja tietokoneella vietettynä vapaa-aikana. Markkinoijat, sosiaaliset mediat ja yhdistykset virittelevät tietosuojiaan tulevan varalle. Palkka-asiantuntijana ja aktiivisena yhdistystoimijana en ole, varoituksista ja uhkakuvista huolimatta, menettänyt minuuttiakaan yöunta GDPR:n vuoksi. Suomessa luottamuksellisten tietojen käsittelyyn on aina suhtauduttu vakavasti ja niitä on suojattu kattavalla lainsäädännöllä. EU:n tietosuoja-asetus on oiva mahdollisuus pohtia, kuvata ja kehittää tietojen käsittelyprosessia ja varmistaa oman toiminnan ajantasaisuus. Esimerkiksi tilitoimistoissa on nyt hyvä hetki päivittää ja saattaa kirjalliseen muotoon vanhoja, pitkiä sopimuksia ja samalla selventää vastuita asiakkaan ja tilitoimiston välillä. Palkka-asioiden digitalisointi jo tässä vaiheessa on pois tulorekisterin mukanaan tuomasta työmäärästä.

Tietosuoja-asetuksen pykäläntarkkaa osaamista tärkeämpää on osoittaa, että sen sisältöön on tutustuttu ja sen edellyttämät toimet on tehty tai tullaan pian tekemään. Prosessin aluksi on tunnistettava ja dokumentoitava henkilötietojen käsittelyprosessi ja sen toimijat. Rekisterinpitäjällä ja henkilötietojen käsittelijällä on omat vastuunsa ja näistä on hyvä sopia kirjallisesti. Työnantajan ja tilitoimiston lisäksi käsittelijöinä voi olla esimerkiksi alihankkija, ohjelmistotalo tai IT-palveluntarjoaja.

Prosessikuvaus helpottaa selosteiden, sopimusten ja ilmoitusvelvollisuuksien viidakosta selviytymistä ja toimii tarkistuslistana GDPR-valmiutta mitatessa. Yksinkertainen tapa prosessikuvauksen tekemiseen on määrittää aineistokohtaisesti esimerkiksi toimitustapa, käsittelytapa (esimerkiksi käsittelijät ja ohjelmat), säilytystapa ja -aika ja hävitystapa. Tietosuoja-asetuksen velvoitteiden noudattaminen on jatkossa osa normaalia työtä ja niiden ajantasaistaminen tulee tapahtua määräajoin, mutta hyvin tehdyn pohjatyön ansiosta jatkosta huolehtiminen sujuu helpommin. GDPR tulee varmasti teettämään lisätöitä palkkahallinnon parissa työskenteleville, mutta se on samalla mahdollisuus uudistaa ja kehittää toimintamalleja. Otathan sinäkin kaiken hyödyn irti tästä mahdollisuudesta?

Annika Jokinen
Sovellusasiantuntija
Heeros Oyj

Kommentoi