EU:n tietosuoja-asetus eli GDPR (General Data Protection Regulation) tulee voimaan 25.5.2018. Uuden asetuksen voimaantulon myötä organisaatiot ovat velvoitettuja tekemään muutoksia henkilötietoihin liittyvän datan käsittelyyn. Asetuksen myötä organisaatiot ovat velvoitettuja todistamaan ja dokumentoimaan, miten henkilötietoja on käsitelty yrityksessä. Tämä tuo muutoksia työkykyjohtamiseen ja vaikuttaa myös henkilöstöhallinnossa oikeanlaisten prosessien käyttöönottoon työkykyjohtamiseen liittyen.
Aino valmistautuu aktiivisesti uuteen tietosuoja-asetukseen muun muassa kehittämällä järjestelmäprosesseja GDPR-yhteensopiviksi. Vaikka GDPR tuo paljon muutoksia, näemme uuden tietosuoja-asetuksen Ainolla myös positiivisena mahdollisuutena kehittää yksilön tietosuojaa työkykyjohtamisen osalta. Asiakkaillemme tarjottavat palvelut tulevat olemaan GDPR-yhteensopivia.
Aino Health valmistautuu GDPR:ään
Laki tuo uusia velvoitteita Ainon työkykyjohtamisen järjestelmän HealthManagerin osalta Ainolle datan käsittelijänä sekä Ainon asiakkaille rekisterinpitäjänä. Nämä ”jaetut” GDPR-velvoitteet vaativat käytännön toimia henkilötietojen käsittelyn suhteen molemmilta osapuolilta.
Listasimme alle yleiset merkittävät muutokset, mitkä tulevat vaikuttavat työkykyjohtamisen prosesseihin sekä datan käsittelyyn jatkossa. Merkittävimmät muutokset työkykyjohtamisen sekä Ainon HealthManager -järjestelmän osalta liittyvät seuraaviin seikkoihin:
1. Aktiivinen suostumus
Työntekijältä pitää pyytää aktiivinen suostumus henkilötietojen käsittelyyn ja henkilöä koskevien tietojen luovuttamiseen eteenpäin. Lisäksi suostumusta pitää pystyä tarvittaessa muuttamaan. Nykyisessä HealthManagerin versiossa toteutamme muutospyynnöt tuen kautta. Uudessa HealthManager -versiossa tämä ominaisuus on sisäänrakennettuna.
2. Tietojen käsittelyn (ja prosessin) läpinäkyvyys työntekijälle
Henkilöllä pitää olla mahdollisuus henkilötietojen prosessoinnin estämiseen ja oikeuteen tulla unohdetuksi (the right to be forgotten). Aino HealthManagerissa säilytetään työkykyjohtamisen kannalta oleelliset tiedot vähintään työntekijän työsuhteen keston ajan.
3. Tietojen suojaus, salaus ja säilyvyys
Työntekijän täytyy saada halutessaan kopio häntä koskevasta tiedosta määrätyssä ajassa. Sähköisen järjestelmän myötä tietojen kerääminen ja siirtäminen sähköisessä muodossa on vaivatonta.
Lisäksi on tarjottava läpinäkyvyys henkilötietoihin. Nykyisessä HealthManagerin versiossa toteutamme tietopyynnöt tuen kautta. Uudessa HealthManagerissa työntekijä voi itse saada kopion tiedoistaan järjestelmässä olevan työntekijän itsepalvelun kautta (employee self-service).
4. Varhaisen tuen prosessi
Varhaisen tuen prosessissa ei tulisi käsitellä arkaluonteisia tietoja, esimerkiksi terveystietoja. Ainon HealthManagerissa pyritään ohjeistuksin ja lomaketekniikan avulla pienentämään riskiä sille, että varhaisessa tuessa kirjattaisiin arkaluonteisia tietoja.
5. Työkykyjohtamisen prosessien sähköistäminen
Nyt jos koskaan on hyvä aika muuttaa työkykyjohtamisen manuaaliset (paperiset) prosessit sähköiseen muotoon. Prosessien sähköinen käsittely auttaa toteuttamaan GDPR:n velvoitteita, kuten mm. käyttölokitus, aktiivisen suostumuksen hallitseminen ja tietojen salaus.
Ainon HealthManagerissa on roolipohjainen käyttöoikeutusjärjestelmä, jossa käyttäjälle annetaan ainoastaan ne oikeudet, joita tarvitaan käyttäjäroolin mukaisten tehtävien suorittamiseksi.
6. Ilmoitusvelvollisuus tietoturvaloukkauksista
Kaikki tietoturvaloukkaukset on tallennettava ja raportoitava sekä ilmoitettava. Tähän kuuluu esimerkiksi kaikki vahingossa tai laittomasti tehty henkilötietojen haku, poistaminen, muokkaaminen tai autorisoimaton tarkastelu ja käsittely.
Henkilötietojen käsittelijän tulee tehdä ilmoitus kontrollerille, joka ilmoittaa 72 tunnin sisällä valvovalle kansalliselle viranomaiselle (Suomessa Tietosuojavaltuutetun toimisto).
Listasimme tässä vain merkittävimmät muutokset työkykyjohtamisen osalta – organisaatioilla on lisäksi myös muita tärkeitä velvoitteita tietosuoja-asetuksen toteuttamiseksi. Siksipä listausta ei tulisi tulkita oikeudellisena ohjeena vaan pikemminkin huomioina tärkeistä toimenpiteistä, mitkä on tärkeä toteuttaa sekä rekisterinpitäjän että datan käsittelijän toimesta. Ainon HealthManagerin osalta yllä olevat toimenpiteet tullaan toteuttamaan uuden GDPR:n mukaisesti.
Haluatko tietää lisää aiheesta? Kuuntele Ainon webinaarinauhoite aiheesta GDPR & HR: Miten valmistautua GDPR:ään työkykyjohtamisen osalta?
Lataa ilmainen webinaarinauhoite ja kuuntele nauhoite, kun sinulle sopii!
Ainon tuotepäällikkö Petteri Linden käy läpi webinaarissa:
- Mikä muuttuu uuden GDPR:n myötä?
- Työkykyjohtamisen prosessien sähköistäminen ja aukoton käsittely
- Ainon HealthManager ja GDPR
- Käytännön esimerkki: GDPR:n mukainen varhaisen tuen prosessin käsittely
- Konkreettiset vinkit toimenpiteisiin tälle keväälle
Lue lisää:
GDPR & HR – Mitä uusi tietosuoja-asetus tarkoittaa henkilöstöhallinnon näkökulmasta?
Haastattelussa Ainon HealthDeskin Team leader Anne-Mari Juntti
Aino & Posti – Pitkäkestoista työtä ihmisen parasta ajatellen
