Näin huolehdit henkilötietojen poistosta oikein
Jokaisen yrityksen tulee viimeistään nyt varmistaa, että henkilötietoja käsitellään GDPR:n ja muiden lakien mukaisesti. Tietosuojavaltuutettu on viime aikoina tulkinnut tapauksia tiukasti, ja henkilötietojen käsittelyn rikkomuksista on määrätty koviakin sanktioita. Lue, kuinka henkilötietojen poisto HR-järjestelmistä kannattaa järjestää käytännössä!
Henkilötietojen käsittelyä ohjaavat lait, säännöt ja suositukset
Yleinen tietosuoja-asetus (GDPR) on eniten viime vuosina esillä ollut henkilötietojen säilytystä koskeva yksittäinen säännös. Sen mukaan henkilötietoja ei saa säilyttää tarpeettomasti ja yritykset saavat kerätä vain sellaisia henkilötietoja, joita käytetään ja joita tarvitaan. Tiedot pitäisi poistaa rekistereistä, kun niitä ei enää tarvita.
GDPR:ää noudattaakseen yritysten on täytynyt merkittävästi parantaa henkilötietojen käsittelyn turvallisuutta, ja noudattamatta jättämisestä on määrätty jopa miljoonien eurojen suuruisia sakkoja. Yksikään yritys ei halua tällaisia sanktioita eikä myöskään sitä mainehaittaa, mikä voi aiheutua tällaisesta kielteisestä julkisuudesta. Siksi on ehdottoman tärkeää, että yritykset varmistuvat siitä, että ne käsittelevät henkilötietoja oikein ja vain niin kauan kuin se on tarpeellista.
Kirjanpitolaki puolestaan määrittää, mitä kaikkia tietoja yrityksen pitää kerätä ja kuinka kauan tietoja pitää vähintään säilyttää. Laki määrää kirjanpidollisten tositteiden ja liiketapahtumia koskevan kirjeenvaihdon säilyttämiseen liittyviä vähimmäissäilytysaikoja – tyypillisesti kuusi vuotta sen vuoden lopusta, jona tilikausi on päättynyt.
Kuinka säilyttää henkilötietoja oikein?
Yrityksillä eli rekisterinpitäjällä on vastuu tietojen poistoista ja säilytysajoista huolehtimisesta. Yrityksen vastuu on laaja, ja esimerkiksi jokaisella työntekijällä on oikeus saada tietää, mitä tietoja hänestä on kerätty ja miten näitä tietoja säilytetään.
Henkilötietojen käsittely kannattaa rajata vain HR-järjestelmiin – paitsi lainsäädännön kannalta, se tekee myös tiedon säilytyksestä ja poistosta mutkattomampaa. Järjestelmiä kannattaa säännöllisesti siivota, jotta ei tule säilöneeksi vanhentunutta tietoa. Siivous parantaa myös tietoturvaa. Kun hallittavaa tietoa on vähemmän, huomataan helpommin jos HR-järjestelmissä tapahtuu sellaisia muutoksia, joita siellä ei pitäisi tapahtua. Lisäksi jos tapahtuisi tietovuoto (vaikkapa tietomurron seurauksena) vuotaisi silloin vähemmän tietoa kun vanhat tiedot on siivottu pois.
Henkilötietojen säilytysajoista huolehtiminen ei ole aivan suoraviivaista, sillä lainsäädäntö ja ohjeistukset muuttuvat ja toisaalta teknologia voi monessa yrityksessä rajoittaa tietojen oikeaoppista säilytystä.
Käytännössä tietojen säilytys ja poisto kannattaa automatisoida: esimerkiksi työsuhteen päättymispäivänä poistoajot kannattaa aktivoida, minkä jälkeen voikin sitten käydä kaikki henkilötietoja sisältävät järjestelmät, kuten matkalaskujärjestelmän, läpi. Automaatio kannattaa myös siitä syystä, että se poistaa inhimilliset virheet: kenenkään ei tarvitse muistaa poistaa henkilötietoja ja toisaalta poistot tehdään aina samalla tavalla – ei tekijästä riippuen vähän eri tavalla. Esimerkiksi kukaan ei vahingossa poista vääriä tietoja.
Integratan järjestelmistä osa poistaa tiedot automaattisesti, kun taas osassa nämä pitää hoitaa vielä manuaalisesti. Vaihtoehtona manuaaliselle poistamiselle ovat myös Integratan poistorobotit, joilla tarvittavat tiedot saadaan poistettua ja poistot ajastettua.
Monelle yritykselle voi aiheuttaa harmaita hiuksia velvollisuus säilyttää ja arkistoida lakisääteisiä materiaaleja lain määräämä aika. Integratan arkistointipalvelu huolehtii siitä, että tarpeellisia henkilötietoja säilytetään lakisääteinen aika, minkä jälkeen ne poistetaan ilman, että asiakkaan tarvitsee tästä huolehtia.
Asiantuntijamme neuvovat myös henkilötietojen oikeaoppisessa käsittelyssä. Seuraamme jatkuvasti muuttuvia ohjeistuksia ja autamme asiakkaitamme noudattamaan tietosuojalainsäädäntöä.
Mistä kannattaa lähteä liikkeelle?
Tunnista ensin, minkälaista henkilötietoa ja kirjanpitoaineistoa organisaatiostanne löytyy. Tämän jälkeen selvitä näiden tietojen lainmukaiset säilytysajat.
Kun tiedät, millaista henkilötietoa ylipäätään on ja kuinka pitkään sitä täytyy säilyttää, hoida tiedon arkistointi kuntoon. Palkanlaskentaan liittyvän kirjanpitoaineiston arkistointi onnistuu kätevästi myös Integratan arkistointipalvelun avulla.
On tärkeä myös tietää, missä järjestelmissä tietoa säilytetään. Vasta kaiken tämän jälkeen voit poistaa henkilötiedon – oikea-aikaisesti ja kaikista henkilötietoa keräävistä järjestelmistä.
On sinun valintasi, kuinka haluat järjestää henkilötietojen säilytyksen käytännössä. Tärkeintä on, että teet sen lainsäädäntöä noudattaen.