GDPR personalitöös ja palgaarvestuses – kuidas hallata tundlikke töötajaandmeid õigesti?

Alates 2018. aastast, mil jõustus GDPR (isikuandmete kaitse üldmäärus), on sellest saanud peaaegu müütilise tähendusega regulatsioon. Personalitöös me hoiatame selle eest, järgime seda, loome põhjalikke protseduure ning vahel isegi “süüdistame” seda, kui miski tundub takistusena. Aga mida GDPR tegelikult nõuab ja kui palju peame päriselt teadma – eriti personalitöö ja palgaarvestuse kontekstis?

Töötajate andmed vajavad erikaitset

Personali- ja palgaarvestuse andmed on ühed kõige tundlikumad andmed, mida ettevõte töötleb. Andmed ei sisalda ainult isikukoode või pangakonto andmeid — nende hulka kuulub ka info, mis võib viidata töötaja tervisele, töösooritusele või perekondlikele asjaoludele. Vale käsitlemine võib kaasa tuua nii trahve kui ka usalduse kaotust, kuid kõige olulisem on see, et vale käsitlemine tekitab töötajates ebakindlust.

Seetõttu on personalitöö ja finantsosakondade jaoks kriitilise tähtsusega selged protsessid ja igapäevast tööd toetavad usaldusväärsed süsteemid. Kõike ei pea talletamata, olulisem on hoopis see, et mõeldakse läbi, miks, millal ja kuidas andmeid säilitatakse ning töödeldakse.

Personaliandmed = kõrge riskiga andmed

Peaaegu kõik HR-is töödeldavad andmed, sealhulgas palgainfo, töölepingud ja värbamisandmed, on GDPR-i mõistes isikuandmed. Osa neist kuulub aga eriti tundlike isikuandmete hulka (nt terviseandmed, religioon, ametiühingusse kuulumine), mille töötlemisele kehtivad veel rangemad nõuded. Üldreeglina on selliste andmete töötlemine keelatud, välja arvatud juhul, kui see on põhjendatud lubatud erandite ja sageli ka õigusliku aluse kaudu.

Levinud vead hõlmavad näiteks palgalehtede jagamist ebaturvaliste kanalite kaudu (nt krüpteerimata e-post), töötajate nimekirjade haldamist Exceli tabelites või personaliandmete hoidmist avatud võrgukaustades nagu OneDrive, Google Drive või SharePoint. Kui nende kaustade juurdepääsu pole nõuetekohaselt piiratud, võivad sellised praktikad kvalifitseeruda isikuandmete rikkumistena.

Andmete minimeerimine – kogu ainult seda, mida päriselt vajad

GDPR-i üks põhiprintsiipe on andmete minimeerimine: koguda ja töödelda tohib vaid neid andmeid, mis on eesmärgi saavutamiseks tõepoolest vajalikud.

Paljudes personalisüsteemides on hulgaliselt välju mida kunagi ei kasutata või hoitakse ajaloolist infot „igaks juhuks“. See tekitab ettevõttele täiesti tarbetuid riske.

Üks tõhus viis liigse andmekogumise vältimiseks on regulaarne andmete ülevaatus — või veel parem, süsteem, mis märgistab teatud aja möödudes info automaatselt kontrollimiseks, et hinnata selle vajalikkust. Eriti hea hetk andmete korrastamiseks on töötaja ettevõttest lahkumine. Osa teavet tuleb seadusest tulenevalt säilitada mitu aastat, kuid suur osa andmeid saab seejärel kustutada. Siin aitab väga palju läbimõeldud töötaja lahkumise kontrollnimekiri.

Lihtsalt nõusolek ei ole HR-is peaaegu kunagi õiguslik alus

Töösuhtes ei ole nõusolek reeglina sobiv õiguslik alus isikuandmete töötlemiseks, sest tööandja ja töötaja suhe põhineb paratamatul sõltuvusel. Seetõttu ei loeta töötaja nõusolekut “vabalt antuks” ning sellele ei saa tugineda tundlike isikuandmete (nt etniline päritolu või seksuaalne sättumus) säilitamisel. See tähendab, et on tekkinud eksiarvamus, nagu peaks tööandja selliste andmete töötlemiseks küsima nõusolekut — enamasti ei tohi ega olegi see võimalik. Töötajaandmete töötlemist saab siiski põhjendada muude õiguslike alustega, näiteks:

• Lepingust tulenev vajadus – näiteks info töötlemine, mis on vajalik töösuhte täitmiseks.
• Õiguslik kohustus – näiteks palgaarvestus, maksude deklareerimine ja muud seadusest tulenevad nõuded.

GDPR kui osa sinu tööandjabrändist

Kui kaitsed oma töötajate privaatsust, tugevdab see sinu ettevõtte tööandjabrändi. Isikuandmete turvaline käsitlemine näitab professionaalsust, lugupidamist ja hoolivust. Ettevõtted, kes seovad GDPR-i teadlikult oma HR-protsessidega, vähendavad mitte ainult vigade riski, vaid kasvatavad ka sisemist usaldust.

Jätkusuutlik personalitöö tähendab enamat kui pelgalt seaduste täitmist. See tähendab efektiivsete, turvaliste ja püsivate struktuuride loomist.

Greenstep aitab ettevõtetel kaardistada oma isikuandmete töötlemise protsesse, luua selgeid HR- ja palgaarvestuse töövooge ning koolitada organisatsiooni andmekaitse teemadel, muutes GDPR-i loomulikuks osaks igapäevasest tegevusest.

Avaldatud

Seotud postitused

HR 3 min lugemist

8 soovitust, mis aitavad teil valida personalisüsteemi

1. Määratlege oma organisatsiooni tegelikud vajadused Uue personalisüsteemi valimise esimene samm on selgitada välja, mida teie organisatsioon sellelt süsteemilt tegelikult vajab. Oluline on tuvastada vajalikud funktsioonid sellistes valdkondades nagu värbamine, sisseelamine, oskuste arendamine ja palgaarvestuse haldamine. Valitud süsteem peab sobituma organisatsiooni struktuuri ja kultuuriga, et saavutada soovitud tulemused. Samuti tasub juba varakult uurida kasutajate ootusi, […]
Data & Analüütika, HR 3 min lugemist

HR andmete kasutamine paremate otsuste tegemiseks

HR-analüütika eesmärk ei ole vaid aruandlus Oma olemuselt ei seisne HR-analüütika ainult uutes mõõdikutes ega muljetavaldavates tööriistades, vaid personaliandmete strateegilises tõlgendamises. Näiteks, kuidas tuvastada, et kuskil osakonnas on kujunemas oskuste puudus, kui tööjõu voolavuse näitajad seda veel ei näita või kus ilmnevad esimesed väsimuse märgid enne, kui haiguslehtede arv reaalajas kasvama hakkab? Sellistele küsimustele ei […]
HR 3 min lugemist

Palkade läbipaistvuse direktiiv täiustab personalipraktikaid ja parandab töötajakogemust

Palga läbipaistvuse direktiiv on kohe kohal – mida see tööandjale tähendab? Direktiiv kehtestab mitu peamist mehhanismi palga läbipaistvuse edendamiseks, näiteks kohustuslik aruandlus ja töötaja juurdepääs palgakriteeriumitele. Lühidalt öeldes peavad tööandjad seoses direktiiviga võtma järgmiseid samme: Palga läbipaistvus värbamisel Tööandja on kohustatud enne töövestlust esitama teavet konkreetse ametikoha palga või palgavahemiku kohta, seda saab kuvada juba […]