GDPR:n voimaantulon lähestyessä yrityksen on hyvä tehdä arviointi sen keräämien henkilötietojen käsittelystä. Tähän kuuluu selvitys siitä, kuka tietoja käsittelee, mitä tietoja on kerätty, missä tietoja säilytetään ja miten estetään tietojen aiheeton katselu sekä käyttö. Kokosimme tähän artikkeliin GDPR:n mukanaan tuomia vaatimuksia JotBarin työajanseurantajärjestelmän käyttäjälle, ja kuinka JotBar vastaa näihin vaatimuksiin.
EU:n tietosuoja-asetus eli GDPR korostaa henkilötiedoista vastaavan organisaation eli rekisterinpitäjän vastuuta. Tämä tarkoittaa mm. sitä, että henkilötiedot pitää säilyttää niin, etteivät ulkopuoliset pääse niihin käsiksi. Henkilötietorekisterinpitäjällä on oltava myös rekisteriseloste siitä, mitä tietoja säilytetään sekä missä ja miten niitä säilytetään. Lisäksi tämän on pyydettäessä pystyttävä antamaan raportti asianomaiselle tiedoista, joista rekisteriä pidetään.
GDPR ei itsessään estä henkilötietojen keräämistä. Tarpeellisten henkilötietojen kerääminen on edelleen täysin sallittua ja monissa tapauksissa yrityksille jopa lain edellyttämää.
Työaika-, vuosiloma- ja työsopimuslaissa on velvoitteita, jotka edellyttävät työantajalta henkilötietoja sisältävien rekisterien ylläpitämistä (työaikalaki 7 luku, vuosilomalaki 6 luku ja työsopimuslaki 6 luku). Tämä kirjanpito onnistuu JotBarissa, eikä se ole mitenkään ristiriidassa GDPR kanssa. Hyvä tietosuojaan liittyvä käytäntö on sopia rekisteröidyn kanssa esim. työsopimuksessa siitä, että työnantaja säilyttää henkilö-, työ- ja lomatietoja lakien vaatimien asetusten mukaisesti.
JotBar Solutionsin asiakas, joka on hankkinut ja käyttää JotBar työajaseurantajärjestelmää, on GDPR:n näkökulmasta henkilötietorekisterinpitäjä. Tällä on vastuu henkilörekisterin ylläpidosta ja sisällöstä sekä siitä, että henkilötietojen käsittelyä koskevia periaatteita noudatetaan ja niiden noudattaminen pystytään osoittamaan.
JotBar Solutions Oy on järjestelmätoimittaja sekä ylläpitäjä ja GDPR:n näkökulmasta henkilötietojen käsittelijä, joka käsittelee henkilötietoja asiakkaan hyväksi. JotBar toteuttaa riittävät tekniset ja organisatoriset toimet taatakseen henkilötietojen käsittelyn luottamuksellisuuden.
JotBar työajanseurantajärjestelmä puolestaan on henkilörekisteri ja sinne kirjatut asiakkaat ja työntekijät ovat rekisteröityjä.
Henkilötietojen käsittelyssä tulee noudattaa periaatteita, joilla huolehditaan rekisteröidyn tietoturvasta. Henkilötietojen käsittelyä koskevat periaatteet ovat:
Näiden periaatteiden noudattaminen on rekisterinpitäjän vastuulla, ja sen on pystyttävä osoittamaan, että näitä periaatteita on noudatettu. JotBar Solutions ja sen asiakas voivat sopia yhdessä toimintatavoista, joiden avulla periaatteet tulevat varmasti noudatetuiksi.
JotBar vastaa järjestelmätoimittajana siitä, että henkilötietojen käsittelyn luottamuksellisuudelle on tekniset ja organisatoriset edellytykset. Ohjelmistoon on lisätty mm. seuraavia ominaisuuksia henkilötietojen suojaamiseksi:
Mikäli sinulla on jotain kysyttävää JotBarin ohjelmistoon tai tietosuoja-asetuksen noudattamiseen liittyen, otathan yhteyttä JotBarin asiantuntijoihin. Kerromme mielellämme lisää ja autamme valmistautumaan GDPR:n mukaiseen henkilötietojen käsittelyyn!