Tiedätkö erikoiskauppias, mitä työntekijöiden henkilötietoja on lupa tallentaa ja kuinka niitä saa käsitellä?
8.8.2022
Työnantajat tarvitsee tietoa työntekijöistään, mutta millaisia asioita saa kysyä, mitä tietoja saa tallentaa ja kuinka niitä tulee käsitellä. Näihin kysymyksiin vastaa Euroopan Unionin tietosuoja-asetus, GDPR. Tässä Erikoiskaupan liiton muistilista, jonka avulla pärjäät henkilötietojen käsittelyssä.
Kerää työntekijöistäsi vain tarpeelliset tiedot
Euroopan Unionin tietosuoja-asetus, GDPR, astui voimaan keväällä 2018. Sen mukaisesti työnantajan tulee kirjata kaikki käytössään olevat rekisterit, jotka sisältävät työntekijän henkilötietoja, ja noudattaa asetuksen yleisiä tietosuojaperiaatteita. Henkilötietoja saa kerätä vain asetuksen määräämillä perusteilla ja tietoa saa käyttää vain juuri siihen tarkoitukseen mihin tiedot on kerätty. Lisäksi tietoja tulee kerätä niin vähän, kuin on tarpeen työnantajavelvoitteista huolehtimiseksi. Tällaisia tietoja ovat mm. työntekijän koulutus ja kokemus, henkilötunnus, pankkitili sekä tieto työntekijän lähiomaisesta mahdollisia hätätilanteita varten. Tiedot on myös säännöllisesti päivitettävä, tarvittaessa oikaistava ja poistettava epätarkat tai virheelliset tiedot.
Säilytä ja poista työntekijöidesi tiedot oikein
Työntekijällä on oikeus saada tietää, mitä tietoja työnantajalla hänestä on sekä oikeus vaatia virheellisten tai puutteellisten tietojen oikaisua. Kun työsuhde päättyy, tulee työnantajan huolehtia siitä, että ne tiedot, joita ei enää tarvita, poistetaan.
Ylipäänsä jatkossa on entistä tärkeämpää huolehtia siitä, että kerätyt henkilötiedot poistetaan, kun niitä ei enää tarvita. Kuitenkin on huomioitava, että koska työntekijällä on oikeus pyytää työtodistusta vielä 10 vuoden ajan työsuhteen päättymisen jälkeen, yleiset tiedot työsuhteen kestosta ja työtehtävistä tulee säilyttää vielä tämän ajan.
Jos ulkoistat tietojen käsittelyn, tee sopimukset huolella
Työnantajan ei tarvitse tehdä kaikkia, esimerkiksi tietojenkäsittelyyn liittyviä toimenpiteitä yksin. GDPR-asetus sallii eri toimintojen ulkoistuksen. Tällöin henkilötietojen käsittelystä huolehtivasta tahosta käytetään ulkoistussopimuksessa nimitystä Henkilötietojen käsittelijä (= Data Processor). Tällainen ulkoistussopimus tulee tehdä kirjallisesti ja myös toimintaohjeet Henkilötietojen käsittelijälle on annettava kirjallisesti.
Koska työnantaja rekisterinpitäjänä on kuitenkin lopullisesti vastuussa henkilörekisteritietojen käsittelystä, on työnantajan syytä sopia vastuukysymykset kirjallisesti ja yksiselitteisesti palveluntarjoajan kanssa.
Valmistaudu tekemään seloste henkilötietojen käsittelystä
Erillistä henkilötietojen säilyttämiseen liittyvää tietosuojaselostetta esimerkiksi yrityksen verkkosivuille ei ole välttämätöntä laatia. Työnantajalla on kuitenkin osoitusvelvollisuus niin työntekijöille kuin muille sidosryhmille, että tietosuojalainsäädäntöä noudatetaan. Tämän vuoksi rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen osoitusvelvollisuuden vaatimukset, esimerkiksi nimeämällä Henkilötietojen käsittelijän ja huolehtimalla dokumentointivelvollisuudesta eli käytännössä tiettyjen toimenpiteiden tekemisestä ja kirjaamisesta. Rekisterinpitäjän onkin syytä huomioida osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.
Lisäksi työnantajan on laadittava seloste käsittelytoimista, joka on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä. Rekisterinpitäjällä tai henkilötietojen käsittelijällä on velvoite tehdä seloste käsittelytoimista, jos tietojen käsittely ei ole satunnaista. Suurin osa yrityksistä joutuu tekemään selosteen, sillä pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Seloste on organisaation sisäinen asiakirja, jonka laatimiseen löytyy malli tietosuojavaltuutetun verkkosivuilta. Seloste toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.
Mitä rekisterinpitäjän osoitusvelvollisuus tarkoittaa?
Työntekijöiden henkilötietoja sisältävän rekisterin pitäjän tulee pystyä osoittamaan, että seuraavia GDPR-asetuksen mukaisia vaatimuksia on noudatettu:
1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
2. Käyttötarkoitussidonnaisuus: Henkilötietoja on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.
3. Tietojen minimointi: Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
4. Täsmällisyys: henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.
5. Säilytyksen rajoittaminen: Henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
6. Eheys ja luottamuksellisuus: Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.
Tärkeää on lisäksi huomioida, että henkilötietojen käsittely on lainmukaista, kun vähintään yksi seuraavista edellytyksistä täytyy:
1. Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.
2. Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
3. Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
4. Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.
5. Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.
6. Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi (alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä).
Yritysten ja yhteisöjen välisessä viestinnässä suostumus ei kuitenkaan ole välttämätön. Markkinoitavalla tuotteella tai palvelulla tulee kuitenkin olla liityntä henkilöön tämän työtehtävän tai vastuualueen perusteella. Siten B2B-sähköpostimarkkinointiakaan ei siis tule tehdä sokeina massalähetyksinä ja vastaanottajalla tulee aina olla mahdollisuus poistua jakelulistalta.
Lisätietoja: www.tietosuoja.fi
Jutun aiempi versio on julkaistu etu.fi -sivustolla maaliskuussa 2018.