Tietosuoja-asetus puhuttaa. Asetuksen soveltaminen alkaa EU-jäsenvaltioissa 25.5.2018. Selvitimme mistä asetuksessa on kyse. Sanoman Privacy Manager Laura Tarhonen vastasi kysymyksiimme.

Henkilötietoasetus, tietoturva-asetus, tietosuojalainsäädäntö, yksityisyydensuojasääntely, EU:n yleinen tietosuoja-asetus tai GDPR General Data Protection Regulation – asetuksella on monta nimeä.

Mistä on kyse?

Tietosuoja-asetus selkiyttää EU-jäsenvaltioiden henkilötietojen käsittelyä koskevaa lainsäädäntöä. Sen pyrkimyksenä on taata korkea tietosuojan taso kaikille eurooppalaisille, lisätä kansalaisten luottamusta digitaalisiin palveluihin ja toisaalta vähentää kansallisten lainsäädäntöjen eroja sekä auttaa yrityksiä tarjoamaan palvelujaan joustavammin.

Mitä tietosuoja-asetus GDPR pitää sisällään?

Kyseessä on EU-tasoinen yleislainsäädäntö henkilötietojen käsittelyyn. Tietosuoja-asetus asettaa säännöt siitä miten henkilötietoja tulee ja saa käsitellä yrityksissä, julkishallinnossa ja organisaatioissa yleisesti. Asetus on suoraa voimassaolevaa oikeutta jäsenvaltioissa, eli periaatteessa sääntely on harmonisoitu EU-tasolla.

Työntekijän tietosuoja on alue, josta voidaan säätää kansallisesti erikseen, kuten Suomessakin on tehty. Tällä hetkellä on vielä harkinnassa miten työelämän tietosuojalainsäädäntöä tullaan muuttamaan asetuksen johdosta. Suomessa on työelämän saralla suhteellisen yksityiskohtainen sääntely verrattuna moniin muihin maihin.

Miten työnhakijan tulee suhtautua tietosuoja-asetukseen: Mitä tulee ottaa huomioon?

Työnhakija on tietosuoja-asetuksen näkökulmasta ”rekisteröity” eli henkilö, jota tietty tieto koskee. Tietosuoja-asetus vahvistaa rekisteröidyn oikeuksia esimerkiksi tiedonsaannin ja vaikutusmahdollisuuksien osalta.

Työnhakijalla on varsin laaja tarkastusoikeus hänestä kerättyihin tietoihin ja myös oikeus tietää esimerkiksi millä perusteella ja kuinka kauan hänen tietojaan säilytetään.

Työnhakijalla on myös mahdollisuus pyytää tietojensa poistamista. Tällöin rekrytoiva työnantaja arvioi, onko tällä edelleen oikeutettu tarve säilyttää tietoja, jos tiedot tulee poistaa.

Työnhakijan kannattaa valmistautua siihen, että tulevaisuudessa erilaisissa sähköisissä työnhakujärjestelmissä informoidaan henkilötietojen käsittelystä aktiivisemmin ja saatetaan edellyttää että työnhakija esimerkiksi ”hyväksyy tietosuojalausekkeen”. Tämä tarkoittaa sitä, että työnhakija vahvistaa että hänellä on ollut mahdollisuus tutustua lausekkeeseen kun tietoja kerättiin.

Työnhakijalla on myös tietyissä tilanteissa mahdollisuus käyttää rekisteröidyn uutta oikeutta tietojen siirtoon järjestelmästä toiseen. Tämä tulee kyseeseen kun henkilötietoja käsitellään suostumuksella tai sopimukseen perustuen.

Työelämässä esimerkiksi palkkahallinto perustuu työsopimukseen eli käytännössä palkkahallinnon tiedot saattaisivat olla tietojen siirron piirissä. Lisäksi tietojen siirto voi tulla kyseeseen erilaisista verkkopalveluista, joiden kautta työnhakija hakee töitä.

Tietojen siirrolla tarkoitetaan sitä, että henkilötiedot saadaan rekisterinpitäjältä sellaisessa sähköisessä muodossa, että niitä voidaan uudelleen käyttää jossain toisessa palvelussa.  

Miten tietosuoja-asetus vaikuttaa HR:n toimintaan?

Sen sijaan että vain noudattaa lainsäädäntöä pitää myös pystyä näyttämään että lakia noudatetaan. Käytännössä tämä tarkoittaa sitä että erilaisia tietosuojaan liittyviä käytäntöjä ja ohjeistuksia tulee dokumentoida.

Työnantajan edustajilla on myös laaja informointivelvollisuus suhteessa työntekijöihin ja heidän tietojen käsittelyyn. Henkilötietojen käsittelyn ulkoistamisesta, esimerkiksi palkkahallinta, tulee laatia tietojenkäsittelysopimus, jossa varmistetaan, että rekisterinpitäjä ja henkilötietojen käsittelijä ymmärtävät oikeutensa ja velvollisuutensa GDPR:n näkökulmasta.

Tietosuoja-asetus edellyttää kirjallisen sopimuksen laatimista, joten kaikkien HR-osastojen tulisi käydä läpi järjestelmät, joita he tällä hetkellä käyttävät henkilötietojen käsittelyyn - ja sopimukset näistä järjestelmistä tulisi päivittää sisältämään vaadittavat ehdot tietosuojasta.

Tässä yhteydessä tulisi myös selvittää tapahtuuko tietojen siirtoja EU/ETA-alueen ulkopuolelle. Siirron voi tehdä vain jos siihen liittyy peruste. Tyypillisesti käytetään EU- komission hyväksymiä mallisopimuslausekkeita osana tietojen käsittelysopimusta. Rekisterinpitäjänä on tärkeä tietää kaikista tietojen siirroista, jotta niistä voi myös informoida rekisteröityjä.

Viimeistään nyt olisi hyvä käydä läpi erilaiset prosessit joita HR:ssä on käytössä ja dokumentoida niihin liittyvä henkilötietojen käsittely, kuten (esim. rekrytointiprosessi, palkkahallinta, kehityskeskustelut jne.) mitä henkilötietoja kerätään, mistä lähteistä, millä perusteella, mihin niitä käytetään ja kuinka kauan tietoja säilytetään, kenellä on tietoihin pääsy ja onko kaikki tieto tarpeellista.

Edelleen tulee muistaa Suomen erityislainsäädäntö, jossa on lähtökohtana muun muassa se ettei tarpeellisuusvaatimuksesta voida tinkiä edes työntekijän suostumuksella. Lisäksi laki sisältää säännöksiä liittyen työntekijöiden sähköpostien avaamiseen, huumausainetestaukseen sekä henkilöarviointeihin.

 

Asiantuntijana:

Privacy Manager Laura Tarhonen, Sanoma

Lisää uusi kommentti

To prevent automated spam submissions leave this field empty.