Tietosuoja-asetus + HR = ?

On vaikeaa löytää yritystä, joka ei käsittelisi henkilötietoja, sillä erilaisia rekistereitä on paljon: asiakasrekistereitä, erilaisia markkinointirekistereitä sekä tietysti rekistereitä työntekijöihin liittyvistä tiedoista. Kaikki työntekijöidensä henkilötietoja käsittelevät yritykset ovat uuden EU:n yleisen tietosuoja-asetuksen piirissä. Tietosuoja-asetusta onkin sanottu tärkeimmäksi muutokseksi tietosuoja-alalla vuosikymmeniin. Tietosuoja-asetus tuo joukon uudistuksia henkilötietojen käsittelyyn liittyen. Millaisia vaikutukset yrityksen HR-toimintoihin voivat olla?


Perustana nykylainsäädäntö, lisänä asetuksen velvoitteet ja oikeudet

Henkilötietojen käsittelyn peruslaki on tällä hetkellä voimassa oleva henkilötietolaki, jonka oikeusministeriö on esittänyt korvattavaksi tietosuojalailla. Henkilötietojen käsittelyä työsuhteen yhteydessä säädellään työelämän tietosuojalailla. Henkilöstöasioita ajatellen yrityksen on tunnettava myös tietosuoja-asetuksen sisältö, sillä se on Suomessa ja EU:ssa sovellettavaa oikeutta ensi vuoden toukokuusta lähtien. Tiivistettynä: tietosuoja-asetus lisää yksilöiden oikeuksia, ja samalla siis työntekijöiden oikeuksia. Toisaalta asetus myös asettaa yrityksille lisävelvoitteita ja kasvattaa sanktioiden määrää merkittävästi.

Asetuksen pääasiallinen tavoite on yhtenäistää tietosuojan sääntelyä EU:ssa. Jäsenvaltioille on kuitenkin jätetty harkintavaltaa ja oikeus säätää asetusta tiukemmin esimerkiksi henkilötietojen käsittelystä rekrytoinnissa, työsopimuksen täytäntöönpanoon tai työterveyteen ja turvallisuuteen liittyen. Onkin syytä huomioida, että jäsenvaltiokohtaisen sääntelyn selvittäminen on erityisesti monikansallisissa yhtiössä avainasemassa, kun henkilötietoja käsiteltäisiin useammassa jäsenvaltiossa.

Tietojen kerääminen työntekijöistä

Lähtökohtaisesti työnhakijalta voidaan kysyä vain työnhakuun ja työhön liittyviä kysymyksiä ja samoin tallentaa vain työnhakuun ja työhön liittyviä tarpeellisia asioita. Tiedot on ensi sijassa kerättävä työnhakijalta itseltään, muutoin tietojen keräämiseen on hankittava työnhakijan suostumus.

Uuden asetuksen myötä työnantajan tulee antaa yksityiskohtaisemmin tietoa henkilötietojen käsittelystä ennen tietojen keräämistä: mitä tietoja käsitellään ja mihin tarkoituksiin. Henkilötietoja on kerättävä vain siten kuin on tarpeellista, eikä edes rekisteröidyn henkilön antama suostumus oikeuta rekisterinpitäjää käsittelemään hänen henkilötietojaan tarpeettomasti. Henkilötiedot on poistettava sen jälkeen kun niitä ei enää tarvita alkuperäiseen tarkoitukseen, tai hankittava suostumus tietojen käsittelyyn toiseen tarkoitukseen.

Tietosuoja-asetuksen myötä myös työnantajien on vaikeampi nojautua suostumukseen henkilötietojen käsittelyn perusteena. Työnantajien tulisi nojautuessaan suostumukseen arvioida huolellisesti, että se täyttää asetetut vaatimukset ja muistaa, että vapaaehtoisesti annettu suostumus voidaan peruuttaa aina. Tietojen käsittelylle olisikin hyvä olla vaihtoehtoinen sallittu peruste, kuten työnantajan lakisääteisen velvoitteen noudattamiseen perustuva syy.

Työntekijään liittyvien tietojen säilytys

Jos esimerkiksi erityislainsäädäntö asettaa velvoitteita tietojen säilyttämiselle, rekisterinpitäjän on tiedettävä nämä velvoitteet ja huomioitava ne toiminnassaan. Rekisterinpitäjän tulee huolehtia tarpeellisista tietoturvatoimenpiteistä ja huomioida tietosuoja-asetuksen vaatimukset oletusarvoisesta ja sisäänrakennetusta tietosuojasta ja -turvasta.

Rekisterinpitäjän on kyettävä esittämään kunkin rekisteröidyn henkilön osalta erikseen, minkä vuoksi nimenomaan hänen tietojaan on tarpeen säilyttää tietty aika. Tietosuojavaltuutetun aiempaan asiakastietoja koskevaan kannanottoon viitaten pelkkä yrityksen yleinen säilytysaika ei liene riittävä (Dnro 1160/533/2012). Yrityksen olisi syytä siis miettiä HR-liitännäisten henkilötietojen osalta säilytysaikoja tyyppikohtaisesti ja hyvin perustellen.

Nykyisen henkilötietolain mukaan rekisteröidyllä – eli henkilöllä, jonka henkilötiedot on talletettu rekisteriin – on oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa, joten yritysten tulee esimerkiksi antaa työntekijöille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.

Lisäksi asetus säätää myös uuden oikeuden tulla unohdetuksi, jonka nojalla työntekijät voivat vaatia työnantajia poistamaan henkilötiedot tietyissä tilanteissa. Näin on esimerkiksi silloin, kun tiedot eivät ole enää tarpeellisia alkuperäiseen keräystarkoitukseen tai jos työntekijä peruuttaa suostumuksensa käsitellä tietoja.

Osoitusvelvollisuus edellyttää huolellista prosessien tarkastelua

Välttääkseen sanktiot, työnantajien tulee pystyä osoittamaan, että he ovat toimineet vaatimusten mukaisesti. Yllä kuvattujen huomioiden lisäksi tietosuoja-asetuksella on myös muita vaikutuksia HR-toimintoihin, joten työnantajien tulisikin viimeistään nyt huolellisesti arvioida HR-toimintoihinsa liittyvät henkilötietojen keräys- ja käsittelyprosessit, perusteet, sopimukset ja käytännöt sekä identifioida mahdolliset puutteet. Näiden puutteiden perusteella nykyiset prosessit tulisi päivittää ja ottaa käyttöön mahdolliset uudet toimintatavat mahdollisimman pian. Arviossa on syytä ottaa huomioon myös yrityksen maantieteellinen alue sekä mahdolliset tiedonsiirrot EU:n ulkopuolelle.

Riitta Sedig
Maiju Kurvi

Riitan ja Maijun avaus on osa blogikirjoitusten sarjaa, jossa asiantuntijamme kertovat käytännönläheisellä tavalla ja eri näkökulmista, mitä EU:n uusi tietosuoja-asetus tarkoittaa ja miten yritysten tulisi valmistautua sen 25.5.2018 voimaantuloon. Uusi tietosuoja-aiheinen avaus ilmestyy noin kerran kuukaudessa. Seuraa blogiamme!

Lue myös tietosuoja-sarjamme aiemmat kirjoitukset:

Terhi Karjala, Jari Piittinen: Tietosuoja-asetus tulee voimaan ensi keväänä, onko yrityksesi sopimukset jo kartoitettu? 15.6.2017

Timo Valonen: Miten tikku-ukkopiirustukset auttavat kehittämään tietosuojaa? 24.5.2017

Kirsi Putkonen: EU:n uusi tietosuoja-asetus lisää kansalaisten oikeuksia ja yrityksen velvollisuuksia – miten aloittaa valmistautuminen yrityksessäsi? 27.4.2017


EY - Riitta SedigRiitta Sedig

email

Partner, Law Leader Riitta Sedig johtaa EY:n lakipalveluita Suomessa. Riitta on ollut vastuussa mitä erilaisimmista oikeudellisista toimeksiannoista liittyen yrityskauppoihin, sopimusoikeuteen, yhtiöoikeuteen, työoikeuteen, immateriaalioikeuteen ja tietosuojakysymyksiin. Hän on toiminut neuvonantajana sekä neuvottelijana myös lukuisissa kotimaisissa ja rajat ylittävissä yrityskaupoissa ja muissa järjestelyissä.

Riitta on toiminut uransa aikana useissa luottamustoimissa, mm. KHT-yhdistyksen lakityöryhmän puheenjohtajana sekä jäsenenä, GAIA ry:n hallituksessa ja toimii tällä hetkellä Naisten Pankin ohjausryhmässä.


EY - Maiju KurviMaiju Kurvi

email

Maiju Kurvi toimii EY:n lakipalveluissa työoikeuteen erikoistuneena juristina, joka avustaa asiakkaitamme laaja-alaisesti työnteon juridiikkaan liittyvissä kysymyksissä Suomessa ja ulkomailla. Maijulla on yli kuuden vuoden kokemus muun muassa yhteistoimintamenettelyistä, työ- ja johtajasopimuksista sekä ulkomaantyöhön liittyvistä tilanteista. Lisäksi Maiju kouluttaa ja kirjoittaa säännöllisesti ajankohtaisista työoikeudellista aiheista.



Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s