Työntekijän henkilötietojen käsittely ja paikantaminen – mitä ottaa huomioon?

Työkoneiden kerätty data vaatii retken oman yrityksen sopimusmaailmaan. Kun työkoneen datasta kerätään tietoa työkoneen tehokkaasta käytöstä, sijainnista, laskutuksesta tai huoltojen tarpeesta, tehostetaan yrityksen toimintaa. Kun kerätään tietoa myös työntekijän sijainnista, on syytä olla varovainen. Yrityksen velvollisuus on tehdä kerätyn tiedon vaikutusten arviointi, jolloin voidaan varmistaa, ettei käsittelystä aiheudu asetuksessa määriteltyä ns. korkeaa riskiä rekisteröidyille.

Työntekijän sijaintia koskevan tiedon rajoituksia ovat työsuhde, henkilötieto sekä sijaintitieto. Lisäksi sitä määrittää rekisterinpitäjän velvollisuudet ja rekisteröidyn oikeudet. Oheisessa artikkelissa on tiivistetysti se, mitä pitää huomioida omassa yritystoiminnassaan työkoneen datan osalta työntekijän henkilötietojen käsittelystä.

Tiivistelmän on pyydettynä laatinut Terho Nevasalo, yhteistyökumppanimme HPP Attorneys lakitoimistosta. Hänellä on pitkäaikainen kokemus tietosuojaan liittyvästä juridiikasta.

Lisätietoja Juha Ala-Hiiro, Teknisen Kaupan Liitto.

juha.ala-hiiro@tekninen.fi tai 040 197 3414

TYÖNTEKIJÄN HENKILÖTIETOJEN KÄSITTELY JA PAIKANTAMINEN – MITÄ OTTAA HUOMIOON

  1. YLEISTÄ
    1. Työnantaja saa käsitellä vain välittömästi työsuhteen kannalta tarpeellisia työntekijän henkilötietoja. Lähtökohtaisesti kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvät tiedot ovat henkilötietoja, joiden käsittelyssä ja keräämisessä tietosuojasääntelyn asettamat vaatimukset tulee huomioida. Tällaisiin tietoihin voidaan henkilön nimen, osoitteen ja henkilötunnuksen lisäksi katsoa kuuluvan myös muun muassa sijaintitiedot. Työnantajalle voi muodostua tarve paikantaa työntekijän sijaintitietoja välittömästi, esimerkiksi matkapuhelimen avulla, tai välillisesti, esimerkiksi työlaitteiden ja -koneiden sijaintitietojen keräämisen välityksellä. Ennen paikantamisen käyttöönottoa tulee huomioida tietosuojasääntelyn asettamat vaatimukset työntekijän henkilötietojen käsittelylle, siitä informoimiselle sekä suostumuksen hankkimiselle.
    2. Henkilötietojen käsittelyä koskee yleinen tietosuoja-asetus 2016/679 (EU), sitä täydentävä tietosuojalaki (2018/1050) sekä työelämän tietosuojalaki (759/2004), joka on työntekijöiden henkilötietojen käsittelyä koskeva erityislaki. Tietosuoja-asetuksessa on säädetty muun ohella yleisistä periaatteista ja käsittelyn lainmukaisuusvaatimuksista, sekä rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista. Edellä mainittujen tietosuojasäännösten soveltaminen on rinnakkaista siten, että työntekijöiden henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta täydentävää tietosuojalakia, jollei työelämän tietosuojalaissa toisin ole säädetty. Näin ollen myös tietosuoja-asetuksen asettamat rekisterinpitäjän (työnantaja) velvoitteet tulee ottaa huomioon.
  2. TYÖNTEKIJÄN HENKILÖTIETOJEN KÄSITTELY
    1. Työnantaja saa käsitellä työntekijöidensä henkilötietoja ainoastaan niin kutsutun ”tarpeellisuusvaatimuksen” sallimassa laajuudessa. Tarpeellisuusvaatimus edellyttää, että työnantaja käsittelee ainoastaan työsuhteen kannalta tarpeellisia henkilötietoja (esim. työsuhteen hoitamiseen tai etuisuuksiin liittyviä tietoja). Tarpeellisuusvaatimus on pakottavaa sääntelyä, eikä siitä voida poiketa työntekijän suostumuksella. Tarpeellisuusvaatimuksen sisältöä ei tyhjentävästi voida ennalta määritellä, vaan työnantajan tulee tehdä tarpeellisuusvaatimuksen täyttymistä koskeva arvio kussakin yksittäistapauksessa erikseen.
    2. Ensisijaisesti työntekijää koskevat henkilötiedot tulee kerätä työntekijältä itseltään, ja milloin työnantaja kerää näitä muualta, tulee tällaiseen keräykseen hankkia työntekijän suostumus. Henkilötietojen kerääminen työsuhteen aikana kuuluu yhteistoimintamenettelyn piiriin, josta säädetään yhteistoiminnasta yrityksissä annetussa laissa (334/2007).
    3. Yleisen tietosuoja-asetuksen 5 artikla koskee henkilötietojen käsittelyä koskevia yleisiä periaatteita, joita on noudatettava henkilötietojen käsittelyssä. Henkilötietoja tulee esimerkiksi käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, ja ne tulee kerätä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen käsittelyn lainmukaisuusperusteet on säädetty tietosuoja-asetuksen 6 artiklassa. Lainmukaisuusvaatimuksen täyttymiseksi on riittävää, että yksi säännöksessä säädetyistä vaatimuksista täyttyy. Käsittelyä on pidettävä lainmukaista esimerkiksi silloin, kun se perustuu rekisteröidyn suostumukseen, tai kun se on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena. Tietosuoja-asetus velvoittaa jokaista rekisterinpitäjää myös informoimaan rekisteröityjä rekisterinpitäjän vastuulla olevista käsittelytoimista.
  3. TYÖNTEKIJÖIDEN PAIKANTAMINEN
    1. Työntekijän paikantaminen on työelämän tietosuojalain tarkoittamaa teknistä valvontaa, joka edellyttää tarpeellisuusvaatimuksen täyttymistä. Lähtökohtaisesti työnantajalla on työsuhteessa oleviin työntekijöihinsä nähden työnjohto- ja valvontaoikeus, jonka perusteella työnantaja voi määrätä työn tekemisen ajankohdan ja sijainnin. Tietyissä tilanteissa työnantajan voi olla tarpeen työsuhteen osapuolten oikeuksien ja velvollisuuksien toteuttamiseksi paikantaa työntekijä, erityisesti, milloin työtä tehdään työnantajan tilojen ulkopuolella. Paikantaminen voi olla tarpeen esimerkiksi työntekijän turvallisuuden varmistamiseksi tai huoltopalveluissa, joissa hälytyskohdetta lähin työntekijä on tarpeen ohjata kohteeseen.
    2. Työntekijän paikantaminen voi olla välitöntä tai välillistä. Välillisestä paikantamisesta on kyse silloin, kun paikantamisen kohteena on ensi sijassa esimerkiksi yrityksen ajoneuvo tai muu omaisuus, mutta samassa yhteydessä saadaan välillisesti sijaintitietoja myös yrityksen työntekijästä, esimerkiksi ajovuorolistojen tai muun vastaavan dokumentaation avulla. Välittömästä paikantamisesta puolestaan on kyse silloin, kun paikannus kohdistuu välittömästi yrityksen työntekijään.
    3. Työntekijän paikantaminen, niin välitön kuin välillinenkin, kuuluu yhteistoimintalaissa säädetyn yhteistoiminta- tai kuulemismenettelyn piiriin. Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä työntekijöihin kohdistuvan, teknisin menetelmin toteutetun valvonnan käyttötarkoitus ja siinä käytettävät menetelmät, sekä tiedotettava työntekijöille valvonnan tarkoituksesta, käyttöönotosta, siinä käytettävistä menetelmistä sekä sähköpostin ja tietoverkon käytöstä.
    4. Tietosuojavaltuutetun mukaan välittömän paikantamisen edellytyksenä on yllä mainitun lisäksi aina kuitenkin myös työntekijän suostumus. Käsittelyyn liittyvää tarpeellisuusvaatimusta ei voida työntekijän suostumuksella ohittaa. Lisäksi on oltava mahdollista, että paikannus voidaan kytkeä pois erityisesti, milloin välittömään paikannukseen käytettävää laitetta voidaan käyttää myös työajan ulkopuolella.
    5. Yrityksen tulee aina tehdä tietosuoja-asetuksen mukainen tietosuojaa koskeva vaikutustenarviointi ennen paikantamisen toteuttamista. Kyseisen arvioinnin tarkoituksena on arvioida muun muassa, millaisia riskejä käsittelystä aiheutuu rekisteröidyille ja millaisilla keinoilla riskiä voidaan vähentää, jotta käsittely olisi sallittua. Analyysi on myös oiva työkalu käsittelyä suunniteltaessa.