Uutiset 02.03.2018

GDPR - Työnantaja, tiedätkö velvoitteesi työntekijöiden henkilötietojen käsittelyssä?


Euroopan Unionin uusi tietosuoja-asetus (GDPR) tulee voimaan 25.5.2018 ja asettaa koko joukon vaatimuksia henkilötietojen käsittelylle. Tässä jutussa keskitymme siihen, miten muutos vaikuttaa yrityksen työntekijöitä koskevien tietojen käsittelyyn.

Kerää vain perusteltua tietoa työntekijöistäsi

Työnantajan tulee kirjata kaikki käytössään olevat rekisterit, joissa on henkilötietoja. Kaikessa toiminnassa tämän jälkeen tulee noudattaa asetuksen yleisiä tietosuojaperiaatteita. Periaatteiden mukaan henkilötietoja saa kerätä vain asetuksen määräämillä perusteilla ja näin kerättyjä tietoja saa käyttää vain juuri siihen tarkoitukseen mihin tiedot on kerätty. Lisäksi tietoja tulee kerätä vain niin vähän, kuin on tarpeen työnantajavelvoitteista huolehtimiseksi. Tällaisia tietoja ovat mm. työntekijän koulutus ja kokemus, sosiaaliturvatunnus, pankkitili sekä tieto työntekijän lähiomaisesta mahdollisia hätätilanteita varten. 

Laadi tietosuojaseloste

Työnantajan on laadittava tietosuojaseloste, josta selviää, miten asetuksen vaatimuksia noudatetaan. Seloste korvaa vanhan henkilötietolain rekisteriselosteen. Selosteen tulee sisältää tiedot työnantajasta, tietojen keräämisen tarkoitus, mihin henkilötietoja säännöllisesti luovutetaan (esim. verottaja) sekä kuinka kauan henkilötietoja säilytetään. Seloste on julkinen asiakirja, joten sen voi esimerkiksi laittaa nähtäville yrityksen sisäiseen intraan tai vastaavaan.

Säilytä ja poista työntekijöidesi tiedot oikein

Työntekijällä on oikeus saada tietää mitä tietoja työnantajalla hänestä on sekä oikeus vaatia virheellisten tai puutteellisten tietojen oikaisua. Kun työsuhde päättyy, tulee työnantajan huolehtia siitä, että ne tiedot, joita ei enää tarvita, poistetaan.

Ylipäänsä jatkossa on entistä tärkeämpää huolehtia siitä, että kerätyt henkilötiedot poistetaan, kun niitä ei enää tarvita. Kuitenkin on huomioitava, että koska työntekijällä on oikeus pyytää työtodistusta vielä 10 vuoden ajan työsuhteen päättymisen jälkeen, yleiset tiedot työsuhteen kestosta ja työtehtävistä tulee säilyttää vielä tämän ajan.

Jos ulkoistat tietojen käsittelyn, tee sopimukset huolella

Työnantajan ei tarvitse tehdä kaikkia toimenpiteitä yksin. Asetus sallii eri toimintojen ulkoistuksen (esim. palkkahallinnon ulkoistus). Tällöin henkilötietojen käsittelystä huolehtivasta tahosta käytetään nimitystä Henkilötietojen käsittelijä (= Data Processor). Tällainen ulkoistussopimus tulee tehdä kirjallisesti ja myös toimintaohjeet Henkilötietojen käsittelijälle on annettava kirjallisesti. Koska työnantaja rekisterinpitäjänä on kuitenkin lopullisesti vastuussa henkilörekisteritietojen käsittelystä, on työnantajan syytä sopia vastuukysymykset selvästi.

Mikäli palvelun tarjoaja ei ole EU:n alueella, Norjassa tai Sveitsissä toimiva yritys, on huomattava, että henkilötietojen siirto tällaiseen maahan vaatii yleensä erityisjärjestelyjä. 

 

Aiheeseen liittyen: GDPR ja millä perustein käsittelemme henkilötietoja

JAA