Tiimi 2

YKSITYISYYS JA TIETOSUOJA

Lyhyesti yksityisyydensuojasta työelämässä:

Yksityisyyden suojan osalta työelämässä on säädetty laki ja yksityisyyden suoja on määritelty laissa siten, että työnantajalla on oikeus käsitellä vain välttämättömiä työntekijän tietoja, jotka liittyvät työtehtävien erityisluonteeseen, työntekijälle tarjottuihin etuuksiin tai liittyvät oikeuksien sekä velvollisuuksien hoitamiseen työsuhteessa. Tätä tulee noudattaa, vaikka työntekijä toimintaan luvan antaisikin.

Luvallisiin lukeutuvia tietoja työnantajan tulee saada ensi sijassa työntekijältä. Jos tietoja kerätään muualta, on tästä kerrottava etukäteen työntekijälle ja tiedustelujen koskiessa luottotietoja, on tietojen keräämiseen käytettävä rekisteri ilmoitettava myös. Työntekijän tulee olla tietoinen, muualta kuin häneltä saaduista tiedoista, ennen kuin työnantaja voi käyttää niitä työntekijää koskevassa päätöksenteossa.

Näihin tietoihin lukeutuu työntekijän terveystiedot, henkilöluottotiedot, huumausaineiden käyttötiedot, henkilö- ja soveltuvuusarviointitesteistä saadut tiedot. Tietojen keräys-, käsittely- ja säilytysvelvoitteet työnantajalle on kirjattu kuhunkin kohtaan erikseen lakiin.

Työnantaja saa järjestää sekä ylläpitää tiloissaan tallentavaa kameravalvontaa, kunhan siitä on kerrottu avoimesti, kohteena ei ole yksittäisen tai yksittäisten henkilöiden tarkkailu, kuvausta ei suoriteta wc.ssä, henkilöstötiloissa tai työntekijälle henkilökohtaiseen käyttöön annetussa tilassa. Yleisiä kameravalvonnan syitä ovat väkivallan uhkan ja terveyden haitan ehkäisy, omaisuusrikoksien estäminen ja selvittely sekä työntekijän etujen ja oikeuksien varmistaminen, mikäli työntekijä sitä itse pyytää. Yksityisyyteen ei saa puuttua enempää kuin tarpeen, tallenteita ei saa käyttää kuin niihin tarkoituksiin, joihin ne on kuvattu, niitä saa säilyttää vain valvonnan kannalta tarpeellisen ajan, ei kuitenkaan enempää kuin korkeintaan vuoden tai kunnes tarkkailua vaatinut tapahtuma on käsitelty loppuun.

Yksityisyydensuoja koskee myös työntekijän työsähköpostia. Työntekijä voi poissaolonsa ajaksi ajastaa automaattisen vastausviestin, jossa kertoo poissaoloaikansa ja kenen puoleen voi sillä aikaa kääntyä hänen sijastaan, työntekijä voi ohjata viestit sovitulle henkilölle tai sovitusti itselleen toiseen osoitteeseen tai antaa suostumuksen siihen, että joku toinen henkilö voi ottaa ja avata työhön kuuluvat, postiin saapuvat viestit, mikäli ne ovat työn kannalta välttämättömiä avata poissaolon aikana. Tarkemmat sähköpostin avausta koskevat säännökset löytyvät laista.

(Laki yksityisyyden suojasta työelämässä 759/2004)


Asioita joita ei saa kysyä/tallentaa

Etninen alkuperä, uskonnollinen vakaumus, geneettiset tiedot, seksuaalinen käyttäytyminen. Jos henkilö itse kysymättä näistä kirjoittaa lomakkeelle, ei tietoja saa käsitellä ja lomake on asianmukaisten tietojen tallentamisen jälkeen tuhottava. Vain tietyillä organisaatioilla on niihin oikeus ja oikeudet perustuvat alaa sääteleviin lakeihin. (Riutta, 2021)



Yksityiset tiedot ovat henkilötietoja siinä missä työnantajalle annettavat välttämättömätkin työntekijätiedot. Yksityisten tietojen suhteen henkilö itse on avainasemassa sen suhteen, etteivät kyseiset tiedot kantaudu henkilöille/organisaatioille, joille ne eivät kuulu, välttämättömien tietojen suhteen tietoja kerännyt ja niistä rekisterin luonut taho on vastuussa keräämästään aineistostaan, säilytyksestä sekä tuhoamisesta siten, ettei ulkopuoliset pääse tietoihin käsiksi. Viranomaisten ja organisaatioiden käytäntöjen yhdentämiseksi EU:n alueella on säädetty 2018 voimaan tullut GDPR-laki. (Riutta, 2021)

Mikä on GDPR?

GDPR, eli Euroopan tietosuoja-asetus tulee sanoista General Data Protection Regulation. Kyseessä on laki, jonka soveltaminen aloitettiin keväällä 2018 kaikissa EU-maissa tarkoituksena suojata paremmin ihmisten henkilötietoja sekä antaa enemmän hallintakeinoja omien henkilökohtaisten tietojen käsittelyyn.

Tietosuoja-asetuksen myötä EU-maiden tietosuojasääntely yhtenäistyi, henkilötietojen kerääminen sekä säilyttäminen muuttui läpinäkyvämmäksi, eli tahojen on kerrottava henkilölle hänen kysyessään, onko heillä hänestä tietoja, mitä tietoja, mihin tarkoitukseen niitä on kerätty ja miten niitä säilytetään. Henkilöllä on oikeus pyytää tietojensa korjausta, vastustaa/rajoittaa niiden käsittelyä, siirtää tietonsa toiselle organisaatiolle ja jopa pyytää poistamaan tietonsa organisaation rekisteristä. Henkilöön ei myöskään saa kohdentaa automaattista päätöksentekoa perusteetta.

Organisaatioille tämä toi selvitysvelvollisuuden yksityishenkilöille sekä vastuun säilyttää heistä keräämiänsä tietoja oikein, käyttää tietoja vain kerättyyn tarkoitukseen ja tuhota tiedot käyttötarkoituksen jälkeen, jolloin laillista perustelua tietojen käsittelyyn ei enää ole.

(Tietosuojavaltuutetun toimisto, n.d.)

Konkreettisia asioita yksityisyydensuojasta ja tietosuojasta  työnantajan ja työntekijän näkökulmista työsuhteen eri vaiheissa

Eduhouse-verkkokoulutuspalvelussa asianajaja Teppo Laine tuo esille Työntekijöiden henkilötietojen käsittely- koulutuksissaan jo aikaisemmin käsiteltyjen aiheiden (mitkä asiat kuuluvat työnantajalle, tietojen käsittely) lisäksi yksityisyyden- ja tietosuojaan liittyviä tilanteita työelämässä. Esimerkiksi koulutustallenteessa 3 hän käsittelee paria hyvin ohuen rajan omaavaa tapausta, kuten siitä mikä on työnantajalle kuuluvaa työn laadun ja tuloksellisuuden seurantaa, eli sen seurantaa paljonko saadaan aikaiseksi. Tämä on työnantajalle kuuluvaa ja soveliasta toimintaa, mutta mikäli aletaan seuraamaan mihin aikaan työntekijä tekee työnsä (jos kyse on esimerkiksi itse työajastaan päättävästä henkilöstä) ja sen tai henkilökohtaisten työelämään liittymättömien mieltymysten perusteella luodaan päätelmiä henkilön yksityiselämästä, on kyse profiloinnista, mikä ei ole sallittua lähtökohtaisesti ilman työntekijän suostumusta. Toinen ohuen rajan tilanne on esillä esimerkiksi siinä, kun työsuojeluvaltuutetulla on oikeus nähdä työkirjanpito. Näissä kuitenkin on nähtävissä myös työntekijöiden sairauslomat, jotka eivät ole työsuojeluvaltuutetulle kuuluvaa tietoa, paitsi siinä tapauksessa, jos kyseessä on työkuormituksen selvittäminen. Niissä tilanteissa, joissa rajanveto on hankalaa, olisikin hyvä pyytää ohjausta tietosuojavaltuutetulta, sillä viranomaisilla on velvollisuus neuvoa.

Koulutustallenteessa käsiteltiin myös korona-ajan mukaisesti matkustamiseen, altistumiseen sekä etätyöhön liittyviä kysymyksiä ja ongelmatilanteita. Edelleenkään työntekijällä ei ole velvollisuutta kertoa työnantajalleen missä lomallansa kävi, eikä mahdollista korona-altistusta saa kertoa muille työntekijöille ilman suostumusta, sillä sekin on henkilötieto. Yleistynyt etätyö onkin melkoinen koitos yksityisyyden- sekä tietosuojan kannalta. Kotiolosuhteissa papereiden sekä tiedostojen säilyttäminen sekä käsittely asianmukaisesti voi olla hankalaa, etenkin jos taloudessa asuu muitakin henkilöitä, myös puheluiden aikana tietosuojan tulee toteutua ja oman hankaluuden tuovat esimerkiksi etäkokoukset, sillä samaan aikaan voi kuuloläheisyydellä olla asiattomiakin henkilöitä. (Laine, 2020)

Tiivistettynä työnantajalla ei ole lupaa kysyä, kerätä tai säilyttää työntekijästä muuta tietoa, kuin mikä on työn tekemisen ja vaatimusten kannalta välttämätöntä. Tiedot ovat luottamuksellisia ja ne on tuhottava sen jälkeen, kun ne eivät enää ole tarkoituksen mukaisia. Tietojen mukana tullut salassapitovelvollisuus tulee säilyttää myös työntekijän työsuhteen päätyttyä. Työnantajan tulee tarjota työntekijälle perehdytystä, koulutusta sekä kertaamista tietoturvan suhteen ja varmistettava että työntekijä osaa sekä ymmärtää toimia ohjeistuksen mukaisesti. Työnantajan on työntekijän pyytäessä esitettävä hänestä tallennetut tiedot ja pystyttävä selvittämään miksi ja mitä varten tiedot ovat kerätty. Työntekijän pyytäessä on työnantajan korjattava tai poistettava virheelliset tiedot.

Työntekijän ei tarvitse kertoa työnantajalleen sairaushistoriastaan, mikäli se ei ole työnteon kannalta olennaista, eikä mistään muustakaan työhön kuulumattomasta. Työsuhteen aikana tulee noudattaa työnantajan ohjeistuksia tietoturvan osalta, esimerkiksi työpaikan koneilla ei kirjauduta sosiaaliseen mediaan, tietoturvapäivitykset pidetään ajan tasalla kuten tietoturvataidotkin jne... Työntekijä ei saa aiheuttaa työnantajalle vahinkoa tuomalla julki kolmannelle osapuolelle työnantajan salaisuuksia sekä kilpailustrategioita, päästämällä ulkopuolisia työnantajan tiedostoihin, asentaa omia ohjelmistoja työvälineilleen tai pyrkiä hakkeroitumaan sivuille, jotka eivät hänelle kuulu. Työpaikan ihmisten asioista ei saa myöskään laverrella ulkopuolisille, eikä järjestelmiä saa käyttää omiin tarkoituksiin etsimällä tietoa arkistoista, jotka eivät itselle kuulu. Työntekijän tulee noudattaa salassapitovelvollisuuttaan myös työsuhteen päätyttyä.

Miten näitä tulisi/voisi kehittää?

Eduhousen Työntekijöiden henkilötietojen käsittely-koulutuksessa, tallenteessa 4, asianajaja Teppo Laine kertoo kuinka yksityisyyden suojaa sekä tietoturvaa voidaan parantaa teknisesti. Ratkaisuiksi hän antaa uniikkien käyttäjätunnusten ja salasanojen käyttöönoton, henkilöstö tulisi perehdyttää kunnolla tietoturvaan työn aloittaessaan, sekä myöhemminkin kerrata sekä kouluttaa lisää, sillä ihminen on taipuvainen unohtamaan ja järjestelmät muuttuvat. Jokaisen työntekijän on kuitenkin ymmärrettävä tietosuojan tärkeys sekä osattava toimia.

Yritysten tulisi käyttää vain ohjelmistoja jotka päivittyvät, ihmisten huolehtia että uuden tullessa päivittävät koneensa, päivitysten ajantasaisuus ja testata toimivuutta. Yrityksen työtilasivuille pääsy vain yrityksen omilla koneilla ja välineillä, joita ei yhdistellä etätyössäkään kotikoneisiin, esimerkiksi omaan tulostimeen, eikä työkoneille ladata mitään omaa ohjelmistoa. Somea ei myöskään selailla työkoneella. Yritysten olisi hyvä teettää riskiselvitys etätyön osalta ja tehdä tarvittavat toimenpiteet tulosten perusteella. (Laine, 2020)




Pohdintaa

Jakaessamme kokemuksia tietoturvan toteutumisesta työpaikoillamme, esiin nousi erilaisia käytössä olevia keinoja jatkuvien ohjelmistopäivitysten sekä vanhenevien salasanojen lisäksi, esimerkiksi Hoxhunt-ohjelma, jonka avulla simuloidaan kalastelusähköpostiviestejä ja työntekijän tehtävänä on tunnistaa ja raportoida löytämänsä kalastelut. Oikein osuneesta ilmoituksesta työntekijä kerryttää palkintotähtiä ja saa joka kerralla pienen opetusluennon minkälaisia eri keinoja huijausviesteissä käytetään ihmisten lankaan saamisessa. Varsinaisia oikeita huijausviestejä ei sähköpostiin ole toistaiseksi päätynyt, vielä, mutta tästä on ollut ihan huomattavaa hyötyä yksityiselämässä, esimerkiksi erilaisten valetapahtumien tunnistamisessa valetapahtumaksi somessa.

Työpaikoilla on omissa intraneteissä erilaisia ohjeistuksia tietosuojaan, esimerkiksi siitä, että työasioita tehdään vain työpaikan omilla välineillä, tietosuojakoulutuksiin on pakollista osallistua, ohjelmistoja päivitetään usein ja päivitysilmoituksen tullessa on päivitykset suoritettava heti kun mahdollista. Työvälineiden kanssa tulee olla tarkkana ja estää ulkopuolisten pääsy tietoihin salasanojen sekä erilaisten kalvosuojien kanssa, papereita ei jätetä työpöydälle levälleen ja työpisteeltä poistuttaessa käännetään tietoa sisältävät paperit tyhjä puoli ylöspäin ja lukitaan kone. Tiloissa, joihin on ulkopuolisillakin oikeus päästä ja otaa vaikka valokuvia, tulee työntekijöiden seurata mistä kuvia otetaan ja opastaa sallitut kohteet. Mikäli opastusta ei noudateta, on lupa uhata vartijan paikalle kutsumisella sekä porttikiellolla ja tarpeen tullen nämä toteuttaa.

Yksityisyyden suojan suhteen ryhmämme jäsenillä ei ole ollut suurempia hankaluuksia. Työnantajat eivät esimerkiksi ole kyselleet haastattelutilanteissa suoraan perheenperustamisajatuksista, mutta tämä ei tarkoita sitä, etteikö niitä olisi kautta rantain joskus yritetty tiedustella käyttäen jotain muuta kiertoilmaisua, kuten kyselemällä ajatuksia perhe- ja työelämän yhdistämisestä.


Lähteet:

Laki yksityisyydensuojasta työelämässä 759/2004.

https://www.finlex.fi/fi/laki/ajantasa/2004/20040759

Riutta, E. (05.07.2021). Tietosuoja-asetus GDPR 2020 - 1. Intro ja määritelmiä (video). Eduhouse. https://app.eduhouse.fi/palvelu/koulutuskokonaisuudet/37583261-tietosuoja-asetus-gdpr-2020/37583204-tietosuoja-asetus-gdpr-2020-1-intro-ja-maaritelmia

Tietosuojavaltuutetun toimisto. (n.d.). Usein kysyttyä EU:n tietosuoja-asetuksesta. Haettu 18.09.2021 osoitteesta https://tietosuoja.fi/gdpr

Laine, T. (29.05.2020). Työntekijöiden henkilötietojen käsittely - 3. Keskeiset ongelmakohdat (video). Eduhouse. https://app.eduhouse.fi/palvelu/koulutuskokonaisuudet/9287234-tyontekijoiden-henkilotietojen-kasittely-ajankohtaiskatsaus-2020/11019314-tyontekijoiden-henkilotietojen-kasittely-3-keskeiset-ongelmakohdat

Laine, T. (29.05.2020). Työntekijöiden henkilötietojen käsittely - 4. Hyvän tietosuojatason ylläpito (video). Eduhouse. https://app.eduhouse.fi/palvelu/koulutuskokonaisuudet/9287234-tyontekijoiden-henkilotietojen-kasittely-ajankohtaiskatsaus-2020/11020069-tyontekijoiden-henkilotietojen-kasittely-4-hyvan-tietosuojan-tason-yllapito


 

Kaikki oikeudet pidätetään 2021
Luotu Webnodella
Luo kotisivut ilmaiseksi! Tämä verkkosivu on luotu Webnodella. Luo oma verkkosivusi ilmaiseksi tänään! Aloita