Paikantamisen mahdollisuuksia ja uhkia

Esineiden internetin (IoT) ratkaisut ovat viime vuosina kehittyneet merkittävästi, minkä vuoksi sensoreiden avulla tuotettavien tietojen kerääminen ja automaattinen siirtäminen ovat aiempaa yksinkertaisempaa. Tänä päivänä lähes jokaisella työntekijällä on mukanaan älypuhelin tai jokin muu henkilökohtainen laite, vaikkapa GPS-paikannin, haalarikamera tai turvahälytin. Moni työntekijä käyttää työtehtävässään ajoneuvoa, johon on asennettu paikannuslaite. Paikantamisen avulla kerättävän tiedon tarkoitus on pääsääntöisesti työn suunnittelu, resurssien (esimerkiksi ajoneuvojen) kohdentaminen oikeaan paikkaan ja työturvallisuuden varmistaminen.

Näiden mahdollisuuksien lisäksi tekninen kehitys tuo mukanaan myös yksityisyyden suojaan liittyviä uhkia, sillä paikantamisen avulla henkilöiden sijainnin selvittäminen helpottuu ja työnantaja voi seurata, missä työntekijä milläkin hetkellä on ja mihin hän työaikaansa käyttää. Tällöin sijaintitiedon käsittely muuttuu henkilötietojen käsittelyksi, joka on EU:n yleisen tietosuoja-asetuksen 2016/679 mukaan sallittua ainoastaan, kun vähintään yksi tietosuoja-asetuksessa säädetyistä käsittelyperusteista täyttyy. Työntekijää ei saa paikantaa salaa. Mikä sitten on asiallinen käsittelyperuste?

Millä käsittelyperusteella voit paikantaa työntekijää

Suostumus asetetaan usein ensisijaiseksi perusteeksi henkilötietojen käsittelylle. Asia ei ole kuitenkaan niin yksiselitteinen, sillä työntekijä on epätasa-arvoisessa asemassa työnantajaansa nähden, eikä suostumuksen antamista voida tällöin pitää aidosti vapaaehtoisena. Suostumusten hallinnointi täytyy suunnitella: ne tulee kerätä kirjallisesti ja säilyttää – ja myös suostumuksen perumisen tulee olla mahdollista. Haasteeksi voi muodostua myös se, että välttämättä kaikki työntekijät eivät alunperinkään anna suostumustaan paikantamiseen. Mikäli ei paikanneta erityisiä (arkaluonteisia) henkilötietoja ja paikantamisen avulla kerätyt tiedot on tarkoitettu ainoastaan organisaation sisäiseen käyttöön rajatulle käyttäjäjoukolle, voidaan punnita, onko työntekijän suostumus ainoa vaihtoehto käsittelyperusteeksi.

Tasapainotestin avulla työnantaja voi pohtia, olisiko rekisterinpitäjän oikeutettu etu suostumusta sopivampi käsittelyperuste ― sekä sitä täydentävänä lakisääteinen velvoite (esimerkkinä työturvallisuuslaki). Tietosuojavaltuutetun toimiston verkkosivuilta löytyy ohjeistus tasapainotestin tekemiseen. Ammattijärjestöt tai aktiiviset työntekijät voivat tosin haastaa oikeutetun edun käsittelyperusteena. On myös huomioitava, että rekisterinpitäjän oikeutettu etu soveltuu käsittelyperusteeksi yksityisellä sektorilla, mutta sitä ei sovelleta viranomaistehtäviin.

Tunnista riskit ja hallitse niitä, muista avoin viestintä

Käsittelyperusteen valinta vaatii siis kokonaisharkintaa sekä erityisen selkeää ja avointa kommunikointia henkilöstölle paikantamisen tarpeesta ja tarkoituksesta. Paikantamisen periaatteet tulee käydä läpi työpaikan yhteistoimintamenettelyssä. Lisäksi työnantajan on tehtävä vaikutustenarviointi, ennen kuin se voi käsitellä työntekijöiden sijaintitietoja. Vaikutustenarviointi on laadittava aina, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski henkilön oikeuksille ja vapauksille.

Tietosuojavaltuutetun toimisto määräsi viime kuussa hallinnollisen seuraamusmaksun korkeakoululle tietosuojarikkomuksista työntekijöiden sijaintitietojen käsittelyssä. Rekisterinpitäjä käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella. Sanktiopäätös on aiheellinen muistutus siitä, että henkilötietoja on aina käsiteltävä tiettyä laillista tarkoitusta varten ja niitä kerättävä vain tarpeellinen määrä käsittelyn tarkoitukseen nähden.

Tarvitsetko sparrausta tietosuojaan

Tarvitsetko apua henkilötietojen käsittelyyn liittyvissä kysymyksissä? Netumin tietosuoja-asiantuntijat voivat auttaa sinua eteenpäin ketterästi, esimerkiksi vaikutustenarvioinnin työpaja voidaan useimmiten toteuttaa 1-2 työpäivän aikana. Autamme mielellämme myös henkilötietojen käsittelyn nykytilan ja kypsyystason kartoituksessa.

Ota rohkeasti yhteyttä: myynti@netum.fi

Anna Tuominen

DI, CIPM, johtava tietosuoja-asiantuntija

Netum Oy