Tietosuojablogi: Millä perustein työntekijän sijaintia saa valvoa?
Paikantamisen mahdollisuuksia ja uhkia
Esineiden internetin (IoT) ratkaisut ovat viime vuosina kehittyneet merkittävästi, minkä vuoksi sensoreiden avulla tuotettavien tietojen kerääminen ja automaattinen siirtäminen ovat aiempaa yksinkertaisempaa. Tänä päivänä lähes jokaisella työntekijällä on mukanaan älypuhelin tai jokin muu henkilökohtainen laite, vaikkapa GPS-paikannin, haalarikamera tai turvahälytin. Moni työntekijä käyttää työtehtävässään ajoneuvoa, johon on asennettu paikannuslaite. Paikantamisen avulla kerättävän tiedon tarkoitus on pääsääntöisesti työn suunnittelu, resurssien (esimerkiksi ajoneuvojen) kohdentaminen oikeaan paikkaan ja työturvallisuuden varmistaminen.
Näiden mahdollisuuksien lisäksi tekninen kehitys tuo mukanaan myös yksityisyyden suojaan liittyviä uhkia, sillä paikantamisen avulla henkilöiden sijainnin selvittäminen helpottuu ja työnantaja voi seurata, missä työntekijä milläkin hetkellä on ja mihin hän työaikaansa käyttää. Tällöin sijaintitiedon käsittely muuttuu henkilötietojen käsittelyksi, joka on EU:n yleisen tietosuoja-asetuksen 2016/679 mukaan sallittua ainoastaan, kun vähintään yksi tietosuoja-asetuksessa säädetyistä käsittelyperusteista täyttyy. Työntekijää ei saa paikantaa salaa. Mikä sitten on asiallinen käsittelyperuste?
Millä käsittelyperusteella voit paikantaa työntekijää
Suostumus asetetaan usein ensisijaiseksi perusteeksi henkilötietojen käsittelylle. Asia ei ole kuitenkaan niin yksiselitteinen, sillä työntekijä on epätasa-arvoisessa asemassa työnantajaansa nähden, eikä suostumuksen antamista voida tällöin pitää aidosti vapaaehtoisena. Suostumusten hallinnointi täytyy suunnitella: ne tulee kerätä kirjallisesti ja säilyttää – ja myös suostumuksen perumisen tulee olla mahdollista. Haasteeksi voi muodostua myös se, että välttämättä kaikki työntekijät eivät alunperinkään anna suostumustaan paikantamiseen. Mikäli ei paikanneta erityisiä (arkaluonteisia) henkilötietoja ja paikantamisen avulla kerätyt tiedot on tarkoitettu ainoastaan organisaation sisäiseen käyttöön rajatulle käyttäjäjoukolle, voidaan punnita, onko työntekijän suostumus ainoa vaihtoehto käsittelyperusteeksi.
Tasapainotestin avulla työnantaja voi pohtia, olisiko rekisterinpitäjän oikeutettu etu suostumusta sopivampi käsittelyperuste ― sekä sitä täydentävänä lakisääteinen velvoite (esimerkkinä työturvallisuuslaki). Tietosuojavaltuutetun toimiston verkkosivuilta löytyy ohjeistus tasapainotestin tekemiseen. Ammattijärjestöt tai aktiiviset työntekijät voivat tosin haastaa oikeutetun edun käsittelyperusteena. On myös huomioitava, että rekisterinpitäjän oikeutettu etu soveltuu käsittelyperusteeksi yksityisellä sektorilla, mutta sitä ei sovelleta viranomaistehtäviin.
Tunnista riskit ja hallitse niitä, muista avoin viestintä
Käsittelyperusteen valinta vaatii siis kokonaisharkintaa sekä erityisen selkeää ja avointa kommunikointia henkilöstölle paikantamisen tarpeesta ja tarkoituksesta. Paikantamisen periaatteet tulee käydä läpi työpaikan yhteistoimintamenettelyssä. Lisäksi työnantajan on tehtävä vaikutustenarviointi, ennen kuin se voi käsitellä työntekijöiden sijaintitietoja. Vaikutustenarviointi on laadittava aina, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski henkilön oikeuksille ja vapauksille.
Tietosuojavaltuutetun toimisto määräsi viime kuussa hallinnollisen seuraamusmaksun korkeakoululle tietosuojarikkomuksista työntekijöiden sijaintitietojen käsittelyssä. Rekisterinpitäjä käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella. Sanktiopäätös on aiheellinen muistutus siitä, että henkilötietoja on aina käsiteltävä tiettyä laillista tarkoitusta varten ja niitä kerättävä vain tarpeellinen määrä käsittelyn tarkoitukseen nähden.
Tarvitsetko sparrausta tietosuojaan
Tarvitsetko apua henkilötietojen käsittelyyn liittyvissä kysymyksissä? Netumin tietosuoja-asiantuntijat voivat auttaa sinua eteenpäin ketterästi, esimerkiksi vaikutustenarvioinnin työpaja voidaan useimmiten toteuttaa 1-2 työpäivän aikana. Autamme mielellämme myös henkilötietojen käsittelyn nykytilan ja kypsyystason kartoituksessa.
Ota rohkeasti yhteyttä: myynti@netum.fi
Anna Tuominen
DI, CIPM, johtava tietosuoja-asiantuntija
Netum Oy
Lisätietoja
Tagit
Liiketoimintaprosessi
Tietohallinto |
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Asiantuntijapalvelut | |
IT |
Tarjonnan tyyppi
Konsultointi | |
Koulutus |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
- Laura - Software Engineer
- Red & Blue Oy - Senior Web Developer
- Laura - Cybersecurity Compliance Lead
- Efima Oyj - Senior Data Engineer
- Laura - Tietosuojasuunnittelija: tiedonhallinta- ja tietosuojayksikkö; Joensuu; määräaikainen (id8753)
Premium-asiakkaiden viimeisimmät referenssit
- Roidu Oy - Eloisa - työntekijäkokemuksen kehittäminen osa toimintaa ja strategiaa
- Roidu Oy - Eerikkilä sai kerättyä palautetta erityisesti lapsilta ja nuorilta Roidun avulla
- Roidu Oy - Pohjanmaan hyvinvointialue tavoittelee Pohjoismaiden huippua asiakas- ja potilasturvallisuudessa
- Roidu Oy - Esperi Caren asiakaskokemuksen mittaaminen vietiin uudelle tasolle
- Virnex Group Oy - Palvelu asumisturvallisuuden parantamiseen
- Lekab Communication Systems Oy - Lekab Communication Systems Oy voitti Kansaneläkelaitoksen kilpailutuksen ohjelmistorobotiikan alustaratkaisusta
- Verkkovaraani Oy - Google Ads -konsultaatio Nordic Progressille
Tapahtumat & webinaarit
- 30.04.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales: Integroinnit CRM-ratkaisun kanssa
- 07.05.2024 - Koulutus: Tekoäly markkinoijan työkaluna
- 07.05.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales | Sisäänrakennetun BI-moduulin käyttö toimintojen suunnitteluun ja tulosraportointiin
- 07.05.2024 - Aamiaisseminaari: Kehitä ohjelmistoja tehokkaammin tekoälyllä
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
Premium-asiakkaiden viimeisimmät bloggaukset
- Rakettitiede Oy - Kaksi yrityskulttuuria, yksi konsultti
- Zone Media Oy - Zone blogissa joka viikko uusi blogijuttu
- Zone Media Oy - Zone+:n hyödyllisiä ominaisuuksia: WordPressin staging-ympäristö
- Zone Media Oy - Zone+ WordPress Assistant: kuinka luoda verkkosivusto sekunneissa tekoälyn avulla
- Kamu Digital Oy - Koulutus: Tekoäly markkinoijan työkaluna
- Kamu Digital Oy - Tekoäly markkinoinnissa
- Kamu Digital Oy - Vinkit tekoälyn promtaamiseen eli kehotemuotoiluun
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |