Hae it-yrityksiä
osaamisalueittain:

Asiakkuudenhallinta CRM BI ja raportointi HR Tuotekehitys ja suunnittelu Toiminnanohjaus ERP Taloushallinto Markkinointi Webkehitys Mobiilikehitys Käyttöliittymäsuunnittelu Tietoturva Verkkokaupparatkaisut Ohjelmistokehitys Integraatiot Pilvipalvelut / SaaS Tekoäly (AI) ja koneoppiminen Lisätty todellisuus ja VR Paikkatieto GIS IoT Microsoft SAP IBM Salesforce Amazon Web Services Javascript React PHP WordPress Drupal

Tietosuojablogi: Millä perustein työntekijän sijaintia saa valvoa?

Bloggaus

Paikantamisen mahdollisuuksia ja uhkia

Esineiden internetin (IoT) ratkaisut ovat viime vuosina kehittyneet merkittävästi, minkä vuoksi sensoreiden avulla tuotettavien tietojen kerääminen ja automaattinen siirtäminen ovat aiempaa yksinkertaisempaa. Tänä päivänä lähes jokaisella työntekijällä on mukanaan älypuhelin tai jokin muu henkilökohtainen laite, vaikkapa GPS-paikannin, haalarikamera tai turvahälytin. Moni työntekijä käyttää työtehtävässään ajoneuvoa, johon on asennettu paikannuslaite. Paikantamisen avulla kerättävän tiedon tarkoitus on pääsääntöisesti työn suunnittelu, resurssien (esimerkiksi ajoneuvojen) kohdentaminen oikeaan paikkaan ja työturvallisuuden varmistaminen.

Näiden mahdollisuuksien lisäksi tekninen kehitys tuo mukanaan myös yksityisyyden suojaan liittyviä uhkia, sillä paikantamisen avulla henkilöiden sijainnin selvittäminen helpottuu ja työnantaja voi seurata, missä työntekijä milläkin hetkellä on ja mihin hän työaikaansa käyttää. Tällöin sijaintitiedon käsittely muuttuu henkilötietojen käsittelyksi, joka on EU:n yleisen tietosuoja-asetuksen 2016/679 mukaan sallittua ainoastaan, kun vähintään yksi tietosuoja-asetuksessa säädetyistä käsittelyperusteista täyttyy. Työntekijää ei saa paikantaa salaa. Mikä sitten on asiallinen käsittelyperuste?

Millä käsittelyperusteella voit paikantaa työntekijää

Suostumus asetetaan usein ensisijaiseksi perusteeksi henkilötietojen käsittelylle. Asia ei ole kuitenkaan niin yksiselitteinen, sillä työntekijä on epätasa-arvoisessa asemassa työnantajaansa nähden, eikä suostumuksen antamista voida tällöin pitää aidosti vapaaehtoisena. Suostumusten hallinnointi täytyy suunnitella: ne tulee kerätä kirjallisesti ja säilyttää – ja myös suostumuksen perumisen tulee olla mahdollista. Haasteeksi voi muodostua myös se, että välttämättä kaikki työntekijät eivät alunperinkään anna suostumustaan paikantamiseen. Mikäli ei paikanneta erityisiä (arkaluonteisia) henkilötietoja ja paikantamisen avulla kerätyt tiedot on tarkoitettu ainoastaan organisaation sisäiseen käyttöön rajatulle käyttäjäjoukolle, voidaan punnita, onko työntekijän suostumus ainoa vaihtoehto käsittelyperusteeksi.

Tasapainotestin avulla työnantaja voi pohtia, olisiko rekisterinpitäjän oikeutettu etu suostumusta sopivampi käsittelyperuste ― sekä sitä täydentävänä lakisääteinen velvoite (esimerkkinä työturvallisuuslaki). Tietosuojavaltuutetun toimiston verkkosivuilta löytyy ohjeistus tasapainotestin tekemiseen. Ammattijärjestöt tai aktiiviset työntekijät voivat tosin haastaa oikeutetun edun käsittelyperusteena. On myös huomioitava, että rekisterinpitäjän oikeutettu etu soveltuu käsittelyperusteeksi yksityisellä sektorilla, mutta sitä ei sovelleta viranomaistehtäviin.

Tunnista riskit ja hallitse niitä, muista avoin viestintä

Käsittelyperusteen valinta vaatii siis kokonaisharkintaa sekä erityisen selkeää ja avointa kommunikointia henkilöstölle paikantamisen tarpeesta ja tarkoituksesta. Paikantamisen periaatteet tulee käydä läpi työpaikan yhteistoimintamenettelyssä. Lisäksi työnantajan on tehtävä vaikutustenarviointi, ennen kuin se voi käsitellä työntekijöiden sijaintitietoja. Vaikutustenarviointi on laadittava aina, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski henkilön oikeuksille ja vapauksille.

Tietosuojavaltuutetun toimisto määräsi viime kuussa hallinnollisen seuraamusmaksun korkeakoululle tietosuojarikkomuksista työntekijöiden sijaintitietojen käsittelyssä. Rekisterinpitäjä käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella. Sanktiopäätös on aiheellinen muistutus siitä, että henkilötietoja on aina käsiteltävä tiettyä laillista tarkoitusta varten ja niitä kerättävä vain tarpeellinen määrä käsittelyn tarkoitukseen nähden.

Tarvitsetko sparrausta tietosuojaan

Tarvitsetko apua henkilötietojen käsittelyyn liittyvissä kysymyksissä? Netumin tietosuoja-asiantuntijat voivat auttaa sinua eteenpäin ketterästi, esimerkiksi vaikutustenarvioinnin työpaja voidaan useimmiten toteuttaa 1-2 työpäivän aikana. Autamme mielellämme myös henkilötietojen käsittelyn nykytilan ja kypsyystason kartoituksessa.

Ota rohkeasti yhteyttä: myynti@netum.fi

Anna Tuominen

DI, CIPM, johtava tietosuoja-asiantuntija

Netum Oy

Pinterest
Netum Group Oyj logo

Lisätietoja

Yritysprofiili Netum Group kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

Tietohallinto

Erikoisosaaminen

Tietoturva

Toimialakokemus

Asiantuntijapalvelut
IT

Tarjonnan tyyppi

Konsultointi
Koulutus

Omat tagit

Tietosuoja
hallinnollinen tietoturva
Tietoturvakonsultointi
Internet of Things
Paikannus
EU-tietosuoja-asetus

Siirry yrityksen profiiliin Netum Group kotisivut Yrityshaku Referenssihaku Julkaisuhaku

Netum Group - Asiantuntijat ja yhteyshenkilöt

Netum Group - Muita referenssejä

Netum Group - Muita bloggauksia

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia