Eettiset periaatteet - arvot käytäntöön
Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.
Processing of personal data - Staff
The reasons why and situations where we process your personal data
Why do we process your personal data?
We process your personal data in connection with the following tasks:
- Salary and remuneration payments, the reception of salary calculation data and the transfer of salary calculation data to different stakeholders. The planning, management, monitoring and statistics related to staff, salary and employment relationship matters as well as the handling of an employer’s statutory and voluntary tasks.
- Staff working hours tracking system and the allocation of working hours (for the division of project salary expenses).
- The management of the evaluation process that is conducted in connection with the salary system for Finnish universities (YPJ)
- The evaluation process for the requirement level of a task
- The evaluation process for personal performance
- The occupational wellbeing of staff: Occupational wellbeing surveys and reports
Do we use automated profiling in our decision-making processes?
Automated decision-making refers to a decision meant for the evaluation of a person’s specific characteristics that is conducted using only automated data processing and that results in legal effects for the data subject or that will otherwise affect them in a significant way. Some examples of automated decision-making include credit status decisions and profiling. The data subject has the right to not be subjected to automated decision-making.
We do not utilise automated decision-making.
Why are we allowed to process your personal data?
The processing of personal data is based on the EU General Data Protection Regulation. The more detailed justifications for processing the data are:
- Compliance with the data controller’s statutory obligation. Acts and decrees: the Universities Act (558/2009), the Government Decree on Universities (770/2009), the Employment Contracts Act (55/2001)
- Implementation of the data controller’s or third party’s legitimate interests, specify the legitimate interest: the significant relationship between the data controller and the data subject (employment relationship)
Our staff management processes also involve the processing of so-called sensitive data (membership in a trade union), and the special justification for the processing of said data is to ensure the data controller’s or data subject’s compliance with any obligations that are related to labour law or social security.
Tietosuojan periaatteet
Tietosuojan periaatteet otetaan huomioon aina henkilötietoja käsiteltäessä: niin organisaationa suunniteltaessa palveluja ja prosesseja kuin yksittäisiä HR-työtehtäviä hoidettaessa.
| PERIAATE | ESIMERKKI |
| Lainmukaisuus, asianmukaisuus, läpinäkyvyys | Työntekijöille annetaan tiedot käsiteltävistä henkilötiedoista tietosuojailmoituksessa. |
| Käyttötarkoitussidonnaisuus | Suunniteltaessa palveluja ja järjestelmiä varmistetaan, että kerättäville tiedoille on määritetty käyttötarkoitus. |
| Minimointiperiaate | Vain välttämättömiä ja tarpeellisia tietoja pyydetään ja käsitellään HR-palveluissa. Esimerkiksi henkilötunnusta ei pyydetä tai merkitä asiakirjaan kun tunnistaminen on mahdollista syntymäajalla. |
| Tietojen täsmällisyys | Virheelliset tiedot järjestelmissä ja asiakirjoissa korjataan omasta aloitteesta tai asiakkaan pyytäessä. Vanhentuneita tietoja ei säilytetä. |
| Säilytyksen rajoittaminen | Tarpeettomat henkilötiedot poistetaan TOS mukaisesti ja prosessin päätyttyä. |
| Luottamuksellisuus ja turvallisuus | HR-palveluissa käytetään yliopiston tietoturvatarkistettuja järjestelmiä ja palveluja. Tietoturvasta työtehtävissä huolehditaan yliopiston ohjeiden mukaisesti. |
Tietosuoja yleisimmissä HR-prosesseissa
Esihenkilöt ja HR henkilötietojen käyttäjinä
Esihenkilöiden ja HR:n tehtäviin kuuluu olennaisesti työntekijöiden henkilötietojen käsittely eikä tietosuoja-asetus muuta tätä asiaa. Työnantajan nimeämät henkilötietojen käyttäjät käsittelevät roolista riippuen esim. koko korkeakoulun, yksittäisen tai useamman laitoksen tai oman tiimin työntekijöiden henkilötietoja. Henkilötietoja käsitellään HR-työssä monin eri tavoin, niin suullisesti keskusteluissa, kirjallisesti, sähköissä työnkuluissa, tietojärjestelmissä kuin sähköpostilla. Käyttöoikeudet HR-tietojärjestelmiin määritetään aina työtehtävien mukaan. Tiedot, joita käsitellään, voivat liittyä rekrytointiin, työsopimuksen solmimiseen, palkkaukseen, budjetointiin, matkustamiseen, suoriutumiseen, työkykyyn, sidonnaisuuksiin, poissaoloihin jne.
Osa käsiteltävistä tiedoista on julkisuuslain perusteella salassapidettävää tai arkaluontoista (terveystiedot), mikä asettaa tietojen käsittelylle erityiset vaatimukset.
REKRYTOINTI
XXXX
TIETOSUOJA TYÖSUHTEEN AIKANA
XXXX
Työtodistukset
Työntekijällä on oikeus saada 5 vuotta työsuhteen päättymisestä ns. laaja työtodistus ja 10 vuotta suppea työtodistus. Jos laaja työtodistus on laadittu, toimitahan työtodistuksen yksikkösi hr-yhteyshenkilölle keskitettyä arkistointia varten.
Valokuvat ja videot
Henkilöstökortissa ja siihen liittyvässä arkistossa säilytetään henkilön kuvaa työsuhteen ajan. Työntekijältä pyydetään aina erikseen lupa yhtiön tarpeissa suoritettaviin valokuvauksiin tai videointiin.
Valokuvien ja muiden henkilötietojen viemistä internetiin tai sisäiseen intranetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä. Tietosuojavaltuutetun kannanoton mukaan, mikäli työntekijän työtehtäviin kuuluu olla tunnistettavissa ja tavoitettavissa työyhteystietojen, ammattinimikkeen ja valokuvan perusteella ja menettely on asiallisesti perusteltua työtehtävien ja työantajan toiminnan kannalta, voidaan mm. työntekijän valokuva ja työyhteystiedot viedä organisaation kotisivuille.
TIETOSUOJA TYÖSUHTEEN PÄÄTTYESSÄ
Irtisanomisilmoitus
Työnantajan tai työntekijän laatima irtisanomisilmoitus sisältöineen ja vastaavasti tieto työntekijän irtisanomisesta, irtisanomispäivästä sekä irtisanomisperusteista voidaan katsoa olevan työnantajan henkilörekisterissä olevia irtisanoutumista ja työsopimuksen päättämistä koskevia työntekijän henkilötietoja. Työsopimus ja sen päättäminen on sellainen kahden osapuolen välinen sopimus ja luottamuksellinen asia, joka ei asianmukaisen käsittelyn vaatimus huomioon ottaen oikeuta työnantajaa ilmaisemaan sen sisältöä sivullisille.
Usein kysytyt kysymykset
XXXX
XXXX
Tekoälyn (AI-työkalut kuten ChatGPT) hyödyntäminen HR-työssä lisää tarvetta osata tiedonhallintaa ja henkilötietojen turvallista käsittelyä. Tekoälyä kokeiltaessa ja hyödynnettäessä seuraa yliopiston antamia yleisiä ohjeita, joita kehitetään tilanteen mukaan. Muistuta myös muita työntekijöitä näistä ohjeista. HR-työssä on syytä muistaa ainakin nämä seuraavat pääsäännöt:
- Samoin kuin muissakin tilanteissa, tulee yliopiston tehtävissä käyttää vain yliopiston hyväksymiä ja tietoturvatarkastamia IT-järjestelmiä. Suurin osa avoimesti verkossa olevista tekoälypalveluista ja sovelluksista ei ole yliopiston tarkistamia. Seuraa tilannetta esim. palveluvalikoimasta ja käyttöoikeuksista, ja noudata ITS ohjeita.
- Henkilötietoja ei tule syöttää tai siirtää tekoälytyökaluun. Varmistathan, että tiedät mikä kaikki on henkilötietoa – ainoastaan nimen, sähköpostiosoitteen tai yhteystietojen poistaminen ei ole riittävää, vaan käsittelemme silti tyypillisesti henkilötietoja HR-prosesseissa.
- Luottamuksellisia tai salassapidettäviä tietoja ei tule syöttää tai siirtää tekoälytyökaluun. Varmistathan, että tiedät tiimisi kanssa yleisimpien käsitteltävien tietojen luokittelun: mitkä ovat julkisia, mitkä luottamuksellisia tai salassapidettäviä.
- Olet vastuussa = Aalto-yliopisto vastaa myös sellaisesta henkilötiedosta, joka mahdollisesti sisältyy tekoälyn tuottamaan aineistoon. Pysähdy siis miettimään, miten tekoälyn antamia vastauksia jaetaan ja hyödynnetään.
XXXX
- Säilytä ja käytä lähtökohtaisesti henkilötietoja hr-tietojärjestelmissä: älä tarpeettomasti ota tietoja järjestelmän ulkopuolelle, ja mikäli tälle on tilapäinen tarve, suunnittele tietojen turvallinen säilyttäminen ja varmista niiden poistaminen.
- Teams: Teamsissa ei ole suositeltavaa säilyttää henkilötietoja. Jos teamsia käytetään hr-prosessissa, tulee tarpeettomien tai vanhentuneiden tietojen poistaminen suunnitella ja toteuttaa tiimissä järjestelmällisesti. Teamsissa ei saa säilyttää arkaluonteisia tai erityisiä henkilötietoja. Teams-kokousyhteys on suojattu eli keskusteleminen luottamusellisista asioista teamsin välityksellä on turvallista, mutta chat-kentät tai teams-ryhmät eivät sovellu luottamuksellisen tiedon välittämiseen.
- Sähköpostia käytettäessä tulee varmistaa suojatun postin käyttäminen. Sähköpostilla voit välittää toiseen aalto.fi -sähköpostiin eli esim. hr-kollegalle henkilötietoja. Huomaattehan, että sähköposti ei ole kuitenkaan oikea paikka säilyttää tietoja. Mikäli lähetät työntekijälle itselleen sähköpostitse henkilökohtaiseen osoitteeseen henkilötunnuksen sisältäviä tietoja tai erityisiä/arkaluonteisia tietoja sisältävän viestin tai liitteitä, tulee käyttää suojattua viestiä – myös silloin kun henkilö itse lähettää tietojaan suojaamattomana.
Salassapidettävät ja suojattavat tiedot sekä vaitiolovelvollisuus
Käsitteet: erityiset henkilötietoryhmät, salassapidettävät tiedot jne
XXXX
XXXX
XXXX
XXXX
Tietosuoja palveluiden suunnittelussa ja kehittämisessä
Tietosuoja-asetus (GDPR) tai tietosuojan toteuttaminen ei estä tarpeellista henkilötietojen käsittelyä eikä toiminnan tai palvelujen kehittämistä taikka järjestelmähankintoja. Tietosuojan huomioimisesta tulee kuitenkin huolehtia aina jo suunnitteluvaiheessa (ns. privacy by design / privacy by default). Voit mielellään pyytää kehittämishankkeiden alussa näkemyksiä ja riskiarvioita HR-juristilta tai tietosuojavastaavalta.
Suunnitteluvaatimus
Rekisterinpitäjän eli Aalto-yliopiston velvollisuutena on suunnitella henkilötietojen käsittelyn elinkaari. Tämä sisältää toimenpiteiden suorittamista ennen käsittelyn aloittamista, käsittelyn aikana ja oikeusperusteen lakattua. Yliopisto vastaa ohjeiden ja prosessien laatimisesta. Henkilötietojen käsittelyn suunnittelu sisällytetään HR-prosessien suunnitteluun ja kehittämiseen, ja jokainen HR-työntekijä ja esihenkilö vastaa osaltaan siitä, että toimii prosessien ja ohjeiden mukaisesti.
Ennen käsittelyn aloittamista tulee rekisterinpitäjän määrittää henkilötietojen käsittelyn tarkoitus ja oikeusperuste, käsittelyn kannalta tarpeelliset henkilötiedot, henkilötietojen säilyttämis- ja hävittämisajat ja –käytännöt näille sekä riittävät tietoturvatoimet. Tämän lisäksi tulee laatia tietosuojailmoitus, jonka tulee olla rekisteröityjen saatavilla.
Henkilötietojen käsittelyn aikana tulee hallinnoida ja ylläpitää tarvittavia suostumuksia, ylläpitää tietosuojailmoituksia, selosteita käsittelytoimista, dokumentaatiota ja ohjeistuksia, hallita tiedonsiirtoja kolmansiin maihin ja ylläpitää rekisteröidyn oikeuksia.
Henkilötietojen käsittelyn oikeusperusteen lakattuatulee varmistaa henkilötietojen lopullinen hävittäminen tai varmistaa tietojen myöhempi hävitys, mikäli henkilötietoja on tarpeen säilyttää pidempään.
Käyttötarkoitussidonnaisuus ja tietojen minimointi
Käyttötarkoitussidonnaisuus ja tietojen minimointi ovat henkilötietojen käsittelyä koskevia periaatteita.
- Käyttötarkoitussidonnaisuudella tarkoitetaan, että henkilötiedot ovat kerätty tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.
- Tietojen minimointiperiaate: Tietojen minimoinnilla tarkoitetaan, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
Informointivelvollisuus
Rekisterinpitäjällä eli Aalto-yliopistolla on EU:n Tietosuoja-asetuksen (2016/679) mukaisesti velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä.
Työntekijöiden tietosuojailmoituksessa informoimme työntekijöitä yliopiston tietosuojakäytännöistä, jotka koskevat työsuhdeasioiden ja vastaavien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja. Tämä tietosuojailmoitus määrittää miten henkilötietoja säännönmukaisesti käsitellään työsuhdeasioiden hoitamiseen liittyen eikä tietoja saa käsitellä ilmoitetun kanssa yhteensopimattomalla tavalla. Jos havaitset ilmoituksessa esimerkiksi prosessia kehitettäessä tai uusia palveluja suunnitellessa muutostarpeita, ole yhteydessä HR-asioiden juristiin, jotta tarvittavat päivitykset ilmoitukseen voidaan tehdä oikea-aikaisesti.
Yhteistoiminta henkilötietojen käsittelyssä
Työnantajalla on lakiin perustuva velvollisuus käsitellä yhteistoiminnassa henkilöstön kanssa osana ns. jatkuvaa vuoropuhelua myös tietosuojaa ja henkilötietoja koskevia asioita. Tällaisia vuoropuhelussa käsiteltäviä asioita ovat esimerkiksi työhönotossa ja työsuhteen aikana kerättävät henkilötiedot, huumausainetestien käyttö ja teknisen valvonnan, kuten kameravalvonnan ja kulunvalvonnan käyttö.
Linkkejä:
- XXXX
Tietosuojaan sitoutuminen / Linkit
Aalto-yliopiston tietosuojapolitiikka
Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.
This service is provided by:
Legal Services
Did you find what you were looking for? If not, please contact us.
- Published:
- Updated: