Palvelut

Henkilötietojen käsittely - Henkilöstöasiat ja esihenkilötyö

Ohjeet HR:lle ja esihenkilöille koskien työntekijöiden henkilötietojen käsittelyä työsuhdeasioissa. Ohjetta ylläpitää lakipalvelut.

Tietosuojan huoneentaulu HR-asiantuntijalle ja esihenkilölle

  1. Muista, että oikeus yksityisyyden suojaan, myös työnhaussa ja työpaikalla, on kaikkien perusoikeus.  
  2. Tunnista, mitkä työtehtäväsi sisältävät työntekijöiden henkilötietojen käsittelyä ja missä roolissa toimit.
  3. Tutustu Aallon tietosuojapolitiikkaan, muihin henkilötietojen käsittelyä ja tietoturvaa koskeviin ohjeisiin ja suorita tietosuojan perusteet -verkkokoulutus.  
  4. Ole aina huolellinen käsitellessäsi työnhakijoiden ja työntekijöiden henkilötietoja riippumatta siitä, onko kyse sähköisesti, suullisesti tai paperilla käsiteltävistä tiedoista.  
  5. Ole erityisen huolellinen käsitellessäsi arkaluonteisia (terveystiedot) tai salassapidettäviä (esim. henkilötunnus, tavoitekeskustelu, suorituksen johtaminen) henkilötietoja ja muista tietojen suojaaminen sivullisilta!  
  6. Älä säilytä omissa arkistoissasi dokumentteja, jotka säilytetään keskitetysti ja joiden sisältämä tieto tallennetaan hr-tietojärjestelmään.  
  7. Käy arkistosi läpi vähintään puolivuosittain ja opettele deletoimaan! 
  8. Ilmoita välittömästi epäilyttävistä asioista kuten tietojen päätymisestä väärään paikkaan, tietojärjestelmän poikkeamista, ja myös inhimillisistä virheistä: security(at)aalto.fi, tietosuojavastaava(at)aalto.fi  
  9. Muista vaitiolovelvollisuus ja sovita keskustelusi ja työtapasi aina ympäristöön: Alä lörpöttele toisten asioista ja suojaa tietokoneesi näyttö ulkopuolisten katseilta.  
  10. Kysy ellet tiedä! (tietosuojavastaava, työsuhdejuristi, hr-päällikkö. Tietoturva: ITS-palvelut) 

Tietosuojan periaatteet

Tietosuojan periaatteet otetaan huomioon aina henkilötietoja käsiteltäessä: niin organisaationa suunniteltaessa palveluja ja prosesseja kuin yksittäisiä HR-työtehtäviä hoidettaessa.

PERIAATE ESIMERKKI
Lainmukaisuus, asianmukaisuus, läpinäkyvyys Työntekijöille annetaan tiedot käsiteltävistä henkilötiedoista tietosuojailmoituksessa.
Käyttötarkoitussidonnaisuus Suunniteltaessa palveluja ja järjestelmiä varmistetaan, että kerättäville tiedoille on määritetty käyttötarkoitus.
Minimointiperiaate Vain välttämättömiä ja tarpeellisia tietoja pyydetään ja käsitellään HR-palveluissa. Esimerkiksi henkilötunnusta ei pyydetä tai merkitä asiakirjaan kun tunnistaminen on mahdollista syntymäajalla.
Tietojen täsmällisyys Virheelliset tiedot järjestelmissä ja asiakirjoissa korjataan omasta aloitteesta tai asiakkaan pyytäessä. Vanhentuneita tietoja ei säilytetä.
Säilytyksen rajoittaminen Tarpeettomat henkilötiedot poistetaan TOS mukaisesti ja prosessin päätyttyä.
Luottamuksellisuus ja turvallisuus HR-palveluissa käytetään yliopiston tietoturvatarkistettuja järjestelmiä ja palveluja. Tietoturvasta työtehtävissä huolehditaan yliopiston ohjeiden mukaisesti.

Tietosuoja yleisimmissä HR-prosesseissa

Esihenkilöt ja HR henkilötietojen käyttäjinä  

Esihenkilöiden ja HR:n tehtäviin kuuluu olennaisesti työntekijöiden henkilötietojen käsittely eikä tietosuoja-asetus muuta tätä asiaa. Työnantajan nimeämät henkilötietojen käyttäjät käsittelevät roolista riippuen esim. koko korkeakoulun, yksittäisen tai useamman laitoksen tai oman tiimin työntekijöiden henkilötietoja. Henkilötietoja käsitellään HR-työssä monin eri tavoin, niin suullisesti keskusteluissa, kirjallisesti, sähköissä työnkuluissa, tietojärjestelmissä kuin sähköpostilla. Käyttöoikeudet HR-tietojärjestelmiin määritetään aina työtehtävien mukaan. Tiedot, joita käsitellään, voivat liittyä rekrytointiin, työsopimuksen solmimiseen, palkkaukseen, budjetointiin, matkustamiseen, suoriutumiseen, työkykyyn, sidonnaisuuksiin, poissaoloihin jne.  

Osa käsiteltävistä tiedoista on julkisuuslain perusteella salassapidettävää tai arkaluontoista (terveystiedot), mikä asettaa tietojen käsittelylle erityiset vaatimukset.  

REKRYTOINTI

XXXX

TIETOSUOJA TYÖSUHTEEN AIKANA

XXXX

Työtodistukset  

Työntekijällä on oikeus saada 5 vuotta työsuhteen päättymisestä ns. laaja työtodistus ja 10 vuotta suppea työtodistus. Jos laaja työtodistus on laadittu, toimitahan työtodistuksen yksikkösi hr-yhteyshenkilölle keskitettyä arkistointia varten. 

Valokuvat ja videot 

Henkilöstökortissa ja siihen liittyvässä arkistossa säilytetään henkilön kuvaa työsuhteen ajan. Työntekijältä pyydetään aina erikseen lupa yhtiön tarpeissa suoritettaviin valokuvauksiin tai videointiin.  

Valokuvien ja muiden henkilötietojen viemistä internetiin tai sisäiseen intranetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä. Tietosuojavaltuutetun kannanoton mukaan, mikäli työntekijän työtehtäviin kuuluu olla tunnistettavissa ja tavoitettavissa työyhteystietojen, ammattinimikkeen ja valokuvan perusteella ja menettely on asiallisesti perusteltua työtehtävien ja työantajan toiminnan kannalta, voidaan mm. työntekijän valokuva ja työyhteystiedot viedä organisaation kotisivuille. 

TIETOSUOJA TYÖSUHTEEN PÄÄTTYESSÄ

Irtisanomisilmoitus 

Työnantajan tai työntekijän laatima irtisanomisilmoitus sisältöineen ja vastaavasti tieto työntekijän irtisanomisesta, irtisanomispäivästä sekä irtisanomisperusteista voidaan katsoa olevan työnantajan henkilörekisterissä olevia irtisanoutumista ja työsopimuksen päättämistä koskevia työntekijän henkilötietoja. Työsopimus ja sen päättäminen on sellainen kahden osapuolen välinen sopimus ja luottamuksellinen asia, joka ei asianmukaisen käsittelyn vaatimus huomioon ottaen oikeuta työnantajaa ilmaisemaan sen sisältöä sivullisille. 

Usein kysytyt kysymykset

XXXX

Salassapidettävät ja suojattavat tiedot sekä vaitiolovelvollisuus

Käsitteet: erityiset henkilötietoryhmät, salassapidettävät tiedot jne

Tietosuoja palveluiden suunnittelussa ja kehittämisessä

Tietosuoja-asetus (GDPR) tai tietosuojan toteuttaminen ei estä tarpeellista henkilötietojen käsittelyä eikä toiminnan tai palvelujen kehittämistä taikka järjestelmähankintoja. Tietosuojan huomioimisesta tulee kuitenkin huolehtia aina jo suunnitteluvaiheessa (ns. privacy by design / privacy by default). Voit mielellään pyytää kehittämishankkeiden alussa näkemyksiä ja riskiarvioita HR-juristilta tai tietosuojavastaavalta. 

Suunnitteluvaatimus 

Rekisterinpitäjän eli Aalto-yliopiston velvollisuutena on suunnitella henkilötietojen käsittelyn elinkaari. Tämä sisältää toimenpiteiden suorittamista ennen käsittelyn aloittamista, käsittelyn aikana ja oikeusperusteen lakattua. Yliopisto vastaa ohjeiden ja prosessien laatimisesta. Henkilötietojen käsittelyn suunnittelu sisällytetään HR-prosessien suunnitteluun ja kehittämiseen, ja jokainen HR-työntekijä ja esihenkilö vastaa osaltaan siitä, että toimii prosessien ja ohjeiden mukaisesti. 

Ennen käsittelyn aloittamista tulee rekisterinpitäjän määrittää henkilötietojen käsittelyn tarkoitus ja oikeusperuste, käsittelyn kannalta tarpeelliset henkilötiedot, henkilötietojen säilyttämis- ja hävittämisajat ja –käytännöt näille sekä riittävät tietoturvatoimet. Tämän lisäksi tulee laatia tietosuojailmoitus, jonka tulee olla rekisteröityjen saatavilla. 

Henkilötietojen käsittelyn aikana tulee hallinnoida ja ylläpitää tarvittavia suostumuksia, ylläpitää tietosuojailmoituksia, selosteita käsittelytoimista, dokumentaatiota ja ohjeistuksia, hallita tiedonsiirtoja kolmansiin maihin ja ylläpitää rekisteröidyn oikeuksia.  

Henkilötietojen käsittelyn oikeusperusteen lakattuatulee varmistaa henkilötietojen lopullinen hävittäminen tai varmistaa tietojen myöhempi hävitys, mikäli henkilötietoja on tarpeen säilyttää pidempään. 

Käyttötarkoitussidonnaisuus ja tietojen minimointi 

Käyttötarkoitussidonnaisuus ja tietojen minimointi ovat henkilötietojen käsittelyä koskevia periaatteita.

  • Käyttötarkoitussidonnaisuudella tarkoitetaan, että henkilötiedot ovat kerätty tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.    
  • Tietojen minimointiperiaate: Tietojen minimoinnilla tarkoitetaan, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. 

Informointivelvollisuus 

Rekisterinpitäjällä eli Aalto-yliopistolla on EU:n Tietosuoja-asetuksen (2016/679) mukaisesti velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä. 

Työntekijöiden tietosuojailmoituksessa informoimme työntekijöitä yliopiston tietosuojakäytännöistä, jotka koskevat työsuhdeasioiden ja vastaavien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja. Tämä tietosuojailmoitus määrittää miten henkilötietoja säännönmukaisesti käsitellään työsuhdeasioiden hoitamiseen liittyen eikä tietoja saa käsitellä ilmoitetun kanssa yhteensopimattomalla tavalla. Jos havaitset ilmoituksessa esimerkiksi prosessia kehitettäessä tai uusia palveluja suunnitellessa muutostarpeita, ole yhteydessä HR-asioiden juristiin, jotta tarvittavat päivitykset ilmoitukseen voidaan tehdä oikea-aikaisesti. 

Yhteistoiminta henkilötietojen käsittelyssä 

Työnantajalla on lakiin perustuva velvollisuus käsitellä yhteistoiminnassa henkilöstön kanssa osana ns. jatkuvaa vuoropuhelua myös tietosuojaa ja henkilötietoja koskevia asioita. Tällaisia vuoropuhelussa käsiteltäviä asioita ovat esimerkiksi työhönotossa ja työsuhteen aikana kerättävät henkilötiedot, huumausainetestien käyttö ja teknisen valvonnan, kuten kameravalvonnan ja kulunvalvonnan käyttö. 

Linkkejä:

  • XXXX

Tietosuojaan sitoutuminen / Linkit

Kaksi henkilöä kampuksella.

Eettiset periaatteet - arvot käytäntöön

Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.

Aalto-yliopisto
gdpr-nn-banner-wj.jpg

Aalto-yliopiston tietosuojapolitiikka

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Palvelut
Tätä palvelua tarjoaa:

Lakipalvelut

Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.
  • Julkaistu:
  • Päivitetty: