MyFondia VirtuaaliLakimies
9. toukokuuta, 2018

EU:n tietosuoja-asetus tulee – älä ahdistu!

Viime aikoina on otsikoitu melkoisen raflaavasti EU:n uuden tietosuoja-asetuksen, GDPR:n, tulosta osaksi arkeamme. Omassa HR-juristin arjessani tämä onkin näkynyt selvästi jo nyt. Tuoreimmissa otsikoissa asetuksen asettamien velvoitteiden ja rekisteröidyn oikeuksien korostetaan koskevan ”jopa” työnantajaa. En kuitenkaan heti olisi tätä ihan vuoden uutispaljastukseksi julistamassa. On toki totta, että moni työnantajayritys on mahdollisesti keskittynyt ensin asiakastietoihin tai vasta prosessoi ajatusta siitä, miten nyt pitäisi toimia. Ilokseni voin kuitenkin todeta, että monessa yrityksessä ollaan tehty jo todella paljon asian eteen myös työntekijöiden ja työhakijoiden näkökulmasta. Yritykset ovat päivittäneet menettelyjään ja tietosuojaselosteita sekä informoineet ja kouluttaneet työntekijöitä eri tavoin. Tietojen säilytysaikoja tarkistetaan ja prosesseja rekisteröidyn oikeuksien toteuttamiseksi hiotaan. Työnantajat myös kouluttavat ahkerasti paitsi asiakastietoihin, myös esimerkiksi rekrytointiprosessiin tai ihan vain esimiehenä toimimiseen liittyvissä asioissa, joihin työntekijöiden ja työnhakijoiden tietosuoja kuuluu osana arkea.

Työntekijästä kerätään – ja on itseasiassa pakkokin kerätä – paljon tietoa työsuhteen toteuttamiseksi. Meillä Suomessa on toki ollut jo aiemminkin työntekijöiden henkilötietoja koskevaa lainsäädäntöä, joten tämänhetkinen tilanne ei ole täysin uusi.

Työnantajalla on myös velvollisuus säilyttää monia tietoja riippumatta siitä, haluaako työntekijä niin. Esimerkiksi kirjanpitolainsäädäntö asettaa erilaisia määräaikoja. Lakisääteisten säilytysaikojen vuoksi tietoja ei työntekijästä voida tuosta noin vain poistaa. Toisinaan voi myös olla esimerkiksi niin, että rekisteröidylle ei voida antaa kaikkia tietoja, joita hänestä on kerätty, vaikka hän tätä pyytäisi. Tällainen oikeushan ei ole aina absoluuttinen, vaan jonkun toisen oikeus saattaa olla merkittävämpi kuin työntekijän oikeus saada tietoja. Yritykset varmasti kehittävät jatkuvasti menetelmiä lainsäädännön ja ohjeistusten lisääntyessä, jotta pyyntöihin vastaaminen nopeutuisi alkumetrejä nopeammaksi.

Seikka, joka jää helposti taka-alalle kaiken tämän keskellä on velvollisuus kuulla työntekijöitä, toisin sanoen isommissa yrityksissä hoitaa asiaa yhteistoiminnassa työntekijöiden kanssa eli siis yt-menettelyssä. Työntekijöistä kerättävät tiedot ja erilaiset tekniset keinot valvoa työntekijää, kuten muuten esimerkiksi erilaiset tietojärjestelmät ja niiden lokitiedot, tulee käydä läpi yhdessä. Myös tämä on onneksi ollut jo arkea ennenkin työyhteisöissämme. Omassa kalenterissani ovat mukana erilaiset tapaamiset työnantajan ja työntekijöiden edustajien kanssa, kun tietosuojaselosteita on päivitetty ajan tasalle.

Mitä nyt sitten voi tehdä, jos kiihtyvä uutisointi asiasta nostaa hien otsalle ja siirtää katseen työlistan hännillä roikkuvaan kohtaan: ”GDPR?”. Tai jos kuuluu tällä hetkellä siihen joukkoon, jossa tätä tietosuoja-asiaa ei ole edes ollut työlistalla? Vielä ehtii tehdä paljon ja vähintäänkin saada työlistan tältä osin kuntoon. Älä siis heitä kirvestä kaivoon tai pyyhettä kehään – mitä näitä sanontoja nyt onkaan. Asetuksen soveltaminen alkaa 25.5, mutta työ ei kenelläkään lopu siihen. Et ole myöskään yksin. Et ainoana työstämässä prosesseja ja dokumentteja etkä myöskään yksin ilman apuja. Ohjeita ja neuvoja on saatavilla.

Yhtenä vaihtoehtona on tulla meille Fondialle kuulemaan torstaina 24.5. vinkit siihen, mitä pitäisi olla kunnossa, mitä vielä ehtii mainiosti tehdä ja mistä arki muodostuu jatkossa. Toivoa on; tästä se lähtee!

Ps. Jos (ja kun) tämä tietosuo(ja) alkaa ahdistaa ja se tuntuu sekoittavan pään: otimme mukaan Academyyn Tanja Lapin Heltistä kertomaan, kuinka aivosi selviävät ylikuumenematta tämän kaiken keskellä.