Tietosuoja ja yksityisyyden suoja
Tieto- ja yksityisyyssuojan huomioiminen palveluidemme käyttöönotossa
Yrityksen autoihin saa asennuttaa GPS-paikantimet, mutta tietoja ei saa käyttää mihin tahansa
Työnantaja saa asentaa GPS-paikantimet yrityksen autoihin, kunhan tähän on hyväksytty peruste. Kaikki käyttötarkoitukset tulee määritellä, eikä tietoja saa käyttää muihin tarkoituksiin kuin määriteltyihin. Ajoneuvon paikantaminen on ns. välillistä paikantamista, koska tarkoituksena ei ole paikantaa henkilöä vaan ajoneuvoa.
Työntekijöille pitää ilmoittaa GPS-paikantimien käyttöönotosta yrityksen autoissa. Vähintään 20 henkilön yrityksissä tiedotus on tehtävä YT-neuvottelumenettelyn kautta. Suosittelemme muutenkin avoimuutta paikanninlaitteiden käyttöönotossa. Hyvä tiedottaminen, avoin keskustelu ja työntekijöiden kuunteleminen ovat avain onnistuneeseen käyttöönottoon.
Työntekijöille tulee kertoa vastaukset ainakin näihin kysymyksiin:
Onko henkilöjen paikantaminen sallittua esimerkiksi työajanseurantatarkoituksessa?
Jos tarkoituksena on paikantaa henkilöitä, voidaan tähän tarvita käyttötarkoituksesta riippuen työntekijän suostumus. Tietosuojavaltuutetun mukaan työntekijän työajan valvonta ja seuranta paikannuksen avulla on mahdollista ”jos työntekijä tekee työtään kokonaan tai enimmäkseen muualla kuin työnantajan tiloissa eikä työajan valvontaan ole käytettävissä muita, yksityisyyden suojaan vähemmän puuttuvia keinoja.”
Saako esimerkiksi työsuhdeautoa paikantaa vaikkapa kilometrikorvauksia varten?
Myös yksityisauton paikannus on sallittua, kunhan tähän on hyväksytty peruste ja työntekijän on mahdollista asettaa GPS-laite pois työnantajan näkyvistä. Hyväksytty peruste voi olla, että esim. kilometrikorvauksen maksaminen tehdään paikannintietojen perusteella.
Työnantaja voi esimerkiksi määrittää, että kilometrikorvausten maksamisen perusteena on GPS-paikantimen käyttö. Työntekijä voi kieltäytyä ottamasta laitteen autoonsa, mutta ei ole tällöin oikeutettu kilometrikorvauksiin vaan työajojen kulut voi vähentää omassa henkilökohtaisessa verotuksessa.
Tällaisissa tapauksissa voidaan käyttää tupakansytytinliitäntään tai OBD-liitäntään kytkettävää laitetta, joka on helppo irrottaa tarvittaessa. Ajotiedot voidaan antaa näkyviin vain kuljettajalle itselleen, ellei erikseen ole annettu suostumusta jakaa niitä työnantajalle. Kuljettaja koostaa ajotiedoista työajot työantajalle.
Ota palvelu käyttöön oikein – määritä hyväksyttävä käyttötarkoitus tai käyttötarkoitukset
Palvelua käyttöönottaessa sille on asetettava hyväksyttävä käyttötarkoitus. Henkilötietojen käsittelyyn on oltava hyväksytty oikeusperuste yleisen tietosuoja-asetuksen 6 artiklan mukaisesti. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista käyttötarkoituksen edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Mitä käyttötarkoituksia asiakkaamme ovat määrittäneet?
Asiakasorganisaatio määrittelee itse käyttötarkoituksen. Esimerkkejä Navicomin palvelun käyttötarkoituksista:
Nämä ovat vain esimerkkejä. Valitse käyttötarkoitus oman yrityksesi tarpeiden mukaisesti ja varmista että sille on hyväksytty oikeusperuste. Peruste pitää olla kirjattuna ylös. Se ei saa olla liian epämääräinen tai laaja.
Huomioi, että tietoja ei voida käyttää muuhun käyttötarkoituksiin kuin näihin ennalta määritettyihin ilman, että työntekijöille ilmoitetaan uudelleen asiasta. Uuden tarkoituksen on tietenkin oltava jälleen hyväksyttävä eli sille pitää olla oikeusperuste.
Pitääkö minun tehdä vaikutustenarviointi?
Vaikutustenarvioinnin tarkoituksena on pyrkiä tunnistamaan, arvioimaan ja hallitsemaan riskejä, joita liittyy henkilötietojen käsittelyyn. Tietosuoja-asetuksen mukaan käsittelijän on laadittava vaikutustenarviointi ennen henkilötietojen käsittelyn aloittamista. Sähköisen ajopäiväkirjan paikkatietoja voidaan pitää henkilötietoina, vaikka erillinen kuljettajakirjautuminen ei olisi käytössä, koska kuljettaja on käytännössä aina tiedossa muita keinoja käyttäen.
Navicom voi tarvittaessa avustaa asiakasta vaikutustenarvioinnissa. Kysy meiltä esitäytetty vaikutustenarvioinnin Excel-pohja.
Tutustu vaikutustenarvioinnin laatimisen ohjeistukseen Tietosuojavaltuutetun toimiston verkkosivuilla. Sivuilta voi myös ladata tyhjän Excel-pohjan: https://tietosuoja.fi/vaikutustenarviointi
Mitä ovat tietosuojaperiaatteet?
Henkilötietojen käsittelyssä on noudatettava yleisen tietosuoja-asetuksen artiklan 5 mukaisia periaatteita, jotka ovat:
1. lainmukaisuus, kohtuullisuus ja läpinäkyvyys
2. käyttötarkoitussidonnaisuus
3. tietojen minimointi
4. täsmällisyys
5. säilytyksen rajoittaminen
6. eheys ja luottamuksellisuus
Lue lisää täältä: https://tietosuoja.fi/tietosuojaperiaatteet)
Lisätietoja:
https://tyosuojelu.fi/tyosuhde/oikeudet-ja-velvollisuudet-tyossa
https://www.finlex.fi/fi/laki/ajantasa/2004/20040759
https://www.finlex.fi/fi/laki/ajantasa/2018/20181050
http://www.finlex.fi/fi/laki/ajantasa/2007/20070334
https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679