TYÖYMPÄRISTÖ: ”Gepardi” ei estä edun­val­von­taa työpai­kalla – jotkut työnan­ta­jat tulkit­se­vat turhan tiukasti

EU on säätä­nyt tieto­suoja-asetuk­sen, joka tunne­taan lyhen­teellä GDPR. Asetus tarken­taa tapoja, joilla ihmi­sistä saa kerätä ja käsi­tellä tietoa. Jotkut työnan­ta­jat ovat tulkin­neet uutta asetusta turhan tiukasti ja kiel­täy­ty­neet anta­masta työsuo­je­lu­val­tuu­te­tuille ja luot­ta­mus­mie­hille tietoja, joita tehtä­vän hoita­mi­nen vaatii. GDPR ei ole este tarpeel­li­sen tiedon anta­mi­selle henki­lös­tön edunvalvojille.

GDPR:n taus­talla on ajatus siitä, että ihmi­sellä tulee olla mahdol­li­suus suojella yksi­tyi­syyt­tään sekä hallita sitä, missä kaik­kialla itseä koske­vaa tietoa on ja kuka siihen pääsee käsiksi. Käytän­nössä tiedon kerää­mi­selle ja rekis­te­rin pitä­mi­selle edel­ly­te­tään perus­teltu syy, kohteen suos­tu­mus tai sopi­mus (esimer­kiksi työso­pi­muk­sen solmi­mi­nen) sekä selkeät toimin­ta­ta­vat sen suhteen, kuka tietoja pääsee näke­mään ja käsittelemään.

Kuten tähän­kin asti, tiedon kerää­mi­sen ja käsit­te­le­mi­sen sekä työn­te­ki­jöi­den yksi­tyi­syy­den peli­sään­nöt tule­vat tieto­suo­ja­laista (enti­nen henki­lö­tie­to­laki) sekä laista yksi­tyi­syy­den suojasta työelä­mässä. GDPR:n myötä lakiin yksi­tyi­syy­den suojasta työelä­mässä on tehty joitain tarken­nuk­sia, mutta mitta­via muutok­sia asetus ei työpaik­ko­jen elämään aiheuta.

Työpai­kalla pitää tehdä tieto­suo­ja­se­loste jokai­sesta rekis­te­ristä, johon työn­te­ki­jöi­den tietoja kerä­tään. Seloste kuvaa, miksi tietoa on tarpeel­lista ja perus­tel­tua kerätä ja kenellä on oikeus nähdä ja käsi­tellä tietoja. Tieto­suo­ja­se­los­tee­seen on siis merkit­tävä, että luot­ta­mus­mies ja työsuo­je­lu­val­tuu­tettu saavat rekis­te­rin tietoja, jos tehtä­vän hoita­mi­nen sitä edel­lyt­tää. Joiden­kin tieto­jen saami­sesta on jopa sovittu työeh­to­so­pi­muk­sissa, eikä GDPR kumoa tes-kirjauksia.

Kuten tähän­kin asti, luot­ta­mus­mie­hellä ja työsuo­je­lu­val­tuu­te­tulla on ehdo­ton vaitio­lo­vel­vol­li­suus edus­ta­miensa työn­te­ki­jöi­den henki­lö­tie­to­jen suhteen. Mitä arka­luon­toi­sem­masta asiasta on kyse, sitä suurem­paa tark­kuutta on nouda­tet­tava, jotta tietoa ei kulkeudu ulko­puo­li­sille. Käsi­tystä siitä, mitä on pidet­tävä arka­luon­tei­sena tietona, voi hakea GDPR:n ja tieto­suo­ja­lain lisäksi esimer­kiksi yhden­ver­tai­suus­laissa lista­tuista syrjin­tä­pe­rus­teista. Näin esimer­kiksi henki­lön tervey­den­tila, mieli­pi­teet, uskonto, perhe­suh­teet, ammat­ti­lii­ton jäse­nyys, seksu­aa­li­nen suun­tau­tu­mi­nen tai vastaava on arka­luon­teista tietoa, jota on erityi­sesti varjel­tava. Näitä tietoja työnan­taja ei myös­kään saa kerätä rekis­te­rei­hinsä ilman erityi­sen paina­vaa syytä.

GDPR on vahvis­ta­nut myös rekis­te­rin­pi­tä­jän velvol­li­suutta tiedot­taa kerää­mäs­tään tiedosta. Infor­moin­nin tulee olla jatku­vaa ja aktii­vista toimin­taa, jotta tiedon­ke­ruun kohteet voivat aidosti tietää, mitä tietoa itsestä kertyy ja kuka sitä käsittelee.

TEKSTI SAILA RUUTH
Kirjoit­taja on Teol­li­suus­lii­ton työym­pä­ris­töyk­si­kön sosi­aali- ja työympäristöasiantuntija.

KUVITUS PENTTI OTSAMO

Lue lisää: www.tietosuoja.fi/GDPR