TYÖYMPÄRISTÖ: ”Gepardi” ei estä edunval­vontaa työpai­kalla – jotkut työnan­tajat tulkit­sevat turhan tiukasti

EU on säätänyt tieto­suoja-asetuksen, joka tunne­taan lyhen­teellä GDPR. Asetus tarkentaa tapoja, joilla ihmisistä saa kerätä ja käsitellä tietoa. Jotkut työnan­tajat ovat tulkin­neet uutta asetusta turhan tiukasti ja kieltäy­ty­neet antamasta työsuo­je­lu­val­tuu­te­tuille ja luotta­mus­mie­hille tietoja, joita tehtävän hoita­minen vaatii. GDPR ei ole este tarpeel­lisen tiedon antami­selle henki­löstön edunvalvojille.

GDPR:n taustalla on ajatus siitä, että ihmisellä tulee olla mahdol­li­suus suojella yksityi­syyt­tään sekä hallita sitä, missä kaikkialla itseä koskevaa tietoa on ja kuka siihen pääsee käsiksi. Käytän­nössä tiedon kerää­mi­selle ja rekis­terin pitämi­selle edelly­te­tään perus­teltu syy, kohteen suostumus tai sopimus (esimer­kiksi työso­pi­muksen solmi­minen) sekä selkeät toimin­ta­tavat sen suhteen, kuka tietoja pääsee näkemään ja käsittelemään.

Kuten tähänkin asti, tiedon kerää­misen ja käsit­te­le­misen sekä työnte­ki­jöiden yksityi­syyden pelisäännöt tulevat tieto­suo­ja­laista (entinen henki­lö­tie­to­laki) sekä laista yksityi­syyden suojasta työelä­mässä. GDPR:n myötä lakiin yksityi­syyden suojasta työelä­mässä on tehty joitain tarken­nuksia, mutta mittavia muutoksia asetus ei työpaik­kojen elämään aiheuta.

Työpai­kalla pitää tehdä tieto­suo­ja­se­loste jokai­sesta rekis­te­ristä, johon työnte­ki­jöiden tietoja kerätään. Seloste kuvaa, miksi tietoa on tarpeel­lista ja perus­teltua kerätä ja kenellä on oikeus nähdä ja käsitellä tietoja. Tieto­suo­ja­se­los­tee­seen on siis merkit­tävä, että luotta­mus­mies ja työsuo­je­lu­val­tuu­tettu saavat rekis­terin tietoja, jos tehtävän hoita­minen sitä edellyttää. Joidenkin tietojen saami­sesta on jopa sovittu työeh­to­so­pi­muk­sissa, eikä GDPR kumoa tes-kirjauksia.

Kuten tähänkin asti, luotta­mus­mie­hellä ja työsuo­je­lu­val­tuu­te­tulla on ehdoton vaitio­lo­vel­vol­li­suus edusta­miensa työnte­ki­jöiden henki­lö­tie­tojen suhteen. Mitä arkaluon­toi­sem­masta asiasta on kyse, sitä suurempaa tarkkuutta on nouda­tet­tava, jotta tietoa ei kulkeudu ulkopuo­li­sille. Käsitystä siitä, mitä on pidet­tävä arkaluon­tei­sena tietona, voi hakea GDPR:n ja tieto­suo­ja­lain lisäksi esimer­kiksi yhden­ver­tai­suus­laissa lista­tuista syrjin­tä­pe­rus­teista. Näin esimer­kiksi henkilön tervey­den­tila, mieli­pi­teet, uskonto, perhe­suh­teet, ammat­ti­liiton jäsenyys, seksu­aa­linen suuntau­tu­minen tai vastaava on arkaluon­teista tietoa, jota on erityi­sesti varjel­tava. Näitä tietoja työnan­taja ei myöskään saa kerätä rekis­te­rei­hinsä ilman erityisen painavaa syytä.

GDPR on vahvis­tanut myös rekis­te­rin­pi­täjän velvol­li­suutta tiedottaa kerää­mäs­tään tiedosta. Infor­moinnin tulee olla jatkuvaa ja aktii­vista toimintaa, jotta tiedon­ke­ruun kohteet voivat aidosti tietää, mitä tietoa itsestä kertyy ja kuka sitä käsittelee.

TEKSTI SAILA RUUTH
Kirjoit­taja on Teolli­suus­liiton työym­pä­ris­töyk­sikön sosiaali- ja työympäristöasiantuntija.

KUVITUS PENTTI OTSAMO

Lue lisää: www.tietosuoja.fi/GDPR