Yksityisyys ja tietosuoja

Nykyinen maailmamme perustuu datan keräämiseen ja käsittelyyn. Niin yksilöinä kuin työntekijöinäkin joudumme jatkuvasti luovuttamaan henkilötietojamme eri tahojen käyttöön. Henkilötietojen avulla pystymme verkossa tunnistautumaan palveluihin, kirjautumaan sovelluksiin, hoitamaan pankkiasioitamme, tilaamaan tuotteita ja monenlaista muuta. Digitalisaation myötä elämämme tapahtuu tänä päivänä monelta osin verkkoympäristöissä. Korostuneesti tämä näkyy tietenkin työelämässä, jossa työntekijät sekä erilaiset yritykset ja organisaatiot kohtaavat. Yritykset ja organisaatiot työnantajina tarvitsevat monenlaisia tietoja työntekijöistään. Digitalisoituneessa maailmassa ja työelämässä erilaiset tietoturvaan ja yksityisyyteen liittyvät kysymykset nousevat olennaisen tärkeiksi.

Kuva 9. Tietoturva (Webnode, n.d.)

Työntekijän tietoturva

Työntekijän henkilötietojen käsittelyä turvataan erilaisilla asetuksilla. Henkilötiedoilla tarkoitetaan henkilön eli rekisteröidyn tunnistettavuuteen liittyviä tietoja esim. nimeä, henkilötunnusta ja terveystietoja. Työnantajien on noudatettava EU:n yleistä tietosuoja-asetusta (GDPR) ja sen kanssa rinnakkain tietosuojalakia ja erityislakina työelämän tietosuojalakia. Tietosuoja-asetuksessa säädetään muun muassa siitä, millä perusteilla henkilötietoja saa käsitellä sekä tietosuojan yleisistä periaatteista, rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista. Työntekijän henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta täydentävää tietosuojalakia, jollei työelämän tietosuojalaissa toisin säädetä. Tietosuojalaissa säädetään muun muassa erityisiin henkilötietoryhmiin kuuluvien tietojen, kuten ammattiliittoon kuulumista koskevien tietojen, käsittelystä sekä rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä. Tietosuojalaissa säädetään myös eräistä rekisteröidyn oikeuksien rajoituksista. (TEM, 2019, s. 5)

Kuva 10. GDPR. (Opsec, n.d.)

Rekisteröity = Henkilö, jonka henkilötietoja on kerätty rekisteriin. Työelämässä esim. työntekijä. Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot helposti ymmärrettävässä muodossa.

Rekisterinpitäjä = Ihminen, yritys tai organisaatio, joka määrittelee millä tavoin ja mihin tarkoitukseen kerättyjä henkilötietoja käsitellään. Työelämässä esim. työnantaja. Rekisterinpitäjä on vastuussa, että tietosuojasäädöksiä noudatetaan.

Henkilötietojen käsittelijä = Ihminen yritys tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Laaja palveluntarjoajien joukko toimii henkilötietojen käsittelijöinä. Rekisterinpitäjä kuitenkin määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Tietosuojavastaava = Organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa. Tietosuojavastaavat eivät ole henkilökohtaisesti vastuussa yleisen tietosuoja-asetuksen rikkomisesta.

Työnantaja saa käsitellä työntekijästä tai työnhakijasta vain työsuhteen kannalta olennaisia henkilötietoja. Tästä ei voida poiketa edes työntekijän suostumuksella. Työnantajan on kerättävä henkilötiedot aina ensisijaisesti työntekijältä itseltään tai pyydettävä työntekijältä suostumus tietojen keräämiseen muualta pois lukien esim. lain mukaiset luotto- ja rikosrekisteritiedot. (Työsuojeluhallinto, 2021)

Kuva 11. Henkilötiedoista. (Työsuojeluhallinto, 2021)

Laissa yksityisyyden suojasta työelämässä (759/2004) eli ns. työelämän tietosuojalaissa säädetään työntekijän (sekä soveltuvin osin myös työnhakijan) henkilökohtaisten tietojen suojaamisesta. Yksityisyyden suojaan kuuluu em. mahdollisimman suuresta oikeudesta tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä. Työntekijällä on myös oikeus tulla arvioiduksi virheettömien ja laadullisesti korkeatasoisten henkilötietojen perusteella. (Tietosuojavaltuutetun toimisto, 2020, s.3)

Nämä tietosuoja-asetukset tulee siis ottaa huomioon työsuhteen jokaisessa vaiheessa aina rekrytoinnista työsuhteen päättymiseen asti. Työnhakijasta tulee rekisteröity jo työnhakuprosessin aikana. Rekisterinpitäjän eli työnantajan tulee siis jo hyvin aikaisessa vaiheessa miettiä myös tietosuojan kannalta, minkälaisia tietoja rekrytointivaiheessa kerätään ja millä tavalla tiedot säilytetään. Jos hakuprosessi päättyy rekrytointiin, hakijasta tulee työntekijä ja on mietittävä mitä tietoja hänestä tarvitaan (ja kerätä ne ensisijaisesti häneltä itseltään) ja miten tiedoista koottua rekisteriä ylläpidetään. Jos työnhakija ei tule valituksi tehtävään, tulee hänen tarpeettomaksi käyneet tietonsa poistaa rekisteristä. Saman tilanteen edessä ollaan silloin kun työsuhde syystä tai toisesta päättyy.

GDPR:n vaikutukset

Alla olevassa videossa F-Securen tutkimusjohtaja Mikko Hyppönen tiivistää GDPR:n vaikutuksia sekä yksilön että yrityksen näkökulmasta:

Yritykset olivat melkoisen ponnistuksen edessä muuttaessaan tietosuojakäytäntönsä uuden asetuksen mukaisiksi. Merkittävää on, että uuden asetuksen mukaisesti yrityksillä on nyt raportointivelvollisuus tietovuotojen yhteydessä. Tietosuoja-asetuksen rikkomisesta seuraa sakko, jonka suuruus voi olla jopa neljä prosenttia yrityksen globaalista liikevaihdosta (Hyppönen, 2017). Kyseessä on siis huomattavan suuri sanktio.

Suomalaiset yritykset ovat saaneet yhteensä satojentuhansien eurojen arvosta sakkoja GDPR:n rikkomisesta, vaikka tietoturvayhtiö D-Fencen toimitusjohtaja Juha Oravala arvioikin, että Suomessa sakkoja on annettu hyvin maltillisesti. Suurimmat sakot ovat saaneet Posti muuttoilmoituksen tietosuojarikkomuksista, Parkkipate henkilötunnusten lainvastaisesta käsittelystä sekä Taksi Helsinki taksimatkustajien puheiden tallennuksista. Oravala ennakoi sakkojen määrän kasvavan lähivuosina kun Suomi siirtyy muun maailman tapaan tiukempaan sakottamiseen ohjaustoimenpiteiden ja selvitysten vaatimisen sijaan. (Pietarinen, 2021)

Tietosuojan kehittäminen organisaatiossa

Rekisterinpitäjä eli työnantaja on vastuussa siitä, että työntekijöiden henkilötiedot pysyvät turvassa. Jos henkilötietoja häviää, muuttuu, joutuu vääriin käsiin tai tuhoutuu, on kyseessä tietoturvaloukkaus. Tällaisten tilanteiden varalta yrityksellä tulee olla toimintaohjeet siitä miten toimitaan ja toimiin on syytä ryhtyä välittömästi. Tietoturvaloukkaustilanteesta tulee tehdä riskiarvio, joka määrittelee jatkotoimenpiteet. Työnantajan velvollisuus on kouluttaa henkilötietoja käsittelevät työntekijät henkilötietojen oikeaoppiseen ja turvalliseen käyttöön. (Tietosuojavaltuutetun toimisto, n.d.)

Kuva 12. Jatkuvan kehityksen malli. (Aalto-Setälä & Viitaila, 2020)

Yllä olevassa Aalto-Setälän ja Viitailan (2020, ss.36-37) jatkuvan kehityksen mallissa kuvataan, kuinka yritysten ja organisaatioiden tietosuojan kehittäminen tulisi nähdä jatkuvana prosessina, joka koostuu neljästä vaiheesta: kartoituksesta, hallinnasta, suojauksesta sekä raportoinnista. Organisaation tietoturva ei ole projekti, joka tulee päätökseen kun toiminnot on kertaalleen muokattu asetusten mukaiseksi, vaan tietosuoja tulee huomioida jatkossa aina, kun esimerkiksi organisaation tietojärjestelmiä muutetaan tai otetaan käyttöön kokonaan uusi IT-järjestelmä.

Kuva 13. Neljä askelta. (Aalto-Setälä & Viitaila, 2020)

Viime vuosina sattuneet tietovuodot ovat saaneet paljon huomiota ja saaneet sekä yksityiset henkilöt että yritykset kiinnostumaan aiempaa selvästi enemmän tietosuojasta ja omasta yksityisyydestään. Hyvin hoidettu tietosuoja tulee olemaan yksi yrityksen menestystekijä tulevaisuudessa. Microsoftin teknologiajohtaja Mikko Viitailan (Aalto-Setälä & Viitaila, 2020, s.43) sanoin:

"Yksityisyydensuoja on ihmisen perusoikeus ja EU on tietosuoja-asetuksella näyttänyt mallia, jota uskon muun maailman seuraavan perässä."