21.06.2021 -

Työ & elämä: Työnantaja – paikannatko yrityksesi ajoneuvoja? Muista tietosuojaa koskeva vaikutustenarviointi

,

Kesän helteillä on hyvä pysähtyä pohtimaan, onko omassa organisaatiossa huolehdittu riittävästi erinäisistä tietosuojaan liittyvistä velvoitteista.

EU:n yleisen tietosuoja-asetuksen GDPR:n voimaantulosta tuli vastikään täyteen kolme vuotta, mutta tietosuojan soveltaminen aiheuttaa edelleen haasteita ja epävarmuutta organisaatioissa. Tämä kävi ilmi muun muassa Tietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n GDPR2DSM-yhteistyöhankkeen yhteydessä teetetystä kyselystä, jossa kartoitetiin tietosuoja-asioissa koettuja haasteita ja tarpeita. Yksi esiin noussut haastavana koettu teema oli vaikutustenarviointi, johon liittyen yritykset toivoivat saavansa apua. 

Vaikutustenarvioinnin merkitys ei ole työnantajien näkökulmasta vähäinen. Monessa työnantajaorganisaatiossa käytetään muun muassa työnantajan tuotantoautojen tai muiden ajoneuvojen paikantamista, kun halutaan varmistua, että autot sijaitsevat siellä missä pitääkin. Tietyissä tilanteissa paikannustietoja käytetään mahdollisesti myös työoikeudellisten velvoitteiden, kuten työajan seurannassa.

Työnantajan suorittamaa ajoneuvojen paikantamista pidetään työntekijöiden välillisenä paikantamisena. Ajoneuvojen paikannustiedoista voidaan välillisesti saada selville myös ajoneuvoa kuljettavan työntekijän sijainti esimerkiksi työvuoroluetteloiden tai ajopäiväkirjojen tietoja yhdistelemällä. Välillinen paikantaminen on sinänsä sallittua ja on selvää, että työnantajalla on intressi suojata omaisuuttaan selvittämällä, missä yrityksen ajoneuvot kulloinkin sijaitsevat. Työntekijältä ei tarvita tällaiseen paikantamiseen erillistä suostumusta, mutta paikantamisen yhteydessä on huolehdittava tietosuojavelvoitteista.

Työntekijöiden paikannustietojen käsittely ajoneuvojen paikantamisen yhteydessä edellyttää lähtökohtaisesti tietosuojaa koskevan vaikutustenarvioinnin tekoa. Tämä käy ilmi tietosuojavaltuutetun julkaisemasta luettelosta käsittelytoimista, joiden yhteydessä tietosuojaa koskeva vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista.

Vaikutustenarvioinnin laiminlyönnistä riskinä seuraamusmaksu – ensimmäinen on jo määrätty

Tietosuojavaltuutettu sekä seuraamuskollegio ovat jo kiinnittäneet vaikutustenarvioinnin toteutumiseen huomiota, kun toukokuussa 2020 eräälle työnantajayritykselle määrättiin 16 000 euron hallinnollinen seuraamusmaksu, kun työnantaja oli paikantaessaan ajoneuvojaan jättänyt tietosuojaa koskevan vaikutustenarvioinnin tekemättä. Kyseinen työnantaja käytti ajoneuvojen paikannustietoja muun muassa työntekijöidensä työajan seurannassa.

Seuraamuskollegion ratkaisussa ei otettu kantaa paikannustietojen käytön laillisuuteen työajan seurannan välineenä, vaan seuraamus määrättiin pääasiassa vaikutustenarvioinnin laiminlyönnin perusteella. Työnantaja valitti seuraamuskollegion ratkaisusta hallinto-oikeuteen, joka hylkäsi valituksen. Toukokuussa 2021 antamassaan ratkaisussa Itä-Suomen hallinto-oikeus katsoi seuraamuskollegion tapaan, että vaikutustenarviointi olisi tullut tehdä, ja seuraamusmaksun lainmukaisuutta arvioidessaan hallinto-oikeus kiinnitti nimenomaisesti huomiota siihen, että vaikutustenarviointi kuului rekisterinpitäjän keskeisimpiin velvoitteisiin. Tätä kirjoitettaessa hallinto-oikeuden ratkaisu on vielä vailla lainvoimaa.

Mitä tietosuojaa koskevassa vaikutustenarvioinnissa on huomioitava?

Tietosuojaa koskevasta vaikutustenarvioinnista on käytävä ilmi tietosuoja-asetuksen 35 artiklan mukaan seuraavat seikat:

  1. Järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut
  2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden
  3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä
  4. Suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tietosuoja-asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut

Tämän kirjoituksen tarkoituksena on muistuttaa työnantajia nimenomaan vaikutustenarviointiin liittyvistä velvoitteista. Vaikutustenarvioinnin lisäksi työnantajalle voi syntyä välillisestä paikantamisesta muitakin velvoitteita, kuten muun muassa yhteistoiminta- tai kuulemisvelvoite, velvollisuus määritellä paikannustietojen käyttötarkoitus, velvollisuus huolehtia tietojen suojaamisesta teknisin ja organisatorisin toimenpitein sekä velvoite kertoa rekisteröidyille työntekijöille heitä koskevien henkilötietojen käsittelytoimista.

Nyt viimeistään on aika varmistaa, että oman organisaation tietosuojadokumentaatio ja vaikutustenarvioinnit ovat kunnossa. Jos näin ei ole, vielä ei ole liian myöhäistä ryhtyä korjaaviin toimenpiteisiin. Edellä mainitussa ratkaisussa seuraamuskollegio kohtuullisti seuraamusmaksua muun muassa siksi, että työnantaja ryhtyi välittömästi tietosuojavaltuutetun yhteydenoton jälkeen korjaaviin toimenpiteisiin vaikutustenarvioinnin tekemiseksi.