Työntekijöiden henkilötiedot GDPR:n uusien säännösten valossa

Palvelus

25.5.2018 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27.4.2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä direktiivin 95/46/EY (henkilötietojen suojaa koskeva yleinen asetus), jäljempänä GDPR, kumoaminen. Mitä työntekijöiden henkilötietoja työnantaja voi saada uusien GDPR-säännösten valossa? Tarkistaa!

Milloin käsittelemme henkilötietoja?

Nämä ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, esim. etu- ja sukunimi, osoite, PESEL-numero jne. Henkilötiedot jaetaan tavallisiin ja arkaluonteisiin tietoihin. Arkaluonteiset tiedot ovat erityisen suojan alaisia ​​ja niiden luovuttaminen, myös rekisteröidyn suostumuksella, on kielletty. Nämä ovat tietoja rodusta tai etnisestä alkuperästä, poliittisista näkemyksistä, uskonnollisista tai filosofisista vakaumuksista, uskonnollisesta, puolue- tai ammattiliittoon kuulumisesta, terveydentilasta, geneettisestä koodista, riippuvuuksista, seksuaalisesta elämästä, tuomioistuimen tuomiosta, rangaistuspäätöksistä ja rikosoikeudellisista sakoista sekä kuin muut tuomioistuimessa tai hallinnollisessa menettelyssä annetut päätökset. Työnantaja voi käsitellä muita työntekijöiden henkilötietoja, mikäli siihen on laillinen peruste. Tässä tapauksessa se on työlaki.

GDPR:n voimaantulon myötä työnantajan työntekijäehdokkaalta ja työntekijältä pyytämien henkilötietojen laajuus muuttuu. Lakiehdotus työntekijöiden henkilötietojen suojaamisesta GDPR:n mukaisesti edellyttää säännöksen täydellisen muutoksen. Työlain 22¹, jossa täsmennetään mm. henkilötietojen laajuus, joita työnantaja voi pyytää työnhakijalta. Tästä syystä työnhakijan kyselylomake on muutettava, joka sisältää sellaisia ​​työntekijöiden henkilötietoja kuin: etu- ja sukunimi, syntymäaika, kirjeosoite, sähköpostiosoite tai puhelinnumero, koulutus ja aikaisempi työhistoria.

Työntekijöiden henkilötiedot, kuten hakijan vanhempien nimet ja asuinpaikka, eivät ole työnantajan hallussa. Hakijan on kuitenkin annettava joko puhelinnumero tai sähköpostiosoite. Tärkeää on myös se, että työnhakijan kyselyn allekirjoituspäivä on aikaisempi kuin työntekijän henkilökyselyn täyttöpäivä, sillä työnhakijan ja jo työssä olevan henkilön tiedot voivat olla erilaisia.

Työntekijöiden henkilötiedot GDPR:n uusien säännösten valossa

Näiden säännösten valossa lähetteiden antaminen alustaviin lääkärintarkastuksiin vaikuttaa ongelmalliselta. Kuten tiedetään, työntekijän tulee työskennelläkseen esittää lääkärintodistus soveltuvuudesta siihen. Niiden saamiseksi hänen on ensin saatava lähete kokeeseen. Tähän asti työnantaja on sisällyttänyt lähetteeseen nimen, osoitteen ja PESEL-numeron.GDPR:n säännösten voimaantulon jälkeen PESEL-numero on korvattava syntymäajalla, eikä osoitetta voida antaa ollenkaan, koska työnantaja ei voi rekrytointivaiheessa pyytää sitä.

Luonnoksessa oletetaan, että työnantaja pyytää töissä olleelta henkilöltä asuinosoitteen, PESEL-numeron ja jos sellaista ei ole, henkilöllisyyden vahvistavan asiakirjan tyypin ja numeron. Hän voi myös pyytää muita henkilötietoja, mukaan lukien työntekijän lasten ja muiden perheenjäsentensä henkilötiedot, jos se on tarpeen työntekijän työlainsäädännössä säädettyjen erityisoikeuksien käytön, esim. lapsen vapautuksen vuoksi. Art. Työlain 188 §:n mukaan työntekijän perheenjäsenten ilmoittaminen Kansaneläkelaitokselle eli heidän nimensä, sukunimensä tai PESEL-numeronsa.

Työntekijän henkilötietojen, kuten hänen rekrytointivaiheessa antamansa puhelinnumeron tai sähköpostiosoitteen, käsittely on mahdollista vasta sitten, kun häneltä on saatu erillinen suostumus näiden tietojen käsittelyyn paperilla tai sähköisessä muodossa.

Usein tiedostoista löytyy työntekijöiden henkilötietoja, kuten: kopio lyhennetystä vihkitodistuksesta, jotta voidaan dokumentoida työntekijän nimenmuutos. 25. toukokuuta 2018 alkaen tämä rikkoo GDPR:ää. Tämän asiakirjan sisällyttäminen henkilötietoihin on myös ristiriidassa henkilötietojen suojasta 29. elokuuta 1997 annetun lain (Lakilehti 2016, kohta 922, muutoksineen) säännösten kanssa. Lyhennetty vihkitodistus sisältää työntekijän henkilötietojen lisäksi myös työntekijän puolison sekä hänen vanhempiensa ja puolison vanhempien henkilötiedot. Tällaiset työntekijöiden henkilötiedot eivät ole työnantajalle välttämättömiä, eikä työnantaja saa käsitellä niitä. Siksi edellä mainitut asiakirjat tulee poistaa henkilötiedostoista ja niiden tilalle tulee laittaa työntekijän ilmoitus nimenmuutoksesta, johon henkilöstöasioista vastaavan työntekijän tulee laittaa huomautuksensa, että väite pitää paikkansa. , koska vihkitodistus on esitetty. Siksi ennen GDPR:n voimaantuloa on tarpeen käydä läpi työntekijöiden tiedostot ja poistaa niistä kaikki asiakirjat, joiden ei pitäisi olla siellä, kuten - vihkitodistusta lukuun ottamatta - lasten syntymätodistukset, henkilökorttien valokopiot tai sotilaskirjat. kadota. Työntekijän henkilötiedoston sisältö ei voi olla mielivaltainen. Asiakirjat, jotka sinne tulee sisällyttää, on mainittu työ- ja sosiaaliministerin 28. toukokuuta 1996 antamassa määräyksessä työnantajien työsuhteeseen liittyvien asiakirjojen säilyttämisen laajuudesta ja työntekijän henkilötietojen säilytystavoista. (Lakilehti 2017, , kohta 894, sellaisena kuin se on muutettuna).

GDPR ja työaikalomakkeet

Yksi työlainsäädännön tärkeimmistä osista on työaika. Se vaatii kunnollista suunnittelua ja tallennusta. Asianmukainen työajan kirjaaminen on yksi työnantajan perusvelvoitteista, joka seuraa suoraan 1999/2004. Työlain 149 § Toisaalta työaikakirjanpidon sisältöä säätelee työ- ja sosiaaliministerin 28 päivänä toukokuuta 1996 annetun asetuksen 8.1 § työnantajan asiakirjojen säilytyksestä työsuhteeseen liittyvissä asioissa. Työnantaja on velvollinen laatimaan työaikataulut kirjallisesti tai sähköisessä muodossa (työlain 129 § 3 §). Uusien sääntöjen myötä myös läsnäololistan malli muuttuu. Art. Työlain 104¹ 1 §:n mukaan tapa, jolla työntekijän työssäolo varmistetaan, tulee määritellä työsäännöissä, ja jos sellaista ei ole, työnantajan tulee ilmoittaa siitä työntekijälle Työehtotiedoissa 7. päivää työsopimuksen tekemisestä (työlain 29 §:n 3 momentti). Säännöissä ei ole määritelty tapaa, jolla työntekijän työssäolo varmistetaan. Yleisin tapa on allekirjoittaa läsnäololista. Jos työntekijä on poissa, työnantaja merkitsee poissaolon syyn eli sairauden, lapsiloman pykälän alle. 188 työlain, äitiysloman, hoitovapaan jne. Säännösten muutoksen jälkeen sitä ei voida hyväksyä. Ensinnäkin terveystiedot ovat arkaluonteisia tietoja ja niiden käsittely on kiellettyä (GDPR 9 artiklan 1, 2 kohta). Mitä sitten pitäisi olla läsnäololistoilla paikassa, jossa työntekijä ei allekirjoita, koska hän on poissa esim. sairauden vuoksi? Turvallisin ratkaisu on kirjoittaa "perusteltu poissaolo". Tämän poissaolon yksityiskohdat ja tyyppi tulee sisällyttää työaikakirjanpitoon, jota työnantaja on velvollinen pitämään. Läsnäololistaa käytetään vain vahvistamaan työntekijän läsnäolo töissä. Ainoa syynä työntekijän töistä poissaoloon, joka voi olla läsnäololistassa, on tiedot suunnitellusta tai vaadittavasta lomasta.

Voivatko työnantajat käyttää biometrisiä tietoja työaikalomakkeissa?

GIODOn mukaan he eivät voi. Sormenjälkien, silmän iiriksen kuvan tai DNA-koodin kerääminen tuntilaskentaa varten ei ole oikeassa suhteessa niiden käsittelyn tarkoitukseen. GIODOn mukaan työaikaa tulisi hallita toimenpiteillä, jotka eivät häiritse työntekijöiden yksityisyyttä.

Valvonta - keinona valvoa työntekijän tekemää työtä

Toinen ehdottomasti yksityisyyttä häiritsevä ja työntekijöiden henkilötietoja loukkaava tekijä on valvonta työpaikalla. Tätä valvontatoimea ei ole tähän mennessä säännelty missään säädöksessä. Tältä osin aukko on tarkoitus täyttää uudella työlailla. Ensinnäkin seurannan käsitteelle on määrä saada uusi määritelmä. Nämä ovat teknisiä toimenpiteitä kuvan tallentamiseksi, joilla voidaan varmistaa turvallisuus työpaikalla ja sen ympäristössä. Sitä käytetään myös työnantajan omaisuuden suojaamiseen tai sellaisten tietojen salassa pitämiseen, joiden paljastaminen voisi vahingoittaa työnantajaa. Tärkeää on, että sitä ei voida käyttää keinona valvoa työntekijän työn suorittamista. Valvontakysymyksiä koskevaan muutosluonnokseen lisättiin myös säännös, että valvontasovelluksen tuloksena saatuja työntekijöiden henkilötietoja ei saa käyttää muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, eli turvallisuuden ja omaisuuden suojeluun. . Tietysti työnantajan tulee ilmoittaa työntekijälle aikomuksesta soveltaa tätä valvontatoimenpidettä 14 päivää ennen seurannan käyttöönottoa ja uusien työntekijöiden osalta tämä velvollisuus tulee täyttää ennen työhönpääsyä.

Suostumus henkilötietojen käsittelyyn rekrytointitarkoituksiin

GDPR:n soveltamisen vuoksi suostumus henkilötietojen käsittelyyn rekrytointitarkoituksiin on muutettava. Art. Asetuksen 13 §:n mukaan työnhakijoiden on annettava tiedot tietojen käsittelyn kestosta, oikeusperustasta, vastustusoikeudesta tai oikeudesta tehdä valitus valvontaviranomaiselle. Nämä lausekkeet tulee kirjoittaa selkeästi, ytimekkäästi ja täsmällisesti.

Vanhenevatko suostumukset henkilötietojen suojasta (ennen 25.5.2018) kerättyjen tietojen käsittelyyn? GIODOn mukaan "rekisteröidyn ei tarvitse antaa suostumusta uudelleen, jos sen alkuperäinen ilmaisutapa vastaa tämän asetuksen ehtoja". Art. 4 sek. 11 GDPR määrittelee suostumuksen "vapaaehtoiseksi, nimenomaiseksi, tietoiseksi ja yksiselitteiseksi tahdonosoitukseksi, johon henkilö, johon työntekijän henkilötiedot liittyvät, antaa ilmoituksen tai selkeän myöntävän toimenpiteen muodossa luvan käsitellä henkilötietoja, jotka liittyvät häntä".

Yhteenvetona voidaan todeta, että jokaisen työnantajan tulee henkilötietojen ylläpitäjänä varmistaa näiden tietojen asianmukainen käsittely. Tämä liittyy niiden keräämisen riittävyyden analysointiin rekrytointi- tai työllistämisprosessia varten. Hänen tulisi noudattaa periaatetta "mitä vähemmän sen parempi". Kaikki arkistointijärjestelmään sisältyvät työntekijöiden henkilötiedot tulee tarkistaa sen suhteen, ovatko ne tarpeellisia ja onko niiden käsittelylle laillinen peruste. Lainsäätäjä on säätänyt GDPR:n säännösten noudattamatta jättämisestä erittäin korkeita sakkoja, minkä vuoksi jokaisen työnantajan on erittäin tärkeää valmistautua uusien säännösten voimaantuloon.