Eettiset periaatteet - arvot käytäntöön
Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.
We process your personal data in connection with the following tasks:
Automated decision-making refers to a decision meant for the evaluation of a person’s specific characteristics that is conducted using only automated data processing and that results in legal effects for the data subject or that will otherwise affect them in a significant way. Some examples of automated decision-making include credit status decisions and profiling. The data subject has the right to not be subjected to automated decision-making.
We do not utilise automated decision-making.
The processing of personal data is based on the EU General Data Protection Regulation. The more detailed justifications for processing the data are:
Our staff management processes also involve the processing of so-called sensitive data (membership in a trade union), and the special justification for the processing of said data is to ensure the data controller’s or data subject’s compliance with any obligations that are related to labour law or social security.
Tietosuojan periaatteet otetaan huomioon aina henkilötietoja käsiteltäessä: niin organisaationa suunniteltaessa palveluja ja prosesseja kuin yksittäisiä HR-työtehtäviä hoidettaessa.
PERIAATE | ESIMERKKI |
Lainmukaisuus, asianmukaisuus, läpinäkyvyys | Työntekijöille annetaan tiedot käsiteltävistä henkilötiedoista tietosuojailmoituksessa. |
Käyttötarkoitussidonnaisuus | Suunniteltaessa palveluja ja järjestelmiä varmistetaan, että kerättäville tiedoille on määritetty käyttötarkoitus. |
Minimointiperiaate | Vain välttämättömiä ja tarpeellisia tietoja pyydetään ja käsitellään HR-palveluissa. Esimerkiksi henkilötunnusta ei pyydetä tai merkitä asiakirjaan kun tunnistaminen on mahdollista syntymäajalla. |
Tietojen täsmällisyys | Virheelliset tiedot järjestelmissä ja asiakirjoissa korjataan omasta aloitteesta tai asiakkaan pyytäessä. Vanhentuneita tietoja ei säilytetä. |
Säilytyksen rajoittaminen | Tarpeettomat henkilötiedot poistetaan TOS mukaisesti ja prosessin päätyttyä. |
Luottamuksellisuus ja turvallisuus | HR-palveluissa käytetään yliopiston tietoturvatarkistettuja järjestelmiä ja palveluja. Tietoturvasta työtehtävissä huolehditaan yliopiston ohjeiden mukaisesti. |
Esihenkilöt ja HR henkilötietojen käyttäjinä
Esihenkilöiden ja HR:n tehtäviin kuuluu olennaisesti työntekijöiden henkilötietojen käsittely eikä tietosuoja-asetus muuta tätä asiaa. Työnantajan nimeämät henkilötietojen käyttäjät käsittelevät roolista riippuen esim. koko korkeakoulun, yksittäisen tai useamman laitoksen tai oman tiimin työntekijöiden henkilötietoja. Henkilötietoja käsitellään HR-työssä monin eri tavoin, niin suullisesti keskusteluissa, kirjallisesti, sähköissä työnkuluissa, tietojärjestelmissä kuin sähköpostilla. Käyttöoikeudet HR-tietojärjestelmiin määritetään aina työtehtävien mukaan. Tiedot, joita käsitellään, voivat liittyä rekrytointiin, työsopimuksen solmimiseen, palkkaukseen, budjetointiin, matkustamiseen, suoriutumiseen, työkykyyn, sidonnaisuuksiin, poissaoloihin jne.
Osa käsiteltävistä tiedoista on julkisuuslain perusteella salassapidettävää tai arkaluontoista (terveystiedot), mikä asettaa tietojen käsittelylle erityiset vaatimukset.
XXXX
Työtodistukset
Työntekijällä on oikeus saada 5 vuotta työsuhteen päättymisestä ns. laaja työtodistus ja 10 vuotta suppea työtodistus. Jos laaja työtodistus on laadittu, toimitahan työtodistuksen yksikkösi hr-yhteyshenkilölle keskitettyä arkistointia varten.
Valokuvat ja videot
Henkilöstökortissa ja siihen liittyvässä arkistossa säilytetään henkilön kuvaa työsuhteen ajan. Työntekijältä pyydetään aina erikseen lupa yhtiön tarpeissa suoritettaviin valokuvauksiin tai videointiin.
Valokuvien ja muiden henkilötietojen viemistä internetiin tai sisäiseen intranetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä. Tietosuojavaltuutetun kannanoton mukaan, mikäli työntekijän työtehtäviin kuuluu olla tunnistettavissa ja tavoitettavissa työyhteystietojen, ammattinimikkeen ja valokuvan perusteella ja menettely on asiallisesti perusteltua työtehtävien ja työantajan toiminnan kannalta, voidaan mm. työntekijän valokuva ja työyhteystiedot viedä organisaation kotisivuille.
TIETOSUOJA TYÖSUHTEEN PÄÄTTYESSÄ
Irtisanomisilmoitus
Työnantajan tai työntekijän laatima irtisanomisilmoitus sisältöineen ja vastaavasti tieto työntekijän irtisanomisesta, irtisanomispäivästä sekä irtisanomisperusteista voidaan katsoa olevan työnantajan henkilörekisterissä olevia irtisanoutumista ja työsopimuksen päättämistä koskevia työntekijän henkilötietoja. Työsopimus ja sen päättäminen on sellainen kahden osapuolen välinen sopimus ja luottamuksellinen asia, joka ei asianmukaisen käsittelyn vaatimus huomioon ottaen oikeuta työnantajaa ilmaisemaan sen sisältöä sivullisille.
XXXX
XXXX
Tekoälyn (AI-työkalut kuten ChatGPT) hyödyntäminen HR-työssä lisää tarvetta osata tiedonhallintaa ja henkilötietojen turvallista käsittelyä. Tekoälyä kokeiltaessa ja hyödynnettäessä seuraa yliopiston antamia yleisiä ohjeita, joita kehitetään tilanteen mukaan. Muistuta myös muita työntekijöitä näistä ohjeista. HR-työssä on syytä muistaa ainakin nämä seuraavat pääsäännöt:
XXXX
Käsitteet: erityiset henkilötietoryhmät, salassapidettävät tiedot jne
XXXX
XXXX
XXXX
XXXX
Tietosuoja-asetus (GDPR) tai tietosuojan toteuttaminen ei estä tarpeellista henkilötietojen käsittelyä eikä toiminnan tai palvelujen kehittämistä taikka järjestelmähankintoja. Tietosuojan huomioimisesta tulee kuitenkin huolehtia aina jo suunnitteluvaiheessa (ns. privacy by design / privacy by default). Voit mielellään pyytää kehittämishankkeiden alussa näkemyksiä ja riskiarvioita HR-juristilta tai tietosuojavastaavalta.
Suunnitteluvaatimus
Rekisterinpitäjän eli Aalto-yliopiston velvollisuutena on suunnitella henkilötietojen käsittelyn elinkaari. Tämä sisältää toimenpiteiden suorittamista ennen käsittelyn aloittamista, käsittelyn aikana ja oikeusperusteen lakattua. Yliopisto vastaa ohjeiden ja prosessien laatimisesta. Henkilötietojen käsittelyn suunnittelu sisällytetään HR-prosessien suunnitteluun ja kehittämiseen, ja jokainen HR-työntekijä ja esihenkilö vastaa osaltaan siitä, että toimii prosessien ja ohjeiden mukaisesti.
Ennen käsittelyn aloittamista tulee rekisterinpitäjän määrittää henkilötietojen käsittelyn tarkoitus ja oikeusperuste, käsittelyn kannalta tarpeelliset henkilötiedot, henkilötietojen säilyttämis- ja hävittämisajat ja –käytännöt näille sekä riittävät tietoturvatoimet. Tämän lisäksi tulee laatia tietosuojailmoitus, jonka tulee olla rekisteröityjen saatavilla.
Henkilötietojen käsittelyn aikana tulee hallinnoida ja ylläpitää tarvittavia suostumuksia, ylläpitää tietosuojailmoituksia, selosteita käsittelytoimista, dokumentaatiota ja ohjeistuksia, hallita tiedonsiirtoja kolmansiin maihin ja ylläpitää rekisteröidyn oikeuksia.
Henkilötietojen käsittelyn oikeusperusteen lakattuatulee varmistaa henkilötietojen lopullinen hävittäminen tai varmistaa tietojen myöhempi hävitys, mikäli henkilötietoja on tarpeen säilyttää pidempään.
Käyttötarkoitussidonnaisuus ja tietojen minimointi
Käyttötarkoitussidonnaisuus ja tietojen minimointi ovat henkilötietojen käsittelyä koskevia periaatteita.
Rekisterinpitäjällä eli Aalto-yliopistolla on EU:n Tietosuoja-asetuksen (2016/679) mukaisesti velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä.
Työntekijöiden tietosuojailmoituksessa informoimme työntekijöitä yliopiston tietosuojakäytännöistä, jotka koskevat työsuhdeasioiden ja vastaavien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja. Tämä tietosuojailmoitus määrittää miten henkilötietoja säännönmukaisesti käsitellään työsuhdeasioiden hoitamiseen liittyen eikä tietoja saa käsitellä ilmoitetun kanssa yhteensopimattomalla tavalla. Jos havaitset ilmoituksessa esimerkiksi prosessia kehitettäessä tai uusia palveluja suunnitellessa muutostarpeita, ole yhteydessä HR-asioiden juristiin, jotta tarvittavat päivitykset ilmoitukseen voidaan tehdä oikea-aikaisesti.
Työnantajalla on lakiin perustuva velvollisuus käsitellä yhteistoiminnassa henkilöstön kanssa osana ns. jatkuvaa vuoropuhelua myös tietosuojaa ja henkilötietoja koskevia asioita. Tällaisia vuoropuhelussa käsiteltäviä asioita ovat esimerkiksi työhönotossa ja työsuhteen aikana kerättävät henkilötiedot, huumausainetestien käyttö ja teknisen valvonnan, kuten kameravalvonnan ja kulunvalvonnan käyttö.
Linkkejä:
Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.
Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.