Services

Processing of personal data - Staff

The reasons why and situations where we process your personal data

Why do we process your personal data?

We process your personal data in connection with the following tasks:

  • Salary and remuneration payments, the reception of salary calculation data and the transfer of salary calculation data to different stakeholders. The planning, management, monitoring and statistics related to staff, salary and employment relationship matters as well as the handling of an employer’s statutory and voluntary tasks.
  • Staff working hours tracking system and the allocation of working hours (for the division of project salary expenses).
  • The management of the evaluation process that is conducted in connection with the salary system for Finnish universities (YPJ) 
    •   The evaluation process for the requirement level of a task
    •   The evaluation process for personal performance
  • The occupational wellbeing of staff: Occupational wellbeing surveys and reports

Do we use automated profiling in our decision-making processes?

Automated decision-making refers to a decision meant for the evaluation of a person’s specific characteristics that is conducted using only automated data processing and that results in legal effects for the data subject or that will otherwise affect them in a significant way. Some examples of automated decision-making include credit status decisions and profiling. The data subject has the right to not be subjected to automated decision-making.

We do not utilise automated decision-making.

Why are we allowed to process your personal data?

The processing of personal data is based on the EU General Data Protection Regulation. The more detailed justifications for processing the data are:

  1. Compliance with the data controller’s statutory obligation. Acts and decrees: the Universities Act (558/2009), the Government Decree on Universities (770/2009), the Employment Contracts Act (55/2001)
  2. Implementation of the data controller’s or third party’s legitimate interests, specify the legitimate interest: the significant relationship between the data controller and the data subject (employment relationship)

Our staff management processes also involve the processing of so-called sensitive data (membership in a trade union), and the special justification for the processing of said data is to ensure the data controller’s or data subject’s compliance with any obligations that are related to labour law or social security.

Tietosuojan periaatteet

Tietosuojan periaatteet otetaan huomioon aina henkilötietoja käsiteltäessä: niin organisaationa suunniteltaessa palveluja ja prosesseja kuin yksittäisiä HR-työtehtäviä hoidettaessa.

PERIAATE ESIMERKKI
Lainmukaisuus, asianmukaisuus, läpinäkyvyys Työntekijöille annetaan tiedot käsiteltävistä henkilötiedoista tietosuojailmoituksessa.
Käyttötarkoitussidonnaisuus Suunniteltaessa palveluja ja järjestelmiä varmistetaan, että kerättäville tiedoille on määritetty käyttötarkoitus.
Minimointiperiaate Vain välttämättömiä ja tarpeellisia tietoja pyydetään ja käsitellään HR-palveluissa. Esimerkiksi henkilötunnusta ei pyydetä tai merkitä asiakirjaan kun tunnistaminen on mahdollista syntymäajalla.
Tietojen täsmällisyys Virheelliset tiedot järjestelmissä ja asiakirjoissa korjataan omasta aloitteesta tai asiakkaan pyytäessä. Vanhentuneita tietoja ei säilytetä.
Säilytyksen rajoittaminen Tarpeettomat henkilötiedot poistetaan TOS mukaisesti ja prosessin päätyttyä.
Luottamuksellisuus ja turvallisuus HR-palveluissa käytetään yliopiston tietoturvatarkistettuja järjestelmiä ja palveluja. Tietoturvasta työtehtävissä huolehditaan yliopiston ohjeiden mukaisesti.

Tietosuoja yleisimmissä HR-prosesseissa

Esihenkilöt ja HR henkilötietojen käyttäjinä  

Esihenkilöiden ja HR:n tehtäviin kuuluu olennaisesti työntekijöiden henkilötietojen käsittely eikä tietosuoja-asetus muuta tätä asiaa. Työnantajan nimeämät henkilötietojen käyttäjät käsittelevät roolista riippuen esim. koko korkeakoulun, yksittäisen tai useamman laitoksen tai oman tiimin työntekijöiden henkilötietoja. Henkilötietoja käsitellään HR-työssä monin eri tavoin, niin suullisesti keskusteluissa, kirjallisesti, sähköissä työnkuluissa, tietojärjestelmissä kuin sähköpostilla. Käyttöoikeudet HR-tietojärjestelmiin määritetään aina työtehtävien mukaan. Tiedot, joita käsitellään, voivat liittyä rekrytointiin, työsopimuksen solmimiseen, palkkaukseen, budjetointiin, matkustamiseen, suoriutumiseen, työkykyyn, sidonnaisuuksiin, poissaoloihin jne.  

Osa käsiteltävistä tiedoista on julkisuuslain perusteella salassapidettävää tai arkaluontoista (terveystiedot), mikä asettaa tietojen käsittelylle erityiset vaatimukset.  

REKRYTOINTI

XXXX

TIETOSUOJA TYÖSUHTEEN AIKANA

XXXX

Työtodistukset  

Työntekijällä on oikeus saada 5 vuotta työsuhteen päättymisestä ns. laaja työtodistus ja 10 vuotta suppea työtodistus. Jos laaja työtodistus on laadittu, toimitahan työtodistuksen yksikkösi hr-yhteyshenkilölle keskitettyä arkistointia varten. 

Valokuvat ja videot 

Henkilöstökortissa ja siihen liittyvässä arkistossa säilytetään henkilön kuvaa työsuhteen ajan. Työntekijältä pyydetään aina erikseen lupa yhtiön tarpeissa suoritettaviin valokuvauksiin tai videointiin.  

Valokuvien ja muiden henkilötietojen viemistä internetiin tai sisäiseen intranetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä. Tietosuojavaltuutetun kannanoton mukaan, mikäli työntekijän työtehtäviin kuuluu olla tunnistettavissa ja tavoitettavissa työyhteystietojen, ammattinimikkeen ja valokuvan perusteella ja menettely on asiallisesti perusteltua työtehtävien ja työantajan toiminnan kannalta, voidaan mm. työntekijän valokuva ja työyhteystiedot viedä organisaation kotisivuille. 

TIETOSUOJA TYÖSUHTEEN PÄÄTTYESSÄ

Irtisanomisilmoitus 

Työnantajan tai työntekijän laatima irtisanomisilmoitus sisältöineen ja vastaavasti tieto työntekijän irtisanomisesta, irtisanomispäivästä sekä irtisanomisperusteista voidaan katsoa olevan työnantajan henkilörekisterissä olevia irtisanoutumista ja työsopimuksen päättämistä koskevia työntekijän henkilötietoja. Työsopimus ja sen päättäminen on sellainen kahden osapuolen välinen sopimus ja luottamuksellinen asia, joka ei asianmukaisen käsittelyn vaatimus huomioon ottaen oikeuta työnantajaa ilmaisemaan sen sisältöä sivullisille. 

Usein kysytyt kysymykset

XXXX

Salassapidettävät ja suojattavat tiedot sekä vaitiolovelvollisuus

Käsitteet: erityiset henkilötietoryhmät, salassapidettävät tiedot jne

Tietosuoja palveluiden suunnittelussa ja kehittämisessä

Tietosuoja-asetus (GDPR) tai tietosuojan toteuttaminen ei estä tarpeellista henkilötietojen käsittelyä eikä toiminnan tai palvelujen kehittämistä taikka järjestelmähankintoja. Tietosuojan huomioimisesta tulee kuitenkin huolehtia aina jo suunnitteluvaiheessa (ns. privacy by design / privacy by default). Voit mielellään pyytää kehittämishankkeiden alussa näkemyksiä ja riskiarvioita HR-juristilta tai tietosuojavastaavalta. 

Suunnitteluvaatimus 

Rekisterinpitäjän eli Aalto-yliopiston velvollisuutena on suunnitella henkilötietojen käsittelyn elinkaari. Tämä sisältää toimenpiteiden suorittamista ennen käsittelyn aloittamista, käsittelyn aikana ja oikeusperusteen lakattua. Yliopisto vastaa ohjeiden ja prosessien laatimisesta. Henkilötietojen käsittelyn suunnittelu sisällytetään HR-prosessien suunnitteluun ja kehittämiseen, ja jokainen HR-työntekijä ja esihenkilö vastaa osaltaan siitä, että toimii prosessien ja ohjeiden mukaisesti. 

Ennen käsittelyn aloittamista tulee rekisterinpitäjän määrittää henkilötietojen käsittelyn tarkoitus ja oikeusperuste, käsittelyn kannalta tarpeelliset henkilötiedot, henkilötietojen säilyttämis- ja hävittämisajat ja –käytännöt näille sekä riittävät tietoturvatoimet. Tämän lisäksi tulee laatia tietosuojailmoitus, jonka tulee olla rekisteröityjen saatavilla. 

Henkilötietojen käsittelyn aikana tulee hallinnoida ja ylläpitää tarvittavia suostumuksia, ylläpitää tietosuojailmoituksia, selosteita käsittelytoimista, dokumentaatiota ja ohjeistuksia, hallita tiedonsiirtoja kolmansiin maihin ja ylläpitää rekisteröidyn oikeuksia.  

Henkilötietojen käsittelyn oikeusperusteen lakattuatulee varmistaa henkilötietojen lopullinen hävittäminen tai varmistaa tietojen myöhempi hävitys, mikäli henkilötietoja on tarpeen säilyttää pidempään. 

Käyttötarkoitussidonnaisuus ja tietojen minimointi 

Käyttötarkoitussidonnaisuus ja tietojen minimointi ovat henkilötietojen käsittelyä koskevia periaatteita.

  • Käyttötarkoitussidonnaisuudella tarkoitetaan, että henkilötiedot ovat kerätty tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.    
  • Tietojen minimointiperiaate: Tietojen minimoinnilla tarkoitetaan, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. 

Informointivelvollisuus 

Rekisterinpitäjällä eli Aalto-yliopistolla on EU:n Tietosuoja-asetuksen (2016/679) mukaisesti velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä. 

Työntekijöiden tietosuojailmoituksessa informoimme työntekijöitä yliopiston tietosuojakäytännöistä, jotka koskevat työsuhdeasioiden ja vastaavien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja. Tämä tietosuojailmoitus määrittää miten henkilötietoja säännönmukaisesti käsitellään työsuhdeasioiden hoitamiseen liittyen eikä tietoja saa käsitellä ilmoitetun kanssa yhteensopimattomalla tavalla. Jos havaitset ilmoituksessa esimerkiksi prosessia kehitettäessä tai uusia palveluja suunnitellessa muutostarpeita, ole yhteydessä HR-asioiden juristiin, jotta tarvittavat päivitykset ilmoitukseen voidaan tehdä oikea-aikaisesti. 

Yhteistoiminta henkilötietojen käsittelyssä 

Työnantajalla on lakiin perustuva velvollisuus käsitellä yhteistoiminnassa henkilöstön kanssa osana ns. jatkuvaa vuoropuhelua myös tietosuojaa ja henkilötietoja koskevia asioita. Tällaisia vuoropuhelussa käsiteltäviä asioita ovat esimerkiksi työhönotossa ja työsuhteen aikana kerättävät henkilötiedot, huumausainetestien käyttö ja teknisen valvonnan, kuten kameravalvonnan ja kulunvalvonnan käyttö. 

Linkkejä:

  • XXXX

Tietosuojaan sitoutuminen / Linkit

Kaksi henkilöä kampuksella.

Eettiset periaatteet - arvot käytäntöön

Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.

Aalto-yliopisto
gdpr-nn-banner-wj.jpg

Aalto-yliopiston tietosuojapolitiikka

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Palvelut
This service is provided by:

Legal Services

Did you find what you were looking for? If not, please contact us.
  • Published:
  • Updated: