Eettiset periaatteet - arvot käytäntöön
Eettiset periaatteet (Code of Conduct) muodostavat Aalto-yhteisön kulttuurin perustan, ja toteutamme niiden avulla arvojamme ja tapaamme toimia.
Henkilötietojen käsittely - Henkilöstöasiat ja esihenkilötyö
Ohjeet HR:lle ja esihenkilöille koskien työntekijöiden henkilötietojen käsittelyä työsuhdeasioissa. Ohjetta ylläpitää lakipalvelut.
Tietosuojan huoneentaulu HR-asiantuntijalle ja esihenkilölle
- Muista, että oikeus yksityisyyden suojaan, myös työnhaussa ja työpaikalla, on kaikkien perusoikeus.
- Tunnista, mitkä työtehtäväsi sisältävät työntekijöiden henkilötietojen käsittelyä ja missä roolissa toimit.
- Tutustu Aallon tietosuojapolitiikkaan, muihin henkilötietojen käsittelyä ja tietoturvaa koskeviin ohjeisiin ja suorita tietosuojan perusteet -verkkokoulutus.
- Ole aina huolellinen käsitellessäsi työnhakijoiden ja työntekijöiden henkilötietoja riippumatta siitä, onko kyse sähköisesti, suullisesti tai paperilla käsiteltävistä tiedoista.
- Ole erityisen huolellinen käsitellessäsi arkaluonteisia (terveystiedot) tai salassapidettäviä (esim. henkilötunnus, tavoitekeskustelu, suorituksen johtaminen) henkilötietoja ja muista tietojen suojaaminen sivullisilta!
- Älä säilytä omissa arkistoissasi dokumentteja, jotka säilytetään keskitetysti ja joiden sisältämä tieto tallennetaan hr-tietojärjestelmään.
- Käy arkistosi läpi vähintään puolivuosittain ja opettele deletoimaan!
- Ilmoita välittömästi epäilyttävistä asioista kuten tietojen päätymisestä väärään paikkaan, tietojärjestelmän poikkeamista, ja myös inhimillisistä virheistä: security(at)aalto.fi, tietosuojavastaava(at)aalto.fi
- Muista vaitiolovelvollisuus ja sovita keskustelusi ja työtapasi aina ympäristöön: Alä lörpöttele toisten asioista ja suojaa tietokoneesi näyttö ulkopuolisten katseilta.
- Kysy ellet tiedä! (tietosuojavastaava, työsuhdejuristi, hr-päällikkö. Tietoturva: ITS-palvelut)
Tietosuojan periaatteet
Tietosuojan periaatteet otetaan huomioon aina henkilötietoja käsiteltäessä: niin organisaationa suunniteltaessa palveluja ja prosesseja kuin yksittäisiä HR-työtehtäviä hoidettaessa.
| PERIAATE | ESIMERKKI |
| Lainmukaisuus, asianmukaisuus, läpinäkyvyys | Työntekijöille annetaan tiedot käsiteltävistä henkilötiedoista tietosuojailmoituksessa. |
| Käyttötarkoitussidonnaisuus | Suunniteltaessa palveluja ja järjestelmiä varmistetaan, että kerättäville tiedoille on määritetty käyttötarkoitus. |
| Minimointiperiaate | Vain välttämättömiä ja tarpeellisia tietoja pyydetään ja käsitellään HR-palveluissa. Esimerkiksi henkilötunnusta ei pyydetä tai merkitä asiakirjaan kun tunnistaminen on mahdollista syntymäajalla. |
| Tietojen täsmällisyys | Virheelliset tiedot järjestelmissä ja asiakirjoissa korjataan omasta aloitteesta tai asiakkaan pyytäessä. Vanhentuneita tietoja ei säilytetä. |
| Säilytyksen rajoittaminen | Tarpeettomat henkilötiedot poistetaan TOS mukaisesti ja prosessin päätyttyä. |
| Luottamuksellisuus ja turvallisuus | HR-palveluissa käytetään yliopiston tietoturvatarkistettuja järjestelmiä ja palveluja. Tietoturvasta työtehtävissä huolehditaan yliopiston ohjeiden mukaisesti. |
Tietosuoja yleisimmissä HR-prosesseissa
Esihenkilöt ja HR henkilötietojen käyttäjinä
Esihenkilöiden ja HR:n tehtäviin kuuluu olennaisesti työntekijöiden henkilötietojen käsittely eikä tietosuoja-asetus muuta tätä asiaa. Työnantajan nimeämät henkilötietojen käyttäjät käsittelevät roolista riippuen esim. koko korkeakoulun, yksittäisen tai useamman laitoksen tai oman tiimin työntekijöiden henkilötietoja. Henkilötietoja käsitellään HR-työssä monin eri tavoin, niin suullisesti keskusteluissa, kirjallisesti, sähköissä työnkuluissa, tietojärjestelmissä kuin sähköpostilla. Käyttöoikeudet HR-tietojärjestelmiin määritetään aina työtehtävien mukaan. Tiedot, joita käsitellään, voivat liittyä rekrytointiin, työsopimuksen solmimiseen, palkkaukseen, budjetointiin, matkustamiseen, suoriutumiseen, työkykyyn, sidonnaisuuksiin, poissaoloihin jne.
Osa käsiteltävistä tiedoista on julkisuuslain perusteella salassapidettävää tai arkaluontoista (terveystiedot), mikä asettaa tietojen käsittelylle erityiset vaatimukset.
REKRYTOINTI
XXXX
TIETOSUOJA TYÖSUHTEEN AIKANA
XXXX
Työtodistukset
Työntekijällä on oikeus saada 5 vuotta työsuhteen päättymisestä ns. laaja työtodistus ja 10 vuotta suppea työtodistus. Jos laaja työtodistus on laadittu, toimitahan työtodistuksen yksikkösi hr-yhteyshenkilölle keskitettyä arkistointia varten.
Valokuvat ja videot
Henkilöstökortissa ja siihen liittyvässä arkistossa säilytetään henkilön kuvaa työsuhteen ajan. Työntekijältä pyydetään aina erikseen lupa yhtiön tarpeissa suoritettaviin valokuvauksiin tai videointiin.
Valokuvien ja muiden henkilötietojen viemistä internetiin tai sisäiseen intranetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä. Tietosuojavaltuutetun kannanoton mukaan, mikäli työntekijän työtehtäviin kuuluu olla tunnistettavissa ja tavoitettavissa työyhteystietojen, ammattinimikkeen ja valokuvan perusteella ja menettely on asiallisesti perusteltua työtehtävien ja työantajan toiminnan kannalta, voidaan mm. työntekijän valokuva ja työyhteystiedot viedä organisaation kotisivuille.
TIETOSUOJA TYÖSUHTEEN PÄÄTTYESSÄ
Irtisanomisilmoitus
Työnantajan tai työntekijän laatima irtisanomisilmoitus sisältöineen ja vastaavasti tieto työntekijän irtisanomisesta, irtisanomispäivästä sekä irtisanomisperusteista voidaan katsoa olevan työnantajan henkilörekisterissä olevia irtisanoutumista ja työsopimuksen päättämistä koskevia työntekijän henkilötietoja. Työsopimus ja sen päättäminen on sellainen kahden osapuolen välinen sopimus ja luottamuksellinen asia, joka ei asianmukaisen käsittelyn vaatimus huomioon ottaen oikeuta työnantajaa ilmaisemaan sen sisältöä sivullisille.
Usein kysytyt kysymykset
XXXX
XXXX
Tekoälyn (AI-työkalut kuten ChatGPT) hyödyntäminen HR-työssä lisää tarvetta osata tiedonhallintaa ja henkilötietojen turvallista käsittelyä. Tekoälyä kokeiltaessa ja hyödynnettäessä seuraa yliopiston antamia yleisiä ohjeita, joita kehitetään tilanteen mukaan. Muistuta myös muita työntekijöitä näistä ohjeista. HR-työssä on syytä muistaa ainakin nämä seuraavat pääsäännöt:
- Samoin kuin muissakin tilanteissa, tulee yliopiston tehtävissä käyttää vain yliopiston hyväksymiä ja tietoturvatarkastamia IT-järjestelmiä. Suurin osa avoimesti verkossa olevista tekoälypalveluista ja sovelluksista ei ole yliopiston tarkistamia. Seuraa tilannetta esim. palveluvalikoimasta ja käyttöoikeuksista, ja noudata ITS ohjeita.
- Henkilötietoja ei tule syöttää tai siirtää tekoälytyökaluun. Varmistathan, että tiedät mikä kaikki on henkilötietoa – ainoastaan nimen, sähköpostiosoitteen tai yhteystietojen poistaminen ei ole riittävää, vaan käsittelemme silti tyypillisesti henkilötietoja HR-prosesseissa.
- Luottamuksellisia tai salassapidettäviä tietoja ei tule syöttää tai siirtää tekoälytyökaluun. Varmistathan, että tiedät tiimisi kanssa yleisimpien käsitteltävien tietojen luokittelun: mitkä ovat julkisia, mitkä luottamuksellisia tai salassapidettäviä.
- Olet vastuussa = Aalto-yliopisto vastaa myös sellaisesta henkilötiedosta, joka mahdollisesti sisältyy tekoälyn tuottamaan aineistoon. Pysähdy siis miettimään, miten tekoälyn antamia vastauksia jaetaan ja hyödynnetään.
XXXX
- Säilytä ja käytä lähtökohtaisesti henkilötietoja hr-tietojärjestelmissä: älä tarpeettomasti ota tietoja järjestelmän ulkopuolelle, ja mikäli tälle on tilapäinen tarve, suunnittele tietojen turvallinen säilyttäminen ja varmista niiden poistaminen.
- Teams: Teamsissa ei ole suositeltavaa säilyttää henkilötietoja. Jos teamsia käytetään hr-prosessissa, tulee tarpeettomien tai vanhentuneiden tietojen poistaminen suunnitella ja toteuttaa tiimissä järjestelmällisesti. Teamsissa ei saa säilyttää arkaluonteisia tai erityisiä henkilötietoja. Teams-kokousyhteys on suojattu eli keskusteleminen luottamusellisista asioista teamsin välityksellä on turvallista, mutta chat-kentät tai teams-ryhmät eivät sovellu luottamuksellisen tiedon välittämiseen.
- Sähköpostia käytettäessä tulee varmistaa suojatun postin käyttäminen. Sähköpostilla voit välittää toiseen aalto.fi -sähköpostiin eli esim. hr-kollegalle henkilötietoja. Huomaattehan, että sähköposti ei ole kuitenkaan oikea paikka säilyttää tietoja. Mikäli lähetät työntekijälle itselleen sähköpostitse henkilökohtaiseen osoitteeseen henkilötunnuksen sisältäviä tietoja tai erityisiä/arkaluonteisia tietoja sisältävän viestin tai liitteitä, tulee käyttää suojattua viestiä – myös silloin kun henkilö itse lähettää tietojaan suojaamattomana.
Salassapidettävät ja suojattavat tiedot sekä vaitiolovelvollisuus
Käsitteet: erityiset henkilötietoryhmät, salassapidettävät tiedot jne
XXXX
XXXX
XXXX
XXXX
Tietosuoja palveluiden suunnittelussa ja kehittämisessä
Tietosuoja-asetus (GDPR) tai tietosuojan toteuttaminen ei estä tarpeellista henkilötietojen käsittelyä eikä toiminnan tai palvelujen kehittämistä taikka järjestelmähankintoja. Tietosuojan huomioimisesta tulee kuitenkin huolehtia aina jo suunnitteluvaiheessa (ns. privacy by design / privacy by default). Voit mielellään pyytää kehittämishankkeiden alussa näkemyksiä ja riskiarvioita HR-juristilta tai tietosuojavastaavalta.
Suunnitteluvaatimus
Rekisterinpitäjän eli Aalto-yliopiston velvollisuutena on suunnitella henkilötietojen käsittelyn elinkaari. Tämä sisältää toimenpiteiden suorittamista ennen käsittelyn aloittamista, käsittelyn aikana ja oikeusperusteen lakattua. Yliopisto vastaa ohjeiden ja prosessien laatimisesta. Henkilötietojen käsittelyn suunnittelu sisällytetään HR-prosessien suunnitteluun ja kehittämiseen, ja jokainen HR-työntekijä ja esihenkilö vastaa osaltaan siitä, että toimii prosessien ja ohjeiden mukaisesti.
Ennen käsittelyn aloittamista tulee rekisterinpitäjän määrittää henkilötietojen käsittelyn tarkoitus ja oikeusperuste, käsittelyn kannalta tarpeelliset henkilötiedot, henkilötietojen säilyttämis- ja hävittämisajat ja –käytännöt näille sekä riittävät tietoturvatoimet. Tämän lisäksi tulee laatia tietosuojailmoitus, jonka tulee olla rekisteröityjen saatavilla.
Henkilötietojen käsittelyn aikana tulee hallinnoida ja ylläpitää tarvittavia suostumuksia, ylläpitää tietosuojailmoituksia, selosteita käsittelytoimista, dokumentaatiota ja ohjeistuksia, hallita tiedonsiirtoja kolmansiin maihin ja ylläpitää rekisteröidyn oikeuksia.
Henkilötietojen käsittelyn oikeusperusteen lakattuatulee varmistaa henkilötietojen lopullinen hävittäminen tai varmistaa tietojen myöhempi hävitys, mikäli henkilötietoja on tarpeen säilyttää pidempään.
Käyttötarkoitussidonnaisuus ja tietojen minimointi
Käyttötarkoitussidonnaisuus ja tietojen minimointi ovat henkilötietojen käsittelyä koskevia periaatteita.
- Käyttötarkoitussidonnaisuudella tarkoitetaan, että henkilötiedot ovat kerätty tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.
- Tietojen minimointiperiaate: Tietojen minimoinnilla tarkoitetaan, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
Informointivelvollisuus
Rekisterinpitäjällä eli Aalto-yliopistolla on EU:n Tietosuoja-asetuksen (2016/679) mukaisesti velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä.
Työntekijöiden tietosuojailmoituksessa informoimme työntekijöitä yliopiston tietosuojakäytännöistä, jotka koskevat työsuhdeasioiden ja vastaavien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja. Tämä tietosuojailmoitus määrittää miten henkilötietoja säännönmukaisesti käsitellään työsuhdeasioiden hoitamiseen liittyen eikä tietoja saa käsitellä ilmoitetun kanssa yhteensopimattomalla tavalla. Jos havaitset ilmoituksessa esimerkiksi prosessia kehitettäessä tai uusia palveluja suunnitellessa muutostarpeita, ole yhteydessä HR-asioiden juristiin, jotta tarvittavat päivitykset ilmoitukseen voidaan tehdä oikea-aikaisesti.
Yhteistoiminta henkilötietojen käsittelyssä
Työnantajalla on lakiin perustuva velvollisuus käsitellä yhteistoiminnassa henkilöstön kanssa osana ns. jatkuvaa vuoropuhelua myös tietosuojaa ja henkilötietoja koskevia asioita. Tällaisia vuoropuhelussa käsiteltäviä asioita ovat esimerkiksi työhönotossa ja työsuhteen aikana kerättävät henkilötiedot, huumausainetestien käyttö ja teknisen valvonnan, kuten kameravalvonnan ja kulunvalvonnan käyttö.
Linkkejä:
- XXXX
Tietosuojaan sitoutuminen / Linkit
Aalto-yliopiston tietosuojapolitiikka
Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.
Tätä palvelua tarjoaa:
Lakipalvelut
Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.