20. joulukuuta 2019

GDPR ja tietosuoja - Maalaisjärjen käytöstä typeryyteen

Kukaan on tuskin välttynyt kuulemasta termiä GDPR, eli General Data Protection Regulation (yleinen tietosuoja-asetus). Se on uusi henkilötietojen käsittelyä sääntelevä laki, jota sovelletaan kaikissa EU-maissa 25.5.2018 alkaen. Noin lyhyesti tämän tietosuoja-asetuksen on tarkoitus antaa parempi suoja henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä. Jokapäiväiseen elämään sillä on tuskin vaikutusta, mutta onhan se nyt toisaalta kiva tietää, että mitä henkilötietoja Firmalla X on sinusta, mihin niitä käytetään ja halutessasi pyytää niiden poistoa. Noin muutenkin vain tarpeellisten henkilötietojen turvallinen ja lainmukainen keräys ja käsittely tuskin on huono asia, joten miksi valittaa?




Valitettavasti välillä tuntuu, että maalaisjärjen käyttö on tässäkin asiassa unohdettu ihan täysin. Miksi EU tason lainsäädännön tulkintaa vedetään aina meillä Suomessa kansallisesti niin överiksi? Yle kirjoitti aikoinaan hyvän jutun: 6 väärää käsitystä kohutusta tietosuoja-asetuksesta. Lainaan tässä muutamaa kohtaa, jotka tuntuvat jo vähän naurettavilta. Miten kukaan täysijärkinen on voinut ajatella moista tietosuoja-asetuksen lainhengen puitteissa? Ensimmäisessä tapauksessa jopa kiinteistöliiton apulaispäälakimies piti mahdollisena, että kerrostalon porraskäytävien nimitaulut katoavat asetuksen takia, koska ne muodostavat henkilörekisterin. Tietosuojavaltuutettu kuitenkin tyrmäsi ajatuksen ja sanoi, että valtaosassa kuntia nimitaulut perustuvat kuntien rakennusjärjestykseen ja niitä on näin ollen velvollisuus pitää. Se siitä tyhmyydestä.

Toinen aika älytön tulkinta on, että saunavuorolistoja ei saa enää pitää. Tietosuojavaltuutetun mielestä tässä pitää selvittää, mistä nimilistassa on kysymys, mutta sellaista yleistämistä ei voi kuitenkaan tehdä, että esilläpito olisi kiellettyä. Myös lasten syntymäpäiväkutsujen lähettämistä varten pidettävä osoitelista on sallittua, koska tietosuoja-asetus ei koske kotitalouksia. Tietosuoja-asetuksen sääntöjä ei siis sovelleta, jos yksityishenkilö käsittelee henkilötietoja vain henkilökohtaisiin tarkoituksiin tai omassa kotitaloudessaan, eikä käsittely liity ammatilliseen tai kaupalliseen toimintaan. Tässä GDPR -jutussa on toimittu vähän samalla tavalla kuin pakollisessa evästeilmoituksessa. Kannattaa lukea tuo kirjoitukseni, koska tällaista ärsyttävää ponnahdusikkunakikkaretta jokaisella eri sivustolla ei viestintäviraston kannan mukaan edes tarvita. Turha popup-evästeilmoitus on siis tätä nöyristelyä, pilkun viilausta ja maalaisjärjen heittämistä kaivosta alas, kun halutaan olla mieluummin lampaita talutushihnassa kuin kyseenalaistavia ja itsenäisiä toimijoita.


Työvuorolistojen esilläpito kielletty


Miksi sitten kirjoitan tämän lyhyen jutun tietosuoja-asiasta? Yksinkertaisesti siksi, että itseäni hämmentää ja osittain myös vituttaa, kun omassa työpaikassani (iso kansainvälinen ketju, jota en tässä kuitenkaan nimeltä mainitse) on ruvettu rajoittamaan maalaisjärjen käyttöä ja ryhdytty sahaamaan omaa oksaa tällaisella samalla typerällä tulkinnalla. Osastollani on varmaan 30+ työntekijää ja aikaisemmin koko työvuorolista oli toimiston seinällä kaikkien työntekijöiden nähtävillä. Sinne oli pääsy siis vain oman osaston työntekijöillä. Listasta näki noin 5 viikkoa työvuoroja eteenpäin. Nyt kaikkien työvuoroista seinällä on vain kuluva viikko, muu työvuorolista on pannassa. Edes esimies ei saa pyynnöstä huolimatta näyttää seuraavien viikkojen työvuorolistoja. Et siis pysty vaihtamaan vuoroa, jos pakottava tarve olisi.

Toimintaa on tietenkin perusteltu tietosuoja-asetuksen tulkinnalla ja toisekseen halutaan ehkä rajoittaa myös sitä, että vuoroja ei vaihdeltaisi liikaa. 5 viikkoa on kuitenkin pitkä aika ja jokainen voi kuvitella, että elämässä sattuu ja tapahtuu aina kaikenlaista. Kahden viikon päästä voi olla jotain niin akuuttia, että tarvitsetkin sen päivän välttämättä vapaaksi. Nyt et kuitenkaan saa tietää, kuka silloin olisi vapaalla ja mahdollisesti voisi vuorosi tehdä. Kuuleman mukaan pitää vain kysyä kaikilta. Voi vittu mitä pelleilyä! Et voi millään suunnitella elämää aina siten, että haet 2 kk aikaisemmin vapaatoivetta, jota et välttämättä edes saa. Oikeus työvuorojen vaihtamiseen pitää olla.

Ja millähän perusteella 1 viikko voi olla seinällä, mutta 2 tai 3 viikkoa ei? Miksi kielto ei sitten ole ehdoton, jos noin tyhmään ratkaisuun on ylipäänsä päädytty. Miten vuoron vaihto vähän paniikissa viimeisellä mahdollisella hetkellä vaikkapa huomiseksi on jotenkin parempi, kuin vaikkapa kunnolla harkittu ja parin viikon päästä tapahtuva? Ei käy järkeen.


Onko tulkinta edes sallittu?


Omassa majoitus- ja ravitsemusalan työntekijöiden työehtosopimuksessa lukee (8§ Työvuorolista), että työvuorolista on laadittava etukäteen niin, että se asetetaan työntekijöiden nähtäville vähintään viikkoa ennen kolmiviikkoisjakson alkamista. Selkeämmin sanottuna tuonhan pitäisi tarkoittaa sitä, että 15 päivää on aina nähtävillä vähintään viikkoa ennen. Tästä voidaan tehdä poikkeus vain työpaikkakohtaisella sopimisella (35 §), josta ei tietääkseni ole mitään kirjallisena. Työpaikan nykyinen tulkinta on siis mielestäni väärin.

Jokainen pystyy lukemaan tuon tietosuoja-asetuksen lakitekstin tästä ja vetää omat tulkintansa työvuorolistojen näyttämiseen. En tiedä kuka typerys työvuorolistan esilläolon estämisestä on päättänyt, mutta punainen lanka GDPR:stä on häneltä kadonnut kyllä täysin. Ei sen pitänyt haitata tavallista rividuunaria näin. Tuossa lakitekstissä nimittäin jo heti alussa sanotaan: "(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin". Työpaikan nykyinen tulkinta on siis mielestäni tämänkin pohjalta väärin, koska se ei tuo mitään etua, vaan pelkästään haittoja.

Väittäisin että GDPR sallii työntekoon liittyvän henkilötietojen käsittelyn, kuten vuorolistojen ylläpitämisen, sillä perusteella että se on tarpeen työsopimuksen täyttämiseksi (Artikla 6 alakohta 1b). Oikeutuksena olisi lakitekstin seuraava lause: “käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena…”. Mielestäni työntekijöiden on tarpeen nähdä kollegoiden tunnit esimerkiksi vuorojen vaihtamiseksi, jotta työ on mahdollista sovittaa täysimääräisesti perhe-elämään.

Oikeutusta käsittelyyn voidaan etsiä myös kohdasta (Artikla 6 alakohta 1f), jossa sanotaan: "käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut..." Väittäisinkin, että kuvaamassasi tilanteessa haitta työtekijän oikeuksille (yksityisyys) on niin pieni, että yritystoiminnan pyörittämisen tarve oikeutuksena kuitannee sen helposti.

Näin lopuksi pitää vielä linkittää teksti, jossa JHL (Julkisten ja hyvinvointialojen liitto, jossa jäseniä 200 000) on sanonut, että työvuoroluetteloiden on jatkossakin oltava nähtävillä työpaikoilla riippumatta GDPR -asetuksesta. Muu tulkinta on tarkoitushakuisesti väärin. Jalat siis maahan tässä pölhöilyssä. Valitettavasti tyhmyys on uusiutuva luonnonvara... Katsellaan miten homma lähtee tästä etenemään. Jos järkipuhe ja viittaus näihin esimerkkeihin ei tuota tulosta, niin sitten pitää varmaan pyytää kaikilta työntekijöiltä rasti ruutuun, jotta listat saa olla taas seinällä. Se että tuota ei ole vielä mietitty tai toteutettu voisi viitata johonkin toiseen motiiviin, joka ei itselleni aukene. On se maailma mennyt aina vaan ihmeellisemmäksi. Kuinka monella lukijalla työvuorolistat ovat kadonneet tietosuoja-asetuksen myötä?


Päivitys 20.12.2019 - Kuinka lopulta kävi? 


Lähetin tässä blogissa esittämäni kysymykset ja tiedustelun laillisuudesta työpaikan henkilöstöhallintoon. Pyytelin vastausta muutamankin kerran ja vasta reilun kuukauden päästä sellaisen sain. Siihenkin jouduin vielä pyytämään selvennystä, kun oli sen verran ympäripyöreä ja poliittisesti korrekti. Vastaus kuului suurin piirtein näin: 

"Hetki takaperin työvuorolistat pyydettiin poistamaan, jotta työntekijöiden tiedot eivät pääse vääriin käsiin. Listojen todettiin sisältävän työntekijöiden henkilökohtaisia tietoja esimerkiksi sopimustunteja, sairaslomia jne. Tästä syystä ne päätettiin ottaa pois kaikkien näkyviltä. Mitään laillista syytä listojen poistamiseen ei ole. Laillisesti listojen ei tarvitse olla piilossa, vain asiakkailta, vierailta jne. Tosin jos osaston esimiehet ovat päättäneet listat pitää  poissa kaikkien katseilta se on esimiesten päätös, jota meidän tulee myös noudattaa." 

Hoh hoijaa. Ei tullut ainakaan itselleni yllätyksenä, että tuo oli siis "laitonta". Käytännössä muilla työpaikkani osastoilla näin oli toimittu jo kauan ja meille tapa tuli viimeisenä. Käytännössä siis joku ylempänä oli tämän ratkaisun tehnyt ja kukaan ei ole sitä uskaltanut kyseenalaistaa ja pyytää perusteluja. Ihme lampaita kaikki. En siltikään ymmärrä henkilöstöhallinnon vastausta. Jos laillista syytä listojen poistamiseen ei ole, niin silloinhan päätös on laiton? Eihän esimies voi tehdä laitonta päätöstä, jota pitäisi kunnioittaa? Paremman tiedon puutteessa spekuloisin, että käytännössä tässä siis kait huijattiin esimiehiä, että näin pitäisi jonkun verukkeen pohjalta tehdä, mutta ei kerrottu, että päätös on kyllä sitten laiton ja todella huteralla pohjalla. Todella hämmentävää, että näin edes toimitaan.

Loppujen lopuksi tällä ei kuitenkaan ole enää suurempaa merkitystä, koska vuoden 2020 työpaikassamme siirrytään käyttämään työvuoroissa itsepalveluportaalia ORTEC Employee Self Service. Saas nähdä miten toimii, kun katsoo sovelluskaupassa palvelun saamia kommentteja. Pari tähteä viidestä ei ainakaan ennusta kovin hyvää. ..




(Alkuperäinen artikkeli julkaistu 16.10.2019 ja nyt päivitetty)

Ei kommentteja:

Lähetä kommentti

Related Posts Plugin for WordPress, Blogger...