16. lokakuuta 2019

GDPR ja tietosuoja - Maalaisjärjen käytöstä typeryyteen

Kukaan on tuskin välttynyt kuulemasta termiä GDPR, eli General Data Protection Regulation (yleinen tietosuoja-asetus). Se on uusi henkilötietojen käsittelyä sääntelevä laki, jota sovelletaan kaikissa EU-maissa 25.5.2018 alkaen. Noin lyhyesti tämän tietosuoja-asetuksen on tarkoitus antaa parempi suoja henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä. Jokapäiväiseen elämään sillä on tuskin vaikutusta, mutta onhan se nyt toisaalta kiva tietää, että mitä henkilötietoja Firmalla X on sinusta, mihin niitä käytetään ja halutessasi pyytää niiden poistoa. Noin muutenkin vain tarpeellisten henkilötietojen turvallinen ja lainmukainen keräys ja käsittely tuskin on huono asia, joten miksi valittaa?




Valitettavasti välillä tuntuu, että maalaisjärjen käyttö on tässäkin asiassa unohdettu ihan täysin. Miksi EU tason lainsäädännön tulkintaa vedetään aina meillä Suomessa kansallisesti niin överiksi? Yle kirjoitti aikoinaan hyvän jutun: 6 väärää käsitystä kohutusta tietosuoja-asetuksesta. Lainaan tässä muutamaa kohtaa, jotka tuntuvat jo vähän naurettavilta. Miten kukaan täysijärkinen on voinut ajatella moista tietosuoja-asetuksen lainhengen puitteissa? Ensimmäisessä tapauksessa jopa kiinteistöliiton apulaispäälakimies piti mahdollisena, että kerrostalon porraskäytävien nimitaulut katoavat asetuksen takia, koska ne muodostavat henkilörekisterin. Tietosuojavaltuutettu kuitenkin tyrmäsi ajatuksen ja sanoi, että valtaosassa kuntia nimitaulut perustuvat kuntien rakennusjärjestykseen ja niitä on näin ollen velvollisuus pitää. Se siitä tyhmyydestä.

Toinen aika älytön tulkinta on, että saunavuorolistoja ei saa enää pitää. Tietosuojavaltuutetun mielestä tässä pitää selvittää, mistä nimilistassa on kysymys, mutta sellaista yleistämistä ei voi kuitenkaan tehdä, että esilläpito olisi kiellettyä. Myös lasten syntymäpäiväkutsujen lähettämistä varten pidettävä osoitelista on sallittua, koska tietosuoja-asetus ei koske kotitalouksia. Tietosuoja-asetuksen sääntöjä ei siis sovelleta, jos yksityishenkilö käsittelee henkilötietoja vain henkilökohtaisiin tarkoituksiin tai omassa kotitaloudessaan, eikä käsittely liity ammatilliseen tai kaupalliseen toimintaan.


Työvuorolistojen esilläpito kielletty


Miksi sitten kirjoitan tämän lyhyen jutun tietosuoja-asiasta? Yksinkertaisesti siksi, että itseäni hämmentää ja osittain myös vituttaa, kun omassa työpaikassani (iso kansainvälinen ketju, jota en tässä kuitenkaan nimeltä mainitse) on ruvettu rajoittamaan maalaisjärjen käyttöä ja ryhdytty sahaamaan omaa oksaa tällaisella samalla typerällä tulkinnalla. Osastollani on varmaan 30+ työntekijää ja aikaisemmin koko työvuorolista oli toimiston seinällä kaikkien työntekijöiden nähtävillä. Sinne oli pääsy siis vain oman osaston työntekijöillä. Listasta näki noin 5 viikkoa työvuoroja eteenpäin. Nyt kaikkien työvuoroista seinällä on vain kuluva viikko, muu työvuorolista on pannassa. Edes esimies ei saa pyynnöstä huolimatta näyttää seuraavien viikkojen työvuorolistoja. Et siis pysty vaihtamaan vuoroa, jos pakottava tarve olisi.

Toimintaa on tietenkin perusteltu tietosuoja-asetuksen tulkinnalla ja toisekseen halutaan ehkä rajoittaa myös sitä, että vuoroja ei vaihdeltaisi liikaa. 5 viikkoa on kuitenkin pitkä aika ja jokainen voi kuvitella, että elämässä sattuu ja tapahtuu aina kaikenlaista. Kahden viikon päästä voi olla jotain niin akuuttia, että tarvitsetkin sen päivän välttämättä vapaaksi. Nyt et kuitenkaan saa tietää, kuka silloin olisi vapaalla ja mahdollisesti voisi vuorosi tehdä. Kuuleman mukaan pitää vain kysyä kaikilta. Voi vittu mitä pelleilyä! Et voi millään suunnitella elämää aina siten, että haet 2 kk aikaisemmin vapaatoivetta, jota et välttämättä edes saa. Oikeus työvuorojen vaihtamiseen pitää olla.

Ja millähän perusteella 1 viikko voi olla seinällä, mutta 2 tai 3 viikkoa ei? Miksi kielto ei sitten ole ehdoton, jos noin tyhmään ratkaisuun on ylipäänsä päädytty. Miten vuoron vaihto vähän paniikissa viimeisellä mahdollisella hetkellä vaikkapa huomiseksi on jotenkin parempi, kuin vaikkapa kunnolla harkittu ja parin viikon päästä tapahtuva? Ei käy järkeen.


Onko tulkinta edes sallittu?


Omassa majoitus- ja ravitsemusalan työntekijöiden työehtosopimuksessa lukee (8§ Työvuorolista), että työvuorolista on laadittava etukäteen niin, että se asetetaan työntekijöiden nähtäville vähintään viikkoa ennen kolmiviikkoisjakson alkamista. Selkeämmin sanottuna tuonhan pitäisi tarkoittaa sitä, että 15 päivää on aina nähtävillä vähintään viikkoa ennen. Tästä voidaan tehdä poikkeus vain työpaikkakohtaisella sopimisella (35 §), josta ei tietääkseni ole mitään kirjallisena. Työpaikan nykyinen tulkinta on siis mielestäni väärin.

Jokainen pystyy lukemaan tuon tietosuoja-asetuksen lakitekstin tästä ja vetää omat tulkintansa työvuorolistojen näyttämiseen. En tiedä kuka typerys työvuorolistan esilläolon estämisestä on päättänyt, mutta punainen lanka GDPR:stä on häneltä kadonnut kyllä täysin. Ei sen pitänyt haitata tavallista rividuunaria näin. Tuossa lakitekstissä nimittäin jo heti alussa sanotaan: "(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin". Työpaikan nykyinen tulkinta on siis mielestäni tämänkin pohjalta väärin, koska se ei tuo mitään etua, vaan pelkästään haittoja.

Väittäisin että GDPR sallii työntekoon liittyvän henkilötietojen käsittelyn, kuten vuorolistojen ylläpitämisen, sillä perusteella että se on tarpeen työsopimuksen täyttämiseksi (Artikla 6 alakohta 1b). Oikeutuksena olisi lakitekstin seuraava lause: “käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena…”. Mielestäni työntekijöiden on tarpeen nähdä kollegoiden tunnit esimerkiksi vuorojen vaihtamiseksi, jotta työ on mahdollista sovittaa täysimääräisesti perhe-elämään.

Oikeutusta käsittelyyn voidaan etsiä myös kohdasta (Artikla 6 alakohta 1f), jossa sanotaan: "käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut..." Väittäisinkin, että kuvaamassasi tilanteessa haitta työtekijän oikeuksille (yksityisyys) on niin pieni, että yritystoiminnan pyörittämisen tarve oikeutuksena kuitannee sen helposti.

Näin lopuksi pitää vielä linkittää teksti, jossa JHL (Julkisten ja hyvinvointialojen liitto, jossa jäseniä 200 000) on sanonut, että työvuoroluetteloiden on jatkossakin oltava nähtävillä työpaikoilla riippumatta GDPR -asetuksesta. Muu tulkinta on tarkoitushakuisesti väärin. Jalat siis maahan tässä pölhöilyssä. Valitettavasti tyhmyys on uusiutuva luonnonvara... Katsellaan miten homma lähtee tästä etenemään. Jos järkipuhe ja viittaus näihin esimerkkeihin ei tuota tulosta, niin sitten pitää varmaan pyytää kaikilta työntekijöiltä rasti ruutuun, jotta listat saa olla taas seinällä. Se että tuota ei ole vielä mietitty tai toteutettu voisi viitata johonkin toiseen motiiviin, joka ei itselleni aukene. On se maailma mennyt aina vaan ihmeellisemmäksi. Kuinka monella lukijalla työvuorolistat ovat kadonneet tietosuoja-asetuksen myötä?


Ei kommentteja:

Lähetä kommentti

Related Posts Plugin for WordPress, Blogger...