Tietosuojailmoitus VTT:llä työskenteleville
Tietosuojailmoitus perustuu EU:n tietosuoja-asetukseen (2016/679, ”Tietosuoja-asetus”). Tietosuojailmoitus versio 1.1, päivämäärä 11.10.2019.
Tietosuojailmoitusta voidaan päivittää aika ajoin mm. lainsäädännön, lain tulkintakäytännön tai viranomaisohjeistuksen muutoksista johtuen.
1.1 Henkilötietojen käsittelyn kohde
VTT:llä työskentelevien henkilöiden henkilötiedot.
1.2 Rekisterinpitäjä, tietosuojavastaava ja yhteyshenkilö
Rekisterinpitäjä:
Nimi: Teknologian Tutkimuskeskus VTT Oy (”VTT”), Y-tunnus: 2647375-4
Osoite: Tekniikantie 21, 02150 Espoo
Tietosuojavastaava:
Osoite: Teknologian tutkimuskeskus VTT Oy, Kirjaamo, PL 1000, 02044 VTT00
Sähköposti: [email protected] (tietosuojavastaava ja tietoturvapäällikkö sijaisineen)
2 Käsiteltävät henkilötiedot
VTT voi käsitellä seuraavia työntekijöiden työsuhteiden tai VTT:llä ilman työsuhdetta työskentelevien palvelussuhteiden kannalta välittömästi tarpeellisia henkilötietoja, jotka liittyvät työ- tai palvelussuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai rekisterinpitäjän työntekijöille tarjoamiin etuuksiin:
Perustiedot, kuten
- Etu- ja sukunimet
- Syntymäaika ja henkilötunnus
- Kotiosoite ja muut yhteystiedot
- Pankkiyhteystiedot
- Lähiomaisten yhteystiedot (hätätilanteita varten)
- Kansalaisuus
- Sukupuoli
- Työnteko-oikeuden peruste
Työ- tai palvelussuhteeseen liittyvät perustiedot, kuten
- Työ- tai palvelussuhteen aloittamiseen, hallinnoimiseen ja päättymiseen liittyvät tiedot sekä työtodistukset
- Työtehtävien sisältö ja nimike
- Veroihin ja työnantajamaksuihin liittyvät tiedot
- Työntekijän vakuuttamiseen ja tapaturmiin liittyvät tiedot
- Matkalaskut ja kilometrikorvaukset
- Palkkatiedot
- Etuuksiin liittyvät tiedot
- Palkitsemiseen liittyvät tiedot
- Työhistoriaan liittyvät tiedot
Työtehtävien hoitamiseen, työssä kehittymiseen ja työajan seurantaan liittyvät tiedot, kuten:
- Pätevyystiedot, osaamisen arvioimiseen- sekä kouluttautumiseen liittyvät tiedot
- Tavoitteisiin ja kehityskeskusteluihin liittyvät tiedot
- Komennustiedot
- Tiedot sivutoimista, luottamustoimista ja työnantajan maksamista jäsenyyksistä
- Sairauspoissaolot, vuosilomat, vanhempainvapaat ja hoitovapaat sekä mahdolliset muut sovitut poissaolot (mm. opinto- ja sapattivapaa, vuorotteluvapaa, seminaarit ja konferenssit)
- Lääkärintodistukset tai -lausunnot tai muut työntekijän terveydentilaa tai työkykyisyyttä koskevat tiedot, siltä osin kuin lainsäädäntö sallii tällaisten tietojen käsittelyn
- Joissakin tehtävissä vaadittavien huumausainetestien tulosten tiedot
- Mahdolliset kurinpitotoimet ja näistä laaditut asiakirjat
- Työsähköpostin käyttämiseen ja muuhun viestintään liittyvät tiedot
- Henkilö- ja soveltuvuusarviointeja varten kerätyt tiedot
Työvälineisiin ja työympäristöön liittyvät tiedot, kuten:
- Henkilölle myönnetyt käyttöoikeudet sekä käyttäjätunnukset ja salasanat työnantajan sähköisiin järjestelmiin ja rekistereihin
- Henkilölle osoitettujen työvälineiden, kuten tietokoneiden ja mobiilien päätelaitteiden sekä kuvallisten kulkukorttien, avainten tai muiden vastaavien tunnistetiedot
- Henkilölle osoitetun työtilan tiedot
- Työympäristön turvallisuuteen liittyvät tiedot, joilla voi olla vaikutusta työkykyyn (mm. altisteet).
Lisäksi voidaan käsitellä kaikkien yllä lueteltujen tietotyyppien muutos- ja käsittelytietoja.
3 Henkilötietojen käsittelyn tarkoitukset
Henkilötietoja käytetään rekisterinpitäjän henkilöstön työ- tai palvelussuhteisiin liittyvien asioiden hoitamiseen, kuten työ- tai palvelussuhteiden sisällön ja ehtojen määrittämiseen, palkka-asioiden hoitamiseen ja muiden etuuksien tarjoamiseen sekä rekisterinpitäjän velvoitteiden, kuten työterveydenhuollon järjestämiseen, työajan, lomien ja poissaolojen sekä työtehtävien hoitamisen seurantaan sekä työ- tai palvelussuhteiden päättämiseen liittyviin toimenpiteisiin.
Lisäksi henkilötietoja käsitellään suoriutumisen arviointiin ja koulutukseen, työntekijäanalyysiin sekä muuhun henkilöstöpuolen yleiseen kehitystyöhön, rekisterinpitäjän ja sen asiakkaiden omaisuuden suojaamiseen, turvallisuudesta ja työturvallisuudesta huolehtimiseen, erilaisiin raportointi-, vertailu- ja tilastointitarpeisiin sekä päivittäisiin työnjohdollisiin toimenpiteisiin. VTT:llä on velvollisuus varmistaa, että ulkomaalaisella henkilöllä on työnteko-oikeus Suomessa. VTT:n pitää myös säilyttää tietoja ulkomaisista työntekijöistä ja työnteko-oikeuksien perusteista.
4 Käsittelyn oikeusperuste
Henkilötietojen käsittely perustuu yhteen tai useampaan alla luetelluista perusteista:
Lakisääteinen velvoite
Henkilötietojen käsittelyn oikeusperuste on tietosuoja-asetuksen mukainen lakisääteinen velvoite, kun käsittely on tarpeen rekisterinpitäjän lakisääteisten velvoitteiden noudattamiseksi. Tästä on kyse esimerkiksi silloin, kun rekisterinpitäjä käsittelee henkilötietoja työnantajan lakisääteisten velvoitteiden kuten työterveydenhuollon tarjoamiseksi ja sosiaaliturvamaksujen suorittamiseksi.
Sopimus
Henkilötietojen käsittely perustuu työ- tai palvelussopimuksen täytäntöön panemiseen, tai työ- tai palvelussopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseen rekisteröidyn pyynnöstä.
Oikeutettu etu
Käsittelyn oikeusperusteena on tietosuoja-asetuksen mukainen oikeutettu etu erityisesti silloin kun on kyse työvälineisiin ja työympäristöön liittyvistä henkilötiedoista. Käsittelyn tarkoituksena on tällöin erityisesti VTT:n ja sen asiakkaiden omaisuuden suojaaminen sekä turvallisuuden varmistaminen.
Suostumus
Käsittely voi perustua myös rekisteröidyn suostumukseen siinä määrin, kuin lainsäädäntö sitä edellyttää, esimerkiksi työntekijän sähköpostin avaamiseen tai hakemiseen taikka mahdollisiin seurantajärjestelmiin liittyen. Rekisteröidyllä on aina oikeus peruuttaa suostumuksensa. Oikeuden käyttäminen ei vaikuta ennen suostumuksen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
5 Säännönmukaiset tietolähteet
Henkilötiedot saadaan pääsääntöisesti työskentelevältä henkilöltä itseltään, tämän esimieheltä sekä VTT:n sisäisistä lähteistä.
Rekisterinpitäjä voi kerätä rekisteröidyn suostumuksella henkilötietoja myös muista lähteistä, ellei kyse ole henkilöluottotiedoista tai rikosrekisteritiedoista työntekijän luotettavuuden selvittämiseksi, jolloin suostumusta ei edellytetä.
6 Henkilötietojen vastaanottajat tai vastaanottajaryhmät
VTT luovuttaa henkilötietoja perustellusta syystä kolmansille osapuolille, jos tämä on tarpeellista käsittelyn kohteeseen liittyvän järjestelmän tai palvelun toimittamisen edellyttämistä teknisistä syistä ja/tai soveltuva lainsäädäntö edellyttää luovuttamista. VTT luovuttaa tietoja toimivaltaisille viranomaisille lakisääteisten velvoitteiden toteuttamiseksi.
Tiedot luovutetaan asianmukaisin sopimusjärjestelyin tietosuoja-asetuksen ja soveltuvan lainsäädännön vaatimusten mukaisesti. Henkilötietojen käsittelyssä sovelletaan tietosuoja-asetusta ja soveltuvaa lainsäädäntöä.
Henkilötietojen käsittelyä on ulkoistettu seuraaville palveluntarjoajille ja näiden alihankkijoille, jotka käsittelevät henkilötietoja rekisterinpitäjän lukuun:
- henkilöstö- ja palkkahallinnon IT-järjestelmien toimittajille
- tila- ja kulunvalvonnan IT-järjestelmien toimittajille
- tallennustilapalveluiden toimittajille
- ulkoisten koulutus-, soveltuvuus- ja valmennuspalvelun tarjoajille
- työhyvinvointipalveluiden ja muiden henkilöstöetujen tarjoajille.
7 Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle
Henkilötietoja voidaan siirtää EU- ja ETA-alueen ulkopuolelle, jos se on henkilötietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista, jolloin tietojen siirrossa noudatetaan tietosuoja-asetuksen asettamia vaatimuksia. Rekisterinpitäjä voi käyttää muun muassa toimivaltaisten viranomaisten kulloinkin hyväksymiä kansainvälisiä tiedonsiirtoja varten laadittuja mallisopimuslausekkeita.
8 Automaattisen päätöksenteon, erityisesti profiloinnin olemassaolo
Yllä kohdassa 3 mainitut henkilötiedot eivät ole automaattisen päätöksenteon kohteena.
9 Henkilötietojen säilyttämisaika tai säilyttämisajan määrittämiskriteerit
Henkilötietoja säilytetään niin kauan kuin se on tarpeen henkilötietojen käsittelyn tarkoitusten kannalta tai rekisterinpitäjän lakisääteisten velvollisuuksien noudattamiseksi. Tämän jälkeen tiedot tuhotaan tai anonymisoidaan, ellei niiden käsittelylle ole edelleen soveltuvaa käsittelyperustetta. Säilytysajoissa otetaan huomioon esimerkiksi lainsäädännön mahdollistamat kanneajat sekä työnantajan velvollisuudet.
10 Rekisterin suojauksen periaatteet
Henkilötiedot syötetään ja niitä käsitellään VTT:n sähköisissä HR-tietojärjestelmissä. Lisäksi työsopimukset tallennetaan paperisina VTT:n henkilöstöosastolla. Henkilötiedot tallennetaan teknisesti turvalliseen paikkaan. Fyysinen pääsy tietoon rajataan pääsyoikeuksin ja turvatoimenpitein. Lisäksi pääsy tietoon rajataan mm. palomuurien ja teknisin turvakeinoin. Pääsy henkilötietoihin on rajattu tiettyihin nimettyihin henkilöihin, jotka ovat sitoutuneet salassapitoon.
11 Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat, tässä kohdassa 12 kuvatut oikeudet, joita voidaan rajoittaa tietosuoja-asetuksen mukaisesti. Rekisteröity voi toteuttaa nämä oikeutensa olemalla yhteydessä kohdan 2 yhteystietoja käyttäen rekisterinpitäjään.
Rekisteröidyn oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja sekä oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin, mukaan lukien tietosuoja-asetuksen mukaiset tiedot henkilötietojen käsittelystä.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus saada oikaistua rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä ja puutteelliset henkilötiedot täydennettyä.
Oikeus tietojen poistamiseen
Rekisteröity voi pyytää rekisterinpitäjää poistamaan häntä koskevat henkilötiedot mm. seuraavissa tilanteissa: (i) niitä ei enää tarvita tarkoituksiin, joihin ne kerättiin tai joihin niitä muuten käsiteltiin, (ii) rekisteröity peruuttaa suostumuksen eikä käsittelyyn ole muuta perustetta, (iii) henkilötietoja on käsitelty lainvastaisesti; (iv) henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi; tai (v) rekisteröity vastustaa käsittelyä rekisterinpitäjän oikeutetun edun nojalla.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus vaatia rajoitusta henkilötietojen käsittelyyn mm. seuraavissa tilanteissa: (i) rekisteröity kiistää tietojen paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; (iv) rekisteröity on vastustanut henkilötietojen käsittelyä.
Oikeus siirtää tiedot järjestelmästä toiseen
Jos rekisteröity on itse toimittanut henkilötietonsa rekisterinpitäjälle, rekisteröidyllä on oikeus saada kyseiset henkilötiedot sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle, jos:
- käsittely suoritetaan automaattisesti; ja
- käsittely perustuu joko rekisteröidyn suostumukseen tai rekisteröidyn henkilötietojen käsittely on tarpeen sopimuksen, esimerkiksi työsopimuksen, täytäntöön panemiseksi taikka sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
Rekisteröidyllä ei ole oikeutta siirtää tietoja järjestelmästä toiseen, jos kyseisiä henkilötietoja käsitellään rekisterinpitäjän oikeutetun edun tai lakisääteisen velvoitteen perusteella.
Oikeus vastustaa käsittelyä
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu rekisterinpitäjän oikeutettuun etuun.
Oikeus tehdä valitus
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaisille, jos rekisteröity katsoo, että hänen oikeuksiaan on EU:n tietosuoja-asetuksen valossa loukattu. Tietosuojavaltuutetun toimisto, Ratapihantie 9, 00520 Helsinki, [email protected]