Työntekijän sijaintitietojen käsittely
Malmivaara, Markus (2019)
Lapin yliopisto
2019
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2019061220280
https://urn.fi/URN:NBN:fi-fe2019061220280
Tiivistelmä
Tekninen kehitys on ottanut merkittävän harppauksen esineiden internetin (IoT) myötä ja mahdollistanut erilaisten yhteiskunnan toimintojen kustannustehokkaan tiedon keräämisen. Yksityisellä sektorilla yritysten tiedollinen intressi kohdistuu tyypillisesti toimintojen tehostamiseen ja kustannussäästöihin. Paikantamisen lisääminen osaksi sensoreiden avulla tuotettavaa informaatiota, tuo mukanaan merkittävän lisäarvon kerättävän tiedon sijainnista. Yhdistettäessä luonnollinen henkilö osaksi informaatio ketjua, muodostuu tämän sijaintitieto hyvin helposti henkilötietojen käsittelyksi. Mikäli luonnollinen henkilö on työntekijän asemassa tuo asema EU:n yleisen tietosuoja-asetuksen (2016/679) lisäksi sovellettavaksi myös kansallista sääntelyä.
Tietosuoja-asetuksen tarkoituksena on ollut varmistaa yhdenmukaisen ja korkean henkilötietojen suojan ohella henkilötietojen vapaa liikkuvuus. Asetus on osa komission digitaalisten sisämarkkinoiden strategiaa, jolla pyritään kilpailukyvyn parantamiseen. Yhtenäinen tietosuojasääntely on avainasemassa hankkeen toteuttamisessa, mutta työntekijöiden henkilötietojen käsittelyn osalta kansallisen liikkumavaran sisällyttäminen tietosuoja-asetuksessa on jättänyt tilaa kansallisen lainsäädännön soveltamiselle. Valittu linja ei ole omiaan lisäämään yhdenmukaista oikeustilaa jäsenvaltioiden välillä ja edistämään EU:n tavoitteita sisämarkkinoiden kehittämisestä. Kansallisen liikkumavaran aiheuttamat erovaisuudet liittyvät keskeisesti henkilötietojen käsittelyperusteisiin. Tietosuoja-asetuksen mukaisesti henkilötietojen käsittely on laillista jos ja vain siltä osin kun vähintään yksi tiesuoja-asetuksessa säädetyistä käsittelyperusteista täyttyy. Työntekijän henkilötietojen käsittelyn osalta tietosuojasääntelyn ja ohjeistuksen perusteella ongelmallisin käsittelyperuste on suostumus.
Kansallisesti suostumus on nähty yksilön itsemääräämisoikeutta parhaiten toteuttavana henkilötietojen käsittelyperusteena ja sen on asetettu tyypillisesti ensisijaiseksi perusteeksi henkilötietojen käsittelylle. Tietosuoja-asetus ei sen sijaan aseta käsittelyperusteita minkäänlaiseen järjestykseen, jolloin käsittelyn tulisi sääntelyn mukaisesti kohdistua kulloiseenkin henkilötietojen käsittelyyn parhaiten soveltuvaan käsittelyperusteeseen. Vaatimus tulee sovellettavaksi myös työntekijöiden sijaintitietojen osalta, mutta kansallinen laki sähköisen viestinnän palveluista asettaa vallitsevan tulkinnan ja ohjeistuksen mukaisesti lisäehdon työntekijän sijaintitietojen käsittelylle. Sen perusteella työnantajan on pyydettävä työntekijän suoran paikantamisen yhteydessä työntekijän suostumus sijaintitietojen käsittelylle. Menettely ja vallitseva tulkinta asettaa rekisterinpitäjän hyvin haasteelliseen asemaan, sillä pätevän suostumuksen antaminen ei lähtökohtaisesti ole mahdollista
työntekijän alisteisen aseman ja suostumuksen kohteena olevan palvelun työnantajalle merkityksellisen edun vuoksi. Yhdistäessään työntekijältä pyytämänsä suostumuksen henkilötietojen käsittelyperusteeksi, rekisterinpitäjä ottaa vallitsevan kansallisen oikeustilan vuoksi merkittävän riskin laittomasta henkilötietojen käsittelystä.
Turvatakseen toimintansa ja työntekijän sijaintietojen käsittelyyn perustuvan palvelun laillisen hyödyntämisen, rekisterinpitäjän on rakennettava järjestely, jossa suostumus ei toimi käsittelyperusteena. Tällöin laillinen henkilötietojen käsittely on toteutettava parhaiten sijantietojen käsittelyyn soveltuvalla käsittelyperusteella. Punnittavaksi tulee erityisesti rekisterinpitäjän oikeutettu etu, joka on kansallisessa sääntelyssä yksin rekisterinpitäjän päätettävänä käsittelyperusteena uutta sääntelyä.
Tekninen kehitys asettaa merkittävien mahdollisuuksien lisäksi yksityisyyden suojan uusien uhkien kohteeksi. Sääntelyn tulisi turvata työntekijöiden henkilötietojen suoja, mutta samalla mahdollistaa perusteltu henkilötietojen käsittely tietosuoja-asetusten vaatimusten mukaisesti toteutettuna. Kansallista pysähtynyttä ja teknisen kehityksen ohittavaa oikeustilaa ei voida pitää hyväksyttävänä yksittäisen rekisterinpitäjän tai komission digitaalisten sisämarkkinoiden strategian näkökulmasta.
Tietosuoja-asetuksen tarkoituksena on ollut varmistaa yhdenmukaisen ja korkean henkilötietojen suojan ohella henkilötietojen vapaa liikkuvuus. Asetus on osa komission digitaalisten sisämarkkinoiden strategiaa, jolla pyritään kilpailukyvyn parantamiseen. Yhtenäinen tietosuojasääntely on avainasemassa hankkeen toteuttamisessa, mutta työntekijöiden henkilötietojen käsittelyn osalta kansallisen liikkumavaran sisällyttäminen tietosuoja-asetuksessa on jättänyt tilaa kansallisen lainsäädännön soveltamiselle. Valittu linja ei ole omiaan lisäämään yhdenmukaista oikeustilaa jäsenvaltioiden välillä ja edistämään EU:n tavoitteita sisämarkkinoiden kehittämisestä. Kansallisen liikkumavaran aiheuttamat erovaisuudet liittyvät keskeisesti henkilötietojen käsittelyperusteisiin. Tietosuoja-asetuksen mukaisesti henkilötietojen käsittely on laillista jos ja vain siltä osin kun vähintään yksi tiesuoja-asetuksessa säädetyistä käsittelyperusteista täyttyy. Työntekijän henkilötietojen käsittelyn osalta tietosuojasääntelyn ja ohjeistuksen perusteella ongelmallisin käsittelyperuste on suostumus.
Kansallisesti suostumus on nähty yksilön itsemääräämisoikeutta parhaiten toteuttavana henkilötietojen käsittelyperusteena ja sen on asetettu tyypillisesti ensisijaiseksi perusteeksi henkilötietojen käsittelylle. Tietosuoja-asetus ei sen sijaan aseta käsittelyperusteita minkäänlaiseen järjestykseen, jolloin käsittelyn tulisi sääntelyn mukaisesti kohdistua kulloiseenkin henkilötietojen käsittelyyn parhaiten soveltuvaan käsittelyperusteeseen. Vaatimus tulee sovellettavaksi myös työntekijöiden sijaintitietojen osalta, mutta kansallinen laki sähköisen viestinnän palveluista asettaa vallitsevan tulkinnan ja ohjeistuksen mukaisesti lisäehdon työntekijän sijaintitietojen käsittelylle. Sen perusteella työnantajan on pyydettävä työntekijän suoran paikantamisen yhteydessä työntekijän suostumus sijaintitietojen käsittelylle. Menettely ja vallitseva tulkinta asettaa rekisterinpitäjän hyvin haasteelliseen asemaan, sillä pätevän suostumuksen antaminen ei lähtökohtaisesti ole mahdollista
työntekijän alisteisen aseman ja suostumuksen kohteena olevan palvelun työnantajalle merkityksellisen edun vuoksi. Yhdistäessään työntekijältä pyytämänsä suostumuksen henkilötietojen käsittelyperusteeksi, rekisterinpitäjä ottaa vallitsevan kansallisen oikeustilan vuoksi merkittävän riskin laittomasta henkilötietojen käsittelystä.
Turvatakseen toimintansa ja työntekijän sijaintietojen käsittelyyn perustuvan palvelun laillisen hyödyntämisen, rekisterinpitäjän on rakennettava järjestely, jossa suostumus ei toimi käsittelyperusteena. Tällöin laillinen henkilötietojen käsittely on toteutettava parhaiten sijantietojen käsittelyyn soveltuvalla käsittelyperusteella. Punnittavaksi tulee erityisesti rekisterinpitäjän oikeutettu etu, joka on kansallisessa sääntelyssä yksin rekisterinpitäjän päätettävänä käsittelyperusteena uutta sääntelyä.
Tekninen kehitys asettaa merkittävien mahdollisuuksien lisäksi yksityisyyden suojan uusien uhkien kohteeksi. Sääntelyn tulisi turvata työntekijöiden henkilötietojen suoja, mutta samalla mahdollistaa perusteltu henkilötietojen käsittely tietosuoja-asetusten vaatimusten mukaisesti toteutettuna. Kansallista pysähtynyttä ja teknisen kehityksen ohittavaa oikeustilaa ei voida pitää hyväksyttävänä yksittäisen rekisterinpitäjän tai komission digitaalisten sisämarkkinoiden strategian näkökulmasta.
Kokoelmat
- Pro gradu -tutkielmat [4596]