Esihenkilön tietosuojaohjeet
Osaava henkilöstö
Osaava henkilöstö on avain tietosuojan toteuttamisessa ja siihen kannattaa panostaa. Varmista, että työntekijät ovat käyneet yliopiston tietosuoja-ja tietoturvakoulutuksen. Vähimmäiskoulutus on verkkokoulutus.
Henkilötietoja työtehtävissään käsittelevien tulee myös kyetä soveltamaan henkilötietojen käsittelystä ja tietoturvasta annettuja ohjeita omissa työtehtävissään kuten tutkimustyössä.
- Kommunikoi tietosuojaan liittyvistä asioista myönteiseen sävyyn ja näytä hyvää esimerkkiä (esim. puhtaan pöydän periaate ja laiminlyönteihin puuttuminen).
- Tunnista roolisi ja ne työtehtäväsi, joihin liittyy henkilötietojen käsittelyä.
- Huomaa, että toisten henkilöiden henkilötietojen julkaisu sosiaalisessa mediassa edellyttää yleensä ko. henkilön lupaa (kyse on myös toisten huomioonotosta eli hyvistä tavoista).
- Suorita verkkokoulutukset ja pyydä tarvittaessa lisäkoulutusta.
- Käsittele työnhakijoiden ja työntekijöiden henkilötietoja aina huolellisesti, siitä riippumatta käsitteletkö tietoa sähköisesti, suullisesti vai tulosteena.
- Ole erityisen huolellinen silloin, jos käsittelet arkaluontoista (kuten terveydentila) tietoa tai tietoa, joka on pidettävä salassa (kuten tuloskeskustelut ja suoriutumisen arviointi).
- Älä säilytä kopiota sellaista dokumentaatiota, joka on säilötty sähköisesti HR järjestelmään.
- Käy läpi säilyttämäsi tiedot 6 kuukauden välein ja opettele poistamaan tarpeetonta tietoa.
- Raportoi tietosuojaan/tietoturvaan littyvät loukkausepäilyt: help.jyu.fi viivytyksettä.
- Huolehdi, että yksikkösi käyttää tietosuojan itsearviointityökaluja, tietosuojan kehittämiseen.
- Muista salassapitovelvoite ja sopeuta keskustelusi ympäristöön (erityisesti silloin kun matkustat):
- Mieti mitä puhut ulkopuolisten kuullen.
- Suojaa tietokoneesi näyttö ulkopuolisilta erityisesti, kun matkustat (tilaa kannettavan näytön tietoturvasuoja help.jyu.fi kautta).
- Valitse kehityskeskustelun tai muun luottamuksellisen keskustelun paikka (huone) siten, että keskustelun luottamuksellisuus voidaan taata (keskustelun sisältö ei kuulu sivullisille).
Kysy tarvittaessa neuvoa (tietosuoja(at)jyu.fi)!
Huolehdi siitä, että työntekijät, jotka käsittelevät henkilötietoja ovat tietoisia siitä, että aina kun henkilötietoja käsitellään (mm. kerätään), rekisteröityjä on informoitava käsittelystä (tietosuojailmoitus) ja tiedon elinkaari on suunniteltava huomioiden yliopiston tiedonohjaussuunnitelma.
Tiedonohjaussuunnitelmassa on annettu asiakirjojen keskeiset säilytysajat. Tieteellisten tutkimusten osalta säilytysaika vaihtelee tutkimusten tarpeiden mukaan.
Pysyvien käsittelytoiminen tietosuojailmoitukset löytyvät yliopiston verkkosivulta. Mieti onko omalla yksikölläsi rooli tietosuojailmoitusten ajantasalla pysymisessä.
Tutkimusten tiedote sekä tietosuojailmoitus on toimitettava aina tiedoksi myös kirjaamoon (kirjaamo(at)jyu.fi) Jyväskylän yliopiston ollessa rekisterinpitäjä tai yhteisrekisterinpitäjä.
Huomaa, että henkilötietoja (luottamuksellinen) ja arkaluontoisia henkilötietoja (salainen) ei tule lähettää suojaamattomassa sähköpostissa.
Ulkopuolinen henkilö pystyy lähettämään sinulle luottamuksellisen viestin käytössä olevan Secure mail palvelun kautta:
Yliopistolla on ohje, josta ilmenee, mihin henkilötietoja saa tallentaa. Ohjeesta on hyötyä myös tutkimushankkeissa.
Digipalvelu antaa ohjeita ja vinkkejä eri tietojärjestelmien käyttöön omilla verkkosivuillaan.
Uusien tietojärjestelmien käyttöönotto tapahtuu KA-prosessin mukaisesti esim. uudet kyselyohjelmistot. Näin voidaan varmistaa tietojärjestelmien tietosuoja-ja tietoturva.
Huom! Et voi lähtökohtaisesti käyttää kuluttajapilvipalveluita, joita saatat käyttää yksityishenkilönä, yliopistolle kuuluvan henkilötiedon käsittelyyn.
Rekisteröidyllä eli henkilöllä, jonka tietoja käsittelemme on oikeuksia kuten tarkastusoikeus, oikaisuoikeus, vastustusoikeus, valitusoikeus jne. Pyynnön ei välttämättä tarvitse olla määrämuotoinen kuten kirjallinen, mutta rekisteröidystä tarvitaan riittävästi tietoa pyynnön toteuttamiseksi (tapauskohtaisuus).
Jyväskylän yliopistossa oikeuksia koskevat pyynnöt ohjataan kirjaamoon ja sen kautta niitä käsitteleville.
Jos yliopiston henkilörekisteristä halutaan luovutettavan henkilötietoja (esim. tutkimuksiin, selvityksiin, toimittajalle, yksityishenkilölle) tiedonluovutuspyyntö kannattaa tehdä lomakkeella kirjaamoon. Pyynnön voi tehdä myös vapaamuotoisesti (ei lomakepakkoa) soittamalla tai lähettämällä sähköpostia kirjaamoon (kirjaamo@jyu.fi).
Henkilötietoja ei voida luovuttaa yliopistolta ulkopuolisille ennen kuin on selvitetty, onko luovutuksensaajalla oikeus käsitellä henkilötietoja. Esimerkiksi toimittaja voi pyytää toimitukselliseen tarkoitukseen professorin tehtävään hakeneiden nimet, jolloin ne voidaan luovuttaa. Tällöinkin tulee varmistua siitä, että kyse on todella toimittajasta, eikä esim. tietojen kalastelusta. Jos olet epävarma ole yhteydessä tietosuojavastaavaan (tietosuoja(at)jyu.fi) tai lakimieheen (legal(at)jyu.fi).
Tutkimusluvista kerrotaan omalla verkkosivulla.
On tärkeää, että loukkaukset havaitaan ajoissa ja raportoidaan eteenpäin viivytyksettä.
Poikkeama on kyseessä esimerkiksi silloin, jos kannettavasi varastetaan tai häviää.
Käy säännöllisesti lävitse tietoturvaloukkausten ilmoitusprosessi työntekijöidesi kanssa! Kalasteluviestit tai puhelut ovat yleensä ovelia ja keskittyvät yksilön kannalta kiinnostaviin teemoihin kuten esim. palkanmaksuun ja lomiin.
Työntekijän terveystiedot
Terveystieto sisältää kaikki tiedot, jotka koskevat yksilöiden fyysistä tai psyykkistä terveyttä, ei vain lääketieteellisiä löydöksiä tai diagnooseja. Näin ollen terveystiedot sisältävät myös tiedot kuntoutuksesta, työkykyneuvotteluissa käydyistä keskusteluista, lausunnot työntekijän työkyvystä, päätökset osittaisesta työkyvyttömyyseläkkeestä sekä työtapaturmaraporteissa annetut tiedot. Terveydentilaan liittyvät tiedot ovat arkaluontoisia henkilötietoja.
Työnantaja voi käsitellä työntekijän terveystietoja vain, jos ne kerätään suoraan työntekijältä tai muista lähteistä työntekijän kirjallisella suostumuksella.
Lisäksi on täytettävä jokin seuraavista käsittelyperusteista:
1) Tiedot ovat tarpeen työntekijän palkan tai vastaavien etuuksien käsittelemiseksi sairauden aikana tai
2) sen toteamiseksi, onko poissaololle perusteltu syy tai jos
3) työntekijä haluaa erityisesti, että hänen työkykynsä arvioidaan terveystietojen perusteella; tai tietoja käsitellään toisen säädöksen (kuten työsuojelulain) perusteella.
Henkilöstöpalvelut on antanut ohjeet sairauspoissaolotodistusten käsittelystä.
Henkilöillä, jotka käsittelevät työntekijän terveydentilatietoa on lakisääteiden salassapitovelvollisuus. Terveydentilatietoja ei voida antaa kolmansille osapuolille.
Tietoa työntekijän sairauspoissaolosta ei julkaista työpaikalla. Riittävää informointia on kertoa, että henkilö on ”poissa”, mahdollinen sijainen/muu yhteydenottopiste ja tarvittaessa arvioitu paluuaika. Jos työntekijän kanssa on nimenomaisesti sovittu, että sairaudesta annetaan tietoa esim. lähimmille työkavereille tieto sairaudesta voidaan antaa. Sopimisessa tulee kuitenkin huomioida työntekijän mielentila (esim. akuutin stressireaktion vuoksi pois jäävä ei järkytyksensä vuoksi välttämättä pysty arvioimaan asiaa). Lähtökohtaisesti terveydentilaa koskevaa tietoa ei siis jaeta. Sama koskee työntekijän lapsen sairaudesta johtuvaa poissaolo.
Miten viestit poissaolosta
Viesti, että henkilö on poissa. Yleensä muilla henkilöillä ei ole tarvetta tietää, mikä on poissaolon syy, ellei henkilö asiaa itse julkaise. Kerro mikä on henkilön arvioitu paluuaika ja keneen voi olla yhteydessä siihen saakka.
Työnhakijatietojen käsittely
Jos osallistut henkilöstön palkkaukseen, sinulle voidaan antaa määräajalle oikeudet TalentAdore tietojärjestelmään. Käyttöoikeudet on tarkoitettu vain henkilökohtaiseen käyttöösi, etkä voi luovuttaa niitä muille. Sama koskee luonnollisesti myös kaikkia muita tietojärjestelmiä.
Henkilöstön palkkaukseen liittyviä materiaaleja voivat käsitellä ne, joille palkkausasian käsittely kuuluu. Varmista, ettet jaa omasta aloitteestasi tai jonkun pyynnöstä tietoja työhakemuksista tai näkemyksiäsi, jotka olet muodostanut haastattelun perusteella hakijasta.
Työntekijän palkkaamiseen liittyvä materiaali tallennetaan keskitetysti. Kun palkkausprosessi päättyy ja päätös on tehty, ei ole mitään syytä sille, että tallennat palkkaukseen liittyviä materiaaleja tietokoneellasi tai tulostettuina lomakkeina. Tällaiset tiedot on poistettava (hakemukset, asiantuntija-arviot jne.) ja paperiasiakirjat hävitettävä tietoturvallisesti.
Saapunut hakemus tehtävään sisältää henkilötietoja, Niitä säilytetään hakujärjestelmässä. Valitun henkilön hakemus säilytetään pysyvästi (yliopiston päätearkistossa). Hakijoiden yhteenvetoluettelo säilytetään pysyvästi yliopiston päätearkistossa. Samoin muut hakuprosessiin liittyvät asiakirjat säilytetään pysyvästi yliopiston päätearkistossa. Soveltuvuuskoetta ja turvallisuusselvitystä koskevat asiakirjat ja tiedot hävitetään tietoturvallisella tavalla mahdollisimman pian valintapäätöksen jälkeen, asiakirjoja ei tule säilyttää pitempään kuin tarve vaatii. Henkilöstökoordinaattorit vastaavat siitä, että kaikki asiakirjat toimitetaan päätearkistoon (kirjaamo).
Huomaa, että mahdolliset muistiinpanot, jotka olet tehnyt työhaastattelusta, voidaan katsoa osaksi palkkausta koskevia materiaaleja, jotka rekisteröidyllä on oikeus saada, jos hän käyttää tarkastusoikeuttaan. Myös nämä muistiinpanot tallennetaan keskitetysti kuten muutkin rekrytointiasiakirjat.
Työntekijän henkilötietojen julkaisu (verkossa) / ilmoitustaululla
Tiedot voidaan julkaista työnantajan verkkosivuilla ilman työntekijän suostumusta, jos julkaiseminen on asiallisesti perusteltua ja tarpeellista työnantajan toiminnan kannalta. Tietojen julkaiseminen voi olla mahdollista esimerkiksi silloin, kun työntekijän velvollisuuksiin kuuluu olla tunnistettavissa ja saavutettavissa ammattinimike-, työyhteystietojen sekä kuvan perusteella. Huomaa, että valokuvan julkaisu ei ole pääsääntö, koska yleensä riittää, että henkilö on tavoitettavissa nimen ja numeron perusteella.
Työnantajan tulee huolellisesti harkita, onko julkaiseminen tarpeen, ja tarvittaessa perustella julkaiseminen niin työntekijöille kuin tietosuojavaltuutetulle. Vaikka suostumusta julkaisemiseen ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä.
Jokaisen verkkosivuista vastaavan on syytä huolehtia siitä, että vanhentuneet ja virheelliset tiedot poistetaan, kun henkilö siirtyy muihin tehtäviin, eläkkeelle, irtisanoutuu tms.
Jos julkaiset muiden kuvia sosiaalisessa mediassa pyydä siihen aina lupa.
Henkilöstön palkkatiedot
Työntekijöiden palkkatiedot ovat salaisia. Myös palkkauksen perustetta varten tehdyt arvioinnit ovat salaisia. Lista palkankorotuksen saaneista työntekijöistä korotusta koskevine tietoineen muodostaa henkilörekisterin.
Työstä vapaat ja eläkkeelle siirtyminen
Tieto työntekijän eläkkeestä voidaan julkaista verkossa, jos tämä on asiallisesti perusteltua eli eläkkeelle siirtymisestä tehdään esimerkiksi uutinen tai sitä halutaan juhlistaa. Eläkkeen perustetta koskevia tietoja ei julkaista (tiedot ovat salassapidettäviä mm. työkyvyttömyyseläke, työttömyyseläke, osa-aikaeläke).