Työmaarekisteri ja GDPR

tyomaarekisteri_ja_gdpr

Toukokuussa voimaan astuva EU:n tietosuoja-asetus tuo uusia vaatimuksia henkilötietojen käsittelyyn. Asetus koskee kaikkia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja. Henkilötietoa on kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Tällaisia ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Tilaajavastuun palveluissa, ja erityisesti Työmaarekisterissä, käsitellään henkilötietoja. Tämän vuoksi tietosuoja-asetus tuo tullessaan velvoitteita niin meille kuin myös palvelumme käyttäjille. Asetuksen tulkinnan kannalta on olennaista, missä roolissa osapuoli on rekisteriin nähden: onko osapuoli rekisterinpitäjä vai käsittelijä? Rekisterinpitäjä (controller) on se, joka päättää mitä tietoa kerätään ja miten sitä hyödynnetään. Käsittelijä (processor) taas on se, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

 

Kuka Työmaarekisterissä on rekisterinpitäjä ja kuka käsittelijä?

Työmaarekisterin avulla päätoteuttaja voi kerätä omien ja työmaalla työskentelevien muiden yritysten työntekijöiden henkilötietoja lakisääteisten raportointivelvollisuuksien täyttämiseksi. Työmaakohtaisen henkilötiedon rekisterinpitäjä on päätoteuttaja, joka on perustanut työmaan Työmaarekisteriin. Rekisterinpitäjä vastaa rekisterinpitäjänä siitä, että se toteuttaa omalta osaltaan tietosuojalainsäädännön edellyttämät toimenpiteet. Rekisterinpitäjän vastuulla on esimerkiksi varmistaa, että järjestelmiin tallennetaan vain oikeaa sisältöä, pitää tallentamansa tiedon ajantasaisena ja poistaa tiedot joita ei enää tarvita.

Työmaalla toimiva työnantajayritys tallentaa työntekijöidensä tiedot Ilmoita-palvelussa ja ilmoittaa yrityksensä päätoteuttajan työmaalle, jolloin päätoteuttaja pääsee keräämään työmaan työntekijätietoja. Työnantajayrityksen vastuulla on varmistaa, että sillä on oikeus tallentaa järjestelmään omien työntekijöidensä henkilötiedot luovutettavaksi edelleen käytettäväksi muun muassa rakennusalan ilmoitusmenettelyn mukaisiin tarkoituksiin. Työnantajayritys vastaa rekisterinpitäjänä omista työntekijätiedoistaan Ilmoita-palvelussa ollen vastuussa työntekijä- ja työsuhdetietojen oikeellisuudesta sekä väärien, vanhentuneiden tai puutteellisten tietojen korjaamisesta.

Tilaajavastuu on käsittelijän roolissa sekä Ilmoita-palvelun että Työmaarekisterin osalta. Tilaajavastuu käsittelee Työmaarekisteriin tallennettuja henkilötietoja asiakkaan lukuun henkilötietojen käsittelijänä. Käsittelijänä Tilaajavastuu käsittelee henkilötietoja esimerkiksi palvelun tuottamista, laskutusta, asiakastuen tarjoamista, virheiden ja väärinkäyttötapausten torjumista ja selvittämistä varten.

 

Mihin tarkoitukseen Työmaarekisterissä olevia henkilötietoja saa käyttää?

Henkilötietojen käsittely Työmaarekisterissä on perusteltua rakennustyömaata koskevien lakien vaatimusten täyttämiseksi. Työmaarekisterissä henkilötietojen käsittelyn peruste on sekä verotusmenettelylain että työturvallisuuslain vaatimusten täyttäminen.

Työmaarekisterissä olevia henkilötietoja voidaan käyttää työturvallisuuslain mukaan muun muassa yhteisellä rakennustyömaalla työskentelevien työntekijäluettelon ylläpitämiseen, perehdytystietojen ylläpitämiseen ja kulunvalvontaan, joka on työntekijäluettelon ylläpidon kannalta oleellista. Verotusmenettelylaki taas velvoittaa päätoteuttajaa raportoimaan työmaan työntekijätiedot kuukausittain Verohallinnolle, joten tietojen ylläpitäminen rekisterissä on välttämätöntä lain vaatimusten täyttämiseksi.

 

Oikeus tulla unohdetuksi

Tietosuoja-asetuksen mukainen oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi ei ole ehdoton. Rakennusalan ilmoitusmenettelyyn tarvittavien henkilötietojen osalta rekisteröidyllä ei ole oikeutta saada tietojaan poistetuksi, jos tietoja käsitellään lainmukaisesti ja rekisterinpitäjän lakisääteisten velvollisuuksien täyttämiseksi.

Työmaarekisterissä käsiteltävät henkilötiedot sisältävät työturvallisuuslain edellyttämät tiedot, verotusmenettelylain mukaiset Verohallinnon työntekijäraporttien tietuemallissa määritellyt tiedot sekä perehdytystiedot ja kulkutiedot. Työturvallisuus- ja verotusmenettelylait määrittävät Työmaarekisteriin kerätyille tiedoille tietyn säilytysajan, jonka perusteella henkilötietoa saa ja pitää säilyttää lain vaatimat kuusi vuotta. Oikeus tulla unohdetuksi ei silloin voi kohdistua alle 6 vuotta vanhaan historiatietoon.

Vaikuttaako liian monimutkaiselta hahmottaa? Kysymyksiä Työmaarekisterin ja GDPR:n kiemuroista voit lähettää ositteeseen tietosuoja@tilaajavastuu.fi. Muiden Tilaajavastuun palveluiden ja GDPR:n suhteesta voit lukea lisää tietosuojavastaavamme blogipostauksesta:

Tilaajavastuun palveluiden roolit ja GDPR


Maiju Korkala

Maiju Korkala

Maiju vastaa asiakkuuksista, ja hänellä on kattava tuntemus Tilaajavastuun palveluista. Maiju jakaa kirjoituksissaan asiantuntemustaan sekä palveluistamme että niihin liittyvistä viranomaisvelvoitteista.

Katso kaikki hänen kirjoituksensa