Työn­tekijöiden henkilö­tietojen säilyt­täminen ja poisto 

Esimerkiksi kirjanpitolaki, työaikalaki ja työsopimuslaki asettavat yrityksille velvoitteita henkilötietojen säilyttämiseen. EU:n tietosuoja-asetus puolestaan määrittelee, ohjeistaa ja rajoittaa henkilötietojen käsittelyä. Myös henkilötietojen säilyttäminen yrityksen tai tilitoimiston tietojärjestelmissä tai paperiarkistossa on henkilötietojen käsittelyä. Lainsäädännön vaatimusten täyttäminen erilaisissa ja erilaisiin tarkoituksiin kehitetyissä tietojärjestelmissä on varsin haasteellista.

Tässä kirjoituksissa syvennyn henkilötietojen poistoon, kun henkilötietojen säilyttämiselle ei ole enää perustetta. Poistamiseen voidaan rinnastaa myös henkilötietojen anonymisointi. Anonymisoinnissa henkilötiedot käsitellään peruuttamattomalla tavalla tunnistamattomiksi, niin että kukaan ei voi muuttaa tietoja takaisin tunnistettaviksi eikä henkilöä voida päätellä tiedoista esimerkiksi asiayhteyden perusteella. Jos esimerkiksi palkkajärjestelmässä muutetaan henkilön nimi ja henkilötunnus tunnistamattomaksi, mutta muita järjestelmän tietoja yhdistelemällä luonnollinen henkilö voidaan edelleen tunnistaa tai päätellä, ei kyse ole anonymisoinnista.

Kirjoituksen tarkoituksena on avata asiaan liittyviä velvoitteita ja näkökulmia talous- ja henkilöstöhallinnon ammattilaiselle. Yksityiskohtaisella tasolla asiaan liittyy monia syvällisiä ja jopa ristiriitaisia juridisia ja ohjelmistoteknologiaan liittyviä näkökulmia, joihin asiantuntemukseni ja kirjoituksen merkkimäärä ei riitä vastaamaan. Uskon kuitenkin, että kirjoitukseni auttaa tunnistamaan ratkaistavia asioita, jolloin kunkin tilanteen vaatimista oikeista ratkaisumalleista on helpompi keskustella juridiikan ja ohjelmistoalan asiantuntijoiden kanssa.

Henkilötietojen käsittelyn perusteet tietosuoja-asetuksessa

Tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Lisäksi tietosuoja-asetuksen 9 artikla edellyttää esimerkiksi ammattiliiton jäsenyystietojen ja terveystietojen osalta yksityiskohtaisempia perusteita tietojen käsittelylle.

Henkilötietojen käsittelyn perusteita käytännössä

Yllä esitetyt perusteet täyttyvät yleensä henkilöstöhallinnon ja palkanlaskennan arjessa. Työntekijälle saatetaan informoida, mitä tietoa hänestä eri tarkoituksiin kerätään ja pyytää häneltä tähän suostumus (a). Henkilötietoja kerätään ja käsitellään, jotta yritys voi suorittaa työsopimuksen velvoitteen palkanmaksusta (b). Henkilötietoja säilytetään osana kirjanpitoaineistoa kirjanpitolain velvoittamana (c). Voidaan myös ajatella, että esimerkiksi tilitoimiston kirjanpitäjän toiminnanohjausjärjestelmään tekemien tuntikirjausten sisältö selitteineen on perusteltua säilyttää mahdollisia oikeudenkäyntejä tai viranomaisselvityksiä varten (f).

Käytännössä näille perusteille on kuitenkin yhteistä se, että ne eivät ole ikuisia. Kun käsittelyn perusteet eivät enää ole relevantteja, tulee henkilötiedot poistaa.

Kansallisen lainsäädännön säilytysaikavelvoitteita

Eräät kansallisen lainsäädännön asettamat säilytysaika- tai tiedonantovelvoitteet antavat selkeän perusteen henkilötietojen säilyttämiselle.

Kirjanpitolaki asettaa tositteille kuuden vuoden minimisäilytysajan.  Henkilötietoja sisältäviä tositteita ovat esimerkiksi työaikalistat, kun niiden perusteella on maksettu palkkaa, lääkärintodistukset, jos niiden perusteella on maksettu sairausajan palkkaa, sekä provisiolaskelmat. Kirjanpidoille, esimerkiksi palkkalistalle asetetaan kymmenen vuoden minimisäilytysaika. Tarkemman listauksen löydät Kirjanpitolautakunnan menetelmäyleisohjeesta osoitteesta kirjanpitolautakunta.fi.

Laki tulotietojärjestelmästä asettaa ilmoitetuille tiedoille kymmenen vuoden takautuvan korjausvelvollisuuden. Korjaamisen kannalta tarpeellisia palkanlaskennan tietoja on siis aina perusteltua säilyttää kymmenen vuotta.

Asetus oma-aloitteisten verojen verotusmenettelystä vaatii yrityksiä laatimaan osana palkkakirjanpitoa palkkakortin, palkkalistan ja palkkasuoritusten yhdistelmän. Nämä ovat Kirjanpitolautakunnan menetelmäyleisohjeen mukaan liiketapahtumia koskevaa kirjeenvaihtoa, joka on säilytettävä kuusi vuotta.

Työaikalaki asettaa työvuoroluetteloille (30 §) ja työaikakirjanpidolle (32 §) oletusarvoisesti reilun kahden vuoden säilytysajan. Säilytysaika on kytketty 40 § kanneaikaan.

“Oikeus tässä laissa tarkoitettuun korvaukseen raukeaa, jos kannetta työsuhteen jatkuessa ei nosteta kahden vuoden kuluessa sen kalenterivuoden päättymisestä, jonka aikana oikeus korvaukseen on syntynyt.”

Käytännön syistä oletussäilytysaikana voidaan pitää kahta kalenterivuotta kunkin kalenterivuoden päättymisestä lukien, eli oletuksena työaikakirjanpidon tiedot kalenterivuodelta 2022 poistettaisiin vuoden 2024 päätyttyä. Säilytysaikaa ei voi kuitenkaan yrityksen työsuhteiden ja palkanlaskennan käytäntöjä tuntematta määrittää automaattisesti. Työaikalain 40,2 § ja 40,3 § sisältävät säädöksiä säästövapaaseen ja työaikapankkiin liittyen:

“Jos rahakorvauksen sijasta annettava vapaa-aika on sovittu yhdistettäväksi säästövapaaseen, on kanne työsuhteen jatkuessa pantava 1 momentissa säädetystä poiketen vireille kahden vuoden kuluessa sen kalenterivuoden päättymisestä, jonka aikana vapaa-aika olisi tullut antaa, tai oikeus korvaukseen raukeaa.

Työaikapankkiin talletettua vapaata koskeva kanne on työsuhteen jatkuessa pantava vireille kahden vuoden kuluessa sen kalenterivuoden päättymisestä, jonka aikana pankkiin säästetty vapaa olisi lain tai sopimuksen mukaan tullut antaa.”

Säästövapaiden tai työaikapankkiin talletettujen vapaiden pitämisessä ei ole lakimääräistä enimmäisaikaa, vaan sopimukset tehdään yritystasolla. Näin kanneaika voi venyä hyvinkin pitkäksi.

Työsopimuslaki asettaa työnantajalle velvoitteen antaa työtodistus työntekijälle kymmenen vuotta työsuhteen päättymisen jälkeen. Työtodistuksen tai sen sisältämien henkilötietojen säilyttämistä kymmenen vuoden ajan voidaan perustella lain vaatimuksella antaa uusi työtodistus kadonneen tilalle.

Yllä mainitut säilytysvelvoitteet ovat voimassa myös työsuhteen päätyttyä. Työnantaja kerää ja käsittelee työsuhteen aikana myös monia sellaisia tietoja, joiden säilyttämiseen ei liity lakivelvoitteita. Näitä ovat esimerkiksi tiedot ruoka-ainealler­gioista, lähiomaisista tai urasuunnitelmista. Nämä tiedot tulee poistaa työsuhteen päätyttyä ilman aiheetonta viivytystä.

Henkilötietojen dokumentointi ja poiston suunnittelu

Yritysten ja tilitoimistojen on syytä dokumentoida työntekijöiden henkilötietojen käsittelyä monestakin syystä. Tietosuoja-asetuksen 5 artiklan kuvaamat henkilötietojen käsittelyä koskevat periaatteet, kuten tietojen minimointi, täsmällisyys, eheys ja luottamuksellisuus edellyttävät, että rekisterinpitäjä (yritys) ja käsittelijä (tilitoimisto) tietävät, mitä tietoja työntekijästä kerätään, miten niitä käsitellään ja missä järjestelmissä niitä säilytetään. Käytännössä esimerkiksi työntekijän oikeus saada itseään koskevat tiedot edellyttää yksityiskohtaista ja ajantasaista dokumentointia. Tämä dokumentointi toimii pohjana myös asetuksen artiklan 5e-kohdan periaatteen säilytyksen rajoittaminen -mukaiselle henkilötietojen poistamiselle.

Kun henkilötiedot ja niiden sijainti eri tietojärjestelmissä, verkkohakemistoissa ja mapeissa on asianmukaisesti dokumentoitu, voidaan tietoja verrata asetuksen artiklan 6 mukaisiin käsittelyn perusteisiin. Kun työntekijä jatkaa työsuhteessaan, on työnantajalla ja työntekijällä usein yhteinen intressi säilyttää lähtökohtaisesti kaikki työntekijän henkilötiedot eli soveltaa suostumusperustetta. Päättyneiden työsuhteiden osalta tulee käytännössä soveltaa yllä mainittujen kansallisten lakien säilytysaikavaatimuksia ja poistaa tiedot niiden umpeuduttua. Kehityskeskustelussa kirjattujen uratoiveiden ja koulutustarpeiden säilytykselle ei yleensä ole enää perustetta. Työaikatiedot säilytetään työaikalain nojalla esimerkiksi kolme vuotta, mutta kirjanpitolain nojalla kuusi vuotta, jos niiden perusteella on maksettu palkkaa (esimerkiksi tuntipalkkaisten tunnit ja ylityöt). Tulorekisterin korjausvelvoitteen vuoksi myös kymmenen vuoden säilytys on perusteltavissa palkanlaskennan tositteille.

Käytännön tasolla tulee vastaan monenlaista juridiikan ja käytännön yhteensovittamista. Työntekijän työaikakirjausten selitteet voivat olla yrityksen oikeusturvan ja liiketoiminnan kannalta vuosia tarpeellisia tilitoimistojen ohella esimerkiksi IT-yrityksessä tai insinööritoimistossa. Voiko niitä säilyttää rekisterinpitäjän oikeutettujen etujen toteuttamiseksi?  Mitä tehdä työntekijän sähköpostissa (etunimi.sukunimi@yrityksennimi.fi) oleville sähköposteille? Työnantajalla ei työsuhteen päätyttyä ole niihin juridista pääsyoikeutta. Lainsäädännön näkökulmasta työsuhteen päättyessä sähköpostitili ja sähköpostit tulisi poistaa. Miten toimitaan, jos työntekijä omista tarpeistaan johtuen pyytää säilyttämään aineiston? Monella ihmisellä työsähköpostien joukossa on esimerkiksi yksityisviestejä tai luottamustoimiin liittyvää viestinvaihtoa.

Yrityksen ja niiden käyttämien henkilötietojen käsittelijöiden, kuten tilitoimistojen, tulisikin henkilötietojen käsittelyn dokumentoinnin jälkeen siirtyä suunnittelemaan henkilötietojen käyttöä. Miten liiketoiminnan ja asiakaspalvelun kannalta olennaiset tiedot saadaan asiakkailta muuten kuin sähköpostilla ja miten sähköpostilla saadut tiedot siirretään talteen muihin järjestelmiin? Onko toiminnanohjausjärjestelmän työaikakirjaus lainkaan oikea paikka kirjata projektin olennaista taustatietoa? Kirjataanko henkilötietoja turhaan useampaan eri paikkaan tai onko esimerkiksi terveystietojen kirjaaminen järjestelmiin lainkaan perusteltua? Pitäisikö henkilötietoja sisältäviin asiakirjoihin lisätä suunniteltu säilytysaika, jotta tietojen poistaminen olisi vaivattomampaa? Miten henkilötiedot ylipäätään voitaisiin kerätä ja tallentaa tehokkaasti niin, että niiden luovutus työntekijälle tai poistaminen voitaisiin hoitaa rutiininomaisesti ja jopa automatisoidusti?

Teknisiä näkökulmia henkilötietojen poistoon

Henkilötietoja säilytetään yrityksissä monenlaisilla välineillä – tiedostoissa ja ohjelmistojen tietokannoissa ja joskus vielä paperillakin. Tiedostoissa tai paperilla säilytettyjen henkilötietojen poistaminen on yleensä suoraviivaista, kun henkilötietojen sisältö ja säilytystavat on asianmukaisesti dokumentoitu. Esimerkiksi työsuhteensa päättäneen työntekijän Word-muodossa olevat kehityskeskustelumuistiinpanot voidaan poistaa työsuhteen päätyttyä ja pdf-muodossa olevat palkkalaskelmat kuusi vuotta sen kalenterikuukauden päättymisestä, jonka aikana tilikausi on päättynyt.

Tiedostojen poisto voidaan tehdä työntekijäkohtaisesti päättyneiden työsuhteiden listauksen perusteella tai suoraviivaisemmin poistamalla kaikkia työntekijöitä koskevat tiedostot massana lain määrittämän säilytysvelvollisuuden päätyttyä. Esimerkiksi tositteena toimivat tiedostot, kuten työaikalistat, provisiolaskelmat ja lääkärintodistukset, voidaan poistaa massana kuuden vuoden säilytysajan päätyttyä tai soveltaa tulorekisterikorjausvelvoitteen nojalla kymmenen vuoden säilytysaikaa. Jos tietoja poistetaan ajan perusteella massana, tulee varmistaa, että poistettavien tiedostojen myötä ei katoa sellaista tietoa, joka on tarpeen vielä työsuhteessa olevien työntekijöiden osalta. Esimerkiksi työntekijöiden palkkahistoria voi olla tarpeen henkilöstöhallinnon tarpeisiin.

Ohjelmistojen tietokannoissa majailevien henkilötietojen poistaminen on haastavampi asia.  Poistamisen tapaan ja aikatauluun vaikuttaa keskeisesti se, millä periaatteella tietojen arkistointi on yrityksessä toteutettu.

• Jos kaikki ohjelmistoon tallennettu lainsäädännön edellyttämä tieto, kuten työaikalistat, palkkalistat, palkkalaskelmat, palkkakortit ja palkkasuoritusten yhdistelmät on tallennettu ohjelmistosta tiedostoiksi tai paperille, voidaan kaikki työntekijää koskevat tiedot lainsäädännön näkökulmasta poistaa ohjelmiston tietokannasta välittömästi työsuhteen päätyttyä. Tämä on jopa perusteltua tietojen käsittelyn minimoinnin näkökulmasta.
• Yhä useammin tiedot säilytetään vain ohjelmistojen tietokannassa, josta ne voidaan tulostaa tai niitä voidaan selailla tarvittaessa. Alla kuvaan tämän vaihtoehdon mukaista tilannetta. Asia on loogisesti vaikea, koska yksittäisen työntekijän tiedoilla tietokannan eri tauluissa on eri säilytysaikavaatimus. Usein tietoja on myös säilytetty useammassa ohjelmistossa, jotka on myös mahdollisesti integroitu toisiinsa jopa reaaliaikaisesti.

Kun Matti Möttönen irtisanoutuu, muuttuvat monet hänen perustietonsa palkka- ja HR-järjestelmässä tarpeettomiksi ja ne pitäisi poistaa ilman aiheetonta viivytystä. Toisaalta ohjelman tietokannan tiedot Matti Möttösen tuntikirjauksista ovat tarpeen esimerkiksi kolmen vuoden ajan työaikalain vaatimusten vuoksi. Palkkakortin tuottamiseksi tarvittavat Matin tiedot tulee säilyttää kuusi vuotta. Palkkaohjelmistosta ajettavilla palkkalistoilla Matin pitää kummitella kymmenen vuotta työsuhteen päättymisestä. Osa Matin perustiedoista pitää siis säilyttää ohjelmiston raporttien ja tietokannan eheyden vuoksi ohjelmiston perustietotauluissa ja osa poistaa. Tapahtumatauluihin tallennetut tuntikirjaukset, palkkatapahtumat ja vastaavat aikajaksoon kytkeytyvät tapahtumat pitää puolestaan poistaa kirjanpitolain määrittämässä rytmissä. Asian monimutkaisuuden vuoksi poistaminen tulee suunnitella ja toteuttaa huolella sekä lainsäädäntö että ohjelmiston teknologia huomioiden.

Käytännössä yksittäinen yritys tai tilitoimisto on sen varassa, mitkä ovat ohjelmistotoimittajan tarjoamat keinot ja välineet tietojen poistoon. Suurin osa Suomen markkinoilla olevista palkka- ja HR-ohjelmistoista on kehitetty ennen tietosuoja-asetuksen voimaantuloa, minkä vuoksi lainsäädännön vaatimuksiin ei ollut voitu varautua. Automaattisen tai ”nappia painamalla” tapahtuvan poistotoiminnan toteuttaminen ohjelmistoihin jälkikäteen on erittäin haastavaa ja työlästä. Tällainen toiminto löytyy vain harvoista ohjelmistoista. Joissain tapauk­sissa ohjelmistotalon tekninen asiantuntija voi avustaa tietojen poistossa. Osassa ohjelmistoja henkilötietoja ei saa poistettua lainkaan tai tiedot voidaan poistaa vain osittain.

Ohjelmistojen ohella henkilötietoja tallentuu myös yritysten varmuuskopioille. Päivittäin tai muuten tiheällä tahdilla olevat varmistukset katoavat kohtuullisen nopealla syklillä, mutta erilaisilla vuosivarmistuksilla tietoja voi säilyä hyvinkin pitkään.

Miten tästä eteenpäin?

Tietosuojavaltuutetun tarkastustoiminta on nostanut henkilötietojen lainmukaisen käsittelyn painoarvoa yrityksissä ja tilitoimistoissa. Yhdeksi kehityskohteeksi ja potentiaaliseksi ongelmaksi palkka- ja HR-asiantuntijat ovat tunnistaneet henkilötietojen poiston. Ohjelmistoista puuttuva henkilötietojen poistoautomatiikka on kuitenkin vain pieni osa suurempaa kokonaisuutta. Käymieni keskustelujen perusteella moni yritys ei ole dokumentoinut yksityiskohtaisella tasolla työntekijöidensä henkilötietojen käsittelyä, saati suunnitellut henkilötietojen käsittelyn kehittämistä. Tämä dokumentaatiotyö kannattaa aloittaa. Henkilötietojen poistoon liittyvät puutteet kannattaa myös avata ja perustella tässä dokumentaatiossa. Jos henkilötietojen poistomahdollisuus ohjelmistoissa koetaan tärkeäksi, asia kannattaa kertoa selkeästi omalle ohjelmistotoimittajalle.