Tietosuoja-asetuksen sanktiot työnantajan näkökulmasta

huhti 1, 2022

Mikä on tietosuoja-asetus?

Yleinen tietosuoja-asetus eli GDPR, on vuonna 2018 kaikissa EU-maissa voimaan astunut laki. Sen tarkoituksena on säädellä henkilötietojen käsittelyä, eli kaikkia niitä tietoja, jotka liittyvät tunnistettuun tai tunnettavissa olevaan henkilöön. Asetus on voimassa niin yksityisellä, kuin julkisellakin sektorilla. Se mahdollistaa enemmän keinoja hallita tietojesi käsittelyä, sekä antaa paremman suojan niille. Esimerkiksi, voit pyytää henkilötietojesi poistamista tai rajoittamista.

Mikä tietosuoja-asetuksen tavoite on?

Yleisen tietosuoja-asetuksen tavoitteena on turvata henkilötietojen suojaus digitaaliaikana. Teknologian nopean kehityksen vuoksi, tarvitaan asetus, mikä antaa rekisteröidylle oikeuden valvoa henkilötietoja, sekä oikeuden niiden poistamiseen. Tietosuoja-asetuksen yhtenä tärkeänä tavoitteena on taata vapaa liikkuvuus henkilötiedoille Euroopan Union sisällä. Henkilötietojen käsittelijälle, sekä rekisterinpitäjälle asetus tuo uusia velvollisuuksia ja tehtäviä. Asetus koskee lähes kaikkia yrityksiä, eikä pienintäkään rekisterinpitäjää rajata pois. Henkilötietojen lainmukaiseen käsittelyyn asetus ottaa myös kantaa, asetus kertoo miten, milloin ja kenen toimesta henkilötietoja saa käsitellä. Yleinen tietosuoja-asetus tuo aiempaa rankemmat seuraamukset rikkomuksista.

Tietosuoja-asetuksen sanktiot työnantajan näkökulmasta

Työnantajan tulee muistaa, että hän voi ainoastaan käsitellä välttämättömiä henkilötietoja, mitkä ovat tarpeellisia työsuhteen kannalta. Nämä tiedot liittyvät työtehtävien erityisluonteeseen, työnantajan tarjoamiin etuihin tai osapuolien velvollisuksiin sekä oikeuksien hoitamiseen. Vastuu on aina rekisterinpitäjällä eli työnantajalla, ellei hän pysty osoittamaan, ettei toiminta aiheuttanut rekisteröidylle eli työntekijälle vahinkoa.

Tietosuoja-asetuksen sanktiot on jaettu kahteen eri kategoriaan. Ensimmäisen mukaan, sakko voi olla enintään 10 miljoonaa euroa tai 2 prosenttia edellisen tilikauden maailmanlaajuisesta liikevaihdosta, kumpi sitten onkin suurempi. Näin on esimerkiksi tilanteissa, jossa rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo velvollisuuksiaan. Toisen kategorian säännösten mukaan sakko voi olla enintään 20 miljoonaa euroa tai 4 prosenttia yrityksen edellisen tilikauden maailmanlaajuisesta liikevaihdosta, kumpi sitten onkin suurempi. Tämmöisiä tilanteita ovat, muun muassa tilanteet, jossa suostumusperusteita ei noudateta, tai henkilötietoja siirretään kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle sääntöjen vastaisesti.

Sakot eivät kuitenkaan rajoitu ainoastaan yritykseen, joka on laiminlyönyt asetuksen mukaisia velvoitteitaan, vaan sakkojen kohteeksi voi myös joutua kyseisen yrityksen sopimuskumppani. Yritykset ovat täten yhteisvastuullisia ja voivat tarvittaessa hakea toisiltaan korvauksia.

Tämä ei kuitenkaan tarkoita, että heti ensimmäisestä virheestä joutuu maksamaan 10 tai 20 miljoonaa euroa, vaan lainsäätäjällä on myös käytössä huomautuksia, varoituksia, sekä määräyksiä. Valvontaviranomainen voi myös keskeyttää ja kieltää henkilötietojen käsittelyn.

Mikäli sakkoihin kuitenkin päädytään, tulee sakkojen määrä punnita tarkasti. Suurusluokaltaan varottavuuden ja tehokkuuden lisäksi, sakkojen tulee aina olla oikeassa suhteessa laiminlyöntiin nähden. Tapaukset tulee aina tutkia yksittäin ja huomioida laiminlyönnin vakavuus, kesto, luonne ja teon tuottamuksellisuus.

Vakavimmista henkilötietojen suojan loukkauksista, voidaan myös tuomita rikoslain mukainen rangaistus.

Esimerkki tapaus työnhakijoiden henkilötietojen tarpeettomasta keräämisestä

Tietosuojavaltuutettu sai ilmoituksen, jonka mukaan yritys keräsi työntekijöiden, sekä työnhakijoiden henkilötietoja perusteetta. Työnantajan keräämät henkilötiedot, eivät olleet perusteltuja tietosuoja-asetuksen, sekä tietosuojalain nojalla. Kyseinen yritys oli kysynyt muun muassa terveydentilasta ja uskonnollisesta vakaumuksesta. Tietosuojavaltuutetun päätöksessä, määrättiin yritys poistamaan tarpeettomat tiedot ja annettiin huomautuksia puutteellisesta dokumentoinnista. Yritykselle määrättiin myös 12 500 euron suuruinen seuraamusmaksu.

Rekisteröidylle informointi

Kuten yllä olevasta tapauksesta voimme huomata on tärkeää miettiä mitä henkilötietoja on tarpeellista kerätä. Myös, informointi on tietosuoja asioissa tärkeää ja vaadittua. Informoinnin tarkoituksena on taata, että rekisteröity saa kattavan ja selkeän kuvan kokonaisuudesta, miten hänen tietojaan käsitellään. Rekisteröidyn tulee saada henkilötietoja koskeva tieto siten, että se on helposti ymmärrettävissä ja selkeässä muodossa. Rekisteröidylle tulee kertoa esimerkiksi se, kuka rekisterinpitäjä on, kuinka kauan henkilötietoja säilytetään, minkä takia henkilötietoja käsitellään, luovutetaanko niitä eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle. On myös tärkeää ilmaista, miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan.

Yleisen tietosuoja-asetuksen noudattamatta jättäminen ei ole mitätön asia. Käy siis läpi, missä ja miten yrityksesi henkilötietoja säilytetään ja että täytätte tietosuoja-asetuksen vaatimukset. Näin vältytte sanktioilta ja turvaatte rekisterissä olevienne tiedot.

Kia Kivelä

Asianajotoimisto Legistum Oy

Ota yhteyttä!