Aiemmassa artikkelissa kirjoitin tietosuoja-asetuksen mukaisista sanktioista työnantajan näkökulmasta. Tässä artikkelissa jatketaan samalla asialla, mutta työntekijän näkökulmasta. Kyllä, myös sinä työntekijänä voit joutua vastuuseen, jos et noudata tietosuoja-asetusta.
Mitä velvollisuuksia työntekijällä on tietosuoja-asioissa?
Mikäli työnkuvaasi kuuluu henkilötietojen käsittely, tulee sinun toimia vastuullisesti niiden kanssa. Vaikka tietosuoja-asetus ei itsessään kohdista sanktioita työntekijään, tulee tämä varmasti vastaan työpaikalla käytännössä, jos sinä työntekijänä vuodat tietoja. Henkilötietoja ei saa pyytää turhaan ja niiden käsittelyssä tulee toimia tietosuoja-asetuksen mukaan.
Tietosuojalain mukaan, jokaisella henkilötietoja käsittelevällä henkilöllä on vaitiolovelvollisuus. Mikäli sinä työntekijänä vuodat henkilötietoja, olet vastuussa rikoslain mukaan. Rangaistus voi olla sakkoa tai maksimissaan yhden vuoden vankeus tuomio.
Kuka saa käsitellä henkilötietoja ja missä tilanteissa?
Henkilötietojen käsittelylle tulee aina lähtökohtaisesti olla jokin syy. Esimerkiksi julkisella sektorilla. tämä on useimmiten lakisääteinen velvollisuus tai oikeus. Vaikka tietoja olisi vapaasti saatavilla, niitä ei tulisi kerätä, katsella, kopioida tai tulostella ilman syytä. Mikäli työtehtäväsi eivät sitä edellytä, ei salassa pidettäviä tietoja tulisi käsitellä tai niistä keskustella. Henkilötietojen käsittelyyn tulee aina pyytää suostumus, ellei se perustu rekisteröidyn kanssa tehtyyn sopimukseen tai lainmukaiseen velvollisuuteen tai oikeuteen.
Esimerkki tilanteita, joissa henkilötietoja saa käsitellä
- Julkisen vallan käyttäminen edellyttää tätä
- Rekisteröidyn suostumus
- Lakisääteisten velvoitteiden noudattamiseksi
- Sopimus johon käsittely perustuu, on tehty rekisteröidyn kanssa
Vaikka kaikkia osapuolia koskisi vaitiolovelvollisuus et voi vapaasti keskustella rekisteröityjen henkilötiedoista työkavereidesi kanssa tai näyttää heihin liittyvää tietoa. Sinulla tulee aina olla työrooliisi perustuva oikeus katsella henkilötietoja.
Esimerkkitapaus tietosuoja velvoitteiden noudattamattomuudesta Kymenlaaksosta
Sote-yhtymä Kymsoten kaksi työntekijää sai tuomion tietosuojarikoksesta. He olivat tarkastelleet asiakkaan tietoja rekisteristä, ilman perusteita. Rikos kohdistui alaikäiseen lapseen ja hänen äitiinsä. Vuonna 2019, nämä eri osastoilla ja tehtävissä työskentelevät kävivät katsomassa äidin tietoja alle kahden minuutin aikaerolla ja toinen heistä vieraili vielä lapsen tietoja sisältävällä sivulla.
Kymenlaakson käräjäoikeudessa nostettu haaste päättyi siihen, että molemmat joutuivat maksamaan kymmenen päiväsakkoa tietosuojarikkomuksesta, sekä äidille yhteensä 600 euroa korvausta kärsimyksestä. Oikeudenkuluja he joutuivat myös korvaamaan 4 200 euron edestä. Käräjäoikeus oli katsonut, että työntekijät olivat tutkineet tietoja silkkaa uteliaisuuttaan. Tämä uteliaisuus maksoi heille maltaita.
Mitä minun työntekijänäni tulee huomioida, kun käsittelen henkilötietoja?
Mitä siis tehdä, että sinulle ei käy niin kuin Kymsoten kahdelle työntekijälle? Mikäli, työssäsi kohtaat henkilötietoja, tulee sinun aina noudattaa tietosuojalainsäädännön mukaisia tietosuojaperiaatteita. Alla listaus, mitä voit käyttää esimerkiksi muistilistana henkilötietojen kanssa toimiessa. Käsittele tietoja:
- Luottamuksellisesti ja turvallisesti
- Lainmukaisesti, rekisteröidyn kannalta läpinäkyvästi, sekä asianmukaisesti
- Henkilötietoja voi kerätä ainoastaan tiettyjä laillisia ja nimenomaisia tarkoituksia varten Niitä ei saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla
- Henkilötietoja tulee kerätä ainoastaan tarvittu määrä käsittelyn tarkoitukseen nähden
- Henkilötietoja tulee tarvittaessa päivittää ja virheelliset tai epätarkat tiedot tulee poistaa
- Asianmukainen turvallisuus tulee huomioida. Lainvastaiselta ja luvattomalta käsittelyltä tulee suojautua. Myös tietojen tuhoutumiselta, vahingoittumiselta tai vahingossa tapahtuvalta häviämiseltä tulee suojautua asianmukaisesti
- Säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
Miten voin normaalin työpäivän aikana suojella henkilötietoja?
Tärkeintä on muistaa pienissä askareissa suojaavat toimenpiteet. Käsiteltiin tietoa sitten tietojärjestelmässä sähköisesti, paperilla, keskusteluissa tai kuvissa, pitää muistaa huomioida, että ulkopuoliset eivät sekaannu tietojen käsittelyyn. Järjestelmissä tulee toimia aina omilla henkilökohtaisilla tunnuksilla ja sinulle annetulla oikeustasolla. Muista käsitellä tietosuojaa sisältävät materiaalit asiallisesti, äläkä jätä niitä esimerkiksi pöydille lojumaan.
Muutamia esimerkkejä hyvistä/turvallista toimintatavoista:
- Älä anna ulkopuolisten nähdä näyttöäsi (esim. junassa)
- Kun poistut työasemaltasi, lukitse näyttö
- Pidättäydy keskustelemasta luottamuksellisista tiedoista muiden kanssa
- Muista laittaa henkilötietoja sisältävät paperit tietosuojattavaan jäteastiaan
- Vaitiolovelvollisuus koskee sinua myös työajan ulkopuolella
- Tallenna henkilötietoja ainoastaan suojatuille asemille (esim. verkkolevy)
Erityiset henkilötietoryhmät
Yllä mainittujen lisäksi, on tietosuoja-asetuksessa määritelty erityiset henkilötietoryhmät. Tähän ryhmään kuuluvat esimerkiksi. poliittinen mielipide, etninen alkuperä ja rotu. Kattavan listauksen näistä löydät täältä. Näitä tietoja saa käsitellä ainoastaan tietyissä tilanteissa, joita ovat:
- Erikseen annettu suostumus
- Velvoite rekisterinpitäjän tai rekisteröidyn osalta
- Yleistä etua koskevissa syissä
- Yleistä etua koskevista syistä tai työterveyden takia (esim. työkyvyttömyyden arviointiin)
- Elintärkeiden etujen suojaaminen luonnollisen henkilön tai rekisteröidyn osalta
- Arkistointitarkoituksia varten, jotka ovat yleisen edun mukaisia tai tutkimus/tilastollisia tarkoituksia varten.
Muista siis, että vastuu kantautuu myös sinulle työntekijänä. Käsittele tietoja turvallisesti, läpinäkyvästi ja ainoastaan silloin, kun on tarvetta. Varmista ainakin omilla toimillasi, että tiedot pysyvät turvassa ja eivät päädy ulkopuolisten käsiin.
Kia Kivelä
Asianajotoimisto Legistum Oy