Työntekijän yksityisyydensuoja : Tietosuoja-asetuksen asettamat velvollisuudet työnantajalle
Ohinen, Milla (2022)
2022
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2022110764870
https://urn.fi/URN:NBN:fi-fe2022110764870
Tiivistelmä
Työelämän yksityisyydensuoja on vahvistunut Euroopan Unionin yleisen tietosuoja-asetuksen (679/2016) voimaan tulon myötä. Asetus velvoittaa kaikkia EU:n jäsenvaltioita sellaisenaan sekä vahvistaa kansallista tietosuojalainsäädäntöä. Asetus on vahvistanut työntekijöiden oikeuksia yksityisyyteen sekä parempaan omien henkilötietojen hallintaan. Työntekijä on oikeutettu yksi-tyisyyteen työpaikalla tapahtuvassa henkilötietojen käsittelyssä. Samalla asetus on puolestaan tuonut rekisterinpitäjille, työnantajalle lisää velvoitteita henkilötietojen käsittelyyn. Työnanta-jan on kaikessa henkilötietojen käsittelyssä toimittava voimassa olevan tietosuojalainsäädännön ja tietosuojaperiaatteiden mukaisesti. Kansallisesti työntekijöiden yksityisyyttä turvaa asetuksen lisäksi muun muassa tietosuojalaki (1050/2018) sekä laki yksityisyyden suojasta työelämässä (759/2004).
Työnantajan on luotava tietosuojalainsäädännön mukaiset prosessit jo siinä vaiheessa, kun se edes suunnittelee henkilötietojen käsittelyä ja keräämistä. Tietosuojalainsäädännön mukaiset prosessit pitävät sisällään myös sen, että tekniset aspektit, kuten tietojärjestelmät ovat tietotur-valliset lainsäädännön mukaisesti. Työnantaja on lakisääteisesti velvoitettu keräämään työnte-kijöistä tiettyjä henkilötietoja, mutta sen on aina henkilötietoja käsiteltäessä huolehdittava tar-peellisuusvaatimuksen toteutumisesta. Lähtökohtaisesti työntekijöiden arkaluontoisten tieto-jen käsittely ja kerääminen on kiellettyä, mutta on tilanteita, jolloin työnantajalla on oikeus kä-sitellä arkaluontoisia henkilötietoja, kuten terveystietoja. Työntekijöiden tekninen valvonta, ku-ten paikannustietojen seuranta voi tietyissä tilanteissa olla perusteltua. Työnantajan on kuiten-kin aina huolehdittava, että se on työtehtävän suorittamisen kannalta perusteltua ja tarpeellista. On aina rekisterinpitäjän, työnantajan vastuulla huolehtia, että se ei kerää työntekijästä sijainti-tietoja epähuomiossa.
Tietosuoja-asetus on tuonut jäsenvaltioille asetuksen vastaisesta henkilötietojen käsittelystä myös tarkemman sääntelyn tietoturvaloukkausten menettelylle sekä mahdollisuuden huomat-tavan korkeisiin hallinnollisiin seuraamusmaksuihin. Tietoturvaloukkaus muodostuu aina siinä vaiheessa, kun rekisteröidyn työntekijän henkilötietoja käsitellään voimassa olevan lainsäädän-nön vastaisesti. Mikäli rekisteröidylle aiheutuu tietoturvaloukkauksen myötä huomattavaa hait-taa, kansallinen valvontaviranomainen voi määrätä rekisterinpitäjälle huomattavat hallinnolliset sakot. Työnantajan on rekisterinpitäjänä huolehdittava tarpeellisista toimista tietoturvalouk-kauksen sattuessa, kuten ilmoitusvelvollisuuden täyttämisestä sekä riittävästä dokumentoin-nista.
Työnantajan on luotava tietosuojalainsäädännön mukaiset prosessit jo siinä vaiheessa, kun se edes suunnittelee henkilötietojen käsittelyä ja keräämistä. Tietosuojalainsäädännön mukaiset prosessit pitävät sisällään myös sen, että tekniset aspektit, kuten tietojärjestelmät ovat tietotur-valliset lainsäädännön mukaisesti. Työnantaja on lakisääteisesti velvoitettu keräämään työnte-kijöistä tiettyjä henkilötietoja, mutta sen on aina henkilötietoja käsiteltäessä huolehdittava tar-peellisuusvaatimuksen toteutumisesta. Lähtökohtaisesti työntekijöiden arkaluontoisten tieto-jen käsittely ja kerääminen on kiellettyä, mutta on tilanteita, jolloin työnantajalla on oikeus kä-sitellä arkaluontoisia henkilötietoja, kuten terveystietoja. Työntekijöiden tekninen valvonta, ku-ten paikannustietojen seuranta voi tietyissä tilanteissa olla perusteltua. Työnantajan on kuiten-kin aina huolehdittava, että se on työtehtävän suorittamisen kannalta perusteltua ja tarpeellista. On aina rekisterinpitäjän, työnantajan vastuulla huolehtia, että se ei kerää työntekijästä sijainti-tietoja epähuomiossa.
Tietosuoja-asetus on tuonut jäsenvaltioille asetuksen vastaisesta henkilötietojen käsittelystä myös tarkemman sääntelyn tietoturvaloukkausten menettelylle sekä mahdollisuuden huomat-tavan korkeisiin hallinnollisiin seuraamusmaksuihin. Tietoturvaloukkaus muodostuu aina siinä vaiheessa, kun rekisteröidyn työntekijän henkilötietoja käsitellään voimassa olevan lainsäädän-nön vastaisesti. Mikäli rekisteröidylle aiheutuu tietoturvaloukkauksen myötä huomattavaa hait-taa, kansallinen valvontaviranomainen voi määrätä rekisterinpitäjälle huomattavat hallinnolliset sakot. Työnantajan on rekisterinpitäjänä huolehdittava tarpeellisista toimista tietoturvalouk-kauksen sattuessa, kuten ilmoitusvelvollisuuden täyttämisestä sekä riittävästä dokumentoin-nista.