FOCUS GDPR ja työntekijät: mikä on oikeudellinen kehys?

Legal Watch – toukokuu 2019.

Kaksi äskettäistä tapausta, jotka koskivat suurta verkkokirjakauppaa, herättävät kysymyksiä työntekijöiden liikkumavarasta yrityksen asiakkaiden henkilötietojen käsittelyssä.

Vaikka tietojenkäsittelyä säännellään nykyään yksityiskohtaisesti lailla ja lukuisilla ohjeilla – olipa kyseessä sitten CNIL:n tai Euroopan tietosuojaneuvoston (EDPB) ohjeet – yrityksen sisäiset vastuut herättävät edelleen monia kysymyksiä.

Mikä on työnantajan vastuu työntekijöidensä henkilötietojen käsittelystä? Muutamia periaatteita on pidettävä mielessä:

GDPR:n soveltamisala on laaja[1]. Henkilötietojen automaattinen käsittely kattaa toiminnot, jotka suoritetaan tiedoille käyttämällä yrityksissä perinteisesti käytettyjä ohjelmistoja, kuten tietokantoja, sähköpostia ja taulukkolaskentaohjelmia, sekä soveltuvin osin tekstinkäsittelyohjelmistolla suoritettavan tietojenkäsittelyn.

Vastuu työntekijöiden toimista on yleensä työnantajalla siviililain2, mutta myös yleisen tietosuoja-asetuksen nojalla, koska työnantaja on rekisterinpitäjä: työnantaja määrittelee käsittelyn keinot ja tarkoitukset lain tarkoittamalla tavalla3.

Samasta syystä työnantaja on vastuussa tietoturvaloukkauksen sattuessa, vaikka se johtuisi työntekijän toimista, koska työnantajalla on velvollisuus suojata yrityksensä sisällä olevat tiedot4.

Jos työnantaja on vastuussa kolmansille osapuolille, hän voi luonnollisesti ryhtyä toimiin laittomasti toiminutta työntekijää vastaan, erityisesti luottamusvelvollisuuden rikkomisen tai petoksen vuoksi, ja määrätä kurinpitoseuraamuksen tai jopa irtisanomisen. Myös vilpillinen pääsy automatisoituun tietojenkäsittelyjärjestelmään tai sen osaan on rikos.

Työnantajan vastuusta riippumatta työntekijä voi myös kantaa oman vastuunsa työnantajaansa kohtaan, mutta myös kolmansia osapuolia kohtaan: työntekijästä, joka poikkeaa työnantajan antamista ohjeista ja ajaa omia tarkoituksiaan, tulee itse vastuussa käsittelystä lain tarkoittamalla tavalla (ks. eurooppalaisen työryhmän analyysi 29 6 artiklasta – nykyinen Euroopan tietosuojaneuvosto).

Sama pätee, jos hän rikkoo yrityksen IT-ohjesääntöä käyttämällä tietoja omaan lukuunsa.

Yhteenvetona voidaan todeta, että työnantajan on tärkeää ryhtyä seuraaviin varotoimiin:

• Määrittele tarkasti käsittelyn tarkoitukset ja keinot ja tuo tämä kehys työntekijöiden tietoon
• Pyydä heitä allekirjoittamaan työsopimukseen liitetty salassapitolauseke sekä IT-peruskirja
• Ota tietosuojavastaava ja yritysneuvosto mukaan näiden asiakirjojen valmisteluun.

Näillä varotoimilla on kaksi etua: ne suojaavat paremmin henkilöitä, joiden tietoja käsitellään, ja selventävät työnantajan vastuuta väärinkäytöstilanteissa.

On huomattava, että myös työntekijät hyötyvät yksityisyytensä – ja henkilötietojensa – suojasta työpaikalla. Tätä käsitellään jatkossa.

Ja myös:

Ranskassa:

CNIL julkaisi 15. huhtikuuta toimintakertomuksensa ja ilmoitti keskittyvänsä tulevissa tarkastuksissaan yksilöiden oikeuksien kunnioittamiseen, alaikäisten tietojen käsittelyyn sekä rekisterinpitäjän ja alihankkijan välisen vastuunjaon tarkasteluun.

Marie-Laure Denisin johtamalla CNIL:llä on nyt uusi korkeakoulu.

Euroopassa:

Euroopan tietosuojaneuvosto hyväksyi 12. huhtikuuta ohjeet tiedonkeruusta tietoyhteiskunnan palvelujen yhteydessä, keskittyen erityisesti tiedonkeruun oikeusperustaan asiakkaan kanssa tehdyn sopimussuhteen yhteydessä (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan B alakohta). Tämä teksti on julkisen kuulemisen alainen 24. toukokuuta asti.

Maailmassa:

Nigeria on ottanut käyttöön GDPR:n kaltaisen tietosuojalain.

1 Yleisen tietosuoja-asetuksen 2 artiklan 1 kohta ja 4 artiklan 1 ja 2 kohta.

2 Katso erityisesti siviililain 1242 §:n 1 momentti ja 5 momentti.

3 Artikla 4.7) GDPR.

4 GDPR:n 32 artikla.

5 Rikoslain 323-1 §.

6 Sivu 16