Euroopan unionin tietosuoja-asetus on Suomessakin todellisuutta ihan pian, 25.5.2018. Suomen henkilötietolaki siirtyy silloin historiaan, ja henkilötietojen käsittelyn pelisäännöt suomalaisilla työpaikoilla määräytyvät eurooppalaisen asetuksen perusteella. Pykälien sijasta aletaan puhua artikloista ja niiden vaatimuksista.

Tuskin mikään lakihanke on saanut historiassa yhtä laajaa julkisuutta kuin tietosuoja-asetus. Internetistä löytyy kirjaimellisesti miljoonia osumia asetuksen englanninkielisellä lyhenteellä GDPR. Hysteriasta puhuminenkaan ei ole tässä yhteydessä liioittelua.

Ei ole ihme, jos työnantajat ovat epätietoisia siitä, mitä vaatimuksia uudet säännöt asettavat heille. Epätietoista työnantajaa ei helpota yhtään tieto, jonka mukaan asetuksen rikkomisen varalle säädetyt sakot voivat leikata ison siivun yrityksen liikevaihdosta.

Ensimmäiseksi työnantaja voisi kysyä itseltään, olemmeko toimineet tähän mennessä henkilötietolain ja parhaan ymmärryksemme mukaan. Jos vastaus tähän kysymykseen on myönteinen, paljon on jo tehty myös tietosuoja-asetusta silmällä pitäen. Perusasiat eivät muut miksikään. Työntekijästä saa edelleenkin kerätä vain tarpeellisia tietoja, eikä niitä voi antaa kenen tahansa käytettäväksi.

Jos tietosuoja-asetuksesta haluaa nostaa yhden asian luupin alle, se voisi olla asetuksen 5 artiklassa säädetty osoitusvelvollisuus. Työnantajan pitää paitsi noudattaa asetusta myös kyetä osoittamaan noudattavansa sitä. Tässä yhteydessä on puhuttu myös käännetystä todistustaakasta.

Vaikka osoitusvelvollisuus onkin asetuksen uutuuksia, sen takaa löytyy entuudestaan tuttuja asioita. Rekisterinpidosta pitää tehdä kirjallinen seloste kuten tähänkin asti, ja sillä voidaan tarvittaessa näyttää, miten asioita työpaikalla hoidetaan. Selostetta ei tosin vaadita alle 250 työntekijän yrityksiltä, mutta on vaikea keksiä selostetta parempaa konstia osoitusvelvollisuuden täyttämiseen.

Työntekijän oikeudet on määritelty asetuksessa nykyistä selvästi tarkemmin, ja osittain niitä on ristitty myös uusilla vetävillä nimillä, kuten ”oikeus tulla unohdetuksi”. Suomennettuna tämä tarkoittaa rekisteröidyn oikeutta vaatia tietojensa poistamista rekisteristä.

Työnantajan pitää pystyä osoittamaan muun muassa, että työntekijöitä on informoitu heidän oikeuksistaan. Informointia koskevat säännökset ovat asetuksessa sikin sokin, mutta parhaiten tämäkin tiedottaminen onnistuu samalla selosteella kuin muukin informointi. Kunhan seloste on työntekijöiden nähtävillä työpaikalla.

Erityisen tietosuojavastaavan nimittämisvelvollisuus on aiheuttanut paljon keskustelua ja kysymyksiä. Pääsääntö on, että yrityksen ei tarvitse nimittää tietosuojavastaavaa. Sellainen on asetettava vain, kun yrityksen bisneksenä on henkilötietojen ja erityisesti arkaluonteisten henkilötietojen käsittely.

Yksi mielenkiintoinen uutuus asetukseen sisältyy: tietoturvaloukkauksista ilmoittaminen. Jos yrityksen työsuhdeasioiden hoitaja vaikkapa hukkaa tietokoneensa taikka muistitikun, jossa on yrityksen työntekijöiden henkilötietoja, siitä pitää tehdä raportti tietosuojaviranomaisille. Raportoinnilta säästyy vain, jos voi olla vakuuttunut siitä, että tiedot eivät päädy vieraisiin käsiin.

Mikko Nyyssölä

Lainopillinen asiamies, Elinkeinoelämän keskusliitto

Nyyssölä on työskennellyt erityisesti työelämän tietosuojakysymysten parissa jo parisenkymmentä vuotta ja edustanut EK:ta muun muassa lukuisissa lainvalmisteluprojekteissa. (Kuva: Marjo Koivumäki)