Nyyssölä bloggaa: Tietosuoja-asetus tuo työnantajille käännetyn todistustaakan

Ei tarvitse olla lainoppinut tietääkseen, että syytetyn ei tarvitse näyttää oikeudenkäynnissä toteen syyttömyyttään. Kansalaista pidetään syyttömänä, kunnes toisin todistetaan. Muutoinkin ihmisellä on lupa elää elämäänsä ilman, että hänen pitää olla valmis todistamaan noudattavansa lakia. Sama koskee työnantajia. On viranomaisen asia reagoida, jos se epäilee, että kaikki ei ole kunnossa, bloggaa lainopillinen asiamies Mikko Nyyssölä.

Keväällä voimaan tulevan tietosuoja-asetuksen jälkeen elämä ei ole enää näin suoraviivaista. Pelkästään se, että tottelee lakia ei enää riitä; tietosuoja-asetuksen myötä se on pystyttävä näyttämään myös toteen.

Käännetty todistustaakka – tai osoitusvelvollisuus, joksi sitä asetuksessa kutsutaan – on melkoinen kummajainen oikeusjärjestelmässämme. Joku voisi olla sitäkin mieltä, että se ei käy yksiin perustuslakimme kanssa, mutta sillä argumentilla tätä vastuuta ei pääse nyt pakoon.

Asetus tuo työnantajille ja muille rekisterinpitäjille monia velvoitteita. Ne liittyvät henkilötietojen keräämiseen, niiden luovuttamiseen ja muuhun käyttöön sekä rekisteröidyn oikeuksiin.

Henkilötietojen on ensinnäkin oltava tarpeellisia niihin tarkoituksiin, joihin niitä kerätään. Käsittelyn on oltava työntekijän kannalta läpinäkyvää ja tietojen turvallisuudesta on huolehdittava, eikä vanhentuneita tietoja saa olla. Terveystietojen ja muiden arkaluonteisten asioiden hallinnointiin on oltava selvät pelisäännöt. Työnantajalta pitää löytyä näyttö, että näin on myös toimittu.

Työntekijällä on oikeus tietää, mitä tietoja työnantaja hänestä säilyttelee ja kuka muu pääsee niitä tutkimaan, sekä suuri joukko muita oikeuksia. Työnantajan on kerrottava työntekijälle tämän oikeuksista sekä pystyttävä osoittamaan, että informointivelvollisuus on täytetty.

Asetus on pitkä ja vaikealukuinen, mutta artikloja tarkemmin tutkiessaan voi havaita, että se pitää sisällään paljon tuttua. Monet vastuut ovat olleet henkilötietolaissa lähes samassa muodossa jo parikymmentä vuotta. Ei siis kokonaan uutta auringon alla tässäkään asiassa.

Kevättä odotellessa on hyvä alkaa pohtia näitä asioita kynän ja paperin kanssa.  Pohjaksi voi ottaa nykylain vaatiman rekisteriselosteen. Mitä tietoja keräämme, mihin tarkoituksiin, onko kaikki varmasti aivan tarpeellista, ja miten varmistamme, että tiedot eivät päädy asiattomiin käsiin?

Pohdinnan tuloksena pitäisi syntyä dokumentti, jonka perusteella on suhteellisen helppo arvioida, mitä vielä pitäisi tehdä, jotta huomautettavaa ei jää, kun asetus astuu voimaan. Tätä dokumenttia työnantaja voi käyttää myös osoittamisvelvollisuutensa täyttämiseksi.

Miten vaikeaa tai helppoa tietosuoja-asetuksen kanssa eläminen sitten on? Riippuu tietysti tapauksesta, mutta jos yrityksen tietohallinto täyttää voimassa olevan lain vaatimukset, asiat ovat jo melko hyvällä mallilla myös asetusta silmällä pitäen.