Viking Linelle seuraamusmaksu työntekijöiden terveystietojen lainvastaisesta käsittelystä
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Viking Line Oy Abp:lle hallinnollisen seuraamusmaksun työntekijöiden terveystietojen käsittelyyn liittyvistä tietosuojarikkomuksista. Yhtiö muun muassa tallensi työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään. Puutteita havaittiin myös tavoissa, joilla yhtiö kertoi työntekijöilleen henkilötietojen käsittelystä.
Tietosuojavaltuutetun toimisto selvitti Viking Linen toimintaa vireille saatetun kantelun perusteella. Viking Linen entinen työntekijä kertoi tietosuojavaltuutetun toimistolle, ettei ollut saanut kaikkia pyytämiään henkilötietoja, joita säilytettiin yhtiön järjestelmissä.
Entisen työntekijän mukaan Viking Line oli säilyttänyt hänen terveystietojaan henkilöstöhallinnon järjestelmässä 20 vuoden ajan. Viking Line oli tallentanut henkilöstöhallinnon järjestelmään muun muassa diagnoositiedot sairauspoissaoloa koskevien tietojen yhteyteen. Kantelijan mukaan osa tallennetuista diagnoositiedoista oli virheellisiä, sillä järjestelmään ei ollut mahdollista merkitä kaikkia olemassa olevia diagnoosikoodeja. Viking Line ei ollut toimittanut työntekijälle tämän pyytämiä diagnoositietoja, vaikka tiedot olivat olleet yhtiön hallussa.
Terveystiedot on säilytettävä erillään muista työntekijää koskevista tiedoista ja tietojen virheettömyydestä on huolehdittava
Apulaistietosuojavaltuutettu toteaa, että Viking Linen henkilötietojen käsittelytavoissa on ollut useita vakavia puutteita.
Lain mukaan työnantajan on säilytettävä työntekijän terveydentilaa koskevat tiedot erillään muista työntekijän henkilötiedoista. Diagnoositietojen tallentaminen muiden työsuhteeseen liittyvien tietojen yhteyteen oli lainvastaista.
Sen lisäksi, että Viking Line oli lainvastaisesti tallentanut työntekijöiden diagnoositietoja henkilöstöhallinnon järjestelmään, oli osa tiedoista ollut myös virheellisiä. Seuraamuskollegio piti yhtiön toimintaa tältä osin erityisen moitittavana. Terveystiedot olisi myös pitänyt poistaa heti, kun niiden säilyttämiselle ei enää ollut tarvetta.
Henkilötietojen käsittelystä on kerrottava läpinäkyvästi
Viking Line ei ollut kertonut työntekijöilleen asianmukaisesti henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu määräsi yhtiön korjaamaan toimintaansa ja kertomaan työntekijöille henkilötietojen käsittelystä tietosuoja-asetuksen vaatimusten mukaisesti.
Apulaistietosuojavaltuutettu toteaa lisäksi, että yhtiön olisi pitänyt toimittaa työntekijälle kaikki tämän pyytämät tiedot.
Huomautus ja seuraamusmaksu tietosuojarikkomuksista
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Viking Line Oy Abp:lle 230 000 euron seuraamusmaksun useista tietosuojalainsäädännön rikkomuksista. Yhtiölle annettiin myös huomautus.
Seuraamuskollegio korosti, että virheellisiäkin diagnoositietoja on säilytetty huomattavan pitkään. Virheelliset diagnoositiedot voivat aiheuttaa riskin henkilöiden oikeusturvalle.
Asia ratkaistiin yhteistyössä Ruotsin, Norjan ja Viron tietosuojaviranomaisen kanssa.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset Finlexissä
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.