Millaisia tietosuojaan liittyviä asioita hoitajat tyypillisesti kysyvät?
– SuPerin jäseniltä tulee yhteydenottoja esimerkiksi siitä, saako työnantaja laittaa seinälle työntekijöiden kuvat nimineen tai onko työntekijän pidettävä nimineulaa. Kysymyksiä tulee myös siitä, saako työnantaja laittaa loma- tai sairauslomatietoja kaikkien nähtäville. Toisinaan esiin tulee myös tilanteita, joissa hoitaja epäilee, että hänen terveydentilatietojaan on vuodettu kollegoille, joiden ei niistä pitäisi tietää.
Missä tilanteissa voidaan puhua tietoturvaloukkauksesta?
– Kyseessä on tietoturvaloukkaus, jos henkilötietoja päätyy sellaisen tahon käsiin, jolla ei ole oikeutta nähdä tai käsitellä kyseisiä tietoja. Tietoturvaloukkauksesta voidaan puhua myös silloin, jos tietojen eheys tai saatavuus vaarantuvat eli jos tiedot eivät ole ajan tasalla tai rekisteröity henkilö ei pääse käsiksi omiin tietoihinsa.
Millaisia henkilötietoja työnantaja saa julkaista esimerkiksi työpaikkojen seinillä?
– Laki ei estä työntekijän niin sanottujen tavallisten henkilötietojen, kuten nimien tai lomien julkaisemista. Olisi kuitenkin hyvän tavan mukaista pyytää työntekijältä suostumus niiden julkaisemiseen. Erityisiä henkilötietoja, kuten sairauslomatietoja, ei kuitenkaan saa laittaa kaikkien nähtäville.
Työnantajat ovat julkaisseet työpaikkojen seinillä listoja rokotetuista työntekijöistä. Saako näin tehdä?
– Terveystiedot ovat erityisiä henkilötietoja, eikä niitä saa julkaista ilman rekisteröidyn suostumusta. Jos työpaikalla kuitenkin näin tehdään, kyseessä on tietoturvaloukkaus.
Mitä työntekijä voi tehdä, jos tietoturvaloukkaus on tapahtunut?
– Työntekijän tulee ottaa yhteyttä työpaikan tietosuojavastaavaan ja kertoa, mitä on käynyt. Jos kyseessä on tietoturvaloukkaus, on työpaikan työsuojavastaavan oltava yhteydessä tietosuojavaltuutetun toimistoon, jossa tapaus selvitetään. Tietosuojavaltuutetun toimistossa myös arvioidaan, mitä haittaa rekisteröidylle on tietoturvaloukkauksesta koitunut tai mitä siitä olisi voinut koitua.
Onko kaikissa hoito- ja hoivayksiköissä oltava tietosuojavastaava?
– Tietosuojavastaava on nimettävä niissä organisaatioissa, joissa käsitellään erityisiä henkilötietoja, kuten terveystietoja. Käytännössä siis kaikissa hoitosektorin organisaatioissa on oltava tietosuojavastaava.
Kuinka selvillä hoito- ja hoiva-alan työnantajat ovat tietosuojaan liittyvistä asioista?
– SuPeriin tulleiden yhteydenottojen perusteella työnantajilla on selkeitä puutteita näissä tiedoissa. Esimerkiksi työpaikkojen seinillä julkaistaan yhä erilaisia listoja, joissa on arkaluonteisia henkilötietoja. Työntekijöiden kannattaa myös itse olla tietoisia omista oikeuksistaan. Työpaikan tietosuojavastaavaan kannattaa aina olla yhteydessä, jos epäilee, että omaa tietosuojaa on loukattu.
Yksityishenkilöiden tietosuoja vahvistui EU:n tietosuoja-asetuksen myötä
- EU:n tietosuoja-asetus astui voimaan toukokuussa 2018. Asetus toi kansalaisille entistä paremmat mahdollisuudet hallita omia tietojaan.
- Rekisteröidyllä henkilöllä eli henkilöllä, jonka tietoja jokin taho käsittelee, on oikeus päästä käsiksi omiin tietoihinsa kohtuullisen ajan sisällä.
- Rekisteröidyllä henkilöllä on myös oikeus oikaista omia tietojaan. Henkilötietoja käsittelevällä taholla eli rekisterinpitäjällä on puolestaan velvollisuus korjata väärät tiedot viipymättä.
- Rekisteröidyllä henkilöllä on lisäksi oikeus tulla unohdetuksi. Tämä tarkoittaa, että rekisterinpitäjän on poistettava kaikki henkilöä koskevat tiedot, jos niiden käsittelyyn ei ole enää asianmukaista oikeusperustetta eikä tietoja tarvita niiden alkuperäiseen käyttöön.