Tietosuojavaltuutetun toimisto on määrännyt varustamoyhtiö Viking Linelle 230 000 euron hallinnollisen seuraamusmaksun työntekijöiden terveystietojen käsittelyyn liittyvistä tietosuojarikkomuksista.
Yhtiö on muun muassa tallentanut työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon tietojärjestelmään. Lisäksi puutteita havaittiin tavoissa, joilla yhtiö kertoi työntekijöille henkilötietojen käsittelystä.
Tietosuojavaltuutetun toimisto otti Viking Linen toiminnan selvitykseen entisen työntekijän kantelun vuoksi. Työntekijän mukaan hän ei ollut saanut kaikkia pyytämiään henkilötietoja, joita yhtiön järjestelmissä säilytettiin.
Viking Line oli työntekijän mukaan säilyttänyt hänen terveystietojaan henkilöstöhallinnon järjestelmässä 20 vuotta. Järjestelmään oli tallennettu muun muassa diagnoositiedot sairauspoissaoloa koskevien tietojen yhteyteen.
Varustamo ei toimittanut työntekijälle pyydettyjä diagnoositietoja, vaikka ne olivat varustamon hallussa.
Tietosuojavaltuutettu: useita vakavia puutteita
Tietosuojavaltuutetun mukaan Viking Linen henkilötietojen käsittelytavoissa on ollut useita vakavia puutteita. Diagnoositietojen tallentaminen muiden työsuhteeseen liittyvien tietojen yhteyteen oli laitonta.
Lisäksi osa tiedoista on ollut virheellisiä. Tietosuojavaltuutetun toimiston mukaan terveystiedot olisi myös pitänyt poistaa heti kun niiden säilyttämiselle ei ollut enää tarvetta.
Apulaistietosuojavaltuutettu on määrännyt Viking Linen korjaamaan toimintaansa ja kertomaan työntekijöilleen henkilötietojen käsittelystä.
Asia ratkaistiin yhteistyössä Ruotsin, Norjan ja Viron tietosuojaviranomaisen kanssa.
Viking Linen mukaan puutteet on korjattu
Viking Linen mukaan kaikki virheet tietosuojarikkeet on korjattu. Tietoja ole päätynyt vääriin käsiin, eikä henkilötietoja ole vaarantunut.
Tietoja on kuitenkin annettu poliisille. Esitutkinnassa lääkäri tai muu terveydenhuollon ammattilainen voi olla velvollinen todistamaan myös salassa pidettävistä potilastiedoista, kun kysymyksessä on rikos, josta säädetty rangaistus on vähintään kuusi vuotta vankeutta.
Tietosuojavaltuutetun mukaan tietojen luovutuksen taustalla olleessa rikosasiassa ei ole ollut kysymys tällaisesta rikoksesta. Tietosuojavaltuutetun toimiston mukaan tietoja ei olisi saanut antaa osaksi rikostutkintaa.
Tietosuojavaltuutetun päätös koski yksittäisen henkilön kantelua, mutta se koski Viking Linen mukaan osittain Suomen lipun alla työskentelevää henkilöstöä.
Varustamon MAPS-henkilöstöhallintojärjestelmä sisältää tietosuojavaltuutetun mukaan noin 6 000 ihmisen henkilötietoja. Osa näistä on Viking Linen entisiä ja osa nykyisiä työntekijöitä. Myös Viking Linen käyttämä Medakt-potilastietojärjestelmä on sisältänyt noin 19 350 potilaan henkilötietoja.
Potilaita voivat olla työntekijöiden lisäksi muun muassa laivoilla sairaastuneet matkustajat. Matkustajien tietoja järjestelmässä on ollut 13 750.
Uutista päivitetty klo 11.10: lisätty Viking Linen vastine.
Uutista päivitetty 15.12. klo 11.01: lisätty tiedot järjestelmissä olleiden henkilöiden määrästä ja poliisille annetuista tiedoista.