Lainsäädäntö säätelee tietosuojaa työelämässä

Työelämän tietosuojaa säätelee laki yksityisyyden suojasta työelämässä eli työelämän tietosuojalaki. Lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa.

Tietosuoja

Työelämän tietosuojalaissa (759/2004) säädetään siitä, miten yksityiselämän suojaa koskevat kysymykset turvataan nimenomaan työelämässä. Laki koskee vain työntekijän ja työnantajan välistä suhdetta.

Lakia sovelletaan kaikilla aloilla kaikkiin palvelussuhteisiin ja myös soveltuvin osin työn- ja viranhakijoihin.

Lisäksi henkilötietolaissa (523/1999) ja tietoyhteiskuntakaaressa (917/2014) on yleisiä tietosuojaan liittyviä säännöksiä, joita sovelletaan myös työelämässä tietosuojalain ohella.   

Henkilötietojen käsittelyn yleiset edellytykset

Tarpeellisuusvaatimus (3 §)

Työelämän tietosuojalain 3 §:ssä säädetään henkilötietojen käsittelyn tarpeellisuudesta. Sen mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta välittömästi tarpeellisia henkilötietoja, jotka

  1. liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen esimerkiksi työtehtävien suorittamiseen, työntekijän valintaan, työolosuhteisiin ja työ- ja virkaehtosopimusten määräysten noudattamiseen liittyvät tiedot
     
  2.  liittyvät  työnantajan työntekijöille tarjoamiin etuuksiin kuten työnantajan tarjoamiin liikunta- tms. seteleihin ja alennuksiin sekä niiden käyttöön
     
  3. johtuvat työtehtävien erityisluonteesta ja voivat esimerkiksi liittyä ulkomaan komennuksille siirtyvän työntekijän perheolosuhteisiin, jos työnantaja huolehtii hänen lastensa koulutuksesta komennuksen aikana.

Työnantaja ei saa poiketa edes työntekijän suostumuksella vaatimuksesta, jonka mukaan tietojen on oltava välittömästi tarpeellisia työsuhteen kannalta.

Työnantajan on jo henkilötietojen keräämistä suunnitellessaan osoitettava, että tietojen kerääminen on tarpeellista ja ilmoitettava minkälaisten tehtävien hoitamiseen niitä kerätään. Tällainen arvio on tehtävä aina jokaisessa tapauksessa erikseen. Mikäli joidenkin henkilötietojen keräämisestä on erikseen säädetty jossakin muussa laissa, ei työnantajan tarvitse arvioida tällaisten henkilötietojen keräämisen tarpeellisuutta.

Työhönottotilanteissa työnantajan on arvioitava tietojen tarpeellisuutta henkilön hakeman työtehtävän kannalta. Kyseeseen tulevat lähinnä hakijan pätevyyttä ja sopivuutta osoittavat tiedot sekä lausunto työnhakijan terveydellisestä sopivuudestaan haettuun tehtävään.

Tarpeettomien tietojen hävittäminen

Työnantaja ei saa säilyttää vanhentuneita tai tarpeettomia tietoja. Asiaa koskevia henkilötietolain säännöksiä sovelletaan myös työelämässä. Sovellettavaksi tulevat ainakin henkilötietolain 9 §:n 2 momentti, 29 §, 34 ja 35 §:t sekä 48 §:n 2 momentti.

Lainsäädännössä on erityissäännöksiä henkilötietojen säilyttämisajoista, joita työnantajan on noudatettava. Tällaisia säännöksiä ovat esimerkiksi työsopimuslain, työaikalain ja kirjanpitolain mukaiset vanhentumisajat.

Julkishallinnossa on lisäksi erityismääräyksiä työntekijöiden ja virkamiesten henkilötietojen säilyttämisestä.

Tietojen kerääminen ja syrjintäkielto

Tarpeettomien tietojen kerääminen voi johtaa syrjintään, minkä vuoksi lainsäädännön syrjintäkielloilla on merkitystä henkilötietojen käsittelyssä alkaen niiden tarpeellisuuden arvioinnista.

Syrjinnän kieltoa koskevia säännöksiä on muun muassa perustuslaissa, työsopimuslaissa, yhdenvertaisuuslaissa, kunnallisen viranhaltijan palvelussuhdeturvasta annetussa laissa, naisten ja miesten tasa-arvosta annetussa laissa sekä rikoslaissa.

Työntekijän henkilötiedot (4 §)

Työnhakulomakkeiden kysymykset on laadittava siten, että niillä kerätään vain sellaisia tietoja, joilla on merkitystä työtehtävien hoitamisen kannalta.

Työnantajan on kerättävä henkilötiedot ensi sijassa työntekijältä itseltään ja tämän suostumuksella muualta. Työntekijän suostumusta ei edellytetä, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi.

Jos työnantaja hankkii tietoja työntekijän luotettavuuden selvittämiseksi, on tästä kerrottava työntekijälle ennen tietojen hankkimista. Kun työnantaja hankkii tietoja muualta kuin työntekijältä itseltään, on työnantajan kerrottava tästä sekä tietojen sisällöstä oma-aloitteisesti työntekijälle, ennen kuin tietoja käytetään työntekijää koskevaan päätöksentekoon.

Turvallisuusselvityslaissa (726/2014) säädetään niistä kunta-alan työtehtävistä, joissa voidaan käyttää turvallissuuselvityksiä.

Tietojen keruu kuuluu yt-menettelyn piiriin

Sekä palvelussuhteen aikana että sen alkaessa kerättävät tiedot kuuluvat yhteistoimintamenettelyn piiriin.

Työnantajan on neuvoteltava henkilöstön edustajien kanssa, kun se päättää uusien henkilötietojärjestelmien käyttöönotosta ja niiden sisällöstä tai muista kerättävistä tiedoista mukaan lukien erilaisilla testeillä saatavat tiedot. Yt- menettelyssäkään ei voida sopia sellaisten tietojen keräämisestä, jotka eivät täytä lain tarpeellisuusvaatimusta.

Terveydentilatietojen käsittely (5 §)

Työnantaja saa käsitellä eli vastaanottaa, tallentaa, käyttää päätöksenteossa ja luovuttaa työntekijän terveydentilaa koskevia tietoja vain, jos työntekijä itse toimittaa ne hänelle tai jos työntekijä on antanut kirjallisen suostumuksen tällaisten tietojen luovuttamisesta työnantajalle.

Työnantaja ei kuitenkaan saa käsitellä edes työntekijän suostumuksella kaikkia terveydentilaa koskevia tietoja.

Työnantajalla on oikeus käsitellä työntekijän diagnoositietoja sisältäviä terveydentilaa koskevia tietoja,

  1. jos tämä on tarpeen sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi (esimerkiksi palkallinen lääkärissäkäynti tutkimuksia varten)
     
  2. jos tämä on tarpeen sen selvittämiseksi, onko työstä poissaoloon perusteltu syy
     
  3. jos työntekijä nimenomaisesti haluaa selvitettävän työkykyisyyttään po. tietojen perusteella
     
  4. niissä tilanteissa ja siinä laajuudessa kuin muualla, kuten työturvallisuutta ja työterveyttä koskevassa lainsäädännössä, erikseen säädetään.

Työnantajan oikeus käsitellä työntekijän yksityiskohtaisia terveydentilaa koskevia tietoja ei kuitenkaan tarkoita sitä, että työntekijällä on velvollisuus toimittaa diagnoositiedot sisältävä lääkärintodistus työnantajalle.

Eri alojen virka- ja työehtosopimuksissa on asetettu palkallisen sairausloman saamisen ehdoksi se, että työntekijä esittää hyväksyttävän eli diagnoosin sisältävän lääkärintodistuksen työkyvyttömyysajastaan työnantajalle. Työntekijällä on kuitenkin potilasoikeuslain 13 §:n mukaan ehdoton oikeus päättää potilastietojensa luovuttamisesta. Siten työnantaja joutuu myöntämään sairausloman palkattomana, jos työntekijä esittää lääkärintodistuksen, jossa ei ole yksityiskohtaista diagnoositietoa. Näissä tapauksissa työntekijä saa hakea itse sairausvakuutuslain mukaisen päivärahan. Työnantajan on arvioitava mahdollista palvelussuhteen irtisanomista tai purkamista sen perusteella, onko työstä poissaolo ollut perusteetonta esimerkiksi työsopimuslain perusteella.  

Työnantaja voi käsitellä työntekijän terveydentilaa koskevia tietoja myös, jos työntekijä nimenomaisesti haluaa työkykyisyyttään selvitettävän tällaisten tietojen perusteella. Kysymykseen tulevat esimerkiksi tiedot, joilla on merkitystä työntekijän terveyden ja työpaikan työolosuhteiden kehittämiselle tai jos työntekijä haluaa selvittää alentunutta työkykyään ilman, että siihen käytetään työterveyshuollon palveluja.

Työnantajalla on lisäksi oikeus käsitellä työntekijän terveydentilatietoja niissä tilanteissa ja siinä laajuudessa kuin muualla lainsäädännössä, kuten työturvallisuutta ja työterveyttä koskevissa laeissa, erikseen säädetään. Työnantaja voi käsitellä muun muassa työterveyshuollon antamia terveystarkastukseen perustuvia lausuntoja työntekijän työkykyisyydestä tehtävään, jos arviossa ei ole yksityiskohtaisia diagnoositietoja.

Edellä sanottu koskee myös työnhakijaa. Työnhakulomakkeissa ei saa kysyä yksityiskohtaisia terveystietoja, vaan kysymykset on tehtävä niin, että niillä hankitaan vain tietoja, joilla on merkitystä työtehtävien hoitamisen kannalta.

Työntekijän terveydentilaa koskevien tietojen käsittely työpaikalla

Työntekijän terveydentilaa koskevia tietoja saavat käsitellä vain ne henkilöt, jotka valmistelevat näiden tietojen pohjalta päätöksiä tai panevat niitä täytäntöön. Tästä syystä työnantajan on nimettävä terveydentilatietoja käsittelevät henkilöt tai määriteltävä ne tehtävät, joihin sisältyy terveydentilaa koskevien tietojen käsittelyä.

Työntekijöiden terveydentilatietoja käsittelevät henkilöt myös vaitiolovelvollisia eivätkä he saa ilmaista tietoja sivullisille. Vaitiolovelvollisuus jatkuu palvelussuhteen päätyttyäkin.

Työntekijän terveydentilaa koskevia tietoja on säilytettävä erillään muista työnantajan keräämistä henkilötiedoista. Nämä arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole perustetta. Työnantajan on muutoinkin arvioitava tietojen säilyttämisen tarvetta vähintään viiden vuoden välein (henkilötietolaki 12.2 §).

Henkilöluottotietojen käsittely (5 a §)

Työnantajalla on oikeus saada ja käyttää vain työtehtävään jo valitun työnhakijan tai työtehtäviä saman työnantajan palveluksessa vaihtavan työntekijän henkilöluottotietoja, kun tämän työtehtävät edellyttävät erityistä luotettavuutta ja niihin liittyy mahdollisuus laittoman taloudellisen hyödyn tavoitteluun.  

Työnantajan oikeus käyttää työnhakijan luottotietoja rajoittuu tehtäviin:

  • joihin sisältyy päätäntävaltaa tai itsenäistä harkintavaltaa tehdä merkittäviä taloudellisia sitoumuksia
  • joissa tehtävänä on taloudellisesti merkittävien luottojen myöntäminen ja valvonta
  • joiden hoitamiseksi työnantaja antaa pääsyn työnantajan tai tämän asiakkaan suojattuihin liike- ja ammattisalaisuuksiin,
  • joiden hoitaminen edellyttää sellaisia tietojärjestelmän käyttöoikeuksia, joiden avulla voidaan siirtää työnantajan tai tämän asiakkaan varoja tai muuttaa niihin liittyviä tietoja
  • joiden olennaisena osana on käsitellä ilman välitöntä valvontaa arvoltaan merkittävää määrää rahaa, arvopapereita tai arvoesineitä
  • jotka ovat työnantajan tai tämän asiakkaan omaisuuden vartiointitehtäviä tai
  • joiden luonteeseen pääsääntöisesti kuuluu valvomaton työskentely yksityiskodissa.  

Työnantaja hankkiessa itse luottotiedot on työntekijälle ilmoitettava, mistä rekisteristä tiedot on hankittu. Työnantaja vastaa aina luottotietojen hankinnasta aiheutuvista kuluista. Henkilöluottotietoja luovuttavat yritykset voivat luovuttaa työnantajalle työntekijän luottotietoja vain laissa tarkoitetuilla perusteilla.

Yhteystiedot

Ritva Liivala

työmarkkinalakimies
Puhelin:
+358 9 771 2294
Matkapuhelin:
+358 50 357 4227
Sähköposti:
Ritva.Liivala@kt.fi
Organisaatio:
KT Kuntatyönantajat
Yleiset palvelussuhdeasiat