Lainsäädäntö säätelee tietosuojaa työelämässä

Työelämän tietosuojaa säätelee laki yksityisyyden suojasta työelämässä eli työelämän tietosuojalaki. Lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa.

Tietosuoja

Henkilötietojen suoja on perusoikeus, josta säädetään Suomen perustuslain (731/1999) 10.1 §:ssä:

"Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla.”

Henkilötietojen suojan periaate sisältyy myös Euroopan unionin perusoikeuskirjaan.

Työntekijöiden henkilötietojen käsittelyssä noudatetaan EU:n yleistä tietosuoja-asetusta (EU) 2016/679), jonka 88 artikla koskee työntekijän henkilötietojen käsittelyä. EU:n yleisen tietosuoja-asetuksen 88 artiklan 1. ja 2. kohdissa Säädetään seuraavasti: 

”Työntekijöiden henkilötietojen käsittely työsuhteen yhteydessä Jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseen ottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten."

"Näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin.” 

Kansallisena erityislakina työelämän tietosuojaa säätelee laki yksityisyyden suojasta työelämässä eli työelämän tietosuojalaki (759/2004). Tämän lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa.

Työelämän tietosuojalaissa säädetään siitä, miten yksityiselämän suojaa koskevat kysymykset turvataan nimenomaan työelämässä. Laki koskee vain työntekijän ja työnantajan välistä suhdetta. 

Lisäksi muun muassa sähköisen viestinnän palveluista annetussa laissa (917/2014) on yleisiä tietosuojaan liittyviä säännöksiä, joita sovelletaan myös työelämän tietosuojalain ohella.

Henkilötietojen käsittelyn yleiset periaatteet 

EU:n yleisen tietosuoja-asetuksen 5 artiklan yleisten tietosuojaperiaatteiden mukaan henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
  • käsiteltävä luottamuksellisesti ja turvallisesti.

Henkilötietojen käsittelyperusteet sisältyvät tietosuoja-asetuksen 6 artiklaan. Erityisiä (arkaluonteisia) henkilötietoryhmiä koskevasta käsittelystä säädetään tietosuoja-asetuksen 9 artiklan kohdissa 1. ja 2. b sekä tietosuojalaissa (1050/2018)

Kaikki henkilötietoihin kohdistuvat toimenpiteet suunnittelusta keräämiseen, käsittelyyn ja henkilötietojen poistamiseen ovat henkilötietojen käsittelyä. Tietosuojaperiaatteita on noudatettava koko henkilötietojen käsittelyn elinkaaren ajan.

Rekisteröidyn oikeudet tietosuoja-asetuksessa

Kun rekisterinpitäjä käsittelee henkilötietoja, sen on toteutettava asianmukaiset toimenpiteet rekisteröityjen tietosuojaoikeuksien toteuttamiseksi. Rekisterinpitäjän on myös helpotettava rekisteröidyn oikeuksien käyttämistä. 

Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus 

  • saada tietoa henkilötietojensa käsittelystä 
  • saada pääsy tietoihin 
  • oikaista tietoja 
  • poistaa tiedot ja tulla unohdetuksi 
  • rajoittaa tietojen käsittelyä 
  • siirtää tiedot järjestelmästä toiseen 
  • vastustaa tietojen käsittelyä 
  • olla joutumatta automaattisen päätöksenteon kohteeksi. 

Rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään. Työelämän käsittelytilanteet ovat useimmiten lakisääteisiä, jolloin oikeutta esim. tulla unohdetuksi taikka vastustusoikeutta ei voida soveltaa.

Työelämän tietosuojalaki 

Soveltamisala (2 §)

Lakia sovelletaan kaikilla aloilla kaikkiin palvelussuhteisiin ja myös soveltuvin osin työn- ja viranhakijoihin (2.2 §).

Tarpeellisuusvaatimus (3 §)

Työelämän tietosuojalain 3 §:ssä säädetään henkilötietojen käsittelyn tarpeellisuudesta. Sen mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta välittömästi tarpeellisia henkilötietoja, jotka

  1. liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen esimerkiksi työtehtävien suorittamiseen, työntekijän valintaan, työolosuhteisiin sekä työ- ja virkaehtosopimusten määräysten noudattamiseen liittyvät tiedot
     
  2.  liittyvät  työnantajan työntekijöille tarjoamiin etuuksiin kuten työnantajan tarjoamiin liikunta- tms. seteleihin ja alennuksiin sekä niiden käyttöön
     
  3. johtuvat työtehtävien erityisluonteesta ja voivat esimerkiksi liittyä ulkomaan komennuksille siirtyvän työntekijän perheolosuhteisiin, jos työnantaja huolehtii hänen lastensa koulutuksesta komennuksen aikana.

Työnantaja ei saa poiketa edes työntekijän suostumuksella vaatimuksesta, jonka mukaan tietojen on oltava välittömästi tarpeellisia työsuhteen kannalta.

Tietosuoja-asetuksen mukaan tietojen kerääminen on minimoitava: henkilötietoja on käsiteltävä vain siinä suhteessa, mikä on tarpeellista henkilötietojen käsittelyn tarkoituksiin nähden. Työnantajan on jo henkilötietojen keräämistä suunnitellessaan osoitettava, että tietojen kerääminen on tarpeellista ja ilmoitettava minkälaisten tehtävien hoitamiseen niitä kerätään. Tällainen arvio on tehtävä aina jokaisessa tapauksessa erikseen. Mikäli joidenkin henkilötietojen keräämisestä on erikseen säädetty jossakin muussa laissa, ei työnantajan tarvitse arvioida tällaisten henkilötietojen keräämisen tarpeellisuutta.

Työhönottotilanteissa työnantajan on arvioitava tietojen tarpeellisuutta henkilön hakeman työtehtävän kannalta. Kyseeseen tulevat lähinnä hakijan pätevyyttä ja sopivuutta osoittavat tiedot sekä lausunto työnhakijan terveydellisestä sopivuudestaan haettuun tehtävään.

Tarpeettomien tietojen hävittäminen

Työnantaja ei saa säilyttää vanhentuneita tai tarpeettomia tietoja. Asiaa koskevia, tietosuoja-asetuksen sekä tietosuojalain säännöksiä sovelletaan myös työelämässä. 

Lainsäädännössä on erityissäännöksiä henkilötietojen säilyttämisajoista, joita työnantajan on noudatettava. Tällaisia säännöksiä ovat esimerkiksi työsopimuslain, työaikalain ja kirjanpitolain mukaiset vanhentumisajat.

Julkishallinnossa on lisäksi erityismääräyksiä työntekijöiden ja virkamiesten henkilötietojen säilyttämisestä.

Tietojen kerääminen ja syrjintäkielto

Tarpeettomien tietojen kerääminen voi johtaa syrjintään, minkä vuoksi lainsäädännön syrjintäkielloilla on merkitystä henkilötietojen käsittelyssä alkaen niiden tarpeellisuuden arvioinnista.

Syrjinnän kieltoa koskevia säännöksiä on muun muassa perustuslaissa, työsopimuslaissa, yhdenvertaisuuslaissa, kunnallisen viranhaltijan palvelussuhdeturvasta annetussa laissa, naisten ja miesten tasa-arvosta annetussa laissa sekä rikoslaissa.

Työntekijän henkilötiedot (4 §)

Työnhakulomakkeiden kysymykset on laadittava siten, että niillä kerätään vain sellaisia tietoja, joilla on merkitystä työtehtävien hoitamisen kannalta.

Työelämän tietosuojalain 4.1 §:n mukaan työnantajan on kerättävä henkilötiedot ensi sijassa työntekijältä itseltään ja tämän suostumuksella muualta. Työntekijän suostumusta ei edellytetä, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. 

Jos työnantaja hankkii tietoja työntekijän luotettavuuden selvittämiseksi, on tästä työelämän tietosuojalain 4.2 §:n pykälän mukaan kerrottava työntekijälle. Kun työnantaja hankkii tietoja muualta kuin työntekijältä itseltään, on työnantajan kerrottava tästä sekä tietojen sisällöstä oma-aloitteisesti työntekijälle, ennen kuin tietoja käytetään työntekijää koskevaan päätöksentekoon.

Turvallisuusselvityslaissa (726/2014) säädetään niistä kunta-alan työtehtävistä, joissa voidaan käyttää turvallissuuselvityksiä. Nämä tehtävät kuuluvat turvallisuusselvityslain 21 §:n mukaisen suppeamuotoisen turvallisuusselvityksen piiriin.

Menettelystä, jolla alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustaa selvitetään, säädetään lasten kanssa työskentelevien rikostaustan selvittämisestä annetussa laissa (504/2002). Oikeudesta saada tietoja rikosrekisteristä säädetään rikosrekisterilaissa (770/1993).

Työnantajan on hyvä ottaa huomioon tietosuoja-asetuksen informointivelvollisuus. Tietosuoja-asetuksessa on säädetty rekisteröidylle annettavista tiedoista.


Tietosuojavaltuutetun kannanotto työnhakijoilta kysyttävistä tiedoista

Tietosuojavaltuutettu (TSV) antoi18.9.2006 kannanoton, jossa se totesi, että asevelvollisuutta tai terveydentilaa koskevien tietojen kysyminen rutiininomaisesti lomakkeilla kaikilta työnhakijoilta ei täytä lain 3 §:n ja 5 §:n vaatimuksia.

TSV:n seuraamuskollegio määräsi yritykselle 12 500 euron suuruisen seuraamusmaksun työnhakijoiden ja työntekijöiden henkilötietojen keräämisestä tarpeettomasti. Yritys keräsi tietoa muun muassa henkilöiden uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. (dnro 137/161/20, 20.5.2020, ei lainvoimainen)


Henkilöluottotietojen käsittely (5 a §)

Työnantajalla on oikeus saada ja käyttää vain työtehtävään jo valitun työnhakijan tai työtehtäviä saman työnantajan palveluksessa vaihtavan työntekijän henkilöluottotietoja silloin, kun tämän työtehtävät edellyttävät erityistä luotettavuutta ja niihin liittyy mahdollisuus laittoman taloudellisen hyödyn tavoitteluun.  

Työnantajan oikeus käyttää työnhakijan luottotietoja rajoittuu tehtäviin:

  • joihin sisältyy päätäntävaltaa tai itsenäistä harkintavaltaa tehdä merkittäviä taloudellisia sitoumuksia
  • joissa tehtävänä on taloudellisesti merkittävien luottojen myöntäminen ja valvonta
  • joiden hoitamiseksi työnantaja antaa pääsyn työnantajan tai tämän asiakkaan suojattuihin liike- ja ammattisalaisuuksiin
  • joiden hoitaminen edellyttää sellaisia tietojärjestelmän käyttöoikeuksia, joiden avulla voidaan siirtää työnantajan tai tämän asiakkaan varoja tai muuttaa niihin liittyviä tietoja
  • joiden olennaisena osana on käsitellä ilman välitöntä valvontaa arvoltaan merkittävää määrää rahaa, arvopapereita tai arvoesineitä
  • jotka ovat työnantajan tai tämän asiakkaan omaisuuden vartiointitehtäviä tai
  • joiden luonteeseen pääsääntöisesti kuuluu valvomaton työskentely yksityiskodissa.  

Jos työnantaja hankkii itse luottotiedot, on hänen ilmoitettava työntekijälle, mistä rekisteristä tiedot on hankittu. Työnantaja vastaa aina luottotietojen hankinnasta aiheutuvista kuluista. Henkilöluottotietoja luovuttavat yritykset voivat luovuttaa työnantajalle työntekijän luottotietoja vain laissa tarkoitetuilla perusteilla.

Muualla verkossa

Yhteystiedot

Ritva Liivala

työmarkkinalakimies
Puhelin:
+358 9 771 2294
Matkapuhelin:
+358 50 357 4227
Sähköposti:
Ritva.Liivala@kt.fi
Organisaatio:
KT Kuntatyönantajat
Yleiset palvelussuhdeasiat