Muutoksia henkilötietojen käsittelyyn työelämässä
Työelämän tietosuojalain muutokset tulivat voimaan huhtikuun alussa. Ne tehtiin, koska lakia oli täsmennettävä EU:n yleisen tietosuoja-asetuksen, henkilötietolain kumoamisen ja rikoslain muutosten vuoksi. Muutokset koskevat muun muassa työntekijän terveydentilaa koskevien tietojen säilyttämistä ja kameravalvontaa.
EU:n yleinen tietosuoja-asetus on ollut jäsenvaltioissa suoraan sovellettavaa ja velvoittavaa oikeutta 25.5.2018 alkaen.
Tietosuoja-asetus sisältää kansallista liikkumavaraa, jonka puitteissa jäsenvaltiot voivat antaa asetusta täydentävää ja täsmentävää lainsäädäntöä. Suomessa tämän liikkumavaran puitteissa annettiin 1.1.2019 voimaan tullut tietosuojalaki (1050/2018). Tietosuojalaki täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta ja sitä sovelletaan rinnakkain sen kanssa. Tietosuojalailla kumottiin myös henkilötietolaki.
Tietosuoja-asetuksen 88 artiklassa säädetään henkilötietojen käsittelystä työsuhteen yhteydessä.
Asetuksen mukaan jäsenvaltiot voivat antaa lakisäädännöllä tai työehtosopimuksilla yksityiskohtaisempia sääntöjä siitä, miten työntekijöiden henkilötietoja käsitellään työsuhteen yhteydessä. Näihin sääntöihin on sisällytettävä suojatoimenpiteitä työntekijän oikeutettujen etujen ja perusoikeuksien suojaamiseksi etenkin tietojenkäsittelyn läpinäkyvyyden, konsernin sisäisten henkilötietojen siirtojen ja työpaikan valvontajärjestelmien osalta.
Työelämän tietosuojalakiin eli lakiin yksityisyyden suojasta työelämässä (759/2004) tehtiin täsmennyksiä
Työ- ja elinkeinoministeriö asetti 21.9.2017 kolmikantaisen työryhmän selvittämään sitä, miten työelämän tietosuojalainsäädäntö vastasi EU:n yleistä tietosuoja-asetusta. Sen tehtäväksi annettiin myös tehdä ehdotukset lainsäädännön mahdollisista muutostarpeista.
Työryhmän mielestä yksityisyyden suojasta työelämässä annetun lain henkilötietojen käsittelyä koskevat säännökset olivat pääsääntöisesti kansallisen liikkumavaran puitteissa. Työryhmä ehdotti lakiin lähinnä tietosuoja-asetuksesta, henkilötietolain kumoamisesta ja rikoslain muuttamisesta johtuvia muutoksia.
Hallituksen esitys yksityisyyden suojasta työelämässä annetun lain muutoksiksi (HE 97/2018) annettiin eduskunnalle heinäkuussa 2018 ja lakiehdotus hyväksyttiin 12.2.2019.
Lain hyväksymisen yhteydessä eduskunta edellytti, että hallitus selvittää viipymättä ja kolmikantaisesti millaisia mahdollisia muutostarpeita liittyy lain 4.1 §:ään, joka koskee työntekijöiden luotettavuuden selvittämistä. Pykälää koskevassa valmistelussa on pyrittävä tasapainoiseen ratkaisuun työntekijöiden yksityisyyden suojan ja työnantajien tiedonkäsittelytarpeiden välillä. Valmistelussa on myös otettava huomioon tietosuojavaltuutetun tulkintakäytäntö, lainsäädännön kehitys sekä tarvittaessa direktiiviehdotus unionin oikeuden rikkomisesta ilmoittavien suojelusta.
Yksityisyyden suojasta työelämässä annetun lain (347/2019) 1.4.2019 voimaan tulevat muutokset pykälittäin
5 §. Terveydentilaa koskevien tietojen käsittely
Pykälän 4 momenttia on täydennetty siten, että terveydentilaa koskevat tiedot on poistettava välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa tarkoitettua perustetta. Käsittelyn perustetta ja tarvetta on arvioitava vähintään viiden vuoden välein.
16 §. Kameravalvonnan edellytykset
Tietosuoja-asetuksen 6–7 artiklan mukaan rekisteröidyn suostumus on yksi lainmukainen käsittelyperuste henkilötietojen käsittelylle. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Päällekkäisen sääntelyn välttämiseksi pykälän 2 momentista on poistettu vaatimus siitä, että kameravalvonnan kohdentaminen tiettyyn työpisteeseen edellyttää työnantajan ja työntekijän sopimista siitä.
24 §. Rangaistussäännös
Pykälän 1 momentin tekotapojen luettelon 1 kohdasta on poistettu 4 §:n 2 momentin rikkominen. Työntekijän henkilötietojen käsittelyä koskevien säännösten rikkomisen johdosta voidaan määrätä tietosuoja-asetuksen 83 artiklan nojalla hallinnollinen sakko.
Rangaistussäännökseen on lisätty myös uusi 2 kohta, jonka mukaan rangaistavaa olisi käsitellä työntekijän terveydentilaa koskevia tietoja lain 5.1 §:n vastaisesti. Rikoslain henkilörekisteririkoksen nimikkeen kumoamisen jälkeen oli perusteltua lisätä työntekijän terveydentilatietojen käsittelyä koskevien säännösten rikkominen rangaistussäännökseen. Tämän lainkohdan rikkominen ei kuulu hallinnollisen sakon soveltamisalaan.
Rangaistavuuden piirissä on säilytetty sellaiset tekotavat, joiden rangaistavuuden ei voida katsoa olevan tietosuoja-asetuksen hallinnollisen sakon kanssa päällekkäistä. Pykälän 2 momentin viittaus rikoslain henkilörekisteririkosta koskevaan säännökseen on muutettu viittaukseksi tietosuojarikokseen.
Muualla verkossa
Laki yksityisyyden suojasta työelämässä annetun lain muuttamisesta (347/2019) 25.3.2019 >
