Ovatko monimuotoisuus-kartoitukset mahdollisia Suomessa?

Organisaatioiden monimuotoisuus ja inklusiivisuus ovat vastuullisuuden keskeisiä elementtejä ja samalla kilpailukykytekijöitä. Erityisesti kansainvälisillä organisaatioilla on jo laajasti käytössä monimuotoisuuteen liittyviä tavoitteita ja menettelytapoja monimuotoisuuden mittaamiseksi. Suomessa työelämän tietosuojasääntely asettaa kuitenkin merkittäviä rajoituksia monimuotoisuusdatan keräämiselle. Monimuotoisuuden johtaminen dataa hyödyntäen ei kuitenkaan ole Suomessa mahdotonta.

Juridiset lähtökohdat monimuotoisuusdatan keräämiselle

Henkilötietoa on kaikki tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötiedon avulla henkilö voidaan tunnistaa suoraan tai välillisesti, esimerkiksi eri tietoja yhdistäen. Esimerkkeinä henkilötiedoista voidaan mainita nimen ohella sähköpostiosoite, auton rekisterinumero, IP-osoite ja vaikka lemmikkieläimen nimi. Tietosuojasääntely soveltuu henkilötietojen käsittelyyn.

Työnantaja saa kerätä työntekijästä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja. Tästä tiukasta tarpeellisuusvaatimuksesta ei voi poiketa edes työntekijän suostumuksella.

Monimuotoisuuskartoituksiin tarvittavat henkilötiedot ovat yleensä niin sanottuja erityisiin henkilötietoryhmiin kuuluvia tietoja. Tällaisina arkaluonteisina henkilötietoina pidetään esimerkiksi tietoja, joista ilmenee rotu, etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, terveydentila tai seksuaalinen suuntautuminen. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kiellettyä. Poikkeaminen tästä pääsäännöstä on mahdollista ainoastaan hyvin rajoitetuissa tilanteissa.

Edellä kuvatut rajoitukset tekevät käytännössä mahdottomaksi kerätä erityisiin henkilötietoryhmiin kuuluvia tietoja yksinomaan monimuotoisuusjohtamisen tueksi ja organisaation monimuotoisuuden mittaamiseksi. Tietosuojalainsäädännön asettamia rajoitteita ei myöskään voi kiertää ulkoistamalla henkilötietojen keräämistä ja käsittelyä ulkopuoliselle palveluntarjoajalle.

Toisaalta on hyvä huomata, että työnantajilla on joka tapauksessa tietoa tietyistä organisaation monimuotoisuuden osatekijöistä, kuten esimerkiksi työntekijöiden sukupuolesta ja iästä. Näitä tietoja käytetään jo nyt tasa-arvosuunnittelussa, eikä lainsäädäntömme estä sitä, että näitä tietoja käytettäisiin osana laajempia monimuotoisuuskartoituksia. Kuten muunkin työntekijöiden henkilötietojen käsittelyn osalta, on kuitenkin syytä huomioida, että tietojen käsittelyn on oltava läpinäkyvää ja siitä on informoitava etukäteen.

Anonyymi data monimuotoisuuden mittaamisen välineenä

Anonyymi tieto ei ole oikeudellisesti arvioiden henkilötietoa eli tietosuojalainsäädännön henkilötietojen käsittelyä koskevat rajoitukset eivät sovellu anonyymin tiedon keräämiseen. Aidosti anonyymin monimuotoisuusdatan kerääminen on siten lainsäädäntömme puitteissa mahdollista.

Lähtökohtaisesti monimuotoisuusdataa kerätään kokonaiskuvan muodostamiseksi organisaation monimuotoisuudesta ja sen kehityksestä. Tämän tiedontarpeen myös anonyymi data yleensä täyttää hyvin.

Käytännössä työnantaja voi kerätä monimuotoisuusdataa toteuttamalla anonyymin kyselyn, johon vastaaminen on vapaaehtoista. Vastaajia koskevat taustakysymykset (esimerkiksi osasto/tiimi, sukupuoli ja ikä) tulee laatia niin laajoiksi, ettei vastaajaa voida näiden taustatietojen perusteella tunnistaa. Samoin kysely on suositeltavaa toteuttaa niin, ettei kyselyyn vastaajaa voida tunnistaa myöskään vastaamisessa käytettävän laitteen tai yhteyden IP-osoitteen perusteella.

Monimuotoisuuskeskustelut ja monimuotoisuusdatan kerääminen työpaikalla voivat herättää henkilöstössä yksityisyydensuojaan liittyviä kysymyksiä ja huolta. Siksi työnantajan on myös olennaista kattavasti tiedottaa henkilöstöä siitä, miksi kysely tehdään ja korostaa, ettei työnantajalla ole mahdollisuutta selvittää, ketkä kyselyyn ovat vastanneet ja miten.

Työnantaja saa kerätä työntekijästä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja.

Henkilöstökyselyt monimuotoisuuden mittaamisen välineinä

Henkilöstökyselyt ovat tyypillisesti matalan kynnyksen keino monimuotoisuusdatan keräämiseksi. Useimmissa organisaatioissa tehdään henkilöstökysely joka tapauksessa vuosittain. Organisaation monimuotoisuutta käsittelevien kysymysten lisääminen henkilöstökyselyyn on tyypillisesti yksinkertaista.

Henkilöstökysely voi olla anonyymi, mutta mikäli näin ei ole, tietosuojalainsäädäntö ei estä kysymästä nimetyiltäkin henkilöiltä heidän havaintojaan ja näkemyksiään työnantajan organisaation moninaisuuteen liittyvistä teemoista. Samojen kysymysten esittäminen vuosittain tuo työnantajalle konkreettista tietoa organisaation monimuotoisuudesta ja sen kehityksestä.

Jos henkilöstökyselyyn vastataan tai voidaan vastata omalla nimellä, olennaista on, ettei työnantaja esitetyillä kysymyksillä tai väitteillä pyri selvittämään vastaajien henkilökohtaisia ominaisuuksia vaan sitä, mitä havaintoja he ovat organisaatiosta tehneet. Usein kysymyksiin vastaaminen tapahtuu esimerkiksi ottamalla kantaa yleisen väitteen paikkansa pitävyyteen numeerisen arvioinnin tai muun asteikon kautta (esim. “Sukupuoli ei vaikuta urakehitykseen työpaikallani”, “Olen havainnut, että työpaikalla syrjitään maahanmuuttajataustaisia työntekijöitä”). Mikäli avoimia kysymyksiä käytetään, työnantajan on suositeltavaa ohjeistaa, ettei vastauksissa tule nimetä yksittäisiä työyhteisön jäseniä.

Henkilöstökysely on myös hyvä tapa selvittää henkilöstön näkemyksiä siitä, miten työpaikalla voidaan edistää monimuotoisuutta ja inklusiivisuutta ja miten jo päätetyt toimenpiteet ovat toteutuneet. Näitä tietoja voidaan käyttää lakisääteisen yhdenvertaisuussuunnittelun osana.

Työnantajan toiminta yksittäistapauksessa

Edellä kuvatut tietosuojalainsäädännön asettamat rajoitukset eivät luonnollisesti estä sitä, että työntekijä paljastaa arkaluontoisiakin tietoja itsestään työnantajalle yksittäistapauksessa, esimerkiksi ilmoittaessaan HR:lle kokemastaan syrjinnästä. Työnantajalla on oikeus kerätä ja käsitellä näitä tietoja ja lisäksi lakisääteinen velvollisuus puuttua tilanteeseen. Työnantajalla on puuttumisvelvollisuus myös siinä tilanteessa, jossa esimerkiksi monimuotoisuusdatan keräämisen yhteydessä selviää, että organisaatiossa noudatetaan syrjiviä käytäntöjä.

More by the same author

DORA Is Now Applicable – Key Implications for ICT Service Providers

EU’s Digital Operational Resilience Act (2022/2554, “DORA”) became applicable on 17 January 2025. This regulation strengthens the digital resilience of the financial sector and addresses outsourcing risks, as previously detailed in our Quarterly article. While financial entities are the main focus of DORA, it applies also to ICT service providers providing services to the financial sector.

New Cyber Security Requirements for Connected Products

The new EU regulation complementing the cyber security regulatory framework − the Cyber Resilience Act (EU) 2024/2847 (“CRA”) − has been adopted and published in the Official Journal of the EU. The CRA aims to improve cyber security of the connected products at the EU market. It will have significant implications for manufacturers, importers and distributors of products with digital elements across the EU.

Implementation of the NIS2 Directive in Finland: New Cyber Security Requirements for Critical Sector Businesses and Entities

On 23 May 2024, Finland took a significant stride towards strengthening its cyber security legislation when the Government submitted to the Parliament a proposal (HE 57/2024 vp) to implement the EU Directive on Measures for a High Common Level of Cybersecurity across the Union (Directive (EU) 2022/2555, the “NIS2 Directive“). This legislative initiative aims to bolster cyber security measures across various critical sectors, reflecting a heightened regulatory focus on risk management and incident reporting. The proposed Cybersecurity Act, along with amendments to existing legislation, notably to the Act on Information Management in Public Administration (906/2019 as amended), is scheduled to be applicable as of 18 October 2024. The proposal denotes a significant step towards more regulated cyber security and positioning the review and supervision of cyber security risks as a top management issue.

Latest insights

DORA Is Now Applicable - Key Implications for ICT Service Providers

Alert / 20 Jan 2025
Reading time 4 minutes

Government Proposal on New Tax Credit for Large Industrial Investments in Finland

Article / 20 Dec 2024
Reading time 2 minutes