Työelämän tietosuojasääntely on mennyt rikki – mutta purukumilla me paikkaamme sen

Työelämän kehityksen trendit – digitalisaatio, alustatalouskehitys, datan merkityksen kasvu sekä jatkuva kansainvälistyminen – ovat haastaneet Suomen työelämän tietosuojalainsäädännön 2000-luvun alkuvuosina rakentuneet lähtökohdat. Suomessa työntekijöiden henkilötietojen käsittelyn sääntely eroaa poikkeuksellisella tavalla muiden EU-jäsenvaltioiden tietosuojalainsäädännöstä, jossa työntekijöiden henkilötietojen käsittely perustuu pitkälti yleiseen tietosuoja-asetukseen (EU 2016/679).

Yleinen tietosuoja-asetus antaa jäsenvaltioille rajoitettua kansallista liikkumavaraa työsuhteen yhteydessä käsiteltävien henkilötietojen osalta. Jätettäessä keväällä 2019 työelämän tietosuojalaki (759/2004) voimaan – vastoin lainvalmisteluun kohdistuneita odotuksia – lähes vanhassa muodossaan, Suomi katsoi käyttäneensä tätä asetuksen mahdollistamaa liikkumavaraa. Kriittinen arviointi ja tuore akateeminen tutkimus[1] on kuitenkin osoittanut, että laki näyttäisi olevan keskeisiltä osiltaan ristiriidassa yleisen tietosuoja-asetuksen kanssa. Seuraavassa kuvataan tästä erityislaatuisesta asetelmasta seuraavia haasteita sekä niiden seurauksena käynnistynyttä kehitystä.

[1] Mia Eklund 2021, Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare, s. vii–viii ja 65–81.

Työelämäspesifi tarpeellisuusvaatimus ja suostumus henkilötietojen käsittelyn edellytyksenä

Työntekijöiden henkilötietojen käsittelemisen lähtökohtana on kansallisella tasolla työelämän tietosuojalain mukainen tarpeellisuusvaatimus (3 §), jonka mukaan työantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, eikä tästä vaatimuksesta voida poiketa työntekijän suostumuksella. Tämä tietosuoja-asetuksen asettamasta tarpeellisuusvaatimuksesta poikkeava korotettu tarpeellisuusvaatimus on ensimmäinen tietosuoja-asetuksen mahdollistavan liikkumavaran ylittävistä kansallisista erityispiirteistä.

Työelämän tietosuojalaki asettaa myös vaatimuksen, jonka mukaan työntekijää koskevat henkilötiedot on kerättävä ensi sijassa työntekijältä itseltään. Mikäli henkilötietoja kerätään muualta kuin työntekijältä, on siihen hankittava työntekijän suostumus (4 §). Tästä Suomi-spesifistä suostumusvaatimuksesta on vain rajatut poikkeukset. Työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Tietosuoja-asetuksesta johtuen työntekijän antaman suostumuksen pätevyydelle on käytännössä korkeat kriteerit. Työntekijöiden ollessa EU:n tietosuojaviranomaisten tulkinnan mukaisesti alisteisessa asemassa suhteessa työnantajaan, jää tietosuoja-asetuksen edellyttämä aidosti vapaaehtoinen suostumus helposti keinotekoiseksi muodollisuudeksi, jos siihen päädytään nojautumaan. Koska muut tietosuoja-asetuksen käsittelyperusteet ovat käytännössä työnantajan ulottumattomissa, on Suomeen muodostunut tilanne, jossa työnantajan oikeus suorittaa valvontaa tai selvittää työpaikalla tapahtuneita väärinkäytöksiä on hyvin rajoittunut.

Työ- ja elinkeinoministeriössä on tällä hetkellä käynnissä hanke[2] työntekijän henkilötietojen käsittelyä koskevan sääntelyn muuttamiseksi. Hankkeen tarkoituksena on muuttaa lainsäädäntöä suostumusvaatimuksen osalta niin, että työnantaja voisi myös ilman työntekijän suostumusta kerätä työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka kun henkilötietojen käsittelystä laissa erikseen säädetään. Ehdotettu muutos linkittyy myös valmisteilla olevaan niin sanotun Whistleblower-direktiivin implementoivaan ilmoittajansuojelulakiin. Tuleva ilmoittajansuojelulaki loisi työnantajan nimeämälle vastuutaholle oikeuden käsitellä ilmoituksen kohteen ja muiden ilmoituksessa mainittujen henkilöiden henkilötietoja ilman näiden henkilöiden suostumusta tietojen keräämiselle, joskin työnantajan voi olla käytännössä tarpeen käsitellä myös muita kuin ilmoittajansuojelulain soveltamisalan piiriin meneviä selvityspyyntöjä tai laiminlyöntitapauksia. Samalla, tätä muutosta, arviolta vuodenvaihteessa 2021–2022, toteutettaessa avautuu mahdollisuus muuttaa nykyistä 4 § 1 momentin asettamaa rajoitusta siten, että myös muu työnantajan oikeuksien ja velvollisuuksien toteuttamiseen liittyvä valvonta ja väärinkäytösten selvittäminen mahdollistuvat tavalla, joka ei nykyisen pykälämuotoilun mukaisesti olisi ristiriidassa yleisen tietosuoja-asetuksen kanssa.

[2] Luonnos hallituksen esitykseksi eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta, 7.7.2021.

Työntekijän terveystietojen käsittely on täysin oma lukunsa

Toinen kansallisen lainsäädännön ongelmakohta liittyy työntekijöiden terveystietojen käsittelyyn. Tietosuoja-asetuksen mukaan terveystietojen käsittelyn edellytyksenä on tietojen saaminen suoraan työntekijältä itseltään tai kirjallinen suostumus tietojen keräämiselle muualta. Muista EU-jäsenvaltioista poiketen Suomessa rajataan mahdollisten käsittelyperusteiden lisäksi myös terveystietojen käsittelyn tarkoituksia niin, että työntekijän terveystietojen käsittely saa työntekijän suostumuksellakin tapahtua vain laissa määritettyihin tarkoituksiin eli työntekijän terveydentilaan liittyvien etuuksien suorittamiseksi tai poissaolon syyn tai työkykyisyyden selvittämiseksi (5 §).

Yleisen tietosuoja-asetuksen työoikeuden alalla jäsenvaltioille jättämän liikkumavaran edellytyksenä on, että säädettyjä henkilötietojen käsittelyperusteita saa täsmentää kansallisella lainsäädännöllä vain lakisääteisen velvoitteen ja yleisen edun tai julkisen intressin osalta. Terveystietojen käsittelyperusteiden suhteen jäsenvaltioilla ei puolestaan ole säädetty lainkaan kansallista liikkumavaraa huolimatta siitä, että jäsenvaltiot voivat tietosuoja-asetuksen 9(4) artiklan mukaisesti pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat terveystietojen käsittelyä. Työelämän tietosuojalailla on siten käytännössä supistettu työntekijän suostumuksen käyttöalaa terveystiedon käsittelyperusteena, mistä on seurannut merkittäviä haasteita yllättäen tunnistettuihin ja ennakoimattomiin terveystietojen käsittelytarpeisiin liittyen. Tämä on ollut tilanne myös pyrittäessä hallinnoimaan koronavirusepidemiaa.

Käytännön tasolla ongelma konkretisoituu myös terveystietoja hyödyntävien sovellusten ja laitteiden tuotekehityksessä. Esimerkiksi terveysteknologiaa kehittävillä suomalaisilla terveysteknologiayhtiöillä on Suomessa huonommat mahdollisuudet testata ja kehittää tuotteitaan, sillä työntekijöiden terveystietojen, kuten syketiedon tai muun vastaavan fysiologisen tiedon, käsitteleminen tutkimus- ja tuotekehitystarkoituksessa ei ole laillista edes työntekijän nimenomaisella suostumuksella.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta. Terveysteknologiaa kehittävien yritysten pyrkiessä harjoittamaan tuotekehitystä Suomen toimintaympäristössä on edellä kuvatuista rajoituksista johtuen syntynyt käytännön tulkintaratkaisuja, joiden perusteella terveystietona pidettävää fysiologista dataa on katsottu voitavan yksilön antamalla nimenomaisella suostumuksella kerätä myös Suomessa. Käytännön ratkaisuksi nykyiseen työelämän tietosuojasääntelyn rajoituksille on kehittynyt tulkinta, jonka mukaan työnantaja käsittelee työntekijän henkilötietoja rekisterinpitäjänä myös muita kuin työsuhteeseen liittyviä tarkoituksia varten, eli työntekijän katsotaan olevan samaan aikaan sekä työntekijän sekä dataa luovuttavan testihenkilön roolissa. Tällaisissa käytännön soveltamistilanteissa on kuitenkin riskien hallitsemiseksi syytä tarkasti huolehtia yksityisyyden suojan toteutumisesta ja toteuttaa siinä tarkoituksessa tarvittavat laillisuutta edesauttavat toimenpiteet.

“Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa.”

Vaikka julkinen keskustelu kansallisen tietosuojasääntelyn tilasta on ollut varsin vähäistä, on asiassa esitetty jopa ehdotuksia kansallisen tietosuojalain kumoamiseksi kokonaisuudessaan. Yli 20 vuoden soveltamiskokemus on kuitenkin osoittanut, että työelämän tietosuojalaille on paikkansa. Parhailta elementeiltään se selventää toimintakäytäntöjä ja työnantajan tietojenkäsittelyyn liittyviä erityisvelvoitteita sekä parantaa työntekijän asemaa ja oikeuksia monilta osin. Hyvä käytännön esimerkki työelämän tietosuojalain käytäntöjä sujuvoittavista vaikutuksista ovat työntekijöiden huumausainetestaukseen ja kameravalvontaan liittyvät selkeyttävät ja ennakoitavuutta lisäävät säännökset. Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa. Lisäksi oma lukunsa on työntekijän sähköpostien käsittely, joka kytkeytyy yleisemmin Suomessa poikkeuksellisen laajaksi viritettyyn viestintäsalaisuuden suojaan sekä EU:ssa jo pitkään valmisteilla olevaan sähköisen viestinnän tietosuoja-asetukseen. Eurooppalainen harmonisaatio saattaa tässäkin ulottuvuudessa johtaa tarpeeseen kansallisille purukumiperusteisille korjausratkaisuille – tai sitten edessä saattaa olla laajaulotteisempi suomalaisen työelämän sääntelyn uudelleenarviointi.

 

Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roope Liuhalle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.

 

More by the same author

Government proposal regarding the implementation of EU’s NIS 2 Directive published

On 23 May 2024, the Finnish Government submitted its proposal regarding the implementation of EU’s NIS 2 Directive ((EU) 2022/2555, the “Directive”) to the Parliament. The proposal includes, inter alia, the adoption of the new Cybersecurity Act and amendments to the Act on Information Management in Public Administration and the Act on Electronic Communications Services. The objective is that the proposed legislation would enter into force on 18 October 2024.

Ready or Not, Here Comes the AI Act!

D&I’s summary of the changes coming your way The European Parliament has approved the Artificial Intelligence Act on 13 March 2024. The AI Act is a huge step forward in creating a legal framework for AI technology throughout the European Union. It brings about substantial new obligations for both the developers and users of artificial intelligence (or, using the terminology of the Act itself, the providers, importers, deployers, authorised representatives and other parties listed in the Act). However, although the categorisation does cut a few corners, the AI Act can be seen as a type of “product safety” legislation. As such, it leaves a wide range of topics to be dealt with in other EU and/or national laws, or by the parties involved in a specific transaction.

First-ever Supreme Administrative Court rulings on GDPR fines – both for and against

The Supreme Administrative Court of Finland has issued its first decisions regarding administrative fines under the General Data Protection Regulation (the “GDPR”). Incidentally, the decisions concerned the first administrative fines imposed by the Finnish Data Protection Ombudsman back in 2020. The court’s essential arguments, as summarised below, may provide useful insights into how the appellate courts will interpret GDPR requirements and, especially, what aspects are key when challenging GDPR fines in the future.

Latest insights

Draft New Act Governing Offshore Wind Power within the Finnish EEZ Published for Comments

Alert / 28 May 2024
Reading time 2 minutes

Government proposal regarding the implementation of EU’s NIS 2 Directive published

Alert / 24 May 2024
Reading time 2 minutes