Työelämän tietosuojasääntely on mennyt rikki – mutta purukumilla me paikkaamme sen

Työelämän kehityksen trendit – digitalisaatio, alustatalouskehitys, datan merkityksen kasvu sekä jatkuva kansainvälistyminen – ovat haastaneet Suomen työelämän tietosuojalainsäädännön 2000-luvun alkuvuosina rakentuneet lähtökohdat. Suomessa työntekijöiden henkilötietojen käsittelyn sääntely eroaa poikkeuksellisella tavalla muiden EU-jäsenvaltioiden tietosuojalainsäädännöstä, jossa työntekijöiden henkilötietojen käsittely perustuu pitkälti yleiseen tietosuoja-asetukseen (EU 2016/679).

Yleinen tietosuoja-asetus antaa jäsenvaltioille rajoitettua kansallista liikkumavaraa työsuhteen yhteydessä käsiteltävien henkilötietojen osalta. Jätettäessä keväällä 2019 työelämän tietosuojalaki (759/2004) voimaan – vastoin lainvalmisteluun kohdistuneita odotuksia – lähes vanhassa muodossaan, Suomi katsoi käyttäneensä tätä asetuksen mahdollistamaa liikkumavaraa. Kriittinen arviointi ja tuore akateeminen tutkimus[1] on kuitenkin osoittanut, että laki näyttäisi olevan keskeisiltä osiltaan ristiriidassa yleisen tietosuoja-asetuksen kanssa. Seuraavassa kuvataan tästä erityislaatuisesta asetelmasta seuraavia haasteita sekä niiden seurauksena käynnistynyttä kehitystä.

[1] Mia Eklund 2021, Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare, s. vii–viii ja 65–81.

Työelämäspesifi tarpeellisuusvaatimus ja suostumus henkilötietojen käsittelyn edellytyksenä

Työntekijöiden henkilötietojen käsittelemisen lähtökohtana on kansallisella tasolla työelämän tietosuojalain mukainen tarpeellisuusvaatimus (3 §), jonka mukaan työantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, eikä tästä vaatimuksesta voida poiketa työntekijän suostumuksella. Tämä tietosuoja-asetuksen asettamasta tarpeellisuusvaatimuksesta poikkeava korotettu tarpeellisuusvaatimus on ensimmäinen tietosuoja-asetuksen mahdollistavan liikkumavaran ylittävistä kansallisista erityispiirteistä.

Työelämän tietosuojalaki asettaa myös vaatimuksen, jonka mukaan työntekijää koskevat henkilötiedot on kerättävä ensi sijassa työntekijältä itseltään. Mikäli henkilötietoja kerätään muualta kuin työntekijältä, on siihen hankittava työntekijän suostumus (4 §). Tästä Suomi-spesifistä suostumusvaatimuksesta on vain rajatut poikkeukset. Työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Tietosuoja-asetuksesta johtuen työntekijän antaman suostumuksen pätevyydelle on käytännössä korkeat kriteerit. Työntekijöiden ollessa EU:n tietosuojaviranomaisten tulkinnan mukaisesti alisteisessa asemassa suhteessa työnantajaan, jää tietosuoja-asetuksen edellyttämä aidosti vapaaehtoinen suostumus helposti keinotekoiseksi muodollisuudeksi, jos siihen päädytään nojautumaan. Koska muut tietosuoja-asetuksen käsittelyperusteet ovat käytännössä työnantajan ulottumattomissa, on Suomeen muodostunut tilanne, jossa työnantajan oikeus suorittaa valvontaa tai selvittää työpaikalla tapahtuneita väärinkäytöksiä on hyvin rajoittunut.

Työ- ja elinkeinoministeriössä on tällä hetkellä käynnissä hanke[2] työntekijän henkilötietojen käsittelyä koskevan sääntelyn muuttamiseksi. Hankkeen tarkoituksena on muuttaa lainsäädäntöä suostumusvaatimuksen osalta niin, että työnantaja voisi myös ilman työntekijän suostumusta kerätä työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka kun henkilötietojen käsittelystä laissa erikseen säädetään. Ehdotettu muutos linkittyy myös valmisteilla olevaan niin sanotun Whistleblower-direktiivin implementoivaan ilmoittajansuojelulakiin. Tuleva ilmoittajansuojelulaki loisi työnantajan nimeämälle vastuutaholle oikeuden käsitellä ilmoituksen kohteen ja muiden ilmoituksessa mainittujen henkilöiden henkilötietoja ilman näiden henkilöiden suostumusta tietojen keräämiselle, joskin työnantajan voi olla käytännössä tarpeen käsitellä myös muita kuin ilmoittajansuojelulain soveltamisalan piiriin meneviä selvityspyyntöjä tai laiminlyöntitapauksia. Samalla, tätä muutosta, arviolta vuodenvaihteessa 2021–2022, toteutettaessa avautuu mahdollisuus muuttaa nykyistä 4 § 1 momentin asettamaa rajoitusta siten, että myös muu työnantajan oikeuksien ja velvollisuuksien toteuttamiseen liittyvä valvonta ja väärinkäytösten selvittäminen mahdollistuvat tavalla, joka ei nykyisen pykälämuotoilun mukaisesti olisi ristiriidassa yleisen tietosuoja-asetuksen kanssa.

[2] Luonnos hallituksen esitykseksi eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta, 7.7.2021.

Työntekijän terveystietojen käsittely on täysin oma lukunsa

Toinen kansallisen lainsäädännön ongelmakohta liittyy työntekijöiden terveystietojen käsittelyyn. Tietosuoja-asetuksen mukaan terveystietojen käsittelyn edellytyksenä on tietojen saaminen suoraan työntekijältä itseltään tai kirjallinen suostumus tietojen keräämiselle muualta. Muista EU-jäsenvaltioista poiketen Suomessa rajataan mahdollisten käsittelyperusteiden lisäksi myös terveystietojen käsittelyn tarkoituksia niin, että työntekijän terveystietojen käsittely saa työntekijän suostumuksellakin tapahtua vain laissa määritettyihin tarkoituksiin eli työntekijän terveydentilaan liittyvien etuuksien suorittamiseksi tai poissaolon syyn tai työkykyisyyden selvittämiseksi (5 §).

Yleisen tietosuoja-asetuksen työoikeuden alalla jäsenvaltioille jättämän liikkumavaran edellytyksenä on, että säädettyjä henkilötietojen käsittelyperusteita saa täsmentää kansallisella lainsäädännöllä vain lakisääteisen velvoitteen ja yleisen edun tai julkisen intressin osalta. Terveystietojen käsittelyperusteiden suhteen jäsenvaltioilla ei puolestaan ole säädetty lainkaan kansallista liikkumavaraa huolimatta siitä, että jäsenvaltiot voivat tietosuoja-asetuksen 9(4) artiklan mukaisesti pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat terveystietojen käsittelyä. Työelämän tietosuojalailla on siten käytännössä supistettu työntekijän suostumuksen käyttöalaa terveystiedon käsittelyperusteena, mistä on seurannut merkittäviä haasteita yllättäen tunnistettuihin ja ennakoimattomiin terveystietojen käsittelytarpeisiin liittyen. Tämä on ollut tilanne myös pyrittäessä hallinnoimaan koronavirusepidemiaa.

Käytännön tasolla ongelma konkretisoituu myös terveystietoja hyödyntävien sovellusten ja laitteiden tuotekehityksessä. Esimerkiksi terveysteknologiaa kehittävillä suomalaisilla terveysteknologiayhtiöillä on Suomessa huonommat mahdollisuudet testata ja kehittää tuotteitaan, sillä työntekijöiden terveystietojen, kuten syketiedon tai muun vastaavan fysiologisen tiedon, käsitteleminen tutkimus- ja tuotekehitystarkoituksessa ei ole laillista edes työntekijän nimenomaisella suostumuksella.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta. Terveysteknologiaa kehittävien yritysten pyrkiessä harjoittamaan tuotekehitystä Suomen toimintaympäristössä on edellä kuvatuista rajoituksista johtuen syntynyt käytännön tulkintaratkaisuja, joiden perusteella terveystietona pidettävää fysiologista dataa on katsottu voitavan yksilön antamalla nimenomaisella suostumuksella kerätä myös Suomessa. Käytännön ratkaisuksi nykyiseen työelämän tietosuojasääntelyn rajoituksille on kehittynyt tulkinta, jonka mukaan työnantaja käsittelee työntekijän henkilötietoja rekisterinpitäjänä myös muita kuin työsuhteeseen liittyviä tarkoituksia varten, eli työntekijän katsotaan olevan samaan aikaan sekä työntekijän sekä dataa luovuttavan testihenkilön roolissa. Tällaisissa käytännön soveltamistilanteissa on kuitenkin riskien hallitsemiseksi syytä tarkasti huolehtia yksityisyyden suojan toteutumisesta ja toteuttaa siinä tarkoituksessa tarvittavat laillisuutta edesauttavat toimenpiteet.

“Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa.”

Vaikka julkinen keskustelu kansallisen tietosuojasääntelyn tilasta on ollut varsin vähäistä, on asiassa esitetty jopa ehdotuksia kansallisen tietosuojalain kumoamiseksi kokonaisuudessaan. Yli 20 vuoden soveltamiskokemus on kuitenkin osoittanut, että työelämän tietosuojalaille on paikkansa. Parhailta elementeiltään se selventää toimintakäytäntöjä ja työnantajan tietojenkäsittelyyn liittyviä erityisvelvoitteita sekä parantaa työntekijän asemaa ja oikeuksia monilta osin. Hyvä käytännön esimerkki työelämän tietosuojalain käytäntöjä sujuvoittavista vaikutuksista ovat työntekijöiden huumausainetestaukseen ja kameravalvontaan liittyvät selkeyttävät ja ennakoitavuutta lisäävät säännökset. Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa. Lisäksi oma lukunsa on työntekijän sähköpostien käsittely, joka kytkeytyy yleisemmin Suomessa poikkeuksellisen laajaksi viritettyyn viestintäsalaisuuden suojaan sekä EU:ssa jo pitkään valmisteilla olevaan sähköisen viestinnän tietosuoja-asetukseen. Eurooppalainen harmonisaatio saattaa tässäkin ulottuvuudessa johtaa tarpeeseen kansallisille purukumiperusteisille korjausratkaisuille – tai sitten edessä saattaa olla laajaulotteisempi suomalaisen työelämän sääntelyn uudelleenarviointi.

 

Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roope Liuhalle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.

 

More by the same author

Ovatko monimuotoisuus-kartoitukset mahdollisia Suomessa?

Organisaatioiden monimuotoisuus ja inklusiivisuus ovat vastuullisuuden keskeisiä elementtejä ja samalla kilpailukykytekijöitä. Erityisesti kansainvälisillä organisaatioilla on jo laajasti käytössä monimuotoisuuteen liittyviä tavoitteita ja menettelytapoja monimuotoisuuden mittaamiseksi. Suomessa työelämän tietosuojasääntely asettaa kuitenkin merkittäviä rajoituksia monimuotoisuusdatan keräämiselle. Monimuotoisuuden johtaminen dataa hyödyntäen ei kuitenkaan ole Suomessa mahdotonta.

It all comes down to innovation

Through this Quarterly, we at Dittmar & Indrenius’ Innovation Powerhouse invite you to a backstage tour into the various, exceptional and exciting ways that regulation and innovation meet in our work as attorneys. The way we see it, a revolution is underway, and no one can escape its reach.

Service provider selection and negotiation in 2021

The procurement of modern ICT services is a lively sector, characterised not only by challenges present in all types of procurement, but also by its highly distinctive features. When procuring standardised services from established and widely operating suppliers, the customer’s negotiating position can be rather restricted. At the same time, ICT procurement constitutes a significantly business-critical sector for many companies where the customer must ensure certain minimum requirements in selecting the service provider and negotiating the relevant contractual terms.

Latest insights

KKO: Muun työn tarjoaminen yksilöimättömillä rekrytointikirjeillä teki irtisanomisesta lainvastaisen

Alert / 17 May 2022
Reading time 3 minutes

Riitaan ei tarvita kahta

Article / 12 May 2022
Reading time 3 minutes