Työelämän kehityksen trendit – digitalisaatio, alustatalouskehitys, datan merkityksen kasvu sekä jatkuva kansainvälistyminen – ovat haastaneet Suomen työelämän tietosuojalainsäädännön 2000-luvun alkuvuosina rakentuneet lähtökohdat. Suomessa työntekijöiden henkilötietojen käsittelyn sääntely eroaa poikkeuksellisella tavalla muiden EU-jäsenvaltioiden tietosuojalainsäädännöstä, jossa työntekijöiden henkilötietojen käsittely perustuu pitkälti yleiseen tietosuoja-asetukseen (EU 2016/679).
Yleinen tietosuoja-asetus antaa jäsenvaltioille rajoitettua kansallista liikkumavaraa työsuhteen yhteydessä käsiteltävien henkilötietojen osalta. Jätettäessä keväällä 2019 työelämän tietosuojalaki (759/2004) voimaan – vastoin lainvalmisteluun kohdistuneita odotuksia – lähes vanhassa muodossaan, Suomi katsoi käyttäneensä tätä asetuksen mahdollistamaa liikkumavaraa. Kriittinen arviointi ja tuore akateeminen tutkimus[1] on kuitenkin osoittanut, että laki näyttäisi olevan keskeisiltä osiltaan ristiriidassa yleisen tietosuoja-asetuksen kanssa. Seuraavassa kuvataan tästä erityislaatuisesta asetelmasta seuraavia haasteita sekä niiden seurauksena käynnistynyttä kehitystä.
[1] Mia Eklund 2021, Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare, s. vii–viii ja 65–81.
Työelämäspesifi tarpeellisuusvaatimus ja suostumus henkilötietojen käsittelyn edellytyksenä
Työntekijöiden henkilötietojen käsittelemisen lähtökohtana on kansallisella tasolla työelämän tietosuojalain mukainen tarpeellisuusvaatimus (3 §), jonka mukaan työantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, eikä tästä vaatimuksesta voida poiketa työntekijän suostumuksella. Tämä tietosuoja-asetuksen asettamasta tarpeellisuusvaatimuksesta poikkeava korotettu tarpeellisuusvaatimus on ensimmäinen tietosuoja-asetuksen mahdollistavan liikkumavaran ylittävistä kansallisista erityispiirteistä.
Työelämän tietosuojalaki asettaa myös vaatimuksen, jonka mukaan työntekijää koskevat henkilötiedot on kerättävä ensi sijassa työntekijältä itseltään. Mikäli henkilötietoja kerätään muualta kuin työntekijältä, on siihen hankittava työntekijän suostumus (4 §). Tästä Suomi-spesifistä suostumusvaatimuksesta on vain rajatut poikkeukset. Työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Tietosuoja-asetuksesta johtuen työntekijän antaman suostumuksen pätevyydelle on käytännössä korkeat kriteerit. Työntekijöiden ollessa EU:n tietosuojaviranomaisten tulkinnan mukaisesti alisteisessa asemassa suhteessa työnantajaan, jää tietosuoja-asetuksen edellyttämä aidosti vapaaehtoinen suostumus helposti keinotekoiseksi muodollisuudeksi, jos siihen päädytään nojautumaan. Koska muut tietosuoja-asetuksen käsittelyperusteet ovat käytännössä työnantajan ulottumattomissa, on Suomeen muodostunut tilanne, jossa työnantajan oikeus suorittaa valvontaa tai selvittää työpaikalla tapahtuneita väärinkäytöksiä on hyvin rajoittunut.
Työ- ja elinkeinoministeriössä on tällä hetkellä käynnissä hanke[2] työntekijän henkilötietojen käsittelyä koskevan sääntelyn muuttamiseksi. Hankkeen tarkoituksena on muuttaa lainsäädäntöä suostumusvaatimuksen osalta niin, että työnantaja voisi myös ilman työntekijän suostumusta kerätä työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka kun henkilötietojen käsittelystä laissa erikseen säädetään. Ehdotettu muutos linkittyy myös valmisteilla olevaan niin sanotun Whistleblower-direktiivin implementoivaan ilmoittajansuojelulakiin. Tuleva ilmoittajansuojelulaki loisi työnantajan nimeämälle vastuutaholle oikeuden käsitellä ilmoituksen kohteen ja muiden ilmoituksessa mainittujen henkilöiden henkilötietoja ilman näiden henkilöiden suostumusta tietojen keräämiselle, joskin työnantajan voi olla käytännössä tarpeen käsitellä myös muita kuin ilmoittajansuojelulain soveltamisalan piiriin meneviä selvityspyyntöjä tai laiminlyöntitapauksia. Samalla, tätä muutosta, arviolta vuodenvaihteessa 2021–2022, toteutettaessa avautuu mahdollisuus muuttaa nykyistä 4 § 1 momentin asettamaa rajoitusta siten, että myös muu työnantajan oikeuksien ja velvollisuuksien toteuttamiseen liittyvä valvonta ja väärinkäytösten selvittäminen mahdollistuvat tavalla, joka ei nykyisen pykälämuotoilun mukaisesti olisi ristiriidassa yleisen tietosuoja-asetuksen kanssa.
[2] Luonnos hallituksen esitykseksi eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta, 7.7.2021.
Työntekijän terveystietojen käsittely on täysin oma lukunsa
Toinen kansallisen lainsäädännön ongelmakohta liittyy työntekijöiden terveystietojen käsittelyyn. Tietosuoja-asetuksen mukaan terveystietojen käsittelyn edellytyksenä on tietojen saaminen suoraan työntekijältä itseltään tai kirjallinen suostumus tietojen keräämiselle muualta. Muista EU-jäsenvaltioista poiketen Suomessa rajataan mahdollisten käsittelyperusteiden lisäksi myös terveystietojen käsittelyn tarkoituksia niin, että työntekijän terveystietojen käsittely saa työntekijän suostumuksellakin tapahtua vain laissa määritettyihin tarkoituksiin eli työntekijän terveydentilaan liittyvien etuuksien suorittamiseksi tai poissaolon syyn tai työkykyisyyden selvittämiseksi (5 §).
Yleisen tietosuoja-asetuksen työoikeuden alalla jäsenvaltioille jättämän liikkumavaran edellytyksenä on, että säädettyjä henkilötietojen käsittelyperusteita saa täsmentää kansallisella lainsäädännöllä vain lakisääteisen velvoitteen ja yleisen edun tai julkisen intressin osalta. Terveystietojen käsittelyperusteiden suhteen jäsenvaltioilla ei puolestaan ole säädetty lainkaan kansallista liikkumavaraa huolimatta siitä, että jäsenvaltiot voivat tietosuoja-asetuksen 9(4) artiklan mukaisesti pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat terveystietojen käsittelyä. Työelämän tietosuojalailla on siten käytännössä supistettu työntekijän suostumuksen käyttöalaa terveystiedon käsittelyperusteena, mistä on seurannut merkittäviä haasteita yllättäen tunnistettuihin ja ennakoimattomiin terveystietojen käsittelytarpeisiin liittyen. Tämä on ollut tilanne myös pyrittäessä hallinnoimaan koronavirusepidemiaa.
Käytännön tasolla ongelma konkretisoituu myös terveystietoja hyödyntävien sovellusten ja laitteiden tuotekehityksessä. Esimerkiksi terveysteknologiaa kehittävillä suomalaisilla terveysteknologiayhtiöillä on Suomessa huonommat mahdollisuudet testata ja kehittää tuotteitaan, sillä työntekijöiden terveystietojen, kuten syketiedon tai muun vastaavan fysiologisen tiedon, käsitteleminen tutkimus- ja tuotekehitystarkoituksessa ei ole laillista edes työntekijän nimenomaisella suostumuksella.