Työelämän tietosuojasääntely on mennyt rikki – mutta purukumilla me paikkaamme sen

Työelämän kehityksen trendit – digitalisaatio, alustatalouskehitys, datan merkityksen kasvu sekä jatkuva kansainvälistyminen – ovat haastaneet Suomen työelämän tietosuojalainsäädännön 2000-luvun alkuvuosina rakentuneet lähtökohdat. Suomessa työntekijöiden henkilötietojen käsittelyn sääntely eroaa poikkeuksellisella tavalla muiden EU-jäsenvaltioiden tietosuojalainsäädännöstä, jossa työntekijöiden henkilötietojen käsittely perustuu pitkälti yleiseen tietosuoja-asetukseen (EU 2016/679).

Yleinen tietosuoja-asetus antaa jäsenvaltioille rajoitettua kansallista liikkumavaraa työsuhteen yhteydessä käsiteltävien henkilötietojen osalta. Jätettäessä keväällä 2019 työelämän tietosuojalaki (759/2004) voimaan – vastoin lainvalmisteluun kohdistuneita odotuksia – lähes vanhassa muodossaan, Suomi katsoi käyttäneensä tätä asetuksen mahdollistamaa liikkumavaraa. Kriittinen arviointi ja tuore akateeminen tutkimus[1] on kuitenkin osoittanut, että laki näyttäisi olevan keskeisiltä osiltaan ristiriidassa yleisen tietosuoja-asetuksen kanssa. Seuraavassa kuvataan tästä erityislaatuisesta asetelmasta seuraavia haasteita sekä niiden seurauksena käynnistynyttä kehitystä.

[1] Mia Eklund 2021, Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare, s. vii–viii ja 65–81.

Työelämäspesifi tarpeellisuusvaatimus ja suostumus henkilötietojen käsittelyn edellytyksenä

Työntekijöiden henkilötietojen käsittelemisen lähtökohtana on kansallisella tasolla työelämän tietosuojalain mukainen tarpeellisuusvaatimus (3 §), jonka mukaan työantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, eikä tästä vaatimuksesta voida poiketa työntekijän suostumuksella. Tämä tietosuoja-asetuksen asettamasta tarpeellisuusvaatimuksesta poikkeava korotettu tarpeellisuusvaatimus on ensimmäinen tietosuoja-asetuksen mahdollistavan liikkumavaran ylittävistä kansallisista erityispiirteistä.

Työelämän tietosuojalaki asettaa myös vaatimuksen, jonka mukaan työntekijää koskevat henkilötiedot on kerättävä ensi sijassa työntekijältä itseltään. Mikäli henkilötietoja kerätään muualta kuin työntekijältä, on siihen hankittava työntekijän suostumus (4 §). Tästä Suomi-spesifistä suostumusvaatimuksesta on vain rajatut poikkeukset. Työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Tietosuoja-asetuksesta johtuen työntekijän antaman suostumuksen pätevyydelle on käytännössä korkeat kriteerit. Työntekijöiden ollessa EU:n tietosuojaviranomaisten tulkinnan mukaisesti alisteisessa asemassa suhteessa työnantajaan, jää tietosuoja-asetuksen edellyttämä aidosti vapaaehtoinen suostumus helposti keinotekoiseksi muodollisuudeksi, jos siihen päädytään nojautumaan. Koska muut tietosuoja-asetuksen käsittelyperusteet ovat käytännössä työnantajan ulottumattomissa, on Suomeen muodostunut tilanne, jossa työnantajan oikeus suorittaa valvontaa tai selvittää työpaikalla tapahtuneita väärinkäytöksiä on hyvin rajoittunut.

Työ- ja elinkeinoministeriössä on tällä hetkellä käynnissä hanke[2] työntekijän henkilötietojen käsittelyä koskevan sääntelyn muuttamiseksi. Hankkeen tarkoituksena on muuttaa lainsäädäntöä suostumusvaatimuksen osalta niin, että työnantaja voisi myös ilman työntekijän suostumusta kerätä työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka kun henkilötietojen käsittelystä laissa erikseen säädetään. Ehdotettu muutos linkittyy myös valmisteilla olevaan niin sanotun Whistleblower-direktiivin implementoivaan ilmoittajansuojelulakiin. Tuleva ilmoittajansuojelulaki loisi työnantajan nimeämälle vastuutaholle oikeuden käsitellä ilmoituksen kohteen ja muiden ilmoituksessa mainittujen henkilöiden henkilötietoja ilman näiden henkilöiden suostumusta tietojen keräämiselle, joskin työnantajan voi olla käytännössä tarpeen käsitellä myös muita kuin ilmoittajansuojelulain soveltamisalan piiriin meneviä selvityspyyntöjä tai laiminlyöntitapauksia. Samalla, tätä muutosta, arviolta vuodenvaihteessa 2021–2022, toteutettaessa avautuu mahdollisuus muuttaa nykyistä 4 § 1 momentin asettamaa rajoitusta siten, että myös muu työnantajan oikeuksien ja velvollisuuksien toteuttamiseen liittyvä valvonta ja väärinkäytösten selvittäminen mahdollistuvat tavalla, joka ei nykyisen pykälämuotoilun mukaisesti olisi ristiriidassa yleisen tietosuoja-asetuksen kanssa.

[2] Luonnos hallituksen esitykseksi eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta, 7.7.2021.

Työntekijän terveystietojen käsittely on täysin oma lukunsa

Toinen kansallisen lainsäädännön ongelmakohta liittyy työntekijöiden terveystietojen käsittelyyn. Tietosuoja-asetuksen mukaan terveystietojen käsittelyn edellytyksenä on tietojen saaminen suoraan työntekijältä itseltään tai kirjallinen suostumus tietojen keräämiselle muualta. Muista EU-jäsenvaltioista poiketen Suomessa rajataan mahdollisten käsittelyperusteiden lisäksi myös terveystietojen käsittelyn tarkoituksia niin, että työntekijän terveystietojen käsittely saa työntekijän suostumuksellakin tapahtua vain laissa määritettyihin tarkoituksiin eli työntekijän terveydentilaan liittyvien etuuksien suorittamiseksi tai poissaolon syyn tai työkykyisyyden selvittämiseksi (5 §).

Yleisen tietosuoja-asetuksen työoikeuden alalla jäsenvaltioille jättämän liikkumavaran edellytyksenä on, että säädettyjä henkilötietojen käsittelyperusteita saa täsmentää kansallisella lainsäädännöllä vain lakisääteisen velvoitteen ja yleisen edun tai julkisen intressin osalta. Terveystietojen käsittelyperusteiden suhteen jäsenvaltioilla ei puolestaan ole säädetty lainkaan kansallista liikkumavaraa huolimatta siitä, että jäsenvaltiot voivat tietosuoja-asetuksen 9(4) artiklan mukaisesti pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat terveystietojen käsittelyä. Työelämän tietosuojalailla on siten käytännössä supistettu työntekijän suostumuksen käyttöalaa terveystiedon käsittelyperusteena, mistä on seurannut merkittäviä haasteita yllättäen tunnistettuihin ja ennakoimattomiin terveystietojen käsittelytarpeisiin liittyen. Tämä on ollut tilanne myös pyrittäessä hallinnoimaan koronavirusepidemiaa.

Käytännön tasolla ongelma konkretisoituu myös terveystietoja hyödyntävien sovellusten ja laitteiden tuotekehityksessä. Esimerkiksi terveysteknologiaa kehittävillä suomalaisilla terveysteknologiayhtiöillä on Suomessa huonommat mahdollisuudet testata ja kehittää tuotteitaan, sillä työntekijöiden terveystietojen, kuten syketiedon tai muun vastaavan fysiologisen tiedon, käsitteleminen tutkimus- ja tuotekehitystarkoituksessa ei ole laillista edes työntekijän nimenomaisella suostumuksella.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta. Terveysteknologiaa kehittävien yritysten pyrkiessä harjoittamaan tuotekehitystä Suomen toimintaympäristössä on edellä kuvatuista rajoituksista johtuen syntynyt käytännön tulkintaratkaisuja, joiden perusteella terveystietona pidettävää fysiologista dataa on katsottu voitavan yksilön antamalla nimenomaisella suostumuksella kerätä myös Suomessa. Käytännön ratkaisuksi nykyiseen työelämän tietosuojasääntelyn rajoituksille on kehittynyt tulkinta, jonka mukaan työnantaja käsittelee työntekijän henkilötietoja rekisterinpitäjänä myös muita kuin työsuhteeseen liittyviä tarkoituksia varten, eli työntekijän katsotaan olevan samaan aikaan sekä työntekijän sekä dataa luovuttavan testihenkilön roolissa. Tällaisissa käytännön soveltamistilanteissa on kuitenkin riskien hallitsemiseksi syytä tarkasti huolehtia yksityisyyden suojan toteutumisesta ja toteuttaa siinä tarkoituksessa tarvittavat laillisuutta edesauttavat toimenpiteet.

“Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa.”

Vaikka julkinen keskustelu kansallisen tietosuojasääntelyn tilasta on ollut varsin vähäistä, on asiassa esitetty jopa ehdotuksia kansallisen tietosuojalain kumoamiseksi kokonaisuudessaan. Yli 20 vuoden soveltamiskokemus on kuitenkin osoittanut, että työelämän tietosuojalaille on paikkansa. Parhailta elementeiltään se selventää toimintakäytäntöjä ja työnantajan tietojenkäsittelyyn liittyviä erityisvelvoitteita sekä parantaa työntekijän asemaa ja oikeuksia monilta osin. Hyvä käytännön esimerkki työelämän tietosuojalain käytäntöjä sujuvoittavista vaikutuksista ovat työntekijöiden huumausainetestaukseen ja kameravalvontaan liittyvät selkeyttävät ja ennakoitavuutta lisäävät säännökset. Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa. Lisäksi oma lukunsa on työntekijän sähköpostien käsittely, joka kytkeytyy yleisemmin Suomessa poikkeuksellisen laajaksi viritettyyn viestintäsalaisuuden suojaan sekä EU:ssa jo pitkään valmisteilla olevaan sähköisen viestinnän tietosuoja-asetukseen. Eurooppalainen harmonisaatio saattaa tässäkin ulottuvuudessa johtaa tarpeeseen kansallisille purukumiperusteisille korjausratkaisuille – tai sitten edessä saattaa olla laajaulotteisempi suomalaisen työelämän sääntelyn uudelleenarviointi.

 

Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roope Liuhalle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.

 

More by the same author

Chambers Fintech 2025: Finland – An Introduction to Fintech Legal

The fintech industry stands at the crossroads of innovation and regulation, continually reshaping the financial landscape. It is currently experiencing unprecedented growth globally, propelled by technological advancements and evolving consumer preferences, which are also influencing the fintech industry in Finland.

New Cyber Security Requirements for Connected Products

The new EU regulation complementing the cyber security regulatory framework − the Cyber Resilience Act (EU) 2024/2847 (“CRA”) − has been adopted and published in the Official Journal of the EU. The CRA aims to improve cyber security of the connected products at the EU market. It will have significant implications for manufacturers, importers and distributors of products with digital elements across the EU.

The Autumn and Final Countdown for DORA Have Kicked Off

The surge of new cybersecurity and data legislation in the EU is sure to keep companies busy digesting upcoming regulatory requirements and reviewing existing compliance measures. To name a few, this autumn marks the one-year countdown to the application of the Data Act, a few months until the first provisions of the AI Act kick in, and mere days until the NIS2 Directive should be implemented in EU member states. However, for the financial sector, the most significant regulatory development in this area is the EU’s Digital Operational Resilience Act, more commonly known as DORA.

Latest insights

Government Proposal on New Tax Credit for Large Industrial Investments in Finland

Article / 20 Dec 2024
Reading time 2 minutes

Takeaways on Connecting Offshore Wind Power to the Finnish Grid

Article / 18 Dec 2024
Reading time 2 minutes