Työelämän tietosuojasääntely on mennyt rikki – mutta purukumilla me paikkaamme sen

Työelämän kehityksen trendit – digitalisaatio, alustatalouskehitys, datan merkityksen kasvu sekä jatkuva kansainvälistyminen – ovat haastaneet Suomen työelämän tietosuojalainsäädännön 2000-luvun alkuvuosina rakentuneet lähtökohdat. Suomessa työntekijöiden henkilötietojen käsittelyn sääntely eroaa poikkeuksellisella tavalla muiden EU-jäsenvaltioiden tietosuojalainsäädännöstä, jossa työntekijöiden henkilötietojen käsittely perustuu pitkälti yleiseen tietosuoja-asetukseen (EU 2016/679).

Yleinen tietosuoja-asetus antaa jäsenvaltioille rajoitettua kansallista liikkumavaraa työsuhteen yhteydessä käsiteltävien henkilötietojen osalta. Jätettäessä keväällä 2019 työelämän tietosuojalaki (759/2004) voimaan – vastoin lainvalmisteluun kohdistuneita odotuksia – lähes vanhassa muodossaan, Suomi katsoi käyttäneensä tätä asetuksen mahdollistamaa liikkumavaraa. Kriittinen arviointi ja tuore akateeminen tutkimus[1] on kuitenkin osoittanut, että laki näyttäisi olevan keskeisiltä osiltaan ristiriidassa yleisen tietosuoja-asetuksen kanssa. Seuraavassa kuvataan tästä erityislaatuisesta asetelmasta seuraavia haasteita sekä niiden seurauksena käynnistynyttä kehitystä.

[1] Mia Eklund 2021, Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt att övervaka arbetstagare, s. vii–viii ja 65–81.

Työelämäspesifi tarpeellisuusvaatimus ja suostumus henkilötietojen käsittelyn edellytyksenä

Työntekijöiden henkilötietojen käsittelemisen lähtökohtana on kansallisella tasolla työelämän tietosuojalain mukainen tarpeellisuusvaatimus (3 §), jonka mukaan työantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, eikä tästä vaatimuksesta voida poiketa työntekijän suostumuksella. Tämä tietosuoja-asetuksen asettamasta tarpeellisuusvaatimuksesta poikkeava korotettu tarpeellisuusvaatimus on ensimmäinen tietosuoja-asetuksen mahdollistavan liikkumavaran ylittävistä kansallisista erityispiirteistä.

Työelämän tietosuojalaki asettaa myös vaatimuksen, jonka mukaan työntekijää koskevat henkilötiedot on kerättävä ensi sijassa työntekijältä itseltään. Mikäli henkilötietoja kerätään muualta kuin työntekijältä, on siihen hankittava työntekijän suostumus (4 §). Tästä Suomi-spesifistä suostumusvaatimuksesta on vain rajatut poikkeukset. Työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Tietosuoja-asetuksesta johtuen työntekijän antaman suostumuksen pätevyydelle on käytännössä korkeat kriteerit. Työntekijöiden ollessa EU:n tietosuojaviranomaisten tulkinnan mukaisesti alisteisessa asemassa suhteessa työnantajaan, jää tietosuoja-asetuksen edellyttämä aidosti vapaaehtoinen suostumus helposti keinotekoiseksi muodollisuudeksi, jos siihen päädytään nojautumaan. Koska muut tietosuoja-asetuksen käsittelyperusteet ovat käytännössä työnantajan ulottumattomissa, on Suomeen muodostunut tilanne, jossa työnantajan oikeus suorittaa valvontaa tai selvittää työpaikalla tapahtuneita väärinkäytöksiä on hyvin rajoittunut.

Työ- ja elinkeinoministeriössä on tällä hetkellä käynnissä hanke[2] työntekijän henkilötietojen käsittelyä koskevan sääntelyn muuttamiseksi. Hankkeen tarkoituksena on muuttaa lainsäädäntöä suostumusvaatimuksen osalta niin, että työnantaja voisi myös ilman työntekijän suostumusta kerätä työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka kun henkilötietojen käsittelystä laissa erikseen säädetään. Ehdotettu muutos linkittyy myös valmisteilla olevaan niin sanotun Whistleblower-direktiivin implementoivaan ilmoittajansuojelulakiin. Tuleva ilmoittajansuojelulaki loisi työnantajan nimeämälle vastuutaholle oikeuden käsitellä ilmoituksen kohteen ja muiden ilmoituksessa mainittujen henkilöiden henkilötietoja ilman näiden henkilöiden suostumusta tietojen keräämiselle, joskin työnantajan voi olla käytännössä tarpeen käsitellä myös muita kuin ilmoittajansuojelulain soveltamisalan piiriin meneviä selvityspyyntöjä tai laiminlyöntitapauksia. Samalla, tätä muutosta, arviolta vuodenvaihteessa 2021–2022, toteutettaessa avautuu mahdollisuus muuttaa nykyistä 4 § 1 momentin asettamaa rajoitusta siten, että myös muu työnantajan oikeuksien ja velvollisuuksien toteuttamiseen liittyvä valvonta ja väärinkäytösten selvittäminen mahdollistuvat tavalla, joka ei nykyisen pykälämuotoilun mukaisesti olisi ristiriidassa yleisen tietosuoja-asetuksen kanssa.

[2] Luonnos hallituksen esitykseksi eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta, 7.7.2021.

Työntekijän terveystietojen käsittely on täysin oma lukunsa

Toinen kansallisen lainsäädännön ongelmakohta liittyy työntekijöiden terveystietojen käsittelyyn. Tietosuoja-asetuksen mukaan terveystietojen käsittelyn edellytyksenä on tietojen saaminen suoraan työntekijältä itseltään tai kirjallinen suostumus tietojen keräämiselle muualta. Muista EU-jäsenvaltioista poiketen Suomessa rajataan mahdollisten käsittelyperusteiden lisäksi myös terveystietojen käsittelyn tarkoituksia niin, että työntekijän terveystietojen käsittely saa työntekijän suostumuksellakin tapahtua vain laissa määritettyihin tarkoituksiin eli työntekijän terveydentilaan liittyvien etuuksien suorittamiseksi tai poissaolon syyn tai työkykyisyyden selvittämiseksi (5 §).

Yleisen tietosuoja-asetuksen työoikeuden alalla jäsenvaltioille jättämän liikkumavaran edellytyksenä on, että säädettyjä henkilötietojen käsittelyperusteita saa täsmentää kansallisella lainsäädännöllä vain lakisääteisen velvoitteen ja yleisen edun tai julkisen intressin osalta. Terveystietojen käsittelyperusteiden suhteen jäsenvaltioilla ei puolestaan ole säädetty lainkaan kansallista liikkumavaraa huolimatta siitä, että jäsenvaltiot voivat tietosuoja-asetuksen 9(4) artiklan mukaisesti pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat terveystietojen käsittelyä. Työelämän tietosuojalailla on siten käytännössä supistettu työntekijän suostumuksen käyttöalaa terveystiedon käsittelyperusteena, mistä on seurannut merkittäviä haasteita yllättäen tunnistettuihin ja ennakoimattomiin terveystietojen käsittelytarpeisiin liittyen. Tämä on ollut tilanne myös pyrittäessä hallinnoimaan koronavirusepidemiaa.

Käytännön tasolla ongelma konkretisoituu myös terveystietoja hyödyntävien sovellusten ja laitteiden tuotekehityksessä. Esimerkiksi terveysteknologiaa kehittävillä suomalaisilla terveysteknologiayhtiöillä on Suomessa huonommat mahdollisuudet testata ja kehittää tuotteitaan, sillä työntekijöiden terveystietojen, kuten syketiedon tai muun vastaavan fysiologisen tiedon, käsitteleminen tutkimus- ja tuotekehitystarkoituksessa ei ole laillista edes työntekijän nimenomaisella suostumuksella.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta.

Kansallisen lainsäädännön nykytilan voi havaita heikentävän Suomen kilpailukykyä kansainvälisillä työmarkkinoilla ja erityistapauksissa se voi johtaa käytännössä myös siihen, että yritykset joutuvat siirtämään tuotekehitystoimintojaan, ja siten myös työpaikkoja, pois Suomesta. Terveysteknologiaa kehittävien yritysten pyrkiessä harjoittamaan tuotekehitystä Suomen toimintaympäristössä on edellä kuvatuista rajoituksista johtuen syntynyt käytännön tulkintaratkaisuja, joiden perusteella terveystietona pidettävää fysiologista dataa on katsottu voitavan yksilön antamalla nimenomaisella suostumuksella kerätä myös Suomessa. Käytännön ratkaisuksi nykyiseen työelämän tietosuojasääntelyn rajoituksille on kehittynyt tulkinta, jonka mukaan työnantaja käsittelee työntekijän henkilötietoja rekisterinpitäjänä myös muita kuin työsuhteeseen liittyviä tarkoituksia varten, eli työntekijän katsotaan olevan samaan aikaan sekä työntekijän sekä dataa luovuttavan testihenkilön roolissa. Tällaisissa käytännön soveltamistilanteissa on kuitenkin riskien hallitsemiseksi syytä tarkasti huolehtia yksityisyyden suojan toteutumisesta ja toteuttaa siinä tarkoituksessa tarvittavat laillisuutta edesauttavat toimenpiteet.

“Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa.”

Vaikka julkinen keskustelu kansallisen tietosuojasääntelyn tilasta on ollut varsin vähäistä, on asiassa esitetty jopa ehdotuksia kansallisen tietosuojalain kumoamiseksi kokonaisuudessaan. Yli 20 vuoden soveltamiskokemus on kuitenkin osoittanut, että työelämän tietosuojalaille on paikkansa. Parhailta elementeiltään se selventää toimintakäytäntöjä ja työnantajan tietojenkäsittelyyn liittyviä erityisvelvoitteita sekä parantaa työntekijän asemaa ja oikeuksia monilta osin. Hyvä käytännön esimerkki työelämän tietosuojalain käytäntöjä sujuvoittavista vaikutuksista ovat työntekijöiden huumausainetestaukseen ja kameravalvontaan liittyvät selkeyttävät ja ennakoitavuutta lisäävät säännökset. Tunnistettu ristiriita EU-sääntelyn kanssa kuitenkin tarkoittaa sitä, että työelämän tietosuojalaki vaatii korjautuakseen tällä hetkellä muutakin kuin pelkkää pikaliimaa, jota kuvattu valmisteilla oleva 4 § 1 momentin muutos tarjoaa. Lisäksi oma lukunsa on työntekijän sähköpostien käsittely, joka kytkeytyy yleisemmin Suomessa poikkeuksellisen laajaksi viritettyyn viestintäsalaisuuden suojaan sekä EU:ssa jo pitkään valmisteilla olevaan sähköisen viestinnän tietosuoja-asetukseen. Eurooppalainen harmonisaatio saattaa tässäkin ulottuvuudessa johtaa tarpeeseen kansallisille purukumiperusteisille korjausratkaisuille – tai sitten edessä saattaa olla laajaulotteisempi suomalaisen työelämän sääntelyn uudelleenarviointi.

 

Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roope Liuhalle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.

 

More by the same author

The Autumn and Final Countdown for DORA Have Kicked Off

The surge of new cybersecurity and data legislation in the EU is sure to keep companies busy digesting upcoming regulatory requirements and reviewing existing compliance measures. To name a few, this autumn marks the one-year countdown to the application of the Data Act, a few months until the first provisions of the AI Act kick in, and mere days until the NIS2 Directive should be implemented in EU member states. However, for the financial sector, the most significant regulatory development in this area is the EU’s Digital Operational Resilience Act, more commonly known as DORA.

Implementation of the NIS2 Directive in Finland: New Cybersecurity Requirements for Critical Sector Businesses and Entities

On 23 May 2024, Finland took a significant stride towards strengthening its cybersecurity legislation when the Government submitted to the Parliament a proposal (HE 57/2024 vp) to implement the EU Directive on Measures for a High Common Level of Cybersecurity across the Union (Directive (EU) 2022/2555, the “NIS2 Directive“). This legislative initiative aims to bolster cybersecurity measures across various critical sectors, reflecting a heightened regulatory focus on risk management and incident reporting. The proposed Cybersecurity Act, along with amendments to existing legislation, notably to the Act on Information Management in Public Administration (906/2019 as amended), is scheduled to be applicable as of 18 October 2024. The proposal denotes a significant step towards more regulated cybersecurity and positioning the review and supervision of cybersecurity risks as a top management issue.

eIDAS2.0 Has Arrived – What is an EUDI Wallet?

The awaited eIDAS Regulation (EU) 1183/2024, known as eIDAS2.0, introduces new comprehensive rules aimed at facilitating a secure and seamless Europe-wide digital identity framework by amending the first eIDAS Regulation (EU) 910/2014. As the most notable change, eIDAS2.0 introduces a new EU Digital Identity Wallet (EUDI Wallet), meaning an electronic authentication application that must be interoperable throughout the EU. In function, the application will be similar to ordinary wallets, especially when looking at what types of data is stored in it. The Regulation entered into force on 20 May 2024 and the European Commission is due to adopt technical implementing acts in November 2024, after which the Member States have 24 months to implement at least one EUDI Wallet.

Latest insights

The Ministry of Finance Proposes a New Tax Credit for Large Industrial Investments

Article / 7 Oct 2024
Reading time 2 minutes

Q&A: Exploring the Future of Legal Work with AI

Article / 1 Oct 2024
Reading time 2 minutes