Usein kysyttyä työelämästä

Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuuksiin tai jotka johtuvat työtehtävien erityisluonteesta. Työnantaja ei siis saa käsitellä mitä tahansa työntekijää koskevia henkilötietoja.

Tästä niin kutsutusta tarpeellisuusvaatimuksesta säädetään työelämän tietosuojalain 3§:ssä. Tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella.

Tarpeellisuusvaatimus pätee myös työnhakutilanteisiin. Työnantajan oikeus kerätä työnhakijan henkilötietoja riippuu työtehtävästä, jota henkilö on hakenut. Työnhakutilanteessa tarpeellisia ovat lähinnä sellaiset tiedot, jotka osoittavat hakijan pätevyyttä ja sopivuutta kyseiseen tehtävään.

Tarpeellisuusvaatimus koskee myös työnantajan keräämää tietoa, joka on saatu testaamalla tai arvioimalla työnhakijaa tai työntekijää. Työnantajan tekemien henkilö- ja soveltuvuusarviointitestien on oltava työsuhteen kannalta tarpeellisia. Myös esimerkiksi huumetestin tietojen sekä työntekijän terveystietojen käsittelyn on oltava tarpeellisuusvaatimuksen mukaista.

Työnantajan on kerättävä työntekijää ja työnhakijaa koskevat henkilötiedot ensisijaisesti työntekijältä ja työnhakijalta itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on lähtökohtaisesti pyydettävä suostumus tietojen keräämiseen. Suostumus ei kuitenkaan ole tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle lakisääteisen tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta säädetään erikseen laissa.

Jos työnantaja haluaa esimerkiksi tiedustella työnhakijan työssä suoriutumisesta hänen entiseltä työnantajaltaan, tulee työnantaja pyytää työnhakijalta suostumus tätä varten.

Työnantajalla on työn johto- ja valvontaoikeus (ns. direktio-oikeus), jonka nojalla työnantaja voi määritellä yksittäisen työntekijän työtehtävät, antaa työhön liittyviä määräyksiä sekä valvoa työstä suoriutumista. Se ei kuitenkaan oikeuta työnantajaa valvomaan työntekijää siten, että työnantaja keräisi tai katsoisi työntekijän internet-selailusta kertyviä tunnistamistietoja.

Työntekijä ei myöskään voi pätevällä tavalla antaa suostumustaan siihen, että työnantaja saisi valvoa hänen internet-selailuaan. Oikeus luottamukselliseen viestintään koskee myös internet-selailua ja siitä kertyviä tunnistamistietoja.

Työnantaja voi kuitenkin päättää tietoverkkojen käyttösäännöistä, kuten siitä, saako työpaikalla ylipäätään surffata internetissä ja jos, millaisilla sivustoilla. Työnantaja voinee myös estää pääsyn joillekin sivuille.

Työntekijöiden paikantaminen on teknistä valvontaa, joka tulee käydä läpi työpaikan yhteistoimintamenettelyissä. Paikantaminen on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve. Paikantamiseen oikeuttavia perusteita voivat olla esimerkiksi työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan. Matkapuhelimen avulla tapahtuva paikantaminen vaatii sähköisen viestinnän palvelulain mukaisen suostumuksen.

Työnantajan on tehtävä vaikutustenarviointi ennen kuin se voi käsitellä työntekijöiden sijaintitietoja. Vaikutustenarviointi on tehtävä aina, kun käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksille ja vapauksille. Arviointi on tehtävä muun muassa, jos käsitellään heikommassa asemassa olevien rekisteröityjen sijaintitietoja tai sijaintitietoja käytetään järjestelmälliseen valvontaan.

Lue lisää: luettelo vaikutustenarviointia edellyttävistä käsittelytoimista

Tietosuojavaltuutetun näkemyksen mukaan paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden valvonnassa, kuten työajan seurannassa. Paikannuksen käyttäminen työajan valvontaan ja seurantaan voi kuitenkin olla mahdollista, jos työntekijä tekee työtään kokonaan tai enimmäkseen muualla kuin työnantajan tiloissa eikä työajan valvontaan ole käytettävissä muita, yksityisyyden suojaan vähemmän puuttuvia keinoja.

Jos paikannusjärjestelmää on tarkoitus käyttää työajan valvonnassa ja seurannassa, työnantajan tulee etukäteen määritellä se paikantamisen käyttötarkoitukseksi. Jos määrittelyä ei ole tehty ennalta eikä asiasta ole käyty yhteistoimintamenettelyä työpaikalla, paikannustietoja ei saa käyttää työ- tai palvelussuhteen ehtojen noudattamisen valvonnassa.

Työntekijän sairauspoissaolotiedot tai hänestä tehdyt valitukset ovat häntä koskevia henkilötietoja. Näiden tietojen laittaminen esille työpaikalla saattaa olla työnantajan vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa.

Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista yleisesti tilastollisena tietona. Työnantajan tulee määritellä, keillä on työtehtäviensä vuoksi oikeus käsitellä työntekijöiden henkilötietoja. Jos henkilötietojen käsittelyyn oikeutettu on käsittelyn yhteydessä saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, hän ei saa paljastaa saamiaan tietoja sivullisille.

Tiedot voidaan julkaista työnantajan verkkosivuilla ilman työntekijän suostumusta, jos julkaiseminen on asiallisesti perusteltua ja tarpeellista työnantajan toiminnan kannalta. Tietojen julkaiseminen voi olla mahdollista esimerkiksi silloin, kun työntekijän velvollisuuksiin kuuluu olla tunnistettavissa ja saavutettavissa ammattinimike-, työyhteystietojen sekä kuvan perusteella.

Työnantajan tulee huolellisesti harkita, onko julkaiseminen tarpeen, ja tarvittaessa perustella julkaiseminen niin työntekijöille kuin tietosuojavaltuutetulle. Vaikka suostumusta julkaisemiseen ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä. Asia tulee käydä läpi työpaikan yhteistoimintamenettelyissä.

Ammattiliiton jäsenyys kuuluu erityisiin henkilötietoryhmiin, joiden käsittelystä säädetään EU:n yleisen tietosuoja-asetuksen 9 artiklassa. Ammattiliiton jäsenyyttä koskevaa tietoa saa käsitellä, kun se on tarpeen rekisterinpitäjän tai rekisteröidyn erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden sekä sosiaaliturvan ja -palvelujen alalla.

Ammattiliittotoimintaan liittyvä yhteisö saa käsitellä ammattiliiton jäsenyyttä koskevaa tietoa toimintansa yhteydessä asianmukaisin suojatoimin. Tietosuojalain 6 §:n 3 kohta mahdollistaa ammattiliiton jäsenyyttä koskevien tietojen käsittelyn esimerkiksi työtaistelutilanteessa.

Ammattiliitto voi käsitellä vain omien ammattiyhdistysjäsentensä tietoja. Tiedon käsittely on sallittua, kun se koskee näiden yhteisöjen nykyisiä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet. Edellytyksenä on myös, että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta tai käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

Luottamusmiesten tiedonsaantioikeudesta sovitaan alakohtaisissa työehtosopimuksissa. Työnantajan on annettava luottamusmiehelle tarpeelliset tiedot tehtävän hoitamista varten. Perusteita esimerkiksi työntekijöiden työsuhde- ja palkkatietojen luovuttamiseen luottamusmiehille voivat olla

1. Työntekijä, jota luovutettavat henkilötiedot koskevat, on antanut suostumuksen.
2. Henkilötietojen luovuttaminen perustuu lain säännökseen tai on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
3. Tietojen luovuttaminen tapahtuu lainmukaisesti solmituissa työehtosopimuksissa määrätyllä tavalla.
4. Tietojen luovuttaminen voi tulla kyseeseen työnantajan harkinnan perusteella myös, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, elleivät henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäytä tällaisia etuja.

Luottamusmiesten tulee käsitellä henkilötietoja tietosuoja-asetuksen mukaisesti. Ennen tietosuoja-asetuksen voimaantuloa vallinneet käytännöt luottamusmiestoiminnassa ovat jatkuneet pääsääntöisesti samanlaisina.

Tietosuojavaltuutetulla ei ole toimivaltaa tulkita työehtosopimuksia, eikä sillä ole ennakollista lupa- tai kieltotoimivaltaa tietojen luovutusten suhteen.

Tietosuoja-asioissa työntekijän kannattaa olla yhteydessä ensin oman organisaation tietosuojavastaavaan, mikäli organisaatiolla sellainen on. Tietosuojavastaavan tehtävänä on antaa neuvoja ja tietoja rekisterinpitäjälle ja henkilötietoja käsitteleville työntekijöille tietosuojaan liittyvistä asioista. Myös omaan esihenkilöön voi olla yhteydessä, jos havaitsee tietosuojaan liittyviä puutteita työpaikalla.

Tietosuojavaltuutetun toimisto ja työsuojeluviranomainen valvovat yhdessä työelämän tietosuojalain noudattamista toimivaltansa puitteissa.

Työsuojeluviranomaisen tehtävänä on valvoa alueellisesti työsuojelua koskevien säädösten noudattamista. Valvonnan lisäksi työsuojeluviranomainen antaa ohjeita ja neuvoja työterveyteen ja -turvallisuuteen sekä työsuhteen ehtoihin liittyvissä kysymyksissä.

Tietosuojavaltuutetun toimiston tehtävänä on valvoa tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Joissain tilanteissa voi olla hyvä keskustella myös työpaikan työsuojeluvaltuutetun kanssa. Työsuojeluvaltuutetun tehtävä on edustaa työpaikan työntekijöitä kaikessa, mikä vaikuttaa työntekijöiden työturvallisuuteen ja työterveyteen.

Työnantajan on huomioitava, että työnantajan on kerättävä työntekijää koskevat henkilötiedot ensisijaisesti työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, on työnantajan hankittava työntekijältä suostumus tietojen keräämiseen.

Lisäksi työnantajan on huomioitava tässäkin yhteydessä tarpeellisuusvaatimus, eli työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin tai johtuvat työtehtävien erityisluonteesta.

Työnantaja voi siis kysyä tietoja työntekijän suoriutumisesta entiseltä työnantajalta, jos työnantaja arvioi tarpeellisuusvaatimuksen täyttyvän, työnantaja ei saa tarvittavia tietoja työntekijältä ja on saanut työntekijältä suostumuksen tietojen kysymiseen.

Suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Työnantajan on pystyttävä osoittamaan, että suostumus on annettu.

Luottotietojen, kuten muiden henkilötietojen, säilyttämisessä tulee ottaa huomioon säilytyksen rajoittamisen periaate, jonka mukaan tietoja tulee säilyttää vain niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten.

Työnantajan tulee siis tunnistaa, mihin tarkoitukseen luottotietoja käsitellään ja arvioida, milloin luottotietojen käsittelyn tarkoitus on täytetty. Kun luottotietoja ei enää tarvita tähän tarkoitukseen, ne tulee poistaa.

Luottotietojen pitkät säilytysajat eivät ole perusteltuja, sillä luottotietokyselyn kautta saadut tiedot kuvaavat aina kyselyn tekohetken mukaista tilannetta. Luottotiedot voivat muuttua nopeastikin kyselyn tekemisen jälkeen, jolloin luottotietoraportti ei ole enää ajantasainen.