Usein kysyttyä koronaviruksesta ja tietosuojasta
Terveystiedoilla tarkoitetaan tietoja, jotka kuvaavat henkilön terveydentilaa, sairautta, vammaisuutta tai hoitotoimenpiteitä.
Terveystiedot kuuluvat erityisiin henkilötietoryhmiin. Erityisiin henkilötietoryhmiin kuuluvia tietoja on suojeltava erityisen tarkasti.
- Tieto siitä, että henkilö on saanut koronavirustartunnan, on terveystieto.
- Tieto siitä, että henkilö on altistunut koronavirukselle, on terveystieto
- Tieto siitä, että henkilö on palannut riskialueelta, ei ole terveystieto.
- Tieto siitä, että henkilö on karanteenissa (antamatta lisätietoja syystä), ei ole terveystieto.
- Tieto siitä, että henkilö on saanut koronarokotuksen, on terveystieto.
Kaikki edellä mainitut tiedot ovat kuitenkin henkilötietoja ja niiden käsittelyyn sovelletaan tietosuojalainsäädäntöä.
Työntekijöiden henkilötietojen käsittelyyn sovelletaan EU:n yleisen tietosuoja-asetuksen ohella lakia yksityisyyden suojasta työelämässä (työelämän tietosuojalaki). Työelämän tietosuojalaissa on erikseen säädetty työntekijöiden henkilötietojen käsittelyä koskevasta tarpeellisuusvaatimuksesta ja terveystietojen käsittelystä. Sovellettavaksi voivat tulla myös tartuntatautilaki ja muu työturvallisuuteen liittyvä lainsäädäntö.
Lisätietoa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä
Lisätietoa työelämän tietosuojalaista Finlexissä
Anonyymit tiedot ovat tietoja, joista yksittäistä henkilöä ei voida tunnistaa. Jos tiedot ovat anonyymeja, niiden käsittelyyn ja julkaisemiseen ei sovelleta tietosuojalainsäädäntöä. Tunnistamisen täytyy estyä peruuttamattomasti. Tieto on edelleen tunnistettavaa, jos siitä esimerkiksi muihin tietoihin yhdistettynä voidaan päätellä, kenestä on kysymys. Anonymisoidut tilastotason tiedot voi kertoa julkisuuteen.
Potilastietoja ovat terveydenhuollossa hoidon yhteydessä syntyvät tiedot, jotka merkitään potilasasiakirjoihin. Niiden salassapidosta ja niiden antamisesta, myös kuolleiden osalta, säädetään potilaan asemasta ja oikeuksista annetun lain 13 §:ssä (Potilaslaki 785/1992). Tietosuoja-asetusta (2016/679) ei sovelleta kuolleita koskeviin henkilötietoihin.
Koronapassia voidaan käyttää tartuntatautilain mukaisesti rajoitustoimien vaihtoehtona. Kun rajoitustoimia ei ole voimassa, ei laissa säädettyä perustetta koronapassin voimassaolon tarkistamiselle ole.
Aluehallintovirastot valvovat koronapassin käyttöä rajoitustoimien vaihtoehtona, ja ne ovat antaneet tähän ohjausta.
Lisätietoa AVIn ohjeistuksesta aluehallintoviraston verkkosivuilla
Tartunnan saanut henkilö voi oma-aloitteisesti kertoa muille, esimerkiksi taksinkuljettajalle, koronavirustartunnastaan. Tiedon voi kertoa myös kysyttäessä. Jos kysyjä ei tallenna tietoa, ei tietosuojalainsäädäntöä sovelleta tilanteeseen. Kysyjä ei saa syyllistyä syrjintään.
Esimerkiksi Ruotsissa yleisvaaralliseen tartuntatautiin sairastuneen on kerrottava tartunnastaan niille, jotka ovat lähikontaktin vuoksi tartuntavaarassa. Suomessa tartunnan saaneella ei sen sijaan ole vastaavaa velvollisuutta. Tartuntatautilain perusteella tartunnasta on velvollisuus ilmoittaa asiaa selvittävälle lääkärille. Tälle on ilmoitettava henkilön käsitys tartuntatavasta, -ajankohdasta ja -paikasta sekä niiden henkilöiden nimet, jotka ovat voineet olla tartunnan lähteenä tai saada tartunnan.
Jos organisaation työntekijällä todetaan koronavirus, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää. Työnantaja voi informoida yleisesti muita työntekijöitä tartunnasta tai mahdollisesta tartunnasta ja ohjata heitä työskentelemään kotoa käsin.
Työntekijän terveystietoja saavat käsitellä vain ne henkilöt, joiden tehtäviin se kuuluu. Työnantajan on nimettävä nämä henkilöt etukäteen tai määriteltävä ne tehtävät, joihin sisältyy terveystietojen käsittelyä. Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia.
Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista. Tarvittaessa työnantaja voi ilmaista yleisellä tasolla, organisaation käytänteiden mukaisesti, että työntekijä on estynyt hoitamasta työtehtäviään. Jos organisaation työntekijällä todetaan koronavirus tai työntekijä on asetettu karanteeniin, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää.
Työturvallisuuslaki velvoittaa työnantajaa huolehtimaan työpaikan turvallisuudesta. Työnantajan velvollisuudesta järjestää lain nojalla terveydentilaa koskevia tarkastuksia ja testejä säädetään mm. työterveyshuoltolaissa. Vapaaehtoisia terveystarkastuksia voidaan myös järjestää.
Työelämän tietosuojalain mukaan työntekijöiden terveydentilaa koskevien tarkastusten ja testien suorittamiseen sekä näytteiden ottamiseen tulee käyttää terveydenhuollon ammattihenkilöitä, asianomaisen laboratoriokoulutuksen saaneita henkilöitä ja terveydenhuollon palveluja terveydenhuollon lainsäädännön mukaisesti.
Terveystarkastuksen suorittaa lääkäri tai asianmukaisen koulutuksen saanut muu terveydenhuollon ammattihenkilö lääkärin valvonnassa. Tarkastuksen osana voidaan ottaa välttämättömiä näytteitä ja tehdä muu tutkimus, josta ei aiheudu merkittävää haittaa tutkittavalle. Työntekijällä on oikeus käydä terveystarkastuksessa tai tutkimuksissa työaikana.
Tartuntatautilain mukaan aluehallintovirasto voi määrätä järjestettäväksi kohdennettuja terveystarkastuksia tietyssä työpaikassa, laitoksessa, kulkuneuvossa tai vastaavassa paikassa oleskeleville, jos tarkastus on yleisvaarallisen tartuntataudin leviämisen estämiseksi tarpeen. Terveystarkastukseen osallistuminen on vapaaehtoista.
Koronavirustaudin riskiryhmään kuuluminen on terveystieto, jos riskiryhmään kuulumista käsitellään terveydentilan arvioimiseksi (kuuluuko työntekijä riskiryhmään perussairauksien vuoksi). Terveydentilatietoa ei saa kertoa sivullisille ilman työntekijän nimenomaista suostumusta tai muuta lainmukaista perustetta. Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista.
Riskiryhmään voi kuulua myös iän perusteella. Tieto työntekijän iästä ei ole terveydentilatieto.
Tarvittaessa työnantaja voi ilmaista yhteistyökumppanille yleisellä tasolla, työntekijän terveyden suojaamisen tarkoituksessa, että työntekijä on estynyt hoitamasta työtehtäviään.
Työnantaja on viranomaisten ohjeiden ja työturvallisuuslain mukaan velvollinen ohjaamaan riskiryhmään kuuluvan työntekijän tarvittaessa työterveyshuoltoon riskinarviointiin töiden uudelleenjärjestämiseksi. Terveydentilatietoja voidaan käsitellä, jos työntekijä nimenomaisesti haluaa työkykyisyyttään selvitettävän terveydentilaa koskevien tietojen perusteella. Asiassa sovelletaan työelämän tietosuojalain (Finlex) mukaista käsittelyn perustetta työsuhteen oikeuksien ja velvollisuuksien vuoksi. Erillistä nimenomaista suostumusta ei tarvita.
Työpaikan sisäisessä tiedottamisessa koskien riskiryhmäläisten uudelleen sijoittamista on otettava huomioon välitön tarpeellisuusvaatimus ja vaitiolovelvollisuus terveydentilatietojen käsittelyssä.
Hoitavan lääkärin on tartuntatautilain mukaan ilmoitettava kunnan tai sairaanhoitopiirin kuntayhtymän tartuntataudeista vastaavalle lääkärille, jos hän saa tietää potilaansa sairastavan tai sairastaneen yleisvaarallista tartuntatautia, joka voi aiheuttaa tartuntavaaran toiselle henkilölle. Tartuntataudeista vastaavalla lääkärillä on tällöin oikeus tartunnan lähdettä ilmaisematta ilmoittaa todennäköisestä tartuntavaarasta asianomaiselle henkilölle.
Tartunnan saanut henkilö voi myös itse kertoa tartunnasta haluamilleen tahoille.
Potilastietoihin merkittyyn tietoon virustartunnasta tai altistumisesta virukselle sovelletaan tietosuojasääntelyä. Jos tällainen tieto annetaan terveydenhuollosta esimerkiksi potilaan läheiselle, on kyse potilastiedon luovuttamisesta sivulliselle. Potilastietojen luovuttaminen on mahdollista potilaan asemasta ja oikeuksista annetun lain (potilaslaki) 13 §:ssä säädetyillä perusteilla.
Potilastietoja voidaan antaa sivulliselle potilaan kirjallisella suostumuksella. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja voidaan antaa hänen laillisen edustajansa kirjallisella suostumuksella. Lisäksi tajuttomuuden tai muun siihen verrattavan syyn vuoksi hoidettavana olevan potilaan lähiomaiselle tai muulle läheiselle voidaan antaa tieto potilaan henkilöllisyydestä sekä hänen terveydentilastaan, jollei ole syytä olettaa, että potilas kieltäisi menettelemästä näin. Tätä joudutaan arvioimaan tapauskohtaisesti.
Jos potilas on kykenemätön päättämään hoidostaan mielenterveyden häiriön, kehitysvammaisuuden tai muun syyn vuoksi, on ennen tärkeän hoitopäätöksen tekemistä kuultava potilaan laillista edustajaa, lähiomaista tai muuta läheistä, jotta voidaan selvittää, millainen hoito vastaisi parhaiten potilaan tahtoa. Hoitoon on tällöin saatava tämän henkilön suostumus. Tällaisessa tilanteessa potilaan laillisella edustajalla, lähiomaisella tai muulla läheisellä on oikeus saada tarpeelliset tiedot potilaan terveydentilasta kuulemista ja suostumuksen antamista varten.
Terveydenhuollon organisaatio voi yllä sanotusta riippumatta antaa yleisen tason informaatiota esimerkiksi vierailujärjestelyistä, varautumisesta COVID19-epidemiaan tai epidemian hallitsemiseen liittyvistä toimenpiteistä.
Sosiaalihuollon asiakastietoihin merkittyyn tietoon virustartunnasta tai altistumisesta virukselle sovelletaan tietosuojasääntelyä. Jos tällainen tieto annetaan esimerkiksi asiakkaan läheiselle, on kysymys sosiaalihuollon asiakastietojen luovuttamisesta. Asiassa tulee tällöin noudattaa sosiaalihuollon asiakkaan asemasta ja oikeuksista annetun lain (sosiaalihuollon asiakaslaki) 14-16 §:ä.
Sosiaalihuollon asiakaslain 16 §:n mukaan salassa pidettävästä asiakirjasta saa antaa tietoja asiakkaan nimenomaisella suostumuksella tai siten kuin laissa erikseen säädetään. Jos asiakkaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa suostumuksella.
Sosiaalihuollon asiakaslain 9 §:ssä säädetään itsemääräämisoikeudesta erityistilanteissa. Pykälän mukaisessa tilanteessa on asiakkaan tahtoa selvitettävä yhteistyössä hänen laillisen edustajansa, omaisensa tai muun henkilön kanssa, kun asiakas ei yksin pysty osallistumaan ja vaikuttamaan palvelujensa tai sosiaalihuoltoon liittyvien muiden toimenpiteiden suunnitteluun ja toteuttamiseen. Tällöinkin on huomattava, että tietoja ei voida tässäkään laissa tunnistetussa erityistilanteessa luovuttaa omaisille, jos ne eivät nimenomaisesti liity tämän yksittäisen asiakkaan sosiaalihuollon palvelujen järjestämiseen. Lisäksi asiakkaan toimintakyvyn tehdä asiassa itse päätöksiä tulee olla olennaisesti laskenut, jotta pykälä tulisi sovellettavaksi. Sosiaalihuollon palveluista vastuussa oleva taho määrittelee, täyttääkö asiakkaan tilanne sosiaalihuollon asiakaslain 9 §:n mukaiset kriteerit.
Kuten terveydenhuollon organisaation kohdalla, myös sosiaalihuollossa voidaan antaa yleisen tason informaatiota esimerkiksi vierailujärjestelyistä, varautumisesta COVID19-epidemiaan tai epidemian hallitsemiseen liittyvistä toimenpiteistä.
Tietosuojavaltuutetun näkemyksen mukaan kartoittamiseen voidaan käyttää potilastietoja, kun kartoittamistehtävän voidaan katsoa kuuluvan terveydenhuollon toimintayksikön tehtäviin ja tavoitteena on henkilön hoidon tarpeen arviointi.
Jos yhteydenoton aikana käy ilmi henkilön halu tai tarve saada muiden tahojen tarjoamia palveluja, voidaan tiedot välittää näille tahoille kyseessä olevan henkilön suostumuksella. Joissakin tapauksissa tieto voi olla mahdollista välittää myös lain nojalla.
Kartoittamiseen liittyvä henkilötietojen käsittely on suunniteltava etukäteen (EU:n yleisen tietosuoja-asetuksen 25 artiklan mukainen sisäänrakennettu ja oletusarvoinen tietosuoja). Erityisesti on varmistettava, että kartoittamistehtäviin osallistuvat henkilöt ottavat toiminnassaan huomioon salassapitoon ja tietojen minimoinnin vaatimukseen liittyvät seikat.
Organisaatio voi tehdä tällaisia ratkaisuja myös pandemian aikana. Pandemia ei kuitenkaan ole peruste jättää tietosuojasääntelyä noudattamatta, vaan se on otettava poikkeuksellisessa tilanteessakin huomioon, kun tehdään henkilötietojen käsittelyä koskevia ratkaisuja.
Valittavassa välineessä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille. EU:n yleisen tietosuoja-asetuksen 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa sellaiset tekniset ja organisatoriset tietoturvallisuuden varmistamiseen tähtäävät toimenpiteet, jotka vastaavat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä.
Rekisterinpitäjän pitää arvioida, tulisiko uuden välineen käyttöönotosta tehdä tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi.
Toteutetut toimenpiteet ja tehdyt ratkaisut on syytä dokumentoida osoitusvelvollisuuden toteuttamiseksi.
EU:n yleisessä tietosuoja-asetuksessa säädetään, että tietosuojavastaavaa ei saa irtisanoa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuoja-asetuksessa ei säädetä erikseen lomautuksista. Lomautuksia koskeviin kysymyksiin sovelletaan siten lähtökohtaisesti työoikeudellista sääntelyä.
Jos yleinen tietosuoja-asetus edellyttää, että organisaatio nimeää tietosuojavastaavan, velvoitteen noudattamisesta on huolehdittava myös esimerkiksi tilanteessa, jossa henkilöstöä lomautetaan.
Yleisen tietosuoja-asetuksen asettamista edellytyksistä tietosuojavastaavan tehtävään nimettävälle ei voida poiketa esimerkiksi lomautustilanteessa. Tietosuojavastaavalla on oltava asiantuntemusta tietosuojalainsäädännöstä ja valmius hoitaa hänelle suoraan asetuksessa säädettyjä tehtäviä. Organisaatio voi tarvittaessa tukeutua arvioinnissaan esimerkiksi aiempiin ratkaisuihinsa siitä, miten tietosuojavastaavan sijaisuus on järjestetty loma-aikoina niin, että se täyttää tietosuoja-asetuksen vaatimukset.
Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa organisaationsa henkilötietojen käsittelyä sekä auttaa johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavaltuutetun toimisto kiinnittää tässä yhteydessä huomiota siihen, että koronatilanteessa on tullut esiin useita henkilötietojen suojaa koskevia kysymyksiä. Tietosuojavastaavalla on tärkeää asiantuntemusta näiden tilanteiden tunnistamiseksi ja tietosuojalainsäädännön noudattamiseksi.
Osa sairaanhoitopiireistä on suositellut ravintoloille ja tapahtumajärjestäjille asiakkaiden yhteystietojen keräämistä, jotta yhteystietoja voidaan tarvittaessa käyttää koronavirustartuntojen ja -altistumisten jäljittämiseen.
Jos keräät tietoja, kiinnitä erityistä huomiota seuraaviin asioihin.
1. Varmista käsittelyperuste ja suostumuksen lainmukaisuus
Henkilötietojen käsittelylle on aina oltava jokin peruste. Viranomaisen suositus ei yksistään ole peruste käsitellä henkilötietoja.
Suomessa yrityksillä ei ole laissa säädettyä velvollisuutta kerätä yhteystietoja tartuntojen jäljittämiseen. Tietojen kerääminen on kuitenkin mahdollista rekisteröidyn suostumuksen perusteella. Se tarkoittaa, että asiakas saa itse päättää, haluaako hän antaa tietojaan ravintolalle tai tapahtuman järjestäjälle koronavirusaltistumisten jäljittämistä varten.
Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteisesti annettu. Asiakkaalle on kerrottava selkeästi, mihin tarkoitukseen tietoja kerätään. Asiakkaalla on myös oikeus kieltäytyä tietojensa antamisesta. Tietojen antamista ei voida pitää edellytyksenä esimerkiksi ravintolaan pääsylle.
Lisätietoa käsittelyperusteista
Lisätietoa rekisteröidyn suostumuksen pyytämisestä
2. Rajaa tietojen käyttötarkoitus
Tietoja saa käyttää vain tartuntaketjujen jäljittämiseen, ei esimerkiksi markkinointiin tai muuhun asiakasviestintään.
Lisätietoa käyttötarkoituksen rajaamisesta
3. Minimoi kerättävien tietojen määrä
Kerätä saa vain sellaisia tietoja, jotka ovat tarpeellisia tartuntojen jäljittämistä varten. Asiakkaalta voidaan kysyä esimerkiksi nimeä ja puhelinnumeroa. Myös yhteystieto ja alias -yhdistelmä voi riittää tartuntaketjujen jäljittämiseen.
Lisätietoa tietojen minimoinnista
4. Määritä tietojen säilytysaika
Tietoja saa käsitellä vain niin kauan, kun se on tarpeen tartuntaketjujen määrittämiseksi. Esimerkiksi Koronavilkun kohdalla tiedot säilytetään 21 päivän ajan, sen jälkeen tiedot hävitetään. Tiedot on hävitettävä huolellisesti, kun niitä ei enää tarvita.
Lisätietoa tietojen säilytysajan määrittämisestä
5. Toteuta rekisteröidyn oikeudet
Rekisteröidyillä on monia oikeuksia, joiden toteutuminen on varmistettava. Asiakkaille on kerrottava selkeästi ja kattavasti, miten ja mihin tarkoitukseen henkilötietoja aiotaan käsitellä. Asiakas voi myös perua suostumuksensa tietojen käsittelyyn, ja tiedot pitää poistaa, jos asiakas sitä pyytää.
Lisätietoa rekisteröidyn oikeuksista
6. Huolehdi tietojen turvallisesta käsittelystä
Tietoihin saavat päästä käsiksi vain sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely liittyy.
Asiakkaita ei pidä ohjata jättämään yhteystietojaan siten, että muut asiakkaat voivat nähdä tiedot.
7. Kuvaa henkilötietojen käsittelyn roolit
Käsitteleekö jokin toinen taho tietoja ravintolan tai tapahtumanjärjestäjän lukuun esimerkiksi sovelluksen välityksellä? Silloin on laadittava käsittelysopimus.
Lisätietoa henkilötietojen käsittelijöistä
Lisätietoa henkilötietojen käsittelijän velvollisuuksista
Koronarokotetiedot
Lainsäädäntö ei rajoita keskustelua koronarokotteesta. Työntekijä voi halutessaan kertoa itse koronarokotteestaan, mutta häntä ei voi kuitenkaan velvoittaa koronarokotetiedon kertomiseen.
Vaikka tietosuojalainsäädäntö ei rajoita suullisia keskusteluja, työpaikalla tulisi pyrkiä erilaisin järjestelyin ottamaan huomioon työntekijän yksityiselämän tarpeet, kuten mahdollisuus luottamukselliseen keskusteluun. Keskusteluihin sovelletaan vaitiolovelvollisuutta koskevia sääntöjä.
Lue koronarokotustiedon käsittelystä lisää seuraavasta kysymyksestä: "Onko tieto saadusta koronarokotteesta terveystieto? Voiko työnantaja käsitellä työntekijöiden koronarokotetietoja?"
Terveystieto kuvaa henkilön terveydentilaa. Terveystietoja ovat kaikki tiedot esimerkiksi sairauksista, sairauden riskistä tai annetuista hoidoista riippumatta siitä mistä lähteestä tiedot on saatu.
Koronarokotuksen saamista koskeva tieto on terveystieto. Esimerkkejä koronarokotetiedon käyttötarkoituksista ovat rokotetiedon käsittely hoitotoimenpiteen yhteydessä, henkilön terveydentilan selvittämiseksi tai hänen sairastumisriskinsä arvioimiseksi. Esimerkiksi todistus saadusta koronarokotteesta on terveystieto.
Terveystiedot kuuluvat tietosuoja-asetuksessa määriteltyihin erityisiin henkilötietoryhmiin. Työntekijän terveydentilatietojen käsittelyn tulee olla työsuhteen kannalta välittömästi tarpeellista. Työnantajan tulee huolellisesti harkita tarpeellisuusvaatimuksen täyttymistä. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.
Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos se on tarpeen sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko työstä poissaoloon perusteltu syy. Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaisesti haluaa, että hänen työkykyisyyttään selvitetään terveydentilatietojen perusteella.
Lisäksi työnantajalla on oikeus käsitellä työntekijän terveydentilatietoja sellaisissa tilanteissa, joista erikseen säädetään muualla laissa.
Muissa kuin edellä kuvatuissa tilanteissa työnantaja ei voi velvoittaa työntekijää antamaan terveydentilatietojaan. Terveydentilatietoja käsittelevät henkilöt ovat lisäksi vaitiolovelvollisia, eivätkä he saa paljastaa työntekijän terveydentilatietoja sivullisille.
Työnantaja voi pyytää työterveydestä tilastollista tietoa työntekijöiden rokotuskattavuudesta työpaikalla.
Lue myös vastaus kysymykseen ”Voiko työnantaja kysyä työntekijöiden koronarokotetiedoista?”
Lue vastauksia usein kysyttyihin kysymyksiin työntekijän terveystietojen käsittelystä
Lisätietoa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä
Työnhakijoiden henkilötietojen käsittelyyn sovelletaan EU:n yleisen tietosuoja-asetuksen ohella soveltuvin osin lakia yksityisyyden suojasta työelämässä (työelämän tietosuojalaki).
Työnhakijan terveydentilatiedot kuuluvat tietosuoja-asetuksessa määriteltyihin erityisiin henkilötietoryhmiin, ja niiden käsittelyn tulee olla työsuhteen kannalta välittömästi tarpeellista. Työnantajan tulee harkita tarpeellisuusvaatimuksen täyttymistä huolellisesti. Tarpeellisuusvaatimuksesta ei voi poiketa työnhakijan suostumuksella.
Työnantajalla on velvollisuus kertoa työnhakijalle, miten kysytty henkilötieto on välittömästi työsuhteen kannalta tarpeellinen. Jos kysymys ei ole työsuhteen kannalta välittömästi tarpeellinen, työnhakija voi jättää vastaamatta siihen tai antaa puutteellisen vastauksen. Puutteellisen tai epätäydellisen vastauksen antamisella ei saa olla työnhakijalle kielteisiä seuraamuksia.
Lue myös vastaus kysymykseen ”Voiko työnantaja kysyä työntekijöiden koronarokotetiedoista?”
Tartuntatautilaissa säädetään väliaikaisesti (48 a § Finlexissä, voimassa 31.12.2022 saakka) sosiaali- ja terveydenhuollon asiakkaiden ja potilaiden suojaamisesta covid-19-taudilta. Sosiaali- ja terveydenhuollon palveluissa työskentelevän on osoitettava, että hänellä on rokotuksen tai aikaisemmin sairastetun taudin antama suoja covid-19-tautia vastaan, jos hän työskentelee tehtävissä, joihin liittyy lähikontaktin aiheuttama tartuntariski covid-19-taudin vakaville seuraamuksille alttiille asiakkaille tai potilaille. Jos työntekijä ei lääketieteellisistä syistä voi ottaa rokotusta, hän voi osoittaa suojan tautia vastaan negatiivisella covid-19-laboratoriotestin tuloksella.
Tartuntatautilain mukaan työnantajalla on oikeus käsitellä työntekijän tai työharjoittelussa olevan opiskelijan terveystietoja, jotka koskevat tämän soveltuvuutta edellä kuvattuihin tehtäviin. Työnantaja voi siis käsitellä tietoa koronarokotteesta tai testituloksesta riittävän suojan varmistamiseksi covid-19-tautia vastaan.
Kyseessä on terveydentilatieto, ja tietojen käsittelyssä on noudatettava myös muita työelämän tietosuojalain säädöksiä. Työnantajan on esimerkiksi nimettävä henkilöt, joiden työnkuvaan terveydentilatietojen käsittely kuuluu ja määritettävä tehtävät, joissa tietoja käsitellään.
Terveydenhuollon organisaatioilla on jo aiemmin ollut velvollisuus varmistaa työntekijöiden rokotussuojan riittävyys tietyissä tilanteissa (tartuntatautilaki 48 § Finlexissä). Näitä jo olemassa olevia toimintatapoja voidaan todennäköisesti hyödyntää myös koronarokotussuojan riittävyyden arvioinnissa.
Rokotteita ja sairastettua tautia koskevat tiedot pyydetään henkilöltä itseltään. Jos henkilö ei toimita tietoa, katsotaan, että työnantaja ei voi varmistua riittävästä suojasta. Tällöin henkilö ei lähtökohtaisesti voi työskennellä vakavalle covid-19-taudille alttiiden asiakkaiden ja potilaiden kanssa.
Lainsäädännössä ei ole määritelty täsmällisesti, millä tavalla tai esimerkiksi mitä asiakirjoja näyttämällä työntekijän tulisi osoittaa rokotussuojansa. Työpaikoilla voidaan hyödyntää jo olemassa olevia toimintatapoja riittävän rokotussuojan osoittamiseksi. Työntekijä voi esimerkiksi näyttää työnantajalle todistuksen saadusta rokotteesta tai negatiivisesta laboratoriotestituloksesta. Työnantaja tallentaa tarpeelliset tiedot asianmukaiseksi katsomallaan tavalla.
Työnantajalle ei ole säädetty oikeutta saada koronarokotustietoja terveydenhuollosta. Työnantaja voi kuitenkin sopia työterveyshuollon kanssa riittävän suojan varmistamisesta työnantajan lukuun. Tällöinkin tiedot pyydetään henkilöltä itseltään ja toimitaan edellä kuvattujen periaatteiden mukaisesti.
Työnantajan on säilytettävä työntekijän terveydentilaa koskevat tiedot erillään muista henkilötiedoista. Tiedot on säilytettävä niin kauan kuin ne ovat tarpeen sosiaali- ja terveydenhuollon palveluja koskevan valvontaa varten, kuitenkin enintään kolme vuotta suojan riittävyyden arvioinnista. Tietojen säilyttämisestä työnantajan lukuun voidaan sopia myös esimerkiksi työterveyshuollon kanssa.
Työnantajan tulisi huolehtia, että työntekijät voivat toimittaa tiedot tietoturvallisella tavalla. Työntekijöitä ei voida vaatia toimittamaan terveydentilatietoja esimerkiksi suojaamattomalla sähköpostilla.
Sosiaali- ja terveydenhuollon palveluilla tarkoitetaan laajasti kaikkia sosiaali- ja terveydenhuollon palveluita, joihin lukeutuvat sekä julkiset että yksityiset palvelujentuottajat. Säännös koskee myös asiakkaan tai potilaan kotona tarjottavia sosiaali- ja terveydenhuollon palveluita.
Velvollisuus koskee kaikkia niitä henkilöitä, joiden työtehtäviin liittyy lähikontaktin aiheuttama tartuntariski covid-19-taudin vakaville seuraamuksille alttiille asiakkaille tai potilaille. Velvollisuus ei siis rajaudu vain esimerkiksi terveydenhuollon ammattilaisiin. Lähikontaktina ei pidetä sitä, jos sosiaali- ja terveydenhuollon palveluissa työskentelevä henkilö toimii esimerkiksi taloushallinnossa tai sairaalan keittiössä sellaisissa tehtävissä, joihin ei sisälly ollenkaan vakavalle covid-19-taudille alttiiden asiakkaiden ja potilaiden tapaamista (HE 230/2021 vp, s. 29-30).
Lähikontaktiksi katsotaan THL:n määritelmän mukaan tilanteet, joissa kohtaaminen kasvotusten on kestänyt yli 15 minuuttia alle 2 metrin etäisyydellä, fyysinen kontakti, suojaamaton kontakti eritteisiin, yli 15 minuutin oleskelu suljetussa tilassa 24 tunnin aikana sekä tilanteet, joissa henkilökunta on hoitanut tartunnan saanutta henkilöä ilman asianmukaista suojautumista ja joissa laboratoriohenkilökunta on käsitellyt covid-19-näytteitä (HE 230/2021 vp, s.7).
Lisätietoa sote-palveluiden henkilöstön rokotetiedon käsittelystä THL:n verkkosivulla
Työelämän tietosuojalain 4 § 3 momentin mukaan henkilötietojen kerääminen työhön otettaessa ja työsuhteen aikana on käsiteltävä yhteistoimintamenettelyssä.
Lue lisää:
Tietosuojavaltuutetun toimiston tiedotteita
- Euroopan tietosuojaneuvosto antoi ohjeita koronapandemiaan liittyvästä henkilötietojen käsittelystä (22.4.2020)
- Euroopan tietosuojaneuvosto tukee komission ehdotusta tartuntaketjujen jäljittämiseen tarkoitettujen sovellusten vapaaehtoisesta käyttöönotosta (16.4.2020)
- Euroopan tietosuojaneuvosto tiivistää yhteistyötään koronakriisiin liittyvissä tietosuojakysymyksissä (6.4.2020)
- Tietosuojavaltuutetun toimisto julkaisi vastauksia kysymyksiin koronaviruksesta ja tietosuojasta (23.3.2020)
- EU:n tietosuojaviranomaiset tekevät yhteistyötä koronatilanteeseen liittyvissä kysymyksissä (20.3.2020)
- Tietosuoja ja koronaviruksen leviämisen hillitseminen (12.3.2020)
Tietosuojavaltuutetun blogi
Tietoa koronaviruksesta
- Valtioneuvosto: Tietoa ja neuvontaa koronaviruksesta
- THL: Ajankohtaista koronaviruksesta