Usein kysyttyä koronaviruksesta ja tietosuojasta

Terveystiedoilla tarkoitetaan tietoja, jotka kuvaavat henkilön terveydentilaa, sairautta, vammaisuutta tai hoitotoimenpiteitä.

Terveystiedot kuuluvat erityisiin henkilötietoryhmiin. Erityisiin henkilötietoryhmiin kuuluvia tietoja on suojeltava erityisen tarkasti.

• Tieto siitä, että henkilö on saanut koronavirustartunnan, on terveystieto.
• Tieto siitä, että henkilö on palannut riskialueelta, ei ole terveystieto.
• Tieto siitä, että henkilö on karanteenissa (antamatta lisätietoja syystä), ei ole terveystieto.

Kaikki edellä mainitut tiedot ovat kuitenkin henkilötietoja ja niiden käsittelyyn sovelletaan tietosuojalainsäädäntöä.

Työntekijöiden henkilötietojen käsittelyyn sovelletaan EU:n yleisen tietosuoja-asetuksen ohella lakia yksityisyyden suojasta työelämässä (työelämän tietosuojalaki). Työelämän tietosuojalaissa on erikseen säädetty työntekijöiden henkilötietojen käsittelyä koskevasta tarpeellisuusvaatimuksesta ja terveystietojen käsittelystä. Sovellettavaksi voivat tulla myös tartuntatautilaki ja muu työturvallisuuteen liittyvä lainsäädäntö.

Lisätietoa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä

Anonyymit tiedot ovat tietoja, joista yksittäistä henkilöä ei voida tunnistaa. Jos tiedot ovat anonyymeja, niiden käsittelyyn ja julkaisemiseen ei sovelleta tietosuojalainsäädäntöä. Tunnistamisen täytyy estyä peruuttamattomasti. Tieto on edelleen tunnistettavaa, jos siitä esimerkiksi muihin tietoihin yhdistettynä voidaan päätellä, kenestä on kysymys. Anonymisoidut tilastotason tiedot voi kertoa julkisuuteen.

Potilastietoja ovat terveydenhuollossa hoidon yhteydessä syntyvät tiedot, jotka merkitään potilasasiakirjoihin. Niiden salassapidosta ja niiden antamisesta, myös kuolleiden osalta, säädetään potilaan asemasta ja oikeuksista annetun lain 13 §:ssä (Potilaslaki 785/1992). Tietosuoja-asetusta (2016/679) ei sovelleta kuolleita koskeviin henkilötietoihin.

Jos organisaation työntekijällä todetaan koronavirus, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää. Työnantaja voi informoida yleisesti muita työntekijöitä tartunnasta tai mahdollisesta tartunnasta ja ohjata heitä työskentelemään kotoa käsin.

Työntekijän terveystietoja saavat käsitellä vain ne henkilöt, joiden tehtäviin se kuuluu. Työnantajan on nimettävä nämä henkilöt etukäteen tai määriteltävä ne tehtävät, joihin sisältyy terveystietojen käsittelyä.  Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia.

Lisätietoa työntekijän terveystietojen käsittelystä

Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista. Tarvittaessa työnantaja voi ilmaista yleisellä tasolla, organisaation käytänteiden mukaisesti, että työntekijä on estynyt hoitamasta työtehtäviään. Jos organisaation työntekijällä todetaan koronavirus tai työntekijä on asetettu karanteeniin, työnantaja ei saa lähtökohtaisesti nimetä kyseistä työntekijää.

Lisätietoa työntekijän terveystietojen käsittelystä

Koronavirustaudin riskiryhmään kuuluminen on terveystieto, jos riskiryhmään kuulumista käsitellään terveydentilan arvioimiseksi (kuuluuko työntekijä riskiryhmään perussairauksien vuoksi). Terveydentilatietoa ei saa kertoa sivullisille ilman työntekijän nimenomaista suostumusta tai muuta lainmukaista perustetta. Työnantaja on vaitiolovelvollinen työntekijän terveystiedoista.

Riskiryhmään voi kuulua myös iän perusteella. Tieto työntekijän iästä ei ole terveydentilatieto.

Tarvittaessa työnantaja voi ilmaista yhteistyökumppanille yleisellä tasolla, työntekijän terveyden suojaamisen tarkoituksessa, että työntekijä on estynyt hoitamasta työtehtäviään.

EU:n yleisessä tietosuoja-asetuksessa säädetään, että tietosuojavastaavaa ei saa irtisanoa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuoja-asetuksessa ei säädetä erikseen lomautuksista. Lomautuksia koskeviin kysymyksiin sovelletaan siten lähtökohtaisesti työoikeudellista sääntelyä.

Jos yleinen tietosuoja-asetus edellyttää, että organisaatio nimeää tietosuojavastaavan, velvoitteen noudattamisesta on huolehdittava myös esimerkiksi tilanteessa, jossa henkilöstöä lomautetaan.

Yleisen tietosuoja-asetuksen asettamista edellytyksistä tietosuojavastaavan tehtävään nimettävälle ei voida poiketa esimerkiksi lomautustilanteessa. Tietosuojavastaavalla on oltava asiantuntemusta tietosuojalainsäädännöstä ja valmius hoitaa hänelle suoraan asetuksessa säädettyjä tehtäviä. Organisaatio voi tarvittaessa tukeutua arvioinnissaan esimerkiksi aiempiin ratkaisuihinsa siitä, miten tietosuojavastaavan sijaisuus on järjestetty loma-aikoina niin, että se täyttää tietosuoja-asetuksen vaatimukset.

Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa organisaationsa henkilötietojen käsittelyä sekä auttaa johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavaltuutetun toimisto kiinnittää tässä yhteydessä huomiota siihen, että koronatilanteessa on tullut esiin useita henkilötietojen suojaa koskevia kysymyksiä. Tietosuojavastaavalla on tärkeää asiantuntemusta näiden tilanteiden tunnistamiseksi ja tietosuojalainsäädännön noudattamiseksi.