Usein kysyttyä työelämästä
- Työelämän tietosuojan käsikirja (tietosuojavaltuutetun toimisto 2020, pdf)
- Työelämän tietosuoja -opas (työ- ja elinkeinoministeriön pdf-esite)
- Laki lasten kanssa työskentelevien rikostaustan selvittämisestä -opas (työ- ja elinkeinoministeriön pdf-esite)
- Työelämän tietosuojalaki
- Usein kysyttyä koronaviruksesta ja tietosuojasta
Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuuksiin tai jotka johtuvat työtehtävien erityisluonteesta.
Tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella. Työnantaja ei siis saa käsitellä mitä tahansa työntekijää koskevia henkilötietoja.
Sähköpostiviestintä on luottamuksellista. Työnantaja saa kuitenkin tietyin edellytyksin hakea tai avata viestejä, jotka ovat saapuneet työntekijän työsähköpostiosoitteeseen tai jotka on lähetetty siitä.
Lue lisää, missä tilanteissa työnantajalla on oikeus hakea tai avata sähköpostiviestejä.
Työnantaja saa käsitellä työntekijän terveydentilatietoja (esim. diagnoosit), jos käsittely on tarpeen sairausajan palkan tai siihen rinnastettavien, terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko työstä poissaoloon perusteltu syy. Terveydentilatietojen käsittely on sallittua myös silloin, jos työntekijä nimenomaan haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella. Lisäksi työnantajalla on oikeus käsitellä tietoja niissä tilanteissa ja siinä laajuudessa, kuin muualla laissa säädetään.
Työnantaja saa kerätä työntekijän terveydentilatietoja häneltä itseltään tai hänen kirjallisella suostumuksellaan muualta. Jos työntekijä toimittaa työnantajalle työkykyään koskevan lääkärintodistuksen tai -lausunnon, työnantaja saa luovuttaa sen työterveyshuoltoon, ellei työntekijä ole kieltänyt luovuttamista.
Työnantajan tulee säilyttää työntekijän terveydentilatietoja sisältävät asiakirjat erillään työntekijän muista henkilötiedoista. Terveydentilaa koskevia merkintöjä ei myöskään saa tallettaa työnantajan muiden henkilörekistereiden, kuten palkkahallinnon rekistereiden yhteyteen.
Terveydentilaa koskevia tietoja saavat käsitellä vain ne henkilöt, jotka näiden tietojen perusteella valmistelevat tai tekevät työsuhdetta koskevia päätöksiä taikka panevat niitä toimeen. Työnantajan on nimettävä nämä henkilöt tai määriteltävä tehtävät, joihin sisältyy terveydentilaa koskevien tietojen käsittelyä.
Työnantaja sekä mahdolliset työnantajan lukuun terveydentilatietoja käsittelevät henkilöt ovat vaitiolovelvollisia, eivätkä he saa paljastaa työntekijän terveydentilatietoja sivullisille.
Terveydentilaa koskevat tiedot on poistettava välittömästi sen jälkeen, kun käsittelylle ei ole enää perustetta. Käsittelyn perustetta ja tarvetta on arvioitava vähintään viiden vuoden välein.
Työnantajalla on työn johto- ja valvontaoikeus (ns. direktio-oikeus), jonka nojalla työnantaja voi määritellä yksittäisen työntekijän työtehtävät, antaa työhön liittyviä määräyksiä sekä valvoa työstä suoriutumista. Se ei kuitenkaan oikeuta työnantajaa valvomaan työntekijää siten, että työnantaja keräisi tai katsoisi työntekijän internet-selailusta kertyviä tunnistamistietoja.
Työntekijä ei myöskään voi pätevällä tavalla antaa suostumustaan siihen, että työnantaja saisi valvoa hänen internet-selailuaan. Oikeus luottamukselliseen viestintään koskee myös internet-selailua ja siitä kertyviä tunnistamistietoja.
Työnantaja voi kuitenkin päättää tietoverkkojen käyttösäännöistä, kuten siitä, saako työpaikalla ylipäätään surffata internetissä ja jos, millaisilla sivustoilla. Työnantaja voinee myös estää pääsyn joillekin sivuille.
Työntekijöiden paikantaminen on teknistä valvontaa, joka tulee käydä läpi työpaikan yhteistoimintamenettelyissä. Paikantaminen on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve. Paikantamiseen oikeuttavia perusteita voivat olla esimerkiksi työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan. Matkapuhelimen avulla tapahtuva paikantaminen vaatii sähköisen viestinnän palvelulain mukaisen suostumuksen.
Työnantajan on tehtävä vaikutustenarviointi ennen kuin se voi käsitellä työntekijöiden sijaintitietoja. Vaikutustenarviointi on tehtävä aina, kun käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksille ja vapauksille. Arviointi on tehtävä muun muassa, jos käsitellään heikommassa asemassa olevien rekisteröityjen sijaintitietoja tai sijaintitietoja käytetään järjestelmälliseen valvontaan.
Lue lisää: luettelo vaikutustenarviointia edellyttävistä käsittelytoimista
Tietosuojavaltuutetun näkemyksen mukaan paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden valvonnassa, kuten työajan seurannassa. Paikannuksen käyttäminen työajan valvontaan ja seurantaan voi kuitenkin olla mahdollista, jos työntekijä tekee työtään kokonaan tai enimmäkseen muualla kuin työnantajan tiloissa eikä työajan valvontaan ole käytettävissä muita, yksityisyyden suojaan vähemmän puuttuvia keinoja.
Jos paikannusjärjestelmää on tarkoitus käyttää työajan valvonnassa ja seurannassa, työnantajan tulee etukäteen määritellä se paikantamisen käyttötarkoitukseksi. Jos määrittelyä ei ole tehty ennalta eikä asiasta ole käyty yhteistoimintamenettelyä työpaikalla, paikannustietoja ei saa käyttää työ- tai palvelussuhteen ehtojen noudattamisen valvonnassa.
Työntekijän sairauspoissaolotiedot tai hänestä tehdyt valitukset ovat häntä koskevia henkilötietoja. Näiden tietojen laittaminen esille työpaikalla saattaa olla työnantajan vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa.
Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista yleisesti tilastollisena tietona. Työnantajan tulee määritellä, keillä on työtehtäviensä vuoksi oikeus käsitellä työntekijöiden henkilötietoja. Jos henkilötietojen käsittelyyn oikeutettu on käsittelyn yhteydessä saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, hän ei saa paljastaa saamiaan tietoja sivullisille.
Tiedot voidaan julkaista työnantajan verkkosivuilla ilman työntekijän suostumusta, jos julkaiseminen on asiallisesti perusteltua ja tarpeellista työnantajan toiminnan kannalta. Tietojen julkaiseminen voi olla mahdollista esimerkiksi silloin, kun työntekijän velvollisuuksiin kuuluu olla tunnistettavissa ja saavutettavissa ammattinimike-, työyhteystietojen sekä kuvan perusteella.
Työnantajan tulee huolellisesti harkita, onko julkaiseminen tarpeen, ja tarvittaessa perustella julkaiseminen niin työntekijöille kuin tietosuojavaltuutetulle. Vaikka suostumusta julkaisemiseen ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä. Asia tulee käydä läpi työpaikan yhteistoimintamenettelyissä.
Ammattiliiton jäsenyys kuuluu erityisiin henkilötietoryhmiin, joiden käsittelystä säädetään EU:n yleisen tietosuoja-asetuksen 9 artiklassa. Ammattiliiton jäsenyyttä koskevaa tietoa saa käsitellä, kun se on tarpeen rekisterinpitäjän tai rekisteröidyn erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden sekä sosiaaliturvan ja -palvelujen alalla.
Ammattiliittotoimintaan liittyvä yhteisö saa käsitellä ammattiliiton jäsenyyttä koskevaa tietoa toimintansa yhteydessä asianmukaisin suojatoimin. Tietosuojalain 6 §:n 3 kohta mahdollistaa ammattiliiton jäsenyyttä koskevien tietojen käsittelyn esimerkiksi työtaistelutilanteessa.
Ammattiliitto voi käsitellä vain omien ammattiyhdistysjäsentensä tietoja. Tiedon käsittely on sallittua, kun se koskee näiden yhteisöjen nykyisiä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet. Edellytyksenä on myös, että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta tai käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.
Luottamusmiesten tiedonsaantioikeudesta sovitaan alakohtaisissa työehtosopimuksissa. Työnantajan on annettava luottamusmiehelle tarpeelliset tiedot tehtävän hoitamista varten. Perusteita esimerkiksi työntekijöiden työsuhde- ja palkkatietojen luovuttamiseen luottamusmiehille voivat olla
- Työntekijä, jota luovutettavat henkilötiedot koskevat, on antanut suostumuksen.
- Henkilötietojen luovuttaminen perustuu lain säännökseen tai on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
- Tietojen luovuttaminen tapahtuu lainmukaisesti solmituissa työehtosopimuksissa määrätyllä tavalla.
- Tietojen luovuttaminen voi tulla kyseeseen työnantajan harkinnan perusteella myös, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, elleivät henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäytä tällaisia etuja.
Luottamusmiesten tulee käsitellä henkilötietoja tietosuoja-asetuksen mukaisesti. Ennen tietosuoja-asetuksen voimaantuloa vallinneet käytännöt luottamusmiestoiminnassa ovat jatkuneet pääsääntöisesti samanlaisina.
Tietosuojavaltuutetulla ei ole toimivaltaa tulkita työehtosopimuksia, eikä sillä ole ennakollista lupa- tai kieltotoimivaltaa tietojen luovutusten suhteen.
Tietosuojavaltuutetun aikaisempaa ratkaisukäytäntöä työelämän tietosuojasta Finlexissä
- Analyyttisten palkkausjärjestelmien arviointitiedoista muodostuvista rekistereistä
- Henkilötietojen käsittely rekrytointimenetelmiä käytettäessä
- Henkilötietojen keräämisen asianmukaisuudesta avointen hakemusten yhteydessä
- Henkilötietojen luovuttaminen yritysjärjestelyn yhteydessä
- Huumausainetestitodistuksen toimittaminen työterveyshuollosta suoraan työnantajalle
- Kotihoidon kameravalvonta
- Kunnan viranhakemuksista laadittu yhteenveto
- Omien keskustelujen ja puheluiden nauhoittaminen työpaikalla
- Paikantaminen työelämässä
- Rekisterit yhteisellä rakennustyömaalla työskentelevistä
- Rikosrekisteritietojen tarkastaminen työelämässä
- Työntekijän/potilaan suostumus tietojen luovuttamiseen työnantajalle
- Työntekijän sähköposti ja matkapuhelin työsuhteen päättyessä
- Työntekijän valokuva henkilörekisterissä
- Työntekijän valokuva organisaation sisäisessä intranet-puhelinluettelossa ja internetissä
- Työntekijöiden terveydentilatietojen sekä sairauspoissaolo -tietojen käsittelystä työpaikalla sekä niiden työterveyshuoltoon luovuttamisesta työnantajan ja työterveyshuollon välisessä yhteistyössä
- Virkamiesten kuvaaminen ja henkilötietojen julkaiseminen videotallenteen muodossa sosiaalisessa mediassa
- Yrityksen kulunvalvontajärjestelmän henkilörekisterin käytöstä