Viimeksi julkaistu 28.3.2022 19.24

Hallituksen esitys HE 35/2022 vp Hallituksen esitys eduskunnalle laiksi yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan muutettavaksi yksityisyyden suojasta työelämässä annettua lakia. Työntekijän henkilötietojen keräämistä koskevaa sääntelyä ehdotetaan muutettavaksi siten, että työnantaja voisi työsuhteen aikana kerätä työntekijän henkilötietoja ilman hänen suostumustaan työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten. Keräämisen ei edellytettäisi perustuvan suostumukseen myöskään silloin, jos laissa on erikseen säädetty toisin henkilötietojen käsittelystä. 

Esityksen tavoitteena on selkeyttää työntekijän henkilötietojen keräämistä koskevaa sääntelyä ja sääntelyn suhdetta niin kutsuttuun tietosuoja-asetukseen sekä yhteensovittaa sääntely paremmin tietosuoja-asetuksen ja työnantajien lainsäädäntöön perustuvien tiedonkeruutarpeiden kanssa.  

Ehdotettu laki on tarkoitettu tulemaan voimaan mahdollisimman pian. 

PERUSTELUT

Asian tausta ja valmistelu

1.1  Tausta

Yksityisyyden suojasta työelämässä annetun lain (ns. työelämän tietosuojalaki, 759/2004) työntekijän henkilötietojen keräämistä koskevaa 4 §:n 1 momenttia muutettiin vuonna 2019 voimaan tulleella lailla yksityisyyden suojasta työelämässä annetun lain muuttamisesta (347/2019). Muutos perustui hallituksen esitykseen laeiksi yksityisyyden suojasta työelämässä annetun lain ja lasten kanssa työskentelevien rikostaustan selvittämisestä annetun lain 10 §:n muuttamisesta (HE 97/2018 vp) liittyneeseen työelämä- ja tasa-arvovaliokunnan mietintöön (TyVM 12/2018 vp), jossa ehdotettiin 4 §:n 1 momentin sanamuodon muuttamista pykälän tulkintakäytännön tarkistamiseksi. Eduskunta edellytti kuitenkin lain käsittelyn yhteydessä hyväksymässään lausumassa (EV 236/2018 vp) yksityisyyden suojasta työelämässä annetun lain luotettavuuden selvittämistä koskevan sääntelyn (4 §:n 1 momentti) mahdollisten muutostarpeiden selvittämistä kolmikantaisessa lainvalmistelussa pyrkien tasapainoiseen ratkaisuun työntekijöiden yksityisyyden suojan ja työnantajien tiedonkäsittelytarpeiden välillä. Valmistelussa tuli ottaa huomioon tietosuojavaltuutetun tulkintakäytäntö, lainsäädännön kehitys sekä tarvittaessa unionin oikeuden rikkomisesta ilmoittavien suojelua koskeva direktiiviehdotus.  

1.2  Valmistelu

Esitys on valmisteltu epävirallisessa kolmikantaisessa työryhmässä, jossa olivat edustettuina Akava ry, STTK ry, Suomen Ammattiliittojen Keskusjärjestö SAK ry, Elinkeinoelämän keskusliitto EK ry, Suomen Yrittäjät ry, Kunnallinen työmarkkinalaitos, Valtion työmarkkinalaitos ja Kirkon työmarkkinalaitos sekä asiantuntijana tietosuojavaltuutetun toimiston edustaja. 

Työ- ja elinkeinoministeriö pyysi hallituksen esitysluonnoksesta lausuntoja työryhmässä edustettuina olleilta tahoilta, aluehallintovirastoilta, oikeusministeriöltä, sosiaali- ja terveysministeriöltä sekä Ahvenanmaan maakunnan hallitukselta. 

Lausuntoaika oli 12.7.–6.9.2021. Lausuntoja saatiin 14 kappaletta. Lausunnon toimittivat oikeusministeriö, sosiaali- ja terveysministeriö, Ahvenanmaan maakunnan hallitus, Etelä-, Lounais-, Itä-, Pohjois- sekä Länsi- ja Sisä-Suomen aluehallintovirastojen työsuojelun vastuualueet, tietosuojavaltuutettu, Tuomioistuinvirasto, Palkansaajakeskusjärjestöt (Akava ry, Suomen Ammattiliittojen Keskusjärjestö SAK ry ja STTK ry), Akavan Erityisalat AE ry, Autoliikenteen työnantajaliitto ry, Elinkeinoelämän keskusliitto EK ry, Suomen Yrittäjät ry, Suomen yksityisetsivä- ja Lakitoimistoliitto ry, Teknologiateollisuus ry ja Tietojohtaminen ry. Valtiovarainministeriöllä ei ollut lausuttavaa.  

Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa https://valtioneuvosto.fi/hankkeet tunnuksella TEM097:00/2020. 

Nykytila ja sen arviointi

2.1  Lainsäädäntö

2.1.1  Kansallinen lainsäädäntö

Suomen perustuslain (731/1999) 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Henkilötietojen suoja sisältyy osittain pykälässä turvatun yksityiselämän suojan piiriin.  

Työsuhteessa tapahtuvassa henkilötietojen käsittelyssä on noudatettava luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja asetuksen kanssa rinnakkain tietosuojalakia (1050/2018) sekä erityislakina yksityisyyden suojasta työelämässä annettua lakia.  

Yksityisyyden suojasta työelämässä annettu laki koskee työnantajan ja työntekijän välistä suhdetta. Yksityisyyden suojasta työelämässä annetussa laissa säädetään työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta. Lakia sovelletaan työsuhteisiin ja virkasuhteisiin sekä soveltuvin osin työnhakijoihin ja virkaa hakeviin. Laissa on otettu huomioon työnantajien ja työntekijöiden välisessä suhteessa esiintyviä erityistarpeita tietojen käsittelyyn sekä sovitettu yhteen työntekijöiden yksityisyyden suojaa ja työnantajien työsuhteeseen liittyviä tarpeita käsitellä työntekijöidensä henkilötietoja.  

Lain keskeisin säännös on sen 3 §:n 1 momentissa, jonka mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta (tarpeellisuusvaatimus). Pykälän 2 momentin mukaan tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.  

Yksityisyyden suojasta työelämässä annetun lain tarkoituksena on säädellä työsuhteeseen liittyvää henkilötietojen käsittelyä. Esitöiden (Hallituksen esitys Eduskunnalle laiksi yksityisyyden suojasta työelämässä ja eräiksi siihen liittyviksi laeiksi, HE 75/2000 vp, s. 15/II) mukaan lain 3 §:ssä määritellään henkilötietojen käyttötarkoitukseksi työsuhde. Työsuhteeseen liittyvä tarkoitus voi liittyä ainakin työhönottoon, työsopimuksen toteuttamiseen, työn johtamiseen, suunnitteluun, organisoimiseen tai valvontaan, lain tai työ- tai virkaehtosopimusten mukaisten velvollisuuksien toteuttamiseen taikka työsuhteen päättämiseen. Rekisterinpitäjät käsittelevät henkilötietoja myös muita tarkoituksia kuin työsuhteeseen liittyviä tarkoituksia varten. Tällöin käsittelyyn sovelletaan tietosuoja-asetusta. 

Työnantajan tarve kerätä työntekijöidensä henkilötietoja voi lain esitöissä selostetulla tavalla johtua muun muassa viranomaisista, asiakkaista, työympäristöstä, henkilöstöhallinnosta ja organisaation kehittämisestä. Julkisella sektorilla on erikseen säädetty muun muassa viranhakumenettelystä ja virkaan nimittämisen perusteista. Välittömästi työsuhteen kannalta tarpeellisia henkilötietoja ovat lain esitöiden mukaan esimerkiksi työtehtävien suorittamisen, työntekijän valinnan, työolosuhteiden sekä työ- ja virkaehtosopimusten tiettyjen määräysten toteuttamisen edellyttämät tiedot sekä lainsäädännössä edellytetyt tiedot. Tarpeellisuusarviointi on tehtävä aina kussakin yksittäistapauksessa erikseen. Työnantajan oikeutta kerätä työnhakijan henkilötietoja tulee tarkastella siitä työtehtävästä lähtien, johon työnhakijaksi ilmoittautunut haluaa. Tarpeellisia ovat silloin lähinnä sellaiset tiedot, jotka osoittavat hakijan pätevyyttä ja sopivuutta kyseiseen tehtävään. Tarpeellisuusvaatimuksella on liittymä myös työnhakijoiden ja työntekijöiden syrjintäsuojaan, koska työsuhteen kannalta tarpeettomien tietojen kerääminen voi johtaa joissakin tilanteissa syrjintään. Esitöiden mukaan työntekijän suostumus ei voi syrjäyttää tarpeellisuusvaatimusta, koska suostumukselle ei työntekijän alisteisen aseman vuoksi voida antaa täysin vapaaseen tahdonmuodostukseen perustuvaa merkitystä. (HE 75/2000 vp, s. 15–17.) 

Lain 4 §:ssä säädetään työntekijän henkilötietojen keräämisen yleisistä edellytyksistä ja työnantajan tiedonantovelvollisuudesta. Pykälän 1 momentin mukaan työnantajan on kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on hankittava suostumus tietojen keräämiseen. Suostumus ei kuitenkaan ole tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään. Pykälän 1 momentissa säädetään työntekijää koskevien henkilötietojen ensisijaiseksi tietolähteeksi työntekijä itse. Pykälässä ei tyhjentävästi määritellä niitä muita tietolähteitä, joista työntekijän henkilötietoja voidaan kerätä. Muiden tietolähteiden käyttö edellyttää kuitenkin pääsääntöisesti työntekijän suostumusta. Kerättävien tietojen on oltava 3 §:ssä säädetyn tarpeellisuusvaatimuksen mukaisia. 

Tietojen keräämisellä tarkoitetaan lain esitöiden (HE 75/2000 vp, s. 17/II) mukaan järjestelmällistä tietojen keräämistä. Ulkopuolisilta hankittavilla tiedoilla tarkoitetaan kaikkia henkilötietoja niiden keräämistavasta riippumatta. 

Ennen vuonna 2019 voimaan tullutta 4 §:n 1 momentin muutosta työntekijän suostumus ei momentin sanamuodon mukaan ollut tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. Hallituksen esityksessä eduskunnalle laeiksi yksityisyyden suojasta työelämässä annetun lain ja lasten kanssa työskentelevien rikostaustan selvittämisestä annetun lain 10 §:n muuttamisesta (HE 97/2018 vp) ehdotettiin virkkeestä poistettavaksi harhaanjohtavana maininta rikosrekisteritiedoista, joiden käsittely voi perustua vain erityissäännöksiin. Työelämä- ja tasa-arvovaliokunta katsoi (TyVM 12/2018 vp) lakiehdotusta käsitellessään, että 4 §:n 1 momentin sanamuotoa oli tarpeen täsmentää muutoinkin lain tulkintakäytännön tarkistamiseksi ja pykälän selkiyttämiseksi. Valiokunnan ehdottamalla muutoksella tähdennettiin, että vain laissa erikseen säädetyissä tapauksissa työntekijän suostumus tietojen keräämiseen ei ole tarpeen. Työelämä- ja tasa-arvovaliokunta katsoi, että lakiin ei ollut tarkoituksenmukaista tehdä merkittäviä muutoksia ilman perusteellista lainvalmistelua. Valiokunta piti lainkohdan muutostarpeiden selvittämistä tarpeellisena.  

Työelämä- ja tasa-arvovaliokunta perusteli mietinnössään 4 §:n 1 momentin täsmentämistarvetta lain tulkintakäytännössä ilmenneellä epäselvyydellä. Tietosuojavaltuutetun vakiintuneen tulkintakäytännön mukaan suostumusta ei ole tarvittu myöskään lain esitöissä (HE 75/2000 vp, s. 17–18) tarkoitetuissa tilanteissa eli silloin, kun henkilötietojen kerääminen on tarpeen työntekijän luotettavuuden selvittämiseksi tai siihen rinnastuvaan tarkoitukseen. Lain säätämiseen johtaneessa hallituksen esityksessä (HE 75/2000 vp) ehdotettiin 4 §:n 1 momenttiin säännöstä, jonka mukaan, jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään ja tiedot eivät ole tarpeellisia työntekijän luotettavuuden selvittämiseksi, työntekijältä on hankittava suostumus tietojen keräämiseen. Säännöksen perusteluissa työntekijän luotettavuuden selvittämisen liitettiin henkilöluottotiedot, selvitykset taloudellisesta riippuvuudesta ja poliisin luotettavuuslausunnot. Lisäksi luotettavuuden selvittämiseen rinnastettiin työntekijöitä koskeva asiakaspalaute. Lain 4 §:n 1 momentin sanamuotoa kuitenkin muutettiin eduskuntakäsittelyn aikana työ- ja tasa-arvoasiainvaliokunnan mietinnön (TyVM 3/2001 vp) perusteella siten, että työntekijän suostumusta ei tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. 

Työntekijän luotettavuuden selvittämiseen liittyvä lainsäädäntö on yksityisyyden suojasta työelämässä annetun lain säätämisen jälkeen kehittynyt. Lain esitöissä luotettavuuden selvittämiseen liitetyt poliisin luotettavuuslausunnot on korvattu turvallisuusselvityksillä, joista säädetään erikseen. Turvallisuusselvityksessä voidaan selvittää myös henkilöluottotietoja ja taloudellisia sidonnaisuuksia. Henkilöluottotietojen hankkimisesta on säännökset yksityisyyden suojasta työelämässä annetun lain 5 a §:ssä ja huumausainetesteistä 3 luvussa. Lain 4 §:n 1 momentissa on viittaussäännökset luotettavuuden selvittämistä koskevaan muuhun lainsäädäntöön. Turvallisuusselvityksen hakemisesta säädetään turvallisuusselvityslaissa (726/2014). Menettelystä, jolla alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustaa selvitetään, säädetään lasten kanssa työskentelevien rikostaustan selvittämisestä annetussa laissa (504/2002). Oikeudesta saada tietoja rikosrekisteristä säädetään rikosrekisterilaissa (770/1993).  

Yksityisyyden suojasta työelämässä annetun lain 4 §:n 2 momentin mukaan työnantajan on ilmoitettava työntekijälle etukäteen tätä koskevien tietojen hankkimisesta luotettavuuden selvittämistä varten. Jos työnantaja hankkii työntekijän henkilöluottotietoja, työnantajan tulee 4 §:n 2 momentin mukaan lisäksi ilmoittaa työntekijälle, mistä rekisteristä luottotiedot hankitaan. Jos työntekijää koskevia tietoja on kerätty muualta kuin työntekijältä itseltään, työnantajan on ilmoitettava työntekijälle saamistaan tiedoista ennen kuin niitä käytetään työntekijää koskevassa päätöksenteossa. Momentissa on informatiivinen viittaus tietosuoja-asetuksen III luvun säännöksiin rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja ja rekisteröidyn oikeudesta saada pääsy tietoihinsa. 

Henkilötietojen kerääminen työhön otettaessa ja työsuhteen aikana on lain 4 §:n 3 momentin mukaan käsiteltävä yhteistoimintalaissa (1333/2021) tarkoitetussa vuoropuhelussa taikka yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (1233/2013) tai työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnassa ja hyvinvointialueella annetussa laissa (449/2007) tarkoitetussa yhteistoimintamenettelyssä. 

2.1.2  EU-lainsäädäntö

Tietosuoja-asetuksen 5 artiklan 1 kohdassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Niitä ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Rekisterinpitäjä vastaa siitä ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Tietojen käsittelyn suunnitelmallisuuden kannalta olennaisia vaatimuksia on myös tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa koskevassa 25 artiklassa.  

Tietosuoja-asetuksen 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta. Kaiken henkilötietojen käsittelyn on perustuttava johonkin artiklan 1 kohdassa säädetyistä käsittelyn oikeusperusteista. Artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (a alakohta), käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (b alakohta), käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (c alakohta), käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (d alakohta), käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (e alakohta) tai käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi (f alakohta).  

Tietosuoja-asetuksella on muutettu ja täsmennetty suostumuksen käsitettä verrattuna tietosuoja-asetusta edeltäneeseen yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettuun Euroopan parlamentin ja neuvoston direktiiviin 95/46/EY, jäljempänä henkilötietodirektiivi. Suostumuksen määritelmästä säädetään tietosuoja-asetuksen 4 artiklan 11 kohdassa. Rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.  

Tietosuoja-asetuksen 7 artiklan mukaan, jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.  

Tietosuoja-asetuksen johdanto-osan kappaleen 43 mukaan, jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. 

Henkilötietodirektiivissä tarkoitettu WP 29 -työryhmä (Article 29 Working Party) on antanut tietosuoja-asetuksen mukaista suostumusta koskevat suuntaviivat (Guidelines on Consent under Regulation 2016/679), jotka tietosuoja-asetuksen mukainen Euroopan tietosuojaneuvosto on tietosuoja-asetuksen soveltamisen alkamisen jälkeen hyväksynyt. Suuntaviivojen mukaan suostumus ei ole pätevä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta, jos hän tuntee olevansa pakotettu antamaan suostumuksensa tai jos hänelle aiheutuu kielteisiä seurauksia siitä, ettei hän anna suostumusta.  

Suuntaviivojen mukaan tietosuoja-asetuksen johdanto-osan kappaleessa 43 tarkoitettua vallan epätasapainoa esiintyy myös työsuhteissa. Työnantajan ja työntekijän välisestä suhteesta johtuvan riippuvuuden vuoksi on epätodennäköistä, että rekisteröity voi kieltäytyä antamasta työnantajalleen suostumusta tietojen käsittelyyn ilman siitä johtuvaa haitallisten vaikutusten pelkoa tai todellista riskiä. On epätodennäköistä, että työntekijä voisi vastata vapaasti työnantajansa esittämään suostumuksen antamista koskevaan pyyntöön, kun kyse on esimerkiksi seurantajärjestelmien, kuten kameravalvonnan, käyttöönotosta työpaikalla tai arviointilomakkeiden täyttämisestä, tuntematta painostusta suostumuksen antamiseen. Suuntaviivojen mukaan useimmiten työpaikalla tapahtuvan tietojen käsittelyn laillisena perusteena ei voi eikä pitäisi olla työntekijöiden suostumus työnantajan ja työntekijän välisen suhteen luonteen vuoksi. Työnantajan ja sen henkilöstön jäsenten välisen vallan epätasapainon vuoksi työntekijät voivat antaa vapaaehtoisen suostumuksen vain poikkeuksellisissa olosuhteissa silloin, kun sillä, antavatko he suostumuksensa vai eivät, ei ole minkäänlaisia vahingollisia seurauksia. 

Rekisteröidyn oikeuksista säädetään tietosuoja-asetuksen III luvussa. Luvussa on muun muassa yksityiskohtaiset säännökset rekisteröidyn informoinnista, rekisteröidyn oikeudesta saada tutustua henkilötietoihin, oikeudesta tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen sekä vastustamisoikeudesta.  

Tietosuoja-asetus on EU:n jäsenvaltioissa suoraan sovellettava säädös. Kun on kyse tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä, tietosuoja-asetusta tarkentava kansallinen lainsäädäntö on mahdollista silloin, kun tietosuoja-asetuksessa nimenomaisesti jätetään jäsenvaltioille kansallista sääntelyliikkumavaraa. Kansallista sääntelyliikkumavaraa liittyy useaan tietosuoja-asetuksen artiklaan. Työntekijän henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksessa annetun sääntelyliikkumavaran mukaista eikä se muutoinkaan saa olla ristiriidassa tietosuoja-asetuksen kanssa. 

Sääntelyliikkumavaraa voidaan ensinnäkin käyttää, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa. Tarkentava lainsäädäntö voi näissä tapauksissa sisältää erityisiä säännöksiä tietosuoja-asetuksen säännösten soveltamisen mukauttamiseksi, muun muassa yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta sekä käsiteltävien tietojen tyyppiä, rekisteröityjä, säilytysaikoja, käyttötarkoitussidonnaisuutta ja käsittelytoimia koskevia säännöksiä. Jäsenvaltion lainsäädännön on 6 artiklan mukaan täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ottaen huomioon tietosuoja-asetuksen suora sovellettavuus sekä perustuslakivaliokunnan viimeaikainen tulkintakäytäntö (ks. erityisesti PeVL 14/2018 vp) erityissääntely tulisi rajoittaa vain välttämättömään. 

Tietosuoja-asetuksen mukaiseen suostumuksen määritelmään tai 7 artiklan mukaisiin edellytyksiin ei sisälly kansallista sääntelyliikkumavaraa. 

Tietosuoja-asetuksen 88 artiklassa säädetään työsuhteessa tapahtuvaa henkilötietojen käsittelyä koskevasta sääntelyliikkumavarasta. Artiklan 1 kohdan mukaan jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten. Artiklan 2 kohdan mukaan näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin.  

Tietosuoja-asetuksen johdanto-osan kappaleen 155 mukaan jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.  

Unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annetussa Euroopan parlamentin ja neuvoston direktiivissä (EU) 2019/1937 säädetään velvollisuudesta ilmoituskanavien ylläpitoon tietyillä direktiivissä luetelluilla sektoreilla. Direktiivissä on säännökset väärinkäytöksistä ilmoittavien ja ilmoituksen kohteiden suojelusta sekä suojelun edellytyksistä.  

2.2  Kansainväliset sopimukset ja suositukset

2.2.1  Euroopan neuvosto

Yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (SopS 35–36/1992, jäljempänä tietosuojayleissopimus) tuli Suomessa voimaan 1.4.1992. Yleissopimuksen muuttamista koskeva pöytäkirja avattiin allekirjoittamista varten 10.10.2018, jolloin myös Suomi allekirjoitti sen. EU:n tietosuojalainsäädäntöä uudistettiin samanaikaisesti tietosuojayleissopimuksen uudistamistyön kanssa. Tietosuojayleissopimuksen ja EU:n tietosuojalainsäädännön välillä on pyritty varmistamaan mahdollisimman pitkälle menevä yhdenmukaisuus. Muutospöytäkirjan mukaisen uudistetun 7 artiklan uuden 2 kohdan mukaan osapuolet varmistavat, että tietoja voidaan käsitellä rekisteröidyn vapaan, nimenomaisen, tietoon perustuvan ja yksiselitteisen suostumuksen perusteella tai jollakin muulla oikeutetulla, lailla säädetyllä perusteella.  

Euroopan neuvoston ministerikomitea on vuonna 2015 hyväksynyt suosituksen henkilötietojen käsittelystä työelämässä (Recommendation CM/Rec(2015)5 of the Committee of Ministers to member States on the processing of personal data in the context of employment), jolla uudistettiin vuoden 1989 suositus työsuhteeseen liittyvien henkilötietojen suojaamisesta (Nro R (89) 2). Aikaisempi suositus otettiin huomioon yksityisyyden suojasta työelämässä annettua lakia säädettäessä (HE 75/2000 vp). Suosituksen uudistamisen taustalla olivat työelämässä tapahtuneet muutokset, jotka liittyvät erityisesti informaatioteknologian lisääntyneeseen käyttöön ja globalisaatioon. Suositusta koskevassa selitysmuistiossa todetaan, että työnantajat, työntekijät ja heidän tarpeensa ovat uusien teknologioiden lisääntyneen käytön myötä muuttuneet ja käsiteltävien henkilötietojen kirjo on laajentunut. 

Suositus koskee henkilötietojen käsittelyä työsuhteeseen liittyviin tarkoituksiin (employment purposes). Niillä tarkoitetaan työnantajien ja työntekijöiden välisiä suhteita, jotka liittyvät rekrytointiin, työsopimuksen täytäntöönpanoon, johtamiseen, mukaan lukien laista tai työehtosopimuksesta johtuvien velvoitteiden täyttäminen sekä organisaation suunnittelu ja tehokas toiminta sekä työsuhteen päättäminen. Selitysmuistion mukaan työsuhteeseen liittyvät tarkoitukset kattavat myös kurinpidolliset asiat (kuten sisäiset tutkinnat ja sanktiot) sekä käsittelyn työsuhteen päättämistä varten. 

Suosituksen mukaan työnantajien tulisi kerätä henkilötiedot suoraan rekisteröidyltä. Jos on mahdollista ja laillista käsitellä henkilötietoja, jotka kerätään kolmansilta osapuolilta, esimerkiksi suositukset, rekisteröityä tulisi informoida tästä asianmukaisesti etukäteen. Työsuhdetta varten kerättyjen tietojen tulee olla olennaisia ja rajoitettuja siihen, mikä on tarpeellista ottaen huomioon työsuhteen tyyppi sekä työnantajan vaihtuvat tiedontarpeet. Niitä tulee käsitellä vain työsuhteeseen liittyviin tarkoituksiin. Jos työnantajilla on lain tai sisäisten sääntöjen mukaan velvollisuus pitää yllä sisäisiä raportointimekanismeja, niiden tulee huolehtia kaikkien osapuolten henkilötietojen suojaamisesta. Erityisesti tulee huolehtia niiden henkilöiden tietojen luottamuksellisuudesta, jotka raportoivat laittomasta tai epäeettisestä toiminnasta (kuten niin sanotut pilliinpuhaltajat). Henkilötietoja tulee käyttää vain raportointiin liittyviin asianmukaisiin sisäisiin menettelyihin ja laissa edellytetyllä tavalla tai tarvittaessa oikeusprosesseissa.  

Suosituksen selitysmuistiossa painotetaan, että monet työntekijöiden henkilötietojen käsittelyn tilanteet eivät edellytä suostumusta, koska käsittelylle on toinen laillinen peruste. Jotta suostumus on pätevä, sen on oltava tietoinen, vapaaehtoisesti annettu ja rajoitettu niihin tilanteisiin, joissa työntekijällä on todellisuudessa vapaan valinnan mahdollisuus ja työntekijä voi myös kieltäytyä tai peruuttaa suostumuksen ilman, että siitä seuraa haitallisia vaikutuksia. 

2.2.2  Kansainvälinen työjärjestö

Työntekijöiden henkilötietojen suojaamista koskeva Kansainvälisen työjärjestön (ILO) ohjeisto hyväksyttiin järjestön asiantuntijakokouksessa vuonna 1996. Ohjeisto otettiin huomioon yksityisyyden suojasta työelämässä annettua lakia säädettäessä (HE 75/2000 vp). Ohjeisto ei ole jäsenvaltioita sitova.  

Ohjeiston yleisenä periaatteena on, että henkilötietoja tulisi käsitellä laillisesti ja oikeudenmukaisesti ja vain työntekijän työsuhteen hoitamiseen välittömästi liittyviä tarkoituksia varten. Työntekijöiden henkilötietoja tulisi kerätä vain työntekijältä itseltään. Kerättäessä tietoja kolmansilta osapuolilta asiasta tulisi ensin ilmoittaa työntekijälle ja saada tietojen keräämiseen hänen nimenomainen suostumuksensa. Ohjeiston selitysosassa todetaan, että työntekijöiden riippuvuus työpaikasta pääsääntöisesti johtaa siihen, että työntekijät pyrkivät noudattamaan työnantajien toiveita, jolloin heidän osallistumisensa tietojen käsittelyyn jää muodolliseksi. Tämän vuoksi työntekijöiden arkaluonteisten tietojen käsittelyä on rajoitettu.  

Ohjeiston selostusosassa on todettu työnantajien keräävän henkilötietoja työnhakijoista ja työntekijöistä useita eri tarkoituksia varten. Selostusosassa tunnistetaan myös työnantajien tarpeet kerätä tietoja laadunvalvonnan, asiakaspalvelun, omaisuuden suojelun ja työprosessin organisoimisen vuoksi. 

2.3  Käytäntö

Työnantajat keräävät työsuhteeseen liittyviä tarkoituksia varten monenlaisia työntekijän henkilötietoja ennen työsuhdetta ja sen aikana. Rekrytointia varten kerättävät henkilötiedot liittyvät erityisesti työntekijän taustatietoihin, kuten koulutukseen, aikaisempaan työkokemukseen sekä osaamisen ja soveltuvuuden arviointiin. Rekrytointipäätöksen tekemistä varten tarpeellisia henkilötietoja kerätään pääasiassa työntekijältä itseltään mutta myös muilta tahoilta, tyypillisesti aikaisemmilta työnantajilta.  

Työsuhteen aikana työnantajat keräävät työntekijöiden henkilötietoja työsuhteeseen liittyen lainsäädännöstä ja työ- ja virkaehtosopimuksista johtuvien velvoitteiden toteuttamista varten, työsopimuksen toteuttamista varten, työn johtamista, suunnittelua, organisoimista ja valvontaa varten, työntekijöitä koskevien arviointien ja päätösten, kuten työsuorituksen arviointia tai uusiin tehtäviin tai koulutukseen valitsemista varten taikka huomautuksen tai varoituksen antamista tai työsuhteen päättämistä varten. Työn tekemiseen liittyvää palautetta kerätään työpaikalla sekä esimerkiksi yhteistyökumppaneilta tai asiakkailta. Lisäksi työnantajille kertyy työntekijöiden henkilötietoja erilaisten työn johto- ja valvontaoikeuden (ns. direktio-oikeus) käyttämiseen perustuvien tietojärjestelmien kautta. Tietojärjestelmät voivat liittyä työsuhteen hoitoon, kuten työajanseuranta- ja vuosilomajärjestelmät, tai työnantajan toimintaan muutoin, kuten erilaiset toiminnan suorittamiseen ja ohjaamiseen liittyvät tietojärjestelmät. Työnantajan tarpeet käsitellä työntekijöiden henkilötietoja liittyvät suurelta osin työnantajan lakisääteisten velvoitteiden toteuttamiseen tai työn johto- ja valvontaoikeuden käyttämiseen. Lisäksi työntekijöiden henkilötietoja kerätään myös työntekijälle tarjottavien etuuksien tai esimerkiksi virkistystoiminnan toteuttamista varten.  

Tietosuojavaltuutetun aiemmassa käytännössä on edellä selostetun tulkintakäytännön mukaisesti arvioitu luotettavuuden selvittämisen näkökulmasta monen tyyppisiä työelämässä esiintyviä tilanteita, joissa työnantajat keräävät työntekijöiden henkilötietoja työsuhteeseen liittyvään tarkoitukseen. Sallittuna on pidetty esimerkiksi asiakaspalautteen keräämistä, tietojen keräämistä kehityskeskusteluita varten kollegoilta tai yhteisillä työpaikoilla toisen yhtiön ylläpitämästä kulunvalvontajärjestelmästä työaikojen seuraamista varten. Tietosuojavaltuutetun käytännössä on katsottu, että kerättävien tietojen on oltava työnantajan työn johto- ja valvontaoikeuden piiriin kuuluvia.  

Tietosuojavaltuutetun vakiintunutta tulkintakäytäntöä on sovellettu myös ilmoituskanavien yhteydessä tietosuojavaltuutetun Työelämän tietosuoja ns. whistleblowing-ilmiantojärjestelmissä -ohjeen (2010) perusteella. 

Organisaatioiden toiminnan sisäisessä valvonnassa apuna käytetään sähköisiä ilmoituskanavia (ns. whistleblowing-kanava tai -järjestelmä). Yrityksissä käytetään sisäisiä ilmoituskanavia osana yritysten sisäistä riskienhallintaa ja lainsäädännön ja muiden vaatimusten mukaisuuden valvontaa. Yrityksiltä voidaan edellyttää ilmoituskanavien ylläpitoa myös sopimuksissa. Sisäisten ilmoituskanavien kautta kerätään tietoja, jotka liittyvät yrityksen toiminnassa tapahtuneeseen lainsäädännön tai työnantajan eettisten ohjeiden, periaatteiden tai muiden ohjeiden rikkomiseen. Yrityksissä käytössä olevissa sisäisissä ilmoituskanavissa on usein mahdollista tehdä ilmoituksia monen tyyppisistä asioista. Samassa ilmoituskanavassa voidaan kerätä ilmoituksia sekä lainsäädännön rikkomisesta että eettisen normiston vastaisesta menettelystä. Osassa yrityksistä ilmoituskanava on käytössä myös sidosryhmille, kuten asiakkaille. Ilmoituskanavilla edistetään osaltaan vastuullista yritystoimintaa.  

Ilmoituskanaviin tulevat ilmoitukset voivat koskea myös yksittäisiä työntekijöitä ja heidän epäiltyjä rikkomuksiaan tai väärinkäytöksiään. Tietosuojavaltuutetun tulkintakäytännön perusteella yksityisyyden suojasta työelämässä annetun lain 4 §:n 1 momentti soveltuu tietojen keräämiseen ilmoituskanavissa silloin, kun kerättävät tiedot koskevat tiettyä työntekijää. Kyse voi siten olla työsuhteeseen liittyvästä henkilötietojen keräämisestä. Tietosuojavaltuutetun päätöksen (21.12.2018) mukaan, kun henkilötietoja käsitellään ns. whistleblowing- eli ilmiantojärjestelmien yhteydessä, on tehtävä tietosuoja-asetuksessa tarkoitettu vaikutustenarviointi. 

Unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annetussa direktiivissä säädetään velvollisuudesta ilmoituskanavien ylläpitoon tietyillä direktiivissä luetelluilla lainsäädännön aloilla tapahtuvien rikkomisten ilmoittamista varten. Ilmoituskanavia on käytössä myös muilla organisaatioilla kuin niillä, joilla nykyisen lainsäädännön nojalla on velvollisuus niiden ylläpitoon (esimerkiksi finanssiala) tai jotka kuuluvat mainitun direktiivin soveltamisalaan. 

2.4  Nykytilan arviointi

Työntekijän luotettavuuden selvittämiseen liittyvä lainsäädäntö on kehittynyt yksityisyyden suojasta työelämässä annetun lain säätämisen jälkeen edellä jaksossa 2.1.1 selostetulla tavalla. Työntekijän luotettavuuden selvittämisestä ei ole perusteltua säätää lain 4 §:ssä nykyistä tarkemmin ottaen huomioon luotettavuuden selvittämiseen liittyvän lainsäädännön kehitys.  

Lain 4 §:n 1 momentissa edellytetään työntekijän suostumuksen hankkimista työntekijän henkilötietojen keräämiselle muista tietolähteistä kuin työntekijältä itseltään. Lain 4 §:n 1 momentin sanamuotoon vuonna 2019 säädetty muutos aiheutti tarpeen arvioida suostumusta koskevan edellytyksen soveltamista. Muutoksella tähdennettiin työelämä- ja tasa-arvovaliokunnan mietinnön mukaisesti, että vain laissa erikseen säädellyissä tapauksissa työntekijän suostumus tietojen keräämiseen ei ole tarpeen (TyVM 12/2018 vp). Suostumusta koskeva edellytys ei sovellu kaikkiin tilanteisiin, joissa työntekijän henkilötietoja kerätään muualta kuin työntekijältä itseltään. Lainmuutos on herättänyt epäselvyyttä, koska se ei vastaa työelämässä vakiintuneita, yleisesti hyväksyttyjä käytäntöjä. On ilmeistä, ettei yksityisyyden suojasta työelämässä annetun lain 4 §:n 1 momentin soveltaminen ole ollut selkeää. 

Lain esitöihin (HE 75/2000 vp) perustuvan luotettavuuden selvittämisen perusteeseen pohjautuvan aiemman tulkintakäytännön perusteella on katsottu mahdolliseksi kerätä työntekijöiden henkilötietoja työsuhteen aikana ilman suostumusta monissa sellaisissa työelämän tavanomaisissa tilanteissa, joihin suostumus ei sovellu. Monissa työsuhteen aikaisissa työn johtamiseen tai valvontaan tai työnantajan lakisääteisten velvollisuuksien hoitamiseen liittyvissä tilanteissa ei ole tavanomaista pyytää työntekijän suostumusta henkilötietojen keräämiselle. Tällaisia tilanteita ovat esimerkiksi työsuorituksen, lainsäädännön ja työnantajan ohjeiden noudattamisen valvontaan liittyvä henkilötietojen kerääminen sekä ilmoituskanavat. Lain soveltamisessa on epäselvää, edellyttääkö ilmoituskanavissa tapahtuva tietojen kerääminen työntekijöiden suostumusta. Ei ole perusteltua, että suostumusta koskevalla edellytyksellä estettäisiin muutoin lainsäädännön mukainen ja yritysten vastuullisuuden kannalta merkityksellinen ilmoituskanavien käyttö. Unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annetun direktiivin täytäntöönpanon yhteydessä selvitetään kansallisen ilmoittajien suojelua koskevan lain soveltamisalaan kuuluvia ilmoituskanavia koskevat vaatimukset. Direktiivissä edellytetään kansallista lainsäädäntöä ilmoituskanaville asetettavista vaatimuksista.  

Kyseessä olevassa työntekijän henkilötietojen keräämistä koskevassa sääntelyssä punnittavana ovat työntekijän henkilötietojen ja yksityisyyden suoja ja toisaalta työnantajan tiedonkeruutarpeet, jotka liittyvät työsuhteeseen ja siihen liittyvien oikeuksien ja velvollisuuksien hoitamiseen. Näitä intressejä tasapainottaa erityisesti lain 3 §:ssä säädetty tarpeellisuusvaatimus, joka mahdollistaa työn johto- ja valvontaoikeuden asianmukaiseksi käyttämiseksi tarpeellisten henkilötietojen käsittelyn. Voimassa olevan lain 4 §:n 1 momentin mukainen suostumusta koskeva edellytys rajoittaa 3 §:n mukaisten tietojen keräämistä ja työnantajan työn johto- ja valvontaoikeuden käyttämistä.  

Työnantajilla on työsuhteeseen liittyviä lakisääteisiä velvoitteita, joiden täyttäminen edellyttää työntekijän henkilötietojen käsittelyä. Yksityisyyden suojasta työelämässä annetun lain 4 §:n 1 momentin sanamuodon mukaan työntekijän henkilötietojen kerääminen lakisääteisten velvoitteiden toteuttamista varten edellyttää, että työntekijän henkilötiedot kerätään ensisijaisesti häneltä itseltään tai, jos niitä kerätään muualta, työntekijän suostumusta keräämiseen. Poikkeuksena ovat tilanteet, joissa viranomainen luovuttaa työntekijän henkilötiedon työnantajalle lakisääteisen tehtävän hoitamista varten (esimerkiksi palkan ulosmittausta varten) sekä tilanteet, joiden osalta tietojen keräämisestä tai saamisesta säädetään muualla lainsäädännössä nimenomaisesti. Lainsäädännössä, esimerkiksi työsopimuslaissa (55/2001) ja työturvallisuuslainsäädännössä, säädetään yleensä työnantajan velvoitteista, ei henkilötietojen käsittelystä näiden velvoitteiden täyttämiseksi. Lain 4 §:n 1 momentista ei sen sanamuodon mukaisen tulkinnan perusteella selvästi ilmene, ettei momentin säännöksillä ole ollut tarkoitus alistaa lakisääteisten velvoitteiden vuoksi tarpeellista henkilötietojen keräämistä työntekijän suostumukselle. Tämän vuoksi 1 momentin sanamuotoa on tarpeen täsmentää sääntelyn selkeyttämiseksi ja tulkintaongelmien välttämiseksi.  

Voimassa olevan lain 4 §:n 1 momentin mukaan työntekijän henkilötietojen keräämisen oikeusperusteena on pääsääntöisesti suostumus silloin, kun tiedot kerätään muualta kuin työntekijältä itseltään. Voimassa olevan lain mukaisella suostumusta koskevalla edellytyksellä edistetään tietojenkäsittelyn läpinäkyvyyttä, työntekijän tiedollista itsemääräämisoikeutta sekä oikeutta tulla arvioiduksi oikeiden ja luotettavien tietojen perusteella. Suostumukseen perustuvaan käsittelyyn sovelletaan 3 §:n mukaista tarpeellisuusvaatimusta, joka tasapainottaa työnantajan ja työntekijän välistä suhdetta siten, ettei työnantaja voi työntekijän suostumuksen nojalla kerätä muita kuin välittömästi työsuhteen kannalta tarpeellisia työntekijän henkilötietoja.  

Suostumuksesta henkilötietojen käsittelyn oikeusperusteena säädetään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa. Voimassa olevan lain 4 §:n 1 momenttiin sisältyvän suostumusta koskevan sääntelyn suhde tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaan ja 7 artiklaan ei ilmene selkeästi säännöksen sanamuodosta. 

Ottaen huomioon tietosuoja-asetuksessa suostumukselle asetetut edellytykset ja Euroopan tietosuojaneuvoston edellä jaksossa 2.1.2 selostettu suostumuksen käyttöä työsuhteessa koskeva tulkintakäytäntö ei suostumus lähtökohtaisesti sovellu hyvin työsuhteessa tapahtuvan henkilötietojen käsittelyn perusteeksi. Työn johto- ja valvontaoikeuden toteutuminen työsuhteessa ilmenee työntekijän epäitsenäisenä asemana suhteessa työnantajaan. Työntekijä on erityisesti työn johtamiseen ja valvontaan liittyvissä tilanteissa lähtökohtaisesti sellaisessa epäsuhtaisessa asemassa suhteessa työnantajaan, johon tietosuoja-asetuksen johdanto-osan kappaleessa 43 viitataan. 

Suostumusta koskevan edellytyksen soveltamisala on edellä selostetuilla tavoilla 4 §:n 1 momentin sanamuodon perusteella epäselvä suhteessa tietosuoja-asetukseen ja siinä suostumukselle, erityisesti sen vapaaehtoisuudelle, asetettuihin vaatimuksiin, työnantajan työn johto- ja valvontaoikeuden ja lakisääteisten velvoitteiden toteuttamiseen sekä työelämän tavanomaisiin käytäntöihin. Edellä kuvattuja tilanteita, joissa työntekijöiden henkilötietoja on perusteltua voida kerätä ilman suostumusta, yhdistää se, että niissä on kyse henkilötietojen keräämisestä työnantajan lakisääteisten oikeuksien ja velvollisuuksien toteuttamista varten. Lain 4 §:n 1 momenttia on tarpeen muuttaa sen soveltamisen selkeyttämiseksi. Muutos on perusteltu myös työntekijän suojan näkökulmasta. Epäselvyydet suostumusta koskevan edellytyksen soveltamisessa voivat johtaa siihen, että tietojen käsittelyn oikeusperusteen olemassaoloa ei todellisuudessa arvioida ja käsittely kokonaisuudessaan perustetaan pelkästään työntekijän oletettuun tai muodolliseen suostumukseen. 

Tavoitteet

Esityksen tavoitteena on selkeyttää työntekijän henkilötietojen keräämistä koskevaa sääntelyä ja sääntelyn suhdetta tietosuoja-asetukseen sekä yhteensovittaa sääntely nykyistä paremmin tietosuoja-asetuksen kanssa. Tavoitteena on yhteensovittaa sääntelyssä työnantajien lainsäädäntöön perustuvat tarpeet kerätä työntekijöiden henkilötietoja työsuhdetta varten ja toisaalta työntekijöiden yksityisyyden suoja työsuhteessa. Tavoitteena on myös, että sääntely soveltuu nykyistä sääntelyä paremmin työelämän vakiintuneisiin, asianmukaisiin käytäntöihin, joiden yhteydessä työntekijöiden henkilötietoja kerätään. 

Ehdotukset ja niiden vaikutukset

4.1  Keskeiset ehdotukset

Esityksessä ehdotetaan muutettavaksi yksityisyyden suojasta työelämässä annetun lain 4 §:ään sisältyvää työntekijän henkilötietojen keräämistä koskevaa sääntelyä. Pykälän 1 momenttiin ehdotetaan otettavaksi viittaussäännös tietosuoja-asetuksen suostumukseen perustuvaa käsittelyä koskevaan sääntelyyn. Pääsääntönä olisi jatkossakin, että työntekijän henkilötietojen keräämisen muualta kuin häneltä itseltään olisi perustuttava suostumukseen. Viittaussäännös selkeyttäisi sääntelyn suhdetta tietosuoja-asetukseen. Tietosuoja-asetuksen suostumukseen perustuvaa käsittelyä koskevaa sääntelyä ei kuitenkaan sovellettaisi, jos työnantaja kerää työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka jos henkilötietojen käsittelystä laissa erikseen toisin säädetään. Poikkeussäännöksessä otettaisiin huomioon työnantajan lainsäädäntöön perustuvat tiedonkeruutarpeet. Työntekijän henkilötietojen kerääminen ilman suostumusta olisi siten mahdollista nykyistä lainsäädäntöä laajemmin.  

4.2  Pääasialliset vaikutukset

4.2.1  Vaikutukset yrityksiin

Yksityisyyden suojasta työelämässä annettu laki soveltuu kaikkiin työnantajina toimiviin yrityksiin. Yrityksille on aiheutunut epäselvyyksiä ja oikeudellista epävarmuutta lain noudattamisessa 4 §:n 1 momenttiin vuonna 2019 tehdyn muutoksen jälkeen. Ei ole tietoa siitä, missä määrin yritykset ovat sanamuodon muutoksen johdosta muuttaneet henkilötietojen keräämistä koskevia käytäntöjään tai pyytäneet aiempaa useammin työntekijöiltä suostumuksia henkilötietojen keräämiseen.  

Ehdotettavan muutoksen ei arvioida käytännössä aiheuttavan suuria muutostarpeita henkilötietojen keräämistä työsuhteen aikana koskeviin käytäntöihin siltä osin kuin ne ovat jatkuneet tietosuojavaltuutetun aiemman tulkintakäytännön mukaisina ja kyse on työn johtamiseen tai valvontaan tai lakisääteisten velvollisuuksien toteuttamiseen liittyvistä tilanteista.  

Yritysten sisäisten ohjeistusten ja menettelytapojen läpikäynti ja mahdolliset muutokset aiheuttavat hallinnollisia kustannuksia, joiden määrää ei ole mahdollista arvioida. Muutos voi aiheuttaa työnantajille tarvetta päivittää sopimuspohjia uuden sääntelyn mukaiseksi. Yhteistoimintalain soveltamisalaan kuuluvissa yrityksissä henkilötietojen kerääminen on käsiteltävä vuoropuhelussa, mistä voi aiheutua kustannuksia. 

Ehdotettu muutos vähentäisi tarpeita kerätä työntekijöiltä muodollisia suostumuksia tietojen keräämiseen, joka liittyy päivittäiseen työn johtamiseen tai valvontaan tai lakisääteisiin velvoitteisiin. Muutos vähentäisi sitä hallinnollista taakkaa ja oikeudellista epävarmuutta, joka seurasi lain aiemmasta muutoksesta. Selkeämpi lainsäädäntö vähentäisi lainsäädännön soveltamisongelmia ja oikeudellista epävarmuutta suostumusta koskevan sääntelyn soveltamisessa ja siten parantaisi myös työnantajien oikeusturvaa. 

Vaikutukset muihin työnantajiin vastaisivat vaikutuksia yrityksiin.  

4.2.2  Vaikutukset viranomaisten toimintaan

Ehdotettu muutos lisää tietosuojavaltuutetun toimialaan kuuluvan neuvonnan ja ohjeistuksen tarvetta erityisesti muutoksen voimaantulon alkuvaiheessa.  

4.2.3  Vaikutukset työntekijöihin

Selkeämpi sääntely turvaisi työntekijöiden yksityisyyden ja henkilötietojen suojaa nykyistä tulkintaongelmia aiheuttanutta sääntelyä paremmin. Henkilötietojen keräämisen muualta kuin työntekijältä itseltään olisi jatkossakin perustuttava suostumukseen, kun työntekijän henkilötietoja kerätään työsuhteeseen liittyvää tarkoitusta varten muissa kuin lainsäädäntöön perustuvissa tilanteissa. Työnantajan oikeus kerätä työntekijän henkilötietoja ilman työntekijän suostumusta laajenisi verrattuna voimassa olevan lain sanamuotoon. Yksityisyyden suojasta työelämässä annetun lain 4 §:n mukaiset tiedonantovelvoitteet ja yhteistoimintalainsäädännön mukaiset menettelyt sekä tietosuoja-asetuksessa säädetyt informointivelvollisuudet ja rekisteröidyn oikeudet turvaavat henkilötietojen käsittelyn läpinäkyvyyttä ja työntekijän mahdollisuuksia vaikuttaa tietojensa käsittelyyn. Ehdotetulla muutoksella ei laajennettaisi niiden tietojen piiriä, joita työntekijästä voidaan kerätä tai rajoitettaisi työntekijöille rekisteröityinä kuuluvia tietosuoja-asetuksessa säädettyjä oikeuksia. 

Muut toteuttamisvaihtoehdot

5.1  Vaihtoehdot ja niiden vaikutukset

Keskeisenä toteuttamisvaihtoehtona on arvioitu työntekijän henkilötietojen keräämiseen liittyvän suostumusta koskevan edellytyksen poistamista laista kokonaan. Sääntelyn soveltaminen voisi tällöin olla helpommin yhteensovitettavissa tietosuoja-asetuksen kanssa. Tietosuoja-asetuksen ei arvioida estävän sitä, että kansallisessa lainsäädännössä viitataan tietosuoja-asetuksen suostumusta koskevaan sääntelyyn ehdotetulla tavalla. Suostumusta koskevan sääntelyn poistaminen heikentäisi rekisteröidyn eli työntekijän asemaa. Suostumus on perusteltua säilyttää pääsääntönä ottaen huomioon voimassa olevan lain suostumusta koskevan säännöksen taustalla olevat perusteet. Suostumusta koskeva edellytys on säädetty työntekijän suojaksi. Sillä turvataan työntekijän tiedonsaantia hänen henkilötietojensa keräämisestä ja siten käsittelyn läpinäkyvyyttä, luotettavien tietolähteiden käyttöä ja työntekijän itsemääräämisoikeutta. 

5.2  Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

5.2.1  Ruotsi

Ruotsissa ei ole voimassa Suomen yksityisyyden suojasta työelämässä annettua lakia vastaavaa erityislakia, jossa säädettäisiin työntekijän henkilötietojen käsittelystä. Sen sijaan tietosuoja-asetusta täydentävään lakiin (Lag med kompletterande bestämmelser till EU:s dataskyddsförordning, 2018:218) sisältyy muutamia työntekijöiden henkilötietojen käsittelyn kannalta merkityksellisiä säännöksiä. Lain 2 luvun 1 §:n mukaan henkilötietojen käsittely tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla voi perustua ensinnäkin siihen, että se on tarpeen rekisterinpitäjän lainsäädännöstä, työehtosopimuksesta tai lainsäädännön nojalla annettavasta päätöksestä johtuvien oikeudellisten velvoitteiden täyttämiseksi. Saman luvun 2 §:n mukaan henkilötietoja saa käsitellä 6 artiklan 1 kohdan e alakohdan nojalla muun muassa, jos käsittely on tarpeen lainsäädäntöön, työehtosopimukseen tai lainsäädännön nojalla annettuun päätökseen perustuvaa yleistä etua koskevan tehtävän suorittamiseksi.  

5.2.2  Tanska

Tanskassa on tietosuoja-asetuksen 88 artiklan mahdollistamalla tavalla annettu yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä. Tietosuoja-asetusta täydentävän lain (Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven) 12 §:n mukaan työntekijän henkilötietoja sekä 9 artiklan 1 kohdassa tarkoitettuja erityisiä henkilötietoryhmiä koskevia tietoja voidaan käsitellä työsuhteessa silloin, jos se on tarpeen sellaisten rekisterinpitäjän tai rekisteröidyn oikeuksien tai velvollisuuksien toteutumiseksi, joista säädetään muussa lainsäädännössä tai määrätään työehtosopimuksin. Edellä tarkoitettu tietojen käsittely on mahdollista myös, jos se on välttämätöntä rekisterinpitäjän tai kolmannen osapuolen laista tai työehtosopimuksista johtuvan oikeutetun edun saavuttamiseksi, jolleivät rekisteröidyn etu tai perusoikeudet ja -vapaudet muuta edellytä. Henkilötietojen käsittely työsuhteessa voi tapahtua rekisteröidyn antaman tietosuoja-asetuksen 7 artiklan mukaisen suostumuksen perusteella. Lain esitöiden mukaan suostumusta koskevan säännöksen tarkoituksena on vahvistaa, että myös työntekijän suostumusta voidaan käyttää henkilötietojen käsittelyn perusteena ennen työsuhteen alkamista, työsuhteen aikana ja sen päättymisen jälkeen. Forslag til databeskytteloven 25.10.2017 s.183. Julkaistu osoitteessa: . 

5.2.3  Norja

Norjassa sovelletaan tietosuoja-asetusta. Kansallisella tasolla työntekijöiden henkilötietojen käsittelyyn liittyvää sääntelyä sisältyy henkilötietolakiin (lov om behandling av personopplysninger). Työsuhteiden yleislain (arbeitsmiljøloven) 9 luvussa säädetään työntekijöihin kohdistuvista valvontatoimenpiteistä. Valvonnan yhteydessä tapahtuvaan työntekijöiden henkilötietojen käsittelyyn sovelletaan henkilötietolain säännöksiä.  

5.2.4  Saksa

Saksassa tietosuoja-asetusta täydentävän liittovaltiotason lain (Bundesdatenschutzgesetz) 26 §:ssä säädetään henkilötietojen käsittelystä työsuhteessa. Pykälän mukaan työntekijöiden henkilötietoja saa käsitellä työsuhteeseen liittyen, jos se on tarpeen työsuhteen perustamista koskevan päätöksen kannalta tai työsuhteen perustamisen jälkeen sen täytäntöönpanon tai päättämisen tai laista tai paikallisesta tai yleissopimuksesta (työehtosopimuksesta) johtuvien työntekijöiden edunvalvojien oikeuksien ja velvollisuuksien käyttämisen tai täyttämisen kannalta. Rikosten paljastamiseksi työntekijöiden henkilötietoja saa käsitellä vain silloin, kun dokumentoitavan tosiasiallisen näytön avulla voidaan perustella, että kyseinen henkilö on työsuhteessa syyllistynyt rikokseen, käsittely on paljastamisen kannalta tarpeen ja työntekijän suojeltavalla intressillä estää käsittely ei ole suurempaa painoarvoa huomioiden erityisesti, että tapa ja laajuus eivät ole suhteettomat käsittelyn syy huomioon ottaen.  

Lain 26 §:ssä säädetään tarkemmin myös työntekijän suostumuksesta henkilötietojen käsittelyn perusteena. Jos työntekijöiden henkilötietoja käsitellään suostumuksen perusteella, suostumuksen vapaaehtoisuutta arvioitaessa otetaan huomioon työntekijän riippuvainen asema työsuhteessa sekä olosuhteet, joissa suostumus annettiin. Suostumus voidaan katsoa vapaaehtoisesti annetuksi erityisesti silloin, jos se liittyy työntekijän oikeudellisiin tai taloudellisiin etuihin tai jos työnantaja ja työntekijä pyrkivät yhteneviin etuihin. Suostumus on annettava kirjallisesti tai sähköisesti, jollei jokin muu muoto ole aiheellinen erityisten olosuhteiden vuoksi. Työnantajan on ilmoitettava työntekijälle kirjallisesti tietojenkäsittelyn tarkoituksesta ja työntekijän oikeudesta peruuttaa suostumus tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisesti. 

Henkilötietojen käsittely, työntekijän erityisiä henkilötietoryhmiä koskeva käsittely työsuhdetta varten mukaan luettuna, on 26 §:n mukaan sallittua työehtosopimusten perusteella. Tässä yhteydessä neuvottelukumppanien on noudatettava tietosuoja-asetuksen 88 artiklan 2 kohtaa.  

5.2.5  Ranska

Ranskassa työsuhteita koskevassa laissa (Code du travail) on säädetty tietosuoja-asetuksen 88 artiklassa mahdollistetulla tavalla työsuhteeseen liittyvästä työntekijöiden henkilötietojen käsittelystä. Lain mukaan työnhakijasta tai työntekijästä ei voida kerätä mitään henkilökohtaisia tietoja sellaisella laitteella, josta hänelle ei ole kerrottu etukäteen.  

5.2.6  Viro

Virossa ei ole säädetty erikseen henkilötietojen käsittelystä työsuhteessa. Työsopimuslaissa säädetään, että työntekijöiden henkilötietojen käsittelyssä on noudatettava tietosuoja-asetusta.  

5.2.7  Iso-Britannia

Henkilötietojen käsittelystä säädetään Isossa-Britanniassa tietosuojalaissa (Data Protection Act). Tietosuojalain työsuhdetta ja sosiaaliturvaa koskevien säännösten (Schedule 1, Part 1) mukaan henkilötietoja saa käsitellä työsuhteessa, jos se on tarpeen lainsäädännöstä johtuvien työsuhteeseen liittyvien velvoitteiden tai oikeuksien toteuttamiseksi.  

Tietoja käsittelevällä rekisterinpitäjällä on oltava lisäksi käytössään asianmukaiset tietojenkäsittelyyn liittyvät menettelysäännöt, joista ilmenee, millaista menettelyä rekisterinpitäjän on tietoja käsitellessään noudatettava, jotta tietosuoja-asetuksen 5 artiklan mukaiset henkilötietojen käsittelyä koskevat periaatteet täytetään. Menettelysäännöistä on käytävä ilmi myös käytänteet tietojen säilyttämisen ja hävittämisen suhteen sekä arvio siitä, kuinka pitkään henkilötietoja säilytetään (Schedule 1, Part 4). 

Lausuntopalaute

Oikeusministeriö suhtautuu lausunnossaan myönteisesti tulkinnaltaan epäselvän sääntelyn selkeyttämiseen ja muuttamiseen vastaamaan paremmin tietosuoja-asetusta. Oikeusministeriön näkemyksen mukaan esitysluonnoksen perusteella jäi epäselväksi ja perusteluiltaan puutteelliseksi, miten sääntelyliikkumavaraa on tarkemmin tarkoitus käyttää. Lausunnon mukaan esitystä tulisi jatkovalmistelussa täsmentää ja täydentää henkilötietojen käsittelyn oikeusperustan ja sen perusteluiden osalta. Erityisesti tulisi tarkastella suostumuksen soveltuvuutta henkilötietojen keräämisen perusteeksi rinnakkaisena käsittelyperusteena sekä työnantajan suorittaman käsittelyn perustumista suoraan tietosuoja-asetukseen. 

Sosiaali- ja terveysministeriön näkemyksen mukaan esitetty muutos selkeyttäisi yksityisyyden suojasta työelämässä annetun lain 4 §:n 1 momentin sääntelyä suhteessa työnantajan lakisääteisten oikeuksien ja velvollisuuksien toteuttamiseen liittyvään henkilötietojen keräämiseen sekä suhteessa tietosuoja-asetukseen ja siinä suostumukselle asetettuihin vaatimuksiin. Sosiaali- ja terveysministeriö pitää esitystä kannatettavana. Lausunnon mukaan esityksen perusteluissa voisi selkeyden vuoksi kuvata tarkemmin ehdotetun 4 §:n 1 momentin suhdetta lain 5 §:n 1 momentin sääntelyyn.  

Tietosuojavaltuutettu pitää lausunnossaan ehdotusta perusteltuna. Tietosuojavaltuutettu katsoo, että ehdotetun 4 §:n nojalla kerättävien henkilötietojen käsittelyä rajaisi lain 3 §:ssä säädetty tarpeellisuusvaatimus. Tämä olisi syytä tuoda selkeästi ilmi hallituksen esityksen perustelutekstissä. Tietosuojavaltuutetun näkemyksen mukaan suostumusta koskevaa edellytystä ei voida poistaa työelämän tietosuojaa koskevasta sääntelystä ilman, että rekisteröidyn asema heikkenisi merkittävästi.  

Tuomioistuinvirasto nostaa lausunnossaan esille työntekijöiden taustaselvitysten tekemiseen liittyvät tietopyynnöt tuomioistuimille ja pitää tarpeellisena täsmentää työntekijän luotettavuuden selvittämiseen liittyvää lainsäädäntöä. 

Ahvenanmaan maakunnan hallituksella ei ollut huomautettavaa esityksen sisältöön. 

Palkansaajakeskusjärjestöjen eli Akava ry:n, Suomen Ammattiliittojen Keskusjärjestö SAK ry:n ja STTK ry:n yhteisessä lausunnossa katsotaan, että hallituksen esityksen perusteluista ei riittävästi ilmene se, minkä vuoksi nykyinen säännösmuotoilu on ongelmallinen. Lausunnon mukaan lakiesitys on muotoilultaan liian yleisluontoinen eikä nykymuodossaan selkiytä tilannetta, vaan aiheuttaa lisää tulkinnanvaraisuutta lain soveltamisessa. Lausunnon mukaan lain ensisijainen tarkoitus on suojata työntekijöiden henkilötietojen luottamuksellisuutta, jonka ylläpitäminen ja parantaminen tulee olla mahdollisen lainmuutoksen ensisijainen tavoite.  

Tietojohtaminen ry pitää sääntelyn selkeyttämistä suhteessa työnantajan lakisääteisten oikeuksien ja velvollisuuksien toteuttamiseen liittyvään henkilötietojen keräämiseen ja yleiseen tietosuoja-asetukseen tärkeänä.  

Suomen Yrittäjät ry pitää ehdotettua muutosta perusteltuna ottaen huomioon hallituksen esityksen valmistelun lähtökohdat ja se, että ehdotuksen valmistelun yhteydessä on tarkasteltu käytännössä vain lain 4 §:n 1 momentin muuttamista sekä erityisesti esityksen tavoite. Lausunnon mukaan nyt esitettävät muutokset käytännössä vahvistavat jo pitkään voimassa olleita, tietosuojavaltuutetun tulkintakäytännönkin mukaisia käytäntöjä, joiden mukaan työnantajalla on oikeus kerätä työn johto- ja valvontaoikeuden piiriin kuuluvia henkilötietoja. Suomen Yrittäjät ry katsoo, että jatkossa tulisi kokonaisuutena tarkastella sitä — ottaen huomioon erityisesti tietosuoja-asetuksen sääntely ja lainsäädännön yhteensopivuus sen kanssa — että työntekijän henkilötietojen keräämiseen liittyvä suostumusta koskeva edellytys poistettaisiin laista kokonaan.  

Työsuojeluviranomaisen käsityksen mukaan ehdotuksessa esitetty muutos selkeyttäisi lainsäädäntöä ja vähentäisi suostumukseen liittyviä tulkintaongelmia. Työsuojeluviranomainen pitää muutosta oikeasuuntaisena.  

Elinkeinoelämän keskusliitto EK ry vastustaa ehdotettua muutosta. EK:n mukaan laista tulee poistaa sääntely siitä, millä ehdoilla työnantaja voi hankkia henkilötietoja eri lähteistä. Kansalliset poikkeukset tietosuoja-asetuksesta häiritsevät liikkuvuutta ja yritysten toimintaa Suomen ja muun Euroopan välillä. EK:n mukaan tavoitteena tulee olla, että Suomessa sovelletaan samoja sääntöjä kuin muuallakin Euroopassa ilman omia poikkeuksia. Teknologiateollisuus ry yhtyy lausunnossaan EK:n lausuntoon.  

Autoliikenteen Työnantajaliitto ry pitää hallituksen esitysluonnosta hyvänä ja siinä esitettyjä muutoksia tarpeellisina. Muutos vähentäisi lausunnon mukaan työnantajien hallinnollista taakkaa sekä poistaisi lainsäädännön soveltamisongelmia ja oikeudellista epävarmuutta. 

Akavan erityisalat AE ry:n mukaan lain 4 §:n 1 momenttiin esitetyn muutoksen suhdetta lain 4 §:n 2 momenttiin tulisi selkeyttää. 

Lausuntopalautteen perusteella ehdotettavaa pykälää on täsmennetty ja sen suhdetta tietosuoja-asetukseen selkeytetty lisäämällä viittaus tietosuoja-asetuksen suostumukseen perustuvaa käsittelyä koskevaan sääntelyyn. Esityksen perusteluita on täsmennetty oikeusministeriön lausunnossa edellytetyllä tavalla henkilötietojen käsittelyn oikeusperusteiden ja kansallisen sääntelyliikkumavaran käytön osalta. Palkansaajakeskusjärjestöjen ja EK:n lausunnoissa esittämät näkemykset sääntelyn muutostarpeesta vastaavat valmistelun aikana esitettyjä näkemyksiä. Muutostarvetta on perusteltu nykytilan arvioinnin yhteydessä ja suostumusta koskevan sääntelyn poistamista vaihtoehtoisten ratkaisuvaihtoehtojen yhteydessä. Esityksen perusteluita on täsmennetty tietosuojavaltuutetun ja sosiaali- ja terveysministeriön lausunnoissa esitetyllä tavalla. Lain 4 §:ää ei ole arvioitu tarpeelliseksi muuttaa Tuomioistuinviraston lausunnossa esitetyllä tavalla ottaen huomioon tietosuojavaltuutetun tulkintakäytäntö. Myös työnhakijaa koskevien tietojen keräämiseen soveltuu lain 3 §:ssä säädetty tarpeellisuusvaatimus. Lain 4 §:ssä on viittaussäännökset muuhun työntekijöiden luotettavuuden selvittämistä koskevaan lainsäädäntöön. Voimassa olevan lain 4 §:n 2 momentissa olevan sääntelyn täsmentämistä ei ole arvioitu ehdotettavan muutoksen johdosta tarpeelliseksi. 

Säännöskohtaiset perustelut

4 §.Työntekijän henkilötietojen keräämisen yleiset edellytykset ja työnantajan tiedonantovelvollisuus. Pykälän 1 momentissa edellytetään, että työntekijän henkilötietojen keräämiselle muualta kuin työntekijältä itseltään hankitaan työntekijän suostumus. Suostumusedellytyksestä on säädetty kaksi poikkeusta. Suostumus ei pykälän 1 momentin mukaan ole tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään.  

Pykälän 1 momenttiin sisältyvää työntekijän henkilötietojen keräämistä koskevaa sääntelyä ehdotetaan selkeytettäväksi ja muutettavaksi siten, että se olisi paremmin yhteensopivaa tietosuoja-asetuksen ja työnantajien työsuhteeseen liittyvien, lainsäädäntöön perustuvien tiedonkeruutarpeiden kanssa. Suostumusta koskevan sääntelyn suhdetta tietosuoja-asetukseen selkeytettäisiin.  

Työnantajan oikeutta kerätä työntekijän henkilötietoja ilman työntekijän suostumusta ehdotetaan laajennettavaksi. Suostumusta ei ole tietosuoja-asetuksessa suostumukselle säädettyjen edellytysten ja työnantajien työsuhteeseen liittyvien tiedonkeruutarpeiden vuoksi eikä työntekijöiden yksityisyyden suojan kannalta perusteltua edellyttää voimassa olevan lain sanamuodon mukaisessa laajuudessa. Suostumuksen ongelmallisuutta työntekijän henkilötietojen käsittelyn oikeusperusteena on selostettu edellä nykytilan kuvauksen ja nykytilan arvioinnin yhteydessä. Suostumusedellytys rajoittaa sellaista henkilötietojen keräämistä, joka on tarpeen työnantajan työsuhteeseen liittyvien, lainsäädäntöön perustuvien oikeuksien tai velvollisuuksien toteuttamiseksi. Henkilötietojen käsittelyn tulisi näissä tilanteissa perustua suostumuksen sijasta lainsäädäntöön. 

Pykälän 1 momentin ensimmäinen virke ehdotetaan säilytettäväksi ennallaan. Työntekijää koskevat henkilötiedot olisi jatkossakin kerättävä ensisijaisesti työntekijältä itseltään. Säännös perustuisi tietosuoja-asetuksen 88 artiklan sääntelyliikkumavaraan.  

Pykälän 1 momenttiin ehdotetaan otettavaksi viittaus tietosuoja-asetuksen suostumukseen perustuvaa käsittelyä koskevaan sääntelyyn. Ehdotettavan säännöksen mukaan työntekijän henkilötietojen keräämiseen muualta kuin työntekijältä itseltään sovellettaisiin, mitä tietosuoja-asetuksessa säädetään suostumukseen perustuvasta käsittelystä. Momentissa täsmennettäisiin tietosuoja-asetuksen 88 artiklan sääntelyliikkumavaran nojalla sitä, että työntekijän henkilötietojen kerääminen muualta kuin työntekijältä itseltään perustuisi tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaan. Suostumuksen määritelmästä säädetään tietosuoja-asetuksen 4 artiklan 11 kohdassa, suostumuksesta käsittelyn oikeusperusteena 6 artiklan 1 kohdan a alakohdassa ja suostumuksen edellytyksistä 7 artiklassa. Voimassa olevaa lakia vastaavasti pääsääntönä olisi siten jatkossakin, että työntekijän henkilötietojen kerääminen muualta kuin työntekijältä itseltään perustuisi työntekijän suostumukseen. Työntekijä saisi sääntelyn nojalla tiedon henkilötietojensa luovutustilanteesta ja voisi myös halutessaan varmistua esimerkiksi siitä, että luovutettavat tiedot ovat ajantasaisia. Säännöksellä suojattaisiin tietosuoja-asetuksen 88 artiklan 2 kohdassa edellytetyllä tavalla työntekijän oikeutettuja etuja ja perusoikeuksia työsuhteessa tapahtuvassa henkilötietojen käsittelyssä turvaamalla henkilötietojen käsittelyn läpinäkyvyyttä, työntekijän itsemääräämisoikeutta ja oikeutta tulla arvioiduksi oikeiden tietojen nojalla. Viittaaminen suoraan tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaan olisi perusteltua, koska mainittu kohta ei sisällä kansallista sääntelyliikkumavaraa. 

Pykälän 1 momentissa säädettäisiin myös poikkeuksista tietojen keräämistä muualta koskevaan pääsääntöön. Tietosuoja-asetuksessa suostumukseen perustuvasta käsittelystä säädettyä ei sovellettaisi ensinnäkään silloin, jos työnantaja kerää työntekijän henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten. Työntekijän suostumusta henkilötietojen keräämiselle ei siten edellytettäisi, kun työnantaja työsuhteen aikana kerää henkilötietoja säännöksessä mainittuja, lainsäädäntöön perustuvia tarkoituksia varten. Lakisääteiset oikeudet ja velvollisuudet voivat perustua joko työoikeudelliseen tai muuhun työnantajaa sitovaan lainsäädäntöön, jolla on liittymä työsuhteeseen. Lakisääteisiä oikeuksia ja velvollisuuksia koskeva poikkeus soveltuisi työsuhteen aikana tapahtuvaan henkilötietojen keräämiseen. Pykälän 1 momentin mukaan tiedot olisi kuitenkin edelleen ensisijaisesti kerättävä työntekijältä itseltään.  

Toiseksi suostumusta ei tarvitsisi hankkia myöskään silloin, jos henkilötietojen käsittelystä on säädetty muualla lainsäädännössä toisin. Tarpeet käsitellä työntekijöiden henkilötietoja arvioidaan tällöin kyseisen lainsäädännön yhteydessä. Esimerkiksi henkilöluottotietojen hankkimisesta säädetään lain 5 a §:ssä.  

Poikkeussäännöksessä tarkoitetuissa tilanteissa henkilötietojen käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Työntekijöiden henkilötietojen kerääminen muualta kuin häneltä itseltään perustuisi suurelta osin lainsäädäntöön. Työntekijän henkilötietojen käsittely on lain 3 §:n säännökset huomioon ottaen rajattu työsuhteen kannalta välittömästi tarpeellisiin tietoihin. Sääntelyn arvioidaan siten olevan 6 artiklan 3 kohdassa edellytetyllä tavalla oikeasuhtaista suhteessa käsittelyn tavoitteisiin. Sääntely sisältäisi 6 artiklan 3 kohdan mukaisesti yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta. 

Ehdotettu sääntely tarkoittaisi sitä, että niiden työntekijän henkilötietojen, jotka on kerätty muista tietolähteistä kuin työntekijältä itseltään, käsittely perustuisi muidenkin käsittelytoimien kuin keräämisen osalta joko tietosuoja-asetuksen 6 artiklan 1 kohdan a tai c alakohtaan. Tietojen luovuttaminen viranomaisille voisi perustua muuhun lainsäädäntöön.  

Ehdotettavan muutoksen mukaan henkilötietojen kerääminen työnantajan lakisääteisen työn johto- ja valvontaoikeuden käyttämistä varten ei enää edellyttäisi työntekijän suostumuksen hankkimista. Työnantajan työn johto- ja valvontaoikeus perustuu työsopimuslakiin ja virkasuhteisten osalta virkasuhteita koskevaan lainsäädäntöön. Työsopimuslain 3 luvun 1 §:n mukaan työntekijän on tehtävä työnsä huolellisesti noudattaen niitä määräyksiä, joita työnantaja antaa toimivaltansa mukaisesti työn suorittamisesta. Valtion virkamieslain (750/1994) 14 §:ssä säädetään vastaavasti, että virkamiehen on noudatettava työnjohto- ja valvontamääräyksiä. Saman sisältöinen säännös on myös kunnan ja hyvinvointialueen viranhaltijasta annetussa laissa (304/2003) ja kirkkolaissa (1054/1993). Työnantajalla on työn johto- ja valvontaoikeuden nojalla oikeus määrätä muun muassa työn suoritustavasta, laadusta ja laajuudesta sekä työnteon ajasta ja paikasta. Tästä työnantajan työn johto- ja valvontaoikeudesta on johdettavissa työnantajan oikeus valvoa työntekijää. Työn johto- ja valvontaoikeutta rajoittavat perusoikeudet, työlainsäädäntö, työntekijöihin, virkamiehiin ja heidän työnantajiinsa sovellettava muu lainsäädäntö, kuten rikoslaki ja syrjintäkiellot sekä oikeusjärjestyksen yleiset periaatteet. Työn johto- ja valvontaoikeuden rajoituksilla on merkitystä myös työntekijän henkilötietojen keräämisen yhteydessä. 

Työnantaja voisi ehdotetun muutoksen mukaan kerätä ilman suostumusta esimerkiksi työntekijän työn suorittamiseen ja suoriutumiseen sekä lainsäädännön ja työnantajan ohjeiden noudattamiseen liittyviä työntekijää koskevia henkilötietoja, kun ne ovat 3 §:n mukaisesti työsuhteen kannalta välittömästi tarpeellisia ja tietojen kerääminen liittyy työn johto- ja valvontaoikeuden käyttämiseen. Suostumusta koskevaa sääntelyä ei siten sovellettaisi esimerkiksi tavanomaisesti työn yhteydessä syntyvään aineistoon, kuten esimerkiksi myyntiraportteihin ja kokousmuistioihin eikä asiakaspalautteeseen ja työn suorittamiseen liittyvään muuhun palautteeseen, joista ilmenee työntekijöiden työhön liittyviä tietoja. Tietosuojavaltuutetun tulkintakäytännössä on katsottu, että työnantajan keräämien työntekijää koskevien henkilötietojen on oltava työnantajan työn johto- ja valvontaoikeuden piiriin kuuluvia, joten ehdotettu muutos ei merkittävästi muuttaisi aiempaa käytäntöä työsuhteen aikaisen henkilötietojen keräämisen osalta.  

Tietojen keräämisen muista tietolähteistä ei edellytettäisi enää perustuvan suostumukseen myöskään silloin, kun työnantaja kerää työntekijän henkilötietoja lakisääteisten velvollisuuksiensa toteuttamista varten. Säännöksessä ei enää voimassa olevaa lakia vastaavasti edellytettäisi sitä, että tiedon luovuttajana on viranomainen.  

Tietojen kerääminen ilman suostumusta olisi edellä mainittujen edellytysten täyttyessä mahdollista myös ilmoituskanavissa.  

Muissa kuin pykälän 1 momentin kolmannessa virkkeessä tarkoitetuissa tilanteissa työntekijän henkilötietojen keräämisen muualta kuin työntekijältä itseltään olisi jatkossakin perustuttava työntekijän suostumukseen. Tällainen tilanne olisi esimerkiksi työntekijän rekrytointi. Muita 6 artiklan 1 kohdan a alakohtaan perustuvia tietojen keräämistarpeita voisi liittyä esimerkiksi työntekijöille tarjottavan virkistystoiminnan järjestelyihin tai erityisten etuuksien, kuten ulkomaankomennuksiin liittyvien vakuutuksien, hankkimiseen työntekijälle. Yhteistä tällaisille tietojen keräämistarpeille olisi, etteivät ne kuuluisi työnantajan lakisääteisten oikeuksien tai velvollisuuksien piiriin eikä niihin liittyvästä henkilötietojen käsittelystä säädettäisi myöskään muualla lainsäädännössä.  

Ehdotettavan pykälän nojalla kerättävien henkilötietojen käsittelyä rajaisi jatkossakin lain 3 §:ssä säädetty tarpeellisuusvaatimus. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Ehdotetulla muutoksella ei ole vaikutusta niiden työntekijän henkilötietojen piiriin, joita työnantajalla on lain 3 §:n mukaan oikeus kerätä tai muutoin käsitellä työsuhteeseen liittyvää tarkoitusta varten. Ehdotetulla muutoksella ei olisi vaikutusta myöskään työntekijän terveydentilaa koskevien tietojen käsittelyyn. Terveydentilaa koskevien tietojen käsittelystä säädetään lain 5 §:ssä.  

Tietolähteitä, joista työntekijän henkilötietoja kerätään, ei ole mahdollista säädellä tyhjentävästi, kuten ei myöskään työelämän tilanteissa tarpeellisia henkilötietoja. Tietolähteiden käyttöön soveltuvat tietojen oikeellisuutta ja tarpeellisuutta koskevat vaatimukset.  

Pykälän 1 momentissa säädetyt viittaussäännökset työntekijän luotettavuuden selvittämistä koskevaan muuhun lainsäädäntöön säilytettäisiin ennallaan.  

Rekisteröidyn oikeuksista on säädetty tietosuoja-asetuksessa. Niitä täydentävät pykälän 2 momentissa säädetyt tiedonantovelvoitteet. Voimassa olevan pykälän 2 momentin mukaan työnantajan on ilmoitettava työntekijälle etukäteen tätä koskevien tietojen hankkimisesta luotettavuuden selvittämistä varten. Edelleen 2 momentin mukaan, jos työnantaja hankkii työntekijän henkilöluottotietoja, työnantajan tulee lisäksi ilmoittaa työntekijälle, mistä rekisteristä luottotiedot hankitaan. Pykälän 2 momentissa säädetään myös läpinäkyvyyden kannalta keskeisestä työnantajan velvollisuudesta ilmoittaa työntekijälle muualta kuin häneltä itseltään kerätyistä tiedoista ennen tietojen käyttämistä päätöksenteossa. Säännöksellä turvataan työntekijän mahdollisuus reagoida ennen päätöksentekoa, jos kerätyissä tiedoissa on virheitä tai puutteita. Oikeudesta vaatia tietoihin oikaisua säädetään tietosuoja-asetuksen 16 artiklassa. Edellä selostettu sääntely turvaa työntekijän tiedonsaannin henkilötietojen käsittelystä ja hänen vaikutusmahdollisuutensa. 

Tietosuoja-asetuksen 83 artiklan 5 kohdan a, b ja d alakohdan mukaan tietosuoja-asetuksen 5, 6, 7 ja 9 artiklassa tarkoitettujen käsittelyn perusperiaatteiden, suostumuksen edellytykset mukaan luettuna, ja rekisteröityjen 12–22 artiklan mukaisia oikeuksia koskevien säännösten rikkomisesta sekä tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkomisesta voidaan määrätä hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Sääntelyn selkeyttäminen on perusteltua myös hallinnollista seuraamusta koskevan sääntelyn vuoksi. 

Voimaantulo

Ehdotetaan, että laki tulee voimaan mahdollisimman pian. 

Suhde perustuslakiin ja säätämisjärjestys

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 10 §:ssä turvatun henkilötietojen ja yksityiselämän suojan kannalta.  

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus, SopS 18–19/1990) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.  

Euroopan unionin perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat.  

Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2–3). Merkityksellistä on ollut, että perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. (PeVL 51/2018 vp, s. 4 ja siinä viitatut lausunnot.)  

Perustuslakivaliokunta on tietosuoja-asetusta täydentävää lainsäädäntöä koskevassa lausunnossaan (PeVL 14/2018 vp, s. 4) pitänyt perusteltuna tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla.  

Perustuslakivaliokunta on käytännössään (ks. PeVL 14/2018 vp, s. 7) pitänyt tärkeänä, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset. Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta.  

Esityksessä ehdotetaan muutettavaksi työntekijän suostumukseen perustuvaa henkilötietojen keräämistä koskevaa sääntelyä. Perustuslakivaliokunta on katsonut perusoikeusrajoituksen kohteeksi joutuvan henkilön suostumuksella voivan sinänsä olla merkitystä valtiosääntöoikeudellisessa arvioinnissa. Valiokunta on kuitenkin käytännössään pitänyt tällaista sääntelytapaa ongelmallisena ja korostanut suurta pidättyväisyyttä suostumuksen käyttämisessä perusoikeuksiin puuttumisen oikeutusperusteena. Valiokunnan mukaan tällainen sääntelytapa ei ole helposti sovitettavissa yhteen sen perustuslain 2 §:n 3 momentissa vahvistettuun oikeusvaltioperiaatteeseen sisältyvän vaatimuksen kanssa, jonka mukaan julkisen vallan käytön tulee perustua lakiin. Toimivallasta puuttua yksilön perusoikeuksiin on lisäksi aina säädettävä riittävän tarkkarajaisella ja soveltamisalaltaan täsmällisellä lailla. Valiokunta onkin pitänyt selvänä, että perusoikeussuoja ei voi oikeudellisena kysymyksenä menettää aina merkitystään pelkästään siksi, että laissa säädetään jonkin toimenpiteen vaativan kohdehenkilön suostumusta. Perusoikeussuojaa ei voida millaisessa asiassa tahansa jättää riippumaan asianomaisen suostumuksesta. Valiokunta on pitänyt tässä suhteessa oleellisena sitä, mitä voidaan pitää oikeudellisesti relevanttina suostumuksena tietyssä tilanteessa, ja edellyttänyt suostumuksenvaraisesti perusoikeussuojaan puuttuvalta lailta muun muassa tarkkuutta ja täsmällisyyttä, säännöksiä suostumuksen antamisen ja sen peruuttamisen tavasta, suostumuksen aitouden ja vapaaseen tahtoon perustuvuuden varmistamista sekä sääntelyn välttämättömyyttä. (PeVL 23/2020 vp, s. 4 ja siinä viitatut lausunnot.)  

Perustuslakivaliokunnan myötävaikutuksella säädetyssä yksityisyyden suojasta työelämässä annetussa laissa on säädetty, että työntekijän henkilötietojen keräämisen on pääsäännön mukaan perustuttava suostumukseen. Tietosuoja-asetuksessa samoin kuin perustuslakivaliokunnan myötävaikutuksella säädetyssä kumotussa henkilötietolaissa (523/1999) on sallittu henkilötietojen käsittely suostumuksen nojalla.  

Tietosuoja-asetuksen johdanto-osan kappaleen 43 mukaan suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee Euroopan tietosuojaneuvoston tulkinnan mukaan myös tilannetta, jossa rekisterinpitäjänä on työnantaja ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti. Asetuksen johdanto-osan kappaleessa 42 todetaan, että suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Tietosuoja-asetuksen johdanto-osan kappaleen 155 mukaan työntekijän suostumukseen perustuva käsittely on kuitenkin työsuhteessa tapahtuvassa henkilötietojen käsittelyssä mahdollista. Suostumuksen on täytettävä tietosuoja-asetuksessa säädetyt vaatimukset. 

Kun otetaan huomioon perustuslain tulkintakäytännöstä johtuvat vaatimukset ja se, että suostumus olisi tietosuoja-asetuksen perustelujen mukaisesti ongelmallinen rekisteröidyn ja rekisterinpitäjän välisessä epäsuhtatilanteessa, työntekijän henkilötietojen käsittely perustuisi kuitenkin pääosin lainsäädäntöön. Suostumukseen perustuvan käsittelyn arvioidaan olevan työntekijän yksityisyyden suojan, henkilötietojen suojan ja oikeusturvan sekä tietojen käsittelyn läpinäkyvyyden kannalta perusteltua rekrytoinnin yhteydessä ja kun tiedot kerätään muuta tarkoitusta varten kuin työnantajan lakisääteisten oikeuksien tai velvollisuuksien toteuttamista varten. Tarpeet kerätä työntekijöiden tietoja työsuhteen aikana muita tarkoituksia kuin työnantajan lakisääteisten oikeuksien tai velvollisuuksien toteuttamista varten ovat työsuhteen kannalta yleisesti vähemmän merkityksellisiä. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksessa. Yksityisyyden suojasta työelämässä annetun lain 3 §:n tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. 

Perustuslakivaliokunta on pitänyt henkilötietojen suojan kannalta keskeisenä tiedollista itsemääräämisoikeutta (PeVL 2/2018 vp, s. 8). Suostumukseen liittyy ajatus yksilön tiedollisesta itsemääräämisoikeudesta. Tiedollisesta itsemääräämisoikeudesta ei seuraa yksilölle ehdotonta oikeutta määrätä tietojen käytöstä kaikissa tilanteissa. Työsuhteessa työntekijä on työnantajan johdon ja valvonnan alaisena, mikä asettaa rajoituksia myös sille, millä tavalla työntekijä voi määrätä omien henkilötietojensa käytöstä. Työsuhteen kannalta tarpeellisten henkilötietojen käsittelyn on oltava mahdollista, jotta työnantaja voi käyttää työn johto- ja valvontaoikeuttaan. Työn johto- ja valvontaoikeutta rajoittaa muu lainsäädäntö, kuten työlainsäädäntö, perusoikeudet ja rikoslainsäädäntö.  

Esityksessä ei ehdoteta laajennettavaksi työnantajan oikeuksia käsitellä työntekijöiden henkilötietoja muutoin kuin siten, että työntekijän henkilötietojen keräämiseen ei edellytettäisi hankittavan työntekijän suostumusta yhtä laajasti kuin voimassa olevassa laissa. Niiden henkilötietojen piiri, joita työnantajat saavat käsitellä, ei ehdotuksen myötä laajenisi. Kerättävien tietojen on oltava yksityisyyden suojasta työelämässä annetun lain 3 §:ssä säädetyn tarpeellisuusvaatimuksen mukaisia. 

Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan ja 88 artiklaan perustuvaa kansallista sääntelyliikkumavaraa ja sen käyttöä on selostettu tarkemmin edellä nykytilan kuvauksen ja säännöskohtaisten perustelujen yhteydessä. Nyt ehdotettavan muutoksen tarkoituksena on selkeyttää sääntelyä ja yhteensovittaa se paremmin tietosuoja-asetuksen kanssa. Työntekijän henkilötietojen keräämistä koskevan sääntelyn arvioidaan olevan perusteltua työntekijän heikomman aseman vuoksi. Erityisen sääntelyn tarve on huomioitu myös tietosuoja-asetuksen 88 artiklassa. 

Perusoikeuksien merkitystä yksityisyyden suojasta työelämässä annetun lain säännösten suhteen on arvioitu eduskunnan käsitellessä lain säätämiseen ja muutoksiin johtaneita hallituksen esityksiä (HE 75/2010 vp, PeVL 27/2000 vp, HE 162/2003 vp ja PeVL 10/2004 vp). Lakiehdotukset on katsottu voitavan säätää tavallisessa lainsäätämisjärjestyksessä, eivätkä nyt ehdotettavat muutokset merkitse sellaista lainsäädännön muuttamista, joka edellyttäisi asian uudelleenarviointia. Esityksessä ei ehdoteta erityisiin henkilötietoryhmiin tai valtiosääntöisesti arkaluonteisten henkilötietojen käsittelyyn oikeuttavia säännöksiä. Esitykseen ei sisälly rekisteröidyn oikeuksien rajoittamista koskevia säännöksiä. 

Edellä esitetyillä perusteilla lakiehdotus voidaan hallituksen käsityksen mukaan käsitellä tavallisessa lainsäätämisjärjestyksessä. 

Ponsiosa 

Ponsi 

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus: 

Laki yksityisyyden suojasta työelämässä annetun lain 4 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan yksityisyyden suojasta työelämässä annetun lain (759/2004) 4 §:n 1 momentti, sellaisena kuin se on laissa 347/2019, seuraavasti: 
4 § Työntekijän henkilötietojen keräämisen yleiset edellytykset ja työnantajan tiedonantovelvollisuus 
Työnantajan on kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Tietojen keräämiseen muualta kuin työntekijältä itseltään sovelletaan, mitä tietosuoja-asetuksessa säädetään suostumukseen perustuvasta käsittelystä. Tietosuoja-asetuksessa suostumukseen perustuvasta käsittelystä säädettyä ei kuitenkaan sovelleta, jos työnantaja kerää henkilötietoja työsuhteen aikana työnantajalle laissa säädettyjen oikeuksien tai velvollisuuksien toteuttamista varten taikka jos henkilötietojen käsittelystä laissa erikseen toisin säädetään. Turvallisuusselvityksen hakemisesta säädetään turvallisuusselvityslaissa (726/2014). Menettelystä, jolla alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustaa selvitetään, säädetään lasten kanssa työskentelevien rikostaustan selvittämisestä annetussa laissa (504/2002). Oikeudesta saada tietoja rikosrekisteristä säädetään rikosrekisterilaissa (770/1993). 
Ponsiosa 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 
Helsingissä 24.3.2022 
Pääministeri Sanna Marin 
Työministeri Tuula Haatainen