Yleistä
Euroopan parlamentin ja neuvoston tietosuoja-asetus (EU) 2016/679 tuli voimaan 24.5.2016, ja sen soveltaminen jäsenmaissa alkoi toukokuun 25. päivänä 2018. Asetuksella kumottiin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (jäljempänä henkilötietodirektiivi), joka on Suomessa pantu täytäntöön henkilötietolailla (523/1999).
Tietosuoja-asetus on kansallisesti suoraan sovellettava ja velvoittava säädös, mutta se ei kaikilta osin harmonisoi EU:n jäsenvaltioiden henkilötietojen suojaa koskevaa lainsäädäntöä, vaan jättää jäsenvaltioille direktiivin toimeenpanolle ominaista kansallista liikkumavaraa. Kansallisesti EU:n yleistä tietosuoja-asetusta täydentää henkilötietolain kumonnut, kuluvan vuoden 2019 alusta voimaan tullut tietosuojalaki (1050/2018). Tietosuojalaki on henkilötietojen käsittelyyn sovellettava yleislaki, joka ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan jota tietosuoja-asetusta täydentävänä ja täsmentävänä sovelletaan rinnakkain asetuksen kanssa.
Tietosuoja-asetus sisältää kansallista liikkumavaraa myös työsuhteessa tapahtuvaan henkilötietojen käsittelyyn. Liikkumavaran puitteissa tietosuoja-asetuksen säännöksiä voidaan täydentää ja täsmentää työelämän tilanteisiin ja tarpeisiin soveltuviksi ja määritellä tarkemmin ne edellytykset, joiden täyttyessä työntekijän henkilötietojen käsittely on sallittua.
Työelämän yksityiselämän suojasta säädetään laissa yksityisyyden suojasta työelämässä, jäljempänä työelämän tietosuojalaki (759/2004). Hallituksen esityksessä lakia ehdotetaan muutettavaksi siten, että siihen tehdään tietosuoja-asetuksesta, henkilötietolain kumoamisesta ja rikoslain muuttamisesta johtuvat muutokset. Lisäksi ehdotetaan tarkistusta lasten kanssa työskentelevien rikostaustan selvittämisestä annettuun lakiin. Työsuhteessa tapahtuvassa henkilötietojen käsittelyssä on siten jatkossa noudatettava tietosuoja-asetuksen kanssa rinnakkain uutta tietosuojalakia sekä erityislakina työelämän tietosuojalakia. Valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena ja puoltaa lakiehdotusten hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.
Työntekijän henkilötietojen käsittely
Työelämän tietosuojalaki säädettiin vuonna 2004. Sillä kumottiin vuoden 2001 laki yksityisyyden suojasta työelämässä (477/2001). Kokonaan uuden lain säätämisen tarve johtui teknisistä syistä, kun lain sääntely vuonna 2004 laajeni kattamaan myös henkilöluottotietojen, huumetestien ja videovalvonnan käytön työelämässä (HE 162/2003 vp, TyVM 8/2004 vp).
Työelämän tietosuojalain 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.
Työnantajan on lain 4 §:n 1 momentin mukaan kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on hankittava suostumus. Suostumusta ei kuitenkaan tarvita silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädettyjen tehtävien suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi.
Henkilötietojen kerääminen ja tietolähteet
Voimassa oleva 4 §:n sisältö sai nykyisen muotonsa vuonna 2001, kun eduskunta muutti hallituksen esitykseen (HE 75/2000 vp) sisältyneen 4 §:n työ- ja tasa-arvoasiainvaliokunnan (TyVM 3/2001 vp) ehdotuksen mukaisesti. Pykälästä poistettiin säännös suostumuksen tarpeettomuudesta silloin, kun tiedot ovat tarpeellisia työntekijän luotettavuuden selvittämiseksi. Lisäksi eduskuntakäsittelyssä pykälään lisättiin säännös siitä, että suostumusta ei tarvita, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi.
Valiokunnan saaman selvityksen mukaan on ilmeistä, että voimassa olevan 4 §:n 1 momentin sanamuodon mukaan työntekijää koskevia tietoja henkilön luotettavuuden selvittämiseksi ei ilman työntekijän suostumusta saa hankkia muualta kuin henkilöltä itseltään muutoin kuin laissa erikseen säädetyissä tapauksissa. Työelämän tietosuojalaissa luotettavuuteen vaikuttavien seikkojen selvittämisestä säädetään erikseen lain 5 a §:ssä (luottotiedot) ja 3 luvussa (huumetestien käyttö).
Tietosuojavaltuutetun tulkintakäytäntö ja ehdotus
Valiokunnalle antamassaan lausunnossa tietosuojavaltuutettu katsoo, että 4 §:n 1 momentin kolmannen virkkeen sanamuoto ei vastaa tosiasiallisia työelämän henkilötietojen käsittelyä koskevia tilanteita ja ehdottaa säännöstä muutettavaksi siten, että se sanamuodoltaan vastaisi tietosuojavaltuutetun pykälää koskevaa vakiintunutta tulkintakäytäntöä sekä voimassa olevan työelämän tietosuojalain lainvalmisteluaineistossa esitettyjä useita poikkeuksia. Tietosuojavaltuutettu toteaa, että lakiehdotuksen yksityiskohtaisissa perusteluissa (HE 75/2000 vp, s. 17/II) on ”...esitetty useita tilanteita ja poikkeuksia sanamuodosta, jolloin tietoja voidaan hankkia ilman työntekijän suostumusta muualta”.
Tietosuojavaltuutettu on ratkaisukäytännössään perustellut luotettavuuden selvittämistä ilman työntekijän suostumusta perusteluissa olevilla poikkeuksilla. Esimerkiksi ratkaisuissaan dnro 147/523/2017 tietosuojavaltuutettu on lainannut vuoden 2001 työelämän tietosuojalain yksityiskohtaisia perusteluja ja todennut lain 4 §:stä mm. seuraavaa: ”Mikäli työntekijä tai työnhakija ei tietojen keräämiseen suostumustaan anna tai sitä on asian laatu huomioon ottaen mahdotonta pyytää häneltä, on työnantajalla oikeus hankkia tietoja suostumuksettakin kahdella edellytyksellä. Ensinnäkin tietoja voidaan hankkia vain silloin, kun ne ovat lain 3 §:n tarpeellisuusvaatimuksen mukaisesti välittömästi tarpeellisia työsuhteen kannalta. Toiseksi henkilötietojen hankintaan on oltava selvä peruste, joka liittyy työntekijän tai työnhakijan luotettavuuden selvittämiseen.” Asiakirjassa ei kuvata tai viitata itse pykälätekstiin. Työelämän tietosuoja -käsikirjaan sisältyy vastaavan kaltainen ohjaus luotettavuuden selvittämisen edellytyksistä.
Tietosuojavaltuutettu ehdottaa, että oikeustilan selventämiseksi 4 §:n kolmannen virkkeen sanamuotoa tarkennetaan vastaamaan vakiintunutta tulkintakäytäntöä seuraavasti: ”Ellei laissa toisin säädettäisi, työntekijän suostumus ei olisi tarpeen silloin, kun viranomainen luovuttaa henkilötietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantajalla on erityinen syy työsuhteen oikeuksien ja velvollisuuksien vuoksi selvittää työntekijän luotettavuutta.”
Työelämässä tavanomainen ja hyväksyttävänä pidetty sekä tietosuojavaltuutetun tulkintakäytännön mukainen henkilötietojen kerääminen ilmenisi tietosuojavaltuutetun mukaan näin säädettäessä myös pykälän sanamuodosta. Muutoksella ei olisi tarkoitus muuttaa tulkintakäytäntöä eikä laajentaa työnantajan tiedonsaantioikeuksia nykyiseen verrattuna.
Tulkintakäytännön tarkistaminen ja sääntelyn selkiyttäminen
Työelämä- ja tasa-arvovaliokunta toteaa, että ottaen huomioon laintulkinnan perusperiaatteet ja sen, että 4 § muuttui eduskuntakäsittelyssä vuonna 2001 siten, että tiedonsaantioikeuksia ilman työntekijän suostumusta rajoitettiin hallituksen esityksessä ehdotetusta, tulkinnassa tulee hallituksen esityksen 4 §:n yksityiskohtaisten perustelujen sijasta ensisijaisesti käyttää oikeuslähteenä eduskuntakäsittelyssä syntyneitä lainvalmisteluaineistoja (HaVL 1/2001 vp ja TyVM 3/2001 vp). Valiokunta tähdentää, että lainvalmisteluaineistolla ja siitä ilmenevällä lainsäätäjän tarkoituksella on tulkinnassa sitä suurempi merkitys, mitä uudemmasta lainsäädännöstä on kysymys. Vielä valiokunta huomauttaa, että hallituksen esitykseen sisältyvän säännöksen perustelujen käyttäminen tulkinnassa edellyttää, että tulkittava säännös ei ole vastaavilta osin muuttunut lakia eduskunnassa säädettäessä.
Valiokunta pitää työelämän tietosuojalain 4 §:n 1 momentin asianmukaiseksi soveltamiseksi ja tulkitsemiseksi tarpeellisena, että työntekijän luotettavuuden selvittämistä koskevaa sääntelyä selkiytetään, ja ehdottaa 4 §:n täsmentämistä yksityiskohtaisista perusteluista tarkemmin ilmenevällä tavalla. Valiokunta katsoo, että lakiin ei kuitenkaan ole tarkoituksenmukaista tehdä merkittäviä muutoksia ilman perusteellista lainvalmistelua.
Työntekijän luotettavuuden selvittäminen
Työntekijän luotettavuuden selvittämiseen liittyy paljon työntekijän yksityisyyden suojan kannalta herkälle alueelle tulevia kysymyksiä. Henkilön luotettavuuteen voivat vaikuttaa monenlaiset seikat, ja työntekijän luotettavuudella on esimerkiksi tietosuojavaltuutetun ratkaisukäytännössä tarkoitettu myös muuta kuin turvallisuusselvitysmenettelyn, henkilöluottotietojen ja huumausainetestitietojen avulla selvitettävää luotettavuutta.
Luotettavuuden selvittämistä koskeva lainsäädäntö on työelämän tietosuojalain säätämisen jälkeen kehittynyt ja työelämässä tapahtunut monia muutoksia. Työntekijän luotettavuuden selvittämistä koskeva lainsäädäntö, turvallisuusselvityslaki ja henkilöluottotietojen käsittelyä koskeva sääntely ovat muuttuneet työelämän tietosuojalain 4 §:n säätämisen jälkeen. Valmisteilla oleva unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelua koskeva direktiivin (COM(2018) 218 final) täytäntöönpano tullee lisäksi edellyttämään tarkastelua suhteessa työntekijöiden henkilötietojen käsittelyä koskevaan sääntelyyn. Direktiiviehdotuksella pyritään parantamaan unionin oikeuden täytäntöönpanon tehokkuutta luomalla unionitasoiset yhdenmukaiset vähimmäisvaatimukset väärinkäytöksistä ilmoittavien suojelulle.
Tietosuojavaltuutetun ratkaisukäytännössä esitettyjen tulkintojen ja työelämän muutosten sekä lainsäädännön kehityksen vuoksi työelämä- ja tasa-arvovaliokunta pitää tarpeellisena, että luotettavuuden selvittämistä koskeva sääntely ja sen mahdolliset muutostarpeet selvitetään kolmikantaisessa lainvalmistelussa, jossa on pyrittävä löytämään sopiva tasapaino työntekijöiden yksityisyyden suojan ja työnantajien tiedonkäsittelytarpeiden välille. Samalla valmistelussa on otettava huomioon valmisteilla oleva unionin oikeuden rikkomisesta ilmoittavien suojelua koskeva direktiivi (Valiokunnan lausumaehdotus).