Senast publicerat 03-11-2021 13:37

Regeringens proposition RP 97/2018 rd Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om integritetsskydd i arbetslivet och 10 § i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om integritetsskydd i arbetslivet ändras. I lagen görs sådana ändringar som följer av Europeiska unionens allmänna dataskyddsförordning, upphävandet av personuppgiftslagen och en ändring av strafflagen. Dessutom föreslås vissa andra ändringar i lagen om integritetsskydd i arbetslivet. 

I propositionen föreslås det också att det i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn görs en justering som beror på en ändring av strafflagen. 

Lagarna avses träda i kraft så snart som möjligt. 

ALLMÄN MOTIVERING

Inledning

Europaparlamentet och rådet antog våren 2016 Europeiska unionens dataskyddspaket som inbegriper Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. Genom dataskyddsförordningen upphävdes Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, som i Finland genomförts genom personuppgiftslagen (523/1999). Dataskyddsförordningen började tillämpas den 25 maj 2018.  

Dataskyddsförordningen är direkt tillämplig och förpliktande lagstiftning i medlemsstaterna. Fastän dataskyddsförordningen är en rättsakt som är direkt tillämplig nationellt, harmoniserar den inte till alla delar med lagstiftningen om skydd för personuppgifter i EU:s medlemsstater, utan lämnar nationellt handlingsutrymme för medlemsstaterna i likhet med direktiv. Dataskyddsförordningen inbegriper nationellt handlingsutrymme också när det gäller behandling av personuppgifter i ett anställningsförhållande.  

På grund av dataskyddsförordningen har det behövt utredas om lagstiftningen om behandling av personuppgifter i arbetslivet, som hör till arbets- och näringsministeriets ansvarsområde, är förenlig med det nationella handlingsutrymme och de ändringsbehov som följer av dataskyddsförordningen.  

Regeringen lämnade den 1 mars 2018 till riksdagen en proposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd), nedan propositionen om dataskyddslagen. Den dataskyddslag som föreslås i den propositionen har en central betydelse också med tanke på behandling av personuppgifter i arbetslivet. 

Nuläge

2.1  Lagstiftning

2.1.1  Lagen om integritetsskydd i arbetslivet

Lagen om integritetsskydd i arbetslivet (759/2004) trädde i kraft den 1 oktober 2004. Genom lagen upphävdes den tidigare lagen om integritetsskydd i arbetslivet (477/2001). Syftet med lagen är att svara mot frågor om skyddet för privatlivet uttryckligen i arbetslivet. Lagen tillämpas på arbetsavtalsförhållanden och tjänsteförhållanden samt i tillämpliga delar på dem som söker ett arbete eller en tjänst. I lagen föreskrivs om behandling av arbetstagares personuppgifter, test och kontroller som gäller arbetstagare samt om de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt om hämtning och öppnande av arbetstagares elektroniska meddelanden. 

Bestämmelserna i lagen om integritetsskydd i arbetslivet har i egenskap av speciallag åsidosatt bestämmelserna i personuppgiftslagen, som annars också skulle ha tillämpats i arbetslivet.  

Bakom bestämmelserna i lagen om integritetsskydd i arbetslivet finns inte enbart intresset av skydd för arbetstagarens personuppgifter. I lagens förarbeten (RP 75/2000 rd och RP 162/2003 rd) bedöms bestämmelsernas förhållande till de grundläggande fri- och rättigheter som tryggas genom grundlagen (731/1999) och förutsättningarna för begränsning av de grundläggande fri- och rättigheterna. Enligt lagens förarbeten gäller det att i datasekretesslagstiftningen för arbetslivet samordna flera grundläggande fri- och rättigheter, som gäller dels arbetstagarnas integritetsskydd, dels individens rätt att fritt ingå avtal och i viss mån även andras grundläggande fri- och rättigheter. Avsikten är att bestämmelserna i lagen om integritetsskydd i arbetslivet tryggar de grundläggande fri- och rättigheterna i arbetslivet samtidigt som de särskilt beaktar de speciella behov i relationen mellan arbetsgivarna och arbetstagarna som inte har kunnat beaktas i den allmänna lagen, dvs. personuppgiftslagen. I bestämmelserna har samordnats arbetstagarnas integritetsskydd med det allmännas och arbetsgivarnas intressen.  

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade och närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt 2 mom. i paragrafen är brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden okränkbar. Utöver 10 § i grundlagen är sådana grundläggande fri- och rättigheter som är betydelsefulla med tanke på datasekretesslagstiftningen för arbetslivet i synnerhet jämlikhet (6 §), rätten till liv, personlig frihet och integritet (7 §), yttrandefrihet (12 §), egendomsskydd (15 §) och rätt till arbete (18 §). Genom lagen om integritetsskydd i arbetslivet preciseras innebörden av fri- och rättigheter i arbetslivet. 

2.1.2  Personuppgiftslagen

Syftet med den allmänna lagen om behandling av personuppgifter, dvs. personuppgiftslagen, är att genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet samt övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten vid behandling av personuppgifter samt att främja utvecklandet och iakttagandet av god informationshantering.  

Det föreslås att personuppgiftslagen upphävs på grund av dataskyddsförordningen (RP 9/2018 rd). I fortsättningen ska dataskyddsförordningen och dataskyddslagen tillämpas i stället för personuppgiftslagen.  

2.1.3  Annan lagstiftning som anknyter till dataskydd i arbetslivet

Arbetslagstiftningen inom arbets- och näringsministeriets ansvarsområde innehåller endast få bestämmelser om behandling av personuppgifter. Arbetslagstiftningen innehåller lagstadgade förpliktelser vars fullgörande kräver behandling av arbetstagares personuppgifter.  

Regleringen av behandlingen av personuppgifter i arbetslivet hör delvis till social- och hälsovårdsministeriets, kommunikationsministeriets, justitieministeriets, undervisnings- och kulturministeriets och finansministeriets ansvarsområden.  

Vid beredningen av denna regeringsproposition fanns det inte tillgång till exempelvis uppgifter om sådana ändringsbehov i bestämmelser om arbetshälsa, arbetarskydd, säkerhetsutredningar eller kreditupplysningar som följer av dataskyddsförordningen. För statstjänstemannalagen (750/1994) eller lagen om kommunala tjänsteinnehavare (304/2003) bereds inte ändringar som följer av dataskyddsförordningen. I regeringens proposition till riksdagen med förslag till lag om ändring av informationssamhällsbalken (RP 44/2018 rd) föreslås sådana ändringar i lagen om tjänster inom elektronisk kommunikation (917/2014) som förutsätts i dataskyddsförordningen. 

2.1.4  Dataskyddsförordningen

Genom dataskyddsförordningen fastställs reglerna för skydd för fysiska personer vid behandling av personuppgifter samt de regler som gäller det fria flödet av personuppgifter. Förordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. I skäl 4 i förordningen anges att rätten till skydd av personuppgifter inte är en absolut rättighet; den måste förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.  

Förordningens mål och principer motsvarar i stor utsträckning målen och principerna i personuppgiftsdirektivet. Dataskyddsförordningen stiftades för att säkerställa en enhetlig nivå för skyddet av fysiska personer över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden när det gäller tillämpningen av personuppgiftsdirektivet.  

Angreppssättet i dataskyddsförordningen är riskbaserat och då ligger tyngdpunkten i skyddet för personuppgifter på sådana situationer som mest sannolikt utgör ett hot mot personers integritet.  

Dataskyddsförordningen är direkt tillämplig rätt, men där tillåts dock för många bestämmelsers del nationella kompletterande bestämmelser, m.a.o. innehåller förordningen nationellt handlingsutrymme i likhet med direktiv. Det nationella handlingsutrymmet i dataskyddsförordningen möjliggör nationell lagstiftning som preciserar bestämmelserna i förordningen. Dessutom är det möjligt att i vissa fall avvika från förpliktelserna i dataskyddsförordningen genom nationell lagstiftning. Med nationellt handlingsutrymme avses att nationell lagstiftning som preciserar förordningen är möjlig endast till den del som det uttryckligen tillåts i förordningen. Utöver handlingsutrymmet för nationell lagstiftning om behandling av personuppgifter ska lagstiftaren också säkerställa att de nationella bestämmelserna inte heller i övrigt står i strid med dataskyddsförordningen. Det nationella handlingsutrymmet baserar sig på artikel 6.1 led c och e i dataskyddsförordningen samt i fråga om de särskilda kategorierna av personuppgifter på artikel 9.2, led b, g, h, i och j. Förordningen innehåller också flera artikelspecifika preciseringar av det nationella handlingsutrymmet. Möjligheten till undantag är centralt knuten till tillämpningen av artikel 23 (begränsningar) och till kapitel IX (bestämmelser om särskilda behandlingssituationer). 

Dataskyddsförordningens syfte och tillämpningsområde samt de begrepp som används i förordningen definieras i kapitel I i förordningen. Enligt artikel 2 i förordningen tillämpas förordningen på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.  

Definitionerna (artikel 4) av de centrala begreppen i dataskyddsförordningen (personuppgift, behandling, register, personuppgiftsansvarig, personuppgiftsbiträde, mottagare) motsvarar i stor utsträckning personuppgiftsdirektivet. I definitionen av personuppgift preciseras att även lokaliseringsuppgift och onlineidentifikatorer är personuppgifter. I förordningen finns också flera nya definitioner (till exempel pseudonymisering, personuppgiftsincident, genetiska uppgifter, biometriska uppgifter, huvudsakligt verksamhetsställe, företrädare, företag och koncern). 

I artikel 5 i dataskyddsförordningen anges principer för behandling av personuppgifter, som är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. Den personuppgiftsansvarige ska kunna visa att han eller hon iakttagit dessa principer i behandlingen av personuppgifter (ansvarsskyldighet).  

I artikel 6 i dataskyddsförordningen finns bestämmelser om laglig behandling av personuppgifter. Enligt artikel 6.1 är behandling endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: 

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. 

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. 

Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. 

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. 

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.  

Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. 

De villkor som nämns i förteckningen motsvarar i stor utsträckning de förutsättningar för behandling av personuppgifter som anges i 8 § 1 mom. i personuppgiftslagen. I artikel 7 föreskrivs det om villkor för samtycke.  

I artikel 9 i dataskyddsförordningen föreskrivs det om behandling av särskilda kategorier av personuppgifter. Begreppet särskilda kategorier av personuppgifter framgår av artikel 9.1 där följande föreskrivs: ”Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.”  

De särskilda kategorier av personuppgifter som nämns i artikel 9 i dataskyddsförordningen motsvarar i stor utsträckning de känsliga uppgifter som anges i 11 § i personuppgiftslagen. Definitionerna skiljer sig från varandra speciellt på det sättet att även uppgifter om en brottslig gärning eller ett straff eller någon annan påföljd för ett brott är känsliga uppgifter enligt personuppgiftslagen.  

Undantag från behandlingsförbudet finns i artikel 9.2. i förordningen. En del av undantagen är direkt tillämpliga och en del förutsätter nationell lagstiftning. Förbudet mot behandling av särskilda kategorier av personuppgifter tillämpas inte bland annat om behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs (artikel 9.2 b). Enligt artikel 9.4 om särskilda kategorier av personuppgifter får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa. 

Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. 

I kapitel III i dataskyddsförordningen finns bestämmelser om den registrerades rättigheter. I kapitlet om den registrerades rättigheter finns bestämmelser om bland annat 

information till den registrerade (artiklarna 12—14), 

den registrerades rätt till tillgång (artikel 15), 

rätt till rättelse (artikel 16), 

rätt till radering (artikel 17), 

rätt till begränsning av behandling (artikel 18), 

rätt till dataportabilitet (artikel 20), 

rätt att göra invändningar (artikel 21), samt 

automatiserat individuellt beslutsfattande (artikel 22) 

I kapitel IV i dataskyddsförordningen finns bestämmelser om bland annat den personuppgiftsansvariges och personuppgiftsbiträdets skyldigheter.  

Kapitel V i dataskyddsförordningen gäller överföring av personuppgifter till tredjeländer eller internationella organisationer, kapitel VI gäller tillsynsmyndigheter, kapitel VII samarbete och mekanismen för enhetlighet och kapitel VIII rättsmedel, ansvar och sanktioner.  

Bestämmelser om allmänna villkor för påförande av administrativa sanktionsavgifter finns i artikel 83 i dataskyddsförordningen. Där föreskrivs det att varje tillsynsmyndighet ska säkerställa att påförande av administrativa sanktionsavgifter i enlighet med artikeln för överträdelser av förordningen i varje enskilt fall är effektivt, proportionellt och avskräckande. Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som anges i artikel 58.2 och som dataskyddsmyndigheten har att tillgå.  

I kapitel IX i dataskyddsförordningen finns bestämmelser om särskilda behandlingssituationer och det nationella handlingsutrymmet i fråga om dessa. I artikel 88 i kapitlet finns bestämmelser om behandling i anställningsförhållanden. I artikel 88.1 föreskrivs det att medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. I artikel 88.2 anges att dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen. 

I skäl 155 i dataskyddsförordningen anges att en medlemsstats nationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, får föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. 

2.1.5  Dataskyddslag

I propositionen om dataskyddslagen föreslås det att det stiftas en dataskyddslag. Samtidigt ska personuppgiftslagen och lagen om datasekretessnämnden och dataombudsmannen (389/1994) upphävas. 

Dataskyddslagen är en allmän lag som ska tillämpas på behandling av personuppgifter. I och med att den kompletterar och preciserar dataskyddsförordningen utgör den ingen självständig och samlad lagstiftningshelhet, utan den ska tillämpas parallellt med förordningen. Undantag från dataskyddslagens bestämmelser kan göras i speciallagstiftning, om det är möjligt inom ramen för den prövningsmarginal som den nationella lagstiftaren ges i dataskyddsförordningen. 

Dataskyddslagen innehåller bestämmelser om lagval, den rättsliga grunden för behandling av personuppgifter, om behandling av särskilda kategorier av personuppgifter i vissa situationer, om den åldersgräns som tillämpas när informationssamhällets tjänster erbjuds till barn, om tillsynsmyndigheten, om rättssäkerhet och om särskilda behandlingssituationer. I 6 § i dataskyddslagen ska det finnas bestämmelser om behandling av särskilda kategorier av personuppgifter, såsom uppgifter som gäller medlemskap i ett fackförbund. I 7 § i dataskyddslagen ska det finnas bestämmelser om behandling av personuppgifter som rör i artikel 10 i dataskyddsförordningen avsedda fällande domar i brottmål och överträdelser. 

I propositionen föreslås dessutom ändringar i strafflagen (39/1889) och i lagen om verkställighet av böter (672/2002). De föreslagna lagarna var avsedda att träda i kraft den 25 maj 2018. 

2.2  Bedömning av nuläget

2.2.1  Lagen om integritetsskydd i arbetslivet

Lagen om integritetsskydd i arbetslivet måste granskas i förhållande till det nationella handlingsutrymme som ingår i dataskyddsförordningen. På grund av artikel 88 ingår i dataskyddsförordningen klart mer nationellt handlingsutrymme i fråga om behandlingen av personuppgifter i ett anställningsförhållande än i fråga om andra behandlingssituationer. I artikeln har det beaktats att behandlingen av personuppgifter i ett anställningsförhållande kan förutsätta särskilda nationella bestämmelser, för att arbetstagarens rättigheter och friheter vid behandlingen av personuppgifter kan säkerställas och samordnas med rättigheterna för arbetsgivaren och andra aktörer. Inom ramen för det nationella handlingsutrymme som ingår i artikeln kan man komplettera och precisera dataskyddsförordningens bestämmelser så att de lämpar sig för situationerna och behoven i arbetslivet. Med stöd av handlingsutrymmet är det möjligt att närmare fastställa de förutsättningar under vilka det är lagligt att behandla arbetstagares personuppgifter.  

Artikel 88 i dataskyddsförordningen och skäl 115, som anknyter till artikeln, kan tolkas så att nationella specialbestämmelser kan utfärdas med stöd av den, oberoende av på vilken rättsgrund behandlingen av personuppgifter baserar sig på. Det finns inte någon entydig tolkning på i vilken mån artikel 88 i dataskyddsförordningen ger rätt att höja skyddet för den registrerade i förhållande till förordningen och till vilken del bestämmelserna kan vara strängare än förordningens bestämmelser.  

Nationellt handlingsutrymme i fråga om behandling av personuppgifter i arbetslivet finns också i synnerhet i artikel 9 i dataskyddsförordningen. I skäl 52 i dataskyddsförordningen konstateras att arbetslagstiftningen är en orsak som gäller allmänintresset och som ger rätt till att nationellt avvika från förbudet mot behandling av särskilda kategorier av personuppgifter. Nationella specialbestämmelser om behandling av särskilda kategorier av personuppgifter ska uppfylla de krav som föreskrivs i artikel 9.2 i dataskyddsförordningen. Nationella bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt överträdelser eller därmed sammanhängande säkerhetsåtgärder ska uppfylla de krav som föreskrivs i artikel 10 i dataskyddsförordningen. 

Dataskyddsförordningen och den föreslagna dataskyddslagen ska i fortsättningen ersätta personuppgiftslagen. I lagen om integritetsskydd i arbetslivet finns inte separata bestämmelser om begrepp och definitioner i samband med behandling av personuppgifter, utan lagen har byggt på begreppen och principerna i personuppgiftslagen. I lagen finns inte nämnvärt med ändringsbehov på grund av att den skulle innehålla bestämmelser om behandling av personuppgifter eller definitioner som är överlappande med dataskyddsförordningen.  

Definitionerna, principerna, den registrerades rättigheter och den personuppgiftsansvariges skyldigheter i dataskyddsförordningen motsvarar till stora delar personuppgiftslagen, så det finns inte heller därför stora ändringsbehov i lagen om integritetsskydd i arbetslivet. I dataskyddsförordningen finns dock också nya definitioner, principer, rättigheter för den registrerade och skyldigheter för den personuppgiftsansvarige som ändrar rättsläget. Till den del som det i den nationella lagstiftningen inte finns bestämmelser om behandling av arbetstagares personuppgifter ska i fortsättningen dataskyddsförordningen iakttas.  

Dataskyddsförordningen är avsevärt mycket mer detaljerad än personuppgiftslagen. I fråga om den kan dock anges samma observationer som om personuppgiftslagen, dvs. att förutsättningarna för behandling av personuppgifter till många delar är för allmänna med tanke på behoven i arbetslivet. I lagen om integritetsskydd i arbetslivet har beaktats sådana situationer som i synnerhet anknyter till behandling i anställningsförhållanden och som är speciella jämfört med annan behandling av personuppgifter.  

Till många delar tar lagen om integritetsskydd i arbetslivet ställning till under vilka förutsättningar en viss åtgärd är tillåten. Behandlingen av personuppgifter är en följd av dessa åtgärder, såsom narkotikatest. I lagen om integritetsskydd i arbetslivet finns således bestämmelser vars behövlighet också baserar sig på andra grunder än skyddet för arbetstagarens personuppgifter. 

En av Finlands prioriteringar i förhandlingarna om dataskyddsförordningen var att i förordningen få med bestämmelser som möjliggör att regleringen i lagen om integritetsskydd i arbetslivet kan behållas. I förhandlingarna nådde Finland sina viktigaste mål när det gäller bestämmelserna om dataskydd i arbetslivet. Förvaltningsutskottet fäste vid beredningen av dataskyddsförordningen uppmärksamhet vid hur den finländska dataskyddsregleringen för arbetslivet passar in i den föreslagna helheten och hur arbetslivets särdrag kommer att beaktas i förslaget till förordning (FvUU 22/2014 rd, FvUU 30/2014 rd, FvUU 2/2015 rd). Utskottet betraktade det som ytterst viktigt att specialbestämmelserna för arbetslivet har erkänts i kapitel IX i förordningen (FvUU 25/2015 rd). 

Lagen om integritetsskydd i arbetslivet kan med stöd av det handlingsutrymme som ges i artiklarna 9 och 88 i dataskyddsförordningen huvudsakligen behållas i sin nuvarande form, med undantag för några detaljer. Arbetslivet är förenat med särskilda situationer som avviker från annan behandling av uppgifter. I artikel 88 i dataskyddsförordningen anges vissa ändamål för vilka det kan utfärdas nationella bestämmelser. Listan är inte uttömmande, men den kan anses omfatta den nationella lagstiftningen om integritetsskydd i arbetslivet.  

Som lämpliga och specifika åtgärder som avses i artikel 88.2 i dataskyddsförordningen kan betraktas åtminstone bestämmelserna i 4 § 1 och 2 mom. i lagen om integritetsskydd i arbetslivet om allmänna förutsättningar för insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt, arbetsgivares upplysningsplikt om intyg över narkotikatest enligt 9 §, arbetsgivarens skyldighet att avgiftsfritt ge arbetstagaren det skriftliga utlåtande som givits vid person- eller lämplighetsbedömningen enligt 13 § 2 mom., bestämmelserna i 16 § om villkor för kameraövervakning, bestämmelserna i 17 § om öppenhet vid kameraövervakning och skyldighet att förstöra upptagningarna samt för sin del de bestämmelser i 18–20 § om hämtning och öppnande av e-postmeddelanden som gäller förfaringssätt som ska iakttas, utarbetande av rapport, informering av arbetstagarna samt tystnadsplikt. Lagen innehåller de bestämmelser om behandling av uppgifter om arbetstagares hälsotillstånd som förutsätts i artikel 9.2 b. De skyldigheter enligt 5 § 2 och 4 mom. som gäller behandling av uppgifter om hälsotillstånd kan också anses utgöra sådana skyddsåtgärder som avses i artikel 88.2. 

De ändringsbehov i lagen om integritetsskydd i arbetslivet som följer av dataskyddsförordningen är mestadels ändringar av hänvisningsbestämmelser av teknisk natur och hänför sig till detaljerna i lagen och delvis till upphävandet av personuppgiftslagen och en ändring av strafflagen. Eftersom personuppgiftslagen ska upphävas, är det motiverat att till 5 § om behandling av uppgifter om arbetstagares hälsotillstånd foga bestämmelser som motsvarar 12 § 2 mom. i personuppgiftslagen om utplåning av uppgifter och regelbunden bedömning av grunden för och behovet av behandling. Dataskyddsförordningen kan anses förutsätta att 16 § 2 mom. 3 punkten i den gällande lagen ändras så att arbetstagare på det sätt som förutsätts i artikel 7 i förordningen kan återta sitt samtycke till kameraövervakning av ett visst arbetsställe. Även preciseringen av 22 § i lagen anses vara behövlig på grund av dataskyddsförordningen, för att det ska vara klart att arbetarskyddsmyndighetens behörighet inte gäller tillsyn över efterlevnaden av bestämmelserna i dataskyddsförordningen. Ändringen av straffbestämmelsen i 24 § i lagen anses vara behövlig på grund av den ändring i sanktionssystemet som följer av dataskyddsförordningen samt på grund av beaktandet av förbudet mot dubbel straffbarhet. I lagen finns det inte väsentliga innehållsmässiga ändringsbehov som följer av dataskyddsförordningen. Dessutom finns det behov av att precisera 2 och 4 § i lagen om integritetsskydd i arbetslivet, så att de motsvarar den gällande lagstiftningen.  

I lagen om integritetsskydd i arbetslivet finns det bestämmelser om vissa situationer där personuppgifter behandlas i arbetslivet. I den gällande personuppgiftslagen finns bestämmelser som är viktiga med tanke på behandlingen av personuppgifter i arbetslivet. I 12 § i personuppgiftslagen föreskrivs om undantag från förbudet mot behandling av känsliga uppgifter. Med tanke på behandlingen av personuppgifter i arbetslivet är centrala bestämmelser de undantag som gäller behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den registeransvarige i lag (1 mom.5 punkten) samt sådan behandling av uppgifter som gäller medlemskap i ett fackförbund som behövs för att den registeransvarige ska kunna iaktta sina särskilda rättigheter och skyldigheter inom arbetsrättens område (1 mom. 9 punkten). Dessutom föreskrivs i personuppgiftslagen om en behandlingsgrund som gäller statistikföring (15 §) och som har betydelse med tanke på det nuvarande samarbetet kring statistikföring av löner.  

I propositionen om dataskyddslagen föreslås att sådan behandling som för närvarande sker med stöd av 12 § 1 mom. 5 och 9 punkten samt 15 § i personuppgiftslagen i fortsättningen ska vara möjlig med stöd av dataskyddslagen. Till denna del är det för bedömningen av personuppgifter i arbetslivet som helhet viktigt att i dataskyddslagen behålla rättsläget i enlighet med personuppgiftslagen.  

I lagen om integritetsskydd i arbetslivet finns inte bestämmelser om lagval. I propositionen om dataskyddslagen föreslås att det i 3 § 1 mom. i lagen föreskrivs att på sådan behandling av personuppgifter som sker inom ramen för verksamhet vid en personuppgiftsansvarigs eller ett personuppgiftsbiträdes verksamhetsställe i Europeiska unionen ska finsk lag tillämpas, om den personuppgiftsansvariges verksamhetsställe finns i Finland. Enligt motiveringen till paragrafen lämpar sig bestämmelserna om lagval för situationer med koppling till två eller flera medlemsstater. Så är fallet till exempel när den personuppgiftsansvarige är etablerad inom en medlemsstat och de registrerade vars personuppgifter behandlas är bosatta i en annan medlemsstat. Lagvalsregleringen har enligt propositionen om dataskyddslagen i praktiken betydelse endast i den mån det är fråga om lagstiftning som kompletterar dataskyddsförordningen och utfärdas inom ramen för medlemsstatens prövningsrätt. Således behöver det i lagen om integritetsskydd i arbetslivet inte särskilt föreskrivas om lagval. 

I 8 § 1 mom. 6 punkten i personuppgiftslagen finns bestämmelser om behandlingsgrund som gäller för koncerner. Där sägs att personuppgifter får behandlas, om det är fråga om uppgifter om kunder hos eller arbetstagare vid en koncern eller någon annan ekonomisk sammanslutning och dessa uppgifter behandlas inom nämnda sammanslutning. I fråga om behandling av uppgifter inom en koncern ingår det i dataskyddsförordningen inte en lika noggrant avgränsad rättsgrund för behandlingen. I skäl 48 i förordningen anges att personuppgiftsansvariga som ingår i en koncern eller institutioner som är underställda ett centralt organ kan ha ett berättigat intresse att överföra personuppgifter inom koncernen för interna administrativa ändamål, bland annat för behandling av kunders eller anställdas personuppgifter. I skäl 37 anges att ett företag med kontroll över behandlingen av personuppgifter vid företag som är underställda detta företag bör, tillsammans med dessa företag, anses utgöra en koncern.  

I propositionen om dataskyddslagen anges att den rättsliga grunden för behandling av personuppgifter när det gäller behandling inom en koncern följer av artikel 6.1 f i dataskyddsförordningen, enligt vilket personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, utom när den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre, speciellt om den registrerade är ett barn. Enligt propositionen kan sådan behandling som för närvarande sker med stöd av 8 § 1 mom. 6 punkten i personuppgiftslagen i fortsättningen vara tillåten direkt med stöd av dataskyddsförordningen. Med stöd av artikel 21 i dataskyddsförordningen har den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 f.  

2.2.2  Annan arbetslagstiftning som hör till arbets- och näringsministeriets ansvarsområde

I sådan arbetslagstiftning och i sådan annan lagstiftning som tillämpas i arbetslivet som hör till arbets- och näringsministeriets ansvarsområde finns bara få bestämmelser som uttryckligen gäller behandling av personuppgifter. Sådana bestämmelser finns i följande lagar: 

arbetsavtalslagen (55/2001) 

lagen om personalrepresentation i företagens förvaltning (725/1990) 

lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002) 

lagen om unga arbetstagare (998/1993) 

lagen om utstationering av arbetstagare (447/2016) 

lagen om beställarens utredningsskyldighet och ansvar vid anlitande av utomstående arbetskraft (1233/2006) 

lagen om samarbete inom företag (334/2007) 

arbetstidslagen (605/1996) 

lagen om studieledighet (273/1979) 

lönegarantilagen (866/1998) 

lagen om lönegaranti för sjömän (1108/2000) 

semesterlagen för sjömän (433/1984) 

sjöarbetstidslagen (296/1976) 

lagen om sjöarbetsavtal (756/2011) 

lagen om arbetstiden på fartyg i inrikesfart (248/1982) 

lagen om ersättning av statsmedel för sjömäns resekostnader (1068/2013). 

I arbetslagstiftningen finns bestämmelser om bland annat sådana rättigheter och skyldigheter för parterna i ett anställningsförhållande vars fullgörande förutsätter att arbetstagares personuppgifter behandlas. I arbetslagstiftningen finns också en del skyldigheter för arbetstagare att lämna information till arbetsgivaren. I en del av de ovan nämnda lagarna föreskrivs om myndigheters lagstadgade uppgifter som förutsätter behandling av personuppgifter. 

Grunden för behandlingen av personuppgifter med stöd av de ovan nämnda lagarna är artikel 6.1 c i dataskyddsförordningen, där det anges att behandlingen är laglig, om den behövs för att fullgöra den personuppgiftsansvariges lagstadgade skyldighet. Rättsgrunden preciseras genom speciallagen i fråga. Ovannämnda lagar innehåller sådana preciseringar som anges i artikel 6.3 i dataskyddsförordningen och omfattas av handlingsutrymmet enligt artikel 6.  

Enligt artikel 6.3 i dataskyddsförordningen ska lagstiftningen uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Arbetslagstiftningen uppfyller ett mål av allmänt intresse och även genom bestämmelserna i lagen om integritetsskydd i arbetslivet ses det till att behandlingen av arbetstagares personuppgifter är proportionell. En del av bestämmelserna i lagen om integritetsskydd i arbetslivet lämpar sig också för behandling av personuppgifter som utförs med stöd av annan arbetslagstiftning. I 3 § i lagen om integritetsskydd i arbetslivet fastställs ändamålet för behandlingen av arbetstagares personuppgifter.  

Ovannämnda lagar behöver inte ändras på grund av dataskyddsförordningen. I lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn behöver det göras en teknisk ändring som beror av en ändring som föreslås i strafflagen.  

Målsättning och de viktigaste förslagen

Denna proposition syftar till att göra de ändringar i lagen om integritetsskydd i arbetslivet som behövs för att säkerställa att lagen överensstämmer med det handlingsutrymme som medges i dataskyddsförordningen. Propositionen syftar till att huvudsakligen bevara nuläget för bestämmelserna i lagen om integritetsskydd i arbetslivet.  

I propositionen föreslås att det i lagen om integritetsskydd i arbetslivet görs sådana tekniska och innehållsmässiga ändringar som följer av dataskyddsförordningen, upphävandet av personuppgiftslagen och en ändring av strafflagen. Dessutom föreslås också vissa andra förtydligande ändringar i lagen om integritetsskydd i arbetslivet. I propositionen föreslås dessutom att det i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn görs en teknisk ändring som följer av en ändring av strafflagen.  

Dataskyddsförordningen är direkt tillämplig och som sådan förpliktande i EU-medlemsstaterna. I princip ska det inte heller finnas nationell lagstiftning i enlighet med dataskyddsförordningen. Nationell lagstiftning är möjlig endast när den uttryckligen tillåts i förordningen. Ett alternativt genomförandesätt skulle således kunna vara att den gällande lagen om integritetsskydd i arbetslivet upphävs och regleringen lämnas helt till dataskyddsförordningen. I dataskyddsförordningen ingår dock flera sådana bestämmelser där nationell speciallagstiftning antingen förutsätts eller tillåts. De mest betydande bestämmelser som medger handlingsutrymme i behandlingen av personuppgifter i anställningsförhållanden är artiklarna 9 och 88 i dataskyddsförordningen.  

I Finland har behandlingen av arbetstagares personuppgifter betraktats som en sådan situation där det behövs särskilda bestämmelser på grund av att arbetstagarens ställning är beroende av arbetsgivaren samt för att samordna arbetsgivarens och arbetstagarens samt andra aktörers rättigheter. Arbetsrättens allmänna princip om skydd för arbetstagaren har inverkan bakom en arbetsrättslig lag.  

I lagen om integritetsskydd i arbetslivet har det tagits in bestämmelser som kompletterar personuppgiftslagens bestämmelser så att de lämpar sig för särbehoven i arbetslivet. I situationer i arbetslivet förenas utöver de grundläggande fri- och rättigheterna även arbets-, tjänstemanna-, arbetarskydds- och straffrätten. På grund av detta har det ansetts att integritetsskyddet för arbetstagare och arbetssökande måste tryggas genom sådan speciallagstiftning som kompletterar personuppgiftslagen och som bättre kan förenas med strukturerna i arbets- och tjänstemannalagstiftningen och i övervakningen av att den iakttas. I personuppgiftslagen har man inte heller kunnat föreskriva om alla de förutsättningar under vilka arbetsgivares informationsbehov i situationer i arbetslivet kan samordnas med arbetstagarnas rättigheter. I lagen om integritetsskydd i arbetslivet finns också bestämmelser vars behövlighet även grundar sig på tillförsäkrande av andra grundläggande fri- och rättigheter än skyddet för personuppgifter.  

Ovannämnda grunder talar för att lagen kvarstår också fortsättningsvis. Det anses viktigt att lagen bevaras för att trygga både arbetstagarnas och arbetsgivarnas rättigheter och balansen mellan dem i enlighet med nuvarande bestämmelser. Dessutom finns i lagen bestämmelser om behandling av uppgifter om arbetstagarens hälsotillstånd vilka behövs för att avvika från förbudet mot behandling av särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. 

Propositionens konsekvenser

Dataskyddsförordningen och för sin del även dataskyddslagen medför relativt stora kostnader för arbetsgivare. Kostnaderna kan dock inte anses följa av denna proposition och därför behöver de inte behandlas desto mer i detta sammanhang. Konsekvenserna av dataskyddsförordningen och dataskyddslagen har beskrivits i propositionen om dataskyddslagen.  

Konsekvenserna av reformen av dataskyddslagstiftningen följer på det sätt som beskrivs i propositionen om dataskyddslagen huvudsakligen av dataskyddsförordningen. Enligt bedömningen av konsekvenserna för företagen i propositionen om dataskyddslagen minskar dataskyddsförordningen i betydande grad de nationella särdragen i samband med dataskyddsreglering och undanröjer dem delvis helt. Den ekonomiska nyttan framhävs för sådana företag som har verksamhet i flera medlemsstater. Ett företag som är verksamt i flera medlemsstater är för närvarande skyldigt att särskilt utreda de förpliktelser som beror på lagstiftningen i varje medlemsstat och som avviker från varandra. En minskning av särdragen påskyndar inledandet av unionsöverspännande affärsverksamhet och minskar kostnaderna för gränsöverskridande affärsverksamhet. Genom enhetliga bestämmelser ökar även rättssäkerheten på längre sikt, eftersom de minskar sådana problem som beror på konflikter mellan olika länders regelverk. En mer detaljerad nationell lagstiftning kommer att kvarstå främst i bestämmelserna om integritetsskyddet i arbetslivet, som med avseende på företagsverksamheten är av betydelse. Sådana oklarheter i fråga om tolkningen som uppkommer när nya regelverk införs och bristen på rättspraxis som gäller tolkningen av nya normer försvagar rättssäkerheten och förutsägbarheten särskilt under de första åren när bestämmelserna är i kraft. (RP 9/2018 rd) 

Behållandet av nationell lagstiftning som kompletterar dataskyddsförordningen inom ramen för det handlingsutrymme som dataskyddsförordningen medger medför konsekvenser för alla arbetsgivare och företag som är arbetsgivare. Lagen om integritetsskydd i arbetslivet är tillämplig på alla företag som är arbetsgivare. Enligt en utredning om konsekvenser för företagen som gjorts av Tammerfors universitet (statsrådets gemensamma utrednings- och forskningsverksamhet, artikelserie 10/2017) antog de företag som deltog i utredningen att förordningen inte föranleder ändringar i den nuvarande dataskyddslagstiftningen för arbetslivet.  

En med tanke på konsekvenserna betydande ändring som följer av dataskyddsförordningen jämfört med nuläget är en grundläggande ändring i påföljdssystemet. För överträdelse av bestämmelser i dataskyddsförordningen och i lagen om integritetsskydd i arbetslivet kan i fortsättningen följa en administrativ sanktionsavgift i enlighet med förordningen. De administrativa sanktionsavgifterna medför även betydande ekonomiska risker för arbetsgivare. I detta skede kan man inte förutse nivån på bestämmandet av administrativa sanktionsavgifter eller hur ofta sådana avgifter påförs. Praxisen för tillämpningen av dataskyddsförordningen kommer också att påverkas av riktlinjer på EU-nivå.  

Administrativa sanktionsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som anges i artikel 58.2 och som dataskyddsmyndigheten har att tillgå. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för avgifterna i varje enskilt fall ska vederbörlig hänsyn tas till de omständigheter som anges i artikel 83, såsom överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit, om överträdelsen skett med uppsåt eller genom oaktsamhet samt de åtgärder som har vidtagits för att lindra den skada som de registrerade har lidit. Enligt artikel 83.8 i dataskyddsförordningen ska tillsynsmyndighetens utövande av sina befogenheter enligt denna artikel omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och medlemsstaternas nationella rätt, inbegripet effektiva rättsmedel och rättssäkerhet. I skäl 148 i förordningen hänvisas det också till att om det är fråga om en mindre överträdelse eller om den sanktionsavgift som sannolikt skulle utdömas skulle innebära en oproportionell börda för en fysisk person får en reprimand i enlighet med artikel 58 utfärdas i stället för sanktionsavgifter.  

När det i lag föreskrivs om förutsättningarna för behandling av uppgifter om en arbetstagares hälsotillstånd behöver det i arbets- eller tjänstekollektivavtal inte särskilt tas in bestämmelser om skyddsåtgärder för behandling av uppgifter om hälsa i enlighet med artikel 9 i dataskyddsförordningen.  

Avsikten med denna proposition är att huvudsakligen bevara nuläget när det gäller behandling av personuppgifter. De lagförslag som ingår i lagförslaget har inga betydande konsekvenser för arbetstagarnas rättigheter och ställning. 

Genom behållandet av bestämmelserna i lagen om integritetsskydd i arbetslivet i sin nuvarande form, inom ramen för det handlingsutrymme som dataskyddsförordningen medger, bidrar man till att minska den rättsliga osäkerhet och administrativa börda som dataskyddsförordningen medför för företag i egenskap av arbetsgivare. Nationell speciallagstiftning om dataskydd i arbetslivet kan skapa klarhet i rättsläget och öka rättssäkerheten samt minska riskerna i samband med arbetsgivarens verksamhet, när det tydligt föreskrivs om förutsättningarna för behandling i en nationell lag och när det redan finns etablerad tolkningspraxis för tillämpningen av lagens bestämmelser. Det måste följas hur lagen om integritetsskydd i arbetslivet kommer att tillämpas tillsammans med dataskyddsförordningen. Dessutom måste det följas hur påföljdssystemet utvecklas. 

Ur perspektivet för i synnerhet företag som är internationellt verksamma minskar den nationella speciallagstiftningen å andra sidan nyttan med den enhetliga regleringen enligt förordningen och ökar främst utländska företags administrativa börda och kostnader jämfört med rättsläget enligt förordningen, även om nuläget i fråga om speciallagstiftningen inte ändras. Den tillämpliga arbetslagstiftningen ska å andra sidan även annars utredas, när ett företag är verksamt i flera olika stater. Säkerställandet av integritetsskyddet kan också ha en positiv inverkan på arbetsgivarbilden och företagets image.  

Ändringsförslagen är till största delen främst av teknisk karaktär. Propositionen har således inga betydande ekonomiska konsekvenser för arbetsgivare eller företag. I propositionen föreslås det att bestämmelserna i 12 § 2 mom. i personuppgiftslagen om utplåning av känsliga uppgifter och regelbunden bedömning av grunden för och behovet av behandling ska fogas till lagen om integritetsskydd i arbetslivet. Ändringen medför inte extra kostnader för arbetsgivare eftersom iakttagande av motsvarande förpliktelser är en skyldighet för arbetsgivaren också enligt den gällande lagstiftningen. 

De föreslagna ändringarna har inte några betydande konsekvenser för myndigheterna. Till följd av dataskyddsförordningen ökar sannolikt det ömsesidiga samarbetet mellan arbetarskyddsmyndigheterna och dataombudsmannen som övervakar efterlevnaden av dataskyddsförordningen, vilket har konsekvenser för myndigheternas arbetsmängd. 

Beredningen av propositionen

5.1  Beredningsskeden och beredningsmaterial

Propositionen har beretts utifrån de förslag som en av arbets- och näringsministeriet tillsatt arbetsgrupp lagt fram. Arbetsgruppen hade i uppdrag att utreda förhållandet mellan dataskyddslagstiftningen för arbetslivet och dataskyddsförordningen samt utifrån sin utredning lägga fram förslag om eventuella ändringsbehov i lagstiftningen.  

I arbetsgruppen fanns utöver arbets- och näringsministeriet också företrädare för de centrala arbetsmarknadsorganisationerna samt dataombudsmannens byrå. Under sitt arbete hade arbetsgruppen samråd med sakkunniga. Arbetsgruppens mandattid var 21.9.—15.12.2017, och mandattiden förlängdes till 30.3.2018, för att det för beredningen skulle fås information om innehållet i propositionen om dataskyddslagen. 

Arbetsgruppens betänkande har publicerats på arbets- och näringsministeriets webbplats (http://tem.fi/hankesivu?tunnus=TEM050:00/2017). 

5.2  Remissyttranden och hur de har beaktats

Propositionen var ute på remiss 6.4–4.5.2018.  

Utlåtanden över propositionen gavs av social- och hälsovårdsministeriet, kommunikationsministeriet, finansministeriet, undervisnings- och kulturministeriet, justitieministeriet, Suomen Yrittäjät ry, KT Kommunarbetsgivarna, Kyrkans arbetsmarknadsverk, dataombudsmannens byrå och Ålands landskapsregering. Dessutom lämnade ansvarsområdena för arbetarskydd vid regionförvaltningsverken i Södra, Sydvästra, Östra, Norra samt Västra och Inre Finland in ett gemensamt utlåtande. Suomen Ammattiliittojen Keskusjärjestö SAK ry, Toimihenkilökeskusjärjestö STTK ry och Akava ry lämnade också in ett gemensamt utlåtande. Elinkeinoelämän Keskusliitto EK ry meddelade att förbundet instämmer i det som anges i Suomen Yrittäjät ry:s utlåtande. 

Begäran om utlåtande, de inkomna utlåtandena och ett sammandrag av utlåtandena har publicerats på arbets- och näringsministeriets webbplats (http://tem.fi/hankesivu?tunnus=TEM050:00/2017). 

De viktigaste synpunkterna i utlåtandena hänförde sig till förslagen om 4, 22 och 24 § i lagen om integritetsskydd i arbetslivet. 

I de utlåtanden som gavs av justitieministeriet, ansvarsområdena för arbetarskydd vid regionförvaltningsverken, dataombudsmannens byrå och löntagarnas centralorganisationer fästes särskild uppmärksamhet vid förslaget till straffbestämmelse i propositionsutkastet. Det ansågs att förslaget behöver fortsatt beredning. Justitieministeriet konstaterade i sitt utlåtande att den gällande straffbestämmelsen innehåller många gärningssätt som inte kan bedömas ingå i tillämpningsområdet för de administrativa sanktionsavgifter som avses i artikel 83 i dataskyddsförordningen. Justitieministeriet ansåg att lagen om integritetsskydd i arbetslivet innehåller bestämmelser om sådana tvingande krav för dataskyddet i arbetslivet som har större räckvidd än dataskyddsförordningen. Bestämmelserna gäller inte enbart skyddet för personuppgifter, utan det är mer allmänt fråga om bestämmelser om skyddet för privatlivet, som tillförsäkras i 10 § i grundlagen. Enligt justitieministeriets uppfattning utgör förbudet mot dubbel straffbarhet eller dataskyddsförordningen inte något hinder för att nationellt föreskriva straff för dessa gärningar. Justitieministeriet föreslog i sitt utlåtande att det övervägs om de tillvägagångssätt i straffbestämmelsen i 24 § som inte är helt överlappande med dataskyddsförordningen behålls. 

Ändringsförslaget avseende 24 § i lagen om integritetsskydd i arbetslivet har i den fortsatta beredningen omarbetats så att den gällande lagens straffbestämmelse till största delen ska kvarstå oförändrad.  

Enligt justitieministeriets syn finns det skäl att i motiveringen till 22 § i lagen om integritetsskydd i arbetslivet, som gäller tillsyn, skärpa motiveringen i fråga om uppgiftsfördelningen mellan tillsynsmyndigheterna samt förtydliga att endast dataombudsmannen utövar tillsyn över behandlingen av personuppgifter. Avsikten är dock att bevara nuläget för tillsynens del, vilket förutsätter att arbetarskyddsmyndigheterna övervakar efterlevnaden av lagens bestämmelser även till den del de gäller behandling av personuppgifter. Genom bestämmelserna i lagen om integritetsskydd i arbetslivet skyddas arbetstagares integritet även i större omfattning än enbart skyddet för personuppgifter.  

Dataombudsmannens byrå ansåg i sitt utlåtande att ordalydelsen i 4 § i lagen om integritetsskydd i arbetslivet bör ändras så att den motsvarar verkliga situationer då personuppgifter behandlas i arbetslivet. Enligt utlåtandet anges i förarbetena till lagen om integritetsskydd i arbetslivet (RP 75/2000 rd) flera situationer och undantag från ordalydelsen, då uppgifter utan arbetstagarens samtycke kan inhämtas annanstans. Dataombudsmannen har i sin beslutspraxis ofta varit tvungen att tillämpa de undantag som anges i motiveringen till lagen. Även Suomen Yrittäjät ry föreslog i sitt utlåtande att det till 4 § i lagförslaget fogas en mening där det sägs att arbetsgivaren utan arbetstagarens samtycke får samla in personuppgifter annanstans än hos arbetstagaren själv, när arbetsgivaren har en särskild anledning att utreda arbetstagarens tillförlitlighet. Behovet att ändra lagens 4 § kunde inte utredas tillräckligt inom ramen för arbetsgruppens uppdrag. Paragrafen ansågs inte strida mot dataskyddsförordningen. 

Samband med andra propositioner

Till riksdagen lämnades den 1 mars 2018 en regeringsproposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning (RP 9/2018 rd). I den propositionen finns det flera punkter som är centrala med tanke på behandlingen av personuppgifter i anställningsförhållanden och dessa punkter har beskrivits ovan i samband med bedömningen av nuläget.  

Till riksdagen lämnades den 8 mars 2018 en regeringsproposition med förslag till lagstiftning om verkställigheten av landskapsreformen och om omorganisering av statens tillstånds-, styrnings- och tillsynsuppgifter (RP 14/2018 rd). I den regeringspropositionen föreslås det bland annat att 22 § i lagen om integritetsskydd i arbetslivet ändras. Momentet föreslås bli ändrat även i denna regeringsproposition. 

DETALJMOTIVERING

Lagförslag

1.1  Lagen om integritetsskydd i arbetslivet

2 §. Tillämpningsområde. Det föreslås att 3 mom. i paragrafen ändras så att hänvisningarna till den upphävda lagen om dataskydd vid elektronisk kommunikation (516/2004) och till personuppgiftslagen som föreslås bli upphävd stryks. Till paragrafen föreslås bli fogad en informativ hänvisning till dataskyddsförordningen, dataskyddslagen och lagen om tjänster inom elektronisk kommunikation.  

Lagen om dataskydd vid elektronisk kommunikation har upphävts genom informationssamhällsbalken, vars namn har ändrats till lag om tjänster inom elektronisk kommunikation fr.o.m. den 1 juni 2018. I avdelning VI i den nämnda lagen finns bestämmelser om behandling av elektroniska meddelanden och förmedlingsuppgifter (17 kap.), särskilda bestämmelser om sammanslutningsabonnenter (18 kap.) samt lokaliseringsuppgifter och andra uppgifter som anger läget för abonnemang eller terminalutrustning (20 kap.). En informativ hänvisning till avdelning VI i lagen om tjänster inom elektronisk kommunikation motsvarar innehållet i hänvisningsbestämmelsen i 3 mom. i den gällande paragrafen.  

De informativa hänvisningarna är i detta fall, med avvikelse från huvudregeln, nödvändiga för att lagstiftningen ska vara tydlig med beaktande av tillämpningsmiljön för lagen, lagstiftningens ökade komplexitet och utspridningen av bestämmelser till flera författningar samt lagens stora betydelse med tanke på arbetstagarnas integritetsskydd och främjandet av god praxis vid behandling av personuppgifter. Hänvisning till dataskyddsförordningen förbjuds inte i förordningen. 

Innehållet i paragrafen motsvarar i övrigt den gällande lagen. 

4 §.Allmänna förutsättningar för insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt. Den sista meningen i paragrafens 1 mom. föreslås bli ändrad så att omnämnandet av att samtycke inte behövs när straffregisteruppgifter inhämtas från andra än arbetstagaren själv stryks. Arbetstagarens samtycke behövs enligt 1 mom. fortfarande inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar för utredning av en arbetstagares tillförlitlighet. I 5 a § i lagen om integritetsskydd i arbetslivet finns det särskilda bestämmelser om behandling av personkreditupplysningar. Där förutsätts inte arbetstagarens samtycke. 

Ordalydelsen i den gällande bestämmelsen om att samtycke inte behövs för straffregisteruppgifter är delvis vilseledande. Enligt 5 § i säkerhetsutredningslagen (726/2014) är en allmän förutsättning för att en säkerhetsutredning och en kontroll av tillförlitligheten enligt 51 § i anslutning till en säkerhetsutredning ska kunna genomföras att den som utredningen gäller på förhand har gett sitt skriftliga samtycke till detta. Det finns särskilda bestämmelser om förfarande för kontroll av brottslig bakgrund hos dem som arbetar med minderåriga barn i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002). Enligt den lagen begärs uppvisande av straffregisterutdrag av personen själv.  

Ordalydelsen i gällande 4 § om inhämtande av straffregisteruppgifter för utredning av en arbetstagares tillförlitlighet utan samtycke har i fråga om myndighetsverksamhet föreskrivits vara möjligt främst för särskilda statliga tjänster. I 4 a § i straffregisterlagen (770/1993) föreskrivs att utöver vad som bestäms i 4 §, lämnas ur straffregistret uppgifter om personer ut till finska myndigheter i ärenden som gäller inträde till utbildning eller val till ett uppdrag som har samband med statens säkerhet, allmän ordning och säkerhet, utrikesförvaltningen, Finlands internationella förhållanden, justitieförvaltningen, centralbanksverksamheten eller penningtillverkningen och som är beroende av personens särskilda tillförlitlighet (3 punkten).  

Utifrån formuleringen i gällande 4 § kan man få den uppfattningen att inhämtande av straffregisteruppgifter om en arbetstagare inte förutsätter en lagstadgad grund. Detta har i vissa fall bland annat lett till att arbetsgivare har krävt att arbetssökande visar upp ett straffregisterutdrag så att personen själv från Rättsregistercentralen begär ett straffregisterutdrag med stöd av rätten till insyn enligt 26 § i personuppgiftslagen och visar upp det för arbetsgivaren. Dataombudsmannen har i sitt ställningstagande (Dnr 3048/41/2015) konstaterat att sådan behandling av straffregisteruppgifter inte är lagenlig. Paragrafen behöver alltså ändras för att lagstiftningen ska vara tydlig. Det föreslås att det till 1 mom. fogas hänvisningar till säkerhetsutredningslagen, lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn och straffregisterlagen, för att bestämmelsen ska vara informativ. 

I den sista meningen i gällande 4 § 2 mom. konstateras att i fråga om arbetsgivarens upplysningsplikt och arbetstagarens rätt att kontrollera sina personuppgifter gäller dessutom vad som bestäms någon annanstans i lag. Det föreslås att hänvisningen ändras till en informativ hänvisning till kapitel III i dataskyddsförordningen, som ska iakttas utöver det som föreskrivs i 2 mom. I artiklarna 12—15 i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges informeringsplikt samt om den registrerades rätt till tillgång. Den informativa hänvisningen behövs för att lagstiftningen ska vara tydlig och lätt att förstå. 

Det föreslås att hänvisningen till lagen om samarbete inom statens ämbetsverk och inrättningar (651/1988) i paragrafens 3 mom. ändras till lagen om samarbete inom statens ämbetsverk och inrättningar (1233/2013). 

Paragrafen motsvarar i övrigt den gällande lagen. 

5 §. Behandling av uppgifter om hälsotillstånd. Det föreslås att paragrafens 4 mom. ändras så att det till momentet fogas bestämmelser som motsvarar gällande 12 § 2 mom. i personuppgiftslagen om utplåning av känsliga uppgifter och regelbunden bedömning av grunden för och behovet av behandling. Bestämmelsernas ordalydelse har ändrats något. Enligt momentet ska arbetsgivaren förvara uppgifter om en arbetstagares hälsotillstånd som arbetsgivaren innehar separat från andra personuppgifter som arbetsgivaren samlat in, vilket motsvarar det nuvarande momentet. Uppgifter om hälsotillstånd ska utplånas så snart det inte längre finns någon grund enligt 1 mom. för behandling av uppgifterna. Grunden för och behovet av behandling ska bedömas minst vart femte år. 

På behandling av uppgifter om hälsa tillämpas i nuläget utöver lagen om integritetsskydd i arbetslivet också 12 § 2 mom. i personuppgiftslagen. Personuppgiftslagen har föreslagits bli upphävd och en bestämmelse som motsvarar 12 § 2 mom. i lagen har inte föreslagits bli intagen i den nya dataskyddslagen. Bestämmelsen har utgjort en del av skyddsåtgärderna för behandling av uppgifter om arbetstagarens hälsotillstånd. Bestämmelserna har styrt praxisen så att integriteten skyddas mer. Bestämmelsen anses fortfarande vara nödvändig för att skydda arbetstagares integritet. Bestämmelsen anses vara en säkerhetsåtgärd enligt artikel 9.2 b som faller inom ramen för det handlingsutrymme som tillåts i dataskyddsförordningen.  

Bestämmelserna anses i övrigt utgöra sådana tillräckliga skyddsåtgärder för behandling av uppgifter om hälsa som förutsätts i artikel 9.2 b i dataskyddsförordningen. På motsvarande sätt som i den gällande lagen ska kretsen av de personer som behandlar uppgifter om hälsa fastställas som så liten som möjligt. 

Paragrafen motsvarar i övrigt den gällande lagen. 

16 §. Villkor för kameraövervakning. Enligt 2 mom. 3 punkten i paragrafen får arbetsgivaren dock oberoende av 1 mom. rikta kameraövervakning mot ett visst arbetsställe där arbetstagare arbetar, om observationen är nödvändig för att säkerställa arbetstagarens intressen och rättigheter, om kameraövervakningen sker på begäran av arbetstagaren som blir observerad och saken har överenskommits mellan arbetsgivaren och arbetstagaren. Enligt artikel 6.1 a i dataskyddsförordningen är den registrerades samtycke en laglig grund för behandling av personuppgifter. Enligt artikel 7.3 i förordningen har den registrerade rätt att återta sitt samtycke när som helst.  

På grund av det ovan sagda föreslås det att 2 mom. 3 punkten i paragrafen ändras så att kravet på att riktandet av kameraövervakning mot ett visst arbetsställe ska ha överenskommits mellan arbetsgivaren och arbetstagaren slopas. Enligt föreslagna 2 mom. 3 punkten får arbetsgivaren dock oberoende av 1 mom. rikta kameraövervakning mot ett visst arbetsställe där arbetstagare arbetar, om observationen är nödvändig för att säkerställa arbetstagarens intressen och rättigheter och kameraövervakningen sker på begäran av den arbetstagare som blir observerad. Övervakning som sker på begäran av arbetstagaren ska på motsvarande sätt upphöra, om arbetstagaren begär det. Om arbetsgivaren trots arbetstagarens begäran om att övervakningen upphör fortfarande har behov av att ha kameraövervakning så att den nödvändigtvis måste riktas till ett visst arbetsställe där arbetstagaren arbetar, kan arbetsgivaren i en sådan situation ha kameraövervakning om övriga förutsättningar enligt 2 mom. uppfylls. 

Paragrafen motsvarar i övrigt den gällande lagen. 

17 §. Öppenhet vid kameraövervakning. Enligt gällande 1 mom. 3 punkten ska arbetsgivaren vid planering och genomförande av kameraövervakning se till att användningen och annan behandling av upptagningar som gäller personer och som erhållits vid övervakningen planeras och genomförs med beaktande av bestämmelserna i 5—7, 10 och 32—34 § i personuppgiftslagen oberoende av om upptagningarna bildar ett sådant personregister som avses i nämnda lag. Enligt lagens förarbeten har bestämmelsen utfärdats för att säkerställa att behandlingen av personuppgifter om arbetstagarna är ändamålsenlig i de situationer där uppgifter som erhållits vid kameraövervakning inte bildar ett sådant personregister som avses i personuppgiftslagen.  

När situationen omfattas av tillämpningsområdet för dataskyddsförordningen ska de skyldigheter som riktar sig till den personuppgiftsansvarige i förordningen tillämpas direkt. Enligt artikel 2.1 i dataskyddsförordningen tillämpas förordningen på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Det kan anses att dataskyddsförordningen är tillämplig på upptagningar med personuppgifter som erhållits genom kameraövervakning. Därför föreslås det att 1 mom. 3 punkten i paragrafen ska upphävas som onödig. 

22 §. Tillsyn. Enligt den gällande paragrafen övervakar arbetarskyddsmyndigheterna tillsammans med dataombudsmannen att lagen iakttas. I propositionen om dataskyddslagen föreslås det att dataombudsmannen ska vara den tillsynsmyndighet som avses i dataskyddsförordningen. Bestämmelser om den nationella tillsynsmyndighetens uppgifter och behörighet finns i artiklarna 55—59 i dataskyddsförordningen och i 14 § i dataskyddslagen. Dataombudsmannens uppgifter och befogenheter följer direkt av dataskyddsförordningen. Även andra befogenheter kan föreskrivas för tillsynsmyndigheten. Bestämmelser om arbetarskyddsmyndigheternas uppgifter och behörighet finns i lagen om tillsynen över arbetarskyddet och om arbetarskyddssamarbete på arbetsplatsen (44/2006). 

För att det ska vara tydligt att arbetarskyddsmyndigheternas behörighet inte utsträcker sig till tillsyn över efterlevnaden av bestämmelserna i dataskyddsförordningen, föreslås det att 22 § om tillsyn ska preciseras så att arbetarskyddsmyndigheterna i enlighet med sin behörighet och tillsammans med dataombudsmannen övervakar att lagen iakttas. Dessutom föreslås att det till paragrafen fogas hänvisningar till bestämmelser om dataombudsmannens och arbetarskyddsmyndigheternas befogenheter. 

Det anses nödvändigt och ändamålsenligt att behålla arbetarskyddsmyndighetens behörighet i tillsynen över lagen om integritetsskydd i arbetslivet. Tillsynssystemet har varit fungerande. Dataombudsmannen har ingen regional organisation, så arbetarskyddsmyndigheternas resurser har även på grund av detta en betydande roll för att tillsynen ska fungera. Lagen om integritetsskydd i arbetslivet gäller inte enbart behandling av personuppgifter, utan är en arbetsrättslig lag som har ett arbetarskyddssyfte. Behandlingen av personuppgifter i enlighet med lagen om integritetsskydd i arbetslivet har en fast anknytning till de rättigheter och skyldigheter som föreskrivs i arbetslagstiftningen. Tillsynen över arbetslagstiftningen hör till arbetarskyddsmyndigheterna. Arbetarskyddsmyndigheterna övervakar att lagen iakttas ur sin synvinkel och inom sin behörighet.  

Det är inte motiverat att ange arbetarskyddsmyndigheten som en tillsynsmyndighet som avses i dataskyddsförordningen. Arbetarskyddsmyndighetens tillsynsbehörighet ska också fortsättningsvis gälla endast tillsyn över lagen om integritetsskydd i arbetslivet i samarbete med dataombudsmannen, medan dataombudsmannen ensam är behörig myndighet i tillsynen över efterlevnaden av dataskyddsförordningens bestämmelser. Indelningen av behörigheten motsvarar nuläget, eftersom arbetarskyddsmyndighetens behörighet inte heller för närvarande utsträcker sig till tillsynen över personuppgiftslagen. Tillsynen över lagen om integritetsskydd i arbetslivet ska också fortsättningsvis ske i samarbete. Bestämmelser om överförande av ett ärende till en behörig myndighet finns i förvaltningslagen (434/2003).  

24 §. Straffbestämmelse. Paragrafens 1 mom. föreslås bli ändrat så att det ur förteckningen över gärningssätt i 1 punkten stryks brott mot 4 § 2 mom. För brott mot det nämnda lagrummet kan påföras en administrativ sanktionsavgift med stöd av artikel 83 i dataskyddsförordningen.  

Det föreslås också att en ny punkt fogas till straffbestämmelsen. Enligt den nya punkten är det straffbart att i strid med bestämmelserna i 5 § 1 mom. behandla uppgifter om arbetstagares hälsotillstånd. I propositionen om dataskyddslagen föreslås att straffbestämmelsen om personregisterbrott ersätts med en ny straffbestämmelse om dataskyddsbrott. På grund av att bestämmelsen om personregisterbrott i strafflagen upphävs, är det motiverat att foga brott mot bestämmelserna i 5 § 1 mom. om behandling av arbetstagares hälsotillstånd till straffbestämmelsen i lagen om integritetsskydd i arbetslivet. Brott mot det lagrummet kan inte anses ingå i tillämpningsområdet för den administrativa sanktionsavgiften. 

Påföljdssystemet för dataskyddslagstiftningen ändras på ett väsentligt sätt på grund av de administrativa sanktionsavgifterna i dataskyddsförordningen. Enligt artikel 83.5 i dataskyddsförordningen ska det vid överträdelser av bland annat följande bestämmelser i enlighet med punkt 2 påföras administrativa sanktionsavgifter på upp till 20 000 000 EUR eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst: De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9 (stycke a) samt alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX (stycke d). Således kan överträdelse av bestämmelserna om behandling av personuppgifter om en arbetstagare leda till att en administrativ sanktionsavgift påförs i enlighet med artikel 83. 

Dataskyddsförordningen ska anses möjliggöra nationella straffbestämmelser med beaktande av det som konstateras i skäl 149 och 152 i förordningen. Utdömandet av straffrättsliga påföljder för överträdelser av sådana nationella bestämmelser och administrativa sanktioner bör dock inte medföra ett åsidosättande av principen ne bis in idem enligt domstolens tolkning (skäl 149 i förordningen). 

Genom bestämmelserna i lagen om integritetsskydd i arbetslivet tryggas arbetstagares integritet i större omfattning än skyddet för personuppgifter. Förbudet mot dubbel straffbarhet eller dataskyddsförordningen kan inte anses utgöra ett hinder för att föreskriva straff för brott mot sådana bestämmelser. De tillvägagångssätt vars straffbarhet inte kan anses vara helt eller alls överlappande med den administrativa sanktionsavgiften enligt dataskyddsförordningen ska kvarstå som straffbara. 

Enligt 2 mom. i paragrafen finns bestämmelser om straff för personregisterbrott, dataintrång, olovlig observation, olovlig avlyssning, kränkning av kommunikationshemlighet, sekretessbrott och tjänstebrott finns i strafflagen. Hänvisningen till bestämmelsen om personregisterbrott i strafflagen föreslås bli ändrad till en hänvisning till dataskyddsbrott på ett sätt som motsvarar den föreslagna ändringen i strafflagen. 

1.2  Lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn

10 §. Straffbestämmelser. Enligt 3 mom. i paragrafen finns bestämmelser om straff för personregisterbrott i 38 kap. 9 § strafflagen. Hänvisningen till bestämmelsen om personregisterbrott i strafflagen föreslås bli ändrad till en hänvisning till dataskyddsbrott på ett sätt som motsvarar den föreslagna ändringen i strafflagen. 

Paragrafen motsvarar i övrigt den gällande lagen. 

Ikraftträdande

Lagarna föreslås träda i kraft så snart som möjligt. 

Förhållande till grundlagen samt lagstiftningsordning

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade och närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Enligt 2 mom. i paragrafen är brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden okränkbar. 

Grundlagsutskottet har i sina senaste utlåtanden om skydd för personuppgifter beaktat att dataskyddsförordningen trätt i kraft. Grundlagsutskottet har ansett att det är angeläget att inom statsrådet inventera frågor som anknyter till behovet av speciallagstiftning och till sektorn över lag (GrUU 38/2016 rd). Enligt grundlagsutskottet är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (GrUU 31/2017 rd). Utskottet har framhållit att det i regeringens proposition finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, GrUU 2/2017 rd och GrUU 44/2016 rd). 

Med anledning av den förestående tillämpningen av dataskyddsförordningen har grundlagsutskottet (GrUU 14/2018 rd) sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. I princip räcker det med att bestämmelserna om skydd för och behandling av personuppgifter är harmoniserade med dataskyddsförordningen. Även med tanke på tydligheten bör vi förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger.  

Utskottet (GrUU 14/2018 rd) ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter.  

Utskottet (GrUU 14/2018 rd) menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter. Behovet av lagbestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen.  

De justeringar i gällande lagstiftning som föreslås i denna proposition är huvudsakligen av teknisk karaktär. Den största delen av de föreslagna ändringarna är hänvisningsbestämmelser till annan lagstiftning om behandling av personuppgifter. De föreslagna innehållsmässiga ändringarna är ringa. Betydelsen av de grundläggande fri- och rättigheterna när det gäller lagen om integritetsskydd i arbetslivet har bedömts när riksdagen behandlade de regeringspropositioner som ledde till stiftandet av lagen och ändringar i den (RP 75/2010 rd, RP 162/2003 rd, RP 19/2008 rd). Det ansågs att lagförslagen kunde behandlas i vanlig lagstiftningsordning och de ändringar som föreslås nu innebär inte sådan ändring av lagstiftningen som skulle förutsätta att frågan bedöms på nytt. 

I propositionen föreslås det att bestämmelser som motsvarar 12 § 2 mom. i personuppgiftslagen, som föreslås bli upphävd, tas in i lagen om integritetsskydd i arbetslivet som en skyddsåtgärd för behandlingen av uppgifter om arbetstagares hälsotillstånd. Enligt de föreslagna bestämmelserna ska arbetsgivaren förvara uppgifter om en arbetstagares hälsotillstånd som arbetsgivaren innehar separat från andra personuppgifter som arbetsgivaren samlat in, vilket motsvarar det nuvarande momentet. Uppgifter om hälsotillstånd ska utplånas så snart det inte längre finns någon grund enligt 1 mom. för behandling av uppgifterna. Grunden för och behovet av behandling ska bedömas minst vart femte år.  

12 § 2 mom. i personuppgiftslagen fogades till lagen vid behandlingen i förvaltningsutskottet (FvUU 26/1998 rd) för att beakta grundlagsutskottets utlåtande. Att tillåta behandling av känsliga uppgifter berör enligt grundlagsutskottet själva kärnan i skyddet för personuppgifter. Bestämmelser som tillåter behandling av sådana uppgifter måste därför vara exakta. (GrUU 25/1998 rd) Intagningen av bestämmelser som motsvarar 12 § 2 mom. i personuppgiftslagen i lagen om integritetsskydd i arbetslivet är således förenlig med grundlagsutskottets vedertagna praxis.  

Bestämmelserna om administrativa sanktionsavgifter har betydelse med tanke på förbudet mot dubbel straffbarhet (ne bis in idem) som ingår i artikel 4 i protokoll nr 7 till Europeiska konventionen om de mänskliga rättigheterna. Där anges att ingen får lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat. Bestämmelser om sådant förbud finns också i artikel 14.7 i den internationella konventionen om medborgerliga och politiska rättigheter (FördrS 8/1976) och i artikel 50 i stadgan om de grundläggande rättigheterna. Förbudet anses också ingå i bestämmelsen om individens rättsskydd i 21 § 2 mom. i Finlands grundlag om garantier för en rättvis rättegång som ska tryggas genom lag (RP 309/1993 rd, s. 74/II; se även GrUU 9/2012 rd). Grundlagsutskottet har bedömt att förbudet mot dubbel straffbarhet inte kan anses gälla endast rent konsekutiva förfaranden utan också samtidigt anhängiga förfaranden (se GrUU 17/2013 rd och GrUU 9/2012 rd).  

I denna proposition föreslås det att straffbestämmelsen i lagen om integritetsskydd i arbetslivet ändras på grund av att den administrativa sanktionsavgiften tillämpas. Genom bestämmelserna i lagen tryggas arbetstagares integritet även i större omfattning än skyddet för personuppgifter. Brott mot dessa bestämmelser ska även i fortsättningen vara straffbara. Förbudet mot dubbel straffbarhet kan inte anses utgöra ett hinder för att föreskriva straff för brott mot sådana bestämmelser. Överlappande påföljder i sådana fall där de administrativa sanktioner som föreskrivs i dataskyddsförordningen endast delvis gäller en viss typs tillvägagångssätt och de straffrättsliga straffbestämmelserna omfattar gärningen i sin helhet har också bedömts vid behandlingen av propositionen om dataskyddslagen. Förbudet mot dubbel straffbarhet har inte ansetts innebära ett absolut förbud mot att föreskriva om materiellt överlappande brottsrekvisit (LaUU 5/2018 rd). I denna proposition föreslås det att de gärningar som inte kan anses vara alls eller helt överlappande med dataskyddsförordningen ska kvarstå som straffbara. I sista hand ska förbudet mot dubbel straffbarhet beaktas vid tillämpningen av lagen. 

I propositionen ingår inte bestämmelser som begränsar den registrerades rättigheter. 

På de ovan angivna grunderna kan lagförslagen enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning.  

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om ändring av lagen om integritetsskydd i arbetslivet 

I enlighet med riksdagens beslut  
upphävs i lagen om integritetsskydd arbetslivet (759/2004) 17 § 1 mom. 3 punkten och  
ändras 2 § 3 mom., 4 §, 5 § 4 mom., 16 § 2 mom. 3 punkten samt 22 och 24 §, av dem 2 § 3 mom. sådant det lyder i lag 126/2009, 4 § sådan den lyder delvis ändrad i lagarna 457/2007 och 511/2008 samt 24 § sådan den lyder i lag 511/2008, som följer: 
2 §  Tillämpningsområde 
Kläm 
Utöver vad som föreskrivs i denna lag finns det bestämmelser om behandling av arbetstagares personuppgifter i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen. På behandlingen av personuppgifter tillämpas dessutom dataskyddslagen ( / ), om inte något annat föreskrivs i denna lag. Bestämmelser om den elektroniska kommunikationens konfidentialitet och integritetsskyddet finns i avdelning VI i lagen om tjänster inom elektronisk kommunikation (917/2014). 
Kläm 
4 §  Allmänna förutsättningar för insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt 
Arbetsgivaren ska samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren själv. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren, ska arbetstagarens samtycke till detta inhämtas. Arbetstagarens samtycke behövs dock inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar för utredning av en arbetstagares tillförlitlighet. Bestämmelser om inhämtande av säkerhetsutredning finns i säkerhetsutredningslagen (726/2014). Bestämmelser om ett förfarande för kontroll av brottslig bakgrund hos personer som väljs för arbete med minderåriga finns i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002). Bestämmelser om rätten att få uppgifter ur straffregistret finns i straffregisterlagen (770/1993). 
Arbetsgivaren ska på förhand underrätta arbetstagaren om att uppgifter samlas in för utredning av dennas tillförlitlighet. Om arbetsgivaren skaffar personkreditupplysningar om arbetstagaren, ska arbetsgivaren dessutom informera arbetstagaren från vilket register uppgifterna skaffas. Har uppgifter om arbetstagaren samlats in någon annanstans än hos arbetstagaren själv, ska arbetsgivaren informera arbetstagaren om de uppgifter som inhämtats innan de används för beslutsfattande som gäller arbetstagaren. Bestämmelser om den personuppgiftsansvariges skyldighet att till den registrerade lämna uppgifter samt om den registrerades rätt att få tillgång till uppgifter finns i kapitel III i dataskyddsförordningen. 
Insamling av personuppgifter när någon anställs och under ett arbetsavtalsförhållande omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag (334/2007), lagen om samarbete inom statens ämbetsverk och inrättningar (1233/2013) samt lagen om samarbete mellan kommunala arbetsgivare och arbetstagare (449/2007).  
5 §  Behandling av uppgifter om hälsotillstånd 
Kläm 
Arbetsgivaren ska förvara de uppgifter om en arbetstagares hälsotillstånd som arbetsgivaren förfogar över åtskilda från andra personuppgifter som arbetsgivaren har samlat in. Uppgifter om hälsotillstånd ska utplånas så snart det inte längre finns någon grund enligt 1 mom. för behandling av uppgifterna. Grunden för och behovet av behandlingen ska bedömas minst vart femte år. 
16 § Villkor för kameraövervakning 
Kläm 
Arbetsgivaren får dock utan hinder av 1 mom. rikta kameraövervakning mot ett visst arbetsställe där arbetstagare arbetar, om observationen är nödvändig för att 
 En icke ändrad del av lagtexten har utelämnats 
3) säkerställa arbetstagarens intressen och rättigheter och kameraövervakningen sker på begäran av den arbetstagare som blir observerad. 
22 § Tillsyn 
Arbetarskyddsmyndigheterna övervakar, i enlighet med sin behörighet, tillsammans med dataombudsmannen att denna lag iakttas. Bestämmelser om dataombudsmannens uppgifter och behörighet finns i artiklarna 55—59 i dataskyddsförordningen och i 14 § i dataskyddslagen. Bestämmelser om arbetarskyddsmyndigheternas uppgifter och behörighet finns i 2 och 3 kap. i lagen om tillsynen över arbetarskyddet och om arbetarskyddssamarbete på arbetsplatsen (44/2006). 
24 § Straffbestämmelse 
En arbetsgivare eller en företrädare för denna som uppsåtligen eller av grov oaktsamhet 
1) bryter mot bestämmelserna i 9 § om upplysningsplikt, 
2) i strid med 5 § 1 mom. behandlar uppgifter om arbetstagares hälsotillstånd, 
3) i strid med 5 a § inhämtar eller använder en arbetssökandes eller en arbetstagares personkreditupplysningar, 
4) i strid med 7 § tar emot eller i övrigt behandlar uppgifter i arbetstagarens intyg över narkotikatest, 
5) i strid med 8 § kräver att arbetstagaren ska uppvisa ett intyg över narkotikatest eller i övrigt behandlar uppgifter i intyget, 
6) i strid med 13 § 1 mom. testar en arbetstagare genom person- eller lämplighetsbedömningar utan dennas samtycke eller underlåter att se till att testmetoden är tillförlitlig, att testen utförs av sakkunniga eller att de uppgifter som fås genom testet är korrekta, 
7) bryter mot bestämmelserna i 13 § 2 mom. om att arbetstagaren ska ges ett skriftligt utlåtande eller en utredning om innehållet i ett muntligt utlåtande, 
8) i strid med 14 § anlitar annan än yrkesutbildad personal inom hälso- och sjukvården, annan än personal med behörig laboratorieutbildning eller andra än hälso- och sjukvårdstjänster, 
9) i strid med 15 § kräver att en arbetstagare deltar i en genetisk undersökning eller inhämtar information om en genetisk undersökning som arbetstagaren genomgått, 
10) i strid med 16 § genomför kameraövervakning, 
11) bryter mot bestämmelserna i 17 § om öppenhet vid kameraövervakning, 
12) i strid med 19 § hämtar eller i strid med 20 § öppnar ett meddelande som arbetstagaren mottagit eller skickat, 
13) bryter mot bestämmelserna i 21 § 2 mom. om definierings- eller informationsskyldighet, eller 
14) bryter mot bestämmelserna i 23 § om framläggning av denna lag, 
ska, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, för brott mot lagen om integritetsskydd i arbetslivet dömas till böter. 
Bestämmelser om straff för dataskyddsbrott, dataintrång, olovlig observation, olovlig avlyssning, kränkning av kommunikationshemlighet, sekretessbrott och tjänstebrott finns i strafflagen (39/1889). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av 10 § i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn 

I enlighet med riksdagens beslut  
ändras i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002) 10 § 3 mom. som följer: 
10 §  Straffbestämmelser 
Kläm 
Bestämmelser om straff för dataskyddsbrott finns i 38 kap. 9 § i strafflagen. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 13 juli 2018 
Statsminister Juha Sipilä 
Arbetsminister Jari Lindström