Teema 6: Yksityisyys ja tietosuoja

Miten yksityisyyttä suojataan lainsäädännöllisin toimin työelämässä ja miten EU:n tietosuoja-asetus (GDPR) vaikuttaa yksityisyyden suojaan työpaikoilla?

Työelämän tietosuoja

Yksityisyyden suojaa ja tietosuojaa säätelevät monet lait, kuten Suomen perustuslaki, Tietosuojalaki, EU:n yleinen tietosuoja-asetus sekä laki yksityisyyden suojasta työelämässä. Tietosuojan toteutumisesta vastaa lähtökohtaisesti työnantaja ja vahvasta tietoturvasta ovat riippuvaisia yrityksen koko toiminnan jatkuvuus ja maine. Jokaisella työntekijällä on kuitenkin henkilökohtainen vastuu huolehtia oman toimintansa tietoturvallisuudesta ja siten roolinsa osana yrityksen kokonaistietoturvaa. Ihminen on aina riski tietoturvalle ja erityisesti digitalisaation mukanaan tuomien jatkuvien muutosten myötä työntekijä on yrityksen keskeinen tietoturvariski monella tapaa. Lähes kaikki yritykset käsittelevät toiminnassaan niin työntekijöiden kuin asiakkaidenkin henkilötietoja, joten tietoturva- ja suoja ovat merkittävässä roolissa päivittäisessä työssä. Joillain aloilla, kuten sosiaali- ja terveysalalla työntekijät saavat tietoonsa ja käsittelevät päivittäin potilaiden ja asiakkaiden arkaluonteisia tietoja, jolloin tietoturvasta huolehtiminen ja salassapitovelvollisuus erityisesti korostuu jokaisen työntekijän kohdalla. Työntekijän tuleekin noudattaa omassa toiminnassaan lainsäädäntöä, organisaation ohjeita ja toimintatapoja sekä ylläpitää omaa tietoturvaosaamistaan välttääkseen omasta toiminnastaan asiakkaille ja yritykselle koituvat haitat sekä mahdolliset rikostutkinnat ja oikeuskäsittelyt.

Kuva 1. Käsitteitä. 

Työntekijöiden yksityisyys ja tietosuoja

Jokainen työantaja on henkilötietolain tarkoittama rekisterinpitäjä, joka käsittelee työntekijöiden henkilötietoja työsuhteen hoitamista ja henkilöstöhallinnon tarkoitusta varten. Henkilötietojen käsittelyyn liittyy vaitiolovelvollisuus. Työnantaja ei sää käsitellä mitä tahansa työntekijää koskevia henkilötietoja, vaan ainoastaan välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja. Tällaisia ovat osapuolten oikeuksien ja velvollisuuksien hoitamiseen, työnantajan tarjoamiin etuuksiin tai työtehtävien erityisluonteeseen liittyvät henkilötiedot. Tästä tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella. Työntekijällä (=rekisteröidyllä) on oikeus tarkastaa työnantajan itseään koskevat henkilötiedot, oikaista virheelliset tiedot sekä rajoittaa tai vastustaa tietojensa käyttöä.

Rekrytointivaiheessa työntekijästä saadaan paljon erilaista tietoa, jotka on annettu vapaaehtoisesti mahdollisen sopimuksen tekemistä varten. Näitä tietoja ei saa säilyttää tai käyttää muuhun tarkoitukseen. Työelämän tietosuojalain tarpeellisuusvaatimuksen mukaan työnantajan on tärkeää huomioida, että työnhakijalta saa kysyä haastattelussa ja hakulomakkeissa vain työtehtävän kannalta välittömästi tarpeellisia asioita, joita eivät ole esimerkiksi perhetilanteeseen, terveydentilaan tai uskontoon liittyvät henkilökohtaiset kysymykset, ellei se ole erityisen välttämätöntä tehtävää täytettäessä.

Työnantajan on kerättävä työntekijää koskevat tiedot ensisijaisesti häneltä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, häneltä on hankittava suostumus tietojen keräämiseen. Poikkeuksena se, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi, tai jos tietojen keräämisestä tai laissa erikseen nimenomaan säädetään. Esimerkkinä alaikäisten kanssa työskentelevien rikostaustan selvittäminen tai luottotietojen tarkistaminen, jos työntekijän tehtäviin sisältyy välitön taloudellinen vastuu tai päätäntävalta, tai työsuhde vaatii muutoin erityistä luottamusta.

• On hyvä huomioida, että tietojen kerääminen muista lähteistä koskee rekrytointitilanteessa myös sitä, ettei työnhakijasta saa etsiä tietoa muista lähteistä, kuten internetistä tai edes julkisista someprofiileista ilman työntekijälle tehtyä ennakkoilmoitusta. Tätä seikkaa ei välttämättä tule edes ajateltua, vaan voisi kuvitella, että julkisten tietojen "kurkkaaminen" someprofiileista olisi olla nykypäivänä melko tavallista.

Työsuhteen aikana työntekijästä syntyy paljon tietoa, kuten perustiedot, kuva, kokemus- ja koulutustiedot, palkkatiedot, terveystiedot, poissaolotiedot, soveltuvuusarvioinnit, mahdolliset taloustiedot kuten ulosoton asiakkuus. Kaikkia tietoja koskee tarpeellisuusvaatimus, jonka täyttyminen työnantajan pitää voida osoittaa. Osa näiden tietojen rekisteröintiin perustuu lakiin, osa sopimukseen (työsopimus) ja osa suostumukseen tai muuhun perusteeseen. Henkilötietoja käsittelevät henkilöt tulee olla organisaatiossa määritelty ja rajattu vain niihin, joiden työtehtäviin se asiallisesti perusteltuna kuuluu, esim. esimiehet ja palkka- ja hr-henkilöt. Seuraavassa joitain nostoja työntekijän yksityisyydestä ja tietosuojasta työpaikalla:

• Työnantaja saa käsitellä työntekijän terveystietoja vain, jos se on tarpeen sairausajan palkan tai siihen liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy. Terveydentilaan liittyvät asiakirjat tulee säilyttää erillään työntekijän muista henkilötiedoista esim. palkkarekisteristä, ja ne on poistettava välittömästi sen jälkeen, kun käsittelylle ei ole enää tarvetta. Työnantajalla on oikeus tietyissä tilanteissa saada selvitys työntekijän soveltuvuudesta työhön terveydentilansa puolesta kuten työterveystarkastukset, mutta esim. huumetesti edellyttää työntekijän suostumusta.
• Sairauspoissaoloihin liittyen tieto sairauslomalla olemista ei yksinään ole arkaluonteinen henkilötieto, mutta sairauspoissaolon syy on, eikä sitä tule muille työntekijöille tai talon ulkopuolelle kertoa.

Työelämän tietosuojalaissa on säädetty myös mm. menettelytavoista teknisen valvonnan, sähköpostin ja tietoverkon käytön järjestämisessä.

• Kameravalvontaa voidaan käyttää vain, jos tarkoituksena on työntekijöiden ja muiden työnantajan tiloissa olevien turvallisuuden varmistaminen, omaisuuden suojaaminen, tuotantoprosessien sujumisen varmistaminen tai em. tilanteiden ennalta estäminen tai selvittäminen. Kameravalvontaa ei saa käyttää työntekijöiden tarkkailuun työpaikalla tai esim. työajan noudattamisen valvontaan, eikä sitä voi käyttää esim. henkilöstö- ja sosiaalitiloissa tai henkilökohtaisessa työhuoneessa. Poikkeuksena valvonta voidaan kohdistaa tiettyyn työpisteeseen mm. työntekijään kohdistuvan väkivallan tai turvallisuuden uhkan vuoksi tai työntekijän pyynnöstä, jos se perustuu työntekijän etujen ja oikeuksien varmistamiseen. Tiloissa, joissa kameravalvontaa käytetään, siitä on ilmoitettava näkyvästi.
• Työntekijän paikantaminen on mahdollista, jos sille on asiallinen peruste ja tarve. Perusteita voivat olla mm. työntekijöiden turvallisuuden varmistaminen tai resurssien, kuten auton kohdentaminen oikeaan paikkaan. Paikannustietoja käsitellään samoin periaattein kuin muitakin henkilötietoja.
• Sähköpostiviestintä on luottamuksellista. Työnantaja saa kuitenkin tietyin edellytyksin hakea tai avata viestejä, jotka ovat saapuneet työntekijän työsähköpostiosoitteeseen tai jotka on lähetetty siitä. Työantajan tulee kuitenkin pyrkiä varmistumaan siitä, ettei sille tulisi tarvetta työntekijän sähköpostiviestin lukemiseen. Työsuhteen päätyttyä työntekijän sähköpostiosoite tulee sulkea.
• Työntekijän verkkosurffailua ei saa seurata valvontatarkoituksessa. Työnantaja voi työnjohto-oikeuden puitteissa kuitenkin päättää säännöistä, saako työpaikalla surffailla netissä ja millaisilla sivustoilla.

Organisaatiossa tulee olla määritelty henkilötietojen säilyttämisajoista ja huolehtia tarpeettomien tietojen hävittämisestä. Työntekijästä kerätyt tiedot tulee poistaa, jos ovat tarpeettomia, vanhentuneita, virheellisiä tai suostumus päättyy. Tietojen säilyttämiselle on laissa määritelty perusteet ja säilytysajat, mutta lisäksi säilyttämiselle voi olla muita perusteita. 

Työsopimuksen päättäminen on myös sellainen kahden osapuolen välinen luottamuksellinen asia ja sopimus, jonka käsittelyn tulee olla asianmukaista. Työntekijän irtisanomisilmoituksen sisältö ja irtisanomisen perusteet ovat työntekijän henkilötietoja, eikä työnantaja saa kertoa niistä esim. kahvipöytäkeskusteluissa tai tiedottaa sähköpostilla koko organisaatiolle.  

Kuva 2. Tietoturvan kehittäminen. 

Lähteet:

Heinonen, T. (2022). Miten työntekijän tulisi hallita tietoturvallisuuttaan? Opinnäytetyö. https://www.theseus.fi/bitstream/handle/10024/752400/Miten%20ty%C3%B6ntekij%C3%A4n%20tulisi%20hallita%20tietoturvallisuuttaan.pdf?sequence=2&isAllowed=y 

Laine, T. (2022). Työntekijöiden henkilötietojen käsittelyn perusteet. Koulutustallenne, Eduhouse.

Lehtinen, R., Yrjölä, P. (2022). Palkanlaskennan ja HR:n tietoturvaselviytymispakki. Koulutustallenne, Eduhouse.

Tietosuojavaltuutetun toimisto. (2020). Työelämän tietosuojan käsikirja. https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja+2020-+Tietosuojavaltuutetun+toimisto.pdf/3b506e9f-ae9a-c3fd-919a-df1c901ea6b8/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja+2020-+Tietosuojavaltuutetun+toimisto.pdf?t=1600345504494

Tietosuojavaltuutetun toimisto. (n.d.) Usein kysyttyä työelämästä. Luettu 24.3.2023 osoitteesta: https://tietosuoja.fi/usein-kysyttya-tyoelama