Työnantaja saa käsitellä vain tarpeellisia henkilötietoja
Työnantaja ei saa käsitellä mitä tahansa työntekijää koskevia henkilötietoja eikä mihin tahansa tarkoitukseen.
Työnantajan on noudatettava työntekijöidensä henkilötietojen käsittelyssä muun muassa yksityisyyden suojasta työelämässä annetun lain ja EU:n yleisen tietosuoja-asetuksen säännöksiä. Henkilötietojen kerääminen työhön otettaessa ja työsuhteen aikana kuuluu yhteistoimintalaissa tarkoitetun yhteistoimintamenettelyn piiriin.
Työelämän tietosuojalaki sisältää joitakin tarkempia ohjeita muun muassa työntekijän terveydentilatietojen käsittelystä. Työelämän tietosuojalaki tai tietosuoja-asetus eivät kuitenkaan esimerkiksi sisällä tyhjentävää listaa henkilötiedoista, joita työnantaja saa työsuhteiden yhteydessä käsitellä.
Sitä saa käsitellä, mikä on tarpeen
Yksi keskeisimmistä oikeusohjeista on työelämän tietosuojalain mukainen tarpeellisuusvaatimus. Sen mukaan henkilötietoja saa käsitellä vain, mikäli tiedot ovat työntekijän työsuhteen kannalta välittömästi tarpeellisia. Käsiteltävien henkilötietojen on liityttävä osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuuksiin tai niiden on johduttava työtehtävien erityisluonteesta.
Työnantaja ei saa työntekijän suostumuksellakaan kerätä ja käsitellä sellaisia henkilötietoja, jotka eivät täytä vaatimusta tietojen tarpeellisuudesta!
Henkilötietoja ei koskaan tulisi kerätä varmuuden vuoksi.
Tarpeellisuus on aina arvioitava yksittäistapauksittain kulloistenkin työtehtävien, työnantajan toimialan ja vastaavien olosuhteiden perusteella. On lähtökohtaisesti työnantajan asiana määritellä, mitkä tiedot ovat kyseisen työsuhteen kannalta välittömästi tarpeen.
Mikäli työnantaja jättää tietojen välttämättömyyden arvioimatta tai muutoin käsittelee sellaisia henkilötietoja, joiden ei voida katsoa olevan tarpeen, voi tietosuojavaltuutettu puuttua työnantajan menettelyyn tai jopa määrätä työnantajalle tarpeettomasta keräämisestä seuraamusmaksun.
Henkilötietoja ei koskaan tulisi kerätä varmuuden vuoksi vaan kaikelle keräämiselle ja käsittelylle tulisi olla lakisääteinen peruste ja käyttötarkoitus.
Tärkeät tietosuojaperiaatteet
Tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita on noudatettava aina, kun käsitellään henkilötietoja – näin myös työsuhteessa. Henkilötietoja on ensinnäkin käsiteltävä lainmukaisesti, asianmukaisesti ja työntekijän kannalta läpinäkyvästi.
Työnantajan on kerrottava työntekijöille selkeästi ja ymmärrettävästi henkilötietojen käsittelystä. Työntekijöille on kerrottava, mitä henkilötietoja työntekijöistä kerätään, mihin tarkoitukseen näitä henkilötietoja käsitellään, millä tavoin niitä käsitellään ja millaisia oikeuksia työntekijöillä käsittelyyn liittyen on. Näiden tietojen on oltava helposti työntekijöiden saatavilla yksinkertaisessa ja ymmärrettävässä muodossa.
Henkilötiedot on kerättävä ja niitä on käsiteltävä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Työntekijöiden henkilötietoja ei siis saa käyttää muuhun käyttötarkoitukseen, kuin mihin ne on kerätty.
Mikäli henkilötiedot on kerätty esimerkiksi työtehtävien hoitamista varten, ei työnantaja saa antaa tietoja suoramarkkinointitarkoituksiin. Työntekijöiden henkilötietojen julkaisu työnantajan verkkosivuilla taas voi olla työtehtävien hoitamisen kannalta asiallisesti perusteltua ja tarpeellista.
Työsuhteen päättyessä työntekijällä on oikeus vaatia työsähköpostitilinsä sulkemista, sillä työsuhteen päättyessä työntekijän sähköpostitilin käsittelylle ei yleensä enää ole olemassa laillista käsittelyperustetta.
Henkilötietoja tulee kerätä vain sellainen määrä ja säilyttää ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelyn tarkoitukseen nähden. Lisäksi työnantajan on varmistuttava tietojen oikeellisuudesta.
Työnantaja on velvollinen selvittämään ja määrittelemään lisäksi, miten henkilötietoja voidaan käsitellä olosuhteet ja käsittelyyn liittyvä riski huomioon ottaen luottamuksellisesti ja turvallisesti.
Työnantaja vastaa käsittelystä
Mikäli epäilet, ettei henkilötietojen käsittelyssä noudateta esimerkiksi edellä kuvattuja sääntöjä ja periaatteita, kannattaa näiden noudattamisesta ensiksi pyytää työnantajalta lisätietoja. TEKin lakimiehet voivat olla apunasi ongelmien tunnistamisessa ja tarvittaessa asian selvittämisessä työnantajasi kanssa.
Mikäli näyttää siltä, ettei työnantaja kaikesta huolimatta noudata lakien ja asetusten määräyksiä henkilötietojen käsittelyssä, voi neuvoja pyytää myös asiaa valvovalta viranomaiselta eli tietosuojavaltuutetulta. Työntekijällä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos työntekijä katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan lainsäädäntöä.
Tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet koskevat myös työntekijää. Rekisteröidyllä on muun muassa oikeus saada tietoa henkilötietojensa käsittelystä ja saada pääsy tietoihinsa.
Työnantaja vastaa tietosuoja-asetuksen mukaan henkilötietojen asetuksenvastaisesta käsittelystä työntekijälle aiheutuneista vahingoista. Tietosuoja-asetuksen rikkomisesta voi yksityisen sektorin työnantajalle tulla määrättäväksi tietosuoja-asetuksen mukainen hallinnollinen seuraamusmaksu. Työnantaja tai työnantajan edustaja voidaan myös tuomita työelämän tietosuojalain säännösten rikkomisesta sakkoon.
Kirjoittaja työskentelee TEKissä työsuhdelakimiehenä.
Tutustu muihin Lakitieto-sarjan artikkeleihin.
TEKin jäsenenä saat monipuolista lakipalvelua
Saat palvelua niin henkilökohtaisesti kuin joustavasti verkossa 24/7. TEKin lakimiehet:
Lisäksi eLakimies-palvelusta saat vastauksen tavallisimpiin lakikysymyksiin. Tutustu myös TEKin lakitietosivuihin ja usein kysyttyihin kysymyksiin: www.tek.fi/lakipalvelut