TIETOSUOJAVALTUUTETUN TOIMISTO 1162/03/2018. Viite Lausuntopyyntönne tietosuojavaltuutetulle TEM/1657/ /2017,

Samankaltaiset tiedostot
Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

LAUSUNTO Dnro 5935/96/2018

Työelämän tietosuojalaki Johanna Ylitepsa

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Kansallinen tietosuojalaki

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Työ- ja tasa-arvoasiainvaliokunta on antanut asiasta mietinnön (TyVM 3/2001 vp). Nyt koolla oleva eduskunta on hyväksynyt seuraavat

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojavaltuutetun lausunto YLEINEN OSA

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuoja-asetus ja sen kansallinen implementointi

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

HE 97/2018 vp. Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

LUONNOS. Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojavaltuutetun toimiston tietoisku

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1026/03/

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tietosuojanäkökulma biopankkilainsäädäntöön

Vastinepyyntö. Dnro 694/452/17. Lauri. Liitteet

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

Tutkittavan informointi ja suostumus

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietoturva yhdistyksessä

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Laki yksityisyyden suojasta työelämässä

1 luku. Yleiset säännökset. Pekka Kankkunen. Lausunto Asia: 1/41/2016. Yleiset kommentit

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Varustekorttirekisteri - Tietosuojaseloste

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

PÄÄASIALLINEN SISÄLTÖ

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 1898/03/ Liikenne- ja viestintäministeriö Kirjaamo.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Tietosuojanäkökulma biopankkilainsäädäntöön

Ehdotus NEUVOSTON PÄÄTÖS

MITÄ TIETOSUOJA TARKOITTAA?

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

EU:N UUSI TIETOSUOJA- ASETUS

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Teknologia avusteiset palvelutverkostopalaveri

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

SISÄLLYS. N:o 510. Laki. korkeimmasta hallinto-oikeudesta annetun lain 14 :n muuttamisesta. Annettu Naantalissa 18 päivänä heinäkuuta 2008

Euroopan unionin neuvosto Bryssel, 12. heinäkuuta 2016 (OR. en)

PÄÄASIALLINEN SISÄLTÖ

TIETOSUOJAVALTUUTETUN TOIMISTO

LAUSUNTO OM 198/43/2015

Euroopan unionin neuvosto Bryssel, 26. huhtikuuta 2016 (OR. en)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 389/03/ LAUSUNTOPYYNTÖNNE LUONNOKSESTA SOSIAALI- JA TERVEYDENHUOLLON VALINNANVAPAUSLAINSÄÄDÄNNÖKSI

Tietosuoja-asetus Immo Aakkula Arkistointi

Rikosrekisteriotteen pyytäminen. Sari Anetjärvi lakimiesasessori

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Oikeudellisten asioiden valiokunta ILMOITUS JÄSENILLE (33/2010)

TIETOSUOJAVALTUUTETUN TOIMISTO

Tiedollinen itsemääräämisoikeus ja MyData

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

HE 217/2008 vp. kansanedustajain eläkelakia ja valtion eläkelakia. kuitenkin valita koko edustajantoimensa keslamenttivaaleissa,

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO 1162/03/2018 LAUSUNTO 4.5.2018 Työ- ja elinkeinoministeriö PL 32 00023 VALTIONEUVOSTO kirjaamo@tem.fi Viite Lausuntopyyntönne tietosuojavaltuutetulle TEM/1657/00.04.01/2017, 6.4.2018 Luonnos hallituksen esitykseksi eduskunnalle laeiksi yksityisyyden suojasta työelämässä annetun lain ja lasten kanssa työskentelevien rikostaustan selvittämisestä annetun lain 10 :n muuttamisesta Tietosuojavaltuutetun toimisto toteaa lausuntonaan lakiluonnoksien osalta seuraavaa. Yleistä lainsäädäntövalmistelussa huomioon otettavaa koskien työelämän tietosuojaa Henkilötietojen käsittelyä koskeva lainsäädäntökehikko on muuttumassa ja tällä hetkellä on menossa siirtymäaika yleisen tietosuoja-asetuksen osalta. Mikäli henkilötietojen käsittelystä säädetään, tulee asiassa ottaa huomioon 25.5.2018 sovellettavaksi tuleva yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) ja arvioida perusteet kansallisen liikkumavaran käyttämiseksi. Näin ollen kaikessa lainvalmistelussa on huomioitava yleisestä tietosuoja-asetuksesta tulevat reunaehdot kansalliselle lainsäädännölle. Kansallinen lainsäädäntö on mahdollista vain niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan ja niiltä osin, kuin esitetyt säännökset ovat välttämättömiä yleisen tietosuoja-asetuksen säännösten täydentämiseksi. Kansallinen liikkumavara pohjautuu tietosuoja asetuksen 6 artiklan 1 kohdan c 1 ja e 2 alakohtiin sekä arkaluonteisten tietojen osalta 9 artiklan 2 kohdan alakohtiin sekä rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen osalta 10 artiklaan. Lisäksi asetuksessa on useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta. Työelämän 1 Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; 2 Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

TIETOSUOJAVALTUUTETUN TOIMISTO 2/9 osalta erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta 9 artiklan 2 kohdan b ala-kohdan mukaan, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista Erityisiä henkilötietoryhmiä koskevan 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Yleisen tietosuoja-asetuksen IX luvun 88 artiklassa on säädetty erityisistä käsittelytilanteista ja niitä koskevasta kansallisesta liikkumavarasta työsuhteen yhteydessä. 88 Artiklan 1 kohdan mukaan jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhden-vertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten. Artiklan 2 kohdan mukaan näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin. 3 Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen asetettuun tavoitteeseen nähden. Lainsäädännön on oltava myös selkeää, täsmällistä ja sen soveltamisen on oltava ennakoitavaa. Kun henkilötietojen käsittelystä säädetään kansallisessa laissa tietosuoja-asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperuste voi sisältää 6 artiklan 2 ja 3 kohdan mukaan erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista, muun muassa: 3 Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 155 mukaan jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien paikalliset sopimukset, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.

TIETOSUOJAVALTUUTETUN TOIMISTO 3/9 yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä; yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Asiassa on tarkoituksenmukaista ottaa huomioon henkilötietojen käsittelyä koskevat periaatteet, (esimerkiksi tietosuoja-asetuksen 5 artikla) mm. käyttötarkoituksen määrittely, tarpeellisuus ja tietojen minimointi sekä täsmällisyys. Lainsäädäntö esityksiä on tarkasteltava myös perusoikeusnäkökulmasta. Euroopan unionin perusoikeuskirjan rinnalla on huomioitava kansallinen peruslaki ja perustuslakiavaliokunnan sekä hallintovaliokunnan lausuntokäytäntö. Perustuslain 10 :n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta on vakiintuneessa lausuntokäytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Henkilötietojen käsittelyä koskevan sääntelyn lain tasolla tulee olla kattavaa, täsmällistä ja tarkkarajaista. Komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti. Tietosuoja-asetuksen määritelmiä ei saa määritellä uudelleen ja suoraa toistamista tulee välttää. Viittaukset asetukseen ovat kuitenkin mahdollisia. Kaikessa kansallisessa lainsäädännössä on huomioitava asetusinstrumentin tarkoitus eli se, että asetusta tulee soveltaa yhdenmukaisesti jäsenvaltioissa. Ehdotuksen yleinen arviointi Tietosuojavaltuutetun toimisto on arvioinut kysymyksiä työelämän tietosuojalain henkilötietojen käsittelyn ja tietosuoja-asetuksen kansallisen liikkumavaran käytön näkökulmasta. Lainvalmistelussa tulee ottaa huomioon koko asetus ja siinä määrätyt henkilötietojen käsittelyä koskevat periaatteet edellä mainitulla tavalla.

TIETOSUOJAVALTUUTETUN TOIMISTO 4/9 Näyttäisi siltä, että valmistelussa ja lakiehdotuksen perusteluissa on otettu huomioon kattavasti yleisen tietosuoja-asetuksen liikkumavaran käyttäminen suhteessa asetukseen sekä siltä osin kuin se on ollut mahdollista, valmisteltavana oleva kansallinen tietosuojalaki (HE 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi), ottaen erityisesti huomioon artiklan yleisen tietosuoja-asetuksen IX luvun 88 artiklassa on säädetty erityisistä käsittelytilanteista ja niitä koskevasta kansallisesta liikkumavarasta työsuhteen yhteydessä. Ks. edellä. Lakiluonnoksen perusteluissa tuodaan ilmi, että Suomen yksi prioriteeteista yleisen tietosuoja-asetuksen neuvotteluissa oli saada asetukseen kirjaukset, jotka mahdollistavat yksityisyyden suojasta työelämässä annetun lain sääntelyn säilyttämisen. Suomi saavutti neuvotteluissa keskeiset tavoitteensa työelämän tietosuojaa koskevan sääntelyn osalta. Hallintovaliokunta kiinnitti yleisen tietosuoja-asetuksen valmisteluvaiheessa antamissaan lausunnoissa huomiota siihen, miten Suomen työelämän tietosuojasääntely istuu ehdotettuun kokonaisuuteen ja miten työelämän erityispiirteet tulevat asetusehdotuksessa huomioon otetuiksi (HaVL 22/2014 vp, HaVL 30/2014 vp, HaVL 2/2015 vp). Valiokunta piti erittäin tärkeänä, että työelämän erityissääntely on tunnustettu asetuksen IX luvussa (HaVL 25/2015 vp). Lakiluonnoksen mukaan yksityisyyden suojasta työelämässä annettu laki voidaan yleisen tietosuoja-asetuksen 9 ja 88 artiklan liikkumavaran nojalla säilyttää pääosin sellaisenaan voimassa muutamia yksityiskohtia lukuun ottamatta. Lakiluonnos sisältää 9 artiklan 2 kohdan b alakohdassa edellytetyt säännökset työntekijän terveydentilatietojen käsittelyn osalta lisättynä tietosuoja-asetuksen edellyttämillä suojatoimilla. Tietosuojavaltuutetun toimisto katsoo, että työelämään liittyy erityisiä tilanteita, jotka poikkeavat muusta henkilötietojen käsittelystä ja pitää tarkoituksenmukaisena, että lakia yksityisyyden suojasta työelämässä ei ole pääosin tarpeen muuttaa sisällöllisesti tietosuoja-asetuksesta johtuen. Tältä osin tietosuojavaltuutetun toimisto pitää asianmukaisena lakiluonnoksessa ehdotettua punnintaa kansallisen liikkumavaran käytöstä työelämän tietosuojan sääntelyn osalta. HE-luonnoksen henkilötietojen käsittelyä koskevat säännösehdotukset Tässä lausunnossa on kiinnitetty huomiota niihin säännösehdotuksiin, joihin tulisi kiinnittää huomiota ja edellyttäisivät osin jatkovalmistelua; 4. Työntekijän henkilötietojen keräämisen yleiset edellytykset ja työnantajan tiedonantovelvollisuus Pykälän 1 momentin viimeistä virkettä ehdotetaan muutettavaksi siten, että siitä poistettaisiin maininta suostumuksen tarpeettomuudesta rikosrekisteritietoja muualta kuin

TIETOSUOJAVALTUUTETUN TOIMISTO 5/9 työntekijältä itseltään hankittaessa. Työntekijän suostumus ei 1 momentin mukaan edelleenkään olisi tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja työntekijän luotettavuuden selvittämiseksi. Henkilöluottotietojen käsittelystä säädetään erikseen yksityisyyden suojasta työelämässä annetun lain 5 a :ssä, jossa ei edellytetä työntekijän suostumusta. Voimassa olevan säännöksen sanamuoto suostumuksen tarpeettomuudesta rikosrekisteritietojen osalta on osin harhaanjohtava. Turvallisuusselvityslain (726/2014) 5 :n mukaan turvallisuusselvityksen laatimisen ja turvallisuusselvitykseen liittyvän 51 :ssä tarkoitetun luotettavuuden seurannan toteuttamisen yleisenä edellytyksenä on, että selvityksen kohde on antanut siihen etukäteen kirjallisen suostumuksen. Alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustan selvittämismenettelystä säädetään erikseen laissa lasten kanssa työskentelevien rikostaustan selvittämisestä (504/2002), jonka mukaan rikosrekisteriote pyydetään nähtäväksi henkilöltä itseltään. Tietosuojavaltuutetun toimisto pitää edellä esitettyä tarkennusta ja ajantasaiseksi saattamista muun lainsäädännön kanssa kannatettavana, lukuun ottamatta lakiehdotuksen sananmuotoa: Työntekijän suostumus ei edelleenkään olisi tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja työntekijän luotettavuuden selvittämiseksi. Lain sanamuoto näin esitettynä ei vastaa tosiasiallisia työelämän henkilötietojen käsittelyä koskevia tilanteita. Laki yksityisyyden suojasta työelämässä esitöissä HE 75/2000 on esitetty useita tilanteita ja poikkeuksia sanamuodosta, jolloin tietoja voidaan hankkia ilman työntekijän suostumusta muualta: Jos työntekijä ei sanottua suostumusta anna tai sitä on asian laatu huomioon ottaen mahdotonta pyytää häneltä, olisi työnantajalla kuitenkin oikeus hankkia tietoja ilman suostumustakin kahdella edellytyksellä. Ensinnäkin tietoja voitaisiin hankkia vain silloin, kun ne olisivat välittömästi työsuhteen kannalta tarpeellisia. Tämä periaate perustuisi lakiehdotuksen 3 :ään. Toiseksi henkilötietojen hankintaan olisi oltava selvä peruste, joka liittyisi työntekijän luotettavuuden selvittämiseen. Lakiehdotuksessa määriteltäisiin näin henkilötietolakia tarkemmin työnantajan oikeus kerätä työntekijän suostumuksetta ulkopuolisilta henkilötietoja ottaen erityisesti huomioon työelämän lähtökohdat ja työntekijöiden suojelun tarve. Tietosuojavaltuutettu on usein ratkaisukäytännössään joutunut soveltamaan lain perusteluissa esitettyjä poikkeuksia. Lisäksi uusia tosiasiallisia henkilötietojen käsittely ilmiöitä työpaikoilla kuten esimerkiksi ns. ilmianto- eli whistleblowing-järjestelmiä on käytössä yleisesti koko Euroopassa. Tältä osin tietosuojavaltuutetun toimisto ehdottaa 4 :n säännösmuutosta siten kuin TEM:n työelämän tietosuojan työryhmän lain valmisteluvaiheessa kartoitettiin ja ehdotettiin pykälän yksityiskohtaiseksi perusteluksi:

TIETOSUOJAVALTUUTETUN TOIMISTO 6/9 Pykälän 1 momentin viimeisen virkkeen mukaan suostumus tietojen keräämiselle muualta kuin työntekijältä itseltään ei ole tarpeen silloin, kun viranomainen luovuttaa henkilötietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. Säännöstä ehdotetaan muutettavaksi siten, että se sanamuodoltaan vastaisi tietosuojavaltuutetun pykälää koskevaa vakiintunutta tulkintakäytäntöä (ja lain esitöissä esitettyjä useita poikkeuksia). Jollei laissa toisin säädettäisi, työntekijän suostumus ei olisi tarpeen silloin, kun viranomainen luovuttaa henkilötietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantajalla on erityinen syy selvittää työntekijän luotettavuutta. Henkilöluottotietojen käsittelystä säädetään erikseen yksityisyyden suojasta työelämässä annetun lain 5 a :ssä, jossa ei edellytetä työntekijän suostumusta. Työntekijän luotettavuuden selvittämistä koskeva lainsäädäntö, turvallisuusselvityslaki ja henkilöluottotietojen käsittelyä koskeva sääntely, ovat muuttuneet pykälän voimaantulon jälkeen. Pykälän sanamuotoa ehdotetaan tarkennettavaksi vastaamaan vakiintunutta tulkintakäytäntöä, jotta oikeustila olisi selkeä. Työelämässä tavanomainen ja hyväksyttävänä pidetty sekä tietosuojavaltuutetun tulkintakäytännön mukainen henkilötietojen kerääminen ilmenisi siten myös pykälän sanamuodosta. Pykälän sanamuodon muutoksella ei olisi tarkoitus muuttaa tulkintakäytäntöä eikä laajentaa työnantajan tiedonsaantioikeuksia nykyiseen verrattuna. ---- Tämä tulisi tuoda esiin erityisesti lain perusteluissa, jossa muutoinkin selvennettäisiin sitä, mitä erityinen syy selvittää työntekijän luotettavuutta tarkoittaa ja millaisia tilanteita se koskee. Ehdotetun uuden säännöksen mukaan yhä pääsääntöisenä käsittelyn oikeusperusteena olisi työntekijän suostumus tai lakisääteisyys, silloin kuin työnantaja hankkii työntekijää koskevia henkilötietoja. Tietosuojavaltuutetun toimisto kiinnittää erityisesti huomiota siihen, että EU:n kansallisista tietosuojaviranomaisista koostuva WP29 työryhmän WP 187 Lausunto 15/2011 suostumuksen määritelmästä sekä uusi WP 259 Guidelines on Consent under Regulation 2016/679 (ei vielä suomennettu) sekä WP 249 Opinion 2/2017 on data processing at work, tuovat esiin suostumuksen ongelmallisuuden käsittelyn oikeusperusteena työelämän tilanteissa. Vaikka suostumusta voidaan työelämässä käyttää tietyissä tilanteissa, suostumuksen vapaaehtoisuuden voidaan katsoa olevan epätasapainossa työntekijän alisteisen aseman suhteessa työnantajaan vuoksi. Jos suostumusta vaaditaan työntekijältä ja suostumuksen epäämisestä tosiasiassa tai mahdollisesti aiheutuu olennaista vahinkoa, suostumus ei ole pätevä. Jollei työntekijällä ole mahdollisuutta kieltäytyä, ei kyse myöskään ole suostumuksesta. Ongelmia aiheuttaa myös tilanne, jossa työn saaminen edellyttää suostumuksen antamista. Työntekijä voi teoriassa evätä suostumuksen, mutta seurauksena voi tosiasiallisesti olla työpaikan menetys. WP 29 on lausunut, että suurin osa henkilötietojen käsittelystä työelämässä ei voi perustua eikä tulisi perustua työntekijän suostumukseen vaan oikeusperusteen tulisi olla esim. laissa säädetty. 4 4 WP 259 Guidelines on Consent under Regulation 2016/679, 3.1.1. Imbalance of power, s. 8. An imbalance of power

TIETOSUOJAVALTUUTETUN TOIMISTO 7/9 Tietosuojavaltuutetun toimisto kiinnittää huomiota perusoikeuksia koskevan lainsäädännön täsmällisyys ja tarkkarajaisuus näkökulmasta, että säännöksen merkitys ja käsittelyn oikeusperusteen tulisi käydä ilmi pykälästä. Henkilötietojen käsittelyä koskevan sääntelyn tulee lain tasolla olla kattavaa, täsmällistä ja tarkkarajaista. Lisäksi lain soveltamisen on oltava ennakoitavaa. Lain perusteluissa voidaan tuoda esiin säännöstä koskevia tarkennuksia. Tältä osin nyt ehdotettu ei vastaa em. edellytyksiä lain tarkkarajaisuudesta, täsmällisyydestä ja soveltamisen ennakoitavuudesta, ottaen huomioon myös tietosuoja-asetuksen edellyttämät vaatimukset henkilötietojen käsittelylle. Tietosuojaviranomaisen ja työsuojeluviranomaisen yhteinen valvonta Lakiehdotuksen 22. Valvonta mukaan voimassa olevan pykälän mukaan lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa. Tietosuojalakia koskevassa hallituksen esityksessä ehdotetaan, että yleisessä tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena toimisi tietosuojavaltuutettu. Kansallisen valvontaviranomaisen tehtävistä ja toimivallasta säädetään yleisen tietosuoja-asetuksen 55-59 artiklassa ja tietosuojalain 14 :ssä. Tietosuojavaltuutetun tehtävät ja toimivaltuudet seuraavat suoraan yleisestä tietosuoja-asetuksesta. Valvontaviranomaiselle voidaan säätää myös muita valtuuksia. Työsuojeluviranomaisen tehtävistä ja toimivallasta säädetään työsuojelun valvonnasta ja työpaikan työsuojeluyhteistoiminnasta annetussa laissa. Ehdotuksen mukaan pykälä muutoksessa on tarkoituksenmukaista selventää, ettei työsuojeluviranomaisten toimivalta ulotu yleisen tietosuoja-asetuksen säännösten valvomiseen. Valvontaa koskevaa 22 :ää ehdotetaan tarkennettavaksi siten, että lain noudattamista valvoisivat työsuojeluviranomaiset toimivaltansa mukaisesti yhdessä tietosuojavaltuutetun kanssa. Lisäksi pykälään ehdotetaan lisättäväksi viittaukset tietosuojavaltuutetun ja työsuojeluviranomaisten toimivaltaa koskevaan sääntelyyn. Tietosuojavaltuutetun toimisto pitää ehdotettua sääntelyä kannatettavana ja tärkeänä, ottaen huomioon laki yksityisyyden suojasta työelämässä säännöksien ei ainoastaan tiealso occurs in the employment context. Given the dependency that results from the employer/employee relationship, it is unlikely that the data subject is able to deny his/her employer consent to data processing without experiencing the fear or real risk of detrimental effects as a result of a refusal. It is unlikely that an employee would be able to respond freely to a request for consent from his/her employer to, for example, activate monitoring systems such as cameraobservation in a workplace, or to fill out assessment forms, without feeling any pressure to consent. Therefore, WP29 deems it problematic for employers to process personal data of current or future employees on the basis of consent as it is unlikely to be freely given. For the majority of such data processing at work, the lawful basis cannot and should not be the consent of the employees (Article 6(1a)) due to the nature of the relationship between employer and employee. However this does not mean that employers can never rely on consent as a lawful basis for processing. There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent.

TIETOSUOJAVALTUUTETUN TOIMISTO 8/9 tosuojan ja vaan myös työoikeuden ja työturvallisuuden toteutumisen tarkoitus. Yhteistyö työsuojeluviranomaisten kanssa on käytännön lainvalvontatyössä sujunut hyvin eikä toimivaltaa koskevia ongelmia lainsoveltamisessa ole ilmennyt. Lain valvonta yhdessä on toiminut jo vuodesta 2001 ja asiassa on myös syntynyt merkittävää laintulkintaa ja linjauksia molempien viranomaisten toimesta. Lain tehokas toteutuminen työpaikoilla ja sen valvonta edellyttää jatkossakin myös työsuojeluviranomaisen valvontakäytössä olevia resursseja mm. siltä osin, kun työsuojeluviranomaiset tekevät työpaikkatarkastuksia toimivaltansa puitteissa. Tietosuojavaltuutetun toimisto pitää ehdotettua säännöstä tarkennuksineen toimivallan jakautumisesta kannatettavana. Rangaistussäännökset Lakiluonnoksessa on tuotu esiin, että olennaisia yleisestä tietosuoja-asetuksesta johtuvia sisällöllisiä muutostarpeita ei lain rangaistussäännöstä lukuun ottamatta ole. Lakiluonnoksessa on ehdotettu 24. Rangaistussäännöksen osalta seuraavaa: Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että rangaistussäännös pääosin kumottaisiin. Lain rikkomisesta voitaisiin edelleen tuomita sakkoon työnantaja tai tämän edustaja, joka tahallaan tai törkeästä huolimattomuudesta rikkoo 23 :n säännöksiä tämän lain nähtävänäpidosta. Pykälän 2 momentin mukaan rangaistus henkilörekisteririkoksesta, tietomurrosta, salakatselusta, salakuuntelusta, viestintäsalaisuuden loukkauksesta, salassapitorikoksesta ja virkarikoksista säädetään rikoslaissa (39/1889). Viittaus rikoslain henkilörekisteririkosta koskevaan säännökseen ehdotetaan muutettavaksi viittaukseksi tietosuojarikokseen rikoslain muutosehdotusta vastaavasti. Tietosuojavaltuutetun toimisto ei pidä kannatettavana laki yksityisyyden suojasta työelämässä rangaistussäännösten poistamista. Rangaistussäännökset ovat erityisesti yksityisyyden turvaavien menettelytapojen rikkomisen kriminalisointeja, jotka ovat henkilörekisteririkosta (tietosuojarikosta) lievempiä. Näkemyksemme mukaan laki yksityisyyden suojasta työelämässä tehokas toteutuminen työpaikoilla edellyttää rangaistussäännöksien säilyttämistä. Parhaillaan ehdotetun kansallisen tietosuojalain toteutuessa, voi seuraamuksien osalta jäädä sanktiojärjestelmään aukkoja, mm. julkisen sektorin jäädessä hallinnollisten seuraamusten ulkopuolelle. Tietosuoja-asetus ei kuitenkaan edellytä pelkästään hallinnollisiin sakkoihin perustuvaa seuraamusjärjestelmää vaan mahdollistaa ja jopa edellyttää muun muassa kansallisten rikosoikeudellisten keinojen käyttöä, ks. tietosuoja-asetuksen 84 artikla ja resitaalit 148 ja 149. Tältä osin tietosuojavaltuutetun toimisto viittaa myös kansallisen tietosuojalain (HE 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi) valmistelun yhteydessä eduskunnalle antamiinsa lausuntoihin tehokkaan seuraamusjärjestelmän osalta.

TIETOSUOJAVALTUUTETUN TOIMISTO 9/9 Muu lainsäädäntö Ehdotuksen jatkovalmistelussa tulee ottaa huomioon myös valmistelussa oleva hallituksen esitys (HE 9/2018 vp) eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Mia Murtomäki Tietosuojavaltuutetun toimivallasta Henkilötietolain (523/1999) 38 :n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään. Henkilötietolain 40 :n 1 momentin mukaan tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava syytteeseen panoa varten. Henkilötietolain 40 :n 2 momentin mukaan tietosuojavaltuutetun on ratkaistava asia, jonka rekisteröity on saattanut 28 ja 29 :n nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Tietosuojavaltuutettu valvoo yksityisyyden suojasta työelämässä annetun lain (työelämän tietosuojalaki) (759/2004) 22 :n mukaan lain noudattamista yhdessä työsuojeluviranomaisten kanssa.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute