Lagstiftningen reglerar dataskyddet i arbetslivet
Dataskyddet i arbetslivet regleras av lagen om integritetsskydd i arbetslivet. Arbetarskyddsmyndigheterna övervakar tillsammans med dataombudsmannen att lagen iakttas.
Skyddet för personuppgifter är en grundläggande rättighet i enlighet med Finlands grundlag (731/1999) 10 § 1 mom.:
"Vars och ens privatliv, heder och hemfrid är tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag."
Principen om skydd för personuppgifter ingår också i Europeiska unionens stadga om de grundläggande rättigheterna.
Vid behandlingen av de anställdas personuppgifter iakttas EU:s allmänna dataskyddsförordning (2016/679), vars artikel 88 gäller behandling av anställdas personuppgifter. Enligt artikel 88 punkterna 1 och 2 i EU:s allmänna dataskyddsförordning gäller följande:
"Medlemsstaterna får i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet."
"Dessa regler ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen."
Dataskyddet i arbetslivet regleras av den nationella speciallagen lagen om integritetsskydd i arbetslivet (759/2004). Arbetarskyddsmyndigheterna övervakar tillsammans med dataombudsmannen att denna lag iakttas.
I lagen om integritetsskydd i arbetslivet finns bestämmelser om hur frågor som gäller skyddet för privatlivet ska tryggas uttryckligen i arbetslivet. Lagen gäller endast förhållandet mellan arbetstagare och arbetsgivare.
Dessutom innehåller bland annat lagen om tjänster inom elektronisk kommunikation (917/2014) allmänna bestämmelser om dataskydd som tillämpas utöver lagen om integritetsskydd i arbetslivet.
Allmänna principer för behandling av personuppgifter
Enligt de allmänna dataskyddsprinciperna i artikel 5 i EU:s allmänna dataskyddsförordning ska personuppgifter
- behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade
- samlas in och behandlas för särskilda, uttryckligt angivna och berättigade ändamål
- samlas in endast i den omfattning som behövs med tanke på de ändamål för vilka personuppgifterna behandlas
- uppdateras alltid vid behov: personuppgifter som är inexakta och felaktiga ska raderas eller rättas utan dröjsmål
- inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas
- behandlas konfidentiellt och säkert.
Grunderna för behandling av personuppgifter ingår i artikel 6 i dataskyddsförordningen. Bestämmelser om behandlingen av särskilda (känsliga) kategorier av personuppgifter finns i artikel 9 punkterna 1 och 2 b i dataskyddsförordningen samt i dataskyddslagen (1050/2018).
Alla åtgärder som vidtas i fråga om personuppgifter från planering till insamling, behandling och radering av uppgifterna utgör behandling av personuppgifter. Dataskyddsprinciperna ska iakttas under hela livscykeln för behandlingen av personuppgifter.
Den registrerades rättigheter enligt dataskyddsförordningen
När den personuppgiftsansvarige behandlar personuppgifter ska den vidta lämpliga åtgärder för att tillgodose de registrerades dataskyddsrättigheter. Den personuppgiftsansvarige ska också underlätta utövandet av den registrerades rättigheter.
Enligt dataskyddsförordningen har den registrerade rätt att
- få information om behandlingen av de egna personuppgifterna
- få tillgång till uppgifterna
- rätta uppgifterna
- radera uppgifterna och bli bortglömd
- begränsa behandlingen av uppgifterna
- överföra uppgifterna från ett system till ett annat
- göra invändningar mot behandlingen av uppgifter
- inte bli föremål för automatiserat beslutsfattande.
Den registrerade kan inte utöva alla rättigheter i alla situationer. Situationen påverkas exempelvis av på vilka grunder personuppgifter behandlas. Behandlingen av personuppgifter i arbetslivet är oftast lagstadgad, varvid exempelvis rätten att bli bortglömd eller rätten att invända mot en behandling av uppgifterna inte kan tillämpas.
Lagen om integritetsskydd i arbetslivet
Tillämpningsområde (2 §)
Lagen tillämpas på alla anställningsförhållanden inom alla sektorer och även i tillämpliga delar på arbetssökande (2 § 2 mom.).
Relevanskrav (3 §)
I 3 § i lagen om integritetsskydd i arbetslivet föreskrivs om kravet på att behandlingen av personuppgifterna är nödvändig. Enligt lagen får arbetsgivaren endast behandla sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som
- har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet, till exempel uppgifter som hänför sig till utförandet av arbetsuppgifterna, valet av arbetstagare, arbetsförhållandena samt iakttagandet av bestämmelserna i kollektivavtalen
- har att göra med de förmåner arbetsgivaren erbjuder arbetstagarna, såsom de motionssedlar eller andra sedlar och rabatter som arbetsgivaren erbjuder samt användningen av dem
- beror på arbetsuppgifternas särskilda natur och kan hänföra sig exempelvis till familjeförhållandena för en arbetstagare som övergår till utlandsuppdrag, om arbetsgivaren sörjer för hans eller hennes barns utbildning under utstationeringstiden.
Arbetsgivaren får inte ens med arbetstagarens samtycke avvika från kravet på att uppgifterna ska vara direkt relevanta för arbetsavtalsförhållandet.
Enligt dataskyddsförordningen ska insamlingen av uppgifter minimeras: personuppgifter ska behandlas endast i förhållande till vad som är nödvändigt med tanke på ändamålen för vilka de behandlas. Arbetsgivaren ska redan vid planeringen av insamlingen av personuppgifter visa att det är nödvändigt att samla in uppgifterna och uppge för vilka funktioner de samlas in. En sådan bedömning ska alltid göras separat i varje enskilt fall. Om det särskilt föreskrivs om insamling av vissa personuppgifter i någon annan lag, behöver arbetsgivaren inte bedöma nödvändigheten av att samla in sådana personuppgifter.
I anställningssituationer ska arbetsgivaren bedöma om uppgifterna behövs med tanke på det arbete som personen söker. Det är närmast fråga om uppgifter som visar arbetssökandens kompetens och lämplighet samt ett utlåtande om sökandens hälsotillstånd som visar att personen är lämplig för arbetsuppgiften i fråga.
Utplåning av onödiga uppgifter
Arbetsgivaren får inte förvara föråldrade eller onödiga uppgifter. De bestämmelser i dataskyddsförordningen och dataskyddslagen som gäller detta tillämpas också i arbetslivet.
I lagstiftningen finns specialbestämmelser om de förvaringstider för personuppgifter som arbetsgivaren ska iaktta.
Sådana bestämmelser är till exempel preskriptionstiderna enligt arbetsavtalslagen, arbetstidslagen och bokföringslagen.
Inom den offentliga förvaltningen finns dessutom särskilda bestämmelser om bevarandet av arbetstagarnas och tjänstemännens personuppgifter.
Insamling av uppgifter och förbud mot diskriminering
Insamling av onödiga uppgifter kan leda till diskriminering, varför förbuden mot diskriminering i lagstiftningen har betydelse vid behandlingen av personuppgifter med början från bedömningen av om uppgifterna är nödvändiga.
Bestämmelser om förbud mot diskriminering finns bland annat i grundlagen, arbetsavtalslagen, diskrimineringslagen, lagen om kommunala tjänsteinnehavares anställningstrygghet, lagen om jämställdhet mellan kvinnor och män samt strafflagen.
Arbetstagarens personuppgifter (4 §)
Frågor i arbetsansökningsblanketter ska utarbetas så att de endast samlar in sådana uppgifter som är av betydelse med tanke på skötseln av arbetsuppgifterna.
Enligt 4 § 1 mom. i lagen om integritetsskydd i arbetslivet ska arbetsgivaren i första hand samla in personuppgifter hos arbetstagaren själv, och med arbetstagarens samtycke någon annanstans. Arbetstagarens samtycke krävs inte när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller om det finns särskilda och uttryckliga bestämmelser i lag om insamling eller inhämtande av sådana uppgifter.
Om arbetsgivaren skaffar uppgifter för att utreda arbetstagarens tillförlitlighet, ska arbetstagaren underrättas om detta enligt 4 § 2 mom. i lagen om integritetsskydd i arbetslivet. När arbetsgivaren skaffar uppgifter någon annanstans än hos arbetstagaren själv, ska arbetsgivaren på eget initiativ informera arbetstagaren om detta samt om innehållet i uppgifterna innan de används för beslutsfattande som gäller arbetstagaren.
I säkerhetsutredningslagen (726/2014) föreskrivs om de arbetsuppgifter inom kommunsektorn där säkerhetsutredningar kan användas. Dessa uppgifter omfattas av den begränsade säkerhetsutredning som avses i 21 § i säkerhetsutredningslagen.
Bestämmelser om ett förfarande för kontroll av brottslig bakgrund hos personer som väljs för arbete med minderåriga finns i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002). Bestämmelser om rätten att få uppgifter ur straffregistret finns i straffregisterlagen (770/1993).
Arbetsgivaren har skäl att beakta informationsskyldigheten enligt dataskyddsförordningen. I dataskyddsförordningen finns bestämmelser om den information som ska delges den registrerade.
Dataombudsmannens ställningstagande om de uppgifter som ska begäras av arbetssökande
Dataombudsmannen gav 18.9.2006 ett ställningstagande där det konstaterades att en rutinmässig begäran om uppgifter om värnplikt eller hälsotillstånd på blanketter från alla arbetssökande inte uppfyller kraven i 3 § och 5 § i lagen.
Dataombudsmannens påföljdskollegium påförde det företag ärendet gällde en sanktionsavgift på 12 500 euro för onödig insamling av arbetssökandes och arbetstagares personuppgifter. Företaget samlade in uppgifter om bland annat personers religiösa övertygelse, hälsotillstånd, eventuell graviditet och familjeförhållanden. (dnr 137/161/20, 20.5.2020, inte lagakraftvunnen)
Behandling av personkreditupplysningar (5 a §)
En arbetsgivare har endast rätt att få tillgång till och använda personkreditupplysningar gällande en arbetssökande som redan valts till en arbetsuppgift, eller en arbetstagare som byter arbetsuppgifter hos samma arbetsgivare, när den arbetssökandes arbetsuppgifter förutsätter särskild tillförlitlighet och är förenade med en möjlighet att eftersträva olaglig ekonomisk vinning.
Arbetsgivarens rätt att använda den arbetssökandes kreditupplysningar begränsas till uppgifter
- som inbegriper beslutanderätt eller självständig prövningsrätt att ingå betydande ekonomiska åtaganden
- i vilka arbetstagarens uppgift är att bevilja och utöva tillsyn över ekonomiskt betydande krediter
- för vars skötsel arbetsgivaren beviljar åtkomst till arbetsgivarens eller kundens skyddade företags- och yrkeshemligheter
- vars skötsel kräver sådan rätt att använda informationssystem som medger överföring av tillgångar som tillhör arbetsgivaren eller dennas kund eller ändring av uppgifter om tillgångarna
- som väsentligen går ut på att utan direkt tillsyn hantera penningbelopp, värdepapper eller värdeföremål som till sitt värde är betydande
- som gäller bevakning av egendom som tillhör arbetsgivaren eller dennas kund
- som till sin natur i regel inbegriper oövervakat arbete i privathem.
Om arbetsgivaren själv skaffar kreditupplysningarna, ska arbetsgivaren informera arbetstagaren om vilket register uppgifterna har inhämtats ur. Arbetsgivaren svarar alltid för kostnaderna för att skaffa fram kreditupplysningar. Företag som lämnar ut personkreditupplysningar kan lämna ut arbetstagarens kreditupplysningar till arbetsgivaren endast på de grunder som avses i lagen.