10.12.2020 -

Koronavirus ja työelämän tietosuoja – mitä on otettava huomioon työntekijöiden terveydentilatietoja käsitellessä?

Anna Huusko

Asiantuntija, Työmarkkinat

, ,

Vuosi 2020 on ollut useimmille työnantajille täysin poikkeuksellinen. Useilla toimialoilla on ollut välttämätöntä sopeuttaa toimintaa, muuttaa työskentelytapoja, siirtyä etätöihin ja yrittää luovia muuttuvan lainsäädännön ja suositusten ristiaallokossa.

Syksyllä psykoterapiayritykseen kohdistunut tietomurto nosti myös tietosuoja- ja tietoturva-asiat suurennuslasin alle. Monissa organisaatioissa heräsi kysymys, että onhan tietosuojasta ja tietoturvasta huolehdittu riittävästi omassa organisaatiossa. Aiheen merkitys on korostunut koronavirustilanteen myötä, sillä koronavirustilanne on lisännyt väkisinkin työnantajaorganisaatioissa erilaista koronavirukseen liittyvää henkilötietojen ja erityisesti terveydentilatietojen käsittelyä.

Tähän kirjoitukseen on koottu pähkinänkuoreen asioita, joita työnantajan tulisi ottaa huomioon käsitellessään koronavirukseen liittyviä työntekijöidensä terveydentilatietoja.

1. Kartoita, mitä terveydentilatietoja työntekijöistä käsitellään ja mikä on tietojen käsittelyperuste

On tärkeää ymmärtää, milloin työpaikalla ollaan tekemisissä terveydentilatietojen kanssa, sillä terveydentilatietojen käsittelyyn sisältyy erityisiä vaatimuksia, joista on säädetty työelämän tietosuojalaissa.

Terveydentilatiedoilla tarkoitetaan henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, kuten diagnoositietoja tai tietoja annetuista hoidoista. Tieto siitä, että henkilö on saanut koronavirustartunnan on terveydentilatieto, sillä kyseessä on henkilön lääketieteellinen diagnoosi. Terveydentilatietoa on myös tieto siitä, että henkilö on sairaalahoidossa. Sen sijaan tieto siitä, että henkilö on karanteenissa, ei yksinään ole terveydentilatieto, jollei samassa yhteydessä kerrota jotakin henkilön terveydentilasta.

Kartoitettaessa terveydentilatietojen laillista käsittelyperustetta on lähdettävä liikkeelle työnantajan lakisääteisistä ja sopimusperusteisista velvollisuuksista. Koska työnantaja on useimmiten velvollinen lain tai työehtosopimuksen nojalla maksamaan sairausajalta palkan, on työnantajalla vastaavasti oikeus käsitellä työntekijän terveydentilatietoja sairausajan palkan maksamista koskevissa tarkoituksissa sekä selvittäessään työntekijän poissaolon luvallisuutta. Voidakseen arvioida, onko työntekijän poissaolon taustalla sairausajan palkanmaksuun oikeuttava sairaus, on työnantajan välttämätöntä käsitellä lääkärintodistuksen diagnoositietoja.

Työnantaja on lisäksi lain nojalla velvollinen huolehtimaan työntekijöidensä työturvallisuudesta ja ottamaan huomioon työntekijän terveydelliset rajoitteet teettäessään työtä. Näin ollen työnantajalla voi olla tarve käsitellä työntekijän terveydentilatietoja koronavirustilanteessa arvioidakseen, onko työntekijän turvallista suorittaa työtehtäviään esimerkiksi silloin, kun työntekijä kuuluu koronavirustaudin riskiryhmään jonkin perussairautensa vuoksi. Riskiryhmään kuuluvien henkilöiden osalta työnantajan voi olla tarpeen järjestellä työtehtäviä uudelleen organisaation sisällä, jotta työtä voidaan tehdä turvallisesti.

Terveydentilatietojen käsittelyssä on tärkeää muistaa myös tarpeellisuusvaatimus – työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen.

Kartoita huolellisesti, mitä terveydentilatietoja työntekijöistä kerätään, ja onko tietojen käsittelylle jokin lakiin, sopimukseen tai muihin työnantajavelvoitteisiin liittyvä käsittelyperuste. Käsittely voi perustua myös työnantajan oikeutettuun etuun, joka usein tarkoittaa työoikeudellisessa kontekstissa sitä, että työnantaja säilyttää henkilötietoja kanneajan verran voidakseen varautua mahdollisiin myöhemmin esitettäviin oikeusvaateisiin. Tällainen tilanne voi tulla kyseeseen esimerkiksi silloin, jos osapuolilla on erimielisyyttä sairausajan palkanmaksuvelvollisuudesta.

Terveydentilatietojen käsittelyssä on tärkeää muistaa myös tarpeellisuusvaatimus – työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen. Tietojen keräämisessä tulisi  myös pyrkiä tiedon minimointiin, ja kerätä vain tarpeelliset ja välttämättömät tiedot.

2. Määrittele, kenen tai keiden tehtäviin terveydentilatietojen käsittely kuuluu

Terveydentilaa koskevia tietoja saavat käsitellä vain ne henkilöt, jotka näiden tietojen perusteella valmistelevat tai tekevät työsuhdetta koskevia päätöksiä taikka panevat niitä toimeen. Työnantajan on nimettävä nämä henkilöt tai määriteltävä tehtävät, joihin sisältyy terveydentilaa koskevien tietojen käsittelyä. Tyypillisesti tällaisia tahoja työnantajaorganisaatiossa ovat työntekijän esimies, henkilöstöhallinnon edustaja ja palkanlaskija. Terveydentilatietoja käsittelevät henkilöt eivät saa ilmaista näitä tietoja sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.

3. Muista oikeaoppinen viestintä

Koska terveydentilatietoja käsittelevät henkilöt ovat vaitiolovelvollisia saamistaan tiedoista, ei terveydentilatietoja ole luvallista jakaa organisaation sisällä esimerkiksi muille työntekijöille. Jos joku työntekijä sairastuu koronavirukseen, voi työnantaja yleisellä tasolla kertoa mahdollisesta altistumisesta nimeämättä sairastunutta työntekijää. Tällöin työnantaja voi ohjata työntekijät etätöihin, jos tämä on mahdollista.

Työnantaja voi olla velvollinen järjestelemään tehtäviä uudelleen taatakseen riskiryhmään kuuluvien työntekijöidensä turvallisen työskentelyn. Jos työntekijä kuuluu koronavirustaudin riskiryhmään esimerkiksi jonkin perussairautensa perusteella, ja töitä on tarpeen tämän vuoksi järjestellä uudelleen, on työnantajan pyrittävä töitä järjestellessään neutraaliin viestintään siten, ettei yksittäisten työntekijöiden terveydentilatietoja paljasteta muille työntekijöille.

Sairastumistapauksissa tai työntekijän kuuluessa riskiryhmään työnantaja voi kertoa asiakkaalle ainoastaan sen, että työntekijä on estynyt hoitamasta työtehtäviään.

Työnantaja ei ole myöskään oikeutettu kertomaan henkilöstönsä terveydentilatietoja organisaation ulkopuolelle, esimerkiksi asiakkaille. Sen sijaan työnantaja voi viestiä koronavirukseen liittyvistä asioista anonyymillä tasolla siten, että henkilön tai henkilöiden tunnistaminen annetuista tiedoista on peruuttamattomasti estynyt. Sairastumistapauksissa tai työntekijän kuuluessa riskiryhmään työnantaja voi kertoa asiakkaalle ainoastaan sen, että työntekijä on estynyt hoitamasta työtehtäviään.

Koronavirukseen sairastunut työntekijä voi halutessaan itse kertoa tartunnastaan muille organisaation sisäisille tai ulkopuolisille henkilöille.

4. Dokumentoi tietojenkäsittelyprosessit

Tietosuoja-asetus asettaa erityisen velvollisuuden osoittaa, että rekisterinpitäjä noudattaa tietosuoja-asetuksen määräyksiä. Tämä osoitusvelvollisuus tarkoittaa käytännössä sitä, että työnantajan on syytä suunnitella tietojenkäsittelyprosessinsa huolellisesti, ja myös dokumentoida prosessit, jotta tarvittaessa pystytään näyttämään että toiminnassa on huomioitu tietosuoja-asetuksen asettamat velvoitteet.

5. Määrittele tietojen säilytysaika ja poistoprosessi

Työnantaja saa säilyttää työntekijöidensä henkilötietoja vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten. Terveydentilatietojen osalta työnantajalle on asetettu erityinen velvollisuus tarkastella käsittelyn perustetta ja tarpeellisuutta viiden vuoden välein.

Työnantaja saa säilyttää työntekijöidensä henkilötietoja vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten.

Osoitusvelvollisuuden toteuttamiseksi rekisterinpitäjällä on myös velvollisuus dokumentoida määrittelemänsä säilytysajat.

Tietosuojaa koskevasta lainsäädännöstä ei ole suoraan johdettavissa työntekijöiden terveydentilatietojen säilytysaikoja, vaan säilytysaikaperuste on löydettävissä muualta lainsäädännöstä. Keskeisimmät säilytysaikoja ohjaavat periaatteet perustuvat vanhentumisaikoihin – työsopimuslain mukaan työsuhteen aikana palkkasaatavat vanhenevat viidessä vuodessa ja työsuhteen päättymisen jälkeen pääsääntöisesti kahdessa vuodessa. Työturvallisuuslain rikkomisesta tai työturvallisuusvelvollisuuden laiminlyönnistä johtuva syyteoikeus vanhenee kahdessa vuodessa rikoksen tekemisestä, tai laiminlyöntitapauksissa siitä, kun laiminlyöty teko olisi viimeistään pitänyt tehdä.

Joissakin tapauksissa työnantaja voi tarvita terveydentilatietoja myös irtisanomisperusteen toteennäyttämiseksi, jos työntekijän työkyky on alentunut pitkäaikaisesti ja olennaisesti. Jos työsuhde päätetään työkyvyn pitkäaikaisen ja olennaisen alentumisen perusteella, voi työnantajan olla syytä säilyttää työsuhteen päättämiseen liittyvä perusteaineisto kahden vuoden kanneajan verran työsuhteen päättymisen jälkeen. Tällaisessa tapauksessa käsittelyperuste perustuisi työnantajan oikeutettuun etuun, jotta työnantaja pystyy varautumaan häntä vastaan esitettyyn oikeusvaateeseen.

6. Huolehdi riittävästä tietoturvan tasosta

Sähköisessä tiedonkäsittelyssä on tärkeää varmistua siitä, että tietoturva on hoidettu asianmukaisesti kaikessa henkilötietojen käsittelyssä, mutta erityisesti käsiteltäessä terveydentilatietoja. Käytä aina salattua sähköpostia lähettäessäsi esimerkiksi lääkärintodistusta. Älä tallenna terveydentilatietoja työntekijän muiden henkilötietojen yhteyteen esimerkiksi yhteiseen HR-järjestelmään, vaan säilytä tiedot erillään muista työntekijän henkilötiedoista. Muista rajata pääsyoikeudet tietoihin vain niille, joiden tehtäviin tietojenkäsittely kuuluu. Älä käsittele terveydentilatietoja avokonttorissa ilman tietokoneen näkösuojausta. Etätyössä muista käyttää suojattua VPN-yhteyttä. Varmista, että organisaatiossa on huolehdittu virustorjunnasta, ja että järjestelmien tietoturva on riittävällä tasolla. Älä koskaan käytä samaa salasanaa useaan eri paikkaan, ja vaihda salasana säännöllisin väliajoin.

Käsiteltäessä manuaalista aineistoa, kuten fyysisiä papereita, säilytä tiedot huolellisesti sellaisessa lukitussa paikassa, jonne pääsevät ainoastaan sellaiset henkilöt, joiden tehtäviin tietojen käsittely kuuluu.

Huolehdi myös siitä, että henkilöstösi on tietoinen organisaation tietoturvakäytännöistä, ja että käytäntöjä noudatetaan.

Anna Huusko

Asiantuntija, Työmarkkinat

Vartiointiala, asiakaspalvelu- ja telemarkkinointiala, golf-ala

anna.huusko@palta.fi

Pysy ajan tasalla palvelualoja ja työmarkkinoita koskevista aiheista, seuraa meitä sosiaalisen median kanavissamme TwitterissäLinkedInissä ja Instagramissa sekä liity uutiskirjeemme tilaajaksi.

Tältä kirjoittajalta myös