TyVM 12/2018 vp HE 97/2018 vp

Esityksessä ehdotetaan yksityisyyden suojasta työelämässä annettua lakia muutettavaksi. Lakiin tehtäisiin Euroopan unionin yleisestä tietosuoja-asetuksesta, henkilötietolain kumoamisesta ja rikoslain muutoksesta johtuvat muutokset. Lisäksi yksityisyyden suojasta työelämässä annettuun lakiin ehdotetaan eräitä muita muutoksia.

Esityksessä ehdotetaan myös rikoslain muutoksesta johtuvaa tarkistusta lasten kanssa työskentelevien rikostaustan selvittämisestä annettuun lakiin.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Euroopan parlamentti ja neuvosto antoivat keväällä 2016 Euroopan unionin tietosuojapaketin, johon kuuluvat luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680. Tietosuoja-asetuksella kumottiin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (jäljempänä henkilötietodirektiivi), joka on Suomessa pantu täytäntöön henkilötietolailla (523/1999). Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018.

Tietosuoja-asetus on jäsenmaissa suoraan sovellettavaa ja velvoittavaa lainsäädäntöä. Vaikka tietosuoja-asetus on kansallisesti suoraan sovellettava säädös, se ei kaikilta osin harmonisoi EU:n jäsenvaltioiden henkilötietojen suojaa koskevaa lainsäädäntöä, vaan jättää jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Tietosuoja-asetus sisältää kansallista liikkumavaraa myös työsuhteessa tapahtuvan henkilötietojen käsittelyn osalta.

Tietosuoja-asetuksen vuoksi on ollut tarpeen selvittää työ- ja elinkeinoministeriön toimialan henkilötietojen käsittelyä työelämässä koskevan lainsäädännön kansallisen liikkumavaran mukaisuus ja tietosuoja-asetuksesta johtuvat muutostarpeet.

Hallitus on antanut eduskunnalle esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi 1.3.2018 (HE 9/2018 vp, jäljempänä tietosuojalakiesitys). Esityksessä ehdotetulla tietosuojalailla on keskeinen merkitys myös työelämässä tapahtuvan henkilötietojen käsittelyn kannalta.

Laki yksityisyyden suojasta työelämässä

Yksityisyyden suojasta työelämässä annettu laki (759/2004) tuli voimaan 1 päivänä lokakuuta 2004. Lailla kumottiin aiempi yksityisyyden suojasta työelämässä annettu laki (477/2001). Lain tarkoituksena on vastata yksityiselämän suojaa koskeviin kysymyksiin nimenomaan työelämän alueella. Sitä sovelletaan työsuhteisiin ja virkasuhteisiin sekä soveltuvin osin työnhakijoihin ja virkaa hakeviin. Laissa säädetään työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta.

Yksityisyyden suojasta työelämässä annetun lain säännökset ovat erityislakina syrjäyttäneet henkilötietolain säännökset, joita muutoin on ollut sovellettava myös työelämässä.

Yksityisyyden suojasta työelämässä annetun lain säännösten taustalla ei ole pelkästään työntekijän henkilötietojen suojaamisen intressi. Lain esitöissä (HE 75/2000 vp ja 162/2003 vp) on arvioitu säännösten suhdetta perustuslaissa (731/1999) turvattuihin perusoikeuksiin ja perusoikeuksien rajoittamisedellytyksiä. Lain esitöiden mukaan työelämän tietosuojalainsäädännössä joudutaan sovittamaan yhteen useita perusoikeuksia, jotka koskevat toisaalta työntekijän yksityisyyden suojaa ja toisaalta yksilön oikeuksia solmia vapaasti sopimuksia ja jossain määrin myös muiden perusoikeuksia. Yksityisyyden suojasta työelämässä annetun lain säännöksillä on tarkoitus turvata perusoikeudet työelämässä samalla, kun otetaan huomioon erityisesti työnantajien ja työntekijöiden välisessä suhteessa esiintyvät erityistarpeet, joita ei ole voitu ottaa huomioon yleislaissa eli henkilötietolaissa. Säännöksissä on sovitettu yhteen toisaalta työntekijöiden yksityisyyden suojaa ja toisaalta julkisen vallan ja työnantajien etuja.

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu, ja henkilötietojen suojasta säädetään tarkemmin lailla. Pykälän 2 momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Perustuslain 10 §:n ohella työelämän tietosuojalainsäädännön kannalta merkityksellisiä perusoikeuksia ovat erityisesti yhdenvertaisuus (6 §), oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen (7 §), sananvapaus (12 §), omaisuuden suoja (15 §) ja oikeus työhön (18 §). Yksityisyyden suojasta työelämässä annetulla lailla täsmennetään perusoikeuksien sisältöä työelämässä.

Henkilötietolaki

Henkilötietojen käsittelyä koskevan voimassa olevan yleislain eli henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolaki on ehdotettu kumottavaksi tietosuoja-asetuksen vuoksi (HE 9/2018 vp). Jatkossa sen sijasta sovellettaisiin tietosuoja-asetusta ja tietosuojalakia.

Muu työelämän tietosuojaan liittyvä lainsäädäntö

Työ- ja elinkeinoministeriön toimialan työlainsäädäntö sisältää vain vähän henkilötietojen käsittelyä koskevia säännöksiä. Työlainsäädäntö sisältää lakisääteisiä velvoitteita, joiden suorittaminen edellyttää työntekijän henkilötietojen käsittelyä.

Työelämän henkilötietojen käsittelyä koskeva sääntely kuuluu osittain sosiaali- ja terveysministeriön, liikenne- ja viestintäministeriön, oikeusministeriön, opetus- ja kulttuuriministeriön sekä valtiovarainministeriön toimialoille.

Tietoa esimerkiksi työterveyttä, työsuojelua, turvallisuusselvityksiä tai luottotietoja koskevan sääntelyn tietosuoja-asetuksesta johtuvista mahdollisista muutostarpeista ei ole ollut käytettävissä hallituksen esitystä valmisteltaessa. Valtion virkamieslakiin (750/1994) tai kunnallisesta viranhaltijasta annettuun lakiin (304/2003) ei ole valmisteilla tietosuoja-asetuksesta johtuvia muutoksia. Lakiin sähköisen viestinnän palveluista (917/2014) on esitetty tietosuoja-asetuksen edellyttämiä muutoksia hallituksen esityksessä eduskunnalle laiksi tietoyhteiskuntakaaren muuttamisesta (HE 44/2018 vp).

Tietosuoja-asetus

Tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Asetuksen johdanto-osan kappaleen 4 mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin.

Asetuksen tavoitteet ja periaatteet vastaavat pitkälti henkilötietodirektiivin tavoitteita ja periaatteita. Tietosuoja-asetus säädettiin varmistamaan luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estämään henkilötietojen vapaata liikkuvuutta sisämarkkinoilla haitanneet eroavuudet henkilötietodirektiivin soveltamisessa.

Tietosuoja-asetuksen lähestymistapa on riskiperusteinen, jolloin henkilötietojen suojan painopiste on tilanteissa, jotka todennäköisimmin muodostavat uhkan henkilöiden yksityisyydelle.

Tietosuoja-asetus on suoraan sovellettavaa oikeutta, mutta siinä sallitaan kuitenkin useiden säännösten osalta kansallisia täydentäviä säännöksiä, eli se sisältää direktiivinluonteista kansallista liikkumavaraa. Tietosuoja-asetuksen kansallinen liikkumavara mahdollistaa kansallisen asetuksen säännöksiä täsmentävän lainsäädännön. Lisäksi kansallisella lainsäädännöllä on joissain tilanteissa mahdollista poiketa tietosuoja-asetuksen velvoitteista. Kansallisella liikkumavaralla tarkoitetaan, että asetusta täsmentävä kansallinen lainsäädäntö on mahdollista ainoastaan niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan. Kansallisen henkilötietojen käsittelyä koskevan lainsäädännön liikkumavaranmukaisuuden lisäksi lainsäätäjän on varmistettava myös se, ettei kansallinen sääntely ole muiltakaan osin ristiriidassa tietosuoja-asetuksen kanssa. Kansallinen liikkumavara pohjautuu tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtaan sekä erityisiin henkilötietoryhmiin kuuluvien tietojen osalta 9 artiklan 2 kohdan b, g, h, i ja j alakohtaan. Asetus sisältää myös useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta. Poikkeamismahdollisuus liittyy keskeisesti 23 artiklan (rajoitukset) ja IX luvun (tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset) soveltamiseen.

Tietosuoja-asetuksen kohde, tavoitteet ja soveltamisala sekä asetuksessa käytettävät käsitteet määritellään asetuksen I luvussa. Asetuksen 2 artiklan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

Tietosuoja-asetuksen keskeisten käsitteiden (henkilötieto, käsittely, rekisteri, rekisterinpitäjä, henkilötietojen käsittelijä, vastaanottaja) määritelmät (4 artikla) vastaavat pitkälti henkilötietodirektiiviä. Henkilötiedon määritelmässä tarkennetaan, että myös sijaintitieto ja verkkotunnistetieto ovat henkilötietoja. Asetuksessa on myös useita uusia määritelmiä (esimerkiksi pseudonymisoiminen, henkilötietojen tietoturvaloukkaus, geneettinen tieto, biometrinen tieto, päätoimipaikka, edustaja, yritys ja konserni).

Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, joita ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Rekisterinpitäjän on pystyttävä osoittamaan noudattaneensa näitä periaatteita henkilötietojen käsittelyssä (osoitusvelvollisuus).

Tietosuoja-asetuksen 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta. Artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Luettelossa mainitut edellytykset vastaavat suurelta osin henkilötietolain 8 §:n 1 momentissa säädettyjä perusteita henkilötietojen käsittelylle. Suostumuksen edellytyksistä säädetään 7 artiklassa.

Tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Erityisten henkilötietoryhmien käsite käy ilmi 9 artiklan 1 kohdasta, jossa säädetään seuraavasti: ”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.”

Tietosuoja-asetuksen 9 artiklassa mainitut erityiset henkilötietoryhmät vastaavat pitkälti henkilötietolain 11 §:ssä lueteltuja arkaluonteisia tietoja. Määritelmät eroavat toisistaan erityisesti siinä, että henkilötietolain mukaan arkaluonteisia tietoja ovat myös rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot.

Poikkeuksista käsittelykieltoon säädetään asetuksen 9 artiklan 2 kohdassa. Osa poikkeuksista on suoraan sovellettavia, ja osa edellyttää kansallista lainsäädäntöä. Erityisten henkilötietoryhmien käsittelykieltoa ei sovelleta muun muassa, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista (2 kohdan b alakohta). Erityisiä henkilötietoryhmiä koskevan 9 artiklan 4 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

Tietosuoja-asetuksen 10 artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia koskevassa luvussa on säännökset muun muassa:

rekisteröidyn informoinnista (12—14 artikla),

rekisteröidyn oikeudesta saada pääsy tietoihin (15 artikla),

oikeudesta tietojen oikaisemiseen (16 artikla),

oikeudesta tietojen poistamiseen (17 artikla),

oikeudesta käsittelyn rajoittamiseen (18 artikla),

oikeudesta siirtää tiedot järjestelmästä toiseen (artikla 20),

vastustamisoikeudesta (21 artikla), sekä

automatisoiduista yksittäispäätöksistä (22 artikla).

Tietosuoja-asetuksen IV luvussa säädetään muun muassa rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.

Tietosuoja-asetuksen V luku koskee henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille, VI luku valvontaviranomaisia, VII luku valvontaviranomaisten yhteistyötä ja yhdenmukaisuusmekanismia ja VIII luku oikeussuojakeinoja, vastuita ja seuraamuksia.

Hallinnollisten sakkojen määräämisen yleisistä edellytyksistä säädetään tietosuoja-asetuksen 83 artiklassa, jonka mukaan jokaisen valvontaviranomaisen on varmistettava, että asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdassa lueteltujen tietosuojaviranomaisen käytettävissä olevien muiden toimenpiteiden lisäksi tai niiden sijasta.

Tietosuoja-asetuksen IX luvussa on säädetty erityisistä käsittelytilanteista ja niitä koskevasta kansallisesta liikkumavarasta. Luvun 88 artiklassa säädetään käsittelystä työsuhteen yhteydessä. Artiklan 1 kohdan mukaan jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten. Artiklan 2 kohdan mukaan näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin.

Tietosuoja-asetuksen johdanto-osan kappaleen 155 mukaan jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.

Tietosuojalaki

Tietosuojalakiesityksessä ehdotetaan säädettäväksi tietosuojalaki. Samalla kumottaisiin henkilötietolaki sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994).

Tietosuojalaki olisi henkilötietojen käsittelyyn sovellettava yleislaki. Tietosuoja-asetusta täydentävänä ja täsmentävänä se ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin rinnakkain asetuksen kanssa. Tietosuojalain sääntelystä voitaisiin erityislainsäädännössä poiketa, jos poikkeaminen olisi mahdollista tietosuoja-asetuksessa kansalliselle lainsäätäjälle annetun harkintamarginaalin puitteissa.

Tietosuojalaissa säädettäisiin lainvalinnasta, henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista. Tietosuojalain 6 §:ssä säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen, kuten ammattiliittoon kuulumista koskevien tietojen, käsittelystä. Tietosuojalain 7 §:ssä säädettäisiin tietosuoja-asetuksen 10 artiklassa tarkoitettujen rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä.

Esityksessä ehdotetaan lisäksi muutoksia rikoslakiin (39/1889) sekä sakon täytäntöönpanosta annettuun lakiin (672/2002). Ehdotetut lait oli tarkoitettu tulemaan voimaan 25 päivänä toukokuuta 2018.

Laki yksityisyyden suojasta työelämässä

Yksityisyyden suojasta työelämässä annettua lakia on tarkasteltava suhteessa tietosuoja-asetuksen sisältämään kansalliseen liikkumavaraan. Tietosuoja-asetuksen 88 artiklan johdosta työsuhteessa tapahtuvan henkilötietojen käsittelyn osalta kansallista liikkumavaraa on merkittävästi enemmän kuin muiden käsittelytilanteiden osalta. Artiklassa on otettu huomioon se, että työsuhteessa tapahtuva henkilötietojen käsittely voi kansallisesti edellyttää erityisiä säännöksiä, jotta työntekijän oikeudet ja vapaudet henkilötietojen käsittelyssä voidaan turvata ja yhteen sovittaa työnantajan ja muiden tahojen oikeuksien kanssa. Artiklaan sisältyvän kansallisen liikkumavaran puitteissa voidaan täydentää ja täsmentää tietosuoja-asetuksen säännöksiä työelämän tilanteisiin ja tarpeisiin soveltuviksi. Liikkumavaran nojalla on mahdollista määritellä tarkemmin ne edellytykset, joiden täyttyessä työntekijän henkilötietojen käsittely on laillista.

Tietosuoja-asetuksen 88 artiklaa ja sitä koskevaa johdanto-osan kappaletta 155 voidaan tulkita siten, että kansallisia erityissäännöksiä voidaan sen nojalla antaa riippumatta siitä, mihin oikeusperusteeseen henkilötietojen käsittely perustuu. Yksiselitteistä tulkintaa siitä, missä määrin tietosuoja-asetuksen 88 artikla oikeuttaa korottamaan rekisteröidyn suojaa verrattuna asetukseen ja miltä osin säännökset voivat olla tiukempia kuin asetuksen säännökset, ei ole.

Työelämässä suoritettavaa henkilötietojen käsittelyä koskevaa kansallista liikkumavaraa on erityisesti myös tietosuoja-asetuksen 9 artiklassa. Tietosuoja-asetuksen johdanto-osan kappaleessa 52 todetaan työlainsäädännön olevan yleistä etua koskeva syy, joka oikeuttaa kansallisesti poikkeamaan henkilötietojen erityisryhmien käsittelykiellosta. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevien kansallisten erityissäännösten on täytettävä tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyt edellytykset. Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelyä koskevien kansallisten säännösten on täytettävä tietosuoja-asetuksen 10 artiklassa säädetyt edellytykset.

Henkilötietolain korvaavat tietosuoja-asetus ja ehdotettu tietosuojalaki. Yksityisyyden suojasta työelämässä annetussa laissa ei erikseen säädetä henkilötietojen käsittelyä koskevista käsitteistä ja määritelmistä, vaan laki on rakentunut henkilötietolain käsitteiden ja periaatteiden varaan. Laissa ei ole juurikaan muutostarpeita sen vuoksi, että se sisältäisi tietosuoja-asetuksen kanssa päällekkäisiä käsittelysäännöksiä tai määritelmiä.

Tietosuoja-asetuksen määritelmät, periaatteet, rekisteröidyn oikeudet ja rekisterinpitäjän velvoitteet vastaavat monilta osin henkilötietolakia, joten yksityisyyden suojasta työelämässä annettuun lakiin ei tämänkään vuoksi ole suuria muutostarpeita. Tietosuoja-asetuksessa on kuitenkin myös uusia määritelmiä, periaatteita, rekisteröidyn oikeuksia ja rekisterinpitäjän velvoitteita, jotka muuttavat oikeustilaa. Siltä osin, kuin kansallisessa lainsäädännössä ei ole säännöksiä työntekijän henkilötietojen käsittelystä, on noudatettava tietosuoja-asetusta.

Tietosuoja-asetus on huomattavasti yksityiskohtaisempi kuin henkilötietolaki. Sen osalta voidaan kuitenkin esittää samat huomiot kuin henkilötietolain osalta, eli henkilötietojen käsittelyn edellytykset ovat monilta osin liian yleisiä työelämän tarpeisiin nähden. Yksityisyyden suojasta työelämässä annetussa laissa on huomioitu sellaisia erityisesti työsuhteessa tapahtuvaan käsittelyyn liittyviä tilanteita, jotka ovat erityisiä verrattuna muuhun henkilötietojen käsittelyyn.

Monilta osin yksityisyyden suojasta työelämässä annetussa laissa otetaan kantaa tietyn toimenpiteen sallittavuuden edellytyksiin. Henkilötietojen käsittely on seurausta näistä toimenpiteistä, kuten huumausainetestistä. Yksityisyyden suojasta työelämässä annetussa laissa on siten säännöksiä, joiden tarpeellisuus perustuu myös muihin perusteisiin kuin työntekijän henkilötietojen suojaamiseen.

Yksi Suomen prioriteeteista tietosuoja-asetuksen neuvotteluissa oli saada asetukseen kirjaukset, jotka mahdollistavat yksityisyyden suojasta työelämässä annetun lain sääntelyn säilyttämisen. Suomi saavutti neuvotteluissa keskeiset tavoitteensa työelämän tietosuojaa koskevan sääntelyn osalta. Hallintovaliokunta kiinnitti tietosuoja-asetuksen valmisteluvaiheessa antamissaan lausunnoissa huomiota siihen, miten Suomen työelämän tietosuojasääntely istuu ehdotettuun kokonaisuuteen ja miten työelämän erityispiirteet tulevat asetusehdotuksessa huomioon otetuiksi (HaVL 22/2014 vp, HaVL 30/2014 vp, HaVL 2/2015 vp). Valiokunta piti erittäin tärkeänä, että työelämän erityissääntely on tunnustettu asetuksen IX luvussa (HaVL 25/2015 vp).

Yksityisyyden suojasta työelämässä annettu laki voidaan tietosuoja-asetuksen 9 ja 88 artiklan liikkumavaran nojalla pitää pääosin sellaisenaan voimassa muutamia yksityiskohtia lukuun ottamatta. Työelämään liittyy erityisiä tilanteita, jotka poikkeavat muusta tietojen käsittelystä. Tietosuoja-asetuksen 88 artiklassa on lueteltu tiettyjä tarkoituksia, joita varten säännöksiä voidaan kansallisesti antaa. Lista ei ole tyhjentävä, mutta sen voidaan katsoa kattavan työelämän yksityisyyden suojaa koskevan kansallisen sääntelyn.

Tietosuoja-asetuksen 88 artiklan 2 kohdassa tarkoitettuina asianmukaisina ja erityisinä toimenpiteinä voidaan pitää ainakin yksityisyyden suojasta työelämässä annetun lain 4 §:n 1 ja 2 momentin säännöksiä työntekijän henkilötietojen keräämisen yleisistä edellytyksistä ja työnantajan tiedonantovelvollisuudesta, 9 §:ssä säädettyä työnantajan tiedonantovelvollisuutta huumausainetestiä koskevasta todistuksesta, 13 §:n 2 momentissa säädettyä velvollisuutta antaa työntekijälle maksutta henkilö- tai soveltuvuusarvioinnissa annettu kirjallinen lausunto, 16 §:n säännöksiä kameravalvonnan edellytyksistä, 17 §:n säännöksiä kameravalvonnan avoimuudesta ja tallenteiden hävittämisvelvollisuudesta sekä osaltaan myös sähköpostiviestien hakemista ja avaamista koskevien 18-20 §:ien sisältämiä säännöksiä menettelytavoista, joita on noudatettava, selvityksen laatimisesta, työntekijän informoinnista sekä vaitiolovelvollisuudesta. Laki sisältää 9 artiklan 2 kohdan b alakohdassa edellytetyt säännökset työntekijän terveydentilatietojen käsittelyn osalta. Terveydentilatietojen käsittelyä koskevan 5 §:n 2 ja 4 momentissa säädettyjen velvollisuuksien voidaan katsoa olevan myös 88 artiklan 2 kohdassa tarkoitettuja suojatoimia.

Yksityisyyden suojasta työelämässä annetun lain tietosuoja-asetuksesta johtuvat muutostarpeet ovat pääosin teknisluonteisia viittaussäännösten muutoksia ja liittyvät lain yksityiskohtiin sekä osin henkilötietolain kumoamiseen ja rikoslain muutokseen. Henkilötietolain kumoamisen johdosta olisi perusteltua lisätä työntekijän terveydentilatietojen käsittelyä koskevaan 5 §:ään tietojen poistamista ja käsittelyperusteen ja -tarpeen säännöllistä arviointia koskevat henkilötietolain 12 §:n 2 momenttia vastaavat säännökset. Tietosuoja-asetuksen voidaan katsoa edellyttävän voimassa olevan lain 16 §:n 2 momentin 3 kohdan muuttamista siten, että työntekijä voisi asetuksen 7 artiklassa edellytetyllä tavalla peruuttaa suostumuksensa tiettyyn työpisteeseen kohdistuvaan kameravalvontaan. Myös lain 22 §:n täsmentämisen katsotaan olevan tietosuoja-asetuksen vuoksi tarpeen, jotta olisi selvää, ettei työsuojeluviranomaisten toimivalta ulotu tietosuoja-asetuksen säännösten valvomiseen. Lain 24 §:n rangaistussäännöksen muuttamisen katsotaan olevan tarpeen tietosuoja-asetuksesta johtuvan seuraamusjärjestelmän muutoksen sekä kaksoisrangaistavuuden kiellon huomioon ottamiseksi. Lakiin ei ole olennaisia tietosuoja-asetuksesta johtuvia sisällöllisiä muutostarpeita. Lisäksi yksityisyyden suojasta työelämässä annetun lain 2 ja 4 §:ää on tarvetta täsmentää vastaamaan voimassa olevaa lainsäädäntöä.

Yksityisyyden suojasta työelämässä annetussa laissa säädetään tietyistä työelämän henkilötietojen käsittelytilanteista. Voimassa olevassa henkilötietolaissa on työelämän henkilötietojen käsittelyn kannalta keskeisiä säännöksiä. Henkilötietolain 12 §:ssä säädetään poikkeuksista arkaluonteisten tietojen käsittelykieltoon. Työelämän henkilötietojen käsittelyn kannalta keskeisiä ovat poikkeukset koskien käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä (1 momentin 5 kohta) sekä ammattiliittoon kuulumista koskevien tietojen käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla (1 momentin 9 kohta). Lisäksi henkilötietolaissa säädetään erityisestä tilastointia koskevasta käsittelyperusteesta (15 §), jolla on merkitystä nykyisen palkkatilastointiyhteistyön kannalta.

Tietosuojalakiesityksessä ehdotetaan, että nykyisin henkilötietolain 12 §:n 1 momentin 5 ja 9 kohdan sekä 15 §:n nojalla tapahtuva käsittely olisi jatkossa mahdollista tietosuojalain nojalla. Näiltä osin henkilötietolain mukaisen oikeustilan säilyttäminen tietosuojalaissa on työelämän henkilötietojen käsittelyn kokonaisuuden kannalta tärkeää.

Yksityisyyden suojasta työelämässä annetussa laissa ei ole lainvalintaa koskevaa sääntelyä. Tietosuojalakiesityksessä ehdotetaan lain 3 §:n 1 momentissa säädettäväksi, että henkilötietojen käsittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, sovelletaan Suomen lakia, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa. Lainvalintasääntely soveltuisi pykälän perustelujen mukaan tilanteeseen, jolla on liittymiä kahteen tai useampaan jäsenvaltioon. Näin on esimerkiksi silloin, kun rekisterinpitäjä on sijoittunut yhden jäsenvaltion alueelle ja rekisteröidyt, joiden henkilötietoja käsitellään, asuvat toisessa jäsenvaltiossa. Lainvalintasääntelyllä olisi tietosuojalakiesityksen mukaan käytännössä merkitystä ainoastaan siltä osin, kuin on kyse tietosuoja-asetusta täydentävästä, jäsenvaltion harkintamarginaalin puitteissa annetusta lainsäädännöstä. Yksityisyyden suojasta työelämässä annetussa laissa ei siten olisi tarpeen erikseen säätää lainvalinnasta.

Henkilötietolain 8 §:n 1 momentin 6 kohdassa säädetään konserneja koskevasta käsittelyperusteesta, jonka mukaan henkilötietoja saa käsitellä, jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä. Tietosuoja-asetukseen ei konsernien sisäisen käsittelyn osalta sisälly yhtä tarkkarajaista käsittelyn oikeusperustetta. Asetuksen johdanto-osan kappaleen 48 mukaan rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Johdanto-osan kappaleen 37 mukaan yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.

Tietosuojalakiesityksen mukaan henkilötietojen käsittelyn oikeusperuste konsernin sisäiseen käsittelyyn seuraa tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdasta, jonka mukaan henkilötietojen käsittely on sallittua, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. Siten tietosuojalakiesityksen mukaan nykyisin henkilötietolain 8 §:n 1 momentin 6 kohdan nojalla tapahtuva käsittely voisi jatkossa olla sallittua suoraan tietosuoja-asetuksen nojalla. Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan nojalla oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella vastustaa milloin tahansa häntä koskevien henkilötietojen käsittelyä, joka perustuu asetuksen 6 artiklan 1 kohdan f alakohtaan.

Työ- ja elinkeinoministeriön toimialaan kuuluva muu työlainsäädäntö

Työ- ja elinkeinoministeriön toimialalle kuuluvassa työlainsäädännössä ja muussa työelämässä sovellettavassa sääntelyssä on vain vähän nimenomaisesti henkilötietojen käsittelyä koskevia säännöksiä. Niitä on seuraavissa laeissa:

työsopimuslaki (55/2001)

laki henkilöstön edustuksesta yritysten hallinnossa (725/1990)

laki lasten kanssa työskentelevien rikostaustan selvittämisestä (504/2002)

laki nuorista työntekijöistä (998/1993)

laki työntekijöiden lähettämisestä (447/2016)

laki tilaajan selvitysvelvollisuudesta ja vastuusta ulkopuolista työvoimaa käytettäessä (1233/2006)

laki yhteistoiminnasta yrityksissä (334/2007)

työaikalaki (605/1996)

opintovapaalaki (273/1979)

palkkaturvalaki (866/1998)

merimiesten palkkaturvalaki (1108/2000)

merimiesten vuosilomalaki (433/1984)

merityöaikalaki (296/1976)

merityösopimuslaki (756/2011)

laki työajasta kotimaanliikenteen aluksissa (248/1982)

laki valtion varoista korvattavista merimiesten matkakustannuksista (1068/2013).

Työlainsäädännössä säädetään muun muassa työsuhteen osapuolten oikeuksista ja velvollisuuksista, joiden toteuttaminen edellyttää työntekijän henkilötietojen käsittelyä. Työlainsäädännössä on jonkin verran myös työntekijälle säädettyjä velvoitteita toimittaa työnantajalle tietoja. Osassa edellä mainituista laeista säädetään viranomaisten lakisääteisistä tehtävistä, jotka edellyttävät henkilötietojen käsittelyä.

Henkilötietojen käsittelyperusteena edellä mainittujen lakien nojalla suoritettavassa henkilötietojen käsittelyssä on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, jonka mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Oikeusperustetta tarkennetaan kyseisellä erityislailla. Edellä mainitut lait sisältävät tietosuoja-asetuksen 6 artiklan 3 kohdassa lueteltuja tarkennuksia ja ovat 6 artiklan liikkumavaran mukaisia.

Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Työlainsäädännöllä on yleisen edun mukainen tavoite ja osaltaan myös yksityisyyden suojasta työelämässä annetun lain sääntelyllä huolehditaan työntekijän henkilötietojen käsittelyn oikeasuhtaisuudesta. Osa yksityisyyden suojasta työelämässä annetun lain säännöksistä soveltuu myös muun työlainsäädännön nojalla suoritettavaan henkilötietojen käsittelyyn. Yksityisyyden suojasta työelämässä annetun lain 3 §:ssä määritellään työntekijän henkilötietojen käsittelyn tarkoitus.

Edellä mainittuja lakeja ei ole tarpeen muuttaa tietosuoja-asetuksen vuoksi. Lasten kanssa työskentelevien rikostaustan selvittämisestä annettuun lakiin on tarpeen tehdä tekninen muutos, joka johtuu rikoslakiin ehdotetusta muutoksesta.

Esityksen tavoitteena on tehdä tietosuoja-asetuksen liikkumavaran mukaisuuden varmistamiseksi tarpeelliset muutokset yksityisyyden suojasta työelämässä annettuun lakiin. Esityksen tavoitteena on säilyttää pääosin nykytila yksityisyyden suojaa työelämässä koskevan sääntelyn osalta.

Esityksessä ehdotetaan tehtäväksi tietosuoja-asetuksesta, henkilötietolain kumoamisesta ja rikoslain muutoksesta johtuvat teknisluonteiset ja sisällölliset muutokset yksityisyyden suojasta työelämässä annettuun lakiin. Yksityisyyden suojasta työelämässä annettuun lakiin ehdotetaan myös eräitä muita selventäviä muutoksia. Lisäksi ehdotetaan tehtäväksi rikoslain muutoksesta johtuva tekninen muutos lasten kanssa työskentelevien rikostaustan selvittämisestä annettuun lakiin.

Tietosuoja-asetus on suoraan sovellettavaa ja sellaisenaan velvoittavaa EU:n jäsenvaltioissa. Lähtökohtaisesti tietosuoja-asetuksen mukaistakaan kansallista lainsäädäntöä ei tulisi olla. Kansallinen lainsäädäntö on mahdollista ainoastaan silloin, kun se asetuksessa nimenomaisesti sallitaan. Vaihtoehtoisena toteuttamistapana voisi siten olla voimassa olevan yksityisyyden suojasta työelämässä annetun lain kumoaminen ja sääntelyn jättäminen tietosuoja-asetuksen varaan. Tietosuoja-asetukseen sisältyy kuitenkin useita sellaisia säännöksiä, joissa joko edellytetään kansallista erityislainsäädäntöä tai sallitaan sen antaminen. Työsuhteessa tapahtuvan henkilötietojen käsittelyn osalta merkittävimmät liikkumavaraa sisältävät säännökset ovat tietosuoja-asetuksen 9 ja 88 artiklat.

Suomessa työntekijöiden henkilötietojen käsittely on nähty sellaisena käsittelytilanteena, jossa tarvitaan erityistä sääntelyä työntekijän työnantajasta riippuvaisen aseman vuoksi sekä työnantajan ja työntekijän sekä muiden tahojen oikeuksien yhteensovittamiseksi. Työoikeuden yleinen työntekijän suojelun periaate vaikuttaa työoikeudellisen lain taustalla.

Yksityisyyden suojasta työelämässä annettuun lakiin on otettu säännökset, joilla täydennetään henkilötietolain säännöksiä työelämän erityistarpeisiin soveltuviksi. Työelämän tilanteissa yhdistyvät perusoikeuksien ja tietosuojan ohella työ-, virkamies-, työturvallisuus- ja rikosoikeus. Tästä syystä on katsottu, että työntekijän ja työnhakijan yksityisyyden suoja on turvattava henkilötietolakia täydentävällä erityissääntelyllä, joka on paremmin kytkettävissä työ- ja virkamieslainsäädännön rakenteisiin ja sen noudattamisen valvontaan. Henkilötietolaissa ei ole myöskään voitu säätää kaikista niistä edellytyksistä, joiden mukaisesti työnantajien tiedontarpeet työelämän tilanteissa voidaan yhteensovittaa työntekijän oikeuksien kanssa. Yksityisyyden suojasta työelämässä annetussa laissa on myös säännöksiä, joiden tarpeellisuus perustuu myös muiden perusoikeuksien kuin henkilötietojen suojan turvaamiseen.

Edellä mainitut perusteet puoltavat lain säilyttämistä myös jatkossa. Lain säilyttämistä pidetään tärkeänä sekä työntekijöiden että työnantajien oikeuksien ja niiden nykysääntelyn mukaisen tasapainon turvaamiseksi. Lisäksi laissa on tietosuoja-asetuksen 9 artiklan erityisten henkilötietoryhmien käsittelykiellosta poikkeamiseksi tarpeelliset säännökset työntekijän terveydentilatietojen käsittelystä.

Tietosuoja-asetuksesta ja osaltaan myös tietosuojalaista aiheutuu suhteellisen merkittäviä kustannuksia työnantajille. Niitä ei kuitenkaan voida pitää tästä esityksestä aiheutuvina kustannuksina eikä niitä sen vuoksi ole tarpeen laajemmin käsitellä tässä yhteydessä. Tietosuoja-asetuksen ja tietosuojalain vaikutuksia on selostettu tietosuojalakiesityksessä.

Tietosuojalainsäädännön uudistukseen liittyvät vaikutukset seuraavat tietosuojalakiesityksessä selostetulla tavalla pääasiassa tietosuoja-asetuksesta. Tietosuojalakiesityksen yritysvaikutuksia koskevan arvion mukaan tietosuoja-asetuksella vähennetään merkittävästi tietosuojasääntelyyn liittyviä kansallisia erityispiirteitä ja poistetaan ne osin kokonaan. Taloudelliset hyödyt korostuvat useassa jäsenvaltiossa toimivien yritysten toiminnassa. Useassa jäsenvaltiossa toimiva yritys on nykyisin velvollinen selvittämään jokaisen jäsenvaltion säädöksistä johtuvat toisistaan poikkeavat velvoitteet erikseen. Erityispiirteiden vähentäminen nopeuttaa unionin laajuisen liiketoiminnan aloittamista sekä vähentää rajat ylittävän liiketoiminnan kustannuksia. Yhdenmukaisella sääntelyllä lisätään myös pitkän aikavälin oikeusvarmuutta, kun sillä vähennetään eri maiden säännöstöjen välisistä ristiriidoista aiheutuvia ongelmia. Yksityiskohtaisempaa kansallista sääntelyä tulee jäämään yritystoiminnan kannalta merkityksellisestä näkökulmasta lähinnä työelämän tietosuojan sääntelyyn. Toisaalta uuden säännöstön käyttöönoton myötä syntyvät tulkintaepäselvyydet ja uusien normien tulkintaan liittyvän oikeuskäytännön puute heikentävät oikeusvarmuutta ja ennakoitavuutta erityisesti säännöstön voimassaolon ensimmäisinä vuosina.

Työsuhteissa sovellettavan tietosuoja-asetusta täydentävän kansallisen lainsäädännön säilyttäminen tietosuoja-asetuksen liikkumavaran puitteissa aiheuttaa vaikutuksia kaikille työnantajille ja työnantajina toimiville yrityksille. Yksityisyyden suojasta työelämässä annettu laki soveltuu kaikkiin työnantajina toimiviin yrityksiin. Tampereen yliopiston yritysvaikutuksista tekemän selvityksen (Valtioneuvoston selvitys- ja tutkimustoiminnan artikkelisarja 10/2017) perusteella selvitykseen osallistuneiden yritysten oletuksena on, ettei asetuksesta aiheudu muutoksia nykyiseen työelämän tietosuojan sääntelyyn.

Vaikutusten kannalta merkittävä tietosuoja-asetuksesta seuraava muutos nykytilaan verrattuna on seuraamusjärjestelmän perustavanlaatuinen muutos. Tietosuoja-asetuksen ja yksityisyyden suojasta työelämässä annetun lain säännösten rikkomisesta voi seurata asetuksen mukainen hallinnollinen sakko. Hallinnolliset sakot aiheuttavat työnantajille merkittäviäkin taloudellisia riskejä. Hallinnollisten sakkojen tason määräytymistä tai niiden määräämisen yleisyyttä ei pystytä tässä vaiheessa ennakoimaan. Tietosuoja-asetuksen soveltamiskäytäntöön tulevat vaikuttamaan myös EU-tasoiset linjaukset.

Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdassa lueteltujen tietosuojaviranomaisen käytettävissä olevien muiden toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon 83 artiklassa luetellut seikat, kuten esimerkiksi rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus, rikkomisen tahallisuus tai tuottamuksellisuus sekä toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi. Tietosuoja-asetuksen 83 artiklan 8 kohdan mukaan valvontaviranomaisen tämän artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia. Asetuksen johdanto-osan kappaleessa 148 viitataan siihen, että jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa 58 artiklan mukainen huomautus.

Säädettäessä työntekijän terveydentilatietojen käsittelyn edellytyksistä laissa ei työ- tai virkaehtosopimuksiin ole tarpeen erikseen ottaa tietosuoja-asetuksen 9 artiklan mukaisia suojatoimisäännöksiä terveydentilatietojen käsittelyä koskien.

Tällä esityksellä pyritään säilyttämään pääasiassa nykytila työntekijän henkilötietojen käsittelyn osalta. Tähän esitykseen sisältyvillä säädösehdotuksilla ei ole merkittävää vaikutusta työntekijöiden oikeuksiin ja asemaan.

Yksityisyyden suojaa työelämässä koskevan sääntelyn säilyttämisellä entisellään tietosuoja-asetuksen liikkumavaran puitteissa vähennetään osaltaan tietosuoja-asetuksesta yrityksille työnantajina aiheutuvaa oikeudellista epävarmuutta ja hallinnollista taakkaa. Kansallinen työelämän tietosuojaa koskeva erityissääntely voi olla oikeustilaa selkeyttävää ja oikeusvarmuutta lisäävää sekä työnantajan toimintaan liittyviä riskejä vähentävää, kun käsittelyn edellytyksistä on selkeästi säädetty kansallisessa laissa, jonka säännösten soveltamisesta on jo olemassa vakiintunutta tulkintakäytäntöä. On seurattava, miten yksityisyyden suojasta työelämässä annettua lakia tullaan soveltamaan yhdessä tietosuoja-asetuksen kanssa. Myös seuraamusjärjestelmän kehittymistä on seurattava.

Toisaalta erityisesti kansainvälisesti toimivien yritysten näkökulmasta kansallinen erityissääntely vähentää yleisen asetuksen mukaisen yhdenmukaisen sääntelyn hyötyjä sekä lisää lähinnä ulkomaisten yritysten hallinnollista taakkaa ja kustannuksia asetuksen mukaiseen oikeustilaan verrattuna, vaikka nykytila erityissääntelyn osalta ei muuttuisikaan. Sovellettava työlainsäädäntö on toisaalta muutoinkin selvitettävä silloin, kun yritys toimii useissa eri valtioissa. Yksityisyyden suojasta huolehtiminen voi vaikuttaa työnantajakuvaan ja yrityksen imagoon myös positiivisesti.

Suurelta osin muutosehdotukset ovat lähinnä teknisluonteisia. Esityksellä ei siten ole merkittäviä taloudellisia vaikutuksia työnantajille tai yrityksille. Esityksessä ehdotetaan henkilötietolain 12 §:n 2 momentin arkaluonteisten tietojen poistamista ja käsittelyperusteen ja -tarpeen säännöllistä arviointia koskevien säännösten lisäämistä yksityisyyden suojasta työelämässä annettuun lakiin. Muutoksesta ei aiheutuisi lisäkustannuksia työnantajille, koska vastaavien velvoitteiden noudattaminen on työnantajan velvollisuutena myös voimassa olevan lainsäädännön mukaan.

Ehdotetuilla muutoksilla ei ole merkittäviä vaikutuksia viranomaisten toimintaan. Tietosuoja-asetuksesta johtuen työsuojeluviranomaisten ja tietosuoja-asetusta valvovan tietosuojavaltuutetun keskinäisen yhteistyön määrä todennäköisesti jonkin verran lisääntyy, millä on vaikutusta viranomaisten työmäärään.

Esitys on valmisteltu työ- ja elinkeinoministeriön asettaman työryhmän ehdotusten pohjalta. Työryhmän tehtävänä oli selvittää työelämän tietosuojalainsäädännön ja tietosuoja-asetuksen välinen suhde sekä selvityksensä pohjalta tehdä ehdotukset lainsäädännön mahdollisista muutostarpeista.

Työryhmässä olivat työ- ja elinkeinoministeriön lisäksi edustettuina keskeiset työmarkkinajärjestöt sekä tietosuojavaltuutetun toimisto. Työryhmä kuuli työnsä aikana asiantuntijoita. Työryhmän toimikausi oli 21.9.—15.12.2017, ja sitä jatkettiin 30.3.2018 saakka, jotta valmistelua varten saataisiin tieto tietosuojalakiesityksen sisällöstä.

Työryhmän mietintö on julkaistu työ- ja elinkeinoministeriön internet-sivuilla (http://tem.fi/hankesivu?tunnus=TEM050:00/2017).

Esitys oli lausuntokierroksella 6.4.—4.5.2018.

Esityksestä lausuivat sosiaali- ja terveysministeriö, liikenne- ja viestintäministeriö, valtiovarainministeriö, opetus- ja kulttuuriministeriö, oikeusministeriö, Suomen Yrittäjät ry, KT Kuntatyönantajat, Kirkon työmarkkinalaitos, tietosuojavaltuutetun toimisto ja Ahvenanmaan maakunnan hallitus. Lisäksi Etelä-, Lounais-, Itä-, Pohjois- sekä Länsi- ja Sisä-Suomen aluehallintovirastojen työsuojelun vastuualueet toimittivat yhteisen lausunnon. Samoin yhteisen lausunnon toimittivat Suomen Ammattiliittojen Keskusjärjestö SAK ry, Toimihenkilökeskusjärjestö STTK ry ja Akava ry. Elinkeinoelämän Keskusliitto EK ry ilmoitti yhtyvänsä Suomen Yrittäjät ry:n lausunnossa esitettyyn.

Lausuntopyyntö, saadut lausunnot ja lausuntoyhteenveto on julkaistu työ- ja elinkeinoministeriön internet-sivuilla (http://tem.fi/hankesivu?tunnus=TEM050:00/2017).

Lausunnoissa esitetyt keskeiset huomiot liittyivät yksityisyyden suojasta työelämässä annetun lain 4, 22 ja 24 §:ää koskeviin ehdotuksiin.

Oikeusministeriön, aluehallintovirastojen työsuojelun vastuualueiden, tietosuojavaltuutetun toimiston ja palkansaajakeskusjärjestöjen lausunnoissa kiinnitettiin huomiota erityisesti esitysluonnoksen rangaistussäännöstä koskevaan ehdotukseen ja katsottiin sen edellyttävän jatkovalmistelua. Oikeusministeriö totesi lausunnossaan, että voimassa oleva rangaistussäännös sisältää lukuisia tekotapoja, joiden ei voida arvioida kuuluvan tietosuoja-asetuksen 83 artiklassa tarkoitettujen hallinnollisten sakkojen soveltamisalaan. Oikeusministeriö katsoi, että yksityisyyden suojasta työelämässä annetussa laissa säädetään työelämän tietosuojaa koskevia pakottavia vaatimuksia, jotka menevät tietosuoja-asetusta pidemmälle. Säännökset eivät koske pelkästään henkilötietojen suojaa, vaan kyse on yleisemminkin perustuslain 10 §:ssä turvattua yksityiselämän suojaa koskevasta sääntelystä. Oikeusministeriön käsityksen mukaan kaksoisrangaistavuuden kielto tai tietosuoja-asetus eivät ole esteenä sille, että nämä teot säädetään kansallisesti rangaistaviksi. Oikeusministeriö ehdotti lausunnossaan harkittavaksi, että 24 §:n rangaistussäännöksessä säilytetään ne tekotavat, jotka eivät ole tietosuoja-asetuksen kanssa täysin päällekkäisiä.

Yksityisyyden suojasta työelämässä annetun lain 24 §:n muutosehdotusta on jatkovalmistelun perusteella muokattu siten, että voimassa olevan lain rangaistussäännös ehdotetaan säilytettäväksi pääosin ennallaan.

Oikeusministeriön näkemyksen mukaan yksityisyyden suojasta työelämässä annetun lain valvontaa koskevan 22 §:n perusteluissa olisi syytä terävöittää valvontaviranomaisten tehtävänjakoon liittyviä perusteluja sekä kirkastaa sitä, että henkilötietojen käsittelyä valvoo yksinomaan tietosuojavaltuutettu. Tarkoituksena on kuitenkin säilyttää nykytila valvonnan osalta, mikä edellyttää sitä, että työsuojeluviranomaiset valvovat lain säännösten noudattamista myös siltä osin kuin ne koskevat henkilötietojen käsittelyä. Yksityisyyden suojasta työelämässä annetun lain säännöksillä suojataan työntekijän yksityisyyttä myös laajemmin kuin henkilötietojen suojan osalta.

Tietosuojavaltuutetun toimisto katsoi lausunnossaan, että yksityisyyden suojasta työelämässä annetun lain 4 §:n sanamuoto tulisi muuttaa vastaamaan tosiasiallisia työelämän henkilötietojen käsittelyä koskevia tilanteita. Lausunnon mukaan yksityisyyden suojasta työelämässä annetun lain esitöissä (HE 75/2000 vp) on esitetty useita tilanteita ja poikkeuksia sanamuodosta, jolloin tietoja voidaan hankkia ilman työntekijän suostumusta muualta. Tietosuojavaltuutettu on usein ratkaisukäytännössään joutunut soveltamaan lain perusteluissa esitettyjä poikkeuksia. Myös Suomen Yrittäjät ry esitti lausunnossaan, että lakiehdotuksen 4 §:ään lisättäisiin lause, jonka mukaan työnantaja voisi kerätä henkilötietoja muualta kuin työntekijältä itseltään ilman työntekijän suostumusta silloin, kun työnantajalla on erityinen syy selvittää työntekijän luotettavuutta. Lain 4 §:n muutostarvetta ei ole pystytty työryhmän toimeksiannon puitteissa selvittämään riittävällä tavalla. Pykälän ei katsota olevan tietosuoja-asetuksen vastainen.

Eduskunnalle on 1 päivänä maaliskuuta 2018 annettu hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi (HE 9/2018 vp). Esityksessä on useita työsuhteessa tapahtuvan henkilötietojen käsittelyn kannalta keskeisiä kohtia, joita on selostettu edellä nykytilan arvioinnin yhteydessä.

Eduskunnalle on 8 päivänä maaliskuuta 2018 annettu hallituksen esitys maakuntauudistuksen täytäntöönpanoa sekä valtion lupa-, ohjaus- ja valvontatehtävien uudelleenorganisointia koskevaksi lainsäädännöksi (HE 14/2018 vp). Kyseisessä hallituksen esityksessä ehdotetaan muutettavaksi muun muassa yksityisyyden suojasta työelämässä annetun lain 22 §, jota ehdotetaan muutettavaksi myös tässä hallituksen esityksessä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

2 §. Soveltamisala. Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että siitä poistettaisiin viittaukset kumottuun sähköisen viestinnän tietosuojalakiin (516/2004) ja kumottavaksi ehdotettuun henkilötietolakiin. Pykälään ehdotetaan lisättäväksi informatiivinen viittaus tietosuoja-asetukseen, tietosuojalakiin ja sähköisen viestinnän palveluista annettuun lakiin.

Sähköisen viestinnän tietosuojalaki on kumottu tietoyhteiskuntakaarella, jonka nimike on 1 kesäkuuta 2018 alkaen muutettu laiksi sähköisen viestinnän palveluista. Mainitun lain VI osassa säädetään sähköisen viestin ja välitystietojen käsittelystä (17 luku), yhteisötilaajaa koskevasta erityissääntelystä (18 luku) sekä sijaintitiedoista ja muista liittymän tai päätelaitteen sijainnin ilmaisevista tiedoista (20 luku). Informatiivinen viittaus sähköisen viestinnän palveluista annetun lain VI osaan vastaisi voimassa olevan pykälän 3 momentin viittaussäännöksen sisältöä.

Informatiiviset viittaukset olisivat pääsäännöstä poiketen tässä tapauksessa lainsäädännön selkeyden vuoksi tarpeellisia ottaen huomioon lain soveltamisympäristö, lainsäädännön monimutkaistuminen ja hajautuminen useampiin säädöksiin sekä lain suuri merkitys työntekijöiden yksityisyyden suojan ja hyvän henkilötietojen käsittelyn edistämisen kannalta. Tietosuoja-asetukseen viittaamista ei ole asetuksessa kielletty.

Muutoin pykälä vastaisi voimassa olevaa lakia.

4 §. Työntekijän henkilötietojen keräämisen yleiset edellytykset ja työnantajan tiedonantovelvollisuus. Pykälän 1 momentin viimeistä virkettä ehdotetaan muutettavaksi siten, että siitä poistettaisiin maininta suostumuksen tarpeettomuudesta rikosrekisteritietoja muualta kuin työntekijältä itseltään hankittaessa. Työntekijän suostumus ei 1 momentin mukaan edelleenkään olisi tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja työntekijän luotettavuuden selvittämiseksi. Henkilöluottotietojen käsittelystä säädetään erikseen yksityisyyden suojasta työelämässä annetun lain 5 a §:ssä, jossa ei edellytetä työntekijän suostumusta.

Voimassa olevan säännöksen sanamuoto suostumuksen tarpeettomuudesta rikosrekisteritietojen osalta on osin harhaanjohtava. Turvallisuusselvityslain (726/2014) 5 §:n mukaan turvallisuusselvityksen laatimisen ja turvallisuusselvitykseen liittyvän 51 §:ssä tarkoitetun luotettavuuden seurannan toteuttamisen yleisenä edellytyksenä on, että selvityksen kohde on antanut siihen etukäteen kirjallisen suostumuksen. Alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustan selvittämismenettelystä säädetään erikseen lasten kanssa työskentelevien rikostaustan selvittämisestä annetussa laissa (504/2002), jonka mukaan rikosrekisteriote pyydetään nähtäväksi henkilöltä itseltään.

Voimassa olevan 4 §:n sanamuodon mukainen rikosrekisteritietojen hankkiminen työntekijän luotettavuuden selvittämiseksi ilman suostumusta on säädetty viranomaistoiminnassa lähinnä tiettyjen valtion erityisten virkojen osalta mahdolliseksi. Rikosrekisterilain (770/1993) 4 a §:n mukaan sen lisäksi, mitä 4 §:ssä säädetään, rikosrekisteristä luovutetaan henkilöä koskevat tiedot Suomen viranomaiselle asiassa, joka koskee henkilön valintaa koulutukseen tai tehtävään, joka liittyy valtion turvallisuuteen, yleiseen järjestykseen ja turvallisuuteen, ulkoasiainhallintoon, Suomen kansainvälisiin suhteisiin, oikeushallintoon, keskuspankkitoimintaan tai rahanvalmistukseen ja jossa edellytetään henkilön erityistä luotettavuutta (3 kohta).

Voimassa olevan 4 §:n sanamuodon perusteella voi saada käsityksen, ettei työntekijän rikosrekisteritietojen hankkiminen edellyttäisi laissa säädettyä perustetta. Tämä on joissain tapauksissa johtanut muun muassa siihen, että työnantajat ovat vaatineet työnhakijoilta rikosrekisteriotetta siten, että henkilö itse pyytää rikosrekisteriotteen henkilötietolain 26 §:n mukaisen tarkastusoikeuden perusteella Oikeusrekisterikeskukselta ja antaa sen työnantajalle nähtäväksi. Tietosuojavaltuutettu on kannanotossaan (Dnro 3048/41/2015) todennut, ettei tällainen rikosrekisteritietojen käsittely ole lainmukaista. Lainsäädännön selkeyden vuoksi pykälää on siksi tarpeen muuttaa. Pykälän 1 momenttiin ehdotetaan informatiivisuuden vuoksi lisättäväksi viittaukset turvallisuusselvityslakiin, lasten kanssa työskentelevien rikostaustan selvittämisestä annettuun lakiin ja rikosrekisterilakiin.

Voimassa olevan 4 §:n 2 momentin viimeisen virkkeen mukaan työnantajan tiedonantovelvollisuudesta ja työntekijän oikeudesta tarkastaa itseään koskevia henkilötietoja on lisäksi voimassa, mitä siitä muualla laissa säädetään. Viittaus ehdotetaan muutettavaksi informatiiviseksi viittaukseksi tietosuoja-asetuksen III lukuun, jota on noudatettava 2 momentissa säädetyn lisäksi. Tietosuoja-asetuksen 12—15 artiklassa säädetään rekisterinpitäjän informointivelvoitteista sekä rekisteröidyn oikeudesta saada pääsy tietoihin. Informatiivinen viittaus olisi lainsäädännön selkeyden ja ymmärrettävyyden vuoksi tarpeen.

Pykälän 3 momentin viittaus yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin 651/1998 ehdotetaan muutettavaksi viittaukseksi yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin 1233/2013.

Muilta osin pykälä vastaisi voimassa olevaa lakia.

5 §. Terveydentilaa koskevien tietojen käsittely. Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että momenttiin lisättäisiin voimassa olevan henkilötietolain 12 §:n 2 momentin arkaluonteisten tietojen poistamista ja käsittelyperusteen ja -tarpeen säännöllistä arviointia koskevia säännöksiä vastaavat säännökset sanamuodoltaan hieman muutettuna. Momentin mukaan työnantajan olisi säilytettävä hallussaan olevat työntekijän terveydentilaa koskevat tiedot erillään muista työnantajan keräämistä henkilötiedoista, mikä vastaa nykyistä momenttia. Terveydentilaa koskevat tiedot olisi poistettava välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa tarkoitettua perustetta. Käsittelyn perustetta ja tarvetta olisi arvioitava vähintään viiden vuoden välein.

Terveydentilatietojen käsittelyyn sovelletaan nykyään yksityisyyden suojasta työelämässä annetun lain rinnalla myös henkilötietolain 12 §:n 2 momenttia. Henkilötietolaki on ehdotettu kumottavaksi eikä sen 12 §:n 2 momenttia vastaavaa säännöstä ole ehdotettu otettavaksi uuteen tietosuojalakiin. Säännös on muodostanut osan työntekijän terveydentilaa koskevien tietojen käsittelyn suojatoimista. Sääntely on ohjannut käytäntöjen muodostumista yksityisyyttä turvaavammiksi. Säännöstä pidetään edelleen välttämättömänä työntekijän yksityisyyden suojaamiseksi. Säännöksen katsotaan olevan tietosuoja-asetuksessa sallitun liikkumavaran mukainen 9 artiklan 2 kohdan b alakohdan mukaisena suojatoimena.

Säännösten katsotaan muilta osin muodostavan riittävät tietosuoja-asetuksen 9 artiklan 2 kohdan b alakohdassa edellytetyt suojatoimet terveydentilatietojen käsittelylle. Voimassa olevaa lakia vastaavasti terveydentilatietoja käsittelevien henkilöiden piiri työpaikoilla on määriteltävä mahdollisimman suppeaksi.

Muilta osin pykälä vastaisi voimassa olevaa lakia.

16 §. Kameravalvonnan edellytykset. Pykälän 2 momentin 3 kohdan mukaan työnantaja voi pykälän 1 momentin estämättä kohdentaa kameravalvonnan tiettyyn työpisteeseen, jossa työntekijöitä työskentelee, jos tarkkailu on välttämätöntä työntekijän etujen ja oikeuksien varmistamiseksi, jos kameravalvonta perustuu tarkkailun kohteeksi tulevan työntekijän pyyntöön ja asiasta on sovittu työnantajan ja työntekijän välillä. Tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaan rekisteröidyn suostumus on yksi lainmukainen käsittelyperuste henkilötietojen käsittelylle. Asetuksen 7 artiklan 3 kohdan mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa.

Edellä mainitusta johtuen pykälän 2 momentin 3 kohtaa ehdotetaan muutettavaksi siten, että vaatimuksesta, jonka mukaan kameravalvonnan kohdentamisesta tiettyyn työpisteeseen tulisi olla sovittu työnantajan ja työntekijän välillä, luovuttaisiin. Ehdotetun pykälän 2 momentin 3 kohdan mukaan työnantaja voisi pykälän 1 momentin estämättä kohdentaa kameravalvonnan tiettyyn työpisteeseen, jossa työntekijöitä työskentelee, jos tarkkailu on välttämätöntä työntekijän etujen ja oikeuksien varmistamiseksi ja kameravalvonta perustuu tarkkailun kohteeksi tulevan työntekijän pyyntöön. Työntekijän pyyntöön perustuva valvonta olisi vastaavasti lakkautettava, jos työntekijä sitä esittää. Jos työnantajalla olisi työntekijän lakkauttamispyynnöstä huolimatta edelleen tarve toteuttaa kameravalvontaa siten, että valvonta olisi välttämätöntä kohdentaa tiettyyn työpisteeseen, jossa työntekijöitä työskentelee, voisi työnantaja tällaisessa tilanteessa toteuttaa kameravalvontaa 2 momentissa säädettyjen muiden edellytysten täyttyessä.

Muilta osin pykälä vastaisi voimassa olevaa lakia.

17 §. Avoimuus kameravalvontaa toteutettaessa. Voimassa olevan pykälän 1 momentin 3 kohdan mukaan työnantajan on kameravalvontaa suunnitellessaan ja toteuttaessaan pidettävä huolta siitä, että valvonnalla saatujen henkilöitä koskevien tallenteiden käyttö ja niiden muu käsittely suunnitellaan ja toteutetaan ottaen huomioon, mitä henkilötietolain 5—7, 10 ja 32—34 §:ssä säädetään, riippumatta siitä, muodostavatko tallenteet mainitussa laissa tarkoitetun henkilörekisterin. Lain esitöiden mukaan säännös on säädetty työntekijöiden henkilötietojen käsittelyn asianmukaisuuden suojaamiseksi niissä tilanteissa, joissa kameravalvonnasta saatavat tiedot eivät aina muodostaisi henkilötietolaissa tarkoitettua henkilörekisteriä.

Tietosuoja-asetuksen soveltamisalan täyttyessä tulevat rekisterinpitäjään asetuksesta kohdistuvat velvoitteet suoraan sovellettaviksi. Tietosuoja-asetuksen 2 artiklan 1 kohdan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tietosuoja-asetuksen voidaan katsoa soveltuvan kameravalvonnasta saatuihin henkilötietoja sisältäviin tallenteisiin. Pykälän 1 momentin 3 kohta ehdotetaan siksi kumottavaksi tarpeettomana.

22 §. Valvonta. Voimassa olevan pykälän mukaan lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa. Tietosuojalakiesityksessä ehdotetaan, että tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena toimisi tietosuojavaltuutettu. Kansallisen valvontaviranomaisen tehtävistä ja toimivallasta säädetään tietosuoja-asetuksen 55—59 artiklassa ja tietosuojalain 14 §:ssä. Tietosuojavaltuutetun tehtävät ja toimivaltuudet seuraavat suoraan tietosuoja-asetuksesta. Valvontaviranomaiselle voidaan säätää myös muita valtuuksia. Työsuojeluviranomaisen tehtävistä ja toimivallasta säädetään työsuojelun valvonnasta ja työpaikan työsuojeluyhteistoiminnasta annetussa laissa (44/2006).

Jotta olisi selvää, ettei työsuojeluviranomaisten toimivalta ulotu tietosuoja-asetuksen säännösten valvomiseen, valvontaa koskevaa 22 §:ää ehdotetaan tarkennettavaksi siten, että lain noudattamista valvoisivat työsuojeluviranomaiset toimivaltansa mukaisesti yhdessä tietosuojavaltuutetun kanssa. Lisäksi pykälään ehdotetaan lisättäväksi viittaukset tietosuojavaltuutetun ja työsuojeluviranomaisten toimivaltaa koskevaan sääntelyyn.

Työsuojeluviranomaisen toimivalta yksityisyyden suojasta työelämässä annetun lain valvonnassa katsotaan tarpeelliseksi ja tarkoituksenmukaiseksi säilyttää. Valvontajärjestelmä on ollut toimiva. Tietosuojavaltuutetulla ei ole alueorganisaatiota, joten työsuojeluviranomaisten resurssit ovat tästäkin syystä valvonnan toimivuuden kannalta merkittävässä asemassa. Yksityisyyden suojasta työelämässä annettu laki ei koske pelkästään henkilötietojen käsittelyä, vaan on työoikeudellinen laki, jolla on työsuojelullinen tarkoitus. Yksityisyyden suojasta työelämässä annetun lain mukainen henkilötietojen käsittely on kiinteässä yhteydessä työlainsäädännössä säädettyihin oikeuksiin ja velvoitteisiin. Työlainsäädännön valvonta kuuluu työsuojeluviranomaisille. Työsuojeluviranomaiset valvovat lain noudattamista omasta näkökulmastaan ja oman toimivaltansa puitteissa.

Työsuojeluviranomaista ei ole perusteltua nimetä tietosuoja-asetuksessa tarkoitetuksi valvontaviranomaiseksi. Työsuojeluviranomaisen valvontatoimivalta koskisi jatkossakin pelkästään yksityisyyden suojasta työelämässä annetun lain valvontaa yhteistyössä tietosuojavaltuutetun kanssa tietosuojavaltuutetun ollessa yksin toimivaltainen viranomainen tietosuoja-asetuksen säännösten valvonnassa. Toimivallan jako vastaisi nykytilaa, koska työsuojeluviranomaisen toimivalta ei nykyäänkään ulotu henkilötietolain valvontaan ja yksityisyyden suojasta työelämässä annetun lain valvontaa toteutettaisiin jatkossakin yhteistyössä. Asian siirtämisestä toimivaltaiselle viranomaiselle säädetään hallintolaissa (434/2003).

24 §. Rangaistussäännös. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tekotapojen luettelosta poistettaisiin 1 kohdasta 4 §:n 2 momentin rikkominen. Mainitun lainkohdan rikkomisesta voi tulla määrättäväksi tietosuoja-asetuksen 83 artiklan nojalla hallinnollinen sakko.

Rangaistussäännökseen ehdotetaan myös lisättäväksi uusi kohta, jonka mukaan rangaistavaa olisi vastoin 5 §:n 1 momentin säännöksiä käsitellä työntekijän terveydentilaa koskevia tietoja. Tietosuojalakiesityksessä ehdotetaan henkilörekisteririkosta koskevan rangaistussäännöksen korvaamista uudella tietosuojarikosta koskevalla rangaistussäännöksellä. Henkilörekisteririkosta koskevan rikoslain säännöksen kumoamisen johdosta on perusteltua lisätä työntekijän terveydentilatietojen käsittelyä koskevan 5 §:n 1 momentin säännösten rikkominen yksityisyyden suojasta työelämässä annetun lain rangaistussäännökseen. Kyseisen lainkohdan rikkomisen ei voida katsoa kuuluvan hallinnollisen sakon soveltamisalaan.

Tietosuojalainsäädäntöä koskeva seuraamusjärjestelmä muuttuu olennaisella tavalla tietosuoja-asetuksen hallinnollisten sakkojen vuoksi. Tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan muun muassa seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi: edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna (a alakohta) sekä kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet (d alakohta). Työntekijän henkilötietojen käsittelyä koskevien säännösten rikkominen voi siten johtaa hallinnollisen sakon määräämiseen 83 artiklan mukaan.

Tietosuoja-asetuksen on katsottava mahdollistavan kansalliset rangaistussäännökset ottaen huomioon asetuksen johdanto-osan kappaleissa 149 ja 152 todettu. Kansallisten sääntöjen rikkomiseen sovellettavien rikosoikeudellisten seuraamusten ja hallinnollisten seuraamusten määräämisen ei kuitenkaan tulisi johtaa ne bis in idem -periaatteen rikkomiseen unionin tuomioistuimen tulkinnan mukaan (asetuksen johdanto-osan kappale 149).

Yksityisyyden suojasta työelämässä annetun lain säännöksillä turvataan työntekijän yksityisyyttä laajemmin kuin henkilötietojen suojan osalta. Kaksoisrangaistavuuden kiellon tai tietosuoja-asetuksen ei voida katsoa estävän tällaisten säännösten rikkomisen säätämistä rangaistavaksi. Rangaistavuuden piirissä ehdotetaan säilytettäväksi sellaiset tekotavat, joiden rangaistavuuden ei voida katsoa olevan tietosuoja-asetuksen hallinnollisen sakon kanssa täysin tai ollenkaan päällekkäistä.

Pykälän 2 momentin mukaan rangaistus henkilörekisteririkoksesta, tietomurrosta, salakatselusta, salakuuntelusta, viestintäsalaisuuden loukkauksesta, salassapitorikoksesta ja virkarikoksista säädetään rikoslaissa (39/1889). Viittaus rikoslain henkilörekisteririkosta koskevaan säännökseen ehdotetaan muutettavaksi viittaukseksi tietosuojarikokseen rikoslain muutosehdotusta vastaavasti.

10 §. Rangaistussäännökset. Pykälän 3 momentin mukaan rangaistus henkilörekisteririkoksesta säädetään rikoslain 38 luvun 9 §:ssä. Viittaus rikoslain henkilörekisteririkosta koskevaan säännökseen ehdotetaan muutettavaksi viittaukseksi tietosuojarikokseen rikoslain muutosehdotusta vastaavasti.

Muilta osin pykälä vastaisi voimassa olevaa lakia.

Lait ehdotetaan tuleviksi voimaan mahdollisimman pian.

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu, ja henkilötietojen suojasta säädetään tarkemmin lailla. Pykälän 2 momentin mukaan kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.

Perustuslakivaliokunta on viimeaikaisissa henkilötietojen suojaa koskevissa lausunnoissaan huomioinut tietosuoja-asetuksen voimaantulon. Perustuslakivaliokunta on pitänyt tärkeänä, että valtioneuvoston piirissä kartoitetaan erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä (PeVL 38/2016 vp). Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 31/2017 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, PeVL 2/2017 vp, PeVL 44/2016 vp).

Perustuslakivaliokunta on katsonut (PeVL 14/2018 vp) tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Perustuslakivaliokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa.

Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla.

Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti.

Esityksessä ehdotetut tarkistukset voimassa olevaan lainsäädäntöön ovat pääosin luonteeltaan teknisluonteisia. Suuri osa ehdotetuista muutoksista on viittaussäännöksiä muuhun henkilötietojen käsittelyä koskevaan lainsäädäntöön. Ehdotetut sisällölliset muutokset ovat pieniä. Perusoikeuksien merkitystä yksityisyyden suojasta työelämässä annetun lain säännösten suhteen on arvioitu eduskunnan käsitellessä lain säätämiseen ja muutoksiin johtaneita hallituksen esityksiä (HE 75/2010 vp, HE 162/2003 vp, HE 19/2008 vp). Lakiehdotukset on katsottu voitavan säätää tavallisessa lainsäätämisjärjestyksessä, eivätkä nyt ehdotettavat muutokset merkitse sellaista lainsäädännön muuttamista, joka edellyttäisi asian uudelleenarviointia.

Esityksessä ehdotetaan kumottavaksi ehdotetun henkilötietolain 12 §:n 2 momenttia vastaavien säännösten ottamista yksityisyyden suojasta työelämässä annettuun lakiin työntekijän terveydentilatietojen käsittelyä koskevana suojatoimena. Ehdotettujen säännösten mukaan työnantajan olisi säilytettävä hallussaan olevat työntekijän terveydentilaa koskevat tiedot erillään muista työnantajan keräämistä henkilötiedoista, mikä vastaa nykyistä momenttia. Terveydentilaa koskevat tiedot olisi poistettava välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa tarkoitettua perustetta. Käsittelyn perustetta ja tarvetta olisi arvioitava vähintään viiden vuoden välein.

Henkilötietolain 12 §:n 2 momentti lisättiin henkilötietolakiin hallintovaliokunnan käsittelyssä (HaVM 26/1998 vp) perustuslakivaliokunnan lausunnon huomioon ottamiseksi. Perustuslakivaliokunta katsoi (PeVL 25/1998 vp), että arkaluonteisten henkilötietojen käsittelyn salliminen koskettaa yksityiselämään kuuluvan henkilötietojen suojan ydintä. Siksi tällaisten tietojenkäsittelyn mahdolliseksi tekevien säännösten on oltava täsmällisiä. Henkilötietolain 12 §:n 2 momenttia vastaavien säännösten ottaminen yksityisyyden suojasta työelämässä annettuun lakiin olisi perustuslakivaliokunnan omaksuman käytännön mukaista.

Hallinnollisia sakkoja koskeva sääntely on merkityksellistä Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklan sisältämän kaksoisrangaistavuuden kiellon (ne bis in idem) kannalta. Sen mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti. Kiellosta määrätään myös Kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 8/1976) 14 artiklan 7 kohdassa ja säädetään EU:n perusoikeuskirjan 50 artiklassa. Kiellon katsotaan sisältyvän myös Suomen perustuslain yksilön oikeusturvaa koskevan 21 §:n 2 momentin säännökseen oikeudenmukaisen oikeudenkäynnin takeista, jotka on lailla turvattava (HE 309/1993 vp, s. 74/II; ks. myös PeVL 9/2012 vp). Perustuslakivaliokunta on arvioinut, että kaksoisrangaistavuuden kiellon ei voida katsoa koskevan vain puhtaasti peräkkäisiä menettelyjä, vaan myös samanaikaisesti vireillä olevia menettelyjä (ks. PeVL 17/2013 vp ja PeVL 9/2012 vp).

Esityksessä ehdotetaan yksityisyyden suojasta työelämässä annetun lain rangaistussäännökseen muutosta hallinnollisen sakon soveltumisen vuoksi. Lain säännöksillä, joiden rikkominen olisi jatkossakin rangaistavaa, turvataan työntekijän yksityisyyttä myös laajemmin kuin henkilötietojen suojan osalta. Kaksoisrangaistavuuden kiellon ei voida katsoa estävän tällaisten säännösten rikkomisen säätämistä rangaistavaksi. Seuraamusten päällekkäisyyttä sellaisten tilanteiden osalta, joissa tietosuoja-asetuksessa säädetyt hallinnolliset seuraamukset koskevat tietyn tyyppistä tekokokonaisuutta vain osittain ja rikosoikeudelliset rangaistussäännökset kattavat teon kokonaisuudessaan, on arvioitu myös tietosuojalakiesityksen käsittelyssä. Kaksoisrangaistavuuden kiellon ei ole katsottu merkitsevän ehdotonta kieltoa säätää aineellisesti päällekkäisistä tunnusmerkeistä (LaVL 5/2018 vp). Esityksessä ehdotetaan rangaistavuuden piirissä säilytettäväksi teot, joiden rangaistavuuden ei voida katsoa olevan tietosuoja-asetuksen kanssa ollenkaan tai täysin päällekkäistä. Viime kädessä kaksoisrangaistavuuden kielto on otettava huomioon lakia sovellettaessa.

Esitykseen ei sisälly rekisteröidyn oikeuksien rajoittamista koskevia säännöksiä.

Edellä esitetyillä perusteilla lakiehdotukset voidaan hallituksen käsityksen mukaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti

kumotaan yksityisyyden suojasta työelämässä annetun lain (759/2004) 17 §:n 1 momentin 3 kohta, sekä

muutetaan 2 §:n 3 momentti, 4 §, 5 §:n 4 momentti, 16 §:n 2 momentin 3 kohta sekä 22 ja 24 §, sellaisina kuin niistä ovat 2 §:n 3 momentti laissa 126/2009, 4 § osaksi laeissa 457/2007 ja 511/2008 ja 24 § laissa 511/2008, seuraavasti:

2 §
Soveltamisala

---

Sen lisäksi, mitä tässä laissa säädetään, työntekijän henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus. Henkilötietojen käsittelyyn sovelletaan lisäksi tietosuojalakia ( / ), jollei tässä laissa toisin säädetä. Viestinnän luottamuksellisuudesta ja yksityisyyden suojasta säädetään sähköisen viestinnän palveluista annetun lain (917/2014) VI osassa.

---

4 §
Työntekijän henkilötietojen keräämisen yleiset edellytykset ja työnantajan tiedonantovelvollisuus

Työnantajan on kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on hankittava suostumus tietojen keräämiseen. Suostumus ei kuitenkaan ole tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja työntekijän luotettavuuden selvittämiseksi. Turvallisuusselvityksen hakemisesta säädetään turvallisuusselvityslaissa (726/2014). Menettelystä, jolla alaikäisten kanssa työskentelemään valittavien henkilöiden rikostaustaa selvitetään, säädetään lasten kanssa työskentelevien rikostaustan selvittämisestä annetussa laissa (504/2002). Oikeudesta saada tietoja rikosrekisteristä säädetään rikosrekisterilaissa (770/1993).

Työnantajan on ilmoitettava työntekijälle etukäteen tätä koskevien tietojen hankkimisesta luotettavuuden selvittämistä varten. Jos työnantaja hankkii työntekijän henkilöluottotietoja, työnantajan tulee lisäksi ilmoittaa työntekijälle, mistä rekisteristä luottotiedot hankitaan. Jos työntekijää koskevia tietoja on kerätty muualta kuin työntekijältä itseltään, työnantajan on ilmoitettava työntekijälle saamistaan tiedoista ennen kuin niitä käytetään työntekijää koskevassa päätöksenteossa. Rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja sekä rekisteröidyn oikeudesta saada pääsy tietoihin säädetään tietosuoja-asetuksen III luvussa.

Henkilötietojen kerääminen työhön otettaessa ja työsuhteen aikana kuuluu yhteistoiminnasta yrityksissä annetussa laissa (334/2007), yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (1233/2013) sekä työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007) tarkoitetun yhteistoimintamenettelyn piiriin.

5 §
Terveydentilaa koskevien tietojen käsittely

---

Työnantajan on säilytettävä hallussaan olevat työntekijän terveydentilaa koskevat tiedot erillään muista keräämistään henkilötiedoista. Terveydentilaa koskevat tiedot on poistettava välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa tarkoitettua perustetta. Käsittelyn perustetta ja tarvetta on arvioitava vähintään viiden vuoden välein.

16 §
Kameravalvonnan edellytykset

---

Työnantaja voi kuitenkin 1 momentin estämättä kohdentaa kameravalvonnan tiettyyn työpisteeseen, jossa työntekijöitä työskentelee, jos tarkkailu on välttämätöntä:

---

3) työntekijän etujen ja oikeuksien varmistamiseksi ja kameravalvonta perustuu tarkkailun kohteeksi tulevan työntekijän pyyntöön.

22 §
Valvonta

Tämän lain noudattamista valvovat työsuojeluviranomaiset toimivaltansa mukaisesti yhdessä tietosuojavaltuutetun kanssa. Tietosuojavaltuutetun tehtävistä ja toimivallasta säädetään tietosuoja-asetuksen 55—59 artiklassa ja tietosuojalain 14 §:ssä. Työsuojeluviranomaisten tehtävistä ja toimivallasta säädetään työsuojelun valvonnasta ja työpaikan työsuojeluyhteistoiminnasta annetun lain (44/2006) 2 ja 3 luvussa.

24 §
Rangaistussäännös

Työnantaja tai tämän edustaja, joka tahallaan tai törkeästä huolimattomuudesta

1) rikkoo 9 §:n säännöksiä tiedonantovelvollisuudesta,

2) vastoin 5 §:n 1 momentin säännöksiä käsittelee työntekijän terveydentilaa koskevia tietoja,

3) vastoin 5 a §:n säännöksiä hankkii tai käyttää työnhakijan tai työntekijän henkilöluottotietoja,

4) vastoin 7 §:n säännöksiä ottaa vastaan tai muutoin käsittelee työnhakijan huumausainetestiä koskevaan todistukseen merkittyjä tietoja,

5) vastoin 8 §:n säännöksiä vaatii työntekijää esittämään todistuksen huumausainetestistä tai muutoin käsittelee siihen merkittyjä tietoja,

6) vastoin 13 §:n 1 momentin säännöksiä testaa työntekijän henkilö- tai soveltuvuusarvioinnein tämän suostumuksetta taikka jättää varmistamatta testaamismenetelmän luotettavuuden, testaajan asiantuntevuuden tai testauksella saatavien tietojen virheettömyyden,

7) rikkoo 13 §:n 2 momentin säännöksiä kirjallisen lausunnon antamisesta tai selvityksen antamisesta suullisen lausunnon sisällöstä,

8) vastoin 14 §:n säännöksiä käyttää muuta kuin terveydenhuollon ammattihenkilöstöä, asianomaisen laboratoriokoulutuksen saanutta henkilöstöä tai terveydenhuollon palveluja,

9) vastoin 15 §:n säännöksiä edellyttää työntekijän osallistuvan geneettiseen tutkimukseen tai hankkii tiedon työntekijälle tehdystä geneettisestä tutkimuksesta,

10) vastoin 16 §:n säännöksiä toteuttaa kameravalvontaa,

11) rikkoo 17 §:n säännöksiä kameravalvonnan avoimuudesta,

12) vastoin 19 §:n säännöksiä hakee esille tai vastoin 20 §:n säännöksiä avaa työntekijälle lähetetyn tai työntekijän lähettämän viestin,

13) rikkoo 21 §:n 2 momentin säännöksiä määrittely- tai tiedottamisvelvollisuudesta taikka

14) rikkoo 23 §:n säännöksiä tämän lain nähtävänäpidosta

on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, yksityisyyden suojasta työelämässä annetun lain rikkomisesta sakkoon.

Rangaistus tietosuojarikoksesta, tietomurrosta, salakatselusta, salakuuntelusta, viestintäsalaisuuden loukkauksesta, salassapitorikoksesta ja virkarikoksista säädetään rikoslaissa (39/1889).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan lasten kanssa työskentelevien rikostaustan selvittämisestä annetun lain (504/2002) 10 §:n 3 momentti seuraavasti:

10 §
Rangaistussäännökset

---

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 13 päivänä heinäkuuta 2018

Pääministeri
Juha Sipilä

Työministeri
Jari Lindström