MOTIVERING
1
Bakgrund och beredning
1.1
Bakgrund
Bestämmelsen om insamling av arbetstagares personuppgifter i 4 § 1 mom. i lagen om integritetsskydd i arbetslivet (759/2004) ändrades genom en lag om ändring av lagen om integritetsskydd i arbetslivet (347/2019) som trädde i kraft år 2019. Ändringen grundade sig på det betänkande av arbetslivs- och jämställdhetsutskottet (AjUB 12/2018 rd) som hänförde sig till regeringens proposition med förslag till lagar om ändring av lagen om integritetsskydd i arbetslivet och 10 § i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (RP 97/2018 rd) och där utskottet föreslog att ordalydelsen i 4 § 1 mom. skulle preciseras för att ändra tolkningspraxis för paragrafen. Riksdagen förutsatte dock i ett uttalande (RSv 236/2018 rd) som den godkände i samband med behandlingen av lagen att man utreder de eventuella ändringsbehoven i fråga om regleringen om utredning av en arbetstagares tillförlitlighet (4 § 1 mom.) genom lagberedning på trepartsbasis och strävar efter att hitta en lämplig balans mellan integritetsskyddet för arbetstagare och arbetsgivarnas behov av informationsbehandling. I beredningen skulle man beakta dataombudsmannens tolkningspraxis, utvecklingen inom lagstiftningen och vid behov EU:s direktivförslag om skydd för personer som rapporterar om överträdelser av unionsrätten.
1.2
Beredning
Propositionen har beretts i en inofficiell arbetsgrupp på trepartsbasis med företrädare för Akava rf, STTK rf, Finlands Fackförbunds Centralorganisation FFC rf, Finlands näringsliv rf, Företagarna i Finland rf, Kommunala arbetsmarknadsverket, Statens arbetsmarknadsverk, Kyrkans arbetsmarknadsverk samt som sakkunnig en företrädare för dataombudsmannens byrå.
Arbets- och näringsministeriet bad om utlåtande om utkastet till regeringsproposition av de aktörer som var representerade i arbetsgruppen, regionförvaltningsverken, justitieministeriet, social- och hälsovårdsministeriet samt Ålands landskapsregering.
Remisstiden var den 12 juli–6 september 2021. Det lämnades 14 utlåtanden. Utlåtanden lämnades av justitieministeriet, social- och hälsovårdsministeriet, Ålands landskapsregering, ansvarsområdena för arbetarskyddet vid Regionförvaltningsverket i Södra, Sydvästra, Östra, Norra samt Västra och Inre Finland, dataombudsmannen, Domstolsverket, löntagarcentralorganisationerna (Akava rf, Finlands Fackförbunds Centralorganisation FFC rf och STTK rf), Akavas Specialorganisationer rf, Autoliikenteen Työnantajaliitto ry, Finlands näringsliv rf, Företagarna i Finland rf, Föreningen för Finlands Licensierade Privatdetektiver och Advokatbyråer rf, Teknologiateollisuus ry och Tietojohtaminen ry. Finansministeriet hade inga kommentarer.
Förarbetena till regeringens proposition finns offentligt tillgängliga på adressen https://valtioneuvosto.fi/sv/projekt med projekt-id TEM097:00/2020.
2
Nuläge och bedömning av nuläget
2.1
Lagstiftning
2.1.1
Nationell lagstiftning
Enligt 10 § 1 mom. i Finlands grundlag (731/1999) är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Skyddet av personuppgifter ingår delvis i det skydd för privatlivet som tryggas i paragrafen.
Vid behandling av personuppgifter i ett anställningsförhållande ska man iaktta Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen, och vid sidan av den dataskyddslagen (1050/2018) samt som speciallag lagen om integritetsskydd i arbetslivet.
Lagen om integritetsskydd i arbetslivet gäller förhållandet mellan arbetsgivaren och arbetstagaren. I lagen om integritetsskydd i arbetslivet föreskrivs om behandling av arbetstagares personuppgifter, test och kontroller som gäller arbetstagare samt om de krav som ställs på dessa, teknisk övervakning på arbetsplatsen samt hämtning och öppnande av arbetstagares elektroniska meddelanden. Lagen tillämpas på personer i arbetsavtalsförhållande eller tjänsteförhållande samt i tillämpliga delar på arbetssökande och sökande till en tjänst. I lagen beaktas specialbehoven gällande behandlingen av uppgifter i förhållandet mellan arbetsgivare och arbetstagare samt sammanjämkas skyddet av privatlivet för arbetstagare med arbetsgivarnas behov att i anslutning till anställningsförhållandet behandla sina arbetstagares personuppgifter.
Lagens centrala bestämmelse ingår i 3 § 1 mom., enligt vilket arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet eller med de förmåner arbetsgivaren erbjuder arbetstagarna eller med arbetsuppgifternas särskilda natur (relevanskrav). Enligt 2 mom. kan avvikelser från relevanskravet inte göras med arbetstagarens samtycke.
Syftet med lagen om integritetsskydd i arbetslivet är att reglera behandlingen av personuppgifter i anslutning till anställningsförhållandet. Enligt förarbetena (Regeringens proposition till Riksdagen med förslag till lag om integritetsskydd i arbetslivet och till vissa lagar som har samband med den, RP 75/2000 rd, s. 16/I) fastställs i lagens 3 § att ändamålet för hanteringen av personuppgifter är anställningsförhållandet. Ett ändamål som ansluter sig till anställningsförhållandet kan gälla åtminstone anställningen av arbetstagare, genomförandet av arbetsavtal och arbetsledning, planering, organisering eller övervakning av arbetet, fullgörandet av skyldigheter enligt lagar eller kollektivavtal eller avslutande av anställningsförhållandet. Personuppgiftsansvariga behandlar personuppgifter också för andra ändamål än sådana som ansluter sig till anställningsförhållandet. I de fallen tillämpas dataskyddsförordningen på behandlingen.
Arbetsgivarens behov av att samla in uppgifter kan på det sätt som anges i förarbetena bero på bland annat myndigheterna, kunderna, arbetsmiljön, personalförvaltningen och utvecklingen av organisationen. Inom den offentliga sektorn föreskrivs särskilt om bland annat förfarandet för sökande av tjänst och grunderna för utnämning till en tjänst. Uppgifter som har direkt relevans för anställningsförhållandet är enligt förarbetena till lagen till exempel uppgifter som behövs för att arbetsuppgifterna ska kunna utföras, för att arbetstagare ska kunna väljas, för anställningsförhållandena samt för att vissa bestämmelser i arbets- och tjänstekollektivavtalen ska uppfyllas samt uppgifter som förutsätts i lagstiftningen. Relevansbedömningen ska utföras separat i varje enskilt fall. Arbetsgivarens rätt att samla in arbetssökandens personuppgifter ska granskas utgående från den arbetsuppgift som den som anmält sig som sökande vill ha. Nödvändiga är då i första hand sådana uppgifter som påvisar sökandens behörighet och lämplighet för den aktuella uppgiften. Relevanskravet anknyter även till diskrimineringsskyddet för arbetssökande och arbetstagare, eftersom insamlingen av uppgifter som inte behövs för arbetsförhållandet i vissa fall kan leda till diskriminering. Enligt förarbetena kan arbetstagarens samtycke inte åsidosätta relevanskravet, eftersom samtycket på grund av arbetstagarens underordnade ställning inte kan ges en sådan innebörd som baserar sig på fullständigt fri viljebildning. (RP 75/2000 rd, s. 16–18.)
I lagens 4 § föreskrivs om allmänna förutsättningar för insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt. Enligt 1 mom. ska arbetsgivaren samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren själv. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren, ska arbetstagarens samtycke till detta inhämtas. Arbetstagarens samtycke behövs dock inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller om det finns särskilda och uttryckliga bestämmelser i lag om insamling eller inhämtande av sådana uppgifter. I 1 mom. föreskrivs att informationskällan till personuppgifter som gäller arbetstagaren i första hand är arbetstagaren själv. I paragrafen ges ingen uttömmande beskrivning av övriga informationskällor från vilka arbetstagares personuppgifter kan insamlas. Användningen av andra informationskällor förutsätter dock i regel arbetstagarens samtycke. De uppgifter som insamlas ska uppfylla relevanskravet enligt 3 §.
Med insamling av uppgifter avses enligt förarbetena till lagen (RP 75/2000 rd, s. 18/I) systematisk insamling av uppgifter. Med uppgifter som samlas in hos utomstående avses alla personuppgifter, oavsett hur de samlas in.
Före den ändring av 4 § 1 mom. som trädde i kraft 2019 behövdes arbetstagarens samtycke enligt momentets ordalydelse inte när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar eller straffregisteruppgifter för utredning av en arbetstagares tillförlitlighet. I regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om integritetsskydd i arbetslivet och 10 § i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (RP 97/2018 rd) föreslogs att omnämnandet av straffregisteruppgifter, vars behandling endast kan grunda sig på specialbestämmelser, stryks som vilseledande. Arbetslivs- och jämställdhetsutskottet ansåg under behandlingen av lagförslaget i sitt betänkande (AjUB 12/2018 rd) att ordalydelsen i 4 § 1 mom. även i övrigt skulle ändras för att precisera tolkningspraxis och förtydliga paragrafen. Genom den ändring som utskottet föreslog betonades det att det bara är i fall som anges särskilt i lagen som insamlingen av uppgifter inte kräver arbetstagarens samtycke. Arbetslivs- och jämställdhetsutskottet ansåg att betydande ändringar inte bör göras i lagen utan en grundlig lagberedning. Utskottet ansåg det motiverat att utreda ändringsbehoven i fråga om momentet.
Arbetslivs- och jämställdhetsutskottet motiverade i sitt betänkande behovet av att precisera 4 § 1 mom. med de oklarheter som förekommit i tolkningspraxis. Enligt dataombudsmannens vedertagna tolkningspraxis har samtycke inte heller behövts i de fall som avses i förarbetena till lagen (RP 75/2000 rd, s. 18–19), dvs. när insamling av personuppgifter behövs för att utreda arbetstagarens tillförlitlighet eller därmed jämförbara ändamål. I den regeringsproposition som ledde till att lagen stiftades (RP 75/2000 rd) föreslogs i 4 § 1 mom. en bestämmelse enligt vilken arbetstagarens samtycke ska inhämtas, om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren och uppgifterna inte behövs för att utreda arbetstagarens tillförlitlighet. I motiveringen till bestämmelsen fogades till utredande av arbetstagarens tillförlitlighet personkreditupplysningar, utredningar av ekonomiskt beroende och polisens utlåtanden om tillförlitlighet. Dessutom jämställdes kundrespons som gäller arbetstagaren med utredande av en persons tillförlitlighet. Ordalydelsen för 4 § 1 mom. i lagen ändrades dock under riksdagsbehandlingen på basis av arbetslivs- och jämställdhetsutskottets betänkande (AjUB 3/2001 rd) så, att arbetstagarens samtycke inte behövs, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller när arbetsgivaren inhämtar personkreditupplysningar eller straffregisteruppgifter för utredning av en arbetstagares tillförlitlighet.
Lagstiftningen om utredande av arbetstagares tillförlitlighet har utvecklats efter det att lagen om integritetsskydd i arbetslivet stiftades. Polisens utlåtanden om tillförlitlighet som i förarbetena till lagen kopplades till utredande av tillförlitligheten har ersatts med säkerhetsutredningar, om vilka det föreskrivs separat. I säkerhetsutredningen kan man också utreda personkreditupplysningar och ekonomiska bindningar. Bestämmelser om personkreditupplysningar finns i 5 a § i lagen om integritetsskydd i arbetslivet och bestämmelser om narkotikatest finns i lagens 3 kap. I 4 § 1 mom. finns hänvisningar till övrig lagstiftning om utredande av tillförlitligheten. Bestämmelser om inhämtande av säkerhetsutredning finns i säkerhetsutredningslagen (726/2014). Bestämmelser om ett förfarande för kontroll av brottslig bakgrund hos personer som väljs för arbete med minderåriga finns i lagen om kontroll av brottslig bakgrund hos personer som arbetar med barn (504/2002). Bestämmelser om rätten att få uppgifter ur straffregistret finns i straffregisterlagen (770/1993).
Enligt 4 § 2 mom. i lagen om integritetsskydd i arbetslivet ska arbetsgivaren på förhand underrätta arbetstagaren om att uppgifter samlas in för utredning av dennas tillförlitlighet. Om arbetsgivaren skaffar personkreditupplysningar om arbetstagaren, ska arbetsgivaren enligt 4 § 2 mom. dessutom informera arbetstagaren från vilket register uppgifterna skaffas. Om uppgifter om arbetstagaren har samlats in någon annanstans än hos arbetstagaren själv, ska arbetsgivaren informera arbetstagaren om de uppgifter som inhämtats innan de används för beslutsfattande som gäller arbetstagaren. I momentet finns en informativ hänvisning till bestämmelserna i kapitel III i dataskyddsförordningen om den personuppgiftsansvariges skyldighet att till den registrerade lämna uppgifter samt om den registrerades rätt att få tillgång till uppgifter.
Insamling av personuppgifter när någon anställs och under ett arbetsavtalsförhållande ska enligt lagens 4 § 3 mom. behandlas i dialog enligt samarbetslagen (1333/2021) eller i samarbetsförfarande enligt lagen om samarbete inom statens ämbetsverk och inrättningar (1233/2013) eller lagen om samarbete mellan arbetsgivare och arbetstagare i kommuner och välfärdsområden (449/2007).
2.1.2
EU-lagstiftning
I artikel 5.1 i dataskyddsförordningen föreskrivs om principerna för behandling av personuppgifter. Dessa är laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering samt integritet och konfidentialitet. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet). Väsentliga krav med tanke på en systematisk behandling av uppgifter finns också i förordningens artikel 25 om inbyggt dataskydd och dataskydd som standard.
I artikel 6 i dataskyddsförordningen föreskrivs om laglig behandling av personuppgifter. All behandling av personuppgifter ska basera sig på någon av de lagliga grunder för behandlingen som anges i artikel 6.1. Enligt artikel 6.1 är behandling av personuppgifter endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (led a), behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (led b), behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c), behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (led d), behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e) eller behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).
Genom dataskyddsförordningen har begreppet samtycke ändrats och preciserats jämfört med Europaparlamentets och rådets direktiv (95/46/EG) om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, nedan personuppgiftsdirektivet, som föregick dataskyddsförordningen. Bestämmelser om definitionen på samtycke finns i artikel 4.11 i dataskyddsförordningen. Med samtycke av den registrerade avses varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
Enligt artikel 7 i dataskyddsförordningen ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter, om behandlingen grundar sig på samtycke. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av förordningen, ska denna del inte vara bindande. De registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycke, innan detta återkallas. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn bland annat tas till huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.
Enligt skäl 43 i ingressen till dataskyddsförordningen bör samtycket för att säkerställa att det lämnas frivilligt inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige.
Den artikel 29-arbetsgrupp som avses i personuppgiftsdirektivet (Article 29 Working Party) har utfärdat riktlinjer om samtycke enligt dataskyddsförordningen (Guidelines on Consent under Regulation 2016/679). Dessa har godkänts av Europeiska dataskyddsstyrelsen efter det att dataskyddsförordningen började tillämpas. Enligt riktlinjerna är samtycket inte giltigt om den registrerade inte har någon faktisk möjlighet till valfrihet, om den registrerade känner sig tvingad att ge sitt samtycke eller kommer att få utstå negativa konsekvenser om han eller hon inte samtycker.
Enligt riktlinjerna förekommer sådan maktobalans som avses i skäl 43 i ingressen till dataskyddsförordningen också i anställningsförhållanden. Med tanke på den beroendeställning som följer av ett anställningsförhållande är det osannolikt att den registrerade kan vägra ge sin arbetsgivare samtycke till behandling av personuppgifter utan att vara rädd för eller löpa verklig risk för negativa konsekvenser till följd av sin vägran. Det är osannolikt att en arbetstagare fritt skulle kunna svara på en begäran om samtycke från sin arbetsgivare för att denne till exempel ska få aktivera övervakningssystem som kameraövervakning på arbetsplatsen eller fylla i bedömningsformulär, utan att arbetstagaren känner sig tvingad att ge sitt samtycke. Enligt riktlinjerna kan och bör den lagliga grunden vid sådan databehandling på arbetsplatsen på grund av hur förhållandet mellan arbetsgivare och arbetstagare är beskaffat i de allra flesta fall inte utgöras av arbetstagarens samtycke. Med tanke på maktobalansen mellan en arbetsgivare och personalen, kan arbetstagarna endast ge sitt fria samtycke i undantagsfall, när inga negativa konsekvenser kommer att uppstå oavsett om de ger sitt samtycke eller inte.
Bestämmelser om den registrerades rättigheter finns i kapitel III i dataskyddsförordningen. I kapitlet finns bland annat detaljerade bestämmelser om informering av registrerade, registrerades rätt att få tillgång till personuppgifter, rätt till rättelse eller radering av uppgifter, begränsning av behandling av uppgifter samt rätt att invända mot behandling.
Dataskyddsförordningen är direkt tillämplig lagstiftning i EU:s medlemsstater. När det gäller behandling av personuppgifter som omfattas av tillämpningsområdet för dataskyddsförordningen är nationell lagstiftning som preciserar dataskyddsförordningen endast möjlig när i förordningen uttryckligen ges nationellt handlingsutrymme till medlemsstaterna. Till flera artiklar i dataskyddsförordningen ansluter nationellt handlingsutrymme. Bestämmelserna om behandlingen av arbetstagares personuppgifter ska ingå i det handlingsutrymme som dataskyddsförordningen medger och de får inte heller annars stå i strid med förordningen.
Handlingsutrymmet kan för det första användas när behandlingen av personuppgifter grundar sig på artikel 6.1 c eller e i dataskyddsförordningen, det vill säga när behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller när behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Syftet med behandlingen ska fastställas i den rättsliga grunden. Den preciserande lagstiftningen kan i dessa fall innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling samt vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, lagringstid, ändamålsbegränsning och typer av behandling. Medlemsstatens lagstiftning ska enligt artikel 6 uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Med beaktande av dataskyddsförordningens direkta tillämplighet och grundlagsutskottets tolkningspraxis under senare tid (se särskilt GrUU 14/2018 rd) bör användningen av speciallagstiftning begränsas enbart till det nödvändigaste.
I fråga om dataskyddsförordningens definition på samtycke eller de villkor som anges i artikel 7 finns inget nationellt handlingsutrymme.
I artikel 88 i dataskyddsförordningen föreskrivs om handlingsutrymmet i fråga om behandling av personuppgifter i anställningsförhållanden. Enligt artikel 88.1 får medlemsstaterna i lag eller i kollektivavtal fastställa mer specifika regler för att säkerställa skyddet av rättigheter och friheter vid behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller rekrytering, genomförande av anställningsavtalet inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, hälsa och säkerhet på arbetsplatsen samt skydd av arbetsgivarens eller kundens egendom men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet. Enligt 2 punkten ska dessa regler innehålla lämpliga och specifika åtgärder för att skydda den registrerades mänskliga värdighet, berättigade intressen och grundläggande rättigheter, varvid hänsyn särskilt ska tas till insyn i behandlingen, överföring av personuppgifter inom en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet samt övervakningssystem på arbetsplatsen.
Enligt skäl 155 i ingressen till dataskyddsförordningen får en medlemsstats nationella rätt eller kollektivavtal, inbegripet ”verksamhetsöverenskommelser”, föreskriva särskilda bestämmelser om behandling av anställdas personuppgifter i anställningsförhållanden, särskilt när det gäller villkoren för hur personuppgifter i anställningsförhållanden får behandlas på grundval av samtycke från den anställde, rekrytering, genomförande av anställningsavtalet, inklusive befrielse från i lag eller kollektivavtal stadgade skyldigheter, ledning, planering och organisering av arbetet, jämställdhet och mångfald i arbetslivet, samt hälsa och säkerhet på arbetsplatsen, men också när det gäller att såväl kollektivt som individuellt utöva och komma i åtnjutande av rättigheter och förmåner som är knutna till anställningen samt att avsluta anställningsförhållandet.
I Europaparlamentets och rådets direktiv (EU) 2019/1937 om skydd för personer som rapporterar om överträdelser av unionsrätten föreskrivs om skyldigheten att upprätthålla kanaler för rapportering av överträdelser inom vissa sektorer som räknas upp i direktivet. I direktivet finns bestämmelser om skydd för dem som rapporterar om överträdelser och för berörda fysiska och juridiska personer samt om förutsättningarna för skydd.
2.2
Internationella fördrag och rekommendationer
2.2.1
Europarådet
Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (FördrS 35–36/1992), nedan dataskyddskonventionen, trädde i Finland i kraft den 1 april 1992. Ett protokoll om ändring av konventionen öppnades för undertecknande den 10 oktober 2018, varvid även Finland undertecknade det. EU:s dataskyddslagstiftning reviderades samtidigt med reformen av dataskyddskonventionen. Man har försökt säkerställa en så långtgående samstämmighet som möjligt mellan dataskyddskonventionen och EU:s dataskyddslagstiftning. Enligt den nya artikel 7.2 i ändringsprotokollet ska parterna säkerställa att databehandling kan utföras med den registrerades fria, uttryckliga, informerade och otvetydiga samtycke eller på någon annan legitim grund som fastställts i lag.
Europarådets ministerkommitté har år 2015 godkänt en rekommendation om behandling av personuppgifter i arbetslivet (Recommendation CM/Rec(2015)5 of the Committee of Ministers to member States on the processing of personal data in the context of employment), genom vilken 1989 års rekommendation R(89) 2 om skydd av personuppgifter som används för skötseln av ett arbetsförhållande uppdaterades. Den tidigare rekommendationen beaktades vid stiftandet av lagen om integritetsskydd i arbetslivet (RP 75/2000 rd). Orsaken till uppdateringen av rekommendationen var förändringarna i arbetslivet, framför allt på grund av den ökade användningen av informationsteknik och globaliseringen. I motiveringen till rekommendationen konstateras att arbetsgivarna, arbetstagarna och deras behov förändrats i och med den ökade användningen av ny teknik och att mångfalden av personuppgifter som behandlas ökat.
Rekommendationen gäller behandling av personuppgifter för ändamål som har samband med anställningsförhållandet (employment purposes). Med det avses förhållandena mellan arbetsgivare och arbetstagare i fråga om rekrytering, genomförandet av arbetsavtal, arbetsledning, inbegripet fullgörandet av skyldigheter enligt lagar eller kollektivavtal, samt planering av organisationen och en effektiv verksamhet samt avslutande av anställningsförhållandet. Enligt motiveringen omfattar ändamål som har samband med anställningsförhållandet också disciplinära ärenden (såsom interna utredningar och sanktioner) samt behandling för avslutande av anställningsförhållandet.
Enligt rekommendationen ska arbetsgivaren samla in personuppgifterna direkt av den registrerade. Om det är möjligt och lagligt att behandla personuppgifter som insamlas av tredje parter, till exempel rekommendationer, ska den registrerade vederbörligen underrättas om detta på förhand. De uppgifter som insamlas för anställningsförhållandet ska vara väsentliga och begränsas till vad som är nödvändigt med beaktande av anställningsförhållandets art och arbetsgivarens varierande behov av information. De ska endast behandlas för ändamål som har samband med anställningsförhållandet. Om arbetsgivarna enligt lag eller interna regler är skyldiga att upprätthålla interna rapporteringsmekanismer, ska de se till att alla parters personuppgifter skyddas. Särskilt ska man se till konfidentialiteten i fråga om uppgifterna för de personer som rapporterar om olaglig eller oetisk verksamhet (såsom visselblåsare). Personuppgifterna ska endast användas för vederbörliga interna förfarande i samband med rapporteringen och på det sätt som förutsätts i lag eller vid behov i rättsprocesser.
I motiveringen till rekommendationen betonas att behandling av arbetstagares personuppgifter i många fall inte förutsätter samtycke, eftersom det finns en annan laglig grund för behandlingen. För att samtycket ska vara giltigt ska det vara informerat, frivilligt och begränsat till de situationer där arbetstagaren de facto har ett fritt val och också kan vägra eller återta sitt samtycke utan att det leder till negativa konsekvenser.
2.2.2
Internationella arbetsorganisationen
Internationella arbetsorganisationens (ILO) anvisningar om skydd av arbetstagares personuppgifter godkändes vid organisationens expertmöte år 1996. Anvisningarna beaktades vid stiftandet av lagen om integritetsskydd i arbetslivet (RP 75/2000 rd). Anvisningarna är inte bindande för medlemsstaterna.
Den allmänna principen för anvisningarna är att personuppgifterna ska behandlas lagligt och rättvist och endast för ändamål som har direkt samband med skötseln av arbetstagarens anställningsförhållande. Arbetstagares personuppgifter bör endast insamlas av arbetstagaren. När uppgifter insamlas hos tredje parter ska arbetstagaren först underrättas om saken och hans eller hennes uttryckliga samtycke till insamlingen av uppgifter inhämtas. I anvisningarnas förklaringsdel konstateras att arbetstagarnas beroende av arbetsplatsen i regel leder till att arbetstagarna strävar efter att iaktta arbetsgivarnas önskemål, varvid deras deltagande i behandlingen av uppgifter förblir en formalitet. Av denna anledning har behandlingen av känsliga uppgifter begränsats.
I anvisningarnas förklaringsdel konstateras att arbetsgivarna samlar in personuppgifter om arbetssökande och arbetstagare för flera olika ändamål. I förklaringsdelen erkänns även arbetsgivarens behov av att samla in uppgifter för kvalitetskontroll, kundservice, skydd av egendom och organisering av arbetsprocessen.
2.3
Praxis
Arbetsgivarna samlar för ändamål som har samband med anställningsförhållandet in många slags personuppgifter om arbetstagare före och under anställningsförhållandet. Personuppgifter som samlas in för rekrytering gäller särskilt bakgrundsinformationen om arbetstagaren, såsom utbildning, tidigare arbetserfarenhet samt bedömning av kunnande och lämplighet. De personuppgifter som behövs för att fatta ett rekryteringsbeslut samlas huvudsakligen in hos arbetstagaren själv, men också på annat håll, ofta hos tidigare arbetsgivare.
Under anställningsförhållandet samlar arbetsgivarna in personuppgifter om arbetstagarna i samband med anställningsförhållandet för fullgörande av sina skyldigheter enligt lag och arbets- och tjänstekollektivavtal, för genomförandet av arbetsavtal och arbetsledning, planering, organisering och övervakning av arbetet, bedömningar och beslut som gäller arbetstagare, såsom bedömning av arbetsprestationen eller val till nya uppgifter eller utbildning eller givande av anmärkning eller varning eller avslutande av anställningsförhållandet. Respons i fråga om arbetet insamlas på arbetsplatsen samt till exempel hos samarbetsparter eller kunder. Dessutom får arbetsgivare arbetstagares personuppgifter genom olika informationssystem som grundar sig på rätten att leda och övervaka arbetet (så kallad direktionsrätt). Informationssystemen kan gälla skötseln av anställningsförhållandet, såsom system för uppföljning av arbetstiden eller semestrar, eller arbetsgivarens verksamhet i övrigt, såsom olika informationssystem för genomförande och styrning av verksamheten. Arbetsgivarens behov av att behandla arbetstagares personuppgifter hör ofta till stor del samman med fullgörandet av arbetsgivarens lagstadgade skyldigheter eller utnyttjande av rätten att leda och övervaka arbetet. Dessutom insamlas arbetstagares personuppgifter också för genomförande av förmåner eller till exempel för genomförande av rekreationsverksamhet.
I dataombudsmannens tidigare praxis har man i överensstämmelse med den tolkningspraxis som det redogörs för ovan med tanke på utredande av tillförlitligheten bedömt många slags situationer som förekommer i arbetslivet, där arbetsgivarna samlar in arbetstagarnas personuppgifter för ett ändamål som har samband med anställningsförhållandet. Det har till exempel ansetts vara tillåtet att samla in kundrespons, att samla in uppgifter för utvecklingssamtal av kolleger eller att för att följa arbetstider samla in uppgifter ur passersystem som upprätthålls av ett annat bolag på gemensamma arbetsplatser. I dataombudsmannens praxis har man ansett att de uppgifter som samlas in ska omfattas av arbetsgivarens rätt att leda och övervaka arbetet.
Dataombudsmannens vedertagna tolkningspraxis har på basis av dataombudsmannens anvisning Arbetslivets dataskydd i s.k. whistleblowing-system (2010) också tillämpats i samband med kanaler för rapportering av överträdelser.
Vid den interna kontrollen av organisationers verksamhet används elektroniska kanaler för rapportering av överträdelser (så kallade whistleblowing-kanaler eller whistleblowing-system). I företag används interna kanaler för rapportering av överträdelser som en del av företagens interna riskhantering och för övervakningen av efterlevnaden av lagstiftningen och andra krav. Det kan också i avtal krävas att företagen har kanaler för rapportering av överträdelser. Genom de interna kanalerna för rapportering av överträdelser insamlas information som har att göra med överträdelser av lagstiftningen eller av arbetsgivarens etiska anvisningar, principer eller andra anvisningar i företagets verksamhet. I de interna kanaler för rapportering av överträdelser som används i företagen är det ofta möjligt att rapportera om många olika slags händelser. I samma kanal för rapportering av överträdelser kan samlas anmälningar om såväl överträdelser av lagstiftningen som förfaranden i strid med etiska normer. I en del företag används kanaler för rapportering av överträdelser också för intressentgrupper, såsom kunder. Med kanalerna för rapportering av överträdelser befrämjas ansvarsfull företagsverksamhet.
Anmälningarna till kanalerna för rapportering av överträdelser kan också gälla enskilda arbetstagare och misstänkta överträdelser eller missbruk från deras sida. På basis av dataombudsmannens tolkningspraxis lämpar sig 4 § 1 mom. i lagen om integritetsskydd i arbetslivet på insamling av uppgifter genom kanaler för rapportering av överträdelser, när de uppgifter som insamlas gäller en viss arbetstagare. Det kan således vara fråga om insamling av personuppgifter i samband med anställningsförhållandet. Enligt dataombudsmannens beslut (21.12.2018) ska det göras en sådan konsekvensbedömning som avses i dataskyddsförordningen när personuppgifter behandlas i samband med så kallade whistleblowing-system, dvs. system för uppgiftslämnande.
I direktivet om skydd för personer som rapporterar om överträdelser av unionsrätten föreskrivs om skyldigheten att upprätthålla kanaler för rapportering av överträdelser inom vissa lagstiftningsområden som uppräknas i direktivet. Kanaler för rapportering av överträdelser har också använts i andra organisationer än de som med stöd av gällande lagstiftning är skyldiga att upprätthålla sådana (exempelvis finanssektorn) eller som omfattas av tillämpningsområdet för nämnda direktiv.
2.4
Bedömning av nuläget
Efter det att lagen om integritetsskydd i arbetslivet stiftades har lagstiftningen om utredande av arbetstagares tillförlitlighet utvecklats på det sätt som redogörs i avsnitt 2.1.1. Med beaktande av lagstiftningens utveckling vad gäller utredande av tillförlitligheten är det inte motiverat att i lagens 4 § föreskriva noggrannare om utredande av arbetstagarens tillförlitlighet än för närvarande.
I 4 § 1 mom. krävs arbetstagarens samtycke till insamling av arbetstagarens personuppgifter från andra informationskällor än av arbetstagaren. Ändringen av ordalydelsen för 4 § 1 mom. år 2019 medförde ett behov att bedöma tillämpningen av villkoret om samtycke. Genom ändringen betonades det i överensstämmelse med arbetslivs- och jämställdhetsutskottets betänkande (AjUB 12/2018 rd) att det bara är i fall som anges särskilt i lagen som insamlingen av uppgifter inte kräver arbetstagarens samtycke. Villkoret gällande samtycke lämpar sig inte för alla situationer där arbetstagarens personuppgifter insamlas någon annanstans än hos arbetstagaren. Lagändringen har lett till viss förvirring, eftersom den inte motsvarar i arbetslivet vedertagen, allmänt godtagen praxis. Det är uppenbart att det inte har varit entydigt hur 4 § 1 mom. i lagen om integritetsskydd i arbetslivet ska tillämpas.
Enligt tidigare tolkningspraxis som baserar sig på utredande av arbetstagarens tillförlitlighet enligt förarbetena till lagen (RP 75/2000 rd) har det ansetts möjligt att samla in arbetstagares personuppgifter under anställningen utan samtycke i många sådana normala arbetslivssituationer där samtycke inte är tillämpligt. I många situationer i samband med ledningen eller övervakningen av arbetet eller skötseln av arbetsgivarens lagstadgade skyldigheter under anställningsförhållandet bes vanligtvis inte om arbetstagarens samtycke för insamling av personuppgifter. Sådana situationer är till exempel insamling av personuppgifter i samband med övervakning av arbetsprestationen och efterlevnaden av lagstiftningen och arbetsgivarens anvisningar samt kanaler för rapportering av överträdelser. När det gäller tillämpningen av lagen är det oklart om insamling av uppgifter i kanaler för rapportering av överträdelser förutsätter samtycke av arbetstagarna. Det är inte motiverat att genom villkoret som gäller samtycke förhindra användningen av kanaler för rapportering av överträdelser som annars överensstämmer med lagstiftningen och har betydelse med tanke på företagens ansvar. I samband med genomförandet av direktivet om skydd för personer som rapporterar om överträdelser av unionsrätten utreds kraven på kanaler för rapportering av överträdelser som omfattas av den nationella lagen om skydd för personer som rapporterar om överträdelser. I direktivet förutsätts nationell lagstiftning om kraven på kanaler för rapportering av överträdelser.
När det gäller regleringen av insamling av arbetstagares personuppgifter står avvägningen mellan å ena sidan skyddet för arbetstagarens personuppgifter och arbetstagarens integritetsskydd och å andra sidan arbetsgivarens behov av att samla in uppgifter som har samband med anställningsförhållandet och tillgodoseendet av de rättigheter och fullgörande av de skyldigheter som ansluter till det. Dessa intressen balanseras upp av relevanskravet i 3 § som möjliggör behandling av behövliga personuppgifter för behörigt utnyttjande av rätten att leda och övervaka arbetet. Kravet på samtycke enligt gällande 4 § 1 mom. begränsar insamling av i 3 § avsedda uppgifter och arbetsgivarens utnyttjande av rätten att leda och övervaka arbete.
Arbetsgivaren har lagstadgade skyldigheter i anslutning till anställningsförhållandet vilkas fullgörande förutsätter behandling av arbetstagarens personuppgifter. Enligt ordalydelsen i 4 § 1 mom. i lagen om integritetsskydd i arbetslivet förutsätter insamling av arbetstagares personuppgifter för fullgörande av lagstadgade krav att arbetstagarens personuppgifter insamlas i första hand hos arbetstagaren själv eller, om de insamlas någon annanstans, att arbetstagaren ger sitt samtycke till insamlingen. Undantag är situationer där en myndighet lämnar ut arbetstagarens personuppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren (till exempel för utmätning av lön) samt situationer i fråga om vilka det annanstans i lag finns särskilda och uttryckliga bestämmelser om insamling eller inhämtande av sådana uppgifter. I lagstiftningen, till exempel i arbetsavtalslagen (55/2001) och arbetsskyddslagstiftningen, föreskrivs allmänt om arbetsgivarens skyldigheter, inte om behandling av personuppgifter för fullgörande av dessa skyldigheter. Av 4 § 1 mom. framgår det på basis av tolkningen enligt dess ordalydelse inte tydligt att det med bestämmelserna i momentet inte varit avsikten att göra behövlig insamling av personuppgifter för fullgörande av lagstadgade skyldigheter beroende av arbetstagarens samtycke. Av denna anledning bör ordalydelsen i 1 mom. preciseras i syfte att göra lagstiftningen tydligare och undvika tolkningsproblem.
Enligt 4 § 1 mom. i den gällande lagen är den rättsliga grunden för insamling av arbetstagares personuppgifter i regel samtycke, när uppgifterna samlas in någon annanstans än hos arbetstagaren. Genom det villkor som gäller samtycke enligt gällande lag främjas insynen i behandlingen av uppgifter, arbetstagarens informerade självbestämmanderätt samt rätt att bli bedömd på basis av korrekta och tillförlitliga uppgifter. På behandling som grundar sig på samtycke tillämpas relevanskravet i 3 §, som balanserar förhållandet mellan arbetsgivaren och arbetstagaren så att arbetsgivaren inte med stöd av arbetstagarens samtycke kan samla in andra arbetstagares personuppgifter än sådana som är direkt behövliga med tanke på anställningsförhållandet.
Om samtycke som rättslig grund för behandling av personuppgifter föreskrivs i artikel 6.1 a i dataskyddsförordningen. Förhållandet mellan regleringen gällande samtycke i 4 § 1 mom. i den gällande lagen och artikel 6.1 a och artikel 7 i dataskyddsförordningen framgår inte tydligt av bestämmelsens ordalydelse.
Med beaktande av de villkor för samtycke som fastställs i dataskyddsförordningen och Europeiska dataskyddsstyrelsens tolkningspraxis gällande användning av samtycke i anställningsförhållandet som det redogörs för i avsnitt 2.1.2 är samtycke i princip inte väl lämpat som grund för behandling av personuppgifter i ett anställningsförhållande. Tillgodoseendet av rätten att leda och övervaka arbetet i anställningsförhållandet tar sig uttryck i arbetstagarens osjälvständiga ställning i förhållande till arbetsgivaren. Arbetstagaren är särskilt i situationer som gäller ledning och övervakning av arbetet i princip i en sådan ojämlik situation i förhållande till arbetsgivaren, som det hänvisas till i skäl 43 i ingressen till dataskyddsförordningen.
Tillämpningsområdet för det villkor som gäller samtycke är på ovan beskrivna sätt på basis av ordalydelsen i 4 § 1 mom. otydligt i förhållande till dataskyddsförordningen och de krav som där ställs på samtycket och särskilt dess frivillighet, tillgodoseende av arbetsgivarens rätt att leda och övervaka arbetet och lagstadgade skyldigheter och sedvanlig praxis i arbetslivet. Det gemensamma för ovan beskrivna situationer, där det är motiverat att kunna samla in arbetstagares personuppgifter utan samtycke, är att det är fråga om insamling av personuppgifter för tillgodoseende av arbetsgivarens lagstadgade rättigheter eller fullgörande av arbetsgivarens lagstadgade skyldigheter. Det är skäl att ändra 4 § 1 mom. för att förtydliga tillämpningen av bestämmelsen. Ändringen är motiverad också med tanke på skyddet av arbetstagare. Oklarheterna vid tillämpningen av det villkor som gäller samtycke kan leda till att den rättsliga grunden för behandlingen av uppgifter inte bedöms och behandlingen i sin helhet endast baseras på arbetstagarens antagna eller formella samtycke.
3
Målsättning
Syftet med propositionen är att förtydliga regleringen av insamling av arbetstagares personuppgifter och förhållandet mellan regleringen och dataskyddsförordningen samt att samordna regleringen bättre än för närvarande med dataskyddsförordningen. Målet är att i regleringen sammanjämka arbetsgivarnas på lag grundade behov att samla in arbetstagares personuppgifter för anställningsförhållandet och, å andra sidan, arbetstagarnas integritetsskydd i anställningsförhållandet. Målet är också att regleringen bättre än nuvarande bestämmelser ska lämpa sig för arbetslivets vedertagna, tillbörliga praxis i samband med insamling av arbetstagares personuppgifter.
4
Förslagen och deras konsekvenser
4.1
De viktigaste förslagen
I propositionen föreslås det ändringar i bestämmelserna om insamling av arbetstagares personuppgifter i 4 § i lagen om integritetsskydd i arbetslivet. Det föreslås att i paragrafens 1 mom. införs en hänvisning till dataskyddsförordningens bestämmelser om behandling som grundar sig på samtycke. Huvudregeln ska fortfarande vara att insamling av arbetstagares personuppgifter någon annanstans än hos arbetstagaren ska grunda sig på samtycke. Hänvisningen förtydligar regleringens förhållande till dataskyddsförordningen. Dataskyddsförordningens bestämmelser om behandling som grundar sig på samtycke ska dock inte tillämpas, om arbetsgivaren under ett anställningsförhållande samlar in arbetstagares personuppgifter för tillgodoseende av sina lagstadgade rättigheter eller fullgörande av sina lagstadgade skyldigheter eller om något annat i lag särskilt föreskrivs om behandling av personuppgifter. I bestämmelsen om undantag beaktas arbetsgivarens på lag grundade behov att samla in uppgifter. Insamling av arbetstagares personuppgifter utan samtycke är således möjlig i större utsträckning än enligt gällande lagstiftning.
4.2
De huvudsakliga konsekvenserna
4.2.1
Konsekvenser för företagen
Lagen om integritetsskydd i arbetslivet är tillämplig på alla företag som är arbetsgivare. Företagen har orsakats oklarheter och juridisk osäkerhet vid tillämpning av lagen efter den ändring som gjordes i 4 § 1 mom. år 2019. Det finns inga uppgifter om i vilken utsträckning företagen till följd av ändringen av ordalydelsen ändrat sin praxis för insamling av personuppgifter eller oftare än tidigare begärt arbetstagares samtycke för insamling av personuppgifter.
Den föreslagna ändringen bedöms inte i praktiken medföra stora ändringsbehov i fråga om praxis för insamling av personuppgifter under anställningsförhållandet till den del som den fortsatt i överensstämmelse med dataombudsmannens tidigare tolkningspraxis och det är fråga om situationer i samband med att leda eller övervaka arbetet eller fullgörande av lagstadgade skyldigheter.
Genomgången av företagens interna anvisningar och förfaranden och eventuella ändringar i dem föranleder administrativa kostnader vilkas omfattning inte kan bedömas. Ändringen kan medföra ett behov för arbetsgivarna att uppdatera sina avtalsmallar i överensstämmelse med de nya bestämmelserna. I företag som omfattas av samarbetslagen ska insamlingen av personuppgifter behandlas i dialog, vilket kan medföra kostnader.
Den föreslagna ändringen minskar behovet av att samla in formella samtycken av arbetstagarna för insamling av uppgifter för ledningen och övervakningen av det dagliga arbetet och fullgörandet av lagstadgade skyldigheter. Ändringen minskar den administrativa börda och den rättsliga osäkerhet som följde av den tidigare ändringen av lagen. En tydligare lagstiftning minskar problemen vid tillämpningen av lagen och den juridiska osäkerheten vid tillämpning av bestämmelserna om samtycke, och förbättrar således också arbetsgivarnas rättssäkerhet.
Konsekvenserna för övriga arbetsgivare motsvarar konsekvenserna för företagen.
4.2.2
Konsekvenser för myndigheterna
Den föreslagna ändringen ökar behovet av rådgivning och anvisningar inom dataombudsmannens verksamhetsområde särskilt genast efter det att ändringen trätt i kraft.
4.2.3
Konsekvenser för arbetstagarna
En tydligare reglering tryggar arbetstagarnas integritetsskydd och skydd av personuppgifter bättre än den nuvarande regleringen, som medfört tolkningsproblem. Insamling av personuppgifter någon annanstans än hos arbetstagaren ska även i fortsättningen grunda sig på samtycke, när arbetstagares personuppgifter samlas in för ändamål som har samband med anställningsförhållandet i andra situationer än sådana som baserar sig på lag. Arbetsgivarens rätt att samla in arbetstagares personuppgifter utan arbetstagarens samtycke utvidgas jämfört med ordalydelsen i gällande lag. Upplysningsplikten enligt 4 § i lagen om integritetsskydd i arbetslivet och förfarandena enligt samarbetslagstiftningen samt informationsskyldigheterna och den registrerades rättigheter enligt den allmänna dataskyddsförordningen tryggar insynen i behandlingen av personuppgifter och arbetstagarens möjligheter att påverka behandlingen av sina uppgifter. Genom den föreslagna ändringen utvidgas inte kretsen av de uppgifter som kan samlas in om arbetstagaren och begränsas inte de rättigheter enligt dataskyddsförordningen som arbetstagarna har som registrerade.
5
Alternativa handlingsvägar
5.1
Handlingsalternativen och deras konsekvenser
Som ett centralt genomförandealternativ har man bedömt slopandet av kravet på samtycke i samband med insamling av arbetstagares personuppgifter helt och hållet. Tillämpningen av bestämmelserna kunde i det fallet vara enklare att sammanjämka med dataskyddsförordningen. Dataskyddsförordningen bedöms inte förhindra att det i den nationella lagstiftningen hänvisas till dataskyddsförordningens bestämmelser om samtycke på det sätt som föreslås. Slopandet av bestämmelserna om samtycke skulle försvaga den registrerades, det vill säga arbetstagarens, ställning. Det är motiverat att hålla kvar samtycket som huvudregel med beaktande av de grunder som den gällande lagens bestämmelse om samtycke bygger på. Kravet på samtycke har införts som skydd för arbetstagaren. Genom det tryggas arbetstagarens tillgång på information om insamling av hans eller hennes personuppgifter och på så sätt insyn i behandlingen, användningen av tillförlitliga källor och arbetstagarens självbestämmanderätt.
5.2
Lagstiftning och andra handlingsmodeller i utlandet
5.2.1
Sverige
Sverige har ingen speciallag som motsvarar Finlands lag om integritetsskydd i arbetslivet, där det föreskrivs om behandling av arbetstagares personuppgifter. I lagen med kompletterande bestämmelser till EU:s dataskyddsförordning (2018:218) ingår däremot vissa bestämmelser som har betydelse för behandlingen av arbetstagares personuppgifter. Enligt 2 kap. 1 § i lagen får personuppgifter behandlas med stöd av artikel 6.1 c i EU:s dataskyddsförordning, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Enligt 2 § i samma kapitel får personuppgifter behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning, om behandlingen är nödvändig bland annat för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
5.2.2
Danmark
I Danmark har man på det sätt som artikel 88 i dataskyddsförordningen möjliggör utfärdat närmare bestämmelser om behandlingen av arbetstagares personuppgifter i samband med ett anställningsförhållande. Enligt §12 i den lag som kompletterar dataskyddsförordningen (Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, databeskyttelsesloven) får arbetstagarens personuppgifter samt i artikel 9.1 avsedda särskilda kategorier av personuppgifter behandlas i samband med ett anställningsförhållande, om behandlingen är nödvändig för fullgörande av sådana personuppgiftsansvarigas eller registrerades skyldigheter eller rättigheter som fastställs annanstans i lag eller i kollektivavtal. Ovannämnda behandling av uppgifter får också ske, om den är nödvändig för fullföljande av den personuppgiftsansvariges eller en tredje parts legitima intresse som grundar sig på lag eller kollektivavtal, om inte den registrerades intresse eller grundläggande fri- och rättigheter har företräde. Behandling av personuppgifter i ett anställningsförhållande kan ske på basis av den registrerades samtycke enligt artikel 7 i dataskyddsförordningen. Enligt förarbetena till lagen är avsikten med bestämmelsen om samtycke att bekräfta att också arbetstagarens samtycke kan användas som grund för behandling av personuppgifter innan anställningsförhållandet inleds, under anställningsförhållandet och efter det att det avslutats. Forslag til databeskytteloven 25.10.2017 s.183. Publicerad på adressen: .
5.2.3
Norge
I Norge tillämpas dataskyddsförordningen. På nationell nivå finns bestämmelser om behandling av arbetstagares personuppgifter i lagen om behandling av personuppgifter (lov om behandling av personopplysninger). I 9 kap. i den allmänna lagen om anställningsförhållanden (arbeitsmiljøloven) föreskrivs om åtgärder för övervakning av arbetstagare. På behandling av arbetstagares personuppgifter i samband med övervakning tillämpas bestämmelserna i lagen om behandling av personuppgifter.
5.2.4
Tyskland
I Tyskland föreskrivs det om behandling av personuppgifter i anställningsförhållanden i 26 § i den federala lag som kompletterar dataskyddsförordningen (Bundesdatenschutzgesetz). Enligt paragrafen får arbetstagares personuppgifter behandlas i samband med anställningsförhållandet, om det är nödvändigt med tanke på beslutet om inledande av anställningsförhållandet eller om det efter det att anställningsförhållandet inletts är nödvändigt för genomförandet eller avslutandet av det eller för utövande eller fullgörande av rättigheterna och skyldigheterna för arbetstagarnas intressebevakare på basis av lag eller lokala eller allmänna avtal (kollektivavtal). För avslöjande av brott får arbetstagares personuppgifter endast behandlas när det på basis av faktisk dokumenterad bevisning kan motiveras att personen i fråga i anställningsförhållandet gjort sig skyldig till ett brott, behandlingen är nödvändig för avslöjandet och skyddet av arbetstagarens intresse att förhindra behandlingen inte har större vikt, särskilt med beaktande av att sättet och omfattningen inte är oproportionella med beaktande av orsaken till behandlingen.
I lagens 26 § föreskrivs närmare också om arbetstagarens samtycke som grund för behandlingen av personuppgifter. Om arbetstagarens personuppgifter behandlas på basis av samtycke, ska det vid bedömningen av samtyckets frivillighet beaktas arbetstagarens beroendeställning i anställningsförhållandet samt de förhållanden under vilka samtycket lämnades. Samtycket kan anses ha lämnats frivilligt särskilt om det har samband med arbetstagarens rättsliga eller ekonomiska intressen eller om arbetsgivaren och arbetstagaren strävar efter samma intressen. Samtycke ska lämnas skriftligen eller elektroniskt, om inte någon annan form är befogad på grund av särskilda omständigheter. Arbetsgivaren ska skriftligen underrätta arbetstagaren om syftet med behandlingen av uppgifterna och om arbetstagarens rätt att återta sitt samtycke i överensstämmelse med artikel 7.3 i dataskyddsförordningen.
Behandlingen av personuppgifter, inbegripet behandling av särskilda kategorier av arbetstagares personuppgifter, är enligt 26 § tillåten på basis av kollektivavtal. I detta sammanhang ska förhandlingsparterna iaktta artikel 88.2 i dataskyddsförordningen.
5.2.5
Frankrike
I Frankrike har i lagen om anställningsförhållanden (Code du travail) föreskrivits om behandling av arbetstagares personuppgifter i samband med anställningsförhållandet på det sätt som artikel 88 i dataskyddsförordningen möjliggör. Enligt lagen får om arbetssökande eller anställda inte samlas in några som helst personliga uppgifter med en sådan anordning som de inte underrättats om på förhand.
5.2.6
Estland
I Estland föreskrivs inte särskilt om behandlingen av personuppgifter i anställningsförhållandet. I arbetsavtalslagen föreskrivs att dataskyddsförordningen ska iakttas vid behandling av personuppgifter.
5.2.7
Storbritannien
I Storbritannien föreskrivs det om behandlingen av personuppgifter i dataskyddslagen (Data Protection Act). Enligt dataskyddslagens bestämmelser om anställningsförhållandet och social trygghet (Schedule 1, Part 1) får personuppgifter behandlas i ett anställningsförhållande, om det behövs för fullgörande av lagstadgade skyldigheter eller rättigheter i samband med anställningsförhållandet.
En personuppgiftsansvarig som behandlar uppgifter ska dessutom ha vederbörliga förfaranderegler om insamling av uppgifter, av vilka framgår hur den personuppgiftsansvarige ska förfara vid behandlingen av uppgifter för att principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen uppfylls. Av förfarandereglerna ska också framgå praxis för bevarande och förstöring av uppgifter samt en bedömning av hur länge personuppgifterna bevaras (Schedule 1, Part 4).
6
Remissvar
Justitieministeriet förhåller sig positivt till ett förtydligande av den otydliga regleringen och en ändring av den så att den bättre motsvarar dataskyddsförordningen. Enligt justitieministeriets åsikt är det på basis av utkastet till proposition oklart och är motiveringen bristfällig angående hur man närmare avser använda handlingsutrymmet. Enligt utlåtandet bör man vid den fortsatta beredningen precisera och komplettera propositionen i fråga om den rättsliga grunden för behandling av personuppgifter och motiveringen till den. Särskilt bör man granska samtyckets lämplighet som grund för insamling av personuppgifter som parallell behandlingsgrund samt grundandet av arbetsgivarens behandling direkt på dataskyddsförordningen.
Enligt social- och hälsovårdsministeriets åsikt förtydligar den föreslagna ändringen regleringen i 4 § 1 mom. i lagen om integritetsskydd i arbetslivet i relation till insamling av personuppgifter för tillgodoseendet av arbetsgivarens lagstadgade rättigheter och fullgörande av arbetsgivarens lagstadgade skyldigheter samt i relation till dataskyddsförordningen och de krav som i den ställs på samtycke. Social- och hälsovårdsministeriet välkomnar propositionen. Enligt utlåtandet kunde man i motiveringen till propositionen av tydlighetsskäl närmare beskriva förhållandet mellan det föreslagna 4 § 1 mom. och bestämmelserna i 5 § 1 mom.
Dataombudsmannen anser i sitt utlåtande att förslaget är motiverat. Dataombudsmannen anser att behandlingen av de personuppgifter som insamlas med stöd av 4 § begränsas av relevanskravet i 3 §. Det är skäl att i motiveringen till regeringens proposition tydligt ta upp detta. Enligt dataombudsmannens åsikt kan förutsättningen gällande samtycke inte slopas ur regleringen av arbetslivets dataskydd utan att den registrerades ställning märkbart försämras.
Domstolsverket tar i sitt utlåtande upp begäranden om information till domstolarna i anslutning till bakgrundsutredningar om arbetstagare och anser det vara behövligt att precisera lagstiftningen om utredande av arbetstagares tillförlitlighet.
Ålands landskapsregering hade inga kommentarer till propositionens innehåll.
I löntagarcentralorganisationernas, det vill säga Akava rf:s, Finlands Fackförbunds Centralorganisation FFC rf:s och STTK rf:s, gemensamma utlåtande anses att det av propositionens motivering inte i tillräcklig utsträckning framgår varför den nuvarande formuleringen av bestämmelsen är problematisk. Enligt utlåtandet är lagförslaget alltför allmänt till sin formulering och förtydligar inte i sin nuvarande form situationen, utan medför större tolkningsutrymme vid tillämpningen av lagen. Enligt utlåtandet är lagens primära syfte att skydda konfidentialiteten för arbetstagares personuppgifter, och upprätthållandet och förbättrandet av detta ska vara det primära målet för en eventuell lagändring.
Tietojohtaminen ry anser det vara viktigt att regleringen förtydligas i relation till insamlingen av personuppgifter för tillgodoseendet av arbetsgivarens lagstadgade rättigheter och fullgörandet av arbetsgivarens lagstadgade skyldigheter och dataskyddsförordningen.
Företagarna i Finland rf anser att den föreslagna ändringen är motiverad med beaktande av utgångspunkterna för beredningen av regeringens proposition och det att man i samband med beredningen av förslaget i praktiken endast granskat en ändring av 4 § 1 mom. i lagen samt särskilt propositionens syfte. Enligt utlåtandet etablerar de ändringar som nu föreslås dataombudsmannens tolkningspraxis som i praktiken varit i kraft redan länge, enligt vilken arbetsgivaren har rätt att samla in personuppgifter som omfattas av rätten att leda och övervaka arbetet. Företagarna i Finland rf anser att man — med beaktande särskilt av bestämmelserna i dataskyddsförordningen och lagstiftningens förenlighet med den — i fortsättningen som helhet bör granska möjligheten att ur lagen helt stryka villkoret gällande samtycke i anslutning till insamling av arbetstagares personuppgifter.
Enligt arbetarskyddsmyndighetens uppfattning förtydligar den ändring som föreslås lagstiftningen och minskar tolkningsproblemen i anslutning till samtycket. Arbetarskyddsmyndigheten anser att ändringen är ett steg i rätt riktning.
Finlands näringsliv rf motsätter sig den föreslagna ändringen. Enligt Finlands näringsliv rf borde ur lagen strykas bestämmelserna om på vilka villkor arbetsgivaren kan inhämta personuppgifter från olika källor. Nationella undantag från dataskyddsförordningen stör rörligheten och företagens verksamhet mellan Finland och det övriga Europa. Enligt Finlands näringsliv rf bör målsättningen vara att man i Finland tillämpar samma regler som i det övriga Europa, utan egna undantag. Teknologiateollisuus ry instämmer i sitt utlåtande med Finlands näringsliv rf:s utlåtande.
Autoliikenteen Työnantajaliitto ry anser att utkastet till regeringens proposition är bra och de ändringar som föreslås i den behövliga. Ändringen minskar enligt utlåtandet arbetsgivarnas administrativa börda och avhjälper problemen gällande tillämpningen av lagstiftningen och den rättsliga osäkerheten.
Enligt Akavas Specialorganisationer rf bör förhållandet mellan den föreslagna ändringen i 4 § 1 mom. och lagens 4 § 2 mom. förtydligas.
På basis av responsen i utlåtandena har den föreslagna paragrafen preciserats och dess förhållande till dataskyddsförordningen förtydligats genom att man tillfogat en hänvisning till bestämmelserna om behandling som grundar sig på samtycke i dataskyddsförordningen. Propositionens motivering har preciserats på det sätt som förutsätts i justitieministeriets utlåtande vad gäller de rättsliga grunderna för behandling av personuppgifter och användningen av nationellt handlingsutrymme. Synpunkterna om behovet av att ändra regleringen i löntagarcentralorganisationernas och Finlands näringsliv rf:s utlåtanden motsvarar de synpunkter som framförts under beredningen. Ändringsbehovet har motiverats i bedömningen av nuläget och slopandet av bestämmelserna om samtycke i samband med de alternativa handlingsvägarna. Motiveringen till propositionen har preciserats på det sätt som föreslagits i dataombudsmannens och social- och hälsovårdsministeriets utlåtanden. Med beaktande av dataombudsmannens tolkningspraxis har man inte bedömt det vara behövligt att ändra 4 § på det sätt som anges i Domstolsverkets utlåtande. Det relevanskrav som fastställs i 3 § är också tillämpligt på insamling av uppgifter om arbetstagare. I lagens 4 § ingår hänvisningar till övrig lagstiftning om utredande av arbetstagares tillförlitlighet. Det har inte ansetts vara nödvändigt att precisera bestämmelserna i 4 § 2 mom. i den gällande lagen med anledning av den ändring som föreslås.
7
Specialmotivering
4 §.Allmänna förutsättningar för insamling av arbetstagares personuppgifter samt arbetsgivares upplysningsplikt. I 1 mom. förutsätts att arbetstagarens samtycke ska inhämtas, om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren. Det har föreskrivits om två undantag från kravet på samtycke. Arbetstagarens samtycke behövs enligt 1 mom. inte, när en myndighet lämnar ut uppgifter till arbetsgivaren för att denna ska kunna utföra en uppgift som i lag ålagts arbetsgivaren eller om det finns särskilda och uttryckliga bestämmelser i lag om insamling eller inhämtande av sådana uppgifter.
Det föreslås att regleringen av insamling av arbetstagares personuppgifter i 1 mom. förtydligas och ändras så att den bättre stämmer överens med dataskyddsförordningen och med arbetsgivarens på lag grundade behov att samla in uppgifter i samband med anställningsförhållanden. Förhållandet mellan regleringen av samtycke och dataskyddsförordningen förtydligas.
Det föreslås att arbetsgivarens rätt att utan arbetstagarens samtycke samla in arbetstagares personuppgifter utvidgas. Det är inte motiverat att på grund av villkoren för samtycke enligt dataskyddsförordningen och arbetsgivarnas behov av att samla in uppgifter i samband med anställningsförhållanden eller arbetstagarnas integritetsskydd förutsätta samtycke i den omfattning som krävs enligt ordalydelsen i den gällande lagen. Problemen vad gäller samtycke som rättslig grund för behandling av arbetstagares personuppgifter har beskrivits ovan i samband med beskrivningen och bedömningen av nuläget. Kravet på samtycke begränsar sådan insamling av personuppgifter som behövs för tillgodoseende av arbetsgivarens lagstadgade rättigheter eller fullgörande av arbetsgivarens lagstadgade skyldigheter i samband med anställningsförhållandet. Behandlingen av personuppgifter ska i dessa situationer grunda sig på lagstiftningen i stället för på samtycke.
Det föreslås att den första meningen i 1 mom. kvarstår oförändrad. Arbetstagares personuppgifter ska också i fortsättningen i första hand insamlas hos arbetstagaren. Bestämmelsen grundar sig på handlingsutrymmet i artikel 88 i dataskyddsförordningen.
Det föreslås att i 1 mom. införs en hänvisning till dataskyddsförordningens bestämmelser om behandling som grundar sig på samtycke. Enligt den föreslagna bestämmelsen ska på insamling av personuppgifter annanstans än hos arbetstagaren tillämpas vad som i dataskyddsförordningen föreskrivs om behandling som grundar sig på samtycke. I momentet preciseras med stöd av handlingsutrymmet i artikel 88 i dataskyddsförordningen att insamlingen av arbetstagares personuppgifter annanstans än hos arbetstagaren ska grunda sig på artikel 6.1 a i dataskyddsförordningen. Bestämmelser om definitionen på samtycke finns i artikel 4.11, bestämmelser om samtycke som rättslig grund för behandlingen i artikel 6.1 a och bestämmelser om villkor för samtycke i artikel 7 i dataskyddsförordningen. På motsvarande sätt som i den gällande lagen ska huvudregeln således även i fortsättningen vara att insamling av personuppgifter annanstans än hos arbetstagaren ska grunda sig på arbetstagarens samtycke. Arbetstagaren informeras med stöd av regleringen om utlämnande av sina personuppgifter och kan till exempel försäkra sig om att de uppgifter som utlämnas är aktuella. Genom bestämmelsen skyddas på det sätt som förutsätts i artikel 88.2 i dataskyddsförordningen arbetstagarens berättigade intressen och grundläggande rättigheter vid behandling av personuppgifter i ett anställningsförhållande genom att säkerställa insynen i behandlingen av personuppgifter, arbetstagarens självbestämmanderätt och rätten att bli bedömd på grundval av korrekta uppgifter. Det är motiverat att hänvisa direkt till artikel 6.1 a i dataskyddsförordningen, eftersom nämnda punkt inte medger nationellt handlingsutrymme.
I 1 mom. ska också föreskrivas om undantag från huvudregeln gällande insamling av uppgifter annanstans än hos arbetstagaren. Vad som i dataskyddsförordningen föreskrivs om behandling som grundar sig på samtycke ska för det första inte tillämpas, om arbetsgivaren under ett anställningsförhållande samlar in arbetstagares personuppgifter för tillgodoseende av sina lagstadgade rättigheter eller fullgörande av sina lagstadgade skyldigheter. Arbetstagarens samtycke för insamling av personuppgifter ska således inte krävas, när arbetsgivaren under ett anställningsförhållande samlar in personuppgifter för i bestämmelsen nämnda syften som grundar sig på lagstiftning. De föreskrivna rättigheterna och skyldigheterna kan grunda sig antingen på arbetsrättslig eller på annan lagstiftning som är bindande för arbetsgivaren och som har anknytning till anställningsförhållandet. Undantaget gällande lagstadgade rättigheter och skyldigheter är tillämpligt på insamling av personuppgifter under anställningsförhållandet. Enligt 1 mom. ska uppgifterna dock fortfarande i första hand samlas in hos arbetstagaren själv.
För det andra ska inhämtande av samtycke inte heller förutsättas, om något annat i lag särskilt föreskrivs om behandling av personuppgifter. Behovet av att behandla arbetstagares personuppgifter bedöms i det fallet utifrån den lagstiftningen. Till exempel om inhämtande av personkreditupplysningar föreskrivs i 5 a §.
I de situationer som avses i bestämmelsen om undantag ska den rättsliga grunden för behandling av personuppgifter vara artikel 6.1 c i dataskyddsförordningen. Insamlingen av arbetstagares personuppgifter annanstans än hos arbetstagaren ska till stor del grunda sig på lagstiftning. Behandlingen av arbetstagarens personuppgifter har med beaktande av 3 § begränsats till uppgifter som har direkt relevans för anställningsförhållandet. Regleringen bedöms således vara proportionell i förhållande till behandlingens syften på det sätt som förutsätts i artikel 6.3 i dataskyddsförordningen. Regleringen omfattar i enlighet med artikel 6.3 de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling.
Den föreslagna regleringen innebär att behandlingen av de arbetstagares personuppgifter som insamlats annanstans än hos arbetstagaren också i fråga om andra behandlingsåtgärder än insamling ska grunda sig på antingen artikel 6.1 a eller c i dataskyddsförordningen. Utlämnande av uppgifter till myndigheter kan grunda sig på annan lagstiftning.
Enligt den föreslagna ändringen ska insamling av personuppgifter för utövande av arbetsgivarens lagstadgade rätt att leda och övervaka arbetet inte längre kräva inhämtande av arbetstagarens samtycke. Arbetsgivarens rätt att leda och övervaka arbetet grundar sig på arbetsavtalslagen och i fråga om personer i tjänsteförhållande på lagstiftningen om tjänsteförhållanden. Enligt 3 kap. 1 § i arbetsavtalslagen ska arbetstagaren utföra sitt arbete omsorgsfullt med iakttagande av de föreskrifter som arbetsgivaren i enlighet med sin behörighet ger om arbetet. I 14 § i statstjänstemannalagen (750/1994) föreskrivs på motsvarande sätt att en tjänsteman ska iaktta bestämmelserna om arbetsledning och övervakning. En bestämmelse med samma innehåll ingår också i lagen om tjänsteinnehavare i kommuner och välfärdsområden (304/2003) och kyrkolagen (1054/1993). Arbetsgivaren har med stöd av rätten att leda och övervaka arbetet rätt att bland annat bestämma om hur arbetet ska utföras, kvaliteten på och omfattningen av arbetet samt tid och plats för arbetet. Av denna arbetsgivarens rätt att leda och övervaka arbetet kan man härleda arbetsgivarens rätt att övervaka arbetstagaren. Rätten att leda och övervaka arbetet begränsas av de grundläggande rättigheterna, arbetslagstiftningen, övrig lagstiftning som är tillämplig på arbetstagare, tjänstemän och deras arbetsgivare, såsom strafflagen och förbud mot diskriminering samt de allmänna principerna i rättsordningen. Begränsningarna i rätten att leda och övervaka arbetet har också betydelse i samband med insamlingen av arbetstagares personuppgifter.
Arbetsgivaren ska enligt den föreslagna ändringen utan samtycke kunna samla in till exempel personuppgifter om arbetstagaren som gäller hur arbetstagaren utför och klarar av arbetet samt sådana personuppgifter som har samband med iakttagandet av lagstiftningen och arbetsgivarens anvisningar när de i enlighet med 3 § har direkt relevans för anställningsförhållandet och när insamlingen av uppgifter hänför sig till utövandet av rätten att leda och övervaka arbetet. Bestämmelserna om samtycke ska således inte tillämpas till exempel på material som normalt uppstår i samband med arbetet, såsom till exempel försäljningsrapporter och mötespromemorior eller på kundrespons och annan respons i samband med utförandet av arbetet, av vilket framgår uppgifter om arbetstagarnas arbete. I dataombudsmannens tolkningspraxis har man ansett att de personuppgifter om arbetstagaren som arbetsgivaren samlar in ska omfattas av arbetsgivarens rätt att leda och övervaka arbetet, varför den föreslagna ändringen inte märkbart ändrar tidigare praxis när det gäller insamling av personuppgifter under anställningsförhållandet.
Insamling av uppgifter från andra källor ska inte heller längre förutsätta samtycke när arbetsgivaren samlar in arbetstagares personuppgifter för fullgörande av sina lagstadgade skyldigheter. I bestämmelsen ska inte längre på det sätt som anges i den gällande lagen förutsättas att den som lämnar ut uppgifter är en myndighet.
Insamling av uppgifter utan samtycke ska när ovannämnda villkor uppfylls vara möjlig också i kanaler för rapportering av överträdelser.
I andra situationer än de som avses i 1 mom. tredje meningen ska insamling av arbetstagares personuppgifter annanstans än hos arbetstagaren också i fortsättningen förutsätta arbetstagarens samtycke. En sådan situation är till exempel rekrytering av en arbetstagare. Andra behov av att samla in uppgifter som grundar sig på artikel 6.1 a kan vara förknippade med till exempel arrangemang för rekreationsverksamhet som erbjuds arbetstagare eller förvärv av särskilda förmåner för arbetstagaren, till exempel försäkringar som hänför sig till kommenderingar utomlands. Det gemensamma för dessa behov av insamling av uppgifter är att de inte omfattas av arbetsgivarens lagstadgade rättigheter eller skyldigheter och att behandlingen av personuppgifter i samband med dem inte heller regleras annanstans i lagstiftningen.
Behandlingen av personuppgifter som insamlas med stöd av den föreslagna paragrafen begränsas även i fortsättningen av relevanskravet i 3 §. Avvikelser från relevanskravet kan inte göras med arbetstagarens samtycke. Den föreslagna ändringen påverkar inte den grupp av arbetstagares personuppgifter som arbetsgivaren enligt 3 § i lagen har rätt att samla in eller annars behandla för ett ändamål som har samband med anställningsförhållandet. Den föreslagna ändringen påverkar inte heller behandlingen av uppgifter om arbetstagarens hälsotillstånd. Bestämmelser om behandling av uppgifter om hälsotillstånd finns i 5 §.
Det är inte möjligt att på ett uttömmande sätt reglera de informationskällor från vilka arbetstagares personuppgifter insamlas, liksom inte heller vilka personuppgifter som är relevanta i olika situationer i arbetslivet. På användningen av informationskällor är kraven gällande uppgifternas riktighet och relevans tillämpliga.
Det föreslås att hänvisningarna i 1 mom. till övrig lagstiftning som gäller utredande av arbetstagares tillförlitlighet ska kvarstå i sin nuvarande form.
I dataskyddsförordningen föreskrivs om den registrerades rättigheter. De kompletteras av upplysningsplikten i paragrafens 2 mom. Enligt gällande 2 mom. ska arbetsgivaren på förhand underrätta arbetstagaren om att uppgifter samlas in för utredning av dennas tillförlitlighet. Om arbetsgivaren skaffar personkreditupplysningar om arbetstagaren, ska arbetsgivaren enligt 2 mom. dessutom informera arbetstagaren från vilket register kreditupplysningarna skaffas. I paragrafens 2 mom. föreskrivs också om arbetsgivarens med tanke på insynen centrala skyldighet att informera arbetstagaren om de uppgifter som samlats in någon annanstans än hos arbetstagaren själv innan de används för beslutsfattande. Genom bestämmelsen tryggas arbetstagarens möjlighet att reagera före beslutsfattandet, om det finns fel eller brister i de uppgifter som samlats in. Bestämmelser om rätten till rättelse av uppgifterna finns i artikel 16 i dataskyddsförordningen. Ovan beskrivna reglering tryggar arbetstagarens tillgång till information om behandling av personuppgifter och arbetstagarens möjligheter att påverka.
Enligt artikel 83.5 a, b och d i dataskyddsförordningen kan vid överträdelse av de grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 5, 6, 7 och 9, överträdelse av registrerades rättigheter enligt artiklarna 12–22 samt överträdelse av de skyldigheter som följer av medlemsstaternas lagstiftning som antagits på grundval av kapitel IX i dataskyddsförordningen påföras administrativa böter på upp till 20 000 000 euro eller, om det gäller ett företag, på upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst. Det är motiverat att förtydliga bestämmelsen också på grund av regleringen av administrativa påföljder.
8
Ikraftträdande
Det föreslås att lagen ska träda i kraft så snart som möjligt.
9
Förhållande till grundlagen samt lagstiftningsordning
De föreslagna lagändringarna har betydelse med tanke på det skydd för personuppgifter och privatlivet som tryggas i 10 i grundlagen.
Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen, FördrS 18–19/1990) samt den respekt för privatlivet som tryggas i artikel 7 och det skydd av personuppgifter som tryggas i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Artikel 8 i Europakonventionen har i Europeiska människorättsdomstolens rättspraxis också ansetts omfatta skyddet av personuppgifter.
Enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna ska personuppgifter behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 52.1 i stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. I den mån som stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de enligt artikel 52.3 i stadgan ha samma innebörd och räckvidd som i konventionen.
Grundlagsutskottet har fäst särskild vikt vid att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2–3). Här är det relevant att grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter, vilket innebär att till exempel inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet. (GrUU 51/2018 rd, s. 4 och de utlåtanden som nämns där.)
Grundlagsutskottet har i sitt utlåtande om lagstiftning som kompletterar dataskyddsförordningen (GrUU 14/2018 rd, s. 4) sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. Enligt grundlagsutskottet bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av dataskyddsförordningen och den nya nationella allmänna lagstiftningen.
Grundlagsutskottet har i sin praxis (se GrUU 14/2018 rd, s. 7) understrukit att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas. Utskottet har av den anledningen framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet.
I propositionen föreslås det ändringar i bestämmelserna om insamling av personuppgifter på basis av arbetstagarens samtycke. Grundlagsutskottet har ansett att samtycke från en person vars grundläggande fri- och rättigheter begränsas i sig kan spela en roll i en konstitutionell bedömning. Utskottet har ändå i sin tidigare praxis sett vissa problem med en sådan lagstiftningsmetod och poängterat hur viktigt det är att vara mycket återhållsam med att godkänna samtycke som grund för att ingripa i de grundläggande fri- och rättigheterna. Förfarandet är enligt utskottet inte per automatik förenligt med rättsstatsprincipen enligt 2 § 3 mom. i grundlagen, som kräver att all utövning av offentlig makt ska bygga på lag. Dessutom ska befogenheten att ingripa i den enskildes grundläggande fri- och rättigheter alltid läggas fast i en tillräckligt noggrant avgränsad lag med ett exakt tillämpningsområde. Utskottet har därför ansett det klart att skyddet för de grundläggande fri- och rättigheterna som rättslig fråga inte alltid kan förlora i betydelse bara för att det föreskrivs i lag att någon åtgärd kräver att den berörda personen ger sitt samtycke. Skyddet kan inte i vilket som helst ärende vara beroende av den berörda personens samtycke. Utskottet har i det här avseendet sett det som väsentligt vad som kan betraktas som juridiskt relevant samtycke i en viss situation. Vidare har utskottet krävt att en lag som utifrån samtycke ingriper i skyddet för de grundläggande fri- och rättigheterna bland annat ska vara exakt och noga avgränsad, att den föreskriver hur samtycket ska ges och återtas, att det säkerställs att samtycket är riktigt och ges av fri vilja och att lagstiftningen är nödvändig. (GrUU 23/2020 rd, s. 4 och de utlåtanden som nämns där.)
I lagen om integritetsskydd i arbetslivet, som stiftats med grundlagsutskottets medverkan, föreskrivs att insamling av arbetstagares personuppgifter enligt huvudregeln ska grunda sig på samtycke. I dataskyddsförordningen, liksom i den upphävda personuppgiftslag (523/1999) som stiftats med grundlagsutskottets medverkan, tillåts behandling av personuppgifter med stöd av samtycke.
Enligt skäl 43 i ingressen till dataskyddsförordningen bör samtycket inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller enligt Europeiska dataskyddsstyrelsens tolkning också en situation där arbetsgivaren är personuppgiftsansvarig och det därför är osannolikt att samtycket har getts frivilligt. I skäl 42 i förordningens ingress konstateras att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. Enligt skäl 155 i förordningens ingress är det dock möjligt att behandla personuppgifter i ett anställningsförhållande på grundval av arbetstagarens samtycke. Samtycket ska uppfylla de krav som föreskrivs i dataskyddsförordningen.
När man beaktar kraven till följd av praxis vid tolkning av grundlagen och det att samtycke enligt motiveringen till dataskyddsförordningen är problematiskt när det råder ojämlikhet mellan den registrerade och den personuppgiftsansvarige, ska behandling av arbetstagares personuppgifter dock huvudsakligen grunda sig på lagstiftning. Behandling som grundar sig på samtycke bedöms med tanke på arbetstagarens integritetsskydd, skydd för personuppgifter och rättsskydd samt insynen i behandlingen av personuppgifter vara motiverad i samband med rekrytering och när uppgifterna samlas in för andra ändamål än för tillgodoseende av arbetsgivarens lagstadgade rättigheter eller fullgörande av arbetsgivarens lagstadgade skyldigheter. Behoven av att samla in arbetstagares uppgifter under anställningsförhållandet för andra ändamål än för tillgodoseende av arbetsgivarens lagstadgade rättigheter eller fullgörande av arbetsgivarens lagstadgade skyldigheter är i allmänhet av mindre betydelse med tanke på anställningsförhållandet. Bestämmelser om villkoren för samtycke finns i dataskyddsförordningen. Från relevanskravet i 3 § i lagen om integritetsskydd i arbetslivet kan inte avvikas med arbetstagarens samtycke.
Grundlagsutskottet har ansett att rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (GrUU 2/2018 rd, s. 8). Till samtycke ansluter tanken om den enskildes informerade självbestämmanderätt. Den informerade självbestämmanderätten ger inte den enskilde absolut rätt att i alla situationer bestämma om behandlingen av uppgifter. I ett anställningsförhållande är arbetstagaren underställd arbetsgivarens ledning och tillsyn, vilket även uppställer begränsningar för på vilket sätt arbetstagaren kan bestämma om användningen av sina egna personuppgifter. Det ska vara möjligt att behandla de personuppgifter som behövs med tanke på anställningsförhållandet, så att arbetsgivaren kan utöva sin rätt att leda och övervaka arbetet. Rätten att leda och övervaka arbetet begränsas av annan lagstiftning, såsom arbetslagstiftningen, de grundläggande rättigheterna och strafflagstiftningen.
I propositionen föreslås inte att arbetsgivarens rättigheter att behandla arbetstagares personuppgifter ska utvidgas annat än på så sätt att arbetstagarens samtycke till insamling av personuppgifter inte ska förutsättas i lika stor utsträckning som i gällande lag. Gruppen av personuppgifter som arbetsgivare får behandla blir inte större i och med förslaget. De uppgifter som insamlas ska uppfylla relevanskravet enligt 3 § i lagen om integritetsskydd i arbetslivet.
I beskrivningen av nuläget och specialmotiveringen redogörs närmare för det nationella handlingsutrymme som grundar sig på artikel 6.1 c och artikel 88 i dataskyddsförordningen och användningen av det. Avsikten med den ändring som nu föreslås är att förtydliga regleringen och bättre samordna den med dataskyddsförordningen. Regleringen av insamlingen av arbetstagarens personuppgifter anses vara motiverad på grund av arbetstagarens svagare ställning. Behovet av särskild reglering har också beaktats i artikel 88 i dataskyddsförordningen.
Betydelsen av de grundläggande fri- och rättigheterna när det gäller bestämmelserna i lagen om integritetsskydd i arbetslivet har bedömts när riksdagen behandlade de regeringspropositioner som ledde till stiftandet av lagen och ändringar i den (RP 75/2010 rd, GrUU 27/2000 rd, RP 162/2003 rd och GrUU 10/2004 rd). Det ansågs att lagförslagen kunde behandlas i vanlig lagstiftningsordning och de ändringar som föreslås nu innebär inte sådan ändring av lagstiftningen som skulle förutsätta att frågan bedöms på nytt. I propositionen föreslås inga bestämmelser som berättigar till behandling av särskilda kategorier av personuppgifter eller personuppgifter som är känsliga i konstitutionellt hänseende. I propositionen ingår inga bestämmelser om inskränkning av den registrerades rättigheter.
På ovan beskrivna grunder kan lagförslaget enligt regeringens uppfattning behandlas i vanlig lagstiftningsordning.