Open search

    Koronaviruspandemia ja työntekijöiden terveydentilaa koskevat tiedot

    Maailmaa ravisteleva koronaviruspandemia on ulottanut vaikutuksensa käytännössä kaikille yhteiskunnan aloille, eivätkä tietosuoja ja tietoturva ole tästä poikkeuksia. Työntekijöiden terveydentilaa koskevien tietojen käsittely on esimerkiksi sairauslomien osalta arkipäivää yrityksissä, mutta pandemia tuo mukanaan myös poikkeuksellisia tilanteita henkilötietojen käsittelyyn. Tällaisia ovat esimerkiksi tartuntatautilain perusteella karanteeniin asetettujen työntekijöiden (tai heidän perheenjäsentensä) tietojen käsittely.

    Maaliskuun alkupuolella useamman EU-jäsenvaltion tietosuojaviranomaiset julkaisivat ohjeita ja linjauksia koronaviruspandemiaan liittyen tietosuojanäkökulmasta. Näin tekivät muun muassa Irlannin, Iso-Britannian ja Ranskan viranomaiset, ja myös Suomessa tietosuojavaltuutetun toimisto julkaisi 12.3. omat linjauksensa. Viranomaisten pääviesti käy hyvin ilmi myös EU:n tietosuojaneuvosto EDPB:n kannanotosta, jossa muistutettiin, että tietosuojasääntely ei estä pandemian vastaisia toimia, mutta tietojen käsittelyn tulee tapahtua lainsäädännön määrittämissä rajoissa.

    EU:n yleisessä tietosuoja-asetuksessa (GDPR) on otettu huomioon myös erilaisia terveysuhkia koskevia tilanteita: esimerkiksi asetuksen 9 artikla sallii ns. erityisten henkilötietoryhmien (eli esimerkiksi terveydentilaa koskevien tietojen) käsittelyn silloin, kun käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajat ylittäviltä terveysuhkilta suojautumiseksi (9 artiklan 2 kohdan i alakohta). Kohta soveltuu lähinnä viranomaisten toimintaan, työntekijöiden tietojen käsittelyn osalta kyse on myös tässä tilanteessa lähtökohtaisesti rekisterinpitäjän lakisääteisen velvoitteen noudattamisesta.

    Varsinkin muiden jäsenvaltioiden viranomaisten kannanottoja lukiessa on syytä pitää mielessä, että Suomessa työntekijöiden terveydentilaa koskevien tietojen käsittelyyn liittyy kaksi säädöstä: yleissäädöksenä EU:n yleinen tietosuoja-asetus (GDPR) sekä erityissääntelynä kotimainen laki yksityisyyden suojasta työelämässä. Molemmat soveltuvat myös valmiuslain käyttöönoton jälkeen.

    Tarkempi sääntely ja rajoitukset koskevat terveydentilaa koskevien tietojen käsittelyä. Esimerkiksi pelkkä tieto siitä, että henkilö on karanteenissa, ei kuitenkaan ole henkilön terveydentilaa koskeva tieto. Tartuntatautilain mukaan karanteeniin voidaan määrätä myös taudille altistuneita henkilöitä, eikä karateeniin määrääminen kerro vielä yksinään mitään karanteeniin määrätyn henkilön terveydentilasta. Myös tietosuojavaltuutettu on linjannut näin. Myöskään esimerkiksi tieto siitä, että henkilö on matkustanut epidemia-alueella, ei ole terveydentilaa koskeva tieto, oli kyse sitten työ- tai vapaa-ajan matkasta.

    Sen sijaan esimerkiksi tieto siitä, että henkilö on sairastunut koronaviruksen aiheuttamaan COVID-19-tautiin, on terveydentilaa koskeva tieto (aivan kuten olisi vaikkapa tieto sääriluun murtumasta, silmätulehduksesta tai mistä tahansa muustakin sairaudesta). Jos työntekijällä todetaan COVID-19-tartunta, tulee tietoa sairaudesta käsitellä kuin muitakin terveydentilaa koskevia tietoja työpaikalla: tietoa saavat yksityisyyden suojasta työelämässä annetun lain mukaan käsitellä vain ne henkilöt, joiden työtehtäviin se kuuluu. Tämä ei luonnollisestikaan estä työnantajaa kertomasta muille työntekijöille, että työpaikalla on todettu tartunta. Sairastunutta työntekijää ei kuitenkaan lähtökohtaisesti tule nimetä, joskin käytännössä tartunnasta kertominen voi usein myös epäsuorasti paljastaa sairastuneen henkilön. Tässä yhteydessä on syytä muistaa myös työnantajan velvollisuudet työntekijöiden terveydestä huolehtimisessa sekä se, että COVID-19-tartunta ja virukselle altistuminen poikkeaa monesta muusta sairaudesta. Altistumisella on merkitystä esimerkiksi karanteenin kannalta, oli karanteeni sitten oma-aloitteinen tai viranomaisen määräykseen perustuva.

    Työntekijöiden terveydentilatietojen käsittelyä koskeva tarpeellisuusvaatimus on syytä ottaa huomioon myös muussa aiheeseen liittyvässä käsittelyssä. Esimerkiksi Elinkeinoelämän keskusliitto EK on omassa tietopaketissaan muistuttanut, ettei työnantajien ole syytä lähteä omin päin keräämään työntekijöiden terveydentilaan liittyviä tietoja – kyse on tietosuojan lisäksi myös siitä, että tiedoista ei tehdä virheellisiä johtopäätöksiä ilman terveydenhuollon ammattilaisia tavalla, joka pahimmillaan altistaisi työntekijöitä tarpeettomasti tartunnalle.

    Lisätietoja

    Janne Valo