close
Share with your friends

Koronavirukseen varautuminen työpaikoilla ja henkilötietojen käsittely

Koronavirukseen varautuminen ja henkilötiedot

Työnantajalla on velvollisuus huolehtia työntekijöiden turvallisuudesta ja terveydestä työssä. Työntekijöiden henkilötiedot ovat keskiössä, kun organisaatiot joutuvat määrittelemään, miten toimia tartuntataudin havaitsemiseksi ja ehkäisemiseksi työpaikalla.

Aiheeseen liittyvää sisältöä

Eurooppalaiset tietosuojaviranomaiset ovat antaneet erityisesti koronavirukseen liittyvää ohjeistusta työntekijöiden henkilötietojen käsittelystä. Yritys voi kerätä viruksen leviämisen ehkäisemiseksi työpaikalla tietoa siitä, ovatko yrityksen työntekijät viime aikoina matkustaneet epidemia-alueelle.

Työntekijää ei voi kuitenkaan lähtökohtaisesti pakottaa luovuttamaan tietoja, jos hän on matkustanut työajan ulkopuolella, sillä työnantajalla on työn johto- ja valvontaoikeus vain työajalla, ei työntekijän vapaa-ajalla.

Työnantajan johto- ja valvontaoikeus mahdollistaa kuitenkin työaikaan kohdistuvat suojatoimenpiteet (etätyön, karanteenin) myös vapaa-ajalla tehtyjen matkojen jälkeen.

Tietosuojaviranomaisten ohjeissa korostuvat henkilötietojen käsittelyn yleiset periaatteet, sen erottaminen, mikä on tietosuoja-asetuksen erityisesti suojelemaa terveystietoa, sekä työntekijän yksityisyyden suoja. Keskeistä asiassa huomioitavaa lainsäädäntöä ovat tietosuoja-asetus ja tietosuojalaki, työelämän tietosuojalaki sekä työturvallisuuslainsäädäntö.

Mitä huomioida ehkäisevässä henkilötietojen käsittelyssä?

Välttämättömyys Tietojen kerääminen rajoitetaan vain viruksen leviämisen estämisen kannalta välttämättömiin tietoihin.

Tarpeellisuusvaatimus: Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen. Tästä tarpeellisuusvaatimuksesta ei ole mahdollista poiketa edes työntekijän suostumuksella.

Käsittelyn määrittely: Ennen tietojen keräämistä työnantajan tulisi arvioida, mitä tietoja työntekijöistä kerätään, miten tietoja säilytetään ja milloin tiedot poistetaan.  Työntekijöillä on oikeus tulla informoiduksi heidän henkilötietojensa käsittelystä, esimerkiksi tietojen keräämisen yhteydessä. Määrittely on suotavaa tehdä tietosuojan vaikutuksenarviointia apuna käyttäen.

- Oikeusperuste: Tietojen keräämiselle tulee vain olla tietosuojalainsäädännön mukainen oikeusperuste.

  •   Yksi mahdollinen koronavirustietojen käsittelyn oikeusperuste on lakisääteisen velvoitteen noudattaminen; tässä työturvallisuuslain työnantajan yleinen huolehtimisvelvoite työntekijöiden terveydestä työssä.
  • Työntekijän suostumusta ei tulisi käyttää ensisijaisena käsittelyn oikeusperusteena työntekijän ja työnantajan välisessä suhteessa.
  •   Terveystiedot ovat arkaluonteisia tietoja, joiden käsittelylle tulee lisäksi olla tietosuoja-asetuksen mukainen erityinen käsittelyperuste.

Normaalin henkilötiedon ja terveystiedon erottaminen: Tietojen keräämiseen liittyvät vaatimukset riippuvat siitä, millaisista tiedoista on kyse.

  • Tavanomaisia henkilötietoja, kuten tietoja henkilön viimeaikaisesta matkustushistoriasta koronaviruksen epidemia-alueelle, saa kerätä yleisten tietosuojalainsäädännön ja työelämän tietosuojaa koskevien edellytysten täyttyessä.
  • Sen sijaan terveystietojen kerääminen on laissa rajoitettua ja siihen liittyy erityisiä velvoitteita. 
  • Työnantajan on nimettävä etukäteen henkilöt tai määriteltävä ne tehtävät, joissa terveystietoja saa käsitellä.  Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia.
  • Suomen tietosuojavaltuutetun toimiston mukaan terveystietoa ei itsessään ole tieto karanteenista tai siitä, että henkilö on palannut riskialueelta.

Miten koronaepäilystä pitäisi tiedottaa?

Lähtökohtaisesti yksittäisten työntekijöiden poissaoloista tulisi kertoa työpaikalla siten, ettei poissaolon syytä kerrota. On kuitenkin perusteltua informoida työpaikalla esiintyneestä koronavirusepäilystä tai -tartunnasta, kunhan yksittäistä työntekijää ei yksilöidä.

Ilmoituksen laajuus on harkittava altistusriskin ja turvallisuuden mukaan; perusteltua voi olla ilmoittaa esim. koko henkilöstölle kyseisessä toimipisteessä. Arvion mukaan myös vierailijoille voi olla syytä tiedottaa.

Kaipaatko lisätietoja aiheesta?  Ota yhteyttä tietosuojajuridiikan tiimiimme!

Seuraathan myös jatkuvasti päivittyvää Koronavirus ja liiketoiminnan jatkuvuus -sivustoamme.

Meille juridiikka on enemmän: #juridiikkaonenemmän.

Lisätietoja:

Kira Ahveninen-Kuha

+358 20 760 3799

etunimi.sukunimi@kpmg.fi

 

Jesse Heiskanen

+358 20 760 3000

etunimi.sukunimi@kpmg.fi

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö