Työntekijän terveystietojen käsittely on yksi niistä työelämän tietosuoja-asioista, joissa työnantajan on oltava tarkkana. Terveystiedot kuuluvat EU:n tietosuoja-asetuksen (GDPR) mukaisiin arkaluonteisiin henkilötietoihin, ja niiden käsittely on lähtökohtaisesti kielletty.
Yksityisyyden suojasta työelämässä annetussa laissa säädetään kuitenkin tarkemmin, millä rajatuilla edellytyksillä työnantaja saa käsitellä työntekijän terveydentilaa koskevia tietoja, ja miten terveystietoja käsiteltäessä tulee toimia.
Työelämän tietosuojalain mukaan työnantaja saa käsitellä työntekijän terveystietoja vain, jos käsittely on tarpeen sairausajan palkan tai muiden terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko työntekijän poissaoloon perusteltu syy. Terveydentilatietojen käsittely on sallittua myös silloin, jos työntekijä itse haluaa, että hänen työkykyisyyttään selvitetään.
Työnantaja saa kerätä työntekijän terveystietoja vain häneltä itseltään tai hänen kirjallisella suostumuksellaan muualta. Terveydentilaa koskevia tietoja saavat työpaikalla käsitellä vain ne henkilöt, jotka valmistelevat tai tekevät työsuhdetta koskevia päätöksiä tai panevat niitä toimeen. Kyseisten henkilöiden piiri on pidettävä mahdollisimman suppeana. Esimerkiksi esihenkilö ja palkanlaskija ovat käytännössä usein ne henkilöt, joilla on oikeus käsitellä työntekijän terveystietoja.
Työantajan on säilytettävä työntekijän terveydentilatiedot erillään muista henkilötiedoista. Näin ollen esimerkiksi diagnoositietoja ei saa tallettaa palkkahallinnon tietoihin. Jos terveydentilaa koskevia tietoja säilytetään tietokoneella, tiedot on suojattava esimerkiksi salasanojen avulla. Diagnoositietoja sisältäviä sairauslomatodistuksia ei saa tallentaa sellaisiin järjestelmiin, josta muut kuin ne henkilöt, joilla on oikeus käsitellä työntekijän terveystietoja, voivat ne nähdä. Työnantajan tulee lisäksi huolehtia, että järjestelmiin ei kirjata työntekijän sairauksia vain ”varmuuden vuoksi”, jos ne eivät liity työntekijän työkykyyn. Terveydentilaa koskevat tiedot on myös poistettava välittömästi sen jälkeen, kun niiden käsittelylle ei ole enää perustetta.
Sairauspoissaolojen syistä keskustellaan työpaikoilla usein varsin avoimesti. Työnantaja ottaa kuitenkin tietoisen riskin, jos työntekijä ei hyväksy sairauspoissaolon syyn kertomista työyhteisölle. Työnantajalla ei ole oikeutta kertoa työntekijää koskevaa sairauspoissaoloa tai sen syytä, vaikka tieto kiinnostaisikin toisia työntekijöitä tai se olisi hyödyksi esimerkiksi työtehtävien järjestämisen kannalta. Suositeltavaa on, että muille sairastuneen työntekijän poissaolon syyksi ilmoitetaan esimerkiksi vain ”poissa”.
Työnantajan on hyvä muistaa, että terveystietojen käsittelyssä vähemmän on enemmän. Kun käytännöt perustuvat lakisääteiseen minimiin, vältetään turhat riskit.
Janne Vuorilahti
toimitusjohtaja, asianajaja, varatuomari
Asianajotoimisto Tempo Oy
Iiris Härmä
asianajaja, varatuomari
Asianajotoimisto Tempo Oy