Synpunkter på förslag till lag om integritetsskydd i arbetslivet (RP 75/2000 rd) Finland

Bakgrund till lagstiftningen

1998 lade den finska regeringen ett förslag till riksdagen om integritetsskydd i arbetslivet. Förslaget var mycket vagt. Arbetspolitiska utskottet underkände det med ett skarpt uttalande och riksdagen skickade förslaget tillbaka till regeringen. Utskottet förklarade att förslaget gav ett alltför dåligt skydd för arbetstagarens rättigheter.

Regeringen lade på hösten år 200 en ny proposition, 75/2000. I den föreslås en lagstiftning som är mer detaljerad och ger arbetstagaren uttryckliga rättigheter.

När man läser den föreslagna lagen verkar den ge ett ganska dåligt skydd och dessutom tillåta t.ex. drogtest. Det är ett felaktigt intryck. Förslaget måste läsas mot bakgrund av den finska grundlagen framförallt § som stadgar att alla har rätt till liv och till personlig frihet, integritet och trygghet. Den personliga integriteten får inte kränkas och ingen får berövas sin frihet godtyckligt eller utan laglig grund. Bestämmelsen är generell och gäller såväl mot staten som i privaträttsliga förhållanden. Vid behandlingen av propositionen förklarade därför grundlagsutskottet att testning av hälsotillstånd som nämns i § 6 lagförslaget endast får ske med stöd av särskild lag. Lagen kan därför inte läsas så att den ger tillstånd till de nämnda åtgärderna utan för dessa krävs stöd i särskild lag.

Den finska lagtexten kan därför inte läggas till grund för motsvarande svensk lagstiftning, eftersom den svenska regeringsformen endast gäller mellan medborgaren och det allmänna. Något motsvarande skydd som enligt den finska grundlagen vilken kräver lagstöd för ingripande mot integriteten i privata förhållande, finns inte svensk i rätt, såvida inte artikel 8 Europakonventionen ska tolkas på detta sätt.

Förslaget till lag om integritetsskydd, är en administrativ lagstiftning som ska övervakas av arbetarskyddsmyndigheterna och dataombudsmannen.

Den är också straffsanktionerad. Även överträdelse av den motsvarighet förhandlingsrätt som finns enligt svensk lagstiftning, samarbetsförfarande enligt lagen om samarbete inom företag m.m. är straffsanktionerad.

Inte heller i denna del överensstämmer därför lagstiftningen med svensk lagstiftningsmetod där huvudregeln är att straff inte används i arbetsrättslagstiftningen.

1.      ILO:s anvisningar om skydd av arbetstagarens personuppgifter godkänd vid organisationens expertkonferens 1996,

2.      ILO:s rekommendation om företagshälsovård 1985 nr 171,

3.      Europarådets konvention om skydd för enskilda vid automatisk databehandling av pensionsuppgifter undertecknad den 28 januari 1981

4.      Europarådets konvention gällande mänskliga rättigheter och biomedicin 1996

5.      Europarådets rekommendationer: RR (89 2 om skydd av personuppgifter som används för skötseln av ett arbetsförhållande,

6.      Europarådets rekommendation nr R (97) 5 om datasekretess för  medicinsk information.

Reglerna i dessa konventioner har ganska noggrant kodifierats i lagförslaget.

Redogörelse paragraf för paragraf

1 § Lagens syfte

  Syftet med denna lag är att i arbetslivet genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet och övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten samt att främja utvecklandet och iakttagandet av god informationsbehandling när personuppgifter behandlas i arbetslivet.

Lagen är avsedd att komplettera och ge en noggrannare reglering av motsvarigheten till den svenska personuppgiftslagen i arbetslivet. Tanken är att tydligare markera

·        En persons självbestämmanderätt, dvs. att personen har rätt att veta och besluta hur hans eller hennes personuppgifter ska användas.

·        Förbud mot behandling av känsliga uppgifter

·        Lika bemötande och diskrimineringsskydd.

 

 

 

 

Jämlikheten utsträcks här mycket långt och avser här utöver de avvikelser som skyddas av svensk diskrimineringslagstiftning, t.ex. Kön, etnisk diskriminering funktionshinder etc. även ett generellt diskrimineringsskydd som i grundlagen uttrycks som  "av någon annan orsak som gäller hans eller hennes person”. (6 § Grundlagen.)

Enligt 10 § grundlagen är skyddet av privatlivet en grundläggande fri- och rättighet. I grundlagen förutsätts att bestämmelser om skydd för personuppgifter ska utfärdas genom lag.

Avsikten är att de föreslagna bestämmelserna i lagen är att de ska trygga dessa grundläggande fri- och rättigheter i arbetslivet. Bestämmelserna samordnar arbetstagarnas integritetsskydd med det allmännas och arbetsgivarens intresse av uppgifter. Arbetsgivarens intressen gäller t.ex. skötsel av  beskattning och  löntagare sociala trygghet och hälsa i arbetet. Avsikten med den nya lagen om integritetsskydd i arbetslivet är att den ska precisera innehållet i dessa grundläggande fri- och rättigheter.

Min kommentar

Paragrafen anger på ett bra ett sätt inriktningen men väl att märka enligt finsk rätt. Den finska rätten baserar sig på väl definierade rättigheter  i grundlagen, som även ska tillämpas i privata rättsförhållanden. Inskränkningar ska då ske enligt särskild lag. Den här inriktningen bör vi kunna köpa, men betona att den måste anpassas eftersom vi har ett sämre eller rättare sagt inget grundlagsskydd alls i privata rättförhållanden.

2 § Tillämpningsområde

  Denna lag skall iakttas i anställningsförhållanden samt tjänsteförhållanden samt liknande offentligrättsliga anställningar. Vad som i denna lag föreskrivs om arbetstagare tillämpas även på tjänstemän, dem som står i tjänsteförhållande eller anställda i liknande offentligrättsliga anställningar. Med arbetstagare avses i denna lag även en arbetssökande och med anställningsförhållande även annan anställning. På behandling av personuppgifter tillämpas dessutom personuppgiftslagen (523/1999), om inte något annat bestäms i denna lag.

Lagen gäller arbetstagare i privat och offentlig tjänst. Den gäller även arbetssökande.

Min kommentar

Beroende uppdragstagare verkar inte omfattas av lagen.

I och med att lagen görs tillämpning såväl inom privat som inom offentlig anställning skulle det medföra en kraftig försämring för offentliganställda i Sverige om motsvarande regler infördes. Offentliganställda i Sverige har ett gott skydd för sin personliga integritet och någon försämring därav kan  inte accepteras. Antingen måste vi därför lyfta upp den svenska integritetsskyddslagen till den skyddsnivå som offentliganställda har för integritet, eller undanta de statligt anställda.

3 § Relevanskrav

Arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens anställningsförhållande. Avvikelser från detta kan inte göras med arbetstagarens samtycke.

Paragrafen är i princip en sammanfattning av de grundläggande kraven på behandling av personuppgifter i personuppgiftslagen (den svenska lagen § 9 och 10).

Observera att den svenska lagen inte omfattar andra personuppgifter än sådana som är dataregistrerade. Den finska har inte motsvarande undantag. Denna bestämmelse gäller därför även sådana uppgifter  som finns i andra typer av register, dvs. kortregister, register i pärmar etc.

 Bestämmelsen är inte straffsanktionerad enligt det finska lagförslaget, vilket innebär att den inte ger någonting utöver personuppgiftslagen, annat än möjligen arbetstagaren har rätt att ljuga utan att sådana lögner får negativa konsekvenser för arbetssökandena, som det förklaras i propositionen. (Originellt med en proposition som uppmuntrar medborgarnas lögner).

Enligt propositionstexten ska arbetsgivarens person och lämplighetsbedömningstest enligt denna bestämmelse också vara nödvändiga för anställningsförhållandet. Relevanskravet anses även gälla uppgifter som samlas genom alkohol och narkotikatest samt uppgifter om arbetstagarens hälsotillstånd

Min kommentar

Eftersom bestämmelsen inte är straffsanktionerad synes den inte ha någon annan självständig betydelse än att den ger tolkningshjälp till övriga bestämmelser som är straffsanktionerade i lagen. Bestämmelse visar på olägenheten med att använda sig av straffsanktion. Det är svårt att uppfylla kravet på klara rekvisit i straffrätten med en bestämmelse av denna generella typ, däremot är det ju ganska lätt när det gäller en skadeståndssanktion.

4 § Insamling av arbetstagares personuppgifter samt  upplysningsplikt

Arbetsgivaren skall samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren och uppgifterna inte behövs för att utreda arbetstagarens tillförlitlighet, skall arbetstagarens samtycke till detta inhämtas. Arbetsgivaren skall när det är fråga om personuppgifter som samlats in någon annanstans än hos arbetstagaren informera arbetstagaren om uppgifterna innan de används för beslutsfattande som gäller arbetstagaren. I fråga om arbetsgivarens upplysningsplikt och arbetstagarens rätt att kontrollera sina personuppgifter gäller dessutom vad som bestäms någon annanstans i lag. Insamling av personuppgifter när någon anställs och under ett anställningsförhållande omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag (725/1978) och lagen om samarbete inom statens ämbetsverk och inrättningar (651/1988).

Förslaget till lagtext och propositionstexten avviker härifrån varandra. I propositionstexten sägs att bestämmelsen är straffsanktionerad, men denna bestämmelse återfinns inte i 11 § som innehåller straffsanktioner. Grundlagsutskottet har anmärkt på denna oklarhet (det upptäckte jag faktiskt själv först efter det jag uppmärksammat avvikelsen)

Paragrafen innebär att arbetsgivaren är skyldig att i första hand samla in alla uppgifter från arbetstagaren. Om de kommer från ett annat håll, får arbetsgivaren bara underlåta att nämna detta för arbetstagaren om uppgiften berör arbetstagarens tillförlitlighet. Men detta förstås att man tar personkreditupplysningar t.ex. för en person har direkt ekonomiskt ansvar för arbetsgivarens egendom eller när arbetsförhållandet i övrigt kräver särskilt förtroende. Däremot får uppgifter rent allmänt inte plockas in om kreditvärdighet enligt relevanskravet, om det inte finns sådana särskilda omständigheter. I Sverige har vi ju inga sådana begränsningar.

Om arbetsgivaren inhämtar referenser från annan arbetsgivare, och denne muntligen lämnar uppgifter från personregister, är arbetsgivaren skyldig att upplysa härom. Det måste emellertid anses tveksamt om en tidigare arbetsgivare enligt personuppgiftslagen har  rätt att lämna sådan information om inte denna omfattas av offentlighetsprincipen. Personuppgiftslagen förbjuder nämligen att utlämnande av känsliga personuppgifter (§ 31 svenska personuppgiftslagen).

Arbetsgivaren föreslås bli förhandlingsskyldig enligt samarbetslagstiftningen när uppgifter samlas in när någon anställs under ett arbetsförhållande. Förhandlingsskyldigheten ersätter inte kravet på samtycke från anställningssökande när så krävs. Detta är naturlig följd av att persongiftsuppslagen inte ger någon möjlighet att efterge detta krav på individuellt tillstånd.

Min kommentar

Denna bestämmelse synes tillsammans med § 3 relevanskravet ge möjligheter att hindra insamling av vissa uppgifter i Sverige t.ex. kreditupplysningar, uppgifter från brottsregistret när det rör speciella tjänster, uppgifter från försäkringskassa etc.

Den finska hänvisningen till personuppgiftslagen blir mer täckande, eftersom Finland uppenbarligen inte har begagnat sig om möjligheterna att undanta manuellt förda register från Personuppgiftslagens tillämpningsområde, vilket har skett i Sverige fram till den 1 oktober 2007. Det finns ingen anledning att acceptera ett sådant undantag men det förutsätter att den svenska integritetsskyddslagen uttryckligen reglerar detta.

Bestämmelsen är inte straffsanktionerad enligt lagtexten och inte heller i  propositionstexten. Detta är något som grundlagsutskottet anmärker på. Bestämmelsen är bra men kräver ganska omfattande komplettering för att få motsvarande rättsverkan som i Finland. Det kan det inte finnas några hinder för att göra även denna bestämmelse skadeståndssanktionerad.

5 § Person- och lämplighetsbedömningstest

För utredning av förutsättningarna för att sköta arbetsuppgifterna eller behovet av utbildning och övrig utveckling inom yrket kan arbetstagare testas genom person- och lämplighetsbedömningar. För detta krävs samtycke av arbetstagaren. När test utförs skall arbetsgivaren se till att tillförlitliga testmetoder används, att de utförs av sakkunniga och att de uppgifter som fås är korrekta med beaktande av testmetoden och dess beskaffenhet. Arbetsgivaren eller en testare som arbetsgivaren anvisat skall på arbetstagarens begäran avgiftsfritt ge arbetstagaren det skriftliga utlåtande som givits vid person- eller lämplighetsbedömningen. Har utlåtandet givits muntligen till arbetsgivaren, skall arbetstagaren få en utredning om innehållet i utlåtandet.  '

Bestämmelsen anger att det endast är utredning som avser att testa förutsättningar för att sköta arbetsuppgifterna eller behovet av utbildning och övriga utvecklingar i yrket som får testas genom person och lämplighetsbedömningar. För test krävs samtycke av arbetstagaren. Det finns även en skyldighet att använda tillförlitliga metoder.

Det finns vidare ett krav på att den anställde gratis får tillgång till testet och resultatet av detta. Bestämmelsen uttryckligen straffsanktionerad i 11 §.

Min kommentar

Bestämmelser ger ett bra skydd när det gäller personer som redan är anställda. När det däremot gäller anställningssituationen är den helt otillräcklig. En arbetstagare som inte undergår ett av arbetsgivaren föreskrivet test får ju inte jobbet. I motsvarande svensk lagstiftning bör därför anges att testet ska vara nödvändigt med hänsyn till arbetsuppgifternas beskaffenhet och art och att samtycke för den anställdes ansökande inte i sig gör testet tillåtet.

6 §  Kontroll och annan testning av hälsotillstånd

För utförande av kontroller eller test som gäller arbetstagares hälsa eller för provtagningar får arbetsgivaren anlita endast yrkesutbildade personer inom hälso- och sjukvården och hälsovårdstjänster så som föreskrivs i hälso- och sjukvårdslagstiftningen. Vad som föreskrivs i 1 mom. gäller även alkohol- och narkotikatest. Arbetsgivaren får inte kräva att arbetstagaren skall delta i genetisk undersökning när han eller hon anställs eller under anställningsförhållandet och arbetsgivaren har inte rätt att få veta om arbetstagaren har genomgått en genetisk undersökning. 

Bestämmelsen föreskriver att arbetsgivaren endast får anlita yrkesutbildad person inom hälso- och sjukvården för testning av hälsotillstånd. Det gäller även alkohol och narkotikatest. Genetisk undersökning förbjuds. Arbetsgivaren får över huvud taget inte ställa frågor härom.

Bestämmelsen är straffsanktionerad.

Syftet är inte att utöka arbetsgivarens rättigheter när det gäller möjligheterna att vidtaga test, utan enbart att ange föreskrifter när arbetsgivaren har rätt att göra detta. Med hänsyn till integritetsskyddet enligt 7 § Finlands grundlag får sådan testning av hälsotillståndet inte genomföras utan stöd av lag. Detta framgår även av grundlagsutskottets yttrande. I Finland liksom i Sverige finns det ett antal lagar som föreskriver hälsoundersökningar. Det är bl.a. till skydd för livsmedelshygien, smittsamma sjukdomar etc.

I propositionen sägs särskilt att vid avgörande som gäller hälsotillståndet betonas patientens fria vilja, vilket också gäller arbetslivet.

Bestämmelserna har utformats i enlighet med ILO:s anvisningar från 1999 för kontroll av alkohol och narkotikafrågor på arbetsplatsen samt  de huvudprinciper för test på arbetsplatserna som ILO:s expertkonferens godkände 1993. Lagstiftningen verkar genom relevanskravet utesluta att arbetsgivaren utför generella test. Testen ska relateras  till arbetsförhållanden för personerna ifråga.

Min kommentar

Eftersom bestämmelsen endast reglerar formerna för testning av hälsotillstånd. . Bestämmelsen är därför lätt att misstolka vilket det gäller att påpeka för utredningen. Den liknar 30 § LOA som anger när och i vilka former periodiska hälsoundersökningar får utföras, däremot inte för vilka grupper. För detta krävs kollektivavtal eller förordning. Tyvärr har SEKO och Kommunal helt schabblat bort denna bestämmelse genom att ge arbetsgivaren fri rätt att bedöma när undersökning är nödvändig. Basskyddet finns emellertid fortfarande kvar.

Det talar för att en dispositiv lagstiftning i Sverige som inte skall delegera rätten att reglera genomförandet, endast formerna och omfattningen i enlighet med definierade kriterier.

7 § Uppgifter om arbetstagares hälsotillstånd

Arbetsgivaren har rätt att behandla uppgifter om en arbetstagares hälsotillstånd, om uppgifterna har samlats in hos arbetstagaren eller med arbetstagarens skriftliga samtycke hos någon annan och om behandlingen av uppgifterna behövs för utbetalning av lön för sjukdomstid eller därmed jämställbara förmåner i anslutning till hälsotillståndet eller för utredning av om det finns grundad anledning till frånvaron från arbetet eller om arbetstagaren uttryckligen önskar att hans eller hennes arbetsförmåga utreds på basis av uppgifterna om hälsotillstånd. Arbetsgivaren har dessutom rätt att behandla dessa uppgifter i sådana situationer och i en sådan omfattning som bestäms särskilt någon annanstans i lag. Uppgifter om hälsotillstånd får behandlas endast av personer som på basis av uppgifterna bereder eller fattar beslut om ett anställningsförhållande eller verkställer dem. Arbetsgivaren skall utse dessa personer eller fastställa de uppgifter som omfattar behandling av uppgifter om hälsotillstånd. De som behandlar uppgifter om hälsotillstånd får inte röja uppgifterna för utomstående under anställningsförhållandet eller efter att det har upphört. Arbetsgivaren skall förvara uppgifterna om en arbetstagares hälsotillstånd skilt från andra personuppgifter som arbetsgivaren har samlat in.

Den finska personuppgiftslagen gör det förbjudet att behandla uppgifter om hälsotillstånd. Den aktuella bestämmelsen avser att öppna upp för möjligheten att göra sådana registreringar. I Sverige har datainspektionen enligt bemyndigande i 20 § lagen av regeringen bemyndigats ge föreskrifter som givit motsvarande tillstånd. I bestämmelsen slås uttryckligen  fast att rehabiliteringsutredning kräver arbetstagarens tillstånd. De anger också i enlighet med personuppgiftslagen att uppgifterna ska behandlas hänsyn till den personliga integriteten.

Då arbetsgivaren behöver uppgifter för att kontrollera utbetalningar av sjuklön under vissa speciella förhållanden. En diagnos kan också lämnas och registreras hos arbetsgivaren.

Min kommentar

Den finska arbetsgivarens möjligheter att behandla uppgifter om sjukdom och liknande synes mer omfattande än den svenska lagstiftningen. I den svenska sjuklönelagen förutsätts arbetstagaren inte behöva uppge diagnos vid sjukskrivning. Detta är enligt propositionen nödvändigt för arbetstagaren i Finland för att få erhålla avtalsenlig sjuklön.

8 §  Tillvägagångssätt vid ordnande av teknisk övervakning och  användning av datanät

Syftet med den tekniska övervakning av arbetstagarna som baserar sig på arbetsgivarens arbetslednings- och övervakningsrätt, ibruktagandet av den och de metoder som används samt användningen av elektronisk post och datanät omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar. I andra företag och offentligrättsliga sammanslutningar än sådana som omfattas av samarbetslagstiftningen skall arbetsgivaren före beslutsfattandet bereda arbetstagarna eller deras företrädare tillfälle att bli hörda i de angelägenheter som nämns ovan. Efter samarbets- eller samrådsförfarandet skall arbetsgivaren definiera ändamålet med och metoderna för den tekniska övervakningen av arbetstagarna samt informera arbetstagarna om syftet med, ibruktagandet av och metoderna för den tekniska övervakningen samt användningen av elektronisk post och datanät.

Syftet med denna bestämmelse är att reglera teknisk övervakning genom kamera, övervakning och passagekontroll. Övervakning gäller också inloggningssystem inom databehandling och användning av telefon. Bestämmelsen innehåller också regler för användning av elektronisk post och datanät.

Bestämmelsen avser inte att ge rättigheter till övervakning, utan endast reglera denna när sådan rätt finns i en annan lagstiftning. Bestämmelsen anger också att samrådsförfarande ska iakttas när en sådan övervakning sker. Enligt 7 § i grundlagen Rätten till personlig frihet och integritet och 10 § Skydd för privatlivet krävs lag för att sådan övervakning ska vara tillåten. Enligt 10 § är också brev och telefonhemligheten samt hemligheten ifråga om andra förtroliga meddelanden okränkbar. Den finska grundlagen förutsätter därför lagreglering för att arbetsgivaren ska kunna övervaka exempelvis privat e-post, även på arbetsgivarens system.

Min kommentar

Denna bestämmelse synes tillsammans med grundlagen ge ett avsevärt bättre skydd än vad som finns enligt svensk lagstiftning.

9 § Tillsyn

  Arbetarskyddsmyndigheterna övervakar tillsammans med dataombudsmannen att denna lag iakttas. 

10 § Framläggning

  Arbetsgivaren skall hålla denna lag tillgänglig för arbetstagarna på arbetsplatserna. 

9 § tillsyn, 10 § framläggning behandlas ej.

11 § Straffbestämmelse

  Om straff för dataintrång bestäms i 38 kap. 8 § strafflagen (39/1889), om straff för personregisterbrott i 38 kap. 9 § strafflagen och om straff för personregisterförseelse i 48 § personuppgiftslagen. Straff för brott mot den tystnadsplikt som föreskrivs i 7 § 2 mom. utdöms enligt 38 kap. 1 eller 2 § strafflagen, om inte gärningen skall bestraffas enligt 40 kap. 5 § strafflagen eller om inte strängare straff bestäms för den någon annanstans i lag. Den som uppsåtligen eller av grov oaktsamhet försummar att iaktta vad som 1) i 5 § bestäms om person- och lämplighetsbedömningstest, 2) i 6 § bestäms om kontroll och annan testning av hälsotillstånd, eller vad som 3) i 8 § 1 mom. bestäms om hörande av arbetstagarna eller deras företrädare och i 2 mom. om arbetsgivarens definitions- och informationsskyldighet skall, om inte strängare straff föreskrivs någon annanstans i lag, för brott mot lagen om integritetsskydd i arbetslivet dömas till böter. 

Bestämmelsen erhåller erinran om straffbestämmelserna enligt personuppgiftslagen och strafflagen, samt kriminaliserar vissa bestämmelser som jag tidigare berört under de särskilda bestämmelserna.

12 § Ikraftträdande

  Denna lag träder i kraft den 200. De arbetsgivarskyldigheter som föreskrivs i 8 § skall dock fullgöras inom sex månader efter ikraftträdandet. 2. 

Lagtexten i fullversion

 

 

Lag om integritetsskydd i arbetslivet

I enlighet med riksdagens beslut föreskrivs:

 1 § Lagens syfte

  Syftet med denna lag är att i arbetslivet genomföra de grundläggande fri- och rättigheter som tryggar skydd för privatlivet och övriga grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten samt att främja utvecklandet och iakttagandet av god informationsbehandling när personuppgifter behandlas i arbetslivet.

 2 § Tillämpningsområde

  Denna lag skall iakttas i anställningsförhållanden samt tjänsteförhållanden samt liknande offentligrättsliga anställningar. Vad som i denna lag föreskrivs om arbetstagare tillämpas även på tjänstemän, dem som står i tjänsteförhållande eller anställda i liknande offentligrättsliga anställningar. Med arbetstagare avses i denna lag även en arbetssökande och med anställningsförhållande även annan anställning. På behandling av personuppgifter tillämpas dessutom personuppgiftslagen (523/1999), om inte något annat bestäms i denna lag.

 3 § Relevanskrav

  Arbetsgivaren får behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens anställningsförhållande. Avvikelser från detta kan inte göras med arbetstagarens samtycke.

 4 § Insamling av arbetstagares personuppgifter samt  upplysningsplikt

  Arbetsgivaren skall samla in personuppgifter om en arbetstagare i första hand hos arbetstagaren. Om arbetsgivaren samlar in personuppgifter någon annanstans än hos arbetstagaren och uppgifterna inte behövs för att utreda arbetstagarens tillförlitlighet, skall arbetstagarens samtycke till detta inhämtas. Arbetsgivaren skall när det är fråga om personuppgifter som samlats in någon annanstans än hos arbetstagaren informera arbetstagaren om uppgifterna innan de används för beslutsfattande som gäller arbetstagaren. I fråga om arbetsgivarens upplysningsplikt och arbetstagarens rätt att kontrollera sina personuppgifter gäller dessutom vad som bestäms någon annanstans i lag. Insamling av personuppgifter när någon anställs och under ett anställningsförhållande omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag (725/1978) och lagen om samarbete inom statens ämbetsverk och inrättningar (651/1988).

 5 § Person- och lämplighetsbedömningstest

  För utredning av förutsättningarna för att sköta arbetsuppgifterna eller behovet av utbildning och övrig utveckling inom yrket kan arbetstagare testas genom person- och lämplighetsbedömningar. För detta krävs samtycke av arbetstagaren. När test utförs skall arbetsgivaren se till att tillförlitliga testmetoder används, att de utförs av sakkunniga och att de uppgifter som fås är korrekta med beaktande av testmetoden och dess beskaffenhet. Arbetsgivaren eller en testare som arbetsgivaren anvisat skall på arbetstagarens begäran avgiftsfritt ge arbetstagaren det skriftliga utlåtande som givits vid person- eller lämplighetsbedömningen. Har utlåtandet givits muntligen till arbetsgivaren, skall arbetstagaren få en utredning om innehållet i utlåtandet.  '

6 §  Kontroll och annan testning av hälsotillstånd

  För utförande av kontroller eller test som gäller arbetstagares hälsa eller för provtagningar får arbetsgivaren anlita endast yrkesutbildade personer inom hälso- och sjukvården och hälsovårdstjänster så som föreskrivs i hälso- och sjukvårdslagstiftningen. Vad som föreskrivs i 1 mom. gäller även alkohol- och narkotikatest. Arbetsgivaren får inte kräva att arbetstagaren skall delta i genetisk undersökning när han eller hon anställs eller under anställningsförhållandet och arbetsgivaren har inte rätt att få veta om arbetstagaren har genomgått en genetisk undersökning. 

7 § Uppgifter om arbetstagares hälsotillstånd

  Arbetsgivaren har rätt att behandla uppgifter om en arbetstagares hälsotillstånd, om uppgifterna har samlats in hos arbetstagaren eller med arbetstagarens skriftliga samtycke hos någon annan och om behandlingen av uppgifterna behövs för utbetalning av lön för sjukdomstid eller därmed jämställbara förmåner i anslutning till hälsotillståndet eller för utredning av om det finns grundad anledning till frånvaron från arbetet eller om arbetstagaren uttryckligen önskar att hans eller hennes arbetsförmåga utreds på basis av uppgifterna om hälsotillstånd. Arbetsgivaren har dessutom rätt att behandla dessa uppgifter i sådana situationer och i en sådan omfattning som bestäms särskilt någon annanstans i lag. Uppgifter om hälsotillstånd får behandlas endast av personer som på basis av uppgifterna bereder eller fattar beslut om ett anställningsförhållande eller verkställer dem. Arbetsgivaren skall utse dessa personer eller fastställa de uppgifter som omfattar behandling av uppgifter om hälsotillstånd. De som behandlar uppgifter om hälsotillstånd får inte röja uppgifterna för utomstående under anställningsförhållandet eller efter att det har upphört. Arbetsgivaren skall förvara uppgifterna om en arbetstagares hälsotillstånd skilt från andra personuppgifter som arbetsgivaren har samlat in.

 8 §  Tillvägagångssätt vid ordnande av teknisk övervakning och  användning av datanät

  Syftet med den tekniska övervakning av arbetstagarna som baserar sig på arbetsgivarens arbetslednings- och övervakningsrätt, ibruktagandet av den och de metoder som används samt användningen av elektronisk post och datanät omfattas av samarbetsförfarandet enligt lagen om samarbete inom företag och lagen om samarbete inom statens ämbetsverk och inrättningar. I andra företag och offentligrättsliga sammanslutningar än sådana som omfattas av samarbetslagstiftningen skall arbetsgivaren före beslutsfattandet bereda arbetstagarna eller deras företrädare tillfälle att bli hörda i de angelägenheter som nämns ovan. Efter samarbets- eller samrådsförfarandet skall arbetsgivaren definiera ändamålet med och metoderna för den tekniska övervakningen av arbetstagarna samt informera arbetstagarna om syftet med, ibruktagandet av och metoderna för den tekniska övervakningen samt användningen av elektronisk post och datanät.

 9 § Tillsyn

  Arbetarskyddsmyndigheterna övervakar tillsammans med dataombudsmannen att denna lag iakttas. 

10 § Framläggning

  Arbetsgivaren skall hålla denna lag tillgänglig för arbetstagarna på arbetsplatserna. 

11 § Straffbestämmelse

  Om straff för dataintrång bestäms i 38 kap. 8 § strafflagen (39/1889), om straff för personregisterbrott i 38 kap. 9 § strafflagen och om straff för personregisterförseelse i 48 § personuppgiftslagen. Straff för brott mot den tystnadsplikt som föreskrivs i 7 § 2 mom. utdöms enligt 38 kap. 1 eller 2 § strafflagen, om inte gärningen skall bestraffas enligt 40 kap. 5 § strafflagen eller om inte strängare straff bestäms för den någon annanstans i lag. Den som uppsåtligen eller av grov oaktsamhet försummar att iaktta vad som 1) i 5 § bestäms om person- och lämplighetsbedömningstest, 2) i 6 § bestäms om kontroll och annan testning av hälsotillstånd, eller vad som 3) i 8 § 1 mom. bestäms om hörande av arbetstagarna eller deras företrädare och i 2 mom. om arbetsgivarens definitions- och informationsskyldighet skall, om inte strängare straff föreskrivs någon annanstans i lag, för brott mot lagen om integritetsskydd i arbetslivet dömas till böter. 

12 § Ikraftträdande

  Denna lag träder i kraft den 200. De arbetsgivarskyldigheter som föreskrivs i 8 § skall dock fullgöras inom sex månader efter ikraftträdandet. 2.