Framsida » Avgöranden » Behandlande av uppgifter om arbetstagares hälsotillstånd och sjukfrånvaron på arbetsplatsen samt överlämnandet av dessa uppgifter i samarbetet mellan arbetsgivaren och företagshälsovården

Behandlande av uppgifter om arbetstagares hälsotillstånd och sjukfrånvaron på arbetsplatsen samt överlämnandet av dessa uppgifter i samarbetet mellan arbetsgivaren och företagshälsovården

Dataombudsmannen har svarat på frågan om behandlingen av uppgifter gällande arbetstagares hälsotillstånd och sjukfrånvaron samt överlämnande av dessa uppgifter i samarbetet mellan arbetsgivaren och företagshälsovården.

Lagförändringen och dataombudsmannens kompetens

Lagarnas syfte är bl.a att stärka företagshälsovårdens verksamhet för befrämjade av arbetsförmåga och förebyggandet av arbetsoförmåga på arbetsplatserna. I och med förändringarna förutsätter lagen (bl.a. sjukförsäkringslagens 13 kapitel 5 § (1056/2010) en fungerande modell för uppföljande av arbetsförmåga och genomförandet av tidigt ingripande på arbetsplatsen, tex. uppföljande av arbetstagarnas sjukfrånvaron samt tidigt ingripande i sjukfrånvaron. Folkpensionsanstalten erstter 60 % av de kostnader som arrangerande av företagshälsovården förorsakar arbetsgivaren, förutsatt att man på arbetsplatsen i samverkan med företagshälsovården kommit överens om hur upprätthållande, uppföljande och stödjande av arbetsförmågan ordnas som arbetsplatsens och företagshälsovårdens gemensamma verksamhet.

Den 1.6.2012 trädde förändringen i lagen om sjukförsäkringar och lagen om företagshälsovård (5 a
§ (19/2012) och 2 kap. 10 a § (20/2012) om arbetsgivarens skyldighet att meddela om arbetstagarens sjukfrånvaro till företagshälsovården i kraft. För att kunna bedöma arbetstagarens arbetsförmåga och möjligheter att fortsätta i arbetet bör arbetsgivaren meddela om arbetstagarens sjukfrånvaro senast då frånvaron fortsatt i en månads tid. Företagshälsovården har som lagstadgad uppgift att upprätta ett utlåtande om arbetstagarens arbetsförmåga och möjligheter att fortsätta i arbetet. Detta utlåtande kan arbetstagaren tillställa folkpensionsanstalten för erhållande av sjukpenning. Enligt förarbetena till lagförändringarna är det dock ändå inte meningen att med dessa förändringar ändra lagstiftningen gällande individers dataskydd.

Till dataombudsmannens kompetens hör att ge handledning och rådgivning gällande hantering av personuppgifter så som det stadgas i personuppgiftslagen (523/1999) och lagen om integritetsskydd i arbetslivet (759/2004).

Detta ställningstagande är i första hand till för att handleda lagenlig hantering av personuppgifter inom ramen för ovannämnda kompetens. Dataombudsmannen har inte kompetens att tolka tex. sjukförsäkringslagen eller företagshälsovårdslagen, annat än för hanteringen av personuppgifters del. Inte heller arbets- eller tjänstemannarättsliga frågor hör till dataombudsmannens kompetensområde.

Följande bör uppmärksammas vid planeringen och förverkligandet av hanteringen och lagrandet av arbetstagarens hälso-, diagnos-, och sjukfrånvarouppgifter på arbetsgivarens initiativ, för skötandet av uppgifter kopplade till personaladministrationen och företagshälsovården:

I personuppgiftslagen föreskrivs om definieringen och hanteringen av hälsotillstånds relaterade personuppgifter och i lagen om integritetsskydd i arbetslivet 3 § och 5 §, föreskrivs om hanteringen av dessa uppgifter på arbetsplatsen. Med de ovannämnda uppgifter om arbetstagarens hälsotillstånd avses i personuppgiftslagen definierade, känsliga uppgifter som beskriver någons hälsotillstånd. Enligt personuppgiftslagens 11 § 4 mom. avses med känsliga uppgifter sådana personuppgifter som beskriver eller vilkas syfte är att beskriva någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom. I motiveringarna för personuppgiftslagen konstateras, att uppgifter om en sjukdoms art och till den kopplade omständigheter anses som uppgifter som beskriver någons sjukdom. Således anses inte en anteckning om sjukfrånvaro i löneregistret ensamt uppfylla definitionen på en känslig uppgift. Anteckningen om sjukfrånvaro är inte en känslig uppgift, men det är en personuppgift som gäller arbetstagaren och som bör skyddas.

Dataombudsmannen har tagit ställning till behandlingen och yttrandet om arbetstagaren sjukfrånvaro på arbetsplatsen i sitt ställningstagande år 2006: Framsida- Broschyrer - Arbetsliv- Yttrande av uppgifter om sjukfrånvaro på arbetsplatsen (www.tietosuoja.fi/48539)

Enligt personuppgiftslagens 6 § ska behandlingen av personuppgifter alltid vara sakligt motiverad med hänsyn till den registeransvariges verksamhet. Behandlingen av personuppgifter ska vara planerad i förhand och ändamålet med behandlingen ska vara preciserad. Enligt aktsamhetsplikten som föreskrivs om i personuppgiftslagens 5 §, ska den registeransvarige behandla personuppgifter i enlighet med lagen samt iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Enligt lagen om integritetsskydd i arbetslivet 3 § får arbetsgivaren behandla endast sådana personuppgifter som har direkt relevans för arbetstagarens arbetsavtalsförhållande och som har att göra med hanteringen av rättigheter och skyldigheter för parterna i arbetsavtalsförhållandet. Avvikelse från relevanskravet kan inte göras ens med arbetstagarens samtycke. Användningsändamålet för arbetstagarens känslig uppgifter om hälsotilltsånd kan inte tolkas mer omfattande än vad som förskrivs i 5 § i lagen om integritetsskydd i arbetslivet eller i en special lag.

Behandling av arbetstagarens hälsouppgifter på arbetsplatsen

Lagen om integritetsskydd i arbetslivets 3 § föreskriver att arbetsgivaren kan behandla uppgifter om arbetstagarens hälsotillstånd , tex. läkarintyg eller uttalanden innehållande diagnosuppgifter, för bedömningen av sjukfrånvaron endast på det sätt som stadgas i lagens 5 §.

Behandlingen av uppgifter gällande arbetstagarens hälsotillstånd är sakligt motiverad för följande användningsändamål:

  • För erläggande av lön eller annan jämförbar förmån för sjukdomstiden
  • För utredande av om sjukfrånvaron beror på en motiverad orsak
  • Utredande av arbetsförmåga på arbetstagarens begäran och tex. dimensionering av arbetet på basen av uppgifter om hälsotillstånd eller ett läkaruttalande
  • Om det specifikt föreskrivs i någon annan lag

I broschyren "dataskydd i arbetslivet", utgiven av arbets- och näringsministeriet, beskrivs närmare behandlingen av arbetstagarens hälsouppgifter på arbetsplatsen och praxis gällande lönebetalning under sjukdomstiden som baserar sig på bestämmelser i arbets- och tjänstemannaavtal. Huvudregeln i många avtal är att arbetstagaren bör tillställa arbetsgivaren läkarintyg, inklusive diagnosuppgifter, för att betalning av lön under sjukdomstiden ska kunna förverkligas. Det hör inte till dataombudsmannens uppgifter att tolka fall där arbetstagaren inte tillställer eller överlämnar läkarintyg inklusive hälsouppgifter till arbetsgivaren. I det ovannämnda fallet tillämpas inte lagen om integritetsskydd i arbetslivet, utan arbets- eller tjänstemannarättslig regleringar. Känsliga uppgifter om arbetstagarens hälsotillstånd bör förvaras åtskilda från andra personuppgifter som arbetsgivaren samlat in. Detta föreskrivs uttryckligen om i 5 § 4 moment i lagen om integritets skydd i arbetslivet.

I förarbeten för personuppgiftlagen framgår att uppgifter om hälsotillstånd inte bör lagras i samband med andra personregister som arbetsgivaren upprätthåller som t.ex. i samband med registren för löneadministration. Detta betyder att arbetsgivaren i regel har rätt att i sina egna personaladministrationssystem behandla uppgifter angående när och hur ofta en arbetstagare varit frånvarande från jobbet på grund av sjukfrånvaro (godtagbar orsak, betalning av lön under sjukledighet). I samband med personaladministrations systemet bör ändå inte lagras information om orsaken till sjukfrånvaron, t.ex. sjukdom, skada, beskaffenhet av dessa eller diagnosuppgifter. Läkarintyg och utlåtanden eller andra dokument och uppteckningar som innehåller uppgifter om hälsotillstånd som arbetstagaren tillställt arbetsgivaren, bör förvaras åtskilt från andra personuppgifter som gäller arbetstagaren. Dessa kan förvaras i pappersform eller lagras eller scannas i elektronisk form. Uppgifterna bör ändå hållas åtskilda från andra uppgifter som gäller arbetstagaren och kan behandlas endast i den utsträckning och till de användningsändamål som föreskrivs i 5 § i lagen om integritetsskydd i arbetslivet, t.ex. för erläggande av lön eller annan förmån under sjukdomstiden eller för utredande om godtagbar orsak för sjukfrånvaron föreligger. Dessa användningsändamål är enskilda och unika för varje arbetstagares sjukfrånvaro. T.ex. läkarintyg som tillställts arbetsgivaren kan anvndas i enlighet med 3 § i lagen om integritetsskydd i arbetslivet, om det krävs för utövandet av arbetstagarens eller arbetsgivarens lagstadgade rättigheter eller skyldigheter. Lagen om integritetsskydd i arbetslivet möjliggör inte och ger inte arbetsgivaren rätten att bilda ett separat hälsotillstånds-personregister, där man skulle samla och lagra uppgifter om arbetstagarens hälsotillstånd. (t.ex. orsaken till sjukdomen eller diagnosuppgifter). Ändringarna i sjukförsäkringslagen och den av folkpensionsanstalten förutsatta fungerande modellen för upprätthållandet, uppföljandet och stödjandet av arbetsförmågan på arbetsplatserna, förutsätter inte och ger heller inte arbetsgivaren rätten till att samla och lagra uppgifter om arbetstagarens hälsotillstånd till ett skilt hälsotillståndsregister på arbetsplatsen. Arbetsgivaren är en i personuppgiftslagen föreskriven separat registeransvarig för sina personaladministrations register medan företagshälsovården är registeransvarig för sina egna företagshälsovårdsregister och patientregisters del. Detta gäller också situationer där företagshälsovården organiseras av arbetsgivaren inom den egna organisationen. Organiseringen av företagshälsovården och dess innehåll föreskrivs om i lagen om företagshälsovården (1383/2001) I förslagen till lag om ändring av sjukförsäkringslagen och lagen om företagshälsovården konstateras följande RP 67/2010 vp, sid. 3, 13-14, RP 75/2011 vp, sid. 4.:

"Företagshälsovården kan också innefatta sjukvård och andra hälsovårdstjänster. Företagshälsovårdens innehåll har definierats i 12 § i lagen om företagshälsovården. Enligt paragrafen hör det till företagshälsovården, i enlighet med god företagshälsovårdspraxis, bl.a. att utreda och utvärdera hälsan och säkerheten i arbetet och arbetsförhållandena genom upprepade arbetsplatsbesök och att utreda, utvärdera och följa arbetstagarnas hälsotillstånd och arbets- och funktionsförmåga samt att följa och främja en handikappad arbetstagares möjligheter att klara sig i arbetet. Till företagshälsovården hör dessutom att lägga fram åtgärdsförslag i syfte att anpassa arbetet till arbetstagarens förutsättningar för att bevara och främja arbetstagarnas arbets- och funktionsförmåga. Att följa hur åtgärdsförslagen genomförs hör också till företagshälsovården. I enlighet med god företagshälsovårdspraxis ska arbetsgivaren göra upp ett avtal om företagshälsovårdstjänster med företagshälsovården. På arbetsplatsen ska man dessutom göra en arbetsplatsutredning, utgående från vilken en verksamhetsplan för företagshälsovården utarbetas. Till verksamhet enligt god företagshälsovårdspraxis hör dessutom att arbetsplatsen och företagshälsovården i samarbete utreder och följer upp arbetstagarnas hälsotillstånd och arbets- och funktionsförmåga (hälsoundersökningar) samt ger information, anvisningar och råd.


Folkpensionsanstaltens ersättningen är 60 procent av de godtagbara kostnaderna för förebyggande företagshälsovård om arbetsplatsen och företagshälsovården tillsammans kommit överens om förfaringssätten vid upprätthållande, uppföljning och tidigt stödjande av arbetsförmågan. Förfaringssätten ska innefatta åtgärder för att identifiera behov av tidigt stöd och för att ge stöd samt följa upp sjukfrånvaron i samarbete med företagshälsovården. Man avtalar också om arbetsgivarens skyldighet att lämna heltäckande uppgifter om sjukdomsfall och frånvaro till företagshälsovården, om inte arbetstagaren särskilt har förbjudit utlämnande av enskilda intyg eller utlåtanden. Dessutom ska man avtala om presentationen av uppföljningen av arbetsförmågan samt rapporteringen i verksamhetsplanen för företagshälsovården,
analyseringen av uppgifterna om uppföljningen av arbetsförmågan och om hur det tidiga stödet förverkligats i enlighet med den praxis som regelbundet avtalats på arbetsplatsen samt om företagshälsovårdens skyldighet att årligen rapportera omuppföljningen av arbetsförmågan på arbetsplatser med över 20 anställda."

Organiseringen av arbetstagarens hälsovård, upprätthållande av patientregister, utredande av arbetstagarens hälsotillstånd, arbets- och funktionsförmåga och förverkligandet av förebyggande åtgärder för upprätthållandet av arbetsförmågan i samarbete med arbetsgivaren (t.ex. uppföljande av arbetstagarnas sjukfrånvaron) samt till dessa uppgifter samhörande registerföring föreskrivs i lagen om företagshälsovården och lagen om patientens ställning och rättigheter (785/1992) som fretagshälsovårdens uppgifter. Arbetsgivaren har således inte på basen av detta någon lagstadgad eller sakligt motiverad grund för behandling av arbetstagarnas hälsouppgifter genom att upprätthålla ett skilt hälsotillståndsregister.
Arbetsgivaren har heller inte tillträde till företagshälsovårdens register eller patientregister. I patientlagen och i 18 § i lagen om företagshälsovård föreskrivs att uppgifter om hälsotillstånd är sekretessbelagda. Sekretessbelagda uppgifter får ej yttras eller överlämnas om inte den till vars favör sekretessen föreskrivits ger sitt samtycke. Företagshälsovårdens uppgifter som gäller arbetstagaren kan i regel överlämnas till arbetsgivaren endast med arbetstagarens samtycke. I 18 § i lagen om företagshälsovård föreskrivs uttryckligen om de begränsade undantag då överlämnande av uppgifter är möjligt utan samtycke, t.ex. då arbetsuppgifterna orsakar särskild fara för insjuknande. 5 § i lagen om integritetsskydd i arbetslivet möjliggör alltså inte att arbetsgivaren och företagshälsovården gemensamt upprättar ett sjukfrånvaro- och patientregister innehållande uppgifter om arbetstagarens hälsotillstånd. Däremot är det möjligt att behandla uppgifter så, att arbetsgivaren på eget initiativ levererar eller lagrar uppgifter om arbetstagarens sjukfrånvaron eller läkarintyg som arbetstagaren med samtycke tillställt arbetsgivaren i ett system som företagshälsovården erbjuder (företagshälsovårdens register). I så fall bör ändå bestämmelsen i 5 § 3 mom. i lagen om integritetsskydd i arbetslivet uppmärksammas. I 5 § 3 mom. föreskrivs om att arbetsgivaren får överlämna ett uttalande eller läkarintyg om arbetsförmåga till en producent av tjänster inom företagshälsovården om detta behövs för skötandet av sådana uppgifter inom företaghälsovården som förskrivits om i lagen om företagshälsovård och om arbetstagaren inte förbjudit överlåtande av uppgifter. Då det ändå är frågan om ett register som företagshälsovården upprätthåller, har arbetsgivaren inte tillträde till registret så, att arbetsgivaren skulle kunna behandla arbetstagarens läkarintyg och uppgifter om hälsotillstånd och därmed följa med eller gå in och betrakta vad som skett tidigare eller vilka uppgifter som lagrats i registret för en viss tidsperiod. Uppgifter om arbetstagarens hälsotillstånd får i regel behandlas endast för bedömmande av den förhandenvarande frånvarons giltighet eller för erläggande av lön för sjukfrånvaron. Företagshälsovårdens uppgifter är sekretessbelagda och arbetsgivaren har inte tillträde till företagshälsovårdens register. För dessa systems del bör man särskilt ta i beaktande 32 § bestämmelser i personuppgiftslagen om skydd av uppgifter vid behandlande av känsliga eller sekretessbelagda patientuppgifter med hjälp av datanät. Företagshälsovården kan överlämna uppgifter till arbetsgivaren endast enligt hur det föreskrivs i lagen om företagshälsovård, alltså i regel med arbetstagarens/patientens samtycke.

Överlämnande av uppgifter om sjukfrånvaro och hälsotillstånd till företagshälsovården

En separat bedömning av behandlingen och överlåtandet av arbetstagarens sjukfrånvarouppgifter till företagshälsovården kan göras dels för sjukfrånvarouppföljningens del, dels för förverkligandet av modellen för tidigt ingripande. Enbart uppgiften om någons sjukledighet är inte en känslig personuppgift om arbetstagarens hälsotillstånd, men det är en personuppgift som gäller arbetstagaren. I detta avseende bör förpliktelserna om skydd av uppgifter i lagen om integritetsskydd på arbetsplatsen och personuppgiftslagen uppmärksammas.
I motiveringarna för reformerna av Sjukförsäkringslagen och företagshälsovårdslagen (RP 67/2010 vp. 14) konstateras följande:

Arbetsplatsens verksamhetskoncept ska avtalas och utarbetas skriftligen av arbetsplatsen och företagshälsovården tillsammans. Det skriftliga verksamhetskonceptet ska innehålla en beskrivning av verksamhetsförfarandet vid utarbetandet av verksamhetskonceptet och av verksamhetskonceptets innehåll och tillämpning när det gäller att konstatera behov av tidigt stöd och att ge stödet. Dessutom ska verksamhetsbeskrivningen innehålla de blanketter som utarbetats som arbetsplatsens hjälpmedel, såsom t.ex. promemorior och kartläggningslistor, som ska användas när man tar upp frågor som gäller arbetsförmågan och för förhandlingar kring arbetshälsan. Verksamhetsbeskrivningen ska också innehålla ett system för hantering av sjukfrånvaron där man beskriver den anmälningspraxis för frånvaro som avtalats på arbetsplatsen, uppföljningen av frånvaro samt stöd som ges, anvisningar för hur man ska ta kontakt med företagshälsovården samt arbetsplatsens uppgifter när det gäller att lämna sammandrag över sjukfrånvaron och sjukfrånvarointyg till företagshälsovården. Dessutom ska systemet för hantering av sjukfrånvaro innehålla en beskrivning av företagshälsovårdens uppföljning av sjukfrånvaron samt hantering och presentation på arbetsplatsen av de uppgifter som erhållits vid uppföljningen. Genom de beskrivna förfarandena ändras inte den praxis i fråga om integritetsskydd och datasekretess som regleras i den gällande lagstiftningen. Till verksamhetskonceptet för upprätthållande av arbetsförmågan hör dessutom att i verksamhetsplanen för företagshälsovården anteckna åtgärder för god företagshälsovårdspraxis vid stödjande av arbetsförmågan och förebyggande av problem med arbetsförmågan samt utövande av företagshälsovårdsverksamhet vid konstaterande av behov av tidigt stöd, uppföljning av sjukfrånvaron och utarbetande och presentation av rapporter om arbetsplatsens hälsotillstånd och situation i fråga om arbetsförmågan.

Social- och hälsovårdsministeriet har likväl publicerat broschyren STM 2007:7 "Sairauspoissaolokäytäntö
työpaikan ja työterveyshuollon yhteistyönä"där det givits närmare instruktioner om bl.a. uppföljande och behandling av sjukfrånvarouppgifter på arbetsplatsen och i samarbetet mellan arbetsgivaren och företagshälsovården.
Hanteringen av sjukfrånvaron bör planeras och fastställas i förväg t.ex. skriftligt i en verksamhetsberättelse. Verksamhetsberättelsen bör också innehålla ett funktionssätt för hantering av sjukfrånvaron, där det redogörs för de på arbetsplatsen överrenskomna praxisar för anmälan av frånvaron, förverkligandet av uppföljningen av frånvaron, stöd som ges, instruktioner för kontakt med företagshälsovården samt arbetsplatsens uppgifter gällande tillställande av sammafattningar eller intyg på sjukfrånvaro till företagshälsovården. Även personuppgiftslagens förhanda planeringsplikt bör beaktas vid behandling och överlåtande av personuppgifter.

Änmälan om sjukfrånvaro till företagshälsovården

Ändringarna i sjukförsäkringslagen och lagen om företagshälsovården ställer också nya förpliktelser för arbetsgivaren, då arbetsgivaren bör meddela företagshälsovården om arbetstagaren varit sjukledig längre än en månad. Om detta föreskrivs uttryckligen i lagen om företagshälsovården (2
kap. 10 a §, fr.o.m 1.6.2012). Enligt lagmotiveringen menas med en månad en kalendermånad. Det finns dock inte något hinder för att meddela frånvaron redan tidigare, i synnerhet då sjukledigheten redan från början uppskattas dröja en längre tid. Och andra sidan vore det skäl att göra anmälan också då frånvaron inte varit sammanhängande, men arbetstagaren haft fler kortare frånvaroperioder efter varandra. Enligt social- och hälsovårdsministeriets uttalande syftar bestämmelsen till att 30 dagars sjukfrånvaro under ett kalenderår räknas kumulativt. Om arbetstagaren är företagshälsovårdens patient och företagshälsovårdsläkaren skriver läkarintyget, behöver arbetsgivaren inte göra en anmälan om sjukfrånvaro.

Enligt lagmotiveringarna är arbetsgivaren oftast den första som får vetskap om arbetstagarens sjukfrånvaro och uppföljande av dessa är på arbetsgivarens ansvar. Arbetsgivaren sätter i och med meddelande om sjukfrånvaro till företagshälsovården igång processen, så att företagshälsovårdens uttalande om arbetstagarens arbetsförmåga och möjligheter att fortsätta i arbetet blir gjord i tid. Arbetstagaren tillställer sedan denna rapport till folkpensionsanstalten för erhållande av sjukpenning. De till sjukförsäkringslagen förslagna tillägget om en tidsfrist på 90 dagars sjukpenning, vore den sista tidsgräns för inlämnade av företagshälsovårdens rapport till folkpensionsanstalten. Som mål är att arbetsgivaren, arbetstagaren och företagshälsovården så fort som möjligt skulle vidta stödjande åtgärder för återvändande till arbetet.

Arbetstagarens uppgifter gällande sjukfrånvaron kan överlåtas till företagshälsovården om de krävs för utförande av företagshälsovårdens uppgifter, till den del som uppföljande av sjukfrånvaron på arbetsplatsen förutsätter förverkligande av de ovannämnda lagstadgade skyldigheterna. Anmälan och överlåtande av arbetstagarens personuppgifter till företagshälsovården är för arbetsgivarens del sakligt motiverat, då det baserar sig på utövande av de till arbetsgivaren tillhörande rättigheter och skyldigheter som föreskrivs i 3 § i lagen om integritetsskydd i arbetslivet.
Detta betyder att man på arbetsplatsen bör ha tagit vederbörliga beslut, upprättat skriftliga verksamhetsmodeller och praxisar samt att man på arbetsplatsen genomgått samarbetsförfarande så som det föreskrivs i 4 § 3 mom. i lagen om integritetsskydd i arbetslivet. Arbetstagarna ska därtill informeras om behandlande och överlåtande av sjukfrånvarouppgifter till företagshälsovården. I personaladministrationens register bör antecknas att arbetstagarnas personuppgifter överlåts till företagshälsovården.

Överlämnande av uppgifter om arbetstagarens hälsotillstånd till företagshälsovården

I 5 § 3 mom. i den nu ikraftvarande lagen om integritetsskydd i arbetslivet stadgas därtill, att ett läkarintyg eller uttalande gällande arbetsförmåga som arbetstagaren tillställt arbetsgivaren kan överlåtas till en tjänsteleverantör inom företagshälsovården för skötande av de i lagen om företagshälsovården stadgade uppgifter, om arbetstagaren inte förbjudit överlåtande. Enligt dataombudsmannens anvisningar bör arbetstagarna informeras om möjligheten att förbjuda överlåtande av uppgifter. Förbudet kan gälla en enskild överlåtelse eller en viss tidsperiod. Arbetsgivaren bör hantera förbuden på ett lämpligt sätt som en del av personaladministrationens registerförig. Ifall organisationer ämnar införa en praxis gällande överlåtande, eller ändra på en redan existerande praxis, bör saken behandlas i samarbetsförfarandet på arbetsplatsen. Arbetstagare bör informeras om behandling och överlåtande av personuppgifter, sjukfrånvaro- och hälsotillståndsuppgifter på arbetsplatsen.


Företagshälsovården och diskussion om arbetsförmåga på arbetsplatsen

Enligt lagen om företagshälsovård hör det till företagshälsovårdens uppgifter att framställa till arbetsgivarens räkning rapporter gällande uppföljande av sjukfrånvaron och hälso- och arbetsförmåga situationen på arbetsplatsen. Vid rapporteringen bör sekretessbestämmelserna tas i beaktande och därmed kan endast statistiska uppgifter gällande sjukfrånvaron och därtillhörande orsaker (uppgifter om hälsotillstånd, diagnosuppgifter) överlämnas. Denna information kan inte överlämnas till arbetsgivaren enskilt per arbetstagare. Arbetsgivaren har också ofta i sina egna personaladministrationsystem uppgifter om när och hur mycket arbetstagaren varit sjukledig (godtagbar orsak). Då arbetsgivaren är i kontakt med företagshälsovården angående arbetshälsorelaterade frågor, kan diagnosuppgifter inte behandlas i större utsträckning än vad som föreskrivs i lagen om företagshälsovård (sekretessbelagda uppgifter med samtycke). Sekretessen bör uppmärksamma då man på arbetsplatsen ordnar diskussioner angående arbetsförmåga och sjukfrånvaron. Sättet på vilket gemensamma diskussionerna mellan arbetstagaren, arbetsgivaren och företagshälsovården ordnas på arbetsplatsen är en fråga som hör till arbetsgivarens direktionsrätt. I diskussionerna om arbetsförmåga torde det ändå vara rekommendabelt att koncentrera sig på arbetsförmågan och organiseringen av arbetet. Dylika enbart muntliga diskussioner mellan parterna förblir i regel utanför personuppgiftslagens tillämpningsområde, eftersom en enbart muntlig uppgift inte är en personuppgift, om den inte baserar sig på en i ett register lagrad uppgift. Däremot utgör arbetsförmågeförhandlingarnas skriftliga rapporter och sammanfattningar en del av registerföringen inom personaladministrationen, då man i samband med dessa behandlar uppgifter som gäller arbetstagaren. Uppgiften om en arbetstagares sjukledighet utgör inte i sig en känslig personuppgift som beskriver hälsotillstånd, men det är en personuppgift som gäller arbetstagaren. Arbetstagaren bestämmer själv på basen av lagen om integritetsskydd i arbetslivets 5 §:s bestämmelse om självbestämmanderätt , vilka hälsotillståndsrelaterade uppgifter (diagnosuppgifter) denne för fram på arbetsplatsen eller i arbetsförmåga- eller andra diskussioner med arbetsgivaren. Representanter för företagshälsovården har vid sådana här diskussionstillfällen tystnadsplikt om uppgifter gällande arbetstagarens hälsotillstånd, om inte arbetstagaren ger sitt samtycke till yttrande av dessa uppgifter. Arbetsgivarens representanter har likaså tystnadsplikt i förhållande till utomstående om uppgifter gällande arbetstagarens hälsotillstånd. I lag motiveringen (RP 75/2011 vp, sid. 11-12) konstateras, att de inte är nödvändigt att behandla en enskild arbetstagarens hälsouppgifter tillsammans med arbetsgivaren då man utreder möjligheterna att återvända till arbetet, utan fokusera på vilka praktiska åtgärder kan vidtas för stödjande av arbetstagarens arbetsförmåga, samt för anpassade av arbetsuppgifter och arbetsformer enligt arbetstagarens arbetsförmåga. Hälsotillståndsrelaterade uppgifter är till sin natur känsliga uppgifter och överlåtande och behandlande av sådana uppgifter är i regel förbjuden utan arbetstagarens samtycke eller lagstadgad grund. I detta avseende hänvisas till bestämmelserna i personuppgiftslagen och lagen om integritetsskydd i arbetslivet.

Vem har rätt att behandla uppgifter om hälsotillstånd och sjukfrånvaro på arbetsplatsen

Enligt 5 § 2 mom. i lagen om integritetsskydd i arbetslivet får uppgifter om hälsotillstånd behandlas endast av personer som utifrån uppgifterna bereder eller fattar beslut om ett arbetsavtalsförhållande eller verkställer dem. Arbetsgivaren ska uppge namnet på dessa personer eller fastställa de uppgifter som omfattar behandling av uppgifter om hälsotillstånd. Utöver att den krets av personer som får behandla uppgifter om hälsotillstånd bör bestämmas och namnges i enlighet med ovanstående bestämmelse, bör arbetsgivaren med hänsyn till personuppgiftslagens förpliktelser om skydd av uppgifter och förhanda planering av behandling av personuppgifter, i förväg definiera, vilka personer i organisationen som har rätt att i sina arbetsuppgifter inom ramen för relevanskravet, behandla i arbetsgivarens register lagrade uppgifter, bl.a uppgifter om arbetstagarens sjukfrånvaro. Uppgifter om arbetstagarens sjukfrånvaro eller sjukledighet hör i allmänhet till personaladministrationens omrde och är i regel nödvändiga för skötande av arbetsuppgifter inom personaladministrationen. Det centrala är att i förväg i samarbetsförfarandet överväga relevansen av behandlingen av uppgifter om sjukfrånvaro och nämnande av de person som har rätt att behandla dessa uppgifter. I praktiken blir det att bedöma vilken av de många förmän eller andra personer inom personaladministrationen som har det i lagen föreskrivna legitima intresset att få de ifrågavarande uppgifterna. Dessa kan vara tex. personalchefen, personer i chefpositioner, löneräknare samt de personer till vars arbetsuppgifter hör uppföljande av sjukfrånvaron och tidigt ingripande samt bedömning av arbetsförmåga på arbetsplatsen. Tillgången till information bör begränsas så inskränkt som möjligt, med hänsyn till bestämmelsen om relevanskrav i 3 § i lagen om integritetsskydd i arbetslivet. Organisationen bör fatta vederbörliga beslut i saken och arbetstagarna bör informeras om behandlingen av personuppgifter. Arbetsgivarens skyldighet att skydda arbetstagarnas personuppgifter innebär att utomstående inte ska få vetskap om eller få tillgång till ifrågavarande uppgifter. Utanförstående personer är förutom de utanför organisationen också sådana arbetstagare inom ifrågavarande arbetsgivarorganisation, som inte behöver personuppgifter för skötande av sina arbetsuppgifter. Arbetsskyddsombudsmannen och förtroendemän har ingen direkt, på lagen om integritetsskydd i arbetslivet baserad rättighet att behandla uppgifter om arbetstagarens hälsotillstånd. Arbetstagaren kan välja att ge sitt samtycke till att arbetsskyddsombudsmannen, förtroendemannen eller någon annan representant för personaladministrationen deltar i diskussionerna om arbetsförmåga eller annars behandlar arbetstagarens personuppgifter. Därtill är arbetsgivaren skyldig att utbilda sin personal så att lagenlig behandling av personuppgifter förverkligas, se till att datanät skyddas med tex. användarnamn och lösenord samt se till att de personer som inom organisationen behandlar personuppgifter är medvetna om och efterföljer bestämmelserna om tystnadsplikt, skydd av uppgifter och andra bestämmelser som föreskrivs i personuppgiftslagen. I 5 § i lagen om integritetsskydd i arbetslivet har uttryckligen föreskrivits om yttrande och sekretess av uppgifter om arbetstagarens hälsotillstånd (tex. diagnos, sjukdomens art, skada eller vårdåtgärd). Personer som behandlar uppgifter om arbetstagarnas hälsotillstånd får inte under arbetsförhållandets gång och heller inte efter, yttra dessa uppgifter till en utomstående. Känsliga uppgifter om hälsotillstånd ska dessutom skyddas enligt 32 § i personuppgiftslagen. Personuppgiftslagens 32 § och 33 §:ens tystnadsplikt gäller vid skyddandet av uppgifter om sjukfrånvaro (arbetstagarens personuppgift). Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhllanden eller ekonomiska ställning, får inte i strid med denna lag för tredje man röja de uppgifter som han på detta sätt har erhållit.

Samarbetsförfarandet, informering och registerbeskrivningar

4 § 3 mom. i lagen om integritetsskydd i arbetslivet föreskriver om skydligheten till samarbetsförfarande gällande personuppgifter som samlas in under arbetsförhållandet. Samlande av personuppgifter vid rekrytering och under arbetsförhållandet föreskrivs om i lagen om samarbete inom företag (334/2007), lagen om samarbete inom statens ämbetsverk och inrättningar (651/1988) och i lagen om samarbete mellan kommunala arbetsgivare och arbetstagare. 21 § i lagen om integritetsskydd i arbetslivet föreskriver en skyldighet att ordna samarbetsförhandlingar om användandet av epost och datanätverk på arbetsplatsen.
Detta betyder att om man samlar och behandlar uppgifter om hälsotillstånd och sjukfrånvaron eller om det sker ändringar i behandlingen eller man tar i bruk nya system inom personaladminstrationen bör man ta i beaktande skyldigheten till samarbetsförfarande på arbetsplatsen. Av alla personregister som upprätthålls på arbetsplatsen bör uppgöras en i 10 § i personuppgiftslagen föreskriven registerbeskrivning. Rekomendabelt vore också att upprätta en dataskyddsbeskrivning, som innehåller information om användandet av rätten till insyn och rättelse av en uppgift. Uppgifter som gäller arbetstagares hälsotillstånd bör antecknas i personaladministrationens registerbeskrivning enligt hur registerföringen och behandlingen av personuppgifter ordnats på arbetsplatsen. Uppgifter om hälsotillstånd, tex. uppgifter om diagnos eller läkarintyg, kan höra till personaladministrationens allmänna register eller bilda ett enskilt register. Enligt lagen bör uppgifter om hälsotillstånd förvaras åtskilt från andra personuppgifter. Också behandlingen av endast sjukfrånvarouppgifter (tex. tid, längd, sammafattning) bör antecknas i personaladministrationens registerbeskrivningen enligt hur den ordnats på arbetsplatsen. I personaladministrationens registerbeskrivningar bör också antecknas de personuppgifter som regelmässigt överlåts från registret, tex. de uppgifter som överlåts till företagshälsovården. Enligt 24 § i personuppgiftlagen bör arbetstagarna informeras och behandlande och överlåtande av uppgifter gällande hälsotillstånd, och om behandlandet av uppgifter inom personaladministrationen tex. behandlande av sjukfrånvarouppgifter på arbetsplatsen och överlåtande av dessa uppgifter till företagshälsovården.

Utkontraktering

De lagstadgade skyldigheter som nämnt i instruktionerna ovan, gäller också situationer där arbetsgivaren utkontrakterat skötandet av personaladministrationen och behandlingen av personuppgifter till en uppdragstagare. Den som behandlar personuppgifter för den registeransvariges räkning är skyldiga att följa aktsamhetsplikten, plikten att skydda uppgifterna och plikten att förvara uppgifter skilt. Skriftliga avtal och förbindelser om behandlande, skyddandet och sekretess av personuppgifter och känsliga uppgifter bör finnas. Vid utkontraktering uppstår anmälningsplikt till dataombudsmannen. De uppdragstagare som för någon annans räkning behandlar personuppgifter är i sin tur skyldiga att göra en verksamhetsanmälan till dataombudsmannen. Mer information om utkontraktering och anmälningsplikt finns i dataombudsmannens broschyrer "Utkontraktering av personuppgiftsbehandling, genemsamma datasystem, samverkan i närverk och tillhörande avtal" och "Anmälningsplikt enligt personuppgiftslagen"

Förvarande av känsliga uppgifter

Känsliga uppgifter bör raderas från registret omedelbart efter att grunden för behandlingen inte längre existerar. Arbetsgivaren bör också bedöma behovet av förvarande av uppgifter minst med 5 års mellanrum. (personuppgiftslagen 9 §, 12 § 2 mom.). Ett personregister som inte längre behövs för den registeransvariges verksamhet, ska förstöras, om det inte särskilt bestäms att de registrerade uppgifterna ska bevaras eller registret inte ska överföras till ett arkiv på det sätt som avses i 35 §. (personuppgiftslagen 34 §)
5 § 4 mom. i lagen om integritetsskydd i arbetslivet föreskriver att arbetsgivaren ska förvara uppgifter som gäller arbetstagarens hälsotillstånd skilt från andra personuppgifter som arbetsgivaren samlat in. Uppgifterna kan vara i pappersformat eller elektroniskt lagrade. Plikten att skydda uppgifter betyder, att uppgifter om hälsotillstånd, tex. läkarintyg, ska förvaras i ett låst utrymme på arbetsplatsen. Också det tekniskaskyddet bör skötas med skydd av datasystem, tex. i form av användarnamn och lösenord. Dataombudsmannen har rekomenderat att förvaringstiden av läkarintyg och uppgifter om arbetstagarens hälsotillstånd på arbetsplatsen vore högst 2 år om inte 3 § i lagen om integritetsskydd i arbetslivet föreskriver annat eller om inte utövandet av arbetstagarens rättigheter eller skyldighet eplicit kräver detta. Enligt arkivverkets instruktioner sparas läkarintyg- och uttalande för de arbetstagare som arbetar inom staten och kommunerna högst 2 år. Om förvarande av företagshälsovårdsuppgifter föreskrivs skilt.

Tillämplig lagstiftning

Personuppgiftslagen (523/1999) 5 §, 6 §, 7 §, 8.1 § 4 ja 5 mom., 9 § 10 §, 24 §, 32 §, 33 §, 34 §
Lagen om integritetsskydd i arbetslivet (759/2004) 3 §, 4 § 3 mom., 5 §, 14 §, 21 §
Lagen om företagshälsovård (2001/1383) 12 §, 18 §, 2 kap. 10 a §, 3 kap. 12 §:n 5 a) mom.
Sjukförsäkringslagen 1224/2004) 13 kap. 5 §, 8 kap. 5 a §

 
Publicerad 6.2.2014