Takaisin asiakasomistajakirjastoon

Henkilötietojen käsittely

Tietosuojalain tarkoitus ja soveltamisala

Tietosuojalain tarkoituksena on täsmentää ja täydentää Euroopan parlamentin ja neuvoston antamaa yleistä tietosuoja-asetusta, ja sen kansallista soveltamista. Tietosuoja-asetus on kaikkia EU-maita yhteisesti sitova asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyn yhteydessä. Suomen lainsäädäntö on saatettu vastaamaan EU:n tietosuoja-asetuksen vaatimuksia.

Tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa.

Suomen lakia sovelletaan EU:n alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä tapahtuvaan henkilötietojen käsittelyyn, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.

Työntekijöiden henkilötietojen käsittelyyn sovelletaan yksityisyyden suojasta työelämässä annettua lakia eli työelämän tietosuojalakia. Työelämän tietosuojalain sääntely perustuu pitkälti siihen, että työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella. Työnantajan olisi lisäksi kerättävä työntekijää koskevia henkilötietoja ensi sijassa työntekijältä itseltään.

Tietosuojalainsäädännön lisäksi Suomessa on voimassa henkilötietojen käsittelyä koskevaa erityislainsäädäntöä.

 

Henkilötieto ja henkilötietojen käsittely

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön, eli sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen.

Koska yksityiselämän suoja ja muut yksityisyyden suojaa määrittelevät perusoikeudet eivät ole ehdottomia, lainsäädäntö osoittaa sääntelemiltään osin yksityisyyden suojan ulottuvuutta.

Yksityisyyden suojan sisältöön ja ulottuvuuteen vaikuttaa muun muassa se, minkälaisesta henkilötietojen käyttöyhteydestä on kysymys, mikä on rekisteröidyn ja rekisterinpitäjän välinen suhde, missä roolissa henkilö kulloinkin esiintyy ja onko hän itse antanut tietojaan julkisuuteen tai sallinut niiden julkistamisen. Keskeistä on, minkälaisessa roolissa eri osapuolet esiintyvät ja minkälainen alistumisvelvollisuus asemansa vuoksi voidaan tuossa tilanteessa katsoa olevan sillä, jonka henkilötietoja halutaan käyttää (esimerkiksi ammatin- tai elinkeinonharjoittaja).

Esimerkiksi tiedot henkilön tehtävistä ja menettelystä yhteiskunnallisessa tai poliittisessa toiminnassa eivät välttämättä kuulu yhtä laajan yksityisyyden suojan piiriin kuin tiedot, jotka liittyvät luonnolliseen henkilöön yksityishenkilönä.

Yksityisyyden suojan ulottuvuus ja henkilötietojen käsittely ovat usein tapauskohtaista harkintaa vaativia seikkoja. Selkeä rajaus tietosuoja-asetuksen soveltamisalalle on kuitenkin se, että oikeushenkilöä koskeva tieto ei kuulu asetuksen soveltamisalaan. Toisaalta esimerkiksi yrittäjän henkilöä koskevat tiedot saattavat liikkua soveltamisalan rajamailla. Luonnollisesti myös tietojen käyttötarkoituksella on merkitystä.

Yleisesti saatavia tietoja ovat muun muassa oikeusrekisterikeskuksen pitämään liiketoimintakieltorekisteriin sekä konkurssi- ja yrityssaneerausrekisteriin ja kaupparekisteriin sisältyvät tiedot, jotka ovat julkisia. Voidaan katsoa, etteivät henkilön yksityisyyden suojaa turvaavat edut syrjäytä rekisterinpitäjän tai sivullisen intressejä, kun kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista tiedoista, jotka ovat yleisesti saatavilla.

 

Tietosuoja-asetuksen mukaisesti henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

 

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta   varten;

 

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai   sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

 

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

 

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

 

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen   vallan käyttämiseksi;

 

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Henkilötietojen käsittely on puolestaan itsessään määritelty hyvin laajasti. Tietosuoja-asetuksen määritelmän mukaisesti käsittelyllä tarkoitetaan kaikkia toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

 

Tietosuojalainsäädäntö ja laki viranomaisten toiminnan julkisuudesta

Tietosuojalainsäädäntö on läheisessä yhteydessä lakiin viranomaisten toiminnan julkisuudesta (julkisuuslaki). Tietosuojalainsäädäntö ulottuu organisatorisesti niin viranomaisten kuin yksityistenkin toimesta tapahtuvaan henkilötietojen käsittelyyn. Tietosuojalain julkisuusperiaatteen mukaisesti oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.

Julkisuuslain 24 §:ssä on lueteltu yksityisyyden suojaamiseksi tarpeelliset viranomaisen hallussa olevien henkilötietojen luovutusrajoitukset. Luovutettaessa tietoja viranomaisten henkilörekistereistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset.

 

Arkaluonteisten tietojen käsittelykielto

Arkaluonteiset henkilötiedot ovat erityisen tarkasti suojeltuja, sillä niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille- ja vapauksille. Tällaisten henkilötietojen käsittely on tietosuoja-asetuksen mukaan kiellettyä ilman tälle lainsäädännöstä löytyvää perustetta. Seuraavat henkilötiedot katsotaan arkaluonteisiksi, ja niitä voidaan käsitellä vain erityisillä ehdoilla:

1. rodun tai etnisen alkuperän, poliittisen mielipiteen, uskonnollisen tai filosofisen vakaumuksen paljastavat             henkilötiedot

2. ammattiliittoon kuuluminen

3. geneettiset tiedot, biometriset tiedot, joita käsitellään ainoastaan ihmisen tunnistamiseksi

4. terveystiedot

5. henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot

 

Henkilötunnuksen käsittely

Lähtökohta on, että henkilötunnusta saa käsitellä vain rekisteröidyn suostumuksella tai, jos käsittelystä säädetään nimenomaisesti laissa. Henkilötunnusta saa kuitenkin lisäksi käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta saa kuitenkin käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.

Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

 

Henkilötietojen käsittelyä koskevat yleiset periaatteet

Rekisterinpitäjä on velvollinen suunnittelemaan henkilötietojen käsittelyn (käsittelyn asiallisuus ja tarkoituksen määrittely ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi; mistä tiedot säännönmukaisesti hankitaan ja mihin luovutetaan), huolehtimaan siitä, että käsiteltävät tiedot eivät ole virheellisiä sekä käsittelemään henkilötietoja huolellisesti ja määritellyn käyttötarkoituksen mukaisesti.

 

Tietosuojaviranomaiset

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. Tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tietosuojalainsäädännön tavoitteiden toteuttamiseksi itsenäisenä ja riippumattomana viranomaisena.

​​​​

Sivustomme käyttää evästeitä käyttäjäkokemuksen parantamiseksi. Voit säätää valintojasi asetuksista