Valitse sivu

Tietosuoja

EU:n yleinen tietosuoja-asetus tuli sovellettavaksi toukokuussa 2018. Asetuksen rinnalla sovelletaan kansallista tietosuojalakia. Tietosuojalaki täsmentää ja täydentää EU:n yleistä tietosuoja-asetusta. Tietosuojalaissa säädetään myös muun muassa valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen suojan yhteensovittamisesta.

Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tietosuoja-asetuksen tavoitteena ja tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.

Keskeiset käsitteet

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietojen käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Henkilötietojen käsittelyä on tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen ja muokkaaminen tai muuttaminen. Henkilötietojen käsittelyllä tarkoitetaan myös tietojen hakua, kyselyä, käyttöä ja luovuttamista siirtämällä, levittämällä tai asettamalla muutoin saataville. Henkilötietojen käsittelyä on myös tietojen yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen sekä muut henkilötietoihin kohdistuvat toimenpiteet.

Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä on siis se henkilö tai organisaatio, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä rekisterin käytöstä.

Rekisteröity on henkilö, jota henkilötieto koskee.

Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelylle asetetut vaatimukset

Henkilötietojen käsittelyä koskevat periaatteet ovat tietosuoja-asetuksen mukaan seuraavat:

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

Käyttötarkoitussidonnaisuus: henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.

Tietojen minimointi: henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Täsmällisyysvaatimus: Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Käsittelijän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.

Säilytyksen rajoittaminen: henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Eheys ja luottamuksellisuus: Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Turvallisuuteen kuuluvat henkilötietojen suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Suojaamisessa on käytettävä asianmukaisia teknisiä tai organisatorisia toimia.

Tietosuoja-asetuksen mukaan rekisterinpitäjä vastaa siitä, että näitä periaatteita noudatetaan.

Henkilötietojen käsittelyn lainmukaisuus

Henkilötietojen käsittelyyn on oltava lakiin perustuva syy. Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietoja saa käsitellä esimerkiksi, jos:

  • rekisteröity on yksiselitteisesti antanut suostumuksen
  • käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta
  • rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan
  • konsernin tai taloudellisen yhteenliittymän asiakas- tai työntekijätietoja käsitellään konsernin tai yhteenliittymän sisällä
  • kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi.

Tietosuoja-asetuksessa ja tietosuojalaissa säädetään erikseen oikeudesta käsitellä henkilötietoja erityisiä tarkoituksia varten. Tällaisia tarkoituksia ovat:

  • historiallinen tai tieteellinen tutkimus
  • tilaston tekeminen
  • viranomaisen suunnittelu- ja selvitystehtävät
  • henkilömatrikkelin laatiminen
  • sukututkimus
  • suoramarkkinointi ja muut osoitteelliset lähetykset
  • henkilöluottotietojen käsittely.

Erityisiä henkilötietoryhmiä koskevia tietoja ei lähtökohtaisesti lainkaan saa käsitellä. Asetuksen erityisten henkilötietoryhmien määritelmä vastaa eräin muutoksin vanhan henkilötietolain arkaluonteisia henkilötietoja.

Erityisillä henkilötietoryhmillä tarkoitetaan tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisiä henkilötietoryhmiä ovat myös geneettiset tai biometriset tiedot, joista henkilö voidaan yksiselitteisesti tunnistaa, terveyttä koskevat tiedot taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot.

Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, jos asetuksessa erikseen mainittu peruste täyttyy.

Henkilötunnus ei ole julkisuuslain 24 §:ssä tarkoitettu salassa pidettävä tieto eikä erityisiin henkilötietoryhmiin kuuluva tieto. Sen käsittelystä on erityissäännös tietosuojalaissa.

Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä

Henkilötietojen julkisuus ratkeaa julkisuuslain mukaisesti. Julkisuuslakia sovelletaan myös henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä.

Henkilörekisteristä ei saa välttämättä luovuttaa sivulliselle julkisiakaan tietoja. Rekisteriin sisältyvien tietojen antamistapaa on eräiltä osin rajoitettu.

Jos asiakirja on julkinen, mutta se muodostaa henkilörekisterin, on erikseen varmistettava, onko mahdollisella luovutuksensaajalla oikeus tietosuojalainsäädännön nojalla käsitellä henkilötietoja. Henkilötietojen käsittelyyn on aina oltava lain mukainen peruste. Henkilötietojen sallitut käyttötarkoitukset on lueteltu tietosuoja-asetuksessa.

Yksityishenkilöt saavat kunnan rekistereistä julkisia henkilötietoja tavanomaisiin yksityisiin tarkoituksiinsa. Tiedotusvälineille on annettava vastaavia julkisia tietoja toimituksellisiin tarkoituksiin.

Luovutettaessa henkilötietoja toimituksellista tarkoitusta varten, on varmistauduttava lähinnä siitä, että kysymyksessä on mainittu toimituksellinen tarkoitus ja että tietojen pyytäjä edustaa ko. tiedotusvälinettä. Epäselvissä tapauksissa lisäselvityksenä voidaan tiedustella esimerkiksi päätoimittajan nimeä tai voidaan pyytää toimittajaa esittämään lehdistökortti.

Koska luovuttaja vastaa luovutusten laillisuudesta, ilman kirjallista pyyntöä tietoja ei ole syytä luovuttaa, ellei kyseisestä tarkoituksesta ja luovutuksensaajasta voida olla varmoja.

Viranomaiset saavat käyttää henkilötietoja esimerkiksi lakisääteisissä tehtävissään. Viranomaisen henkilörekisteristä saa julkisuuslain mukaan antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty ja jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja.

Mikäli luovutuksensaajalla on oikeus tietojen käsittelyyn, viranomainen saa siis antaa pyydetyt tiedot myös kopiona, tulosteena tai sähköisessä muodossa. Velvollisuutta tietojen antamiseen tällä tavalla ei lain sanamuodon mukaan ole.

Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. Se, että henkilö ei erikseen kiellä henkilötietojensa käsittelyä, ei vielä ole suostumus.

Lähde: Kuntaliiton tietosuojasivu