Henkilötietojen käsittely ja henkilötietosuoja
Henkilötietojen käsittely on esimerkiksi henkilötietojen keräämistä, käyttöä, säilyttämistä, siirtämistä sekä luovuttamista. Henkilötietojen käsittelyssä on noudatettava tietosuojalainsäädännön mukaisia tietosuojaperiaatteita.
Kerromme tässä artikkelissa mitä on henkilötieto, henkilötietojen käsittelyssä noudatettavista periaatteista ja osoitusvelvollisuudesta, sekä mitkä ovat perusteet henkilötietojen keräämiselle.
Mikä on henkilötieto?
Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Tiedon avulla henkilö voidaan tunnistaa joko suoraan tai välillisesti. Lain mukaan henkilötietojen käsittely edellyttää oikeusperusteen olemassaoloa.
Henkilötietoja ovat esimerkiksi luonnollisen henkilön nimi, henkilötunnus tai ip-osoitetta koskevat tiedot. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ovat esimerkiksi tiedot, joista ilmenee henkilön terveydellisiä tietoja, poliittinen mielipide tai uskonnollinen vakaumus. Tällaisia henkilötietoja voidaan käsitellä vain lainsäädäntöön perustuvissa poikkeustilanteissa.
Henkilötiedot liittyvät ainoastaan luonnollisiin henkilöihin eli esimerkiksi yrityksen rekisteritunnus tai nimi eivät ole henkilötietoa. Vastuu henkilötietojen lainmukaisesta käsittelystä on aina rekisterinpitäjällä eli vaikka yritys olisi ulkoistanut henkilötietojen käsittelynsä, vastaa se itse mahdollisista käsittelyn laiminlyönneistä. Joissain tilanteissa rekisterinpitäjiä voi olla useampi, jolloin on tärkeä olla perillä vastuiden jakautumisesta.
Yleinen tietosuoja-asetus
EU:n yleinen tietosuoja-asetus GDPR asettaa yrityksille lakisääteisiä velvoitteita, koskien henkilötietojen käsittelyä ja velvoitteiden dokumentoinnista. GDPR koskee kaikkia yrityksiä ja lainsäädännön asettamat vaatimukset on oltava kunnossa, jo ennen kuin henkilötietoja ryhdytään käsittelemään.
Yritysjuristimme avustavat sinua laajasti kaikissa henkilötietosuojaan liittyvissä kysymyksissä, jotta voit varmistua, että henkilötietojen käsittely tapahtuu lainmukaisesti.
Henkilötietojen käsittelyssä noudatettavat periaatteet ja osoitusvelvollisuus
Tietosuoja-asetuksen avulla yrityksille asetetaan periaatteet, joiden mukaan henkilötietojen käsittelyn tulee tapahtua. Käsittelyn tulee tapahtua lainmukaisesti, kohtuullisesti ja läpinäkyvästi.
Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, ja tietoja saadaan kerätä tätä tarkoitusta varten ainoastaan tarpeellinen määrä.
Rekisterinpitäjän tulee huolehtia tietojen täsmällisyydestä ja tarvittaessa päivittää niitä. Tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten.
Tietoja tulee lisäksi käsitellä turvallisesti ja luottamuksellisesti.
Yrityksen osoitusvelvollisuus
Periaatteiden noudattamisen keinot on jätetty yritysten itsensä päätettäväksi, mutta rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Tätä osoitusvelvollisuutta voidaan toteuttaa erilaisilla teknisillä ja organisatorisilla toimenpiteillä, kuten henkilöstön tietosuojakoulutuksella ja pitämällä yrityksen tietoturva ajan tasalla.
Osoitusvelvollisuuteen sisältyy dokumentointivelvollisuus, joka tarkoittaa käytännössä tehtyjen toimenpiteiden kirjallista dokumentointia. Esimerkiksi myöhemmin käsiteltävä seloste käsittelytoimista, ilmentää osoitusvelvollisuuden toteuttamista käytännössä. Osoitusvelvollisuuden toteutumista arvioidaan tapauskohtaisesti ja siihen vaikuttaa organisaation koko sekä henkilötietojen laatu ja määrä.
Isoissa tai erityisiä henkilötietoja käsittelevissä yrityksissä, osoitusvelvollisuuden toteutuminen edellyttää siis laajempia toimia. Osoitusvelvollisuus korostuu erityisesti tietoturvaloukkausten tapahtuessa, sillä rekisterinpitäjä voi tällöin osoittaa tehneensä tarvittavat toimenpiteet henkilötietojen suojaamiseksi ja pyrkineensä tunnistamaan tietosuojaan liittyviä riskejä.
Seloste käsittelytoimista ja tietosuojaseloste
Käsittelytoimista annettu seloste on yrityksen sisäiseen käyttöön tarkoitettu asiakirja, jonka päämääränä on dokumentoida organisaation sitoutuminen tietosuojavelvoitteiden noudattamiseen. Asiakirja laaditaan sähköisesti. Valvontaviranomainen voi selosteen pohjalta arvioida käsittelytoimien lainmukaisuutta. Seloste tulee laatia ensinnäkin silloin, jos yrityksessä on yli 250 työntekijää.
Seloste tulee laatia työntekijöiden määrästä riippumatta, jos henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai jos käsittely ole satunnaista. Seloste tulee laatia myös, jos käsiteltävät henkilötiedot kuuluvat erityisiin henkilötietoryhmiin, rikostuomioihin ja rikkomuksiin liittyviin henkilötietoihin.
Selostetta tulee päivittää säännöllisesti ja sen laatiminen voi olla hyvä väline asianmukaisen tietosuojan ylläpitämiseksi, vaikka lakisääteistä velvoitetta sen tekemiselle ei olisikaan. Lähes kaikki yritykset käsittelevät säännöllisesti asiakkaidensa ja omien työntekijöidensä henkilötietoja, jolloin syntyy velvoite laatia seloste näistä käsittelytoimista.
Tietosuojaseloste taas on julkinen asiakirja, jossa rekisterinpitäjä kertoo rekisteröidyille henkilöille mitä, miksi ja millä periaattein heistä kerätään henkilötietoja. Tietosuojaselosteen laatimalla ja sitä ylläpitämällä yritys, täyttää GDPR:n mukaista informaatiovelvoitettaan.
Tietosuojaselosteessa on annettava rekisteröidylle muun muassa rekisterinpitäjän yhteystiedot, tarkoitukset, joita varten henkilötietoja käsitellään ja käsittelyn oikeusperuste.
Yritysjuristimme avustavat sinua tietosuojaselosteen laatimisessa.
Perusteet henkilötietojen keräämiseen ja rekisteröidyn oikeudet
Henkilötietojen käsittelylle on siis aina löydyttävä oikeusperuste, joka voi olla esimerkiksi rekisteröidyn antama suostumus tietojensa käsittelyyn, sopimus, tai rekisterinpitäjän lakisääteinen velvollisuus. Rekisteröidyllä eli henkilöllä, jonka tietoja käsitellään, on muun muassa oikeus saada tietoa henkilötietojensa käsittelystä, poistaa tiedot, oikaista tietoja tai rajoittaa niiden käsittelyä.
Rekisteröidyn oikeuksiin vaikuttaa se, minkä oikeusperusteen nojalla niitä käsitellään. Rekisterinpitäjän tulee reagoida rekisteröidyn esittämään pyyntöön koskien henkilötietojensa käsittelyä, ilman aiheetonta viivästystä, mutta viimeistään kuukauden kuluttua pyynnön saatuaan.
Määräaikaa voidaan erityisistä syistä pidentää, jos pyynnön monimutkaisuus ja määrä sitä edellyttää. Määräajan pidentämisestä tulee ilmoittaa rekisteröidylle.
Tietosuoja-audit
Tietosuoja-audit on yrityksen sisäinen prosessi, jossa tarkastellaan organisaation tietosuojakäytäntöjä ja varmistetaan, että ne vastaavat lakisääteisiä vaatimuksia. Tietosuoja-auditoinnissa siis esimerkiksi tarkastellaan toteutuvatko edellä mainitut tietosuojaperiaatteet yrityksen toiminnassa, onko tietosuojaan liittyvä dokumentointi riittävää ja tunnistetaan ja ehkäistään tietosuojaan liittyviä riskejä. Tietosuoja-auditin tekeminen on erinomainen keino yritykselle täyttää edellä mainittua osoitusvelvollisuuttaan.
Säännöllinen tietosuoja-auditin laatiminen on erittäin suositeltavaa, koska tietosuojalainsäädäntöä koskevat tulkinnat ovat voineet muuttua GDPR:n voimaantulon (2018) jälkeen, esimerkiksi Euroopan tietosuojaneuvoston ohjeiden johdosta.
Auditoinnilla voidaan ehkäistä mahdollisista tietosuojarikkomuksista aiheutuvia sakkoja, huomautuksia ja mainehaittaa. Auditointi voidaan tehdä koko organisaatiolle tai johonkin sen yksittäiseen osaan.
Tietosuoja-audit voidaan toteuttaa organisaatiossa sisäisesti, mutta usein suositeltavampaa on käyttää apuna ulkopuolista asiantuntijaa, jotta riippumattomuudesta voidaan varmistua. Ulkopuolisen asiantuntijan tekemällä riippumattomalla auditoinnilla, voidaan myös varmistua paremmin osoitusvelvollisuuden periaatteen täyttymisestä.
Tietosuojarikkomukset
Tietosuojaviranomainen voi määrätä rekisterinpitäjälle sakkoja tai huomautuksen, joista aiheutuu yritykselle kulujen lisäksi myös mainehaittaa. Tähän mennessä tietosuojaviranomaisen antamien seuraamusmaksujen suuruusluokka on liikkunut Suomessa muutamasta tuhannesta useisiin satoihin tuhansiin euroihin.
Tietosuojarikkomuksista voi myös aiheutua yritykselle tai sen työntekijälle vahingonkorvausvastuu. Rikoslaki säätää tietosuojarikoksista, jolloin vakavimmissa tapauksissa myös rikosoikeudelliset seuraamukset ovat mahdollisia.
Tutustu seuraavaksi: Työsuojelun toimintaohjelma