Tietosuojan kertauskurssi – mitä henkilötietojen keräämisestä ja käsittelystä on kerrottava?

EU:n yleisen tietosuoja-asetuksen voimaantulosta on kulunut neljä vuotta. Pahin paniikki tietosuojakysymysten ympärillä on laantunut. Se ei tarkoita sitä, että tietosuojasääntelyn vaatimukset olisivat täysin hallussa. Iso osa yrityksistä kokee tietosuojakysymykset edelleen haastavina. Otetaanpa siis pieni kertaus. Mistä olikaan kysymys?
8.3.2022 Tarja Anunti Kuva iStock

Tietosuoja-asetuksella eli GDPR:llä eli EU:n ­yleisellä tietosuoja-asetuksella (2016/679 EU) on hyvä tarkoitus. Ajatuksena on suojella luonnollisten henki­löiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Tätä tarkoitusta varten asetus toi vuonna 2018 voimaantullessaan tukun henkilötietoja rekisteröiville ja käsitteleville organisaatioille kohdistettuja vaatimuksia, joista osa oli täysin uusia.

Aivan tyhjästä ei lähdetty liikkeelle, sillä tietosuojasta oli säännelty aiemmin kansallisessa henkilötietolaissa. Lisäksi Suomessa työntekijöiden henkilötietojen käsittelyä ohjaa jo yli 10 vuotta ennen GDPR:ää voimaantullut työelämän tietosuojalaki eli laki yksityisyyden suojasta työelämässä (759/2004). Viime kädessä yksityisyyden suojasta on säädetty myös perustuslaissa (731/1999).

Rekisterinpitäjä ja tietojen käsittelijä vastuussa

Päävastuullinen taho henkilötietojen käsittelyssä on rekisterinpitäjä eli se, jonka tarpeita varten henkilötietoja käsitellään. Rekisterinpitäjän toimesta syntyy henkilörekisteri eli se kokonaisuus, joka sisältää henkilötietoja. Henkilörekisteri on mikä hyvänsä henkilön tunnistetietoja sisältävä tietojen kokonaisuus.

Rekisterinpitäjä määrää tietojen käytöstä ja kantaa päävastuuta siitä, että käsittely on lainmukaista. Suhteessa asiakkaisiin ja potentiaalisiin asiakkaisiin rekisterinpitäjä on se yritys, jonka kanssa asiakassuhde on olemassa tai jonka asiakkaaksi uusia tahoja havitellaan. Suhteessa työntekijöihin ja palkansaajiin rekisterinpitäjä on työnantaja.

Rekisterinpitäjä määrää tietojen käytöstä ja kantaa päävastuuta siitä, että käsittely on lainmukaista.

Toinen tärkeä toimija on henkilötietojen käsittelijä eli se – mahdollinen – taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Se voi olla esimerkiksi tilitoimisto, ulkoistettu palkanlaskija tai vaikkapa henkilötietojen käsittelyssä hyödynnettävän ohjelmiston – kuten CRM-järjestelmän tai palkanlaskentaohjelman – omistava yritys. Tietojen käsittelijä ei ole vastuusta vapautettu. Sen toiminnan on niin ikään oltava lainmukaista – ja sen tulee myös tarvittaessa avustaa rekisterinpitäjää tietosuojavaatimusten noudattamisessa.

Tietosuoja-asetuksen 5 artiklan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Niitä voidaan kerätä ainoastaan nimenomaista ja laillista tarkoitusta varten. Kerättävien tietojen tulee olla tarkoitukseensa nähden tarpeellisia.

Velvoite informoida rekisteröityä tietojen käsittelystä

Rekisteröidylle, eli henkilölle, jonka tietoja käsitellään, on kaikissa tapauksissa tarjottava tietoa henkilötietojen käsittelystä. Tietosuoja-asetuksen vaatimukset koskevat kaikkien luonnollisten henkilöiden henkilötietojen käsittelyä. Asetus ei ota kantaa siihen, onko luonnollinen henkilö suhteessa yritykseen yksityishenkilönä – esimerkiksi työntekijänä tai kuluttajana – vai työroolissaan jonkin sidosryhmän, kuten asiakasyrityksen tai yhteistyökumppanin edustajana.

Asetuksen 12 artikla velvoittaa rekisterinpitäjän toimittamaan rekisteröidylle tietoja henkilötietojen käsittelystä tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Sinänsä informaation toimittamisen tapa on vapaa.

Rekisteröidylle on toimitettava:

  • rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot sekä mahdollisen tietosuojavastaavan yhteystiedot
  • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste
  • rekisterinpitäjän tai kolmannen osapuolen mahdolliset oikeutetut edut
  • mahdolliset henkilötietojen vastaanottajat tai vastaanottaja­ryhmät
  • tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle
  • henkilötietojen säilytysaika tai ajan määrittämiskriteerit
  • tieto oikeudesta pyytää rekisterinpitäjältä pääsy rekisteröityä itseään koskeviin henkilötietoihin, pyytää niiden oikaisemista tai käsittelyn rajoittamista sekä vastustaa käsittelyä tai tietojen siirtoa järjestelmästä toiseen
  • tieto oikeudesta peruuttaa suostumuksensa tietojen käsittelyyn
  • tieto oikeudesta tehdä valitus valvontaviranomaiselle
  • tieto mahdollisen automaattisen päätöksenteon olemassaolosta ja siihen liittyvästä logiikasta

Kun henkilötiedot kerätään rekisteröidyltä itseltään, on hänelle toimitettava tieto siitä, onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus sekä siitä, onko henkilötietojen toimittaminen välttämätöntä ja mitä seuraamuksia mahdollisella tietojen toimittamatta jättämisellä on.

Kun henkilötiedot on saatu muuten kuin rekisteröidyltä itseltään, on hänelle toimitettava tieto siitä, mistä henkilötiedot on saatu ja tarvittaessa se, onko tiedot saatu jostain yleisesti saatavilla olevista lähteistä.

Rekisteröidyllä on oikeus saada tietoa henkilötietojensa käsittelystä, saada pyydettäessä pääsy tietoihinsa ja oikaista niitä. On kuitenkin hyvä huomata, ettei rekisteröity kaikissa tapauksissa voi käyttää muita oikeuksiaan henkilötietojen käsittelyn suhteen.

Rekisteröidyllä on oikeus saada tietoa henkilötietojensa käsittelystä, saada pyydettäessä pääsy tietoihinsa ja oikaista niitä.

Jos henkilötietojen käsittelyn perusteena on rekisterinpitäjän lakisääteinen velvoite, kuten työnantajavelvoitteista ja palkanmaksusta huolehtiminen, on rekisteröidyn oikeus vastustaa ja rajata tarpeellisten tietojen käsittelyä luonnollisesti rajallinen. Voimassa oleva sääntely kuitenkin edellyttää työntekijän suostumusta häntä koskevien henkilötietojen keräämiselle työsuhteen aikana. Asiaan haetaan selkeyttä suunnitteilla olevalla lakimuutoksella.

Arviolta viikolla 12/2022 annettavan hallituksen esityksen taustalla on pyrkimys helpottaa henkilötietojen keräämistä työsuhteen aikana. Käytännössä valmisteilla oleva työelämän tietosuojalain 4 §:n muutos täsmentää työnantajan ja työntekijän välistä suhdetta henkilötietoja koskevissa kysymyksissä. Se laajentaa työnantajan oikeutta kerätä työnantajan tarvitsemia työntekijän henkilötietoja ilman suostumusedellytystä – työn johtamista, valvontaa ja lakisääteisten velvoitteiden toteuttamista varten.

Velvoite ylläpitää selostetta käsittelytoimista

Rekisteröidyn informaatiovelvoitteen ohella tietosuoja-asetuksen 30 artiklan mukaisen käsittelytoimia koskevan yleisen selosteen ylläpitovelvoite koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää. Selosteen tulee olla kirjallinen ja tarjolla sähköisessä muodossa.

Asetuksen vaatima seloste on lähtökohtaisesti organisaation sisäinen asiakirja, jonka ei tarvitse sellaisenaan olla saatavilla esimerkiksi yrityksen verkkosivuilla, jos yllä esitellyistä rekisteröidyille toimitettavista tiedoista on huolehdittu muulla tavoin tietojen keräämisen yhteydessä. Monet toimijat kuitenkin käytännössä julkaisevat tietosuojaa koskevia selosteita verkko­sivuillaan erilaisilla nimityksillä, kuten ”tietosuojaseloste” tai ”yksityisyyden suoja”.

Selosteen ylläpitovelvoite koskee niitä organisaatioita, joissa työskentelee yli 250 työntekijää. Seloste on kuitenkin tehtävä henkilöstömäärästä riippumatta, jos tietojen käsittely on jatkuvaa, saattaa aiheuttaa merkittävän riskin rekisteröidyn oikeuk­sille ja vapauksille tai tiedot sisältävät erityisiä tietoryhmiä. Käytännössä pienikin työnantajayritys tai palkkoja laskeva tilitoimisto käsittelee työntekijöidensä tai asiakkaansa palkansaajien henkilötietoja jatkuvasti – eli velvoite selosteen laatimiseen on olemassa.

Rekisterinpitäjän selosteen tulee sisältää vähintään:

  • rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  • käsittelyn tarkoitukset
  • kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
  • henkilötietojen vastaanottajien ryhmät, joille henkilö­tietoja on luovutettu tai luovutetaan, mukaan lukien ­kolmansissa maissa tai kansainvälisissä järjestöissä ­olevat vastaanottajat

Henkilötietojen käsittelijän selosteen tulee sisältää ­vähintään:

  • henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä tarvittaessa rekisterinpitäjän tai henkilö­tietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  • kunkin rekisterinpitäjän lukuun suoritettavien käsittelyiden ryhmät

Molempien toimijoiden on myös tarvittaessa liitettävä selosteeseen tieto henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle. Mikäli mahdollista, rekisterinpitäjän on myös kerrottava määräajat eri tietoryhmiin kuuluvien tietojen poistamiseksi. Niin ikään, mikäli mahdollista, molempien osapuolten on liitettävä selosteeseen yleinen kuvaus teknisistä ja organisatorisista turvatoimista henkilötietojen suojaamiseksi.

Asiantuntijana
Tarja Anunti varatoimitusjohtaja, Linnunmaa Lex Oy