Mitä tietoja työntekijällä on oikeus saada henkilötietojensa käsittelystä?

Tietosuoja-asetus edellyttää, että henkilötietojen käsittelystä on tehty kirjallinen sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Jokaisella, kenen henkilötietoja käsitellään, on oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisterissä on, kun hän niitä pyytää.
4.6.2021 Eija Männistö Kuva iStock

Tietosuoja-asetus sääntelee henkilötietojen käsittelyä, ja se edellyttää, että henkilötietojen käsittelystä on tehty kirjallinen sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Sopimuksessa kerrotaan muun muassa, mitä tietoja henkilörekisterissä käsitellään, mistä ne saadaan ja mihin niitä luovutetaan. Käsiteltävät henkilötiedot määritellään sen mukaan, minkä rekisterinpitäjän tehtävien hoitamiseksi tietoja käsitellään (=tarpeellisuusvaatimus). Ilman perusteltua syytä tietoja ei saa kerätä.

Sopimuksessa tai sen liitteissä määritellään kirjallisesti myös vastuunjako osapuolten välillä sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tilitoimistoissa (=henkilötietojen käsittelijä) tuotettavat palvelut on käytännössä esitetty sopimuksessa olevalla palveluerittelyllä, jossa asiakkaan (=rekisterinpitäjä) ulkoistamat palvelut ovat listattuna. Asiakkaan on myös annettava ohjeistus siitä, miten sopimuksen mukaisia henkilötietoja on käsiteltävä. Asetus edellyttää, että sen vaatimat dokumentit on pidettävä ajantasalla tarkastelemalla niitä säännöllisesti, joten tälle on hyvä määritellä esimerkiksi vuosittainen ajankohta.

Rekisteröidyllä on oikeus saada tietoa

Jokaisella, kenen henkilötietoja käsitellään, on oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisterissä on, kun hän niitä pyytää. Tai tieto, ettei rekisterissä ole häntä koskevia tietoja. Ilmoitettava on myös rekisterin säännönmukaiset tietolähteet sekä mihin rekisterin tietoja säännönmukaisesti luovutetaan. Rekisterinpitäjän on annettava tiedot veloituksetta, paitsi silloin, jos edellisestä pyynnöstä on kulunut alle vuosi, jolloin voidaan periä rekisteröidyltä korvaus.

Seloste henkilötietojen käsittelystä

Työnantajalla rekisterinpitäjänä on velvollisuus laatia henkilötietojen käsittelystä kirjallinen seloste, joka on toimitettavissa työntekijälle (=rekisteröity) tämän pyytäessä. Selosteesta tulee ilmetä

  • Rekisterin tarkoitus ja perusteet
  • Käsiteltävät henkilötiedot ja tiedot alkuperästä
  • Rekisterinpitäjän identiteetti ja yhteystiedot
  • Käsittelijän nimi ja yhteystiedot
  • Mahdollisen edustajan identiteetti ja yhteystiedot
  • Mahdollisen tietosuojavastaavan yhteystiedot
  • Kyseessä olevat henkilötietoryhmät
  • Vastaanottajat (vastaanottajaryhmät), joille henkilötietoja luovutetaan
  • Tarvittaessa tieto kolmansista maista tai kansainvälisistä järjestöistä
  • Tietojen säilyttämisaika, ellei tämä ole mahdollista, niin ajanmäärittämiskriteerit

Asetus edellyttää henkilötietojen käsittelijältä, että tämän on tarvittaessa avustettava ja neuvottava rekisterinpitäjää tietosuojan noudattamisesta. Esimerkiksi silloin, jos tilitoimistossa huomataan, että rekisterinpitäjä toimii tietosuoja-asetuksen vastaisesti.

Tietosuojalain ja -asetuksen tarkoituksena on suojata luonnollisen henkilön henkilötietoja ja yksityisyyttä. Palkkahallinnossa oikeus käsitellä henkilötietoja perustuu työlainsäädännön velvoitteisiin. Henkilötietojen käsittelyyn vaikuttavat myös muiden lakien säännökset palkkahallinnossa, muun muassa Laki yksityisyyden suojasta työelämässä, Työterveyshuoltolaki sekä Kirjanpitolaki ja -asetus.

Lue lisää aiheesta Hyvä palkkahallintotapa -oppaasta, joka löytyy Taloushallintoliiton jäsensivuille kirjautumalla. Muut kuin jäsentoimistot voivat tilata oppaan sähköpostitse.

EU-tietosuoja-asetus löytyy kokonaisuudessaan eur-lex.europa.eu/legal -sivulta

Asiantuntijana
Eija Männistö johtava asiantuntija, Taloushallintoliitto