Kuva: Markus Sommers

Kysymme kuukausittain ajankohtaisista EU-asioista päättäjiltä ja asiantuntijoilta.

Kuukauden kysymys 23.1.2018

Kuukauden kysymys: EU:n uusi tietosuoja-asetus – milloin henkilötietojen kerääminen on laillista?

EU:n tietosuoja-asetus tulee voimaan 25.5.2018 alkaen. Henkilötietojen käsittelyn on oltava tuolloin tietosuoja-asetuksen mukaista. Asetuksen tavoitteena on vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin sekä siihen, että kansalaiset voivat hallita tietojaan paremmin. Asetus liittyy myös digitaalisten sisämarkkinoiden edistämiseen.

Säännöt tulevat tietosuoja-asetuksen myötä olemaan samat kaikille EU:ssa toimiville yrityksille ja organisaatioille, jotka säilyttävät henkilötietoja.

Tietosuoja-asetuksesta käytetään myös nimitystä GDPR eli General Data Protection Regulation.

Milloin ja miten henkilötietojen kerääminen on laillista, asiantuntija Petri Holopainen? 

Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste. Tietosuoja-asetuksen määrittelemistä perusteista vähintään yhden tulee täyttyä.

Perusteita ovat suostumus, oikeutettu etu, sopimus, lakisääteinen velvoite, elintärkeä etu sekä yleinen etu.

Varatuomari Petri Holopainen työskentelee asiantuntijana Suomen Yrittäjät ry:ssä. Hän on perehtynyt EU:n uuteen tietosuoja-asetukseen. Kuva: Markus Sommers.

 a) Suostumus henkilötietojen käsittelyyn

Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Rekisterinpitäjän, yrityksen tai organisaation, tulee dokumentoida saatu suostumus, koska se pitää pystyä todentamaan.

Lapsilla on erityisasema. Lapsille palveluita tarjoavien rekisterinpitäjien on huomioitava, että tietosuoja-asetus antaa henkilötietolaista poiketen erityistä suojaa lapsien henkilötiedoille. Asetuksen mukaan lapsen henkilötietojen käsittely suoraan lapselle tarjottavien tietoyhteiskunnan palvelujen tarjoamisen yhteydessä edellyttää huoltajan suostumusta tai valtuutusta.

Tämä tarkoittaa sitä, että lasten henkilötietoja saa tällaisissa tilanteissa käsitellä vain huoltajan suostumuksella. Asetuksessa lapseksi määritellään alle 16-vuotiaat. EU:n jäsenmaat voivat säätää ikärajasta, joka voi olla 13-16 vuoden välillä. Suomen tietosuojalaissa tullaan todennäköisesti esittämään, että ikäraja voisi olla 13 tai 15 vuotta.

b) Oikeutettu etu: Jäsenyys, asiakkuus tai työsuhde

Henkilötietojen käsittelyn perusteena voi olla oikeutettu etu. Tämä tarkoittaa sitä, että rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen ja merkityksellinen suhde kuten esimerkiksi jäsenyys, asiakkuus tai työsuhde.

Suoramarkkinointiin ei jatkossakaan tarvita rekisteröidyn suostumusta. Rekisteröity voi kuitenkin kieltäytyä suoramarkkinoinnista, ja tämä mahdollisuus tulee tuoda rekisteröidyn tietoon.

Työnantaja saa kerätä työntekijästä vain ja ainoastaan työsuhteen kannalta tarpeellisia ja välttämättömiä tietoja.

EU:ssa valmistellaan sähköisen viestinnän tietosuoja-asetusta, jossa säädellään evästeiden käytöstä ja sähköisestä suoramarkkinoinnista. Ennen tämän uuden asetuksen tuloa tietoyhteiskuntakaaressa säännellään sähköisestä suoramarkkinoinnista ja tähän vaaditaan suostumus etukäteen. Suoramarkkinointia harjoittavien yritysten tulisi tarkoin seurata lainsäädännön kehitystä tältä osin.

c) Sopimus

Henkilötiedon käsittely sopimuksen täytäntöön panemiseksi voi käytännössä tarkoittaa esimerkiksi lehtiyhtiölle annetun osoitteen käyttöä, jotta lehti voidaan toimittaa rekisteröidylle. Kyse on siis siitä, että yhteinen sopimus, esimerkiksi lehtitilaus, saadaan käytännössä toteutettua.

Kuva: Sakari Piippo.
Uusi tietosuoja-asetus antaa erityistä suojaa lasten henkilötiedoille. Kuva: Sakari Piippo.
.

d) Lakisääteinen velvoite

Henkilötietojen käsittely on sallittua, kun niiden käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Tällöin ei tarvita erikseen suostumusta. Esimerkiksi osakeyhtiön on osakeyhtiölain perusteella pidettävä osakasluetteloa, jolloin tätä koskevien henkilötietojen käsittely on tällöin tarpeen.

Lakisääteinen velvoite on myös kyseessä silloin kun työnantaja ilmoittaa työntekijöiden palkkatiedot veroviranomaisille.

e) Elintärkeä etu 

Henkilötietoja voidaan käsitellä silloin, kun käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Tällainen voisi olla esimerkiksi tilanne ihmishenkien suojelemiseksi luonnonkatastrofin yhteydessä.

 f) Yleinen etu tai julkisen vallan käyttö

Henkilötietoja voidaan käsitellä myös yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi.

Oikeusministeriön asettaman täytäntöönpanotyöryhmän mietinnössä todetaan, että uudessa tietosuojalaissa tullaan säätämään tarkemmin näistä tilanteista. Niin sanotun TATTI-työryhmän keskeisenä tehtävänä on valmistella lainsäädäntöehdotus mahdollisesti tarvittavasta henkilötietolain kaltaisesta yleislaista.

 

 

***********************************************************************************************************

Tietosuojaperiaatteen noudattamisesta:

Henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • käsiteltävä luottamuksellisesti ja turvallisesti
  • kerättävä ja käsiteltävä tiettyä ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

(Lähde: tietosuoja.fi