Sovellusalue ja määritelmiä

Henkilötietolakia sovelletaan automaattiseen henkilötietojen käsittelyyn (henkilötietojen käsittelyllä tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimenpiteitä, alkaen tietojen säilyttämisestä). Muunlaiseen tietojenkäsittelyyn lakia sovelletaan, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa (2 §).

Laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.

Lakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Tiedotusvälineissä sellaisenaan julkaistu aineisto tarkoittaa lähinnä lehtileikkeitä ja vastaavia. Ilman tätä rajoitusta myös lehtileikekokoelmiin pitäisi soveltaa henkilötietolakia. Tämä rajoitus ei kuitenkaan tarkoita sitä, että jos henkilötieto on kerätty tiedotusvälineistä, ei sen käsittelyyn tarvitsisi soveltaa henkilötietolakia. Henkilötietolakia sovelletaan siis pääsääntöisesti myös henkilörekistereihin, jotka koostuvat pelkästään tiedotusvälineistä kerätyistä henkilötiedoista. Tälläinen rekisteri siis kyllä koostuu tiedotusvälineissä julkaistusta materiaalista, mutta ei tiedostusvälineissä julkaistusta materiaalista sellaisenaan.

Henkilötiedoilla tarkoitetaan pääsääntöisesti kaikkia luonnollista henkilöä koskevia tietoja.

Henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi

yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. (3 §)

Rekisterinpitäjän yleisiä velvoitteita

Henkilötietojen käsittelyssä on noudatettava huolellisuutta (5 § huolellisuusvelvoite), henkilötietojen käsittely ja käyttö on suunniteltava etukäteen (6 §) ja ennalta suunnitellusta käyttötarkoituksesta on pidettävä kiinni (7 § käyttötarkoitussidonnaisuus). Käsiteltävien henkilötietojen tulee olla määritellyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus) ja virheettömiä (virheettömyysvaatimus) (9 §). Henkilötietojen käsittelyssä on noudatettava riittävää tietoturvaa (32 §) ja henkilörekisterin pitäjä on vaitiolovelvollinen tietoonsa saamista henkilökohtaisista asioista (33 §). Tarpeettomaksi käynyt henkilörekisteri on hävitettävä (34 §).

Rekisterinpitäjän on laadittava rekisteriseloste (10 §), josta ilmenee

1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;
2. henkilötietojen käsittelyn tarkoitus;
3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;
4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä
5. kuvaus rekisterin suojauksen periaatteista.

Rekisteriseloste on pääsääntöisesti pidettävä jokaisen saatavilla.

Rekisterinpitäjän on pääsääntöisesti ilmoitettava henkilörekisteristä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste viimeistää 30 päivää ennen tietojen keräämistä ja käsittelyä (36 § ja 37 §). Tästä säännöstä voi poiketa muun muassa jos rekisterin ylläpidolle on kaikkien rekisteröityjen yksiselitteisesti antama suostumus, tai jos rekisteröidyllä on asiakas- tai palvelusuhde, jäsenyys, tms., johon rekisterin pitäminen kuuluu luonnollisella tavalla (muut poikkeukset on lueteltu 36 §:ssä). Esimerkiksi suoramarkkinointia 30 päivän ilmoitusaika kuitenkin koskee.

Henkilötietojen käsittelyn edellytykset

Henkilötietoja saa käsitellä ainoastaan (8 §):

1. rekisteröidyn yksiselitteisesti antamalla suostumuksella;
2. rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
3. jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;
4. jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta;
5. jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus) (tämä kohta pätee vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen edellyttäen, että tarkoitus, johon tiedot luovutetaan, ei ole yhteensopimaton henkilötietojen käsittelyn tarkoituksen kanssa ja että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta);
6. jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;
7. jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;
8. jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai
9. jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Arkaluontoisista tiedoista (rotu, etninen alkuperä, poliittiset mielipiteet, sosiaaliongelmat, rikosrekisteri, seksuaalinen suuntautuminen, terveydentila, ...) ja henkilötunnuksen käsittelystä säädetään erikseen. Henkilötunnuksen käsittelyssä pääsääntö on, että sitä saa käsitellä vain rekisteröidyn yksiselitteisellä suostumuksella tai erikseen luetelluissa tapauksissa, joissa rekisteröidyn yksilöiminen on välttämätöntä (13 §).

Henkilötietojen käytöstä tutkimukseen (14 §), tilastoihin (15 §), viranomaisten suunnittelutoimiin (16 §), henkilömatrikkeliin (17 §), sukututkimukseen (18 §), suoramarkkinointiin (19 §) ja henkilöluottotietoihin (20 § ja 21 §) säädetään erikseen. Yleissääntönä henkilötietojen käsittely on näissä erikoistapauksissa sallittua vain, jos rekisteröity on antanut siihen luvan. 14-21 § luetellaan poikkeuksia tähän yleissääntöön.

Huomaa, että edellä mainitut ehdot koskevat kaikkea henkilötietojen käsittelyä. Tietojen ei välttämättä tarvitse muodostaa henkilörekisteriä.

Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa tallettaa henkilötietoja ilman rekisteröidyn etukäteistä suostumusta, jos rekisteröity ei ole kieltänyt tietojen käyttöä ja

1. henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen tai muuhun tässä momentissa tarkoitettuun toimeen eikä se tietosisältönsä vuoksi vaaranna rekisteröidyn yksityisyyden suojaa;
2. henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten; tai
3. henkilörekisteri sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä ja sitä käytetään hänen työtehtäviinsä liittyvän informaation lähettämiseen.

Tietoja voi luovuttaa henkilörekisteristä vain, jos rekisteröity ei ole sitä kieltänyt ja jos on ilmeistä, että rekisteröity tietää tällaisesta tietojen luovutuksesta.

Tietoja ei saa siirtää Euroopan unionin ulkopuolelle

Yleisesti ottaen henkilötietoja ei saa siirtää Euroopan unionin ulkopuolelle ilman rekisteröidyn suostumusta (21 § ja 22 §). Lain tarkoituksena on helpottaa tietojen siirtoa Euroopan unionin sisällä, mutta estää tietojen vuotaminen heikomman tietoturvalainsäädännön omaaviin maihin. Tietosuojaviranomaiset tekevät yhteistyötä ja tarjoavat virka-apua muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa (38 §).

Tämä voi tarkoittaa käytännössä esimerkiksi sitä, että henkilötietoja, kuten nimiä, tenttituloksia ja vastaavia ei saa laittaa esimerkiksi webbisivulle ilman listattujen henkilöiden suostumusta. Jos webbisivulla on esimerkiksi järjestetty lista henkilöistä ja mahdollisesti joistakin henkilöihin liittyvistä tiedoista, muodostaa se henkilörekisterin. Vaikka webbisivulla olevalle henkilölistalle olisikin kaikkien siinä listattujen suostumus, pitää webbisivun pitäjän silti noudattaa henkilötietojen käsittelyyn ja henkilörekisteriin liittyviä yleisiä velvotteita. Webbisivulle, tai yleisemmässä tapauksessa henkilörekisterille, johon se kuuluu, pitää siis periaatteessa olla esimerkiksi rekisteriseloste. (Asiasta on olemassa tietosuojavaltuutetun ratkaisu.)

Ilmoitusvelvollisuus, tietojen tarkistaminen ja poistaminen

Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä (24 §), viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Suoramainonnassa tai vastaavassa on ilmoitettava käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä nämä tiedot on ilmoitettava pyydettäessä. (25 §)

Jokaisella rekisteröidyllä on oikeus saada seuraavat tiedot (26 §):

• henkilörekisterissä olevat häntä koskevat tiedot;
• rekisterin säännönmukaiset tietolähteet; sekä
• mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan.

Tiedot on annettava maksutta, jos viimeisestä kyselystä on kulunut yli vuosi. Muussakin tapauksessa tiedoista saa periä vain kohtuullisen korvauksen, joka ei saa ylittää tiedon hankkimisesta aiheutuvia välittömiä kuluja.

Tarkastuspyyntö on esitettävä henkilökohtaisesti rekisterinpitäjälle tai omakätisesti allekirjoitetulla kirjeellä. Rekisterinpitäjän on annettava tiedot pyydettäessä kirjallisesti. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus, josta ilmenee myös tarkastusoikeuden epäämisen syy. Tiedot on annettava viivytyksettä, kuitenkin viimeistään kolmen kuukauden kuluttua pyynnön esittämisestä.

Rekisterinpitäjän on pyynnöstä korjattava tai poistettava henkilötiedot. Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Spämmitapauksiin liittyviä henkilötietojen tarkastamis- ja poistopyyntöjä varten on olemassa valmis kirjepohja.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta niille, joille rekisterinpitäjä on luovuttanut tai joilta rekisterinpitäjä on saanut virheellisen henkilötiedon.

Rekisteröidyllä on aina oikeus kieltää käsittelemästä häntä itseään koskeviä tietoja muun muassa suoramarkkinointia varten (30 §).

Valvova viranomainen

Lakia valvova viranomainen on tietosuojavaltuutettu. Tietosuojavaltuutettu voi tutkia henkilörekistereitä ja ryhtyä tarvittaessa oikeudellisiin toimiin (9 luku). Maksimirangaistus henkilötietolain rikkomisesta on vuosi vankeutta (48 §).

Jos epäilee henkilötietolakia rikotun tai rekisterinpitäjän vastaus esimerkiksi tietojen tarkistus- tai poistopyyntöön ei ole tyydyttävä, voi tietosuojavaltuutetulle jättää asiasta toimenpidepyynnön. Sivulla SpammiinReagoiminen annetaan ohjeet menettelystä spämmitapauksissa.

[PDF, TXT]

http://kaip.iki.fi/spam/HenkiloTietoLaki.html

Puolusta sähköisiä oikeuksiasi. Liity EFFIn jäseneksi.

Kai Puolamäki, Kai.Puolamaki@iki.fi