#include 'page.wmltmpl'

Henkilötietolaki

Tällä sivulla: sovellusalue ja määritelmiä - rekisterinpitäjän yleisiä velvoitteita - henkilötietojen käsittelyn edellytykset - tietoja ei saa siirtää Euroopan unionin ulkopuolelle - ilmoitusvelvollisuus, tietojen tarkistaminen ja poistaminen - valvova viranomainen

Henkilötietolaki (523/1999) säätelee henkilötietojen käsittelyä. Tässä dokumentissa annetaan varsinaista lakia lyhyempi ja toivottavasti luettavampi kuvaus henkilötietolain sisällöstä erityisesti suoramarkkinoinnin näkökulmasta.

Henkilötietolain on tarkoitus soveltaa direktiiviä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ("tietosuojadirektiivi", 95/46/EY). Laki astui voimaan 1.6.1999 ja se korvaa vanhan henkilörekisterilain. Katso myös dokumenttia: mitä spämmerin on otettava huomioon henkilörekisteriasioissa EU:ssa?

Olen tässä dokumentissa pyrkinyt antamaan mahdollisimman hyvän yleiskuvan lain sisällöstä, mutta esimerkiksi kaikkia erikoistapauksia ei ole käsitelty täydellisesti (vaikkakin pyrin mainitsemaan ne kaikki). Siksi ennen oikeudellisesti merkityksellisiä päätöksiä asia kannattaa tarkistaa varsinaisesta lakitekstistä ja sen perusteluista.

Jukka Korpela on myös kirjoittanut yhteenvedon henkilötietolaista.

Sovellusalue ja määritelmiä

Henkilötietolakia sovelletaan automaattiseen henkilötietojen käsittelyyn (henkilötietojen käsittelyllä tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimenpiteitä, alkaen tietojen säilyttämisestä). Muunlaiseen tietojenkäsittelyyn lakia sovelletaan, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa (2 §).

Henkilötietojen käsittely, johon on ryhdytty toukokuussa 1999 tai aikaisemmin, on saatettava tämän lain vaatimuksia vastaavaksi viimeistään 24.10.2001 (vanha henkilörekisterilaki).

Laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.

Lakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Tiedotusvälineissä sellaisenaan julkaistu aineisto tarkoittaa lähinnä lehtileikkeitä ja vastaavia. Ilman tätä rajoitusta myös lehtileikekokoelmiin pitäisi soveltaa henkilötietolakia. Tämä rajoitus ei kuitenkaan tarkoita sitä, että jos henkilötieto on kerätty tiedotusvälineistä, ei sen käsittelyyn tarvitsisi soveltaa henkilötietolakia. Henkilötietolakia sovelletaan siis pääsääntöisesti myös henkilörekistereihin, jotka koostuvat pelkästään tiedotusvälineistä kerätyistä henkilötiedoista. Tälläinen rekisteri siis kyllä koostuu tiedotusvälineissä julkaistusta materiaalista, mutta ei tiedostusvälineissä julkaistusta materiaalista sellaisenaan.

Henkilötiedoilla tarkoitetaan pääsääntöisesti kaikkia luonnollista henkilöä koskevia tietoja.

Henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. (3 §)

Rekisterinpitäjän yleisiä velvoitteita

Henkilötietojen käsittelyssä on noudatettava huolellisuutta (5 § huolellisuusvelvoite), henkilötietojen käsittely ja käyttö on suunniteltava etukäteen (6 §) ja ennalta suunnitellusta käyttötarkoituksesta on pidettävä kiinni (7 § käyttötarkoitussidonnaisuus). Käsiteltävien henkilötietojen tulee olla määritellyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus) ja virheettömiä (virheettömyysvaatimus) (9 §). Henkilötietojen käsittelyssä on noudatettava riittävää tietoturvaa (32 §) ja henkilörekisterin pitäjä on vaitiolovelvollinen tietoonsa saamista henkilökohtaisista asioista (33 §). Tarpeettomaksi käynyt henkilörekisteri on hävitettävä (34 §).

Rekisterinpitäjän on laadittava rekisteriseloste (10 §), josta ilmenee

  1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;
  2. henkilötietojen käsittelyn tarkoitus;
  3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;
  4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä
  5. kuvaus rekisterin suojauksen periaatteista.

Rekisteriseloste on pääsääntöisesti pidettävä jokaisen saatavilla.

Rekisterinpitäjän on pääsääntöisesti ilmoitettava henkilörekisteristä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste viimeistää 30 päivää ennen tietojen keräämistä ja käsittelyä (36 § ja 37 §). Tästä säännöstä voi poiketa muun muassa jos rekisterin ylläpidolle on kaikkien rekisteröityjen yksiselitteisesti antama suostumus, tai jos rekisteröidyllä on asiakas- tai palvelusuhde, jäsenyys, tms., johon rekisterin pitäminen kuuluu luonnollisella tavalla (muut poikkeukset on lueteltu 36 §:ssä). Esimerkiksi suoramarkkinointia 30 päivän ilmoitusaika kuitenkin koskee.

Henkilötietojen käsittelyn edellytykset

Henkilötietoja saa käsitellä ainoastaan (8 §):

  1. rekisteröidyn yksiselitteisesti antamalla suostumuksella;
  2. rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
  3. jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;
  4. jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta;
  5. jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus) (tämä kohta pätee vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen edellyttäen, että tarkoitus, johon tiedot luovutetaan, ei ole yhteensopimaton henkilötietojen käsittelyn tarkoituksen kanssa ja että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta);
  6. jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;
  7. jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;
  8. jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai
  9. jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Arkaluontoisista tiedoista (rotu, etninen alkuperä, poliittiset mielipiteet, sosiaaliongelmat, rikosrekisteri, seksuaalinen suuntautuminen, terveydentila, ...) ja henkilötunnuksen käsittelystä säädetään erikseen. Henkilötunnuksen käsittelyssä pääsääntö on, että sitä saa käsitellä vain rekisteröidyn yksiselitteisellä suostumuksella tai erikseen luetelluissa tapauksissa, joissa rekisteröidyn yksilöiminen on välttämätöntä (13 §).

Henkilötietojen käytöstä tutkimukseen (14 §), tilastoihin (15 §), viranomaisten suunnittelutoimiin (16 §), henkilömatrikkeliin (17 §), sukututkimukseen (18 §), suoramarkkinointiin (19 §) ja henkilöluottotietoihin (20 § ja 21 §) säädetään erikseen. Yleissääntönä henkilötietojen käsittely on näissä erikoistapauksissa sallittua vain, jos rekisteröity on antanut siihen luvan. 14-21 § luetellaan poikkeuksia tähän yleissääntöön.

Huomaa, että edellä mainitut ehdot koskevat kaikkea henkilötietojen käsittelyä. Tietojen ei välttämättä tarvitse muodostaa henkilörekisteriä.

Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa tallettaa henkilötietoja ilman rekisteröidyn etukäteistä suostumusta, jos rekisteröity ei ole kieltänyt tietojen käyttöä ja

  1. henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen tai muuhun tässä momentissa tarkoitettuun toimeen eikä se tietosisältönsä vuoksi vaaranna rekisteröidyn yksityisyyden suojaa;
  2. henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten; tai
  3. henkilörekisteri sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä ja sitä käytetään hänen työtehtäviinsä liittyvän informaation lähettämiseen.

Tietoja voi luovuttaa henkilörekisteristä vain, jos rekisteröity ei ole sitä kieltänyt ja jos on ilmeistä, että rekisteröity tietää tällaisesta tietojen luovutuksesta.

Tietoja ei saa siirtää Euroopan unionin ulkopuolelle

Yleisesti ottaen henkilötietoja ei saa siirtää Euroopan unionin ulkopuolelle ilman rekisteröidyn suostumusta (21 § ja 22 §). Lain tarkoituksena on helpottaa tietojen siirtoa Euroopan unionin sisällä, mutta estää tietojen vuotaminen heikomman tietoturvalainsäädännön omaaviin maihin. Tietosuojaviranomaiset tekevät yhteistyötä ja tarjoavat virka-apua muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa (38 §).

Tämä voi tarkoittaa käytännössä esimerkiksi sitä, että henkilötietoja, kuten nimiä, tenttituloksia ja vastaavia ei saa laittaa esimerkiksi webbisivulle ilman listattujen henkilöiden suostumusta. Jos webbisivulla on esimerkiksi järjestetty lista henkilöistä ja mahdollisesti joistakin henkilöihin liittyvistä tiedoista, muodostaa se henkilörekisterin. Vaikka webbisivulla olevalle henkilölistalle olisikin kaikkien siinä listattujen suostumus, pitää webbisivun pitäjän silti noudattaa henkilötietojen käsittelyyn ja henkilörekisteriin liittyviä yleisiä velvotteita. Webbisivulle, tai yleisemmässä tapauksessa henkilörekisterille, johon se kuuluu, pitää siis periaatteessa olla esimerkiksi rekisteriseloste (!). (Asiasta on olemassa tietosuojavaltuutetun ratkaisu.)

Ilmoitusvelvollisuus, tietojen tarkistaminen ja poistaminen

Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä (24 §), viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Suoramainonnassa tai vastaavassa on ilmoitettava käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä nämä tiedot on ilmoitettava pyydettäessä. (25 §)

Jokaisella rekisteröidyllä on oikeus saada seuraavat tiedot (26 §):

Tiedot on annettava maksutta, jos viimeisestä kyselystä on kulunut yli vuosi. Muussakin tapauksessa tiedoista saa periä vain kohtuullisen korvauksen, joka ei saa ylittää tiedon hankkimisesta aiheutuvia välittömiä kuluja.

Tarkastuspyyntö on esitettävä henkilökohtaisesti rekisterinpitäjälle tai omakätisesti allekirjoitetulla kirjeellä. Rekisterinpitäjän on annettava tiedot pyydettäessä kirjallisesti. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus, josta ilmenee myös tarkastusoikeuden epäämisen syy. Tiedot on annettava viivytyksettä, kuitenkin viimeistään kolmen kuukauden kuluttua pyynnön esittämisestä.

Rekisterinpitäjän on pyynnöstä korjattava tai poistettava henkilötiedot. Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Olen tehnyt kirjemallin spämmäystapauksiin liittyvästä henkilöitetojen tarkastamis- ja poistopyynnöstä.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta niille, joille rekisterinpitäjä on luovuttanut tai joilta rekisterinpitäjä on saanut virheellisen henkilötiedon.

Rekisteröidyllä on aina oikeus kieltää käsittelemästä häntä itseään koskeviä tietoja muun muassa suoramarkkinointia varten (30 §).

Valvova viranomainen

Tietosuojavaltuutettu on tätä lakia valvova viranomainen. Tietosuojavaltuutettu voi tutkia henkilörekistereitä ja ryhtyä tarvittaessa oikeudellisiin toimiin (9 luku). Maksimirangaistus henkilötietolain rikkomisesta on vuosi vankeutta (48 §).

Jos epäilee henkilötietolakia rikotun tai rekisterinpitäjän vastaus esimerkiksi tietojen tarkistus- tai poistopyyntöön ei ole tyydyttävä, voi tietosuojavaltuutetulle jättää asiasta toimenpidepyynnön (ohjeet, lomakepohjat ja yhteystiedot toimenpidepyyntöjä varten). Olen tehnyt valmiin lomakkeen toimenpidepyyntöä varten spämmitapauksissa (katso spämmäys ja lainsäädäntö).