3. Henkilötietojen kerääminen – Mihin tarkoituksiin ja millä perusteella tietoja saa käsitellä?

Mihin tarkoituksiin ja millä perusteella tietoja saa käsitellä – Tamän sivun luettuasi sinulle selviää mm.

  • Milloin henkilötietojen käsittely on sallittua?
  • Miten oikeusperuste vaikuttaa henkilötietojen käyttöön?
  • Mitä henkilötiedot ovat?
  • Millä perusteella henkilötietoja saa kerätä, ja miten peruste kannattaa valita?

Moni tuntuu pitävän henkilötietojen keräämistä uuden henkilötietolain myötä lähes rikollisena toimintana. Näin ei kuitenkaan onneksi ole.

Tietosuojalain ja EU:n tietosuoja-asetuksen tarkoituksena ei ole estää henkilötietojen keräämistä ja käyttöä laillisiin tarkoituksiin, esimerkiksi liiketoimintaan. 

Henkilötietojen käsittely on sallittua kun seuraavat edellytykset täyttyvät

Käsittely on oikeasuhtaista, eli kohtuullista tavoiteltyyn päämäärään nähden.

Henkilötietoja käytetään vain tiettyä, nimenomaista ja laillista tarkoitusta varten.

Käsittely on tavoitteen saavuttamiseksi tarpeellista.

Henkilötiedoille on selkeästi tunnistettava syy, mihin kyseistä henkilötietoa tarvitaan.

Käsittelylle on laillinen oikeusperuste.

Henkilötietoja käytetään muihin tarkoituksiin vain, jos on selkeä asiayhteys alkuperäiseen käyttötarkoitukseen.

Jos henkilötietoja aioitaan käyttää muuhun tarkoitukseen, kuin mistä on alunperin sovittu, täytyy asiasta informoida erikseen. Muuhun käyttöön täytyy saada rekisteröidyn suostumus.

Mitä henkilötiedot ovat?

Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot ovat henkilötietoja.

Henkilötietoja ovat siis kaikki henkilön ominaisuuksia tai elinolosuhteita kuvaavat merkinnät, joista henkilö tai hänen perheenjäsenensä voidaan tunnistaa.

Henkilötietoihin kuuluu myös sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa välillisesti, esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen yksittäiseen tietoon.

Katso tarkempi lista henkilötiedoista: HAMK – Mitä ovat henkilötiedot ja erityiset (arkaluonteiset) henkilötiedot

SUORAAN TUNNISTETTAVISSA OLEVA

Tietoja, jotka riittävät yksin tunnistamaan henkilön. 

Yksittäisiä tietoja, joiden avulla henkilön voi helposti tunnistaa ovat mm. nimi, osoite, henkilötunnus, sähköposti, valokuva, auton rekisterinumero, tilinumero, kiinteistön rekisteritunnus, allekirjoitus, erittäin harvinainen sairaus, jne.

EPÄSUORASTI TUNNISTETTAVISSA OLEVA

Epäsuorat tiedot eivät yksinään riitä henkilön tunnistamiseen, mutta niitä yhdistelemällä henkilö voidaan tunnistaa. 

Tällaisia tietoja ovat mm. IP-osoite, sukupuoli, ikä, koulutus, asuinalue, etninen tausta, syntymäaika, tulotiedot, sukulaisuus- ja perhesuhteet, siviilisääty, fyysinen poikkeavuus jne.

HENKILÖTIEDOT VOIDAAN JAOTELLA MYÖS NÄIN
  1. Suorat tunnisteet (tai välittömät tunnisteet) 
  2. Vahvat epäsuorat tunnisteet 
  3. Epäsuorat tunnisteet 
  4. Erityiset, eli arkaluontoiset henkilötiedot

Kerättävistä henkilötiedoista ei ole mitään varsinaisia määräyksiä.

Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi. Lisäksi täytyy muistaa, että arkaluontoisia tietoja saa kerätä vain poikkeuksellisesta syystä. 

Sinua voisi kiinnostaa myös tämä: Arkaluontoisia tietoja on oikeus kerätä ja käyttää vain erityisestä syystä.

Yksi tietosuoja-asetuksen tärkeimpiä tavoitteita on kerättävien ja käsiteltävien henkilötietojen minimointi. Henkilötietoja ei siis saa kerätä ja käsitellä enempää, kuin käyttötarkoituksen kannalta on välttämätöntä.

Lue lisää: Minimointivelvoite ja EU:n tietosuoja-asetus – Miten henkilötietojen minimointi kannattaa käytännössä huomioida?

 

Oikeusperusteen valinta - Miten oikeusperuste vaikuttaa henkilötietojen käyttöön?

On melko tavanomaista, että tietosuojaselosteessa luetellaan peräkkäin useita perusteita, jolla henkilötiedot on kerätty. Aina kyse ei ole edes laillisesta perusteesta, vaan perusteena saattaa olla myös jotain aivan muuta.  

Jotta vältyt tältä virheeltä, sinun täytyy valita jokaiselle käyttötarkoitukselle laillinen peruste, jolla henkilötietoja kerätään. Tietosuoja-asetuksen suhteen kyse on siis oikeusperusteesta, joita on kuusi erilaista.

Käyttötarkoitus ja sen peruste kannattaakin siis mainita samassa yhteydessä, jotta rekisteröity saa selkeän käsityksen siitä, mihin tarkoitukseen ko. tietoa käytetään ja millä perusteella sitä käsitellään.

Perusteen valinnassa täytyy huomioida mm. omat velvollisuudet, rekisteröidyn etu, yleiset käytännöt, sekä perusteen sopivuus oman liiketoiminnan kannalta.

Jos kyseessä on esimerkiksi lakisääteinen velvoite kerätä henkilötiedot , vaikkapa työsuhteessa olevalta, ei oikeusperusteeksi kannata valita suostumusta, vaikka suostumus olisikin olemassa.

  • Perustetta ei voi myöhemmin vaihtaa toiseen.
  • Valittu peruste vaikuttaa rekisteröidyn oikeuksiin, eli kaikissa oikeusperusteissa ei ole samoja oikeuksia (ks. peruste­­kohtaiset oikeudet alempaa).
  • Oikeutettua etua pitäisi käyttää vasta, jos mitään muuta perustetta ei ole.

Jos käytät henkilötietoja esimerkiksi sopimuksen perusteella, voit tästä huolimatta kysyä asiakkaalta suostumuksen myös sähköiseen markkinointiin.

Oletko yhdistystoimija? Sinua saattaisi kiinnostaa myös: Soste – Henkilötietojen käsittelyn oikeusperusteet yhdistystoiminnassa

Millä perusteella henkilötietoja saa kerätä? – 6 lainmukaista oikeusperustetta

PERUSTEET - ESIMERKKEJÄ - TASAPAINOTESTI - MITÄ TIETOSUOJAOIKEUKSIA HENKILÖLLÄ ON?

1. Rekisteröidyn (vapaaehtoinen) suostumus

Rekisteröity voi antaa suostumuksensa sille, että hänen henkilötietojaan käsitellään yhtä tai useampaa tarkoitusta varten.

Suostumuksen on oltava vapaaehtoinen. Suostumuspyynnön täytyy olla selkeä ja helposti ymmärrettävä.

Myös suullinen suostumus on lainmukainen, mutta sen todistaminen saattaa olla vaikeaa.

Esimerkkejä:

  • Raksi ruutuun internetsivulla
  • Kirjallinen suostumuslomake
  • Sähköpostiviesti
  • Puhelunauhoite

Sähköisen suoramarkkinoinnin lähettämiseen täytyy olla ennalta saatu suostumus. Suostumus on pystyttävä myös todistaa. Sähköistä suoramarkkinointia ovat sähköpostiviestit, tekstiviestit, puheviestit, ääniviestit ja kuvaviestit.

Perinteistä suoramarkkinointia (postitse ja puhelimitse) saa tehdä myös ilman suostumusta. Ks. kohta 6. Rekisterinpitäjän ja kolmannen osapuolen oikeutettu etu.

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (oikeus tulla unohdetuksi)
  • yksi perusteista saada tiedot poistetuksi on, että rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
  • oikeus siirtää tiedot järjestelmästä toiseen
  • rekisteröity voi sallia automaattisen päätöksenteon (ml. profilointi) nimenomaisella suostumuksellaan

2. Sopimus

Sopimus on kahden osapuolen välinen oikeustoimi, jossa osapuolet sopivat keskenään jostakin asiasta. Sopimus voi olla kirjallinen tai suullinen. Kirjallinen sopimus on kuitenkin helpompi todistaa.

Jos henkilötietojen kerääminen perustuu sopimukseen, henkilötietoja saa käsitellä vain sopimuksen täytäntöön panemiseksi.

Sopimuksia syntyy päivittäin normaalissa arjessa esimerkiksi silloin, kun kuluttaja ostaa tavaraa kaupasta, käy kampaajalla, vuokraa asunnon, tai hankkii puhelinliittymän.

Sopimuksia voivat olla myös mm. asunto- tai autokauppa, tai palvelujen ostaminen lakiasiantoimistolta.

 

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (oikeus tulla unohdetuksi)
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
  • oikeus siirtää tiedot järjestelmästä toiseen
  • oikeus olla johtumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta

3. Rekisterinpitäjän lakisääteinen velvoite

Rekisterinpitäjällä voi olla lain perusteella velvoite säilyttää henkilötietoja, esim. esim. työsopimuslain tai terveydenhuoltolain velvoittamana.

Esimerkkejä milloin henkilötietoja voidaan kerätä lakisääteisen velvoitteen perusteella:

  • Työnantajan on ilmoitettava työntekijänsä palkkatiedot veroviranomaisille
  • Sosiaalipalveluntuottajan velvoite kerätä asiakkaan henkilötiedot, viranomaisten veroedun valvontaa varten.
  • Rahoituslaitosten on raportoitava epäilyttävistä liiketoimista viranomaisille.
  • Yksityisten sosiaali- ja terveysalan velvoite ylläpitää lakisääteisiä potilas- ja asiakasrekistereitä.

  • oikeus saada informaatiota henkilötietojen käsittelystä, ellei laissa erikseen säädetty poikkeusta
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
  • oikeus olla johtumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta
    • tämä voidaan mahdollistaa lainsäädännöllä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröityjen oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi

4. Elintärkeiden etujen suojaaminen

Elintärkeiden etujen suojaaminen sopii käsittelyperusteeksi esimerkiksi tilanteisiin, joissa on kysymys elämästä ja kuolemasta tai uhkista, jotka voisivat johtaa rekisteröidyn, tai jonkun toisen loukkaantumiseen tai olla muutoin terveydelle vahingollisia.

Henkilötietojen käsittely voi palvella elintärkeää etua esimerkiksi luonnonkatastrofeissa tai epidemioissa.

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (oikeus tulla unohdetuksi)
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoittamista koskeva ilmoitusvelvollisuus

5. Yleistä etua koskeva tehtävä tai julkinen valta

Yleistä etua koskeva tehtävä tai julkinen valta on täytynyt antaa lailla, tai muilla oikeudellisilla säännöksillä. 

Yleinen etu voi olla perusteena esimerkiksi:

  • historiallisessa tutkimuksessa
  • lääketieteellisessä tilastoinnissa
  • museotoiminnassa
  • kaupallisessa tutkimuksessa
  • keknologian kehittämisessä
  • palkkatilastoinnissa
  • kulttuuriperintöaineiston säilyttämisessä

  • oikeus saada informaatiota henkilötietojen käsittelystä, ellei laissa erikseen säädetty poikkeusta
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai käsittelyn rajoittamista koskeva ilmoitusvelvollisuus
  • oikeus vastustaa tietojen käsittelyä
  • oikeus olla johtumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta
    • tämä voidaan mahdollistaa lainsäädännöllä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröityjen oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi

6. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu

Oikeutettu etu on tietosuojalaissa ympäripyöreä käsite. Oikeutetulla edulla viitataan yleensä ihmisen perusoikeuksiin. 

Perusoikeuksiin liittyviä lakeja ovat:
  • kansalliset perusoikeudet
  • kansainväliset ihmisoikeudet
  • Euroopan unionin perusoikeudet ja

Yritystoiminnassa oikeutettuun etuun vedotaan yleensä silloin, kun perusteena käytetään perustuslain oikeutta harjoittaa elinkeinoa ja käydä kauppaa.

Pääperiaatteena voidaan kuitenkin pitää sitä, että henkilötietojen käyttötarkoituksen täytyy olla lainmukainen ja asianmukainen.

Lainmukaisuudella ja asianmukaisuudella tarkoitetaan mm. sitä, että:

  • Rekisteröidyn täytyy kohtuudella osata odottaa tietojen keräämisen yhteydessä, että, henkilötietoja voidaan käsitellä kyseistä tarkoitusta varten.
  • Henkilötietoja ei käsitellä tavalla, joka on ennalta-arvaamatonta ja odottamatonta rekisteröidyn kannalta.
  • Rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu oikeutetun edun edelle.
  • Käsittelyssä on huomioitu käyttäytymissäännöt, sopimusehdot ja eettiset säännöt.

Rekisterinpitäjän ja rekisteröidyn välinen merkityksellinen ja asianmukainen suhde, esimerkiksi asiakassuhde, voi tehdä henkilötietojen käsittelyä edellyttävästä edusta oikeutetun

Myös evästeiden kautta kerätty data, eli tieto jonka avulla rekisterinpitäjä voi arvioida ja profiloida sivuilla kävijöitä, kuuluu oikeutetun edun piiriin. Tästä sivuston vierailija voi kuitenkin halutessaan kieltäytyä.

Lue tästä tietosuojavaltuutettu Anu Taluksen kommentit evästeasiaan.

Pro gradu tutkielma – Rekisterinpitäjän oikeutettu etu henkilötietojen käsittelyn oikeusperusteena

Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on jokin ”merkityksellinen suhde”, eli kun:

  • Rekisteröity on rekisterinpitäjän asiakas.
  • Rekisteröity on rekisterinpitäjän alainen.

Oikeutettu etu voi olla kyseessä myös, jos:

  • Kyseessä on tieteellinen ja historiallinen tutkimus sekä tilastointi.
  • Henkilötietoja siirretään hallinnollisista syistä konsernin sisällä.
  • Kyse on petoksen estämisestä.
  • Kyse on tietoturvan varmistamisesta.

Suoramarkkinointi:

Suomessa saa tehdä oikeutetun edun perusteella perinteistä suoramarkkinointia postitse ja puhelimitse. Kuluttajalta ei siis tarvitse pyytää ennakkoon suostumusta perinteiseen suoramarkkinointiin.

Kuluttajalla on kuitenkin oikeus kieltää suoramarkkinointi, ja hänelle on selkeästi kerrottava tästä mahdollisuudesta.

Sähköisen suoramarkkinoinnin lähettämiseen puolestaan täytyy olla ennalta saatu suostumus. Ks. kohta 1. Suostumus. 

Tietosuoja.fi – Usein kysyttyä suoramarkkinoinnista

 

Suoramarkkinointia saa tehdä sekä sähköisesti ja postitse yrityksille ja yritysten yhteyshenkilöille, ilman erillistä markkinointilupaa. 

  • Markkinoinnin täytyy liittyä jollain tavalla yrityksen toimintaan/toimialaan.
  • Sähköpostin tulee olla oikea yrityssähköposti. Ts. esim. malli.yritys@gmail.com – osoitteeseen ei saa luvatta lähettää sähköpostia –> tulkitaan henkilökohtaiseksi s-postiksi.

Lue blogikirjoitus: Suoramarkkinointi yrityksille? – B2B suoramarkkinoinnin lainalaisuudet, os. moitaas.fi

 

 

Tietojen keräämisen arvioimiseen käytetään ns. tasapainotestiä. Tasapainotestillä arvioidaan rekisteröidyn etuja ja oikeuksia, suhteessa rekisterinpitäjän etuihin ja oikeuksiin. Yksityishenkilön edut ja oikeudet ovat etusijalla rekisterinpitäjään nähden.

Henkilötietoja siis ei saa käsitellä, jos rekisteröidyn edut tai oikeudet syrjäyttävät rekisterinpitäjän tai kolmannen osapuolen edun. 

Mitä merkittävämpi ja pakottavampi rekisterinpitäjän oikeutettu etu on, sitä merkittävämpi puuttuminen rekisteröidyn yksityisyyteen, sekä muihin etuihin ja oikeuksiin voidaan sallia.

Tasapainotesti täytyy tehdä kirjallisesti ja se kannattaa säilyttää mahdollista viranomastarkastusta varten. Ohjeet tasapainotestin tekemiseen löydä täältä: https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu

Katso myös Tietosuojatyöryhmän lausunto: Lausunto rekisterinpitäjän oikeutetun intressin käsitteestä 

Tasapainotesti (valmis lomakepohja) kuuluu GDPR helposti MINI, MAXI ja PREMIUM -pakettiin. Asiakirjapaketteihin voi tutustua tästä.

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (oikeus tulla unohdetuksi)
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoittamista koskeva ilmoitusvelvollisuus
  • oikeus vastustaa tietojen käsittelyä
Share on facebook
Facebook
%d bloggaajaa tykkää tästä: