Yhä useampien eri tehtävien hoito edellyttää henkilötietojen käsittelyä. Nykyään ei löydy käytännössä yhtäkään organisaatiota, jossa henkilötietoja ei kerättäisi ja muuten käsiteltäisi. Rekisterien koot kasvavat, ja tietoja haluttaisiin käyttää hyvin moniin käyttötarkoituksiin. Kysymykset henkilötietojen käsittelystä lisääntyvät uusien innovaatioiden ja digitalisaation edetessä. Myös rekisteröidyt (kenen tietoja käsitellään) eli käytännössä kaikki "me kansalaiset" olemme entistä valveutuneempia ja haluamme pysyä kartalla siitä, mihin henkilötietojamme annamme, miksi niitä kerätään ja mihin niitä tallennetaan. Pitää muistaa, että henkilötietojen käsittelyn tulee olla aina asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Nykyaikana rekisterinpitoon liittyy haasteita kuten nk. varjo-IT eli organisaation johto ei tiedä missä kaikkialla henkilötietoa säilytetään ja käsitellään ja tietoa on lisäksi paljon rakenteettomassa muodossa. Tiedon elinkaaren hallintaan auttaa hyvin laaditut arkistonmuodostus/tiedonhallinta- ja tiedonohjaussuunnitelmat ja niiden oikeaoppinen toteuttaminen.
EU:n yleisen tietosuoja-asetuksen lisäksi henkilötietojen käsittelyä koskevalla erityislainsäädännöllä on keskeinen merkitys sekä toiminnallisten tarpeiden että yksityisyyden suojan toteutumisessa. Jotta lainsäädännön velvoitteet tulisivat toteutettua oikein, pitää henkilörekisterihallinto suunnitella ja määritellä tarkasti ja siihen liittyvä dokumentaatio on pidettävä ajan tasaisena. Yhtenä keskeisenä käytännön asiana kannattaa pitää henkilötietojen käsittelytoimiin liittyvien selosteiden ajanmukaisuuden ylläpitämistä. Niiden avulla voidaan jakaa tietoa henkilörekisterien vastuuhenkilöistä ja rekisterinpitäjistä sekä luetteloida, millä tietojärjestelmillä kyseistä rekisteriä ylläpidetään.
Henkilörekisteri ja rekisterinpitäjä
Jotta tietosuojavastaava pystyy kommunikoimaan ”samalla kielellä” rekisterinpitäjien ja vastaavan johdon kanssa, on ensimmäiseksi omaksuttava ja systemaattisesti tuotava esille oikea terminologia, joka henkilötietojen käsittelyyn ja rekisterinpitäjyyteen liittyy. Vasta tämän jälkeen voidaan syventää ymmärrystä siitä mitä merkityksiä termit pitävät sisällään. EU:n yleisen tietosuoja-asetuksen 4 artiklassa määritellään keskeistä terminologiaa liittyen rekistereihin ja niiden käsittelyyn. Terminologista määrittelyä on yhteensä 26 kohtaa ja ne voi lukea tarkemmin EU:n yleisestä tietosuoja-asetuksesta.
Nostamme tässä kohtaa muutamia keskeisiä käsitteitä esille.
Asetuksessa tarkoitetaan:
• ”henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”rekisteröity”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella
• ”käsittelyllä” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista
• ”profiloinnilla” mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin
• ”pseudonymisoimisella” henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu
• ”rekisterillä” mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu
• ”rekisterinpitäjällä” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti
• ”henkilötietojen käsittelijällä” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
• ”kolmannella osapuolella” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena.
Käsitteiden yhdenmukainen ymmärtäminen on avainasemassa, kun tehdään erilaisia ulkoistuksia ja palvelujen ostoja tai hankitaan uusia tietojärjestelmiä. Organisaation tietosuojavastaavan tai jonkun muun vastuutetun henkilön on syytä käydä olemassa olevat sopimukset mahdollisimman hyvin läpi ja varmistaa, että varsinkin uusissa sopimuksissa terminologia on sidoksissa voimassaolevaan lainsäädäntöön. Osaan vanhoja sopimuksia voi olla vaikea tai mahdoton saada muutoksia, mutta on keskeistä ymmärtää asian tärkeys, koska esimerkiksi sopimusoikeudellisissa riitatilanteissa ulkopuolisten pitää ymmärtää tarkasti se, miten henkilötietojen käsittelystä on sovittu ja mihin lainsäädäntöön käytössä oleva terminologia viittaa. Usein tuntuu menevän pelkästään se jos sekaisin kumpi osapuoli esim. ulkoistussopimuksissa on "Rekisterinpitäjä" ja kumpi "Henkilötietojen käsittelijä"
Henkilötietojen käsittely on lainmukaista ainoastaan asetuksen määrittelemin edellytyksin. Rekisterinpitäjä on siis vastuussa siitä, ettei henkilötietoja käsitellä ilman asianmukaista oikeusperustaa. Rekisterinpitäjän tulee huolehtia, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja että tämä huomioidaan myös uusia käsittelytapoja suunniteltaessa. Organisaation johto on viime kätisessä vastuussa siitä, että asiat on resursoitu ja toteutettu oikein. Alla olevassa taulukossa on nostettu keskeiset onnistumisen elementit esille:
Lisätietoja rekisterinpidosta ja rekisteröidyn oikeuksista tietosuojavaltuutetun toimiston kotisivuilta www.tietosuoja.fi
Lisätietoa muualta esim. kirjallisuudesta: Osaava Tietosuojavastaava ja EU:n yleinen tietosuoja-asetus, Andreasson, Ari; Riikonen, Jaana; Ylipartanen, Arto; Pajala, Idamaria (kuvittaja), Tietosanoma 2019
- Tietoja
- Kirjoittanut OpiTietosuojaa.fi