billionphotos 949999 256x256

Henkilötietojen käsittelyn tulee olla aina asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. 

Klikkaa auki apukaavio, jonka avulla rekisterinpitäjä voi yhdessä tietosuojavastaavan kanssa suunnitella ja arvioida toimintaansa ja rekisterinpitoaan henkilötietolain näkökulmasta.

 

Käsitteistöä:

Henkilötietolain 3 §:n mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteen kuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Henkilötietolaissa on omaksuttu niin sanotun loogisen rekisterin käsite. Tämä tarkoittaa sitä, että samaan henkilörekisteriin voi kuulua erillisiä osarekistereitä. Tiettyä käyttötarkoitusta (tehtävää) varten perustettuun henkilörekisteriin kuuluvat kaikki tiedot, joita kyseisessä käyttötarkoituksessa (tehtävässä) kerätään ja käsitellään, vaikka tietoja ylläpidettäisiin teknisesti eri osarekistereissä. Saman rekisterin tiedoista osa voi olla talletettuna automaattisen tietojenkäsittelyn avulla ja osa manuaalisesti paperilla. Saman rekisterin tietoja voi olla myös eri henkilöiden hallussa. Osarekisterit ja niiden sisältämät tiedot muotoutuvat käytännössä toiminnallisista lähtökohdista, tehtävien hoidon organisoinnin perusteella. Rekisterinpitäjän tulee määritellä henkilörekisterin käyttötarkoitus rekisteriselosteessa etukäteen ennen henkilötietojen keräämistä ja muuta käsittelyä.

Rekisterinpitäjä on se, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Rekisterinpitäjällä on vastuu henkilötietojen lainmukaisesta käsittelystä. Rekisterinpitäjän on huolehdittava muun muassa rekisterihallinnon järjestämisestä, riittävän ohjeistuksen ja koulutuksen tarjoamisesta työntekijöille, työntekijöiden tietosuojaosaamisen varmistamisesta, laillisista asiakastietojärjestelmistä ja käytönvalvonnan lokijärjestelmistä, tietosuojavastaavan nimeämisestä ja tehtävien määrittämisestä sekä työntekijöiden asiakastietojen käytön valvonnasta. Rekisterinpitäjä vastaa siitä, että jokaisesta eri henkilörekisteristä laaditaan etukäteen ennen henkilötietojen keräämistä tai muuta käsittelyä rekisterinpidon suunnittelun työkaluksi rekisteriseloste, joka on pidettävä yleisesti saatavilla rekisterinpitäjän toimipaikassa ja esimerkiksi verkkopalvelussa.

Rekisteröity on henkilö, jota henkilötieto koskee, esimerkiksi organisaation asiakas (asiakasrekisteri), työntekijä (henkilöstöhallinnon rekisteri) tai opiskelija (oppilasrekisteri). Rekisteröidyllä on oikeus tarkastaa tietonsa ja vaatia niiden korjaamista. Häntä tulee myös informoida hänen tietojensa käsittelystä ja hänen tietojenkäsittelyyn liittyvistä oikeuksistaan. Rekisteröidyllä on oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu, ja myös se, ettei rekisterissä ole häntä koskevia tietoja. Tarkastusoikeuden voi käyttää kerran vuodessa maksuttomasti. Keväällä 2016 hyväksytty EU:n yleinen tietosuoja-asetus (2016/679, aletaan soveltamaan 5/2018-) tulee laajentamaan rekisteröidyn oikeuksia.

Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. Henkilötietolaissa määritellyllä sivullisella tarkoitetaan muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää. Henkilötietojen käytöllä tarkoitetaan henkilörekisterin käyttötarkoitusta varten kerättyjen tai siihen talletettujen henkilötietojen käyttämistä rekisterinpitäjän omassa toiminnassa.

Rekisteriseloste pitää laatia kaikista henkilörekistereistä. Siitä tulee ilmetä mm. henkilötietojen käsittelystä vastaava rekisterinpitäjä. Selosteesta pitää ilmetä myös, mitä henkilötietoja rekisterissä on, mihin niitä käytetään ja minne tietoja säännönmukaisesti luovutetaan sekä tietojen suojauksen periaatteet.

Rekisteriseloste tulee pitää jokaisen saatavilla rekisterinpitäjän toimipaikassa. Jos rekisterinpitäjällä on useita toimipaikkoja, seloste on pidettävä nähtävillä kaikissa toimipaikoissa. Jos palvelua käytetään tietoverkossa, rekisteriseloste tulee liittää verkkopalvelun yhteyteen.

Lisätietoja sekä rekisteriselosteen mallilomakepohja ohjeineen löytyy tietosuojavaltuutetun toimiston kotisivuilta http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

Lisätietoa muualta:

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 2. Tietosanoma.

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 1. 2. laitos. Tietosanoma.

Andreasson Ari & Koivisto, Juha 2013: Tietoturvaa toteuttamassa. Tietosanoma.

Ylipartanen, Arto 2012 (1. painos 2010): Tietosuoja terveydenhuollossa. 2. painos, 3. Uudistetusta laitoksesta. Tietosanoma.