Henkilötietojen käsittely

 
henkilötietojen käsittely yrityksessä - henkilötietojen käsittely - tietosuoja - gdpr
 

Villy Lindfelt, juristi
villy.lindfelt@lakius.fi
044 2358 211
Varaa maksuton alkukartoitus >

Henkilötietojen käsittely –
mitä yrityksen tulee siitä tietää

Henkilötietojen käsittely – Onko yritykselläsi asiakkaita? Tai työntekijöitä? Tai palvelullasi rekisteröityneitä käyttäjiä? Jos vastaus on kyllä, on todennäköistä, että yrityksessäsi käsitellään henkilötietoja tavalla, jossa tulisi huomioida tietosuojalainsäädännön velvoitteet. Henkilötietoa on lain mukaan kaikki tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan henkilöön. Niinpä esimerkiksi nimi, puhelinnumero, passikuva, kotiosoite ja lääkärintodistus ovat kaikki henkilötietoja. Henkilötietojen käsittelyllä taas tarkoitetaan esimerkiksi henkilötietojen keräämistä, tallentamista, käyttöä, poistamista ja luovuttamista. Henkilöä, jonka tietoja käsitellään, kutsutaan rekisteröidyksi.

Tässä kirjoituksessa käydään läpi perusasioita henkilötietojen käsittelystä yrityksissä sekä sitä, mitä tietosuojalainsäädännön, kuten EU:n yleisen tietosuoja-asetuksen (GDPR) ja tietosuojalain, asettamista velvoitteista tulee yleisellä tasolla ymmärtää. Kirjoituksessa perehdytään tiivistetysti erityisesti seuraaviin kysymyksiin:

  1. Millaista henkilötietojen käsittelyä on yrityksissä

  2. Missä roolissa henkilötietoja käsitellään

  3. Milloin on oikeus käsitellä henkilötietoja

  4. Mitä ovat henkilötietojen käsittelyn tietosuojaperiaatteet

  5. Millaisia dokumentointivelvoitteita liittyy henkilötietojen käsittelyyn

  6. Mitä seuraamuksia voi olla velvoitteiden rikkomisella

  7. Millaisin käytännön toimenpitein liikkeelle tietosuoja-asioissa

1. Millaista henkilötietojen käsittelyä yrityksissä on

Jos yrityksellä on yksi asiakas, yksi työntekijä tai yksi osakkeenomistaja, on todennäköistä, että yrityksessä käsitellään jo silloin henkilötietoja tavalla, jossa tulisi huomioida tietosuojalainsäädännön velvoitteet.

EU:n yleistä tietosuoja-asetusta (GDPR) ja tietosuojalakia sovelletaan (1) henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä (2) sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Niinpä jos yritys käyttää esimerkiksi tietojärjestelmiä asiakkaita, työntekijöitä, liikekumppaneita tai osakkeenomistajia koskevien henkilötietojen käsittelyyn (esim. CRM-, ERP- ja HRM-järjestelmät) taikka kirjallisia arkistoja, jotka sisältävät henkilötietoja (esim. fyysinen sopimusarkisto), tulee käsittelyssä huomioida tietosuojalainsäädäntö.

2. Missä roolissa henkilötietoja käsitellään

Ensimmäinen askel omaa yritystä koskevien velvoitteiden tunnistamisessa on ymmärtää roolit, jossa henkilötietoja saatetaan käsitellä. Näitå ovat rekisterinpitäjä, henkilötietojen käsittelijä ja yhteisrekisterinpitäjä. Lähes jokainen yritys käsittelee henkilötietoja rekisterinpitäjänä – jotkut toimivat sen lisäksi vielä henkilötietojen käsittelijänä ja/tai yhteisrekisterinpitäjänä.

Rekisterinpitäjä on se, joka määrää mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjänä käsitellään esimerkiksi asiakkaita, palvelun käyttäjiä, työntekijöitä ja osakkeenomistajia koskevia henkilötietoja.

Henkilötietoja saatetaan myös käsitellä rekisterinpitäjän puolesta ja lukuun. Sellaista, joka toimii näin, kutsutaan henkilötietojen käsittelijäksi. Henkilötietojen käsittelijöitä ovat usein esimerkiksi digitaalisen markkinoinnin toimistot, it-palveluiden tarjoajat (esim. hosting-palvelut) ja HR-konsultti.

Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Tällaisia voisivat olla esimerkiksi samaan konserniin kuuluvat yhtiöt yhteisten asiakas- tai työntekijätietojen osalta.

3. Milloin yrityksellä on oikeus käsitellä henkilötietoja

3.1 Oikeus käsitellä henkilötietoja rekisterinpitäjänä

Kaikki henkilötietojen käsittely rekisterinpitäjänä edellyttää aina lainmukaista käsittelyperustetta. Ilman sitä ei ole oikeutta käsitellä henkilötietoja. Henkilötietojen keräämisen ja käsittelyn tulee olla laillista sekä rekisterinpitäjän toiminnan ja tehtävien kannalta asianmukaista. Käsittelyperusteet on lueteltu tyhjentävästi tietosuoja-asetuksessa.

Henkilötietoja saa käsitellä, jos:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn;

  2. se on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

  3. se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

  4. se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

  5. se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi; tai

  6. se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Arkaluontoisten tietojen (esim. terveystiedot ja ay-jäsenyys) käsittelylle on omat käsittelyperusteensa.

3.2 Oikeus käsitellä henkilötietoja henkilötietojen käsittelijänä

Henkilötietojen käsittelijän oikeus käsitellä henkilötietoja perustuu sopimukseen. Esimerkiksi markkinointitoimisto saattaa käsitellä tietoja, joiden rekisterinpitäjä sen asiakas on (esim. asiakkaan asiakkaita koskevat henkilötiedot). Tällainen toiminta edellyttää, että rekisterinpitäjän ja henkilötietojen käsittelijän välillä on solmittu henkilötietojen käsittelyä koskevat tietojenkäsittelysopimus. Henkilötietojen käsittelijä ei saa käsitellä rekisterinpitäjän henkilötietoja mihinkään muihin tarkoituksiin tai kenenkään muun kuin kyseisen rekisterinpitäjän hyväksi, mukaan lukien omiin tarkoituksiinsa.

henkilötietojen käsittely yrityksissä - gdpr - henkilötietojen käsittely - tietosuoja

4. Henkilötietojen käsittelyssä noudatettavat tietosuojaperiaatteet

Henkilötietojen käsittelyssä on noudatettava aina tietosuojalainsäädännössä säädettyjä tietosuojaperiaatteita. Pelkkä noudattaminen ei kuitenkaan riitä, vaan rekisterinpitäjän on kyettävä osoittamaan tietosuojaperiaatteiden noudattaminen (“osoitusvelvollisuus”). Tämä tehdään esimerkiksi tietosuoja-asioita koskevalla dokumentoinnilla ja henkilöstön koulutuksella. Keskeisiä tietosuojaperiaatteita on kuusi, jotka esitetään lyhyesti alla.

Lainmukaisuus, kohtuullisus ja läpinäkyvyys

Henkilötietoja on käsiteltävä asianmukaisesti, lainmukaisin perustein ja läpinäkyvästi suhteessa henkilöön, jonka tiedoista on kyse.

Käyttötarkoitussidonnaisuus

Henkilötietojen käsittelyn laillinen tarkoitus määriteltävä ennalta ja tietoja tulee käsitellä vain kyseistä tarkoitusta varten.

Tietojen minimointi

Ei tule kerätä enempää tietoja, kuin tarvitaan. On etukäteen mietittävä, mikä tieto on tarpeellista ja olennaista.

Täsmällisyys

Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Epätarkat ja virheelliset henkilötiedot tulee poistaa tai oikaista.

Säilytyksen rajoittaminen

Henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietojen säilyttämisajat tai niiden määräytymisen perusteet tulee määritellä.

Eheys ja luottamuksellisuus

Yksityisyys on tärkeää. Siksi henkilötietoja tulee suojata teknisin, organisatorisin ja sopimuksellisin keinoin. Arkaluontoisia tietoja tulee suojata erityisin toimenpitein.

5. Henkilötietojen käsittelyn dokumentointivelvoitteet

Tietosuoja-asioihin liittyy lakisääteisiä dokumentointivelvoitteita. Alla lyhyesti keskeisestä tietosuojadokumentaatiosta:

Tietosuojaseloste

Tietosuojaselosteella rekisterinpitäjä kertoo rekisteröidyille (esim. asiakkaat, henkilöstö) heitä koskevien henkilötietojen käsittelyn periaatteista. Sisältö määräytyy laista ja viranomaiskäytännöstä. Myös selosteen kieltä, saatavilla pitämistä ja toimittamista koskevat omat säännöksensä. Tyypillisesti tietosuojaseloste on saatavilla esimerkiksi nettisivuilla. Tarvittaessa eri rekisteröityjen ryhmille (työntekijät, asiakkaat, palvelun käyttäjät, kanta-asiakkaat, tms.) voidaan laatia omat tietosuojaselosteet.

Rekisterinpitäjän käsittelytoimia koskeva seloste

Useimmiten rekisterinpitäjän on myös laadittava käsittelytoimia koskeva seloste. Se on organisaation omaan sisäiseen käyttöön ja tarvittaessa se tulee esittää valvontaviranomaiselle. Seloste on hyvä laatia taulukkomuotoon ja käyttää sitä samalla ns. tietokartoitustaulukkona. Selosteen sisältöä määräytyy laista. Seloste toimii hyvänä työkaluna tietosuojaselosteen laatimiselle.

Tasapainotesti

Mikäli rekisterinpitäjä käsittelee henkilötietoja oikeutetun edun perusteella, tulee tätä ennen laatia ns. tasapainotesti sen osoittamiseksi, että rekisterinpitäjä on tehnyt oikeutettua etua koskevan arvion ja punninnan oikeuksiensa ja rekisteröidyn perusoikeuksien välillä. Testidokumentaatio laaditaan organisaation sisäiseen käyttöön.

Suostumukset

Mikäli henkilötietoja käsitellään suostumuksen perusteella, on muistettava siihen liittyvät dokumentointivelvoitteet. Saadut suostumukset tulee dokumentoida ja suostumus tulee olla peruutettavissa yhtä helposti, kuin se annettiin.

Tietosuojavaikutusten arviointi

Tietosuojavaikutusten arviointi on suoritettava silloin, kun käsittelyllä voi olla “korkea riski” henkilöille. Tehtävä ennen aiottua käsittelyä.

Transfer Impact Assessment ja EU:n vakiosopimuslausekkeet

Mikäli henkilötietoja ollaan aikeissa siirtää EU:n tai ETA:n ulkopuolelle, tulee tehdä ns. Transfer Impact Assessment -riskianalyysi. Mikäli siirto toteutuu, tulee sen tapahtua lain edellyttämiä suojamekanismeja hyödyntäen. Yksi näistä on EU:n komission julkaisemien vakiosopimuslausekkeiden käyttö.

Henkilötietojen käsittelijän käsittelytoimia koskeva seloste

Henkilötietojen käsittelijänä toimittaessa tulee muutamia poikkeuksia lukuun ottamatta laatia käsittelytoimia koskeva seloste. Sen sisältö määräytyy laista. Seloste on organisaation omaan käyttöön ja sitä tulee ylläpitää. Tarvittaessa seloste esitetään valvontaviranomaiselle.

Tietojenkäsittelysopimus (eng. DPA, Data Processing Agreement)

Kaikissa rekisterinpitäjä-henkilötietojen käsittelijä -suhteissa tulee aina olla kirjallinen tietojenkäsittelysopimus tai -liite (ns. DPA). DPA:n sisältö määräytyy laista. DPA voi myös olla kaupallisen sopimuksen sopimusliite. DPA on solmittava esimerkiksi aina silloin, kun itse hankitaan palveluja alihankkijalta, joka tulee käsittelemään organisaation puolesta henkilötietoja tai kun itse toimitaan esimerkiksi asiakkaan henkilötietojen käsittelijänä.

Tietoturvaloukkausrekisteri

Kaikki tietoturvaloukkaukset tulee dokumentoida rekisteriin, vaikka laki ei tapauskohtaisesti edellyttäisi niiden ilmoittamista viranomaiselle ja/tai asianomaiselle rekisteröidylle.

Tietopyyntörekisteri

Kaikki rekisteröidyn tietopyynnöt ja muut rekisteröityjen oikeuksien täyttämistä koskevat pyynnöt on syytä dokumentoida omaan suppeasisältöiseen rekisteriin, jotta voidaan tarvittaessa osoittaa niiden täyttäminen.

Henkilöstön ohjeet, koulutusmateriaalit ja muu dokumentaatio

Muuta tietosuojadokumentaatiota, kuten ohjeita, laaditaan tarpeen mukaan. Ne omalta osaltaan myös täyttävät tietosuojalainsäädäntöön liittyvää osoitusvelvollisuutta.

6. Sanktiot ja seuraamukset

Tietosuojavelvoitteiden noudattamatta jättäminen voi johtaa merkittäviin sakkoihin, joiden suuruus on tiettyjen rikkomusten kohdalla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen liikevaihdosta. Tietosuojaviranomainen voi määrätä muita korjaavia toimenpiteitä, kuten henkilötietojen käsittelyn lopettamisen. Lisäksi tietosuojaviranomainen voi tehdä tarkastuksia, antaa varoituksia tai määrätä rajoituksia käsittelyyn. Lisäksi rekisteröity voi vaatia vahingonkorvausta aineellisista ja aineettomista vahingoista.

7. Käytännön toimenpiteitä

  1. Kartoita mitä henkilötietoa keräät, mihin sitä tarvitset, missä se sijaitsee, miten ja kenelle tietoa luovutetaan.

  2. Tunnista yrityksesi toimiminen eri rooleissa (ja kumppaneiden roolit).

  3. Laadi tai päivitä rekisterinpitäjän ja henkilötietojen käsittelijän käsittelytoimia koskevat selosteet ja tietosuojaselosteet.

  4. Päivitä ja dokumentoi tarvittaessa suostumuskäytäntösi, jos se on käsittelyperusteena.

  5. Laadi ja päivitä tietojenkäsittelysopimukset alihankkijasuhteisiin ja tietojen luovutuksiin.

  6. Varmista, että asianmukaiset suojatoimet on käytössä kansainvälisissä tietojen siirroissa.

  7. Tee ohjeistus tietosuojan huomioimisesta uusien palveluiden / järjestelmien käyttöönotossa.

  8. Nimitä tarvittaessa tietosuojavastaava ja tee tietosuojavaikutusten arvioinnit.

  9. Testaa ja dokumentoi, miten rekisteröidyn oikeudet on toteutettavissa järjestelmissä.

  10. Ohjeista, miten toimia tietoturvaloukkaustilanteissa ja rekisteröityjen oikeuksia koskevissa pyynnöissä.


Lue lisää, miten voimme auttaa tietosuojaan liittyvissä asioissa.
Katso myös
palvelupakettimme tietosuojadokumentaation laadintaan.


henkilötietojen käsittely yrityksissä - gdpr - tietosuoja - henkilötietojen käsittely