Henkilötietolaki

Yleistä

Henkilötietolaki (523/1999) säätelee henkilötietojen käsittelyä. Henkilötietolaki kertoo, milloin on sallittua kerätä ja muutoin käsitellä henkilötietoja. Tärkeimmät yleiset periaatteet ovat suunnittelu-, tarpeellisuus-, huolellisuus- ja suojaamisvelvoitteet sekä rekisteröityjen henkilöiden oikeuksien huomioon ottaminen. Näiden periaatteiden avulla rekisterinpitäjä voi saavuttaa hyvän tietojenkäsittelytavan.

Ensimmäiseksi rekisterinpitäjän tulee määritellä, mitä tarkoitusta varten henkilötietoja käsitellään eli mihin henkilörekisteriä on tarkoitus käyttää. Lain ohjausta seuraten rekisterin pitäjä voi myös ehkäistä tietotekniikan ja uuden teknologian käyttöön liittyviä tietosuojaloukkauksia.

Henkilötietojen käsittelyn tarkoitus määritellään rekisterinpitäjien eri tehtävien perusteella. Esimerkiksi yhdistyksessä tietoja kerätään jäsenasioiden hoitamiseksi. Työelämässä henkilötietoja kerätään työ- ja palvelussuhteen hoitamista ja työn hakua varten. Kaupan toiminnassa henkilötietoja tarvitaan myös asiakassuhteen hoitoon, koulussa oppilaista kerätään tietoja opetuksen järjestämiseen yms. Viranomaisten lakisääteiset tehtävät edellyttävät usein henkilötietojen käsittelyä. Muun muassa veroviranomaiset käsittelevät henkilötietoja huolehtiessaan verotuksen toimittamisesta.

Muistilista rekisterinpitäjälle:
Selvitä miksi keräät henkilötietoja.
Analysoi ja suunnittele henkilötietojen käsittely.
Varmista käsittelyn lainmukaisuus.

Mainosviestien lähettäminen usein henkilötietolain piirissä

Mainosviestien lähettämiseen tarvitaan lista sähköpostiosoitteista. Tällainen lista, joka sisältää luonnollista henkilöä koskevia tietoja, muodostaa henkilötietolain mukaan henkilörekisterin. Henkilörekisterien käyttö on tiukasti säänneltyä: rekisterinpitäjällä pitää olla rekisteriseloste ja rekisteröidyn tulee saada tarkastaa itseään koskevat tiedot ja poistattaa ne rekisteristä maksutta. Rekisterinpitäjän on ilmoitettava henkilötietojen automaattisesta käsittelystä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste (henkilötietolaki 36 §) vähintään 30 päivää ennen rekisterin perustamista (henkilötietolaki 37 §). Laissa on poikkeuksia vaatimuksesta muun muassa silloin, jos rekisteröidyllä on asiallinen yhteys esimerkiksi asiakassuhteen perusteella rekisterinpitäjän toimintaan. Rangaistusmaksimi henkilötietolain rikkomisesta on vuosi vankeutta (Rikoslaki 38:9).

Soveltamisala ja määritelmiä

Henkilötietolakia sovelletaan automaattiseen henkilötietojen käsittelyyn. Henkilötietojen käsittelyllä tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimenpiteitä, alkaen tietojen säilyttämisestä. Muunlaiseen tietojenkäsittelyyn lakia sovelletaan, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa (2 §).

Laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Henkilötietolakia ei näin ollen sovelleta esimerkiksi yksityiseen puhelinmuistioon.

Lakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Tiedotusvälineissä sellaisenaan julkaistulla aineistolla tarkoitetaan lähinnä lehtileikkeitä ja vastaavia. Ilman tätä rajoitusta myös lehtileikekokoelmiin pitäisi soveltaa henkilötietolakia. Rajoitus ei kuitenkaan tarkoita sitä, että jos henkilötieto on kerätty tiedotusvälineistä, ei sen käsittelyyn tarvitsisi soveltaa henkilötietolakia. Henkilötietolakia sovelletaan pääsääntöisesti myös henkilörekistereihin, jotka koostuvat pelkästään tiedotusvälineistä kerätyistä henkilötiedoista. Tällainen rekisteri koostuu tiedotusvälineissä julkaistusta materiaalista, josta on kerätty henkilötiedot erikseen.

Henkilötiedoilla tarkoitetaan pääsääntöisesti kaikkia luonnollista henkilöä koskevia tietoja, joista henkilön voi tunnistaa.

Henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. (3 §)

Rekisterinpitäjän yleisiä velvoitteita

Henkilötietojen käsittelyssä on noudatettava huolellisuutta (5 § huolellisuusvelvoite). Henkilötietojen käsittely ja käyttö on suunniteltava etukäteen (6 §) ja ennalta suunnitellusta käyttötarkoituksesta on pidettävä kiinni (7 § käyttötarkoitussidonnaisuus). Käsiteltävien henkilötietojen tulee olla määritellyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus) ja virheettömiä (virheettömyysvaatimus) (9 §). Henkilötietojen käsittelyssä on noudatettava riittävää tietoturvaa (32 §) ja henkilörekisterin pitäjä on vaitiolovelvollinen tietoonsa saamista henkilökohtaisista asioista (33 §). Tarpeettomaksi käynyt henkilörekisteri on hävitettävä (34 §).

Rekisterinpitäjän on laadittava rekisteriseloste (10 §), josta ilmenee

  1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;

  2. henkilötietojen käsittelyn tarkoitus;

  3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;

  4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä

  5. kuvaus rekisterin suojauksen periaatteista.

Rekisteriseloste on pääsääntöisesti pidettävä jokaisen saatavilla.

Rekisterinpitäjän on pääsääntöisesti ilmoitettava henkilörekisteristä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste viimeistään 30 päivää ennen tietojen keräämistä ja käsittelyä (36 § ja 37 §). Tästä säännöstä voi poiketa muun muassa, jos rekisterin ylläpidolle on kaikkien rekisteröityjen yksiselitteisesti antama suostumus, tai jos rekisteröidyllä on asiakas- tai palvelusuhde, jäsenyys, tms., johon rekisterin pitäminen kuuluu luonnollisella tavalla (muut poikkeukset on lueteltu 36 §:ssä). Esimerkiksi suoramarkkinointia 30 päivän ilmoitusaika kuitenkin koskee.

Henkilötietojen käsittelyn edellytykset

Henkilötietoja saa käsitellä ainoastaan (8 §):

  1. rekisteröidyn yksiselitteisesti antamalla suostumuksella;

  2. rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

  3. jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

  4. jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta;

  5. jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus). Tämä kohta pätee vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen. Tarkoitus, johon tiedot luovutetaan, tulee olla yhdenmukainen henkilötietojen käsittelyn tarkoituksen kanssa ja rekisteröidyn on tiedettävä henkilötietojen tällaisesta luovuttamisesta;

  6. jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;

  7. jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;

  8. jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai

  9. jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Arkaluontoisista tiedoista (rotu, etninen alkuperä, poliittiset mielipiteet, sosiaaliongelmat, rikosrekisteri, seksuaalinen suuntautuminen, terveydentila, ...) sekä henkilötunnuksen käsittelystä säädetään erikseen. Henkilötunnuksen käsittelyssä pääsääntö on, että sitä saa käsitellä vain rekisteröidyn yksiselitteisellä suostumuksella tai erikseen luetelluissa tapauksissa, joissa rekisteröidyn yksilöiminen on välttämätöntä (13 §).

Henkilötietojen käytöstä tutkimukseen (14 §), tilastoihin (15 §), viranomaisten suunnittelutoimiin (16 §), henkilömatrikkeliin (17 §), sukututkimukseen (18 §), suoramarkkinointiin (19 §) sekä henkilöluottotietoihin (20 § ja 21 §) säädetään erikseen. Yleissääntönä henkilötietojen käsittely on näissä erikoistapauksissa sallittua vain, jos rekisteröity on antanut siihen luvan. 14-21 § luetellaan poikkeuksia tähän yleissääntöön.

Edellä mainitut ehdot koskevat kaikkea henkilötietojen käsittelyä. Tietojen ei välttämättä tarvitse muodostaa henkilörekisteriä.

Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa tallettaa henkilötietoja ilman rekisteröidyn etukäteistä suostumusta, jos rekisteröity ei ole kieltänyt tietojen käyttöä ja

  1. henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen tai muuhun tässä momentissa tarkoitettuun toimeen eikä se tietosisältönsä vuoksi vaaranna rekisteröidyn yksityisyyden suojaa;

  2. henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten; tai

  3. henkilörekisteri sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä ja sitä käytetään hänen työtehtäviinsä liittyvän informaation lähettämiseen.

Tietojen siirtäminen

Tietoja voi luovuttaa henkilörekisteristä vain, jos rekisteröity ei ole sitä kieltänyt ja jos on ilmeistä, että rekisteröity tietää tällaisesta tietojen luovutuksesta. Suostumuspyyntö suoramarkkinointiaineiston lähettämiseen on muotoiltava sellaiseksi, että kuluttaja tietää minkälaista ja kuinka laajaa markkinointiaineistoa hän voi odottaa saavansa (kuluttajansuojalaki).

Yleisesti ottaen henkilötietoja ei saa siirtää Euroopan Unionin ulkopuolelle ilman rekisteröidyn suostumusta (21 § ja 22 §). Lain tarkoituksena on helpottaa tietojen siirtoa Euroopan Unionin sisällä, mutta estää tietojen vuotaminen heikomman tietoturvalainsäädännön omaaviin maihin. Tietosuojaviranomaiset tekevät yhteistyötä ja tarjoavat tarvittaessa virka-apua(38 §).

Ilmoitusvelvollisuus, tietojen tarkistaminen ja poistaminen

Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä (24 §), viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Suoramainonnassa tai vastaavassa on ilmoitettava käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä nämä tiedot on ilmoitettava pyydettäessä. (25 §)

Jokaisella rekisteröidyllä on oikeus saada seuraavat tiedot (26 §):

  • henkilörekisterissä olevat häntä koskevat tiedot;

  • rekisterin säännönmukaiset tietolähteet; sekä

  • mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan.

Tiedot on annettava maksutta, jos edellisestä kyselystä on kulunut yli vuosi. Muussa tapauksessa tiedoista saa periä vain kohtuullisen korvauksen, joka ei saa ylittää tiedon hankkimisesta aiheutuvia välittömiä kuluja.

Tarkastuspyyntö on esitettävä rekisterinpitäjälle henkilökohtaisesti tai omakätisesti allekirjoitetulla kirjeellä. Rekisterinpitäjän on annettava tiedot pyydettäessä kirjallisesti. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus, josta ilmenee myös tarkastusoikeuden epäämisen syy. Tiedot on annettava viivytyksettä, kuitenkin viimeistään kolmen kuukauden kuluttua pyynnön esittämisestä.

Rekisterinpitäjän on pyynnöstä korjattava tai poistettava virheelliset, tarpeettomat, puutteelliset tai vanhentuneet henkilötiedot (29§). Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta tai poistamisesta, hänen on annettava asiasta kirjallinen selvitys. Selvityksessä on mainittava ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta niille, joille rekisterinpitäjä on luovuttanut tai joilta rekisterinpitäjä on saanut virheellisen henkilötiedon.

Rekisteröidyllä on aina oikeus kieltää käsittelemästä häntä itseään koskevia tietoja muun muassa suoramarkkinointia varten (30 §).

Valvova viranomainen

Lakia valvova viranomainen on tietosuojavaltuutettu. Tietosuojavaltuutettu voi tutkia henkilörekistereitä ja ryhtyä tarvittaessa oikeudellisiin toimiin (9 luku). Maksimirangaistus henkilötietolain rikkomisesta on vuosi vankeutta (48 §).

Jos epäilee henkilötietolakia rikotun tai rekisterinpitäjän vastaus esimerkiksi tietojen tarkistus- tai poistopyyntöön ei ole tyydyttävä, voi tietosuojavaltuutetulle jättää asiasta toimenpidepyynnön.

Linkit:

Tietosuojavaltuutetun henkilötietolakiopas
Sivun lähteenä Kai Puolamäen Ei-toivottu viestintä Internetissä henkilötietolakia koskevat Internetsivut.
© Liikenne- ja viestintäministeriö 2005