Jotkin henkilötietodet ovat erityisen sensitiivisä ihmisen yksityisyyden kannalta, ja tämän vuoksi niiden käsittely on lähtökohtaisesti kiellettyä. Yleinen tietosuoja-asetus (GDPR) määrittelee erityisiin henkilötietoryhmiin kuuluviksi seuraavat henkilötiedot:
- rotu tai etninen alkuperä
- henkilön poliittiset mielipiteet
- henkilön uskonnollinen tai filosofinen vakaumus
- ammattiliiton jäsenyys
- geneettiset tiedot tai biometriset tiedot henkilön yksiselitteistä tunnistamista varten
- tiedot henkilön terveyden tilasta
- henkilön seksuaalinen suuntautuminen tai käyttäytyminen
Erityisiin henkilötietoryhmiin kuuluvat henkilötiedot vastaavat siten pitkälti vanhan henkilötietolain määritelmää arkaluontoisista henkilötiedoista, mutta tietosuoja-asetuksessa erityisiin henkilötietoryhmiin ei ole esimerkiski katsottu kuuluvat vanhan lain mukaista sosiaalihuollon tarvetta tai saatuja sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. Näitä tietojen osalta riittää, että käsittelylle on jokin yleinen laista löytyvät käsittelyperuste. Myöskään rikollinen teko, rangaistus tai muu rikoksen seuraamus ei kuulu erityisiin henkilötietoryhmiin, vaikka tiedot aiemmin katsottiin arkaluonteisiksi tiedoiksi.
milloin erityisiin henkilötietoryhmiin kuuluvia tietoja saa käsitellä?
Vaikka erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on pääsääntöisesti kiellettyä, GDPR9 artiklasta löytyy 10 käsittelyperustetta. Osa käsittelyperusteista on suoraan sovellettavissa GDPRperusteella, mutta perustekohdat 2, 7, 8, 9 ja 10 vaativat, että niistä säädetään myös kansallisella tasolla.
- Rekisteröidyn nimenomainen suostumus: Nimenomaisuuden vaatimuksella voidaan tarkoittaa muun muassa korostettua yksilöintivaatimusta sen suhteen, mitä tietoja saa käsitellä sekä pääsääntöistä tarvetta saada suostumus kirjallisesti.
- Työoikeus ja sosiaaliturva: Esimerkiksi työnantajalla voi olla useita kansalliseen lakiin perustuvia velvoitteita, joiden perusteella tämän tulee käsitellä myös erityisiin henkilötietoryhmiin kuuluvia tietoja. Myös sosiaalietuuksien myöntäjän, kuten Kelan, tulee pystyä käsittelemään esimerkiksi tietoja rekisteröidyn vammaisuudesta myöntäessään etuuksia.
- Elintärkeä etu, kun suostumuksen antamiselle on este: Esteen tulee olla juridinen tai fyysinen, ja tilanne tuleekin eteen usein silloin, kun rekisterinpitäjä on hoitosuhteessa rekisteröidyn kanssa. Esimerkiksi autokolarissa vakavasti loukkaantunut henkilö ei välttämättä pysty antamaan suostumustaan henkilötietojensa käsittelyyn henkensä pelastamiseksi.
- Yhteisön laillinen toiminta: Käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön tai muun voittoa tavoittelemattoman yhteisön toiminnan yhteydessä. Tällöin käsittely voi käytännössä koskea vain näiden yhteisöjen jäseniä, eikä tietoja saa luovuttaa yhteisön ulkopuolelle.
- Julkiseksi saatetut tiedot: Jotta rekisterinpitäjä voisi käyttää julkisia tietoja, rekisteröidyn tulee nimenomaisesti saattaa nämä tiedot julkisiksi. Nimenomaisuutta arvioitaessa rekisterinpitäjän on hyvä käyttää omaa harkintakykyään. Esimerkiksi, jos rekisteröity on Facebook-tilillään julkaissut omia terveystietojaan, on arvioitava, onko päivitys vahingossa mennyt julkiseksi.
- Oikeusvaateen laatiminen, esittäminen tai puolustaminen, tai kun tuomioistuin suorittaa lainkäyttötehtäväänsä: Jos esimerkiksi potilas on tehnyt potilasvahinkoilmoituksen, lääkäri voi paljastaa potilaan terveystietoja puolustaakseen hoitotoimenpiteitään. Samoin syytetyn poliittiset mielipiteet voivat johtaa rangaistuksen koventamiseen, jos ne ovat olleet väkivallanteon taustalla.
- Tärkeä yleinen etu: Käsittelyn on oltava oikeasuhtaista tavoitteeseen nähden. Tähän käsittelyperusteeseen vetoaminen edellyttää myös kansallista sääntelyä. Esimerkiksi tietosuojalain 6 § on säädetty, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sallittua silloin, kun käsittely edistää vammaisurheilun mahdollistamista, mikä puolestaan on yleisen edun mukaista.
- Terveydenhuolto: Tämän käsittelyperusteen nojalla tietoja voidaan käsitellä esimerkiksi ennaltaehkäisevää hoitoa, työterveydenhuoltoa, työntekijän työkyvyn arvioimista tai lääketieteellisiä diagnooseja varten, kunhan tietoja käsittelevä taho on salassapitovelvollisuuden alainen. Käsittely vaatii kuitenkin myös kansallista lainsäädäntöä. Esimerkiksi tietosuojalain nojalla terveydenhuollon palveluntarjoaja saa käsitellä tietoja rekisteröidyn saamista kuntoutuspalveluista järjestäessään kuntoutusta.
- Kansanterveyteen liittyvä yleinen etu: Tällaisia yleisiä etuja voivat olla esimerkiksi vakavilta rajat ylittäviltä terveysuhkilta suojautuminen tai lääkevalmisteiden laadun varmistaminen.
- Yleisen edun mukainen arkistointi, tieteellinen ja historiallinen tutkimus tai tilastointi: Tässä tilanteessa käsittelyn tulee perustua myös kansalliseen lainsäädäntöön ja olla oikeasuhtaista tavoitteeseen nähden.
Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely
Mikäli rekisterinpitäjä tai henkilötietojen käsittelijä voi käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja jonkin käsittelyperusteen nojalla, on aina syytä noudattaa erityistä tarkkuutta. Tiettyjen tilanteiden, kuten tieteellisen tutkimuksen, ammattiliiton jäsenyyden sekä vakuutustoiminnassa saatujen tietojen osalta on lakiin kirjattuna erityisiä toimenpiteitä, joilla rekisteröidyn oikeuksia voi paremmin suojata. Ensinnäkin rekisterinpitäjän ja henkilötietojen käsittelijän tulee pystyä jälkeenpäin todentamaan, kuka on käsitellyt henkilötietoja. Myös henkilöstön koulutuksella, henkilötietojen salaamisella ja pseudonymisoinnilla, sekä tietosuojavastaavan nimittämisellä on oleellinen rooli rekisteröidyn oikeuksien suojaamisessa.
Tämän lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän tulisi ottaa käyttöön toimenpiteitä, joilla henkilötietojen käsittelyyn liittyvien palveluiden luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan. Tällöin esimerkiksi teknisen vian sattuessa voidaan taata tietojen palauttaminen nopeasti. Ylipäätään säännöllinen teknisten ja organisatoristen toimenpiteiden tehokkuuden testaaminen on tärkeää, jotta tietojenkäsittelyn turvallisuudesta voitaisiin varmistua käytännön tasolla.
Voit lukea täältä lisää henkilötietojen käsittelyn periaatteista.
Lähde §: yleinen tietosuoja-asetus (GDPR), tietosuojalaki
24.02.2017
Päivitetty 15.07.2024
Suomen Juristit lakimies
Nopeaa apua lakiasioihin.