Lähes kaikkiin yrityksiin kertyy jonkinlaista henkilötietoa asiakkaista tai esimerkiksi työntekijöistä. Se, mikä kaikki luokitellaan henkilötiedoksi ja miten henkilötietoja tulisi käsitellä, määritellään yleisessä tietosuoja-asetuksessa (GDPR).
henkilötietojen määritelmä
Tietosuojalainsäädäntö koskee sellaista tietoa, josta kyseinen henkilö on suoraan tai epäsuorasti tunnistettavissa. Näin ollen henkilötietoja ovat ensinnäkin sellaiset tiedot kuten nimi, henkilötunnus ja biometriset tunnisteet (kuten sormenjälki, passikuva ja allekirjoitus), joista henkilö on suoraan ja erehtymättömästi tunnistettavissa.
Yksiselitteisten tunnuspiirteiden lisäksi henkilötietoihin luetaan myös epäsuorat tunnisteet, jotka yksinään eivät riitä henkilön yksilöimiseen, mutta yhdistettynä muihin tietoihin voivat mahdollistaa henkilöllisyyden paljastumisen. Esimerkiksi vaikka uutisotsikossa ”01.01.2021 rikoksesta tuomittu mies avasi leipomon” ei suoraan mainita henkilön nimeä, voi pienellä tutkimuksella selvittää leipomon perustajan henkilöllisyyden. Tällä tavoin henkilö voidaan epäsuorasti tunnistaa esimerkiksi sukupuolen, asuinpaikan, työroolin, siviilisäädyn, kielen tai iän perusteella. Voidaankin sanoa, että henkilötietojen käsite on hyvin laaja.
miten henkilötietoja tulee suojata?
Yksi oleellinen osa henkilötietojen suojaa on se, ettei tietoja saa käsitellä ilman laissa määriteltyä käsittelyn oikeuttavaa oikeusperustetta. Yleensä käsittely perustuu rekisteröidyn antamaan suostumukseen. Esimerkiksi, jos yritys haluaa kerätä asiakkaidensa henkilötietoja markkinointitarkoituksiin, se voi saada suostumuksen lisäämällä internetsivustolle valintaruudun, jonka valitsemalla asiakas ”hyväksyy, että hänen tietojaan käytetään markkinointitarkoituksiin”.
Muita oikeusperusteita ovat rekisteröidyn ja rekisterinpitäjän välinen sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Voit lukea lisää eri käsittelyperusteista täältä.
Hyvä henkilötietojen käsittelytapa tulee säilyttää aina henkilötietojen keräämisestä niiden poistamiseen asti, ja henkilötietojen suojaamiseksi voidaan ottaa käyttöön erilaisia teknisiä ja organisatorisia toimia. Henkilötietoja voidaan suojata ensinnäkin erilaisten salasanojen avulla ja asettamalla tietokoneet automaattisesti tilaan, jossa järjestelmä sulkeutuu, ellei tietokonetta käytetä tietyn ajan kuluessa. Yritys voi lisäksi esimerkiksi kieltää paperisten kopioiden tekemisen henkilötietoja sisältävistä dokumenteista tai estää henkilötietoja sisältävien muistitikkujen viemisen pois työpaikalta.
Organisatorisin toimin henkilötietoja voidaan suojata esimerkiksi luvattomalta käsittelyltä. Tämä tarkoittaa sitä, että työpaikalla vain ne työntekijät, jotka tarvitsevat pääsyn henkilötietoihin työtehtäviensä hoitamiseksi, saavat käsitellä tietoja.
Henkilötietojen asianmukainen käsittely ja tietojen suojaaminen riittävin toimin ovat tärkeitä ensinnäkin siksi, että hyvien tietosuojakäytänteiden avulla voidaan estää tietomurtoja ja varmistaa, etteivät henkilötiedot päädy vääriin käsiin. Tietomurrot ja niiden mahdollisesti aiheuttamat tietovuodot voivat tulla erittäin kalliiksi yrityksille, jos asianmukaisia tietosuojakäytäntöjä ei ole noudatettu. Lisäksi läpinäkyvä ja lainmukainen henkilötietojen käsittely lisää yrityksen arvostusta kuluttajien ja asiakkaiden keskuudessa, mikä puolestaan vahvistaa heidän luottamustaan yritystä kohtaan.
Lue lisää henkilötietojen käsittelyn periaatteista.
Lähde §: yleinen tietosuoja-asetus (GDPR)
06.02.2015
Päivitetty 04.07.2024
Suomen Juristit lakimies
Nopeaa apua lakiasioihin.
