Henkilötietojen suoja on yksi perusoikeuksista, ja siksi henkilötietojen käsittely on tarkasti säänneltyä. Henkilötietojen käsittely kattaa kaiken henkilötietojen kanssa työskentelyn, aina tietojen keräämisestä niiden poistamiseen asti, ja käsittely on sallittua vain laillisen oikeusperusteen nojalla. Nämä kuusi oikeusperustetta tulevat EU:n yleisestä tietosuoja-asetuksesta (GDPR) ja niihin kuuluvat rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta, ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Rekisteröidyllä tarkoitetaan tässä yhteydessä luonnollista henkilöä, jonka henkilötietoja (kuten nimi tai IP-osoite) rekisterinpitäjä käsittelee. Rekisterinpitäjä puolestaan on se taho, joka määrittelee henkilötietojen käsittelyn keinot ja tarkoituksen. Rekisterinpitäjiä voivat toimia esimerkiksi yksityishenkilöt, yritykset, virastot ja viranomaiset.

henkilötietojen käsittely suostumuksen perusteella

Rekisteröidyn suostumus on yksi yleisimmistä henkilötietojen oikeusperusteista. Jotta rekisteröidyn henkilötietojen käsittely olisi oikeutettu suostumuksen perusteella, suostumuksen tulee olla vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä. Esimerkiksi työnantaja ei voi lähtökohtaisesti perustaa henkilötietojen käsittelyä suostumukseen, sillä työntekijä on heikommassa asemassa työnantajaan nähden, ja näin ollen suostumuksen ei voida katsoa olevan aidosti vapaaehtoista. Vapaaehtoisuus tarkoittaa myös sitä, että suostumuksen antamisesta tulee olla mahdollisuus kieltäytyä, ja suostumuksen peruuttaminen pitää olla helposti tehtävissä.

Suostumuksen antamiselle ei ole asetettu määrättyä muotoa; sen voi antaa esimerkiksi suullisesti, kirjallisesti, tai tekemällä jonkin selkeän aktiivisen toimen, kuten klikkaamalla henkilötietojen keräämisen sallivan valintaruudun internetsivustolla. Tämä aktiivisuusvaatimus tarkoittaa, että suostumuksen ei voida katsoa syntyvän passiivisuuden seurauksena, kuten ilmoittamalla, että internetsivustolle siirtymällä käyttäjä hyväksyy tietojensa keräämisen.

Suostumusperusteeseen liittyy useita kriteereitä, joista voit lukea lisää täältä.

sopimukseen perustuva henkilötietojen käsittely

Henkilötietoja voidaan käsitellä sopimuksen perusteella ensinnäkin silloin, kun tietojen käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena. Käytännössä tämä tarkoittaa sitä, että esimerkiksi tilaamalla aurinkolasit verkkokaupasta ja syöttämällä toimitustietoihin oman osoitteensa, rekisteröity antaa suostumuksen sopimuksen perusteella henkilötiteojensa käsittelyyn.

Tämän lisäksi sopimusperuste tulee kyseeseen silloin, kun rekisteröidyn henkilötietoja käsitellään rekisteröidyn pyynnöstä ennen itse sopimukseen ryhtymistä. Esimerkiksi pankki voi käsitellä rekisteröidyn luottotietoja ennen luottosopimuksen tekemistä.

lakisääteinen velvoite

Henkilötietojen käsittely on sallittua, kun rekisterinpitäjä noudattaa lakisääteistä velvoitetta. Tällöin henkilötietoja on annettava joko EU-lainsäädännön tai kansallisen lain mukaisesti. Tämä oikeusperuste on yleinen eri viranomaisten toiminnassa, mutta sitä sovelletaan myös yksityisellä sektorilla, kun rekisterinpitäjällä on lakisääteisiä velvoitteita henkilötietojen käsittelyyn. Esimerkiksi yhdistykset ovat velvollisia ylläpitämään jäsenrekisteriä yhdistyslain nojalla, ja työnantajat ovat velvollisia ilmoittamaan työntekijöidensä palkkatietoja veroviranomaisille.

elintärkeä etu

Neljännen oikeusperusteen nojalla henkilötietojen käsittely on sallittua silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Tämä peruste voi tulla kyseeseen esimerkiksi hätätilanteissa, joissa käsittely on välttämätöntä henkilön hengen tai terveyden suojelemiseksi. Esimerkiksi terveydenhuollon henkilökunta ei tarvitse autokolarissa vakavasti loukkaantuneen ja tajuntansa menettäneen uhrin suostumusta tarkistaakseen, onko hänestä kirjattu tärkeitä hoitoon vaikuttavia henkilötietoja, kuten tietoja lääkeaineallergioista. Sen sijaan kyseiseen oikeusperusteeseen ei voi turvautua jos potilas tietoisesti kieltäytyy hoidosta.

Lisäksi humanitaaristen kriisien yhteydessä henkilötietojen käsittely on sallittua elintärkeiden etujen suojaamiseksi. Esimerkiksi koronaepidemian aikana henkilötietoja kerättiin tartuntojen leviämisen seuraamiseksi.

yleinen etu tai julkisen vallan käyttäminen

Henkilötietoja voidaan käsitellä, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Tietosuojalaissa tämä perustuu lain 4 §:ään, joka avaa tarkemmin tilanteita, joissa henkilötietojen käsittely on sallittua:

  • Henkilötietojen käsittely on sallittua silloin, kun se koskee henkilön asemaa tai tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä tai muussa vastaavassa toiminnassa. Käsittelyn tulee kuitenkin olla yleisen edun mukaista ja olla oikeassa suhteessa tavoiteltuun päämäärään. Esimerkiksi poliitikkojen kannanottoja ja tehtävien hoitamista voidaan käsitellä tämän perusteen mukaisesti.
  • Viranomaisten on luvallista käsitellä henkilötietoja hoitaessaan yleisen edun mukaisia tehtäviään.
  • Henkilötietoja saa käsitellä tieteellistä tai historiallista tutkimusta sekä tilastointia varten. Käsittely tulee kuitenkin suhteuttaa yleiseen etuun.
  • Henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen ja niihin liittyvien kuvailutietojen käsittely on sallittua, kun se on tarpeen ja oikeassa suhteessa yleiseen etuun sekä rekisteröidyn oikeuksiin nähden.

oikeutettu etu

Viimeisen oikeusperusteen nojalla henkilötietojen käsittely on sallittua silloin, kun se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Oikeutettu etu voi tulla kyseeseen esimerkiksi silloin, kun rekisterinpitäjän ja rekisteröidyn välillä on asiakkuus- tai työsuhde, tai jokin muu merkityksellinen suhde.

Oikeutetun edun periaatetta sovellettaessa keskeisessä roolissa ovat rekisteröidyn oikeudet. Mikäli henkilön perusoikeudet ja -vapaudet painavat enemmän kuin rekisterinpitäjän intressit, rekisterinpitäjän oikeutetut edut syrjäytyvät. Erityisesti tilanteessa, jossa rekisteröity on lapsi, rekisterinpitäjän oikeutettujen etujen on oltava erityisen painavia. Yleisesti ottaen, jos rekisterinpitäjän oikeutetut edut eivät ole pakottavia, rekisteröidyn oikeudet todennäköisesti syrjäyttävät ne, elleivät henkilötietojen käsittelyn vaikutukset ole rekisteröidylle vähäpätöisiä. Joka tapauksessa arvioitaessa oikeutettua etua, on punnittava tarkasti rekisterinpitäjän ja rekisteröidyn intressejä keskenään.

Tästä voit lukea lisää henkilötietojen keräämisen periaatteista.

Lähde §: yleinen tietosuoja-asetus (GDPR), tietosuojalaki

05.07.2024
Suomen Juristit lakimies

Nopeaa apua lakiasioihin.