Tämän verkkosivun sisältö:
Henkilötietojen käsittely kunnassa
Henkilötietolakia sovelletaan aina henkilötietojen automaattiseen käsittelyyn, ts. tällaisten tietojen käsittelyyn automaattisen tietojen käsittelyn avulla. Esimerkiksi henkilötietojen verkkojulkaisu on luonteeltaan laissa tarkoitettua automaattista henkilötietojen käsittelyä. Lakia sovelletaan myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Henkilötietolaki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Henkilötietolakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevat soveltuvin osin ainoastaan eräät henkilötietolain säännökset.
Henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.
Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Esimerkiksi henkilön nimi, ikä, sukupuoli ja ammatti ovat henkilötietoja.
Henkilötietojen käsittely tarkoittaa henkilötietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä.
Henkilörekisteriä voidaan lyhyesti luonnehtia listaukseksi, joka sisältää kahta tai useampaa henkilöä koskevia henkilötietoja. Henkilötietolaissa esitetyn määritelmän mukaan henkilörekisteri on käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta (ns. looginen henkilörekisteri).
Rekisterinpitäjällä tarkoitetaan henkilötietolaissa yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Rekisterinpitäjä on siis se henkilö tai organisaatio, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä rekisterin käytöstä.
Rekisteröity on henkilötietolain mukaan henkilö, jota henkilötieto koskee.
Sivullisena pidetään muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää.
Suostumuksella tarkoitetaan henkilötietolain käsitteistössä kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Se, että henkilö ei erikseen kiellä henkilötietojensa käsittelyä, ei vielä ole suostumus.
Henkilötietojen käsittelyä koskevat yleiset periaatteet:
- huolellisuus: yksityisyyden suojan turvaavia perusoikeuksia ei rajoiteta ilman laissa säädettyä perustetta
- käsittelyn suunnittelu: käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta
- käyttötarkoitussidonnaisuus: tiettyyn tarkoitukseen kerättyjä henkilötietoja ei saa käyttää muuhun tarkoitukseen
- tarpeellisuus: käsiteltävien tietojen tulee olla rekisterin tarkoituksen kannalta tarpeellisia
- virheettömyys: virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei saa käsitellä
Henkilötietojen käsittelyyn on oltava lakiin perustuva syy. Henkilötietolain 8 §:ssä säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietoja saa käsitellä (esim.):
- rekisteröidyn yksiselitteisesti antamalla suostumuksella
- jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta
- rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan
- konsernin/taloudellisen yhteenliittymän asiakas- tai työntekijätietoja saa käsitellä konsernin tai yhteenliittymän sisällä
- jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä/ elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi
- tietosuojalautakunnan luvalla
Henkilötietolain 14 – 21 §:ssä säädetään oikeudesta käsitellä henkilötietoja erityisiä tarkoituksia varten. Tällaisia tarkoituksia ovat:
- historiallinen tai tieteellinen tutkimus
- tilastotarkoitus
- viranomaisen suunnittelu- ja selvitystehtävät
- henkilömatrikkeli
- sukututkimus
- suoramarkkinointi ja muut osoitteelliset lähetykset
- henkilöluottotietojen käsittely
Myös henkilötunnuksen käsittelystä säädetään henkilötietolaissa erikseen. Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella, tai jos käsittelystä säädetään laissa. Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.
Arkaluonteisten henkilötietojen käsittely on lähtökohtaisesti kielletty, mutta henkilötietolaissa säädetään lukuisista poikkeuksista tähän sääntöön. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan:
- henkilön rotua tai etnistä alkuperää,
- yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista,
- henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia.
- henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka
- henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Henkilötietolaissa säädetään henkilötietojen käsittelyyn liittyvästä vaitiolovelvollisuudesta. Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa henkilötietolain vastaisesti ilmaista näin saamiaan tietoja sivulliselle.
Henkilötietojen oikeudeton käsittely on rangaistava teko.
Henkilötietojen julkisuus ratkeaa julkisuuslain mukaisesti. Julkisuuslakia sovelletaan henkilötietolain 8.4 §:ssä todetulla tavalla myös henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä.
Henkilörekisteristä ei saa välttämättä luovuttaa sivulliselle julkisiakaan tietoja. Rekisteriin sisältyvien tietojen antamistapaa on eräiltä osin rajoitettu. Jos asiakirja on julkinen, mutta se muodostaa henkilörekisterin, on erikseen varmistettava, onko mahdollisella luovutuksensaajalla oikeus henkilötietolain nojalla käsitellä henkilötietoja. Henkilötietojen käsittelyyn on aina oltava lain mukainen peruste. Henkilötietojen sallitut käyttötarkoitukset on lueteltu henkilötietolaissa.
Yksityishenkilöt saavat kunnan rekistereistä julkisia henkilötietoja tavanomaisiin yksityisiin tarkoituksiinsa. Tiedotusvälineille on annettava vastaavia julkisia tietoja toimituksellisiin tarkoituksiin. Luovutettaessa henkilötietoja toimituksellista tarkoitusta varten, on varmistauduttava lähinnä siitä, että kysymyksessä on mainittu toimituksellinen tarkoitus ja että tietojen pyytäjä edustaa ko. tiedotusvälinettä. Epäselvissä tapauksissa lisäselvityksenä voidaan tiedustella esimerkiksi päätoimittajan nimeä tai voidaan pyytää toimittajaa esittämään lehdistökortti. Koska luovuttaja vastaa luovutusten laillisuudesta, ilman kirjallista pyyntöä tietoja ei ole syytä luovuttaa, ellei kyseisestä tarkoituksesta ja luovutuksensaajasta voida olla varmoja.
Viranomaiset saavat käyttää henkilötietoja esimerkiksi lakisääteisissä tehtävissään.
Viranomaisen henkilörekisteristä saa julkisuuslain mukaan antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Mikäli luovutuksensaajalla on oikeus tietojen käsittelyyn, viranomainen saa siis antaa pyydetyt tiedot myös kopiona, tulosteena tai sähköisessä muodossa. Velvollisuutta tietojen antamiseen tällä tavalla ei lain sanamuodon mukaan ole.
Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. Se, että henkilö ei erikseen kiellä henkilötietojensa käsittelyä, ei vielä ole suostumus.
Kunnassa on määriteltävä rekisterinpitäjä jokaiselle henkilörekisterille erikseen. Rekisterinpitäjinä kunnassa ovat tyypillisesti esimerkiksi kunnanhallitus ja lautakunnat alaisensa hallinnon osalta.
Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lain vaatimusten mukaisesti. Rekisterinpitäjän on laadittava henkilörekistereistään henkilötietolain 10 §:n mukaiset rekisteriselosteet.
Rekisterinpitäjän vastuita on selostettu tarkemmin tietosuojavaltuutetun verkkosivuilla.
Tietosuojavaltuutetun toimiston tavoitteena on ylläpitää ja edistää kansalaisten yksityisyyden suojaa.
Tietosuojavaltuutettu ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä, käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa, seuraa henkilötietojen käsittelyn yleistä kehitystä ja tekee tarpeelliseksi katsomiaan aloitteita, huolehtii toimialaansa kuuluvasta tiedotustoiminnasta sekä huolehtii henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä.
Tietosuojavaltuutetun toimiston www-sivuilta löytyy tietoa rekisteröidyn oikeuksista, tietoa rekisterinpitäjälle, tietosuojavaltuutetun ratkaisuja, kooste tietosuojavaltuutetulta usein kysytyistä asioista, oppaita ja lomakkeita ym.
Tietosuojalautakunta voi myöntää rekisterinpitäjille lupia henkilötietojen käsittelyyn määrätyillä edellytyksillä. Lautakunta voi myös antaa henkilötietojen käsittelyä koskevia määräyksiä.
Tietosuojalautakunta käsittelee lisäksi henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja seuraa henkilötietojen käsittelyä koskevan lainsäädännön kehittämistarvetta sekä tekee tarpeelliseksi katsomiaan aloitteita.
Lisää tietoa tietosuojasta ja tietosuojaviranomaisista löytyy
tietosuojavaltuutetun ja
tietosuojalautakunnan verkkosivuilta.