Julkisuus ja tietosuoja

Henkilötietojen käsittely kunnassa

Henkilötietolaki

Henkilötietolakia (523/1999) sovelletaan henkilötietojen automaattiseen käsittelyyn, ts. tällaisten tietojen käsittelyyn automaattisen tietojen käsittelyn avulla. Esimerkiksi henkilötietojen verkkojulkaisu on luonteeltaan laissa tarkoitettua automaattista henkilötietojen käsittelyä. Lakia sovelletaan myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Henkilötietolaki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Lisäksi, henkilötietolakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevat soveltuvin osin ainoastaan eräät henkilötietolain säännökset.

Henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolaissa on säännöksiä mm. henkilötietojen käsittelystä ohjaavista yleisistä periaatteista, rekisterinpitäjän vastuista ja velvollisuuksista, rekisteröidyn oikeuksista, henkilötietojen siirrosta kolmansiin maihin sekä tietoturvasta ja tietojen säilytyksestä.

Tietosuoja-asetus

EU:n yleinen tietosuoja-asetus korvaa toukokuussa 2018 henkilötietolain. EU:n tietosuoja-asetuksen rinnalle säädetään uusi kansallinen henkilötietolaki, jossa täsmennetään tietosuoja-asetuksen vaatimuksia ja johon sisällytetään säännöksiä mm. valvontaviranomaisesta.

Tietosuoja-asetus on laajempi kokonaisuus kuin nykyinen henkilötietolaki. Voidaan sanoa, että vuoden 1995 henkilötietolaki sisältyy kokonaisuudessaan tietosuoja-asetukseen, mutta tämän lisäksi tietosuoja-asetus sisältää paljon uuttakin sääntelyä.

Asetuksella luodaan kansalaisille uusia oikeuksia ja rekisterinpitäjille sekä henkilötietoja käsitteleville uusia velvollisuuksia. Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

Tietosuoja-asetuksen tavoitteena ja tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.

Keskeiset käsitteet

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Henkilötiedon määritelmä on siis todella laaja. 

Henkilötietojen käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä.

Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. 

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä on siis se henkilö tai organisaatio, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä rekisterin käytöstä. 

Rekisteröity on henkilötietolain mukaan henkilö, jota henkilötieto koskee.

Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelylle asetetut vaatimukset

Henkilötietojen käsittelyä koskevat yleiset periaatteet henkilötietolain mukaan:

  • huolellisuus: yksityisyyden suojan turvaavia perusoikeuksia ei rajoiteta ilman laissa säädettyä perustetta
  • käsittelyn suunnittelu: käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta
  • käyttötarkoitussidonnaisuus: tiettyyn tarkoitukseen kerättyjä henkilötietoja ei saa käyttää muuhun tarkoitukseen
  • tarpeellisuus: käsiteltävien tietojen tulee olla rekisterin tarkoituksen kannalta tarpeellisia
  • virheettömyys: virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei saa käsitellä

Myös tietosuoja-asetus sisältää säännöksiä henkilötietojen käsittelyä koskevista periaatteista ja vaatii, että henkilötietojen suhteen noudatetaan seuraavia vaatimuksia:

  • niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi: lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla: käyttötarkoitussidonnaisuus
  • henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään: tietojen minimointi
  • henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä: täsmällisyysvaatimus
  • ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten: säilytyksen rajoittaminen
  • niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia: eheys ja luottamuksellisuus

Tietosuoja-asetuksen mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että nämä periaatteet noudatetaan.

Henkilötietojen käsittelyn lainmukaisuus

Henkilötietojen käsittelyyn on oltava lakiin perustuva syy. Sekä henkilötietolaissa että tietosuoja-asetuksessa säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietoja saa käsitellä (esim.):

  • rekisteröidyn yksiselitteisesti antamalla suostumuksella
  • jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta
  • rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan
  • konsernin/taloudellisen yhteenliittymän asiakas- tai työntekijätietoja saa käsitellä konsernin tai yhteenliittymän sisällä
  • jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä/ elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi

Henkilötietolain 14 – 21 §:ssä säädetään oikeudesta käsitellä henkilötietoja erityisiä tarkoituksia varten. Tällaisia tarkoituksia ovat:

  • historiallinen tai tieteellinen tutkimus
  • tilastotarkoitus
  • viranomaisen suunnittelu- ja selvitystehtävät
  • henkilömatrikkeli
  • sukututkimus
  • suoramarkkinointi ja muut osoitteelliset lähetykset
  • henkilöluottotietojen käsittely

Henkilötunnuksen käsittelystä säädetään erikseen. Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella, tai jos käsittelystä säädetään laissa. Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Arkaluonteisten henkilötietojen käsittely on lähtökohtaisesti kielletty, mutta henkilötietolaissa säädetään lukuisista poikkeuksista tähän sääntöön. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan:

  • henkilön rotua tai etnistä alkuperää,
  • yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista,
  • henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia.
  • henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka
  • henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

Henkilötietolaissa säädetään henkilötietojen käsittelyyn liittyvästä vaitiolovelvollisuudesta. Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa henkilötietolain vastaisesti ilmaista näin saamiaan tietoja sivulliselle. 

Henkilötietojen oikeudeton käsittely on rangaistava teko.

Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä

Henkilötietojen julkisuus ratkeaa julkisuuslain mukaisesti. Julkisuuslakia sovelletaan myös henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä. 

Henkilörekisteristä ei saa välttämättä luovuttaa sivulliselle julkisiakaan tietoja. Rekisteriin sisältyvien tietojen antamistapaa on eräiltä osin rajoitettu. Jos asiakirja on julkinen, mutta se muodostaa henkilörekisterin, on erikseen varmistettava, onko mahdollisella luovutuksensaajalla oikeus henkilötietolain nojalla käsitellä henkilötietoja. Henkilötietojen käsittelyyn on aina oltava lain mukainen peruste. Henkilötietojen sallitut käyttötarkoitukset on lueteltu henkilötietolaissa. 

Yksityishenkilöt saavat kunnan rekistereistä julkisia henkilötietoja tavanomaisiin yksityisiin tarkoituksiinsa. Tiedotusvälineille on annettava vastaavia julkisia tietoja toimituksellisiin tarkoituksiin. Luovutettaessa henkilötietoja toimituksellista tarkoitusta varten, on varmistauduttava lähinnä siitä, että kysymyksessä on mainittu toimituksellinen tarkoitus ja että tietojen pyytäjä edustaa ko. tiedotusvälinettä.

Epäselvissä tapauksissa lisäselvityksenä voidaan tiedustella esimerkiksi päätoimittajan nimeä tai voidaan pyytää toimittajaa esittämään lehdistökortti. Koska luovuttaja vastaa luovutusten laillisuudesta, ilman kirjallista pyyntöä tietoja ei ole syytä luovuttaa, ellei kyseisestä tarkoituksesta ja luovutuksensaajasta voida olla varmoja.

Viranomaiset saavat käyttää henkilötietoja esimerkiksi lakisääteisissä tehtävissään. 

Viranomaisen henkilörekisteristä saa julkisuuslain mukaan antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Mikäli luovutuksensaajalla on oikeus tietojen käsittelyyn, viranomainen saa siis antaa pyydetyt tiedot myös kopiona, tulosteena tai sähköisessä muodossa. Velvollisuutta tietojen antamiseen tällä tavalla ei lain sanamuodon mukaan ole.

Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. Se, että henkilö ei erikseen kiellä henkilötietojensa käsittelyä, ei vielä ole suostumus.

Julkisuuslakia tullaan tältä osin vuonna 2018 muuttamaan tietosuoja-asetuksen johdosta.

Kuntaliitto.fi

EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä
Kuntaliiton kunta-alan uutinen, julkaistu 18.1.2016

Suunnitteilla koulutusta EU:n-tietosuoja-asetukseen
Kuntaliiton kunta-alan uutinen, julkaistu 31.1.2017

Muualla verkossa

Uusi opas auttaa rekisterinpitäjiä EU:n tietosuoja-asetukseen valmistautumisessa
Tietosuojavaltuutetun toimisto

tags
Palvelusähköposti hallintolakimiehet

Etunimi
Palvelusähköposti
Sukunimi
hallintolakimiehet
hallintolakimiehet[at]kuntaliitto.fi

Yhteystiedot
Vastuualueet
  • Palvelusähköposti hallintolakimiehet
  • Mm. kuntien hallintoon ja johtamisjärjestelmään, päätöksentekoon ja hallintomenettelyyn sekä julkisuuteen ja tietosuojaan liittyvät kysymykset
  • Palvelemme kuntien henkilöstöä ja luottamushenkilöitä heidän tehtäviinsä liittyvissä asioissa. Suosittelemme käyttämään ensisijaisesti palvelusähköpostiamme.
  • hallintolakimiehet@kuntaliitto.fi
Organisaatio
Suomen Kuntaliitto ry
Yksikkö
Lakiasiat
Tiimi
Palvelusähköpostit
Palvelusähköposti hallintolakimiehet

Etunimi
Palvelusähköposti
Sukunimi
hallintolakimiehet
hallintolakimiehet[at]kuntaliitto.fi

Yhteystiedot
Vastuualueet
  • Palvelusähköposti hallintolakimiehet
  • Mm. kuntien hallintoon ja johtamisjärjestelmään, päätöksentekoon ja hallintomenettelyyn sekä julkisuuteen ja tietosuojaan liittyvät kysymykset
  • Palvelemme kuntien henkilöstöä ja luottamushenkilöitä heidän tehtäviinsä liittyvissä asioissa. Suosittelemme käyttämään ensisijaisesti palvelusähköpostiamme.
  • hallintolakimiehet@kuntaliitto.fi
Organisaatio
Suomen Kuntaliitto ry
Yksikkö
Lakiasiat
Tiimi
Palvelusähköpostit