Tietosuojasta kannattaa kiinostua
(IPRinfo 1/2011)
Suomessa on yli 600 eri lakia, joissa viitataan tietosuojaan ja henkilötietojen käsittelyyn.
Meihin jokaiseen voidaan liittää suuri määrä tietoja, jotka kuvaavat ominaisuuksiamme ja elinolosuhteitamme. Näitä tietoja kutsutaan henkilötiedoiksi. Henkilötiedot kertovat muun muassa luonteestamme, osaamisestamme, mieltymyksistämme ja ostokäyttäytymisestämme. Ne ovat äärimmäisen arvokasta tietoa yrityksille eri syistä: yksi etsii uutta osaajaa, ja toinen haluaa markkinoida uutuustuotteitaan.
Perustuslain 10 §:n yksityiselämän suoja on meille jokaiselle kuuluva perusoikeus. Sen mukaan: ”Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton”.
Henkilötiedoksi katsotaan kaikenlaiset henkilöä, hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat merkinnät, jotka voidaan tunnistaa häntä, hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Tämän määritelmän mukaan hyvin laaja joukko erilaisia tietoja luokitellaan henkilötiedoksi: henkilön nimi, valokuva, sähköpostiosoite, puhelinnumero ja jopa auton rekisterinumero voi olla henkilötieto.
Henkilötietojen käsittelyn pelisäännöt määrätään laissa Henkilötietojen keräämisen ja käsittelyn keskeisenä periaatteena on henkilön tietoisuus siitä, kuka hänen tietojaan käsittelee ja missä tarkoituksessa. Usein on täysin hyväksyttävää ja asiallista, että yritykset keräävät ja käsittelevät meitä koskevia tietoja. Niillä on siihen täysi oikeus, joskus jopa velvollisuus. Esimerkiksi työantajan on käsiteltävä työntekijän pankkiyhteystietoja palkanmaksua varten, ja monelle tämä on varsin positiivinen asia.
Henkilötietolaissa on määritelty 1) kuka saa kerätä henkilötietoja, 2) henkilötietojen käsittelyn edellytykset, 3) milloin ja miten henkilötietoja saa luovuttaa tai siirtää, 4) mitä oikeuksia rekisteröidylle kuuluu, 5) milloin tietosuojavaltuutettua tulee informoida henkilötietojen käsittelystä sekä 6) seuraamukset mikäli säännöksiä ei noudateta. Henkilötietolaki yleislakina määrittelee pelisäännöt kaikenlaiselle henkilötietojen käsittelylle, ja jokainen rekisterinpitäjä on velvoitettu niitä noudattamaan.
Ennen henkilötietojen käsittelyn aloittamista rekisterinpitäjän tulee suunnitella koko henkilötietojen käsittelyprosessi. Rekisterinpitäjän on määriteltävä mitä tarkoitusta varten henkilötietoja kerätään ja varmistuttava, että tietojen käsittely on järjestetty huolellisesti ja tietoturvallisesti.
Rekisterinpitäjä on myös aina velvollinen laatimaan rekisteriselosteen, jonka pääasiallisena tehtävänä on auttaa rekisterinpitäjää henkilötietojen käsittelyn suunnittelussa, mutta ennen kaikkea informoida rekisteröityä henkilörekisterin käytöstä ja sisällöstä. Rekisterinpitäjä vastaa aina keräämiensä henkilötietojen asianmukaisesta käsittelystä.
Omat tiedot kannattaa tarkistaa
Henkilötietolaissa on myös nimenomaisesti määritelty tiettyjä rekisteröidylle kuuluvia oikeuksia. Rekisteröity on siis henkilö, jonka henkilötietoja on kerätty ja tallennettu henkilörekisteriin.
Ennen omien tietojensa antamista rekisterinpitäjälle henkilöllä on oikeus saada informaatiota siitä, mihin henkilötietoja tullaan käyttämään, ja kenelle niitä tullaan luovuttamaan. Tämän lisäksi henkilöllä on oikeus tarkastaa, mitä tietoja hänestä on tallennettu rekisterinpitäjän henkilörekisteriin. Tätä tarkastusoikeutta rekisteröity voi käyttää kerran vuodessa veloituksetta, ja se tulee kohdistaa jokaiseen rekisterinpitäjään erikseen.
Rekisteröidyllä on aina oikeus kieltää rekisterinpitäjää käsittelemästä häntä koskevia tietoja 1) suoramainontaan, etämyyntiin ja muuhun suoramarkkinointiin, 2) markkina- ja mielipidetutkimukseen, 3) henkilömatrikkelia varten ja 4) sukututkimukseen. Sen lisäksi rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn pyynnöstä korjattava rekisterissä oleva virheellinen tieto oikeaksi.
Henkilötietojen käsittely liittyy myös olennaisena osana työsuhteeseen. Työelämän tietosuojalaki määrittelee säännöt siitä, mitä tietoja työnantaja saa kerätä työntekijöistään, ja miten tällaisia tietoja tulee käsitellä. Työelämän tietosuojalain keskeinen periaate on tarpeellisuusvaatimus, joka tarkoittaa sitä, että työnantaja saa kerätä työnhakijasta ja työntekijästä ainoastaan työsuhteen kannalta tarpeellisia tietoja. Tästä tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän antamalla nimenomaisella suostumuksella.
Työelämään liittyy myös olennaisena osana työntekijöiden tekninen valvonta, jollaiseksi katsotaan esimerkiksi kameravalvonta, kulunvalvonta ja tietoverkkojen valvonta. Työelämän tietosuojalaki sanelee säännöt, joiden mukaan erilainen tekninen valvonta tulee toteuttaa. Lain mukaan kaikki teknistä valvontaa koskevat muutokset tulee käsitellä yhteistoimintamenettelyssä.
Suomen lainsäädännöstä löytyy yli 600 eri lakia, joissa on viittauksia tietosuojaan ja henkilötietojen käsittelyyn. Meiltä löytyy useita sektoreita, joilla henkilötietojen käsittelystä säädetään erityislaeilla. Tällaisia ovat muun muassa terveydentilaan liittyvät tiedot, luottotiedot ja suoramarkkinointitoimenpiteitä koskevat tiedot.
Seuraavan kerran, kun olet antamassa omia tietojasi esimerkiksi netissä olevaan kilpailulomakkeeseen, kannattaa ensin lukea sivuilla oleva rekisteriseloste läpi, jotta tiedät, mitä henkilötiedoillasi tullaan tekemään. Sen lisäksi voit ottaa yhteyttä rekisterinpitäjään ja tarkastaa, mitä tietoja sinusta löytyy kyseisestä rekisteristä. Tällä tavoin varmistat, että rekisteriselosteessa olevat tiedot todella pitävät paikkansa.
Eija Warma
Asianajaja, LL.M.
Asianajotoimisto Castrén & Snellman Oy
