Nykyinen henkilötietosääntely | Yrittajat.fi
Yrittäjät > Helsingin Yrittäjät > Helsingin Yrittäjät - Lauttasaari ry > Yrittajan Abc > Yritystoiminnan Abc > Henkilotietojen Kasittely Ja Eun Tietosuojauudistus

Etsi

Nykyinen henkilötietosääntely

Asiakkaiden, yhteistyökumppaneiden ja muiden sidosryhmien henkilötietojen asianmukainen käsittely ja tietosuojasta huolehtiminen on erittäin keskeistä jokaisen yrityksen liiketoiminnassa. Tietomassojen hyödyntäminen osana liiketoimintaa on yhä tärkeämmässä asemassa. Tietosuojasta huolehtiminen ja lainsäädännön noudattaminen on tärkeää vahvan luottamuksen ja maineen rakentamiseksi esimerkiksi asiakkaisiin nähden. Tietosuojasta huolehtiminen tulisikin nähdä ennen kaikkea yrityksen kilpailuetuna ja investointina liiketoimintaan. 

Yrityksen erilaisiin tietokantoihin, asiakasrekistereihin, pilvipalveluihin yms. kertyy valtava määrä erilaista tietoa. Tiedot voivat liittyä esimerkiksi asiakkaisiin, työntekijöihin, yhteistyökumppaneihin, yrityksen mainoskampanjoihin tai vaikkapa pelkästään yrityksen verkkosivujen keräämiin kävijätietoihin. Tapoja kerätä tietoja on lukemattomia, ja tietojen kerääminen ei välttämättä edes tapahdu tarkoituksella vaan jopa tahattomasti. Yrityksen tulisi kuitenkin olla tietoinen, mitä kaikkia tietomassoja sen haltuun on eri kanavia pitkin kertynyt. Tietoturvauhkien torjunnassa ja henkilötietojen asianmukaisessa käsittelyssä korostuu tehokas ennaltaehkäisy ja ennakkovarautuminen. 

Henkilötietojen käsittelyä sääntelee henkilötietolaki (523/1999). Henkilötietolain tarkoituksena on suojata yksityiselämää ja edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötietolaki koskee niin viranomaisten, yritysten ja järjestöjen kuin yksityishenkilöidenkin harjoittamaa toimintaa. Henkilötietolaki on henkilötietojen käsittelyä koskeva yleislaki. Sen ohella myös useissa muissa säädöksissä on henkilötietojen käsittelyyn vaikuttavia säännöksiä. 

Henkilötietolakia ei kuitenkaan sovelleta tietyin rajoituksin henkilötietojen käsittelyyn toimituksellisia ja taiteellisen ja kirjallisen ilmaisun tarkoituksia varten. Lisäksi soveltamisalan ulkopuolelle jää tavanomainen, yksinomaan henkilökohtaisessa tarkoituksessa tapahtuva henkilötietojen käsittely.


Lisätietoa henkilötietolaista ja rekisterinpitäjän velvoitteista:

Henkilötietolaki (523/1999) 
Tietosuojavaltuutetun toimiston opas: Ota oppaaksi henkilötietolaki! 
Tietosuojavaltuutetun toimiston opas: Henkilötietojen käsittely suostumuksen perusteella 
Tietosuojavaltuutetun toimiston opas: Rekisterinpitäjän yleinen informointivelvollisuus 
Tietosuojavaltuutetun toimiston opas: Rekisteröidyn kielto-oikeus 
Tietosuojavaltuutetun toimiston opas: Henkilötietolain mukainen ilmoitusvelvollisuus 
 

 

Keskeiset käsitteet (henkilötietolaki 3 §)

Henkilötieto

Kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.

Henkilötietojen käsittely

Henkilötietojen kerääminen, tallettaminen, järjestäminen, käyttäminen, siirtäminen, luovuttaminen, säilyttäminen, muuttaminen, yhdistäminen, suojaaminen, poistaminen, tuhoaminen sekä muut henkilötietoihin kohdistuvat toimenpiteet.

Rekisteröity

Henkilö, jota henkilötieto koskee.

Henkilörekisteri

Käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja ilman kohtuuttomia kustannuksia.

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty.

Henkilötietolain velvoitteet rekisterinpitäjälle - rekisteriselosta ja tietosuojaseloste

Henkilötietolain mukaan rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lain asettamien vaatimusten mukaisesti. Yritys vastaa rekisterinpitäjänä siitä, että toiminta täyttää lain vaatimukset. 

Henkilötietolaki asettaa henkilötietojen keräämiselle ja henkilörekisterin pitäjälle useita vaatimuksia. Ensinnäkin henkilötietojen käsittelylle tulee olla laissa määritelty peruste. Yrityksen tulee aina varmistua, että sillä on oikeus kerätä ja käsitellä henkilötietoja. Lisäksi rekisterinpitäjän tulee tarvittaessa osoittaa, että kerätyt tiedot ovat virheettömiä ja henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia.

Lisäksi rekisterinpitäjää koskee mm. huolellisuusvelvoite, suunnitteluvelvoite ja käyttötarkoitussidonnaisuusvaatimus. Rekisteröidyillä on henkilötietolain nojalla tiettyjä oikeuksia, kuten oikeus tarkistaa itseään koskevat tiedot ja oikeus kieltää henkilötietojen käsittely tiettyihin laissa määriteltyihin tarkoituksiin. Rekisterinpitäjän tulee huolehtia siitä, että oikeudet voidaan toteuttaa ja informoida rekisteröityä kielto-oikeuksista. Tietyntyyppisille toiminnoille ja henkilötietojen käsittelylle on lisäksi asetettu erityinen ilmoitusvelvollisuus tietosuojavaltuutetun toimistolle.

Rekisterinpitäjän on myös aina laadittava rekisteriseloste henkilörekisteristä. Rekisteriseloste tulee olla saatavilla esimerkiksi yrityksen nettisivuilla. Rekisteriselosteen ohella tulee huolehtia muista henkilötietolain mukaisista informointivelvoitteista ja laatia myös tietosuojaseloste.

Rekisteriseloste

Henkilötietolain 10 §:n mukaan jokaisesta henkilörekisteristä on laadittava rekisteriseloste. Rekisteriselosteen tarkoitus on kuvata rekisterinpitäjän suorittamaa henkilötietojen käsittelyä. Se ei kuitenkaan anna rekisterinpitäjälle oikeuksia henkilötietojen käsittelyyn. Oikeuden tulee aina perustua henkilötietolain säännöksiin.

Rekisteriselosteessa tulee mainita vähintään seuraavat asiat:

  1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;
  2. henkilötietojen käsittelyn tarkoitus;
  3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;
  4. selostus mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle;
  5. kuvaus rekisterin suojauksen periaatteista.

Rekisteriseloste tulee pitää rekisterinpitäjän toimipaikassa. Jos palvelu on internetissä, rekisteriseloste tulee liittää verkkopalvelun / verkkosivujen yhteyteen. Rekisteriseloste tulee pitää ajan tasalla ja tarvittaessa päivittää muutoksia vastaavaksi.

Tietosuojaseloste

Rekisteriselostetta koskevan vaatimuksen lisäksi rekisterinpitäjän on täytettävä myös henkilötietolain 24 §: n mukainen informointivelvollisuus, joka on osin päällekkäinen 10 §:ssä säädetyn rekisteriselosteen kanssa.  Henkilötietolain 24 §:n mukaan henkilötietojen keräämisen yhteydessä on annettava vähintään seuraavat tiedot:

  1. tiedot rekisterinpitäjästä ja tarvittaessa tämän edustajasta;
  2. tiedot henkilötietojen käsittelyn tarkoituksesta;
  3. tiedot säännönmukaisista tietojen luovutuksista;
  4. tiedot, jotka ovat tarpeen rekisteröityjen oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä (esim. 26 §:n tarkastusoikeus ja 29 §:n tiedonkorjaamisoikeus).

Tietosuojaseloste yhdistää henkilötietolain 10 §:n mukaisen rekisteriselosteen tiedot ja henkilötietolain 24 §:n tietojen käsittelyä koskevan informointivelvoitteen. Velvollisuus koskee käytännössä varsinkin sähköisessä muodossa olevia, esim. nettisivujen kautta henkilötietoa kerääviä rekistereitä.

Tietosuojaseloste voidaan laatia vapaamuotoisesti, mutta sen tulee sisältää henkilötietolain 10 ja 24 §:ssä edellytetty informaatio. 

Mallilomake rekisteriselosteen ja tietosuojaselosteen laatimiseen löytyy tästä.

Tietosuojavaltuutetun toimiston opas: Laadi tietosuojaseloste