Erityisten henkilötietoryhmien käsittely
Niin sanottuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä.
Tällaisista tiedoista ilmenee henkilön
- rotu tai etninen alkuperä
- poliittisia mielipiteitä
- uskonnollinen tai filosofinen vakaumus
- ammattiliiton jäsenyys
- terveyttä koskevia tietoja
- seksuaalinen suuntautuminen tai käyttäytyminen
- geneettisiä ja biometrisia tietoja henkilön tunnistamista varten.
Näitä tietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille.
Milloin erityisiä henkilötietoryhmiä saa käsitellä?
Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa käsitellä, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa tai erikseen unionin oikeudessa tai kansallisessa lainsäädännössä. On tärkeää tunnistaa, voiko tietoja käsitellä suoraan tietosuoja-asetuksen perusteella vai edellyttääkö käsittely asetuksen lisäksi vielä erillistä lainsäädäntöä tai sopimusmenettelyä.
Erityisiä henkilötietoryhmiä voi käsitellä suoraan tietosuoja-asetuksen perusteella seuraavissa tapauksissa:
- Kun rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn.
- Kun käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi tilanteessa, jossa rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan.
- Kun henkilötietoja käsitellään poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja ne suojataan asianmukaisesti. Käsittely voi koskea vain yhteisön jäseniä, entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoitukseen liittyvät yhteydet. Tietoja ei saa luovuttaa yhteisön ulkopuolelle ilman suostumusta.
- Kun käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi esimerkiksi julkaisemalla ne verkkosivuillaan.
- Kun käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Lisäksi käsittely on mahdollista aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään.
Seuraavissa tapauksissa käsittely ei ole mahdollista suoraan asetuksen perusteella, vaan se edellyttää lisäksi tarkentavaa sääntelyä tai muuta menettelyä.
- Kun käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla siltä osin, kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai työehtosopimuksessa. Tässä yhteydessä on myös säädettävä toimenpiteistä, joilla suojataan rekisteröidyn perusoikeudet ja edut.
- Kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Käsittelyn mahdollistavan sääntelyn tulee olla oikeassa suhteessa käsittelyn tavoitteeseen nähden, ja siinä tulee noudattaa keskeisiltä osin oikeutta henkilötietojen suojaan. Tässä yhteydessä on myös säädettävä toimenpiteistä, joilla suojataan rekisteröidyn perusoikeudet ja edut.
- Kun käsittely on tarpeen ennaltaehkäisevää terveydenhuoltoa, työterveydenhuoltoa, työkyvyn arviointia, lääketieteellisiä diagnooseja, terveys- tai sosiaalihuollollista hoitoa tai terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden, jäsenvaltion lainsäädännön tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti. Edellytyksenä on, että tietoja käsittelee vain ammattilainen tai henkilö, jolla on lakisääteinen salassapitovelvollisuus.
- Kun käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään myös rekisteröidyn oikeuksia ja vapauksia suojaavista toimenpiteistä, erityisesti salassapitovelvollisuudesta.
- Kun käsittely on tarpeen yleisen edun mukaista arkistointia, tieteellistä ja historiallista tutkimusta tai tilastointia varten tietosuoja-asetuksen mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Käsittelyn mahdollistavan sääntelyn tulee olla oikeassa suhteessa käsittelyn tavoitteeseen nähden, ja siinä tulee noudattaa keskeisiltä osin oikeutta henkilötietojen suojaan. Tässä yhteydessä on myös säädettävä toimenpiteistä, joilla suojataan rekisteröidyn perusoikeudet ja edut.