Milloin henkilötietoja saa käsitellä?

Henkilötietojen käsittelyn oikeusperusteet

Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta. Peruste on määritettävä ennen käsittelyn aloittamista. Kun henkilötietojen käsittely sidotaan johonkin käsittelyperusteeseen, perustetta ei voi enää vaihtaa toiseen. Käsittelyperuste vaikuttaa merkittävästi siihen, mitä oikeuksia rekisteröidyllä on suhteessa rekisterinpitäjään.

Tietosuoja-asetuksessa on kuusi eri perustetta, joilla henkilötietojen käsittely on mahdollista:

Erityisten henkilötietoryhmien, kuten etnistä alkuperää tai terveyttä koskevien tietojen käsittely on lähtökohtaisesti kiellettyä. Käsittely on kuitenkin mahdollista silloin, kun käsittelykieltoon on säädetty poikkeus tietosuoja-asetuksessa tai kansallisessa lainsäädännössä.

Lue lisää: Erityisten henkilötietoryhmien käsittely

Rekisteröidyn suostumus

Rekisteröity voi antaa suostumuksensa sille, että hänen henkilötietojaan käsitellään yhtä tai useampaa tarkoitusta varten. Tällaisen suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Rekisteröity voi esimerkiksi antaa kirjallisen tai suullisen suostumusta koskevan lausuman tai ilmaista suostumuksensa jollakin muulla selkeällä toimella, kuten rastittamalla ruudun internetsivustolla. Suostumus on voitava peruuttaa yhtä helposti kuin sen on voinut antaa.

Rekisterinpitäjän on pystyttävä osoittamaan, että lainmukainen suostumus on olemassa.

Lue lisää: Rekisteröidyn suostumus

Sopimus

Kun rekisteröity on osapuolena sopimuksessa, hänen henkilötietojaan saa käsitellä sopimuksen täytäntöön panemiseksi. Jos rekisteröity esimerkiksi tilaa verkosta tuotteita, yritys voi käsitellä hänen osoitetietojaan, jotta tuotteet saadaan toimitettua perille.

On tärkeää määritellä sopimuksen tarkka sisältö ja perustavoite, koska niiden pohjalta arvioidaan, onko käsittely tarpeen. Käsittely tulee rajata vain välttämättömiin henkilötietoihin.

Käsittelyperuste kattaa myös sopimusta edeltäneet henkilötietojen käsittelytoimet, jos ne on tehty rekisteröidyn pyynnöstä. Esimerkiksi ennen luottosopimuksen tekemistä luotonantaja voi käsitellä luottokelpoisuuden arvioimiseksi tarpeellisia tietoja.

Lakisääteinen velvoite

Rekisterinpitäjän lakisääteisten velvoitteiden noudattaminen voi edellyttää, että rekisterinpitäjä käsittelee henkilötietoja. Lakisääteinen velvoite voi koskea niin yksityisellä kuin julkisella sektorilla toimivaa rekisterinpitäjää. Se voi tulla kyseeseen esimerkiksi silloin, kun työnantajan on ilmoitettava työntekijänsä palkkatiedot veroviranomaisille tai kun rahoituslaitosten on raportoitava epäilyttävistä liiketoimista viranomaisille.

Lakisääteinen velvoite voi perustua vain Euroopan unionin tai jonkin jäsenvaltion lakiin. Kolmansien maiden lainsäädäntöön perustuvat velvoitteet eivät kuulu tämän perusteen piiriin, jollei niitä ole sisällytetty Euroopan unionin tai jäsenvaltion oikeusjärjestykseen esimerkiksi kansainvälisellä sopimuksella.

Elintärkeiden etujen suojaaminen

Henkilötietojen käsittely on sallittua, kun se on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi. Elintärkeiden etujen suojaaminen sopii käsittelyperusteeksi esimerkiksi tilanteisiin, joissa on kysymys elämästä ja kuolemasta tai uhkista, jotka voisivat johtaa rekisteröidyn tai jonkun toisen loukkaantumiseen tai olla muutoin terveydelle vahingollisia.

Henkilötietojen käsittely voi palvella elintärkeää etua esimerkiksi humanitaarisissa hätätilanteissa, kuten luonnonkatastrofeissa tai epidemioissa. Henkilötietojen käsittelyä voidaan tarvita muun muassa silloin, kun halutaan seurata epidemian leviämistä.

Yleinen etu ja julkinen valta

Henkilötietoja saa käsitellä, kun yleinen etu tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen sitä edellyttää. Tämä voi toimia käsittelyperusteena niin yksityisellä kuin julkisella sektorilla tilanteissa, joissa on kysymys Euroopan unionin tai jäsenvaltion yleisestä edusta tai julkisesta vallasta.

Yleistä etua koskeva tehtävä tai julkinen valta on täytynyt antaa lailla tai muilla oikeudellisilla säännöksillä. Yleisen edun mukaista käsittelyä voi esimerkiksi olla henkilötietojen käsittely tieteellisen tai historiallisen tutkimuksen tai tilastoinnin tarkoituksia varten.

Rekisterinpitäjän oikeutettu etu

Henkilötietojen käsittely on sallittua silloin, kun se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä. Siinä rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on jokin merkityksellinen suhde. Se tarkoittaa, että rekisteröity on esimerkiksi rekisterinpitäjän asiakas tai alainen.

Lue lisää: Rekisterinpitäjän oikeutettu etu