Lyhyt opas rekistereihin

Alkusanat

Tämä opas käsittää eurooppalaisen tietosuojalainsäädännön joka antaa ohjeita niin rekisterin pitäjälle kuin rekisteriin joutuvalle henkilölle. Tietosuojadirektiivi (95/46/EY) on tämän oppaan pohja, direktiivi on pitänyt ottaa kansalliseen käyttöön 24. lokakuuta 1998 mennessä.

1. Tietosuoja Euroopassa

Tietosuojalla on eri merkitys

1.1 Mitä tietosuojadirektiivi koskee?

“Tietosuojadirektiivi on sen vuoksi teknisesti neutraali: sitä sovelletaan aina henkilötietojen käsittelyssä käytetystä teknisestä menetelmästä riippumatta. Direktiivi koskee esimerkiksi henkilötietojen näkymätöntä keräämistä Internetissä (esim. käyttäjien surffailutapojen seurannassa käytetyt evästeet). Jos toisaalta henkilötietoja kerätään ”näkyvällä” tavalla, voidaan katsoa, että omia tietojaan siirtävä yksityishenkilö on antanut suostumuksensa sellaiseen siirtoon, jos hänelle on riittävästi tiedotettu siihen liittyvistä riskeistä.

Alla otteita oppaan tärkeimmistä kohdista

1.2 Kuka voi olla rekisterinpitäjä?

Rekisterinpitäjä on henkilö tai yhteisö, ”joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot” sekä julkisella että yksityisellä sektorilla. Lääkäri on yleensä potilastietojen rekisterinpitäjä; yritys on sen asiakkaita ja työntekijöitä koskevien tietojen rekisterinpitäjä; urheiluseura pitää rekisteriä jäsenistään ja yleinen kirjasto pitää rekisteriä käyttäjistään.

  • Tietoja on käsiteltävä asianmukaisella ja lainmukaisella tavalla.
  • Rekisterinpitäjien on tarjottava rekisteröidyille riittävä mahdollisuus korjata, poistaa tai jäädyttää heitä koskevat virheelliset tiedot.
  • Tietoja, joiden perusteella henkilö voidaan tunnistaa, ei pidä säilyttää kauemmin kuin on tarpeen.
  • Tietojen on oltava olennaisia eikä liian laajoja siihen tarkoitukseen, jota varten niitä käsitellään.

1.3 Milloin henkilötietoja voidaan käsitellä?

Henkilötietoja kerännyt taho ei saa käsitellä tai luovuttaa kerättyjä tietoja miten tahansa.

  • Rekisteröity on yksiselitteisesti antanut suostumuksensa eli jos hän on riittävästi asiasta tietoja saatuaan vapaasti ja nimenomaisesti hyväksynyt tietojen käsittelyn.
  • Tietoja voidaan myös käsitellä aina, kun rekisterinpitäjällä tai kolmannella osapuolella on oikeutettu syy siihen. Syy ei kuitenkaan voi ylittää rekisteröidyn perusoikeuksia ja erityisesti oikeutta yksityisyyden suojaan. Tällä määräyksellä vakiinnutetaan tarve päästä kohtuulliseen tasapainoon käytännössä rekisterinpitäjien liike-edun ja rekisteröityjen yksityisyyden välillä. Tasapainoa arvioi ensisijaisesti tietosuojaviranomaisten valvonnassa toimiva rekisterinpitäjä, vaikka tuomioistuimilla on tarvittaessa lopullinen päätösvalta.

1.4 Arkaluontoiset tiedot

Tietoja voidaan myös käsitellä aina, kun rekisterinpitäjällä tai kolmannella osapuolella on oikeutettu syy siihen. Syy ei kuitenkaan voi ylittää rekisteröidyn perusoikeuksia ja erityisesti oikeutta yksityisyyden suojaan. Tällä määräyksellä vakiinnutetaan tarve päästä kohtuulliseen tasapainoon käytännössä rekisterinpitäjien liike-edun ja rekisteröityjen yksityisyyden välillä. Tasapainoa arvioi ensisijaisesti tietosuojaviranomaisten valvonnassa toimiva rekisterinpitäjä, vaikka tuomioistuimilla on tarvittaessa lopullinen päätösvalta.

2. Tietosuoja Suomessa

Lisätietoja

Tietosuojadirektiivi (95/46/EY)
http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=fi&numdoc=31995L0046&model=guichett

Opas kokonaisuudessaan
http://europa.eu.int/comm/internal_market/privacy/docs/guide/guide-finland_fi.pdf

Tietosuojavaltuutetun omat oppaat
http://www.tietosuoja.fi/27212.htm

Suomalaiset lait liittyen henkilötietojen käsittelyyn
http://www.tietosuoja.fi/1556.htm