PWC Uutishuone

Tunnista, milloin käsittelet henkilötietoja

Käsitelläänkö yrityksessäsi henkilötietoja? Vastaus kysymykseen on tietosuojan parissa työskentelevän henkilön näkökulmasta lähes itsestään selvä. Vaikka on olemassa yhtiöitä, joilla ei ole työntekijöitä tai verkkosivuja, törmää harvoin yhtiöön, joka ei käsittelisi henkilötietoja ollenkaan. Toisinaan käsittely tai osa siitä saattaa tapahtua tiedostamatta. Miten hyvin tunnistat tilanteet, joissa yrityksesi käsittelee henkilötietoja?

A young woman is surrounded by monitors & their reflections displaying scrolling text & data.

Kerrataan ensin lyhyesti, milloin henkilötietojen käsittely on tietosuojalainsäädännön alaista. 

Henkilötieto on mikä tahansa tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön eli rekisteröityyn liittyvä tieto. Tunnistettavaksi henkilön voi tehdä vaikkapa ip-osoite tai sijainti, ja tiedoksi riittää esimerkiksi tietty käyttäytyminen tai ominaisuus. Käsittelyä taas on henkilötietojen kerääminen, tallentaminen tai jokin muu toimi, joka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietoihin. Suurin osa henkilötietojen käsittelystä yritystoiminnassa on yleisen tietosuoja-asetuksen alaista. Esimerkiksi henkilötietojen hakeminen sähköisestä tietojärjestelmästä, videovalvonta ja henkilöiden kuvien julkaiseminen verkossa ovat toimia, joihin lähtökohtaisesti sovelletaan tietosuojalainsäädäntöä.

Kenties tavanomaisimmat yrityksen käsittelemät henkilötiedot ovat sen oman henkilöstön tiedot.  Työntekijöiden henkilötietojen käsittely on tarpeellista muun muassa palkan maksamiseksi ja työturvallisuuden varmistamiseksi. Koska työnantajalla on monenlaisia velvollisuuksia työntekijöitään kohtaan, talletetaan työntekijöiden henkilötietoja koskeviin järjestelmiin paljon henkilötietoja, joista osan käsittely saattaa olla lain mukaan rajatumpaa kuin toisten. Myös rekrytointiprosessissa potentiaalisia työntekijöitä saatetaan kartoittaa etukäteen, ja viimeistään yrityksen vastaanotettua työhakemuksen se vastaanottaa samalla henkilötietoja, joiden käsittelyn lainmukaisuudesta se on vastuussa.

Lähes yhtä tavallista on, että yritykset käsittelevät niiden verkkosivuston kävijöiden henkilötietoja. Useat evästeet keräävät henkilötietoja, jolloin niiden käyttäminen yrityksen verkkosivustolla kuuluu tietosuojalainsäädännön piiriin. Evästeiden perusteella tapahtuvasta käsittelystä, samoin kuin muustakin henkilötietojen käsittelystä, on ilmoitettava rekisteröidylle. Lisäksi rekisteröidylle tulee antaa mahdollisuus kieltäytyä tietyistä evästeistä. Jos kieltäytyminen on tehty tietosuojavelvoitteiden näkökulmasta liian vaikeaksi, viranomainen voi määrätä yritykselle hallinnollisen seuraamuksen.

Tietosuojalainsäädännön vaatimusten noudattamiseen kuuluu paljon muutakin kuin tietosuojalainsäädännön alaisen käsittelyn tunnistaminen. Jokaisen yrityksen tulisikin tiedostaa, missä tilanteissa tietosuojalainsäädäntö soveltuu sen toimintaan, ja kartoittaa tietosuojariskinsä ajoissa ennen ongelmatilanteiden syntymistä.