Viisi tavallista virhettä henkilötietojen käsittelyssä – ja kuinka välttää ne

Henkilötietojen käsittelyssä ja tietoturvan ylläpitämisessä on monia haasteita, ja virheitä voi tapahtua helposti. Tässä artikkelissa käydään läpi yleisiä virheitä henkilötietojen käsittelyssä ja annetaan lyhyet muistisäännöt niiden välttämiseksi.

Puutteellinen käsittelyperuste

Henkilötietojen käsittely edellyttää aina, että käsittelylle on olemassa joku laissa mainittu peruste. EU:n tietosuoja-asetuksen (GDPR) mukaiset käsittelyperusteet ovat:

rekisteröidyn suostumus
sopimus
rekisterinpitäjän lakisääteinen velvoite
elintärkeiden etujen suojaaminen
yleistä etua koskeva tehtävä tai julkinen valta
rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Käsittelyperuste on määritettävä ennen kuin käsittely aloitetaan, eikä sitä voi vaihtaa kesken käsittelyn toiseen perusteeseen. Samaan käsittelyyn voi kuitenkin soveltua useampikin peruste.

Määrittele henkilötietojen käsittelyn peruste lakisääteisten vaihtoehtojen joukosta. Huomaathan, että käsittelyperusteesta ei voi poiketa sopimuksin.

Liiallinen tietojen kerääminen

Monet rekisterinpitäjät syyllistyvät myös liialliseen tietojen keräämiseen ja säilyttämiseen. GDPR edellyttää, että henkilötietoja saa kerätä vain sen verran kuin niiden keräämisen ja käsittelemisen tarkoitus vaatii. Liiallinen henkilötietojen kerääminen voi loukata yksityisyyttä sekä lisätä riskiä tietovuodoista ja tietoturvaloukkauksista. Mitä enemmän tietoja kerätään, sitä suurempi on riski, että ne joutuvat vääriin käsiin.

Esimerkkinä liian laajasta tietojen keräämisestä mainitaan usein Verohallinnon pankeilta pyytämät tiedot rajat ylittävistä tilisiirroista. Tietosuojavaltuutettu katsoi 11.11.2022 antamassaan päätöksessä, että kyseisiä tietoja ei voinut pyytää ilman yksityiskohtaisempaa rajoitusta, ja määräsi Verohallintoa poistamaan pyytämänsä tiedot.

Kaiken mahdollisen tiedon kerääminen ei välttämättä ole edullista rekisterinpitäjän toiminnankaan kannalta. Liialliset tiedot voivat vaikeuttaa niiden hallintaa ja hyödyntämistä. Suuren tietomassan ylläpitäminen ja ajantasainen päivittäminen voi olla hankalaa, jolloin tietoihin saattaa jäädä virheitä. Lisäksi suurten tietomassojen käsittely, säilytys ja suojaaminen vievät sekä aikaa että resursseja samoin kuin aiheuttavat kustannuksia.

Määrittele henkilötietojen käyttötarkoitus sekä tätä tarkoitusta varten tarpeelliset ja asianmukaiset tiedot ja kerää vain ne.

Tietojen epätarkkuus tai virheellisyys

Kerätyt ja käsiteltävät tiedot saattavat olla epätarkkoja tai virheellisiä. Tästä voi aiheutua vahinkoa rekisteröidylle erityisesti silloin, kun tietojen perusteella tehdään yksilön kannalta olennaisia päätöksiä. Esimerkiksi virheellisten tietojen perusteella tehty luottopäätös voi aiheuttaa rekisteröidylle taloudellisia ongelmia, tai virheellisten terveystietojen perusteella tehty päätös johtaa väärään diagnoosiin ja vääriin hoitotoimenpiteisiin. Virheelliset tiedot saattavat myös haitata laadukasta päätöksentekoa ja palvelujen tarjoamista. Organisaation jakelulistoissa olevat virheet tai vanhentuneet tiedot voivat puolestaan johtaa siihen, että viestit päätyvät väärille vastaanottajille, jolloin onkin jo kysymys tietoturvaloukkauksesta.

Pidä henkilötiedot ajan tasalla ja korjaa virheet välittömästi.

Liian laaja tietojen käsittely

Henkilötietoja saadaan tietosuoja-asetuksen käyttötarkoitussidonnaisuuden periaatteen mukaan kerätä ja käsitellä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötietoja ei siten saa käsitellä myöhemmin muihin alkuperäisen tarkoituksen kanssa yhteensopimattomiin tarkoituksiin.

Käyttötarkoitussidonnaisuus eli henkilötietojen käsittely ainoastaan alkuperäiseen käyttötarkoitukseen on voimassa koko tiedon elinkaaren ajan keräämisestä poistamiseen. Henkilötietojen käsittely on liian laajaa, jos tietoja käsitellään myös muihin tarkoituksiin kuin mihin ne on alun perin kerätty. Käyttötarkoitussidonnaisuudesta seuraa myös se, että pääsy tietoihin organisaation sisällä tulee rajata tarkoituksenmukaisella tavalla.

Käsittele vain käyttötarkoituksen kannalta välttämättömiä henkilötietoja ja rajoita niihin pääsyä tarpeen mukaan.

Liian pitkä tietojen säilyttäminen

Henkilötietoja saisi säilyttää ainoastaan sen ajan, mitä asianomainen käyttötarkoitus edellyttää, ellei rekisterinpitäjän tule säilyttää tietoja tarvettaan kauemmin esimerkiksi rekisterinpitäjää koskevan lakisääteisen velvoitteen perusteella. Erityisesti säilytysaikojen määrittäminen on osoittautunut monesti puutteelliseksi. Syynä on joko se, että määritys koetaan hankalaksi, tai se, että kerätyt tiedot halutaan säilyttää siitä huolimatta, että säilyttämiselle ei enää olisi perustetta. Myös tietosuojavaltuutettu suhtautuu vakavasti säilytysaikojen määrittämiseen. Esimerkkinä tästä voidaan mainita tietosuojavaltuutetun 6.3.2024 antama ratkaisu asiakkaan Verkkokauppa.comin toiminnasta tekemään valitukseen.

Verkkokauppa.com oli vaatinut henkilöä rekisteröitymään asiakkaaksi ennen ostosten tekemistä verkossa. Rekisterinpitäjä ei ollut määrittänyt verkkokauppansa asiakastileille kerättyjen tietojen säilytysaikaa. Suomen SA havaitsi, että asiakastilitietoja oli säilytetty toistaiseksi. Rekisterinpitäjä määrättiin määrittelemään asiakastilitiedoille asianmukainen säilytysaika ja oikaisemaan pakollista rekisteröintikäytäntöään. Tietosuojavaltuutettu määräsi rekisterinpitäjälle 856 000 euron hallinnollisen sakon asiakastilitietojen säilytysajan määrittämättä jättämisestä.

Määrittele ja noudata tietojen säilytysaikoja ja poista tiedot, kun niitä ei enää tarvita.

Lopuksi

Osoitusvelvollisuus on keskeinen periaate tietosuoja-asetuksessa. Rekisterinpitäjä on velvollinen osoittamaan, että se noudattaa tietosuojalainsäädäntöä. Esimerkiksi rekisterinpitäjän toimintaa arvioitaessa rekisterinpitäjä voi riittävällä dokumentoinnilla osoittaa, että se pyytää suostumukset oikein, kerää, käsittelee ja säilyttää henkilötietoja tietosuojalainsäädännön edellyttämällä tavalla, pitää tiedot ajantasaisina ja virheettöminä eikä säilytä tietoja liian kauan.

Myös tietoturvaloukkaustilanteessa rekisterinpitäjällä on asianmukaisen ja riittävän dokumentaation avulla mahdollisuus näyttää, että se on arvioinut tietosuojaan ja -turvaan liittyviä riskejä ja pyrkinyt varautumaan niihin erilaisilla turvatoimilla. Jos dokumentaatiota ei ole, rekisterinpitäjän voi olla mahdotonta osoittaa, että se toimii tietosuoja-asetuksen vaatimusten mukaisesti. Tästä voi aiheutua rekisterinpitäjälle paitsi liiketoiminnan häiriöitä ja mainehaittaa, myös hallinnollisia seuraamuksia esimerkiksi seuraamusmaksun muodossa.