Henkilötietolaki (523/1999) säätelee henkilötietojen käsittelyä. Tässä dokumentissa annetaan varsinaista lakia lyhyempi ja toivottavasti luettavampi kuvaus henkilötietolain sisällöstä erityisesti suoramarkkinoinnin näkökulmasta.
Henkilötietolain on tarkoitus soveltaa direktiiviä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ("tietosuojadirektiivi", 95/46/EY). Laki astui voimaan 1.6.1999 ja se korvasi vanhan henkilörekisterilain.
Olen tässä dokumentissa pyrkinyt antamaan mahdollisimman hyvän yleiskuvan lain sisällöstä, mutta esimerkiksi kaikkia erikoistapauksia ei ole käsitelty täydellisesti (vaikkakin pyrin mainitsemaan ne kaikki). Ennen oikeudellisesti merkityksellisiä päätöksiä asiat kannattaa luonnollisesti tarkistaa varsinaisesta lakitekstistä ja sen perusteluista. Tietosuojavaltuutetun toimisto antaa ohjausta ja neuvoja sekä puhelimitse että kirjallisen pyynnön perusteella.
Suositeltavaa luettavaa on myös Jukka Korpelan sivu Henkilörekistereistä lain kannalta.
Henkilötietolakia sovelletaan automaattiseen henkilötietojen käsittelyyn (henkilötietojen käsittelyllä tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimenpiteitä, alkaen tietojen säilyttämisestä). Muunlaiseen tietojenkäsittelyyn lakia sovelletaan, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa (2 §).
Laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.
Lakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. Tiedotusvälineissä sellaisenaan julkaistu aineisto tarkoittaa lähinnä lehtileikkeitä ja vastaavia. Ilman tätä rajoitusta myös lehtileikekokoelmiin pitäisi soveltaa henkilötietolakia. Tämä rajoitus ei kuitenkaan tarkoita sitä, että jos henkilötieto on kerätty tiedotusvälineistä, ei sen käsittelyyn tarvitsisi soveltaa henkilötietolakia. Henkilötietolakia sovelletaan siis pääsääntöisesti myös henkilörekistereihin, jotka koostuvat pelkästään tiedotusvälineistä kerätyistä henkilötiedoista. Tälläinen rekisteri siis kyllä koostuu tiedotusvälineissä julkaistusta materiaalista, mutta ei tiedostusvälineissä julkaistusta materiaalista sellaisenaan.
Henkilötiedoilla tarkoitetaan pääsääntöisesti kaikkia luonnollista henkilöä koskevia tietoja.
Henkilötietojen käsittelyssä on noudatettava huolellisuutta (5 § huolellisuusvelvoite), henkilötietojen käsittely ja käyttö on suunniteltava etukäteen (6 §) ja ennalta suunnitellusta käyttötarkoituksesta on pidettävä kiinni (7 § käyttötarkoitussidonnaisuus). Käsiteltävien henkilötietojen tulee olla määritellyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus) ja virheettömiä (virheettömyysvaatimus) (9 §). Henkilötietojen käsittelyssä on noudatettava riittävää tietoturvaa (32 §) ja henkilörekisterin pitäjä on vaitiolovelvollinen tietoonsa saamista henkilökohtaisista asioista (33 §). Tarpeettomaksi käynyt henkilörekisteri on hävitettävä (34 §).
Rekisterinpitäjän on laadittava rekisteriseloste (10 §), josta ilmenee
Rekisteriseloste on pääsääntöisesti pidettävä jokaisen saatavilla.
Rekisterinpitäjän on pääsääntöisesti ilmoitettava henkilörekisteristä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste viimeistää 30 päivää ennen tietojen keräämistä ja käsittelyä (36 § ja 37 §). Tästä säännöstä voi poiketa muun muassa jos rekisterin ylläpidolle on kaikkien rekisteröityjen yksiselitteisesti antama suostumus, tai jos rekisteröidyllä on asiakas- tai palvelusuhde, jäsenyys, tms., johon rekisterin pitäminen kuuluu luonnollisella tavalla (muut poikkeukset on lueteltu 36 §:ssä). Esimerkiksi suoramarkkinointia 30 päivän ilmoitusaika kuitenkin koskee.
Henkilötietoja saa käsitellä ainoastaan (8 §):
Arkaluontoisista tiedoista (rotu, etninen alkuperä, poliittiset mielipiteet, sosiaaliongelmat, rikosrekisteri, seksuaalinen suuntautuminen, terveydentila, ...) ja henkilötunnuksen käsittelystä säädetään erikseen. Henkilötunnuksen käsittelyssä pääsääntö on, että sitä saa käsitellä vain rekisteröidyn yksiselitteisellä suostumuksella tai erikseen luetelluissa tapauksissa, joissa rekisteröidyn yksilöiminen on välttämätöntä (13 §).
Henkilötietojen käytöstä tutkimukseen (14 §), tilastoihin (15 §), viranomaisten suunnittelutoimiin (16 §), henkilömatrikkeliin (17 §), sukututkimukseen (18 §), suoramarkkinointiin (19 §) ja henkilöluottotietoihin (20 § ja 21 §) säädetään erikseen. Yleissääntönä henkilötietojen käsittely on näissä erikoistapauksissa sallittua vain, jos rekisteröity on antanut siihen luvan. 14-21 § luetellaan poikkeuksia tähän yleissääntöön.
Huomaa, että edellä mainitut ehdot koskevat kaikkea henkilötietojen käsittelyä. Tietojen ei välttämättä tarvitse muodostaa henkilörekisteriä.
Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa tallettaa henkilötietoja ilman rekisteröidyn etukäteistä suostumusta, jos rekisteröity ei ole kieltänyt tietojen käyttöä ja
Tietoja voi luovuttaa henkilörekisteristä vain, jos rekisteröity ei ole sitä kieltänyt ja jos on ilmeistä, että rekisteröity tietää tällaisesta tietojen luovutuksesta.
Yleisesti ottaen henkilötietoja ei saa siirtää Euroopan unionin ulkopuolelle ilman rekisteröidyn suostumusta (21 § ja 22 §). Lain tarkoituksena on helpottaa tietojen siirtoa Euroopan unionin sisällä, mutta estää tietojen vuotaminen heikomman tietoturvalainsäädännön omaaviin maihin. Tietosuojaviranomaiset tekevät yhteistyötä ja tarjoavat virka-apua muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa (38 §).
Tämä voi tarkoittaa käytännössä esimerkiksi sitä, että henkilötietoja, kuten nimiä, tenttituloksia ja vastaavia ei saa laittaa esimerkiksi webbisivulle ilman listattujen henkilöiden suostumusta. Jos webbisivulla on esimerkiksi järjestetty lista henkilöistä ja mahdollisesti joistakin henkilöihin liittyvistä tiedoista, muodostaa se henkilörekisterin. Vaikka webbisivulla olevalle henkilölistalle olisikin kaikkien siinä listattujen suostumus, pitää webbisivun pitäjän silti noudattaa henkilötietojen käsittelyyn ja henkilörekisteriin liittyviä yleisiä velvotteita. Webbisivulle, tai yleisemmässä tapauksessa henkilörekisterille, johon se kuuluu, pitää siis periaatteessa olla esimerkiksi rekisteriseloste. (Asiasta on olemassa tietosuojavaltuutetun ratkaisu.)
Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä (24 §), viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.
Suoramainonnassa tai vastaavassa on ilmoitettava käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä nämä tiedot on ilmoitettava pyydettäessä. (25 §)
Jokaisella rekisteröidyllä on oikeus saada seuraavat tiedot (26 §):
Tiedot on annettava maksutta, jos viimeisestä kyselystä on kulunut yli vuosi. Muussakin tapauksessa tiedoista saa periä vain kohtuullisen korvauksen, joka ei saa ylittää tiedon hankkimisesta aiheutuvia välittömiä kuluja.
Tarkastuspyyntö on esitettävä henkilökohtaisesti rekisterinpitäjälle tai omakätisesti allekirjoitetulla kirjeellä. Rekisterinpitäjän on annettava tiedot pyydettäessä kirjallisesti. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus, josta ilmenee myös tarkastusoikeuden epäämisen syy. Tiedot on annettava viivytyksettä, kuitenkin viimeistään kolmen kuukauden kuluttua pyynnön esittämisestä.
Rekisterinpitäjän on pyynnöstä korjattava tai poistettava henkilötiedot. Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.
Spämmitapauksiin liittyviä henkilötietojen tarkastamis- ja poistopyyntöjä varten on olemassa valmis kirjepohja.
Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta niille, joille rekisterinpitäjä on luovuttanut tai joilta rekisterinpitäjä on saanut virheellisen henkilötiedon.
Rekisteröidyllä on aina oikeus kieltää käsittelemästä häntä itseään koskeviä tietoja muun muassa suoramarkkinointia varten (30 §).
Lakia valvova viranomainen on tietosuojavaltuutettu. Tietosuojavaltuutettu voi tutkia henkilörekistereitä ja ryhtyä tarvittaessa oikeudellisiin toimiin (9 luku). Maksimirangaistus henkilötietolain rikkomisesta on vuosi vankeutta (48 §).
Jos epäilee henkilötietolakia rikotun tai rekisterinpitäjän vastaus esimerkiksi tietojen tarkistus- tai poistopyyntöön ei ole tyydyttävä, voi tietosuojavaltuutetulle jättää asiasta toimenpidepyynnön. Sivulla SpammiinReagoiminen annetaan ohjeet menettelystä spämmitapauksissa.
http://kaip.iki.fi/spam/HenkiloTietoLaki.html
Puolusta sähköisiä oikeuksiasi. Liity EFFIn jäseneksi.