Mitä ovat henkilötiedot – konkreettiset esimerkit
Henkilötieto on kaikki tieto, jolla ihminen voidaan tunnistaa suoraan tai epäsuorasti. Käsite on laajempi kuin useimmat olettavat.
Ilmeiset esimerkit: nimi, henkilötunnus, sähköpostiosoite, puhelinnumero. Mutta myös IP-osoitteet, evästetunnisteet, sijaintitiedot, asiakasnumerot (jos yhdistettävissä henkilöön), valokuvat ja suoritusarvioinnit ovat henkilötietoja.
Erityisen tärkeää on tunnistaa ns. erityiset henkilötietoryhmät eli entiset "arkaluonteiset tiedot": terveystiedot, etniset tiedot, uskonto, biometriset tiedot, ammattiliiton jäsenyys. Näiden käsittely on lähtökohtaisesti kielletty, ellei siihen ole erityistä poikkeusta.
Esimerkiksi HR-järjestelmässä on työntekijöiden nimet, pankkitilit, sairauspoissaolotiedot ja suoritusarvioinnit. Kaikki henkilötietoja. Sairauspoissaolot ovat lisäksi erityisiä henkilötietoryhmiä, joille tarvitaan oma käsittelyperuste ja tiukempi suojaus.
Mitä tarkoittaa henkilötietojen käsittely
Lyhyesti: melkein kaikkea. Käsittelyä on tietojen kerääminen, tallentaminen, katsominen, muuttaminen, luovuttaminen, siirtäminen, poistaminen – ja kaikki siltä väliltä.
Jo se, että avaat CRM:n ja katsot asiakkaan yhteystiedot, on käsittelyä. Sähköpostin lähettäminen asiakkaalle on käsittelyä. Varmuuskopiointi on käsittelyä. Paperiarkistossa olevat henkilötiedot ovat käsittelyä, jos ne muodostavat rekisterin.
Tämä on tärkeää ymmärtää, koska GDPR:n velvollisuudet koskevat kaikkea käsittelyä, eivät vain tietojen keräämistä.
Mitä tehdä
- Tunnista kaikki prosessit, joissa henkilötietoja käsitellään, olivat ne manuaalisia tai automatisoituja
- Dokumentoi ne käsittelyrekisteriin
- Varmista, että jokaiselle käsittelylle on oikeusperuste ja tarkoitus
Henkilötietojen käsittelyn oikeusperusteet
Jokaista henkilötietojen käsittelytoimea varten on valittava oikeusperuste etukäteen. GDPR antaa kuusi vaihtoehtoa:
1. Suostumus
Rekisteröity antaa nimenomaisen luvan. Suostumuksen pitää olla vapaaehtoinen, yksilöity ja peruutettavissa yhtä helposti kuin sen antaa. Tyypillinen käyttö: uutiskirjeen tilaaminen, evästeet.
2. Sopimus
Käsittely on tarpeen sopimuksen täyttämiseksi. Kun asiakas tilaa tuotteen, tilauksen käsittelemiseksi tarvittavien tietojen käsittely perustuu sopimukseen, ei suostumukseen.
3. Lakisääteinen velvoite
Laki vaatii käsittelyä. Palkanmaksu, kirjanpito, veroilmoitukset – näissä oikeusperuste on selvä.
4. Elintärkeä etu
Käytännössä vain hätätilanteet. Yritystoiminnassa erittäin harvinainen.
5. Yleinen etu tai julkinen valta
Koskee pääasiassa viranomaisia.
6. Oikeutettu etu
Yritysmaailman yleisimpiä perusteita. Käsittely on tarpeen yrityksen tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, mutta edellyttää tasapainotestiä. Esimerkki: olemassa oleville asiakkaille toteutettava kohtuullinen markkinointi.
Kuinka kauan henkilötietoja saa säilyttää
Henkilötietoja ei saa säilyttää ikuisesti. GDPR:n säilytyksen rajoittamisen periaate tarkoittaa, että tietoja saa säilyttää vain niin kauan kuin käsittelyn tarkoitus vaatii. Yleistä enimmäisaikaa ei ole, vaan aika määräytyy tapauskohtaisesti.
Monissa tapauksissa lainsäädäntö määrää vähimmäissäilytysajan: kirjanpitolaki edellyttää tositteiden säilytystä 6 vuotta, työtodistusvelvollisuus kestää 10 vuotta työsuhteen päättymisestä. Näiden jälkeen tiedot on poistettava, ellei muuta perustetta ole.
Jos laki ei määrää säilytysaikaa, yrityksen on itse arvioitava kohtuullinen aika ja dokumentoitava se. "Säilytetään varmuuden vuoksi" ei kelpaa perusteeksi.
Mitä tehdä
- Määrittele säilytysajat tietoryhmittäin
- Dokumentoi ne ja perustele
- Rakenna poistoprosessit, joko manuaaliset tai automaattiset
- Tarkista tilanne säännöllisesti