Minilex - Lakipuhelin

Vain tarpeellisia tietoja on lupa käsitellä

» Lakipuhelin neuvoo - Soita 0600 12 450 »

Henkilötietolaissa esitetään henkilötietojen käsittelyä koskien periaate, jonka mukaan vain tarpeellisia tietoja on lupa käsitellä. Periaatteella tarkoitetaan yleisesti ottaen sitä, että niiden henkilötietojen, jotka otetaan käsiteltäviksi, on oltava käsittelyn tarkoituksen näkökulmasta tulkittuna tarpeellisia. Henkilötiedot määritellään tavallisesti sellaisiksi merkinnöiksi, jotka kuvaavat luonnollista henkilöä, hänen ominaisuuksiaan tai hänen elinolosuhteitaan. Kyseiset merkinnät on mahdollista tunnistaa joko henkilöä, hänen perhettään tai hänen kanssaan samassa taloudessa eläviä koskeviksi. Henkilötietojen käsittelyn tarpeellisuutta pidetään henkilötietojen laatua koskevana periaatteena ja se nimetään lainsäädännössä myös ”tarpeellisuusvaatimukseksi”. Tarpeellisuusvaatimusta tarkasteltaessa voidaan huomioida, että merkitystä saa se, mitä voidaan yleisesti ottaen pitää henkilötietojen käsittelyn tarkoituksena. Artikkelin edetessä keskitytään tarkentamaan tarpeellisuusvaatimuksen sisältöä ja muita sen osalta olennaisia seikkoja.

Tuleeko henkilötietojen käsittelyä suunnitella?

Jotta henkilötietoja voidaan käsitellä, tulee käsittelyn olla rekisterinpitäjän toiminnan kannalta myös asiallisesti perusteltua ja tietyllä tapaa suunniteltua. Henkilötietojen käsittelyn voidaan tarkentaa kattavan laajalti erilaisia toimia, kuten henkilötietojen keräämisen, tallettamisen, järjestämisen, käytön, siirtämisen, luovuttamisen, säilyttämisen, muuttamisen, yhdistämisen, suojaamisen, poistamisen sekä henkilötietojen tuhoamisen. Henkilötietojen käsittelyn on katsottu voivan sisältää myös muita sellaisia toimenpiteitä, jotka tulevat kohdistettaviksi kyseisiin tietoihin. Rekisterinpitäjäksi voidaan määritellä puolestaan se taho, jonka käyttötarkoituksiin henkilörekisterin perustaminen tehdään. Rekisterinpitäjä voi tällöin olla yksi tai useampi henkilö, yhteisö, laitos tai säätiö. Rekisterinpitäjä voi määrätä siitä, miten henkilörekisteriä käytetään. Tietty taho saattaa saada rekisterinpitäjän tehtäviä myös suoraan lain nojalla, jos sen tehtäväksi on erikseen säädetty rekisterinpito.

Kuten jo mainittiin, vaatii henkilötietojen käsittely rekisterinpitäjältä etukäteistä suunnittelua. Suunnitteluvaiheessa tulee selvittää niin se, mihin tarkoituksiin henkilötietoja käsitellään, mistä henkilötiedot hankitaan säännönmukaisesti kuin se mihin niitä säännönmukaisesti luovutetaan. Mainitunlainen suunnittelu tulee sijoittaa ajallisesti ennen sitä, kun henkilötietojen kerääminen aloitetaan tai henkilötiedot muodostetaan henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus on tarpeellisuusvaatimuksen osalta olennainen ja sen määrittely tulee tehdä sillä tarkkuudella, että määrittelystä on havaittavissa se, minkälaisia ne tehtävät ovat, joiden hoitamiseksi rekisterinpitäjä henkilötietoja käsittelee. Tarkoituksen määrittelyn katsotaan vaativan rekisterinpitäjältä toimintansa kokonaisvaltaista arviointia, huomioiden esimerkiksi kaikki rekisterinpitäjän harjoittamaan toimintaan sisältyvät osa-alueet.

Henkilötietojen käsittelyn osalta on olennaista, että rekisterinpitäjälle osoitetaan myös muita yleisiä, käsittelyä koskevia, vaatimuksia. Tarpeellisuusvaatimuksen osalta voidaan ainakin joltain osin pitää merkityksellisenä myös sitä, että rekisterinpitäjä on velvollinen suorittamaan henkilötietojen käsittelyn laillisesti ja niin huolellisuutta kuin hyvää tietojenkäsittelytapaa noudattaen. Rekisterinpitäjältä vaaditaan lisäksi sitä, että rekisteröidyn henkilön yksityiselämän suojaa sekä muita yksityisyyden turvaamiseen tähtääviä perusoikeuksia kunnioitetaan, eikä niitä rajoiteta perusteettomasti. Tarpeellisuusvaatimuksen asettaminen suojaa omalta osaltaan edellä mainittujen tavoitteiden toteutumista.

Tarpeellisuusvaatimuksen sisältö

Kuten edellä jo kävi ilmi, muodostuu tarpeellisuuden osalta merkittäväksi ainakin se, miten henkilötietojen käsittelyn tarkoitus on määritelty ja että määrittely ylipäätänsä on tehty. Käsittelyn tarkoituksen määrittelyn jälkeen on vielä tarkasteltava sitä, miten ja millä henkilötiedoilla kyseinen tarkoitus on mahdollista saavuttaa. Jos henkilötietoja on kerätty esimerkiksi siinä tarkoituksessa, että asiakkaan tilaama tuote saadaan toimitettua hänen kotiosoitteeseensa, voidaan tarvittavina tietoina pitää ainakin henkilön nimeä ja osoitetietoja. Henkilön tulotietojen tai muiden asian kannalta merkityksettömien tietojen selvittämistä ei kuitenkaan tällöin voida pitää tarpeellisena.

Tarpeellisuusvaatimuksen osalta on huomionarvoista, että henkilötietojen käsittely tulee lopettaa silloin, kun henkilötietoja ei voida pitää niiden käsittelyyn liittyvän tarkoituksen kannalta enää tarpeellisina. Henkilötietojen käsittelijälle käsittelyn päämäärän toteuduttua tarpeettomat tiedot tulisi näin ollen poistaa rekisteristä. Asiasta on säädetty laissa hieman laajemmin myös niin, että rekisterinpitäjä on velvollinen hävittämään sellaisen henkilörekisterinkin, joka ei ole enää tarpeellinen rekisterinpitäjän harjoittaman toiminnan kannalta. Poikkeuksia koko henkilörekisterin hävittämiseen saattaa aiheutua kuitenkin tilanteesta riippuen, johtuen esimerkiksi siitä, että rekisteriin talletetuista tiedoista on säädetty erikseen muulla tavalla, ne on määrätty säilytettäviksi tai rekisteri siirrettäväksi arkistoon.

Olennaisena on tarpeellisuuden ja myös asiallisuuden osalta pidetty sitä, että rekisterinpitäjä kykenee perustelemaan sen, miksi henkilötietojen käsittely on tarpeellista ja asiallista nimenomaan hänen toiminnassaan ja sillä tavalla kuin käsittelyä toiminnassa tehdään. Rekisterinpitäjän toiminnalle tarpeettomia tietoja ei tule kerätä lainkaan.

Henkilötietojen käyttötarkoitussidonnaisuus

Henkilötietojen käsittelyn tarkoituksen osalta tarkasteltavaan tarpeellisuuteen liittyen voidaan huomioida myös vaatimus koskien henkilötietojen käyttötarkoitussidonnaisuutta. Näin ollen voidaan ajatella, henkilötietojen käyttäminen ja käsittely tulee tehdä nimenomaan niiden tarkoitusten mukaisesti, jotka on henkilötietojen osalta aiemmin määritelty. Periaatteessa voitaisiin ajatella niin, että tarpeellisuusvaatimuksen rajoittaessa käsiteltävien henkilötietojen osalta sitä, mitä tietoja voidaan käsitellä, rajoittaa käyttötarkoitussidonnaisuus henkilötietojen käsittelyä itse käytön ja käsittelyn laajuuden osalta. Sekä tarpeellisuusvaatimuksen että käyttötarkoitussidonnaisuuden voidaan katsoa tällä tavalla tulkittuna olevan kiinteässä yhteydessä artikkelin aikana jo tarkasteltuun henkilötietojen käsittelyn suunnitteluun ja käsittelyn tarkoitusten määrittelyyn, kun henkilötietoja saadaan käsitellä ainoastaan tarkoituksen osalta tarpeellisessa määrin ja kyseiseen tarkoitukseen. Käyttötarkoitussidonnaisuuden osalta on katsottu kuitenkin, ettei alkuperäisen käyttötarkoituksen kanssa yhteensopimattomana tavallisesti pidetä henkilötietojen käsittelyä myöhemmin historiallisen tutkimuksen tarkoituksiin taikka tieteelliseen tai tilastolliseen tarkoitukseen. Henkilötietojen luovuttamisen osalta saattaa kuitenkin olla tarpeellista myös edellä mainittuja tarkoituksia ilmentävissä tilanteissa ottaa selvää mahdollisesti asiaan vaikuttavista salassapitosäännöksistä.

Tarpeellisuusvaatimukseen liittyvien epäselvien kysymysten osalta saattaa olla suositeltavaa olla yhteydessä asiantuntevaan lakimieheen.

 

Vinkit

- Tarpeellisuusvaatimuksen voidaan katsoa korostuvan erityisesti esimerkiksi työelämässä, kun työnantajaa koskee jo uuden työntekijän rekrytointivaiheessa velvollisuus käsitellä ainoastaan tarpeellisia tietoja.

- Tarpeellisuusvaatimus turvaa sen, ettei henkilötietojen käsittelyllä voida puuttua henkilön yksityisyyteen välttämätöntä enempää.

Varoitukset

- Rekisterinpitäjä voi joutua teoistaan vastuuseen, mikäli hän syyllistyy tahallaan tai törkeästä huolimattomuudesta niiden säännösten rikkomiseen, joita laissa on tarpeellisuusvaatimusta koskien määritelty.

 

- Lakipuhelin neuvoo joka päivä klo 7 - 23 -


Pyydä tarjous lakipalvelusta

 

Jätä sitomaton tarjouspyyntö lakimiehen palkkaamiseksi




Lakimiehet käsittelevät tietojasi luottamuksellisesti, eikä niitä tallenneta
Minilex.fi-palveluun.


 

Aiheeseen liittyvät artikkelit


 

Selaa lakitietoa