För registeransvariga

På de här sidorna berättas om de allmänna förutsättningarna för behandling av personuppgifter och om personuppgiftslagens betydelse vid behandling av personuppgifter

Hyödyllisiä linkkejä sivuillemme

• Henkilötietolain taustaa
  
• Muiden lakien merkitys henkilötietojen käsittelyssä
  
• Personuppgiftslagens tillämpningsområde
  
• Personuppgiftslagen som styrmedel för behandlingen
  
• Definiering av användningsändamålet och planering av behandlingen
  
• När får personuppgifter behandlas
  
• Minkälaisia henkilötietoja voi käsitellä
  
• Vilka allmänna förpliktelser bör beaktas vid behandlingen och planeringen av behandlingen
  
• Hur beaktas den registrerades rättigheter
  
• Anmälningsplikt
  
• Systemet för övervakning av personuppgiftslagen och sanktioner
  

1. HENKILÖTIETOLAIN TAUSTAA

Om skyddet för medborgarnas privatliv och integritet har i Finland stadgats första gången med personregisterlagen, som trädde i kraft 1.1.1988. Personregisterlagen ersattes från 1.6.1999 av personuppgiftslagen. Med personuppgiftslagen försattes också bestämmelserna i Europeiska unionens personuppgiftsdirektiv i kraft. Rätten till skydd för privatlivet stadgades som en grundläggande rättighet från 1.8.1995. Med personuppgiftslagen fullgjordes också den av grundlagen förutsatta förpliktelsen att stifta lag.

Syftet med stiftandet av personuppgiftslagen har varit särskilt att avvärja de risker som är förknippade med datateknik och användningen av ny teknologi. Därför är det särskilt viktigt att beakta lagens förpliktelser och i synnerhet kravet på planmässighet när personuppgifterna avses att genomföras eller genomförs med hjälp av automatisk databehandling.

Betydelsen av personuppgiftslagens bestämmelser för åstadkommande av god databehandling och god informationshantering har accentuerats an efter som behandlingen av personuppgifter har övergått till att ske med automatisk databehandling, och uppgifter allt mera behandlas på nätet.

2. MUIDEN LAKIEN MERKITYS HENKILÖTIETOJEN KÄSITTELYSSÄ

Som egentliga lagar om dataskydd kan betraktas också lagen om integritetsskydd i arbetslivet samt lagen om dataskydd vid elektronisk kommunikation. Lagarna tillämpas i enlighet med sina tillämpningsområden som primära och kompletterande i förhållande till personuppgiftslagen. Lagen om offentlighet i myndigheternas verksamhet tillämpas, när personuppgifter lämnas ut ur myndigheternas register

Bestämmelser som gäller behandlingen av personuppgifter ingår också i andra lagar. Dessa specialstadganden tillämpas primärt i förhållande till personuppgiftslagen. De allmänna förpliktelserna i personuppgiftslagen skall emellertid alltid uppfyllas, emedan dessa bestämmelser inte ingår i annan lagstiftning.

Ytterligare information, se "Lagar"

3. PERSONUPPGIFTSLAGENS TILLÄMPNINGSOMRÅDE

Personuppgiftslagen är således den grundläggande lagen om behandling av personuppgifter (generell lag). Dess bestämmelser bör alltid beaktas när personuppgifter behandlas med automatisk databehandling och även vid annan behandling av personuppgifter, när personuppgifterna bildar eller de är avsedda att bilda ett personregister eller en del av ett register.

Lagens bestämmelser tillämpas på all behandling. Med behandling av personuppgifter avses insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna.

Lagen tillämpas emellertid inte på behandling av personuppgifter som en fysisk person utför enbart för personliga eller med dem jämförbara sedvanliga privata ändamål, inte heller på behandling av personuppgifter för redaktionella syften eller för syften som avser konstnärlig och litterär framställning.

Personuppgiftslagen tillämpas på behandling av personuppgifter vid den registeransvariges verksamhetsställe som är beläget inom finskt territorium eller i övrigt står under finsk jurisdiktion.

4. LAKI OHJAA HENKILÖTIETOJEN KÄSITTELYÄ

I personuppgiftslagen stadgas om :

• de allmänna förutsättningarna för behandling av personuppgifter (milloin henkilötietoja voi käsitellä)
  
• de allmänna förpliktelser som alltid bör iakttas vid all behandling av personuppgifter
  
• de registrerades rättigheter vid behandlingen av deras personuppgifter
  
• systemet för övervakning av lagen samt
  
• sanktioner och påföljder som kan följa av behandling som strider mot personuppgiftslagen. Till en del ingår sanktionerna i strafflagen.
  
  

Med personuppgiftslagen har eftersträvats en lösningsmodell som skapar balans mellan integritetsskyddet och de övriga intressen som anknyter till behandlingen av personuppgifter. Bl.a. det lagstadgade krav på behövlighet och felfrihet som omfattar samtliga skeden av behandlingen av personuppgifter förverkligar för sin egen del också kraven på funktionalitet och god informationshantering.

Att trygga de registrerades integritet, intressen och rättigheter är således inte en separat skyldighet. De förpliktelser som integritetsskyddet förutsätter ingår som en väsentlig del i de operativa lösningarna och i planeringen av verksamheter och informationssystem.

Att beakta de registrerades, t.ex. en kunds, integritetsskydd och informera om hans rättigheter ökar förtroendet mellan den registeransvarige och den registrerade och främjar sålunda också verksamhetsmålen. Sätten att uppnå den registeransvariges verksamhetsmål och målsättningarna för integritetsskyddet är i stor utsträckning sammanfallande.

5. DEFINIERING AV ANVÄNDNINGSÄNDAMÅLET OCH PLANERING AV BEHANDLINGEN

Ett centralt krav i tillämpningen av personuppgiftslagen innebär att definiera ändamålet med behandlingen av personuppgifter. Ändamålet med behandlingen av personuppgifter bör definieras så, att av detta framgår, för vilka slag av åligganden som den registeransvarige sköter personuppgifterna behandlas.

Endast på basis av denna definiering kan bedömas, vilka som är från ändamålets synpunkt behövliga och felfria personuppgifter. Inte ens med den registrerades samtycke får från användningsändamålets synpunkt onödiga personuppgifter insamlas eller på annat sätt behandlas.

Med personregister avses enligt definitionen i personuppgiftslagen en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader.

Vad lagen definierar som personregister är således ett s.k. logiskt personregister. Till samma logiska register hör både de med automatisk databehandling upprätthållna delarna och de manuellt upprätthållna delarna, om uppgifterna används av den registeransvarige för skötseln av samma åliggande.

Bland de i lagen avsedda behandlingsändamålen (användningsändamålen) kan som exempel nämnas:

• De hos varje arbetsgivare bildade personregistren från ena sidan för skötseln av arbetsavtalsförhållandena och separat för val av arbetstagare (de olika personregister som uppkommer vid sökande av anställning).
• Vid en verksamhetsenhet inom hälsovården, t.ex. en hälsocentral, uppkommer ett personregister för vården av patienterna (patientregister).
• Inom socialvården uppkommer olika personregister vid skötseln av socialväsendets lagstadgade åligganden (t.ex. vid skötseln av utkomststödärenden, vid skötseln av i barnskyddslagen stadgade åligganden, för ordnande och genomförande av dagvården, för uppfostrings- och familjerådgivning m.m).
• Hos ett företag uppkommer ett personregister vid skötseln av de kundförhållanden som hör till dess bransch.

Alla för ifrågavarande åliggande insamlade personuppgifter hör till ifrågavarande registeransvarigs samma logiska personregister, oberoende av om uppgifterna upprätthålls med hjälp av adb eller manuellt. Ofta uppkommer ett för något visst användningsändamål upprättat personregister av inom skilda delfunktioner bildade delregister, och/eller av olika verksamhetsställens delregister (t.ex. inom den kommunala dagvården uppkommer åtminstone ett delregister över ansökningsförfarandena och register över de skilda daghemmen).

Ett annat centralt krav med tanke på lagens målsättning att uppnå en god databehandling och informationshantering är:

• att utgående från verksamhetens behov planera behandlingen av personuppgifter, med därtill hörande förfaringssätt och tekniska lösningar i fråga om alla skeden av behandlingen av personuppgifter, dvs. från insamlande och lagring av personuppgifter ända till utlämnande och förvaring av personuppgifterna.

Som resultat av planeringen uppgörs en registerbeskrivning samt utvärderas den planerade behandlingens lagenlighet med hänsyn till personuppgiftslagens bestämmelser och eventuella specialstadganden. I samband med planeringen är det också skäl att göra en kartläggning av dataskyddsriskerna.

Planeringen av behandlingen av personuppgifter bör genomföras på basis av den definierade logiska helheten. I annat fall är det inte möjligt att förverkliga den målsatta goda informationshanteringen.

Ifall ett företag, ett ämbetsverk eller en inrättning som registeransvarig för egen räkning anskaffar eller planerar t.ex. databehandlingstjänster av utomstående serviceleverantörer (på basis av ett uppdragsavtal), är det uppdragsgivaren som bär ansvaret för behandlingen av personuppgifterna. Också sådan behandling bör, i likhet med parternas åligganden och ansvar, inkluderas i den plan som gäller behandlingen av personuppgifter.

Uppdragsgivarens ansvar bestäms på basis av det uppdragsavtal som ingås om saken. Också avtalet kan endast ingås på grundvalen av ett adekvat planerings- och analysarbete. Det är alltid skäl att uppgöra avtalet skriftligt.

För behandlingen av personuppgifter och dess lagenlighet svarar den registeransvarige. Med registeransvarig avses en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. Den registeransvarige är således ett företag, en inrättning, ett ämbetsverk eller en sammanslutning, inte en person som är anställd hos dessa.

Med reglementen, arbetsordningar, befattningsbeskrivningar m.fl. definieringar fastslås de ansvar och uppgifter som ankommer på personalen inom registerföringen. Ansvar inom behandlingen av personuppgifter anknyter alltid som en del till det operativa ansvaret. Åtminstone större registeransvariga organisationer har skäl att för koordineringen och skötseln av de dataskyddsärenden som förutsätts i skilda uppgifter tillsätta en dataskyddsgrupp eller dataskyddsansvarig.

Det är således skäl för varje registeransvarig att i samband med planeringen gå igenom personuppgiftslagens förutsättningar för behandling av personuppgifter. Dessa förutsättningar kan grupperas på följande sätt:

• När får personuppgifter behandlas
• minkälaisia henkilötietoja voi käsitellä
• Vilka allmänna förpliktelser bör beaktas vid behandlingen
• Hur beaktas den registrerades rättigheter
• Är Du anmälningsskyldig

Ytterligare information:

• Personuppgiftslagen som guide
• Personuppgiftslagen reglerar behandlingen av personuppgifter
• "Gör det själv" -kontroll av dataskyddet och -säkerheten
• Modell för analys av behandlingen av personuppgifter
• Åtgärdsförteckning i personuppgiftslagen
• Kommunerna och personuppgiftslagen

6. NÄR FÅR PERSONUPPGIFTER BEHANDLAS

För behandlingen skall finnas en grund som framgår av personuppgiftslagens 8 eller 14-20 §. Till de vanligaste grunderna för behandling av personuppgifter hör

• den registrerades entydigt givna samtycke.
• om det bestämts om behandlingen i lag eller om behandlingen föranleds av en uppgift som anvisas den registeransvarige i lag.
• om den registrerade på grund av ett kund-, eller tjänstgöringsförhållande, ett medlemskap eller något annat därmed jämförbart förhållande har en saklig anknytning till den registeransvariges verksamhet (anknytningskrav).
• om det är fråga om uppgifter om kunder hos eller arbetstagare vid en koncern eller någon annan ekonomisk sammanslutning och dessa uppgifter behandlas inom nämnda sammanslutning.
• om det är fråga om en allmänt tillgänglig uppgift som beskriver en persons ställning, uppgifter och skötseln av dessa uppgifter inom ett offentligt samfund eller inom näringslivet och dessa uppgifter behandlas för att trygga rättigheter och intressen hos den registeransvarige eller en sådan tredje man till vilken uppgifterna lämnas ut.

I personuppgiftslagens 14-20 § stadgas om rätten att behandla personuppgifter för

• vetenskaplig forskning
• statistik
• myndigheternas planerings- och utredningsuppgifter
• personmatrikel
• släktforskning och
• för behandling av personkreditupplysningar

För dessa situationer gäller även alla allmänna förpliktelser i personuppgiftslagen och bestämmelserna om de registrerades rättigheter.

Ytterligare information och till ärendet anknutet styrande material:

• Dataskydd och vetenskaplig forskning
• Om utlämnande av personuppgifter ur myndigheternas personregister

7. HURUDANA PERSONUPPGIFTER FÅR BEHANDLAS

Personuppgiftslagen ställer också krav på de personuppgifter som samlas in och behandlas.

7.1. Kravet på behövlighet och felfrihet

De i lagen fastslagna kraven på behövlighet och felfrihet hör till de viktigaste förutsättningarna för att en god informationsbehandling och informationshantering skall uppnås.

I varje behandlingssyfte får behandlas för ifrågavarande ändamål behövliga uppgifter, men inte andra uppgifter. Inte ens samtycke åsidosätter kravet på behövlighet.

T.ex.

• För skötseln av ett arbets- och tjänsteförhållande får insamlas endast sådana uppgifter om arbetstagaren som behövs för att sköta ifrågavarande åliggande.
• En hälsocentral kan samla in och i patientregistret lagra endast uppgifter som är behövliga för att ordna och genomföra vården.
• En läroinrättning kan i elevregistret samla in och lagra endast sådana uppgifter om eleven som behövs för att sköta elevförhållandet.

Varje registeransvarig, (t.ex. en hälsocentral, arbetsgivare eller läroinrättning) definierar själv hur behövliga uppgifterna är, men behövligheten bör kunna motiveras med en objektiv måttstock. På definitionen av datainnehållet kan inverka eventuella bestämmelser om saken som ingår i speciallagar. T.ex. grundskolans uppgifter bestäms enligt grundskolelagen. De behövliga uppgifterna definieras enligt de bestämmelser som gäller ordnandet av denna undervisning. I lagen om integritetsskydd i arbetslivet ingår bestämmelser om de uppgifter som får samlas in om arbetstagare och arbetssökande samt om förutsättningarna för insamlande av uppgifter.

Kravet på felfrihet innebär att den registeransvarige bör sörja för att de personuppgifter han samlar in och lagrar för ifrågavarande ändamål är felfria; med hänsyn till registrets användningsändamål felaktiga, ofullständiga eller föråldrade uppgifter får inte insamlas. Också onödiga uppgifter är sådana felaktiga uppgifter som avses i lagen.

När kravet på felfrihet bedöms beaktas ändamålet med behandlingen av personuppgifter samt behandlingens betydelse för integritetsskyddet. T.ex. vid behandlingen av olika förmånsärenden är det med tanke på den registrerades rättsskydd särskilt viktigt att kravet på felfrihet blir uppfyllt.

Den registeransvarige bör se till att en felaktig uppgift rättas, antingen på tjänstens vägnar eller på yrkan av den registrerade.

7.2. Behandling av känsliga uppgifter

Att samla in och behandla i 11 § i personuppgiftslagen uppräknade känsliga personuppgifter är som regel förbjudet. Om undantag stadgas i lagens 12 §.

Undantagen gäller bl.a. sådana för ett fungerande samhälle viktiga funktioner, där det inte är möjligt att sköta åliggandena utan att känsliga uppgifter lagras (t.ex. ordnande av hälsovården, ordnande av socialtjänster).

I lagen avsedda känsliga uppgifter är

7.3. Behandling av personbeteckningar

Personbeteckningar får behandlas endast under i personuppgiftslagens 13 § stadgade förutsättningar. Den allmänna förutsättningen är, att lagrande av personbeteckningen är viktigt för att den registrerade skall kunna entydigt identifieras.

Det är då i allmänhet fråga om både den registrerades och den registeransvariges rättsskydd. Uppgiften behövs för att uppgifterna om de registrerade inte skall blandas samman med varandra. Ifall någon annan uppgift är tillräcklig för identifiering av den registrerade, bör personbeteckningen inte insamlas.

God informationshantering förutsätter att ingens integritet omotiverat får kränkas eller riskeras. Detta innebär i praktiken, att det alltid är skäl att redan i planeringsskedet utreda alternativen till att samla in personbeteckningar och övriga behov av att behandla personbeteckningar i fråga om alla skeden av behandlingen.

I personuppgiftslagens 13 § stadgas om vissa situationer som berättigar till att insamla personbeteckningar. Vidare skall varje registeransvarig enligt bestämmelsen se till att personbeteckningen inte onödigt antecknas i handlingar som skrivs ut eller upprättas på basis av personregistret.

Till frågan anknutet styrningsmateriel

• Behandling av personbeteckning enligt personuppgiftslagen. Information om dataskyddet 5/1999 (uppdaterad 24.6.2004)

8. VILKA ALLMÄNNA FÖRPLIKTELSER BÖR BEAKTAS VID BEHANDLINGEN OCH PLANERINGEN AV BEHANDLINGEN

ASIANMUKAISUUS LISÄTTÄVÄ TÄHÄN

Användningsändamålet
Användningsändamålet för de personuppgifter som insamlas bör definieras (PuppL 6 §)

Planeringskravet (Puppl 6 och 5 §, se ovan)

Kravet på ändamålsbundenhet
Kravet på ändamålsbundenhet innebär att för ett visst ändamål insamlade personuppgifter inte får användas för annat ändamål. Undantag är behandling av personuppgifter för senare historisk forskning eller vetenskapliga och statistiska ändamål. Dessa ändamål anses inte oförenliga med det ursprungliga ändamålet med behandlingen (PuppL 7 §). På utlämnande för ifrågavarande ändamål inverkar emellertid eventuella sekretessbestämmelser.

Aktsamhetsplikten innebär, att den registeransvarige skall behandla personuppgifterna i enlighet med lag samt iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Samma skyldighet har den som i egenskap av självständig näringsidkare eller företagare handlar för den registeransvariges räkning (PuppL 5 §) Ingens integritet får omotiverat riskeras.

Kravet på skydd
Kravet på skydd innebär ett krav att sörja för att de insamlade och behandlade personuppgifterna skyddas mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. (PuppL 32 §). Skyddskravet omfattar också kravet att sörja för dataskyddet.

Bestämmelsen om förvaringstid
Bestämmelsen om förvaringstid innebär, att ett personregister som inte längre behövs för den registeransvariges verksamhet skall förstöras, om det inte särskilt bestäms att de registrerade uppgifterna skall bevaras eller om registret inte skall överföras till ett arkiv på det sätt som avses i 35 §. (PuppL 34 §, 35 §)

Registerbeskrivning
Förpliktelsen att uppgöra och hålla tillgänglig en registerbeskrivning innebär, att var och en bör ha tillgång till en registerbeskrivning, i vilken har antecknats de viktigaste i lagens 10 § fastställda uppgifterna om registerföringens ansvar, användningsändamål och datainnehåll samt regelmässigt utlämnande och skydd. Förpliktelsen att uppgöra registerbeskrivningen representerar personuppgiftslagens centrala princip om öppenhet.

9. MITEN HUOMIOIT REKISTERÖITYJEN OIKEUDET

Rekisterinpitäjän tulee huolehtia siitä, että henkilötietolaissa rekisteröidylle säädetyt oikeudet toteutuvat.

Informointivelvollisuus
Rekisterinpitäjän tulee huolehtia siitä, että rekisteröity voi saada tietää itseään koskevien tietojen käsittelystä. Rekisteröidylle tulee kertoa ainakin:

• tiedot rekisterinpitäjästä (nimi ja yhteystiedot),
• kerättävien henkilötietojen käsittelyn tarkoituksesta
• tiedot säännönmukaisista henkilötietojen luovutuksista sekä
• tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä.

Informoinnista voidaan poiketa eräissä laissa säädetyissä tilanteissa. Nämä tilanteet ovat kuitenkin poikkeuksellisia eikä informoinnista voi poiketa, jos tietoja käytetään rekisteröityjä koskevassa päätöksenteossa.

Informointivelvoite henkilötietoja kerättäessä merkitsee muun muassa sitä, että kerättäessä henkilötietoja verkon kautta, lain edellyttämä informointi tulee löytyä verkkosivuilta ennen tietojen antamista. Informointia koskevat tiedot on hyvä ja tarkoituksenmukaista sisällyttää rekisteriselosteeseen, jolloin asiakirja nimetään tietosuojaselosteeksi.

Tarkastusoikeus
Jokaisella on oikeus tarkastaa itseään koskevat henkilötiedot. Henkilötietolain mukaan jokaisella on salassapitosäännösten estämättä oikeus saada tietää, mitä häntä koskevia henkilötietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä mihin henkilörekisterin tietoja käytetään ja säännönmukaisesti luovututetaan.

Tiedot tulee antaa ilman aiheetonta viivytystä, ymmärrettävässä muodossa ja pyydettäessä kirjallisena. Terveydenhuollossa menettelytapana on ensisijaisesti henkilökohtainen käynti ymmärrettävyyden varmistamiseksi. Tarkastusoikeus on maksuton kerran vuodessa toteutettuna.

Tarkastusoikeus voidaan evätä tietyissä henkilötietolaissa säädetyissä tilanteissa ja tarkastusoikeutta ei ole lainkaan pelkästään tieteelliseen tutkimustarkoituksiin ja tilastointitarkoituksiin kerättyihin tietoihin. Estettä tarkastusoikeuden toteuttamiseen ei tällöinkään ole. Muussa laissa voi olla eräitä poikkeuksia tarkastusoikeudesta. Tarkastusoikeutta koskevan pyynnön esittämistavasta on säädetty erikseen (HetiL 26-28 §).

Tiedon korjaaminen
Rekisterinpitäjän on ilman aiheetonta viivästystä oikaistava rekisterissä oleva käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän tulee huolehtia virheellisen tiedon korjaamisesta sekä oma-alotteisesti että myös rekisteröidyn vaatimuksesta.

Rekisterinpitäjän on myös estettävä virheellisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan (Hetil 29 §).

Sekä tarkastusoikeuden että virheen korjaamista koskevan vaatimuksen epäämisestä tulee antaa kirjallinen todistus. Suositeltavaa on, että samalla kerrotaan mahdollisuudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi.

Kielto-oikeus
Rekisteröidyllä on henkilötietolain mukaan oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten (HetiL 30 §).

Rekisterinpitäjän on informoitava rekisteröityä kielto-oikeudesta ja sen toteuttamistavasta henkilötietolain 24 §:n mukaisesti henkilötietoja kerättäessä.

Lisätietoja:

• Henkilötietolain yleinen informointivelvollisuus
• Malli sosiaalihuollon asiakkaiden informoinnista
• Malli julkisen terveydenhuollon informoinnista
• Tietosuoja turvaa oikeutesi
• Hei Sinulla on oikeus yksityisyyteen
• Hei, Sinulla on oikeus kieltää henkilötietojesi käsittely
• Näin vaadit henkilötietojen korjaamista

10. ILMOITUSVELVOLLISUUS

Rekisterinpitäjä on velvollinen tekemään henkilötietolain 36 ja 37 §:ssä säädetyissä tilanteissa ilmoituksen tietosuojavaltuutetun toimistolle. Ilmoitusten tyypit ovat:

Rekisteri-ilmoitus
Velvollisuus tehdä rekisteri-ilmoitus koskee automaattisen tietojenkäsittelyn avulla toteutettavaa rekisterinpitoa laissa mainituissa tilanteissa. Tämä ilmoitusvelvollisuus on säädetty suhteellisen suppeaksi.

Toimintailmoitus
Velvollisuus tehdä toimintailmoitus koskee:

• luottotietotoimintaa tai
• perimistoimintaa tai
• mielipide- ja markkinatutkimustoimintaa elinkeinona harjoittavia taikka
• toisen lukuun henkilöstön valintaan ja soveltuvuuden arviointiin liittyviä tehtäviä hoitavia, jos nämä tässä toimissaan käyttävät tai käsittelevät henkilörekisterissä olevia tietoja.

Henkilötietojen ulkomaille luovutusta koskeva ilmoitus

Lisätietoja:

• Henkilötietolain mukainen ilmoitusvelvollisuus. Esitettä uusitaan parhaillaan.
• Henkilötietojen siirto ulkomaille henkilötietolain mukaan

11. HENKILÖTIETOLAIN VALVONTAJÄRJESTELMÄ JA SANKTIOT

Henkilötietolainsäädännön täytäntöönpanoa ohjaa ja valvoo tietosuojavaltuutettu. Päätösvaltaa henkilötietojen käsittelyyn liittyvissä asioissa käyttää tietosuojalautakunta, jonka käsittelyyn tietosuojavaltuutettu voi viedä tarvittaessa asian.

Tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta kieltää henkilötietojen käsittelyn tai antaa asiaa koskevia kieltomääräyksiä. Tietosuojalautakunta voi lisäksi erikseen määritellyissä tilanteissa ja edellytyksillä antaa luvan henkilötietolain säännöksistä poikkeavaan henkilötietojen käsittelyyn.

Kansallisarkistolla on lupatoimivalta henkilörekisterien arkistointiin sen jälkeenkin, kun rekisteri ja sen tiedot muutoin tulisi lain mukaan hävittää. Edellytyksenä on, että rekisterin arkistointi on tieteellisen tutkimuksen vuoksi tai muusta syystä merkityksellinen.

Henkilötietolaissa on säädetty henkilötietojen lainvastaisesta käsittelystä seuraavasta vahingonkorvausvelvollisuudesta. Sekä henkilötietolaki että rikoslaki sisältävät sanktiot henkilötietolain vastaisesta menettelystä.

Lisätietoja:

• Henkilötietolain seuraamusjärjestelmä

12. HYÖDYLLISIÄ LINKKEJÄ SIVUILLEMME

• Tietosuojavaltuutetun tehtävistä ja toiminnasta
• Asioiden vireillepanemisestä ja käsittelystä tietosuojavaltuutetun toimistossa
• Henkilötietolainsäädännöstä
• Tietosuojan ajankohtaisista asioista
• Tietosuojavaltuutetun toimiston ohjausaineistosta
• Tietosuojavaltuutetun toimiston laatimista malleista
• Tietosuojavaltuutetun toimiston laatimista mallilomakkeista
• Tietosuojavaltuutetun toimistolta usein kysytyistä asioista
• Tietosuojavaltuutetun toimiston ratkaisuista
• Tietosuojavaltuutetun toimiston kansainvälisestä toiminnasta
• Linkki henkilötietolakiin (Finlex)