Etusivu » Rekisterinpitäjälle » Käyttötarkoituksen määrittely ja käsittelyn suunnittelu

Käyttötarkoituksen määrittely ja käsittelyn suunnittelu

Käyttötarkoituksen määrittely

Henkilötietolain soveltamisen kannalta keskeinen vaatimus on määritellä henkilötietojen käsittelyn tarkoitus. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Vain tämän määrittelyn pohjalta voidaan arvioida, mitkä ovat käsittelyn tarkoituksen kannalta tarpeellisia ja virheettömiä henkilötietoja. Rekisteröidyn suostumuksellakaan ei saa kerätä tai muutoin käsitellä käsittelytarkoituksen kannalta tarpeettomia henkilötietoja.

Henkilörekisterillä tarkoitetaan henkilötietolain määritelmän mukaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka, joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Lain määrittämä henkilörekisteri on siten looginen henkilörekisteri. Samaan loogiseen rekisteriin kuuluvat sekä automaattisen tietojenkäsittelyn avulla ylläpidetyt osat että manuaalisesti pidetyt osat, jos rekisterinpitäjä käyttää tietoja saman tehtävän hoitamisessa.

Lain tarkoittamista käsittelytarkoituksista (käyttötarkoituksista) voidaan mainita esimerkkeinä seuraavat:

  • Jokaiselle työnantajalle muodostuvat henkilörekisterit toisaalta palvelussuhteen hoitoa ja erikseen työntekijöiden valintaa varten (eri työnhauissa muodostuvat eri rekisterit).
  • Terveydenhuollon toimintayksikköön (esimerkiksi terveyskeskukseen) muodostuu henkilörekisteri potilaan hoitoa varten (potilasrekisteri).
  • Sosiaalihuollossa muodostuu erillisiä henkilörekistereitä sosiaalihuollon lainsäädännössä säädettyjen eri tehtävien hoidossa (esimerkiksi toimeentulotukiasioiden hoitamisessa, lastensuojelulaissa säädettyjen tehtävien hoitamisessa, päivähoidon järjestämisessä, kasvatus- ja perheneuvonnassa yms.)
  • Yritykselle muodostuu henkilörekisteri jokaisen sen toimialaan liittyvän erityyppisen asiakassuhteen hoidossa.

Tiettyä tehtävää varten kerätyt henkilötiedot kuuluvat rekisterinpitäjän pitämään samaan loogiseen henkilörekisteriin ylläpidettiinpä tietoja atk:n avulla tai manuaalisesti. Usein tiettyä käyttötarkoitusta varten perustettu henkilörekisteri muodostuu erillisten osatoimintojen hoitamisessa syntyvistä osarekistereistä ja/tai eri toimipisteiden osarekistereistä. Esimerkiksi kunnallisessa päivähoidossa muodostuu ainakin hakemusmenettelyjen osatiedosto ja eri päiväkotien tiedostot.

Käsittelyn suunnittelu

Toinen keskeinen vaatimus lain tavoitteena olevan hyvän tietojenkäsittely- ja hyvän tiedonhallintatavan aikaansaamiseksi on:

  • suunnitella henkilötietojen käsittelyt menettelytapoineen ja teknisine ratkaisuineen toiminnallisten tarpeiden pohjalta kaikkien henkilötietojen käsittelyvaiheiden osalta (henkilötietojen keräämisestä ja tallettamisesta aina henkilötietojen luovuttamiseen ja säilyttämiseen).

Suunnittelun tuloksena laaditaan rekisterikuvaus ("Malli henkilötietojen käsittelyn/henkilörekisterin rekisteritoimintojen analysoimiseksi") sekä arvioidaan sekä henkilötietolain että mahdollisten erityislakien säännösten kannalta käsittelyn lainmukaisuus. Suunnittelun yhteydessä on tarpeen laatia myös tietosuojariskien kartoitus.

Henkilötietojen käsittelyn suunnittelu tulee toteuttaa määritellyn loogisen kokonaisuuden pohjalta. Muutoin tavoitteena olevaa hyvää tiedonhallintatapaa ei ole mahdollista toteuttaa.

Jos rekisterinpitäjänä oleva yritys, virasto tai laitos suunnittelee hankkivansa tai hankkii ulkopuolisilta palvelujen tuottajilta esimerkiksi tietojenkäsittelypalveluja omaan lukuunsa (toimeksiantosopimuksen perusteella), vastuu henkilötietojen käsittelystä on toimeksiantajalla. Tällainen henkilötietojen käsittely sekä osapuolten tehtävät ja vastuut toimeksiantosuhteessa on tarpeen sisällyttää henkilötietojen käsittelyä koskevaan suunnitelmaan.

Toimeksisaajan vastuu määräytyy asiasta tehtävän toimeksiantosopimuksen perusteella. Sopimus on mahdollista tehdä vain asianmukaisen suunnittelu- ja analysointityön pohjalta. Sopimus on aina syytä tehdä kirjallisena.

Henkilötietojen käsittelystä ja sen lainmukaisuudesta vastaa rekisterinpitäjä. Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä, tai jonka tehtäväksi rekisterinpito on säädetty. Rekisterinpitäjä on siis yritys, laitos, virasto tai yhteisö, ei sen palveluksessa olevan henkilö.

Henkilöstölle rekisterinpidossa ja siihen liittyvässä henkilötietojen käsittelyssä kuuluvat vastuut ja tehtävät määritellään toimisäännössä, työjärjestyksessä, toimenkuvissa yms. Henkilötietojen käsittelyn vastuut liittyvät aina osana toiminnallisiin vastuisiin. Ainakin isompien rekisterinpitäjäorganisaatioiden on hyvä nimetä eri tehtävien hoidon edellyttämien tietosuoja-asioiden koordinoimiseksi ja hoitamiseksi tietosuojaryhmä tai tietosuojavastaava.

Jokaisen rekisterinpitäjän on suunnittelun yhteydessä syytä käydä läpi henkilötietolain edellytykset henkilötietojen käsittelylle. Nämä edellytykset voidaan ryhmitellä seuraavasti:

  • Milloin henkilötietoja saa käsitellä
  • Minkälaisia henkilötietoja voi käsitellä
  • Mitä yleisvelvoitteita käsittelyssä tulee huomioida
  • Miten rekisteröidyn oikeudet huomioidaan
  • Oletko ilmoitusvelvollinen
 
Julkaistu 6.5.2014