Valikko

Säännökset ja valvonta 

Henkilötietojen suojasta säädetään Euroopan unionin yleisessä tietosuoja-asetuksessa (EU) 2016/679 (GDPR) sekä kansallisesti tietosuojalaissa. Henkilötietojen suojaa koskevaa lainsäädäntöä sovelletaan aina silloin, kun käsitellään henkilötietoja.

Toimivaltainen viranomainen tietosuoja-asetuksen valvonnassa Suomessa on tietosuojavaltuutettu.

Henkilötieto

Henkilötiedon määritelmä:

  • Henkilötiedolla tarkoitetaan tietosuoja-asetuksen 4 artiklan 1 kohdan mukaisesti kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.  
  • Henkilötiedon määritelmä on hyvin laaja. Kun matkustajalle tarjotaan matkaketjupalveluita, syntyy yleensä tilanne, jossa käsitellään henkilötietoja. Tällaisina tietoina pidetään esimerkiksi tilauksen tekemisen yhteydessä käsiteltäviä matkustajan yhteystietoja ja luottokorttitiedot. Henkilötietoja voivat olla myös matkustusoikeuden todentamiseen liittyvät tiedot.  

Pseudonymisointi ja anonymisointi 

On huomattava, että vaikka tiedot pseudonymisoitaisiin, niitä pidetään edelleen henkilötietoina. Vaikka yksittäisellä matkaketjun toimijalla ei olisikaan mahdollisuutta selvittää matkustajan identiteettiä, on riittävää, että joku taho voi eri tietoja yhdistelemällä tunnistaa henkilön. Näin ollen esimerkiksi matkatunniste, joka ei sisällä matkustajan nimeä tai muuta selkeää henkilötietoa, mutta on jonkun toimijan yhdistettävissä yksittäiseen matkustajaan, on henkilötieto.  

Tieto on anonyymiä, mikäli henkilötiedot muutetaan peruuttamattomasti sellaiseen muotoon, ettei rekisteröity ole niistä suoraan tai epäsuoraan tunnistettavissa kenenkään toimesta. 

Rekisterinpitäjän ja käsittelijän asemat  

Henkilötietojen käsittelyyn liittyy eri rooleja:

  • Rekisterinpitäjänä pidetään toimijaa, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.  
  • Käsittelijällä tarkoitetaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Käsittely tapahtuu tällöin usein toimeksianto-, alihankinta- tai yhteistyösuhteessa.  

Rekisterinpitäjät voivat olla myös rinnakkaisia, jolloin kullakin rekisterinpitäjällä on itsenäinen oikeus käsitellä henkilötietoja. 
Rekisterinpitäjä määrittelee tietojenkäsittelyn tarkoitukset itsenäisesti sekä hyödyntää tietoja omiin käyttötarkoituksiinsa omien tietojenkäsittelymenettelyidensä mukaisesti. Käsittelijä sitä vastoin ei käsittele tietoja omiin käyttötarkoituksiinsa, vaan käsittelee niitä rekisterinpitäjän antamien ohjeiden ja rekisterinpitäjän kanssa tehdyn sopimuksen mukaisesti pelkästään rekisterinpitäjän lukuun. Käsittelijä ei myöskään saa itsenäistä käyttöoikeutta tietojen hyödyntämiseen. 

Rekisterinpitäjän on muun muassa informoitava rekisteröityjä suorittamastaan tietojenkäsittelystä. Tiedot on annettava ymmärrettävässä ja selkeässä muodossa. Tietosuoja-asetuksessa on säädetty tarkemmin annettavien tietojen sisällöstä. Näitä ovat esimerkiksi rekisterinpitäjän yhteystiedot, tieto käsittelyn tarkoituksesta ja sen perusteesta sekä tiedot rekisteröidyn oikeuksista. Osapuolet voivat kuitenkin myös sopia keskinäisistä vastuistaan esimerkiksi siten, että sopimuskumppani velvoitetaan huolehtimaan rekisteröityjen informoimisesta.  

Kun tietoja luovutetaan rekisterinpitäjältä toiselle rekisterinpitäjälle, tiedot luovuttava taho vastaa luovutuksen lainmukaisuudesta. 

Tietosuojavaltuutetun toimiston vastaus puolesta-asioinnin tunnistamisratkaisuun

Traficom pyysi tietosuojavaltuutetun toimistolta arviota käyttäjän tunnistamiseen puolesta-asioinnissa käyttäjätilien tietoja vertailemalla. 

Tietosuojavaltuutetun toimisto vastasi yleisenä ohjeistuksena mm. seuraavaa:

  • Vertailuissa tulee huomioida henkilötietojen käsittelyn oikeusperusta, rekisterinpitäjän velvoitteet ja rekisteröityjen oikeuksien turvaaminen
  • Henkilötietojen käsittelylle on oltava käyttäjän suostumus ja käyttäjän on saatava tieto henkilötietojen käsittelystä kunkin palvelun osalta
Päivitetty