3. • Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus
tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus
tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella.
• Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä
henkilöstölleen.
• Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004)
– Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin
työnhakijaan.
– Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa
julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän
työsuhteeseen, merimieheen.
– Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006)
– Laki oltava nähtävillä työpaikalla (23 §)
• Työnantajan huomioitava lisäksi mm.
– Tietosuojalaki (1050/2018)
– Laki sähköisen viestinnän palveluista (917/2014)
– Julkisuuslaki (621/1999)
– YT-laki (laki yhteistoiminnasta yrityksissä 334/2007)
Yleistä työelämän tietosuojasta
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
4. • Henkilötietojen käsittely työpaikalla
• Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot
• Luottotiedot ja turvallisuusselvitysmenettelyt
• Terveydentilatietojen käsittely
• Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma
• Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus
• Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta,
työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö,
paikantaminen
• Sähköpostin ja tietoverkkojen käyttö
• Internetin käyttö
• YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4
• YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan
työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää).
Yhteistoimintamenettelyssä käsit. asiat
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
5. • Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin
sekä työntekijän työtehtäviin ja työsuhteeseen.
• Työnhakulomakkeissa ja haastatteluissa ei tulisi kysyä yksityiskohtaisia
terveydentilaan liittyviä tietoja, vaan kysymykset tulee perustua työtehtäviin.
– EI: ” Onko sinulla jokin vakava sairaus?”
– OK: ”Onko terveydentilassanne jotakin, joka rajoittaa hakemanne työtehtävän hoitamista?”
• Suunnittele etukäteen, mitä tietoja on tarpeen kerätä ja laadi tietosuoja-
asetuksen mukainen seloste henkilötietojen käsittelystä.
• Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi
esiin työpaikalla (kehityskeskustelut, poissaolot, lomavuorot jne.).
Tarpeellisuusvaatimus
Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3,
Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
6. • Työnantajan on ensisijaisesti kerättävä työnhakijaa koskevat henkilötiedot
hakijalta itseltään (työelämän tietosuojalaki 4§).
• Jos työnantaja kerää henkilötietoja muualta, tarvitaan työnhakijan suostumus.
– Suostumus ei ole tarpeen, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa
säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai
rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi.
• Vakiomuotoinen työnhakulomake ei toimi, jos jonkin tiedon kysyminen on
perusteltua toiseen työtehtävään, mutta toiseen ei.
– Jokaisen työtehtävän osalta tulisi suunnitella erikseen, mitkä tiedot ovat tarpeen.
• Arkaluontoisten henkilötietojen (mm. terveys) käsittelyyn tarvitaan suostumus.
• Työ-, virka- ja muissa palvelussuhteissa saadaan käsitellä henkilötunnusta.
• Älä kysy työtehtävän kannalta tarpeettomia tietoja ja muista syrjintäkielto.
– Esim. siviilisääty, perhesuhteet, lasten hankinta ja lapset, varusmiespalvelu, seurakunta tai
uskontokunta, harrastukset, luottamustoimet, poliittiset mielipiteet, etninen alkuperä jne.
• Työnantajan on kerrottava vastaamisen vapaaehtoisuudesta ja huolehdittava
yleisen tietosuoja-asetuksen mukaisesti informoinnista.
• Käytä verkkolomakkeissa salattua nettiyhteyttä (SSL-suojaus eli https://... )
Työnhakijoilta kerättävät tiedot
Lisätietoa: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
7. - Saako työnhakijoiden tai työntekijöiden taustoja selvittää
Internetin hakukoneiden kuten Googlen avulla?
- Saako sopivia työntekijöitä hakea sosiaalisen median palveluista
kuten LinkedInistä?
Kysymys: saako työnhakijaa googlata?
• Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot
ensisijaisesti häneltä itseltään.
• Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan
ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta.
– Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy
luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja).
• Hakijalta voidaan työnhakulomakkeella pyytää suostumus häntä koskevien
tarpeellisten tietojen hakuun hakukoneiden ja somepalvelujen avulla.
• Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on
myös oikeus tarkistaa itseään koskevat tiedot.
• Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko-
ja somepalveluista kuten LinkedInistä.
• Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä,
tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.
8. Kuvakaappaus: Iltalehti, 22.7.2019,
https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76-
16b104acd646
Case: miten tarkistaa
työnhakijan antamien
tietojen oikeellisuus?
• GDPR ja työelämän tietosuojalaki
lähtevät rekisteröidyn oikeudesta
tarkistaa ja korjata tietojaan.
– Jos rekisteröity kiistää tietojen oikeellisuuden,
tulee tietojen käyttöä rajoittaa kunnes ne on
varmistettu (GDPR 18 a).
• GDPR:n tietosuojaperiaatteiden
mukaan rekisterinpitäjän tulee
varmistaa tietojen täsmällisyys.
• Rekisterinpitäjä voi pyytää rekisteröityä
todistamaan tietojen oikeellisuus.
• Verkosta löytyvät tiedot voivat olla
virheellisiä, joten ne sopivat huonosti
tietojen varmistamiseen.
• Työnantaja voi pyytää työnhakijaa
koskevia tietoja tämän suostumuksella
mm. viranomaisten rekistereistä (esim.
opintosuoritukset ovat julkisia tietoja).
9. • Henkilö- ja soveltuvuusarviointitestit Työelämän tietosuojalaki 13 §
– Työnhakijan/työntekijän suostumuksella.
– Vain työtehtävien hoidon edellytysten tai koulutus- ja muun ammatillisen kehittämisen tarpeen
selvittämiseksi.
– Varmistettava, että testaukseen käytetään luotettavia testausmenetelmiä, suorittajat ovat
asiantuntevia ja testauksella saadut tiedot virheettömiä.
– Henkilöllä oikeus saada kirjallinen lausunto tuloksesta.
• Henkilöluottotiedot Työelämän tietosuojalaki 4 §
• Terveydentilaa koskevat tiedot Työelämän tietosuojalaki 5 §
• Huumausainetestit Työelämän tietosuojalaki 3 luku
• Lasten kanssa työskentelevien rikostausta Laki lasten kanssa työskentelevien
rikostaustan selvittämisestä
• Luotettavuuslausunnot Turvallisuusselvityslaki
Muut selvitykset työnhakijasta/-tekijästä
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
10. • Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet,
työyhteystiedot ja valokuvat esim. verkkosivuilla.
– Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta.
– Yhteystietojen julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tavoitettavissa.
– Kuvan julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tunnistettavissa.
• Työnantajan tulee tarvittaessa perustella tietojen julkaisu. Vaikka suostumusta
ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän
tietojaan on internetissä.
• Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön
suostumusta. Voidaan sanoa, että henkilö ei ole paikalla.
• Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen
perusteista tai irtisanomisilmoituksen sisällöstä. Voidaan sanoa, että henkilö ei
ole enää kyseisessä työtehtävässä.
Työntekijöistä julkaistavat tiedot
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
11. Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta esim. sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
12. - Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja.
Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitäjä?
- Muodostuuko intran uutisista, joissa kerrotaan mm. uusista ja
poislähtevistä työntekijöistä, rekisteri?
Kysymys: tiedot henkilöstöstä
• Yrityksen työntekijöiden tiedot muodostavat henkilörekisterin. Yrityksen
oikeusperusteena on tällöin joko sopimus tai rekisterinpitäjän oikeutettu etu.
• Yritys voi normaalisti julkaista työntekijöiden nimet, asemat ja työhön liittyvät
yhteystiedot esimerkiksi intranetissä ja nettisivuilla sekä luovuttaa niitä mm.
asiakkaille työtehtäviin liittyen.
• Kun kerätään muiden yritysten yhteyshenkilöiden tietoja, ne muodostavat
esimerkiksi asiakas- tai yhteistyökumppaneiden rekisterin.
• Työntekijöiden valokuvien julkaisulle esimerkiksi nimitysuutisten yhteydessä
kannattaa pyytää suostumus.
• Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman
suostumusta, sillä kyse on yksityiselämään liittyvistä tiedoista. Sen sijaan
voidaan sanoa, että henkilö ei ole paikalla.
13. - Yrityksen intranetiin kerätään valokuvia mm. vuosijuhlista,
pikkujouluista ja muista tapahtumista.
- Miten valokuvia pitäisi GDPR:n mukaan käsitellä?
- Muodostavatko valokuvat yritykselle rekistereitä?
Kysymys: valokuvat tapahtumista
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten.
• Jos yritys tallentaa valokuvia henkilöstöstä kuvapankiksi myöhempää tarkemmin
määrittelemätöntä käyttöä varten, kyse on henkilötietorekisteristä.
• Yleisöltä suljetut yritysten tilat ja tilaisuudet ovat julkisrauhan suojaamia. Jos
ulkopuolinen tunkeutuu tällaiseen tilaan, voi kyse olla julkisrauhan rikkomisesta.
• Jos joku ulkopuolinen kuvaa tapahtumassa ilman lupaa ja kuvat loukkaavat
henkilöiden yksityisyyttä, voi kyse olla salakatselusta.
• Yrityksen tilaisuuteen kutsutut vieraat ja esim. toimittajat saavat kuvata.
• Yleisölle avoimessa tapahtumassa saa kuvata kuka tahansa.
• Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa.
14. - Saako työnantaja laittaa työpaikalle näkyville listauksen, josta
käyvät ilmi eniten poissa olleiden työntekijöiden nimet?
- Entä listan työntekijöistä tehtyjen valitusten määristä?
Kysymys: sairauspoissaolot ja valitukset
• Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on
tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien
suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy.
• Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan
haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella.
• Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään
työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat
vaitiolovelvollisia.
• Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla
vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa.
• Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista
yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä
työntekijöitä voida päätellä niistä.
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
15. • Kameravalvonta on sallittua VAIN, jos tarkoituksena on:
– työntekijöiden + muiden työnantajan tiloissa olevien henkilökohtaisen turvallisuuden
varmistaminen
– omaisuuden suojaaminen
– tuotantoprosessien sujumisen varmistaminen tai edellä mainittuja vaarantavien tilanteiden
ennalta estäminen tai selvittäminen
– vain työnantajan käytössä olevissa tiloissa
• EI kameravalvontaa:
– Henkilöstö- ja sosiaalitiloissa, pukeutumistilassa, käymälässä
– Henkilökohtaisessa työhuoneessa
• Kameravalvonta voidaan kohdistaa tiettyyn työpisteeseen, jos välttämätöntä:
– Työntekijään kohdistuvan väkivallan, turvallisuuden tai terveyden uhan vuoksi
– Omaisuuteen kohdistuvien rikosten estämiseksi ja selvittämiseksi, jos työntekijän tehtäviin
olennaisesti niiden käsittely kuuluu, milloin omaisuus on arvoltaan tai määrältään ”merkittävää”,
– Työntekijän pyynnöstä + sovittu työnantajan kanssa ja jos perustuu työntekijän etujen ja
oikeuksien varmistamiseen.
• EI KOSKAAN:
– Työntekijän tai tiettyjen työntekijöiden tarkkailuun työpaikalla.
– Ei myöskään työoikeudellisten velvoitteiden valvontaan, esim. työajan noudattaminen.
Kameravalvonta työpaikalla
Lähde: Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
16. 1. Selvitä ensin, onko muita vähemmän yksityisyyteen puuttuvia keinoja käytettävissä.
2. Rajoita kameravalvonta vain hyväksyttyjen tarkoitusten kannalta välttämättömään.
3. Tietosuoja-asetusta sovelletaan aina työelämän erityislakia täydentävästi myös
kameravalvontaan Onko työntekijöitä informoitu läpinäkyvyysperiaatteen mukaisesti
(mm. rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset sekä käsittelyn
oikeusperuste, henkilötietojen vastaanottajat, tietojen säilytysajat.)
4. Onko sisäinen dokumentointi, mm. seloste käsittelytoimista laadittu?
5. Älä käytä tallenteita muihin kuin etukäteen suunnittelemiisi, hyväksyttäviin ja etukäteen
ilmoittamiisi käyttötarkoituksiin.
6. Määrittele, kenellä organisaatiossa on työtehtävien tai asemansa vuoksi oikeus
katsoa/käsitellä kameratallenteita rekisterinpitäjän ohjeiden mukaan. Huomioi
suojaaminen sivullisilta.
7. Käy ensin YT- tai kuulumismenettely, tiedota sitten kameravalvonnan toteuttamisesta ja
tarvittaessa kameroiden sijoittelusta (työpisteeseen kohdistuva valvonta).
8. Huolehdi, että tiloissa, joissa kameravalvontaa käytetään, siitä myös näkyvällä tavalla
ilmoitetaan!
Kameravalvonnan tarkistuslista
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä kameravalvonnasta, https://tietosuoja.fi/usein-kysyttya-kameravalvonta,
Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
17. - Saako työnantaja paikantaa työntekijöitään?
- Saako paikannuksen tietoja käyttää työajan valvonnassa?
Kysymys: työntekijöiden paikannus
• Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos
työnantajalla on siihen asiallinen peruste ja tarve.
• Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä
resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan.
• Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus.
• Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos
laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin).
• Paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden
valvonnassa, kuten työajan seurannassa.
– Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään
enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole käytettävissä muita keinoja.
– Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen
käyttötarkoitukseksi sekä käsitellä se YT-menettelyssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
20. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan.
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen
dokumentointia.
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen
käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava
valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi
tietosuojavirasto).
• Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi
sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus.
• Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim.
ylläpitäjien lokitiedoilla.
• Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla
tai käytännesäännöillä
Osoitusvelvollisuus
Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
21. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.)
• Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.)
• Informointikäytännöt (12-14 art.)
• Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.)
– Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.)
– Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.)
• Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.)
– Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet
– Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
– Sisäiset tarkastukset ja auditoinnit
• Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio
• Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi
• Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.)
• Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla)
• Yhteisrekisterinpitäjien vastuualueet (29 art.)
• Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.)
• Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku)
Rekisterinpitäjän osoitettavat asiat
Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä,
https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
24. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Seloste käsittelytoimista ja
rekisteröidyn informointi
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
25.
26. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
28. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen
kannalta tarpeellisia henkilötietoja
• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta,
säilytysaikaa ja saatavilla oloa.
• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei
julkaisesti saatavilla, vaan niitä käsitellään suojatusti.
• Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tarpeelliset tekniset
suojatoimet ja toimenpiteet organisaatiossaan. Esimerkiksi:
– Henkilöstön koulutus
– Ohjeistukset ja määräykset
– Salassapitositoumukset
– Tilojen ja tietojärjestelmien valvonta
– Tietojärjestelmien tietoturva
– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset
– Auditoinnit, tietotilinpäätökset jne.
• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
Oletusarvoinen tietosuoja
29. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista
suojatoimista määräytyvät riskiperusteisesti
• Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet
on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin
• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti
aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja.
– Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
• Riski voi olla korkeampi, kun
– käsitellään heikossa asemassa olevien tietoja (esim. lapset)
– käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
– käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi
• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva
vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää
riskiä (35 artikla).
Riskiperusteinen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06-
6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
30. Henkilötietojen käsittelyn riskienhallinta
Henkilötietojen
käsittelyn nykytilan
arviointi
Henkilötietojen
käsittelyn
oikeusperusteet
Tasapainotesti, jos
käsittelyn perusteena
on oikeutettu etu
Vaikutustenarviointi,
jos henkilötietojen
käsittelyyn voi
kohdistua korkea riski
Tietosuojan
varmistavat tekniset
ja organisatoriset
suojatoimet
Rekisterinpitäjän
seloste
käsittelytoimista
Rekisteröityjen
informointi
Sopimukset ja ohjeet
henkilötietojen
käsittelijöille
Seuranta ja kehitys
31. Tasapainotesti: oikeutettu etu
Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu
1. Onko oikeutettu etu sopivin
käsittelyperuste?
2. Täyttyvätkö perusvaatimukset?
Laillinen, selkeästi ilmaistu ja
todellinen tarkoitus ja tarve.
3. Onko henkilötietojen käsittely
tarpeen edun saavuttamiseksi?
4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet?
Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet
• Tietojen käsittelyn täytyy olla tarpeen, jonkin
perusoikeuden toteuttamiseksi (esim. sananvapaus,
taiteen ja tutkimuksen vapaus, elinkeinovapaus)
• Myös yleinen tai yhteisön etu voi olla oikeutettu (esim.
hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt).
• Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn,
joka on lähellä jotain muuta tarkoitusta, johon on muu
oikeusperuste (esim. sopimus).
• Esimerkkejä: suoramarkkinointi, tieteellinen ja
historiallinen tutkimus sekä tilastointi, henkilötietojen
siirtäminen hallinnollisista syistä konsernin sisällä.
• Arkaluontoisten tietojen ja salassa pidettävien
henkilötietojen käsittelylle on korkeammat vaatimukset.
• Huomioi sekä konkreettiset että mahdolliset seuraukset.
Esim. mahdollisuus käyttää tietoja syrjivästi ja
rekisteröidylle aiheutuva mielipaha.
• Arvioi riskien todennäköisyys, epävarmuustekijät ja
seurauksien mahdollinen vakavuus.
• Käsittely ei saa olla rekisteröidylle odottamatonta.
• Heikossa asemassa olevien rekisteröityjen kuten lasten ja
muiden haavoittuvassa asemassa olevien oikeuksien
toteutumisessa on oltava huolellisempi.
5. Varmista tietosuojan lisätakeet
Tekniset ja toiminnalliset keinot, joilla
vähennetään henkilötietoihin kohdistuvia
riskejä. Esim. tietojen minimointi,
anonymisointi ja korkea tietoturva.
6. Osoita toiminnan lainmukaisuus ja
varmista avoimuus
Dokumentoi tasapainotestin suoritus ja
valmistaudu selittämään käsittelyn
perusteet rekisteröidyille.
vs.
33. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
34. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä.
• Vaikutustenarviointi tulee tehdä erityisesti, kun:
– otetaan käyttöön uutta teknologiaa
– käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten
terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista
– on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
– on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi
riskialtista käsittelytoimea (ks. ao. ohje).
• Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee
rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen).
• Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti.
• Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.
pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Milloin on tehtävä vaikutustenarviointi?
Lähde: Tietosuojavaltuutetun toimisto, 2017,
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html
35. Vähintään 2 riskiä vaikutustenarviointi
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä
1. Arviointi tai pisteytys Esim. käyttäytymis- tai
markkinointiprofiilien koostaminen.
2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia
merkittäviä vaikutuksia *
Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi,
jota voitaisiin käyttää esim. syrjintään.
3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen
kameravalvonta.
4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim.
taloustiedot ja yksityiset päiväkirjat.
5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus
väestöstä, pitkäkestoisuus.
6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö
tai soveltaminen *
Uusiin ratkaisuihin voi liittyä riskejä, joita
ei havaita helposti.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta.
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
36. Esimerkkejä vaik.arvioinnin tarpeesta
Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko
todennäköisesti
vaikutustenarviointi?
Yritys seuraa järjestelmällisesti työntekijöidensä
toimintaa, esimerkiksi työntekijöiden työasemia ja
toimintaa internetissä jne.
- Järjestelmällinen valvonta
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
KYLLÄ
Sosiaalisen median julkisten tietojen kerääminen
profiilien laatimiseksi.
- Arviointi tai pisteytys
- Tietojen laajamittainen käsittely
- Tietokokonaisuuksien sovittaminen
yhteen tai yhdistäminen
- Arkaluontoiset tiedot tai luonteeltaan
hyvin henkilökohtaiset tiedot
KYLLÄ
Heikossa asemassa olevia rekisteröityjä koskevien ja
peitenimellä tallennettujen, tutkimushankkeisiin tai
kliinisiin tutkimuksiin liittyvien arkaluontoisten
henkilötietojen tallentaminen arkistointitarkoituksiin.
- Arkaluontoiset tiedot
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
- Estää rekisteröityjä käyttämästä
oikeutta tai palvelua tai sopimusta
KYLLÄ
(useita kriteereitä)
Verkkolehti käyttää postituslistaa päivittäisen
yleiskoosteen lähettämiseen tilaajilleen
- Tietojen laajamittainen käsittely EI
(vain 1 kriteeri)
Sähköisen kaupankäynnin verkkosivustolla esitetään
museoajoneuvojen osia koskevia ilmoituksia, joihin
liittyy kyseisellä verkkosivustolla katsottuihin tai
hankittuihin tavaroihin perustuva rajoitettu profilointi
- Arviointi tai pisteytys EI
(vain 1 kriteeri)
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
37. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf