Henkilötietojen käsittelyn periaatteet

Keskeisiä henkilötietojen käsittelyä koskevia periaatteita ovat

  • käyttötarkoitussidonnaisuus
  • tietojen minimoinnin periaate
  • täsmällisyys, lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaate
  • säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus.

Käyttötarkoitussidonnaisuudella tarkoitetaan sitä, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä henkilötietoja saa käsitellä myöhemmin näiden käyttötarkoitusten kanssa yhteensopimattomalla tavalla. Tietojen minimointia koskevan periaatteen mukaan kerättävien henkilötietojen tulee olla asianmukaisia, olennaisia ja tarpeellisia niiden käsittelytarkoituksen kannalta. Henkilötietoja ei siten voi kerätä esimerkiksi ainoastaan siltä varalta, että niiden käyttö voisi myöhemmin osoittautua hyödylliseksi. Tietojen täsmällisyyttä koskeva periaate tarkoittaa, että rekisterinpitäjän on huolehdittava tietojen täsmällisyydestä. Epätarkat ja virheelliset tiedot on oikaistava tai poistettava viipymättä.

Henkilötietojen käsittelyn lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskeva periaate puolestaan edellyttää, että henkilötietojen käsittely on lainmukaista ja rekisteröidyn kannalta läpinäkyvää. Henkilötietojen läpinäkyvällä käsittelyllä tarkoitetaan sitä, että rekisteröity saa tietoja itseään koskevasta henkilötietojen käsittelystä. Läpinäkyvyyden perustekijöihin kuuluvat vaatimukset, joiden mukaan tietojen on oltava helposti saatavilla ja ymmärrettäviä sekä selkeästi muotoiltuja.

Säilytyksen rajoittamista koskevan periaatteen mukaan henkilötietoja voi säilyttää sellaisessa muodossa, jossa rekisteröity on tunnistettavissa ainoastaan niin pitkään kuin se on tarpeellista käsittelytarkoituksen toteutumisen kannalta. Eheyttä ja luottamuksellisuutta koskeva periaate korostaa henkilötietojen käsittelyn turvallisuudesta huolehtimista.

Henkilötietodirektiivin ja henkilötietolakiin nähden uusi henkilötietojen käsittelyä koskeva periaate on osoitusvelvollisuus. Rekisterinpitäjän on kyettävä osoittamaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista.

Osoitusvelvollisuuden merkitys korostuu tietosuoja-asetuksessa omaksutussa nk. riskipohjaisessa lähestymistavassa. Tietosuoja-asetus ilmentää nykyistä henkilötietojen suojaa koskevaa lainsäädäntöä vahvemmin nk. riskipohjaista lähestymistapaa. Riskipohjaisen lähestymistavan keskeinen ajatus on, että rekisterinpitäjä ja henkilötietojen käsittelijä voi sovittaa toimenpiteet, joilla se suojaa henkilötietoja, käsittelyyn sisältyvän riskin mukaisiksi.

Rekisterinpitäjän ja henkilötietojen käsittelijän on siten kyettävä osoittamaan, että valitut toimenpiteet henkilötietojen suojaamiseksi ovat olleet oikeasuhtaisia käsittelyyn liittyviin riskeihin nähden. Riskipohjainen lähestymistapa ei kuitenkaan koske rekisteröidyn oikeuksia. Rekisteröidyllä on samat oikeudet saada esimerkiksi tietää, mitä tarkoitusta varten henkilötietoja käsitellään, riippumatta siitä, millaisia riskejä kyseinen henkilötietojen käsittely sisältää.

Henkilötietojen käsittelyä koskevat periaatteet koskevat kaikkea henkilötietojen käsittelyä. Tietosuoja-asetuksen yksityiskohtaisemmat säännökset ilmentävät yleisten periaatteiden mukaisia tavoitteita. Esimerkiksi tietosuoja-asetuksen 15 artiklassa säädetty rekisteröidyn oikeus tutustua itsestään kerättyihin tietoihin ilmentää henkilötietojen käsittelyn läpinäkyvyyttä koskevaa periaatetta.