Skip to main content
Tietosuoja

“Emme käsittele henkilötietoja” – kohtalokas tietosuoja­väärinkäsitys

By 20.4.2023No Comments

Liian usein ajatellaan, että tietosuojalainsäädännön velvoitteet eivät koskisi omaa organisaatiota tai vastuualuetta, koska “emmehän me käsittele henkilötietoja”. Harmittavan usein tämä käsitys osoittautuukin vääräksi.

 

Mitä on henkilötieto? Lakikielellä henkilötietoa on kaikki tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan yksittäiseen henkilöön. Henkilötietoa on myös tieto, jolla ei suoraan voida tunnistaa ihmistä, mutta joka yhdessä muun tiedon kanssa muodostaa tietojoukon, jolla ihminen voidaan tunnistaa.

Mitä tämä käytännössä tarkoittaa? Maalaisjärjellä on helppo päätellä, että ihmisen nimi, sähköpostiosoite tai vaikka henkilötunnus ovat henkilötietoja. Useimmat myös osaavat listata terveystiedot henkilötiedoiksi, ainakin, jos niiden mukana kulkee henkilön nimi tai hetu. Mutta entäpä tieto sairauspoissaoloista, jota ei yhdistetä henkilön nimeen? Monesti ajatellaan, että tiedon saa anonyymiksi ja ei-henkilötiedoksi sillä, että poistetaan tiedostosta ihmisten nimet. Valitettavasti asia ei kuitenkaan ole näin yksinkertainen.

Jos työpaikalla on 50 työntekijää, ja yksi on usein poissa töistä muiden ollessa lähes aina paikalla, on “anonyymista” sairaspoissaololistasta helppo työkaverien päätellä, kuka on isoimman sairaspoissaolokertymän saanut. Tällöin lista sairaspoissaoloista on henkilötietoa, vaikka poissaolot kerrottaisiin ilman nimiä. Lisäksi sairaspoissaolot kertovat henkilön terveydentilasta ja ovat siksi erityisen suojattavia henkilötietoja.

Entäpä toiminnanohjausjärjestelmä, jolla seurataan tehtaan kaluston kuntoa ja huoltoa? Tällaisessa ei varmasti ole mitään henkilötietoja, saattaisi moni helposti ajatella. Todellisuudessa kaikki järjestelmät, joissa on henkilökohtaiset käyttötunnukset ja mahdollisesti vielä näitä seuraava lokitus sisältävät henkilötietoa. Myös tieto siitä, kuka työntekijöistä on milloinkin tehnyt vaikka korjauksia laitteisiin, on henkilötietoa. Tämä tieto kun kertoo yksittäisen ihmisen työsuorituksista.

Vielä haasteellisemmaksi asia muuttuu, jos useammasta eri lähteestä yhdistellään tietoja, tai niitä voidaan yhdistellä. Jos esimerkiksi tiedot kussakin vuorossa tehdyistä myynneistä ovat yhdessä paikassa, ja toisesta lähteestä voidaan selvittää kuka kussakin vuorossa on ollut, muuttuu myös myyntitieto helposti henkilötiedoksi.

Henkilötietojen käsittelyä tapahtuu kaikissa organisaatioissa. Jos ajattelee, että “emme käsittele henkilötietoa”, kannattaa ehdottomasti vielä varmistaa asiantuntijalta, onko näin todella.

Tietosuojavelvoitteet on melko helppo hoitaa, jos ensin tietää mitä henkilötietoja käsittelee. Molemmat Oy:ssä tarjoamme apua kaikkiin tietosuojakysymyksiin, myös sen selvittämiseen, koskevatko tietosuojavelvoitteet teitä vai eivät.