Mikä kaikki toiminta on henkilötietojen käsittelyä?
Henkilötiedon käsittelyllä tarkoitetaan henkilötietoihin tai tietojoukkoihin liittyvää toimintaa, on se sitten automaattista, sähköisesti tapahtuvaa tai manuaalista käsittelyä, kuten esimerkiksi tulosteiden ja dokumenttien mapittamista.
Henkilötietojen käsittelyä on siten mm. tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, tietojen luovuttaminen tai asettaminen saataville, tietojen yhteensovittaminen tai yhdistäminen, rajoittaminen, poisto tai tuhoaminen. Tässä yhteydessä pitää huomioida, että myös tiedon katseleminen tai haku sähköisestä järjestelmästä on henkilötietojen käsittelyä. Tai pelkästään tietojärjestelmässä tapahtuva, automatisoitu tiedon käsittely, jossa esimerkiksi arvioidaan henkilön piirteitä tai ominaisuuksia
Henkilötiedon käsittelyä on myös pääsyn mahdollistaminen henkilötietoon esimerkiksi silloin kun henkilötiedon käsittely ulkoistetaan rekisterinpitäjän ulkopuolelle. Tyypillisiä ulkoitsutilanteita ovat kirjanpito, palkanlaskenta, markkinointi ja IT tukipalvelut.
Esimerkkejä yrityksissä tapahtuvista toiminnoista, joissa henkilötietoja käsitellään
- Asiakkaiden kanssa tapahtuvat toimenpiteet
- Laskutus
- Markkinointi ja potentiaalisten asiakkaiden kanssa käytävä viestintä
- Verkkolomakkeiden vastaanotto ja käsittely
- Puhelimella soittaminen tai siihen vastaaminen
- Sähköpostiviestintä
- Henkilöstön lakisääteisten asioiden hoitaminen
- Kameravalvonta
- Kulunvalvonta
Pseudonymisointi
Henkilötietojen käsittelyn yhteydessä saatamme törmätä pseudonymisoinnin ja anonymisoinnin käsitteisiin. Tietoja, joista henkilö on tunnistettavissa vain epäsuorasti, kutsutaan pseudonymisoiduiksi tiedoiksi.
On tärkeää huomioida,että pseudonymisoitu tieto on edelleen henkilötieto ja siihen sovelletaan tietosuoja-asetusta.
Pseudonymisointi on siis ennen kaikkea tiedon suojaamistoimenpide, jota käytetään esim. tilanteissa, joissa yksilön tiedot korvataan jollain tunnisteella, mutta tunnisteen avulla tiedot voidaan myöhemmin vielä palauttaa ja yhdistää luonnolliseen henkilöön.
Anonymisointi
Anonymisoitujen henkilötietojen tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole mahdollista edes yhdistämällä tiedot muualta saataviin tietoihin. Anonymisoituja tietoja käsitellään mm. tilasto- ja tutkimustarkoituksia varten. Tietosuoja-asetus ei koske anonymisoituja henkilötietoja.
Sekä tietojen pseudonymisoinnissa ja anonymisoinnissa tulee huolehtia siitä, että se tehdään sellaisella mallilla ja algoritmilla, johon ei liity haavoittuvuutta tai muuta mahdollisuutta palauttaa alkuperäiset tiedot nyt tai tulevaisuudessa.
