Henkilötietolaki määrittelee henkilötietojen käsittelyn pelisäännöt

Tärkein huomioon otettavista laeista on henkilötietolaki⁸⁾. Sen kolmannen pykälän mukaan henkilötiedoilla tarkoitetaan 

”kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi”. 

Käytännössä kaikkea sellaista tietoa, joka voidaan sitoa luonnolliseen henkilöön, tulee käsitellä henkilötietoina. Saman pykälän mukaan henkilötietojen käsittelyllä tarkoitetaan 

”henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä”, 

siis tyypillisesti sellaisia toimenpiteitä, joita Internet-palveluita tuotettaessa käsitellään. Tällaisten henkilötietojen joukkoa nimitetään laissa henkilörekisteriksi ja tietoja säilyttävää ja käsittelevää toimijaa rekisterinpitäjäksi. 

Rekisterinpitäjälle laki säätää velvollisuuksia muun muassa tietoturvan ja vaitiolovelvollisuuden osalta ja antaa rekisterissä olevalle henkilölle oikeuden tarkastaa ja tarvittaessa oikaista itseään koskevat tiedot. Pykälässä 26 säädetään: 

”Jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Silloin kun on kysymys 31 §:ssä tarkoitetusta automatisoidusta päätöksestä, rekisteröidyllä on oikeus saada tieto myös tietojen automaattiseen käsittelyyn liittyvistä toimintaperiaatteista.” 

Lisäksi pykälässä 26 säädetään, että tällainen omien tietojen tarkastaminen on maksutonta: 

”Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.” 

Nämä kaikki periaatteet ovat osa EU-lainsäädäntöä, jonka kaikki EU-maat ovat implementoineet eli säätäneet osaksi kansallista lainsäädäntöään⁹⁾. Meillä on siis koko EU-alueen kattava henkilötietolaki. Tästä syystä henkilötietolain 5. luvussa säädetään erikseen henkilötietojen luovuttamisesta EU-alueen ulkopuolelle: 

”Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. 

Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.” 

Lain tarkoitus on suojella kansalaisia siltä, etteivät näiden henkilötiedot joudu lain ulottumattomiin näiden tietämättä. Tämä turvataan siten, että EU-alueen ulkopuolelle tehtävistä tietojen siirroista on kerrottava henkilörekisterin rekisteriselosteessa ja niistä on erikseen ilmoitettava tietosuojavaltuutetulle.

8) Henkilötietolaki 532/1999 (Finlex) 

9) Euroopan parlamentin ja neuvoston direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EUR-Lex)