Erityisten henkilötietoryhmien käsittely
Erityisiä henkilötietoryhmiin kuuluvia henkilötietoja ovat rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveytä koskevat tiedot, seksuaalinen suuntautuminen tai käyttäytyminen ja henkilön tunnistamiseen käytetyt geneettiset ja biometriset tiedot. Näiden tietojen käsittely on lähtökohtaisesti kiellettyä, mutta sallittua poikkeustapauksissa. Poikkeusperuste voi olla esimerkiksi se, että rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn.
Lue lisää erityisten henkilötietoryhmien käsittelystä tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvoston ohjeet
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Tietosuojavaltuutetun toimiston päätökset
Erityisten henkilötietoryhmien käsittelyyn on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
- Työnhakijoiden henkilötietojen kerääminen tarpeettomasti, Tietosuojavaltuutettu katsoi, että rekisterinpitäjä oli kerännyt työnhakijoista tarpeettomia tietoja tietosuoja-asetuksen käsittelyn oikeusperustetta ja henkilötietojen minimointia koskevien velvollisuuksien vastaisesti. Tietosuojavaltuutettu katsoi, että osa tiedoista oli tietosuoja-asetuksessa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja ja näin ollen niiden käsittely oli rikkonut myös erityisten henkilötietoryhmien käsittelyä koskevia velvollisuuksia. Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjän seloste käsittelytoimista oli puutteellinen siten, että siitä ei riittävällä tarkkuudella ilmennyt henkilötietojen suunniteltuja poistoaikoja (137/161/2020).
- Rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollosta vakuutusyhtiön vastuun arvioinnin yhteydessä Rekisterinpitäjä oli pyytänyt vakuutushakemuksen terveystietokaavakkeella rekisteröidyn suostumusta siihen, että eri terveydenhuollon yksiköt saavat luovuttaa rekisteröidyn potilastietoja vakuutusyhtiölle. Tietosuojavaltuutettu katsoi, että rekisteröidyltä pyydettävä suostumus ei ole ollut riittävällä tavalla yksilöity ja suostumuspyynnössä ei ollut noudatettu sellaista tarkkuutta, jotta vakuutuksenhakijat voisivat valvoa, että käsitelläänkö heidän henkilötietojaan vai ei, ja mitä tietoja kutakin tarkoitusta varten käsitellään. Tietosuojavaltuutettu katsoi, että rekisterinpitäjän toteuttama erityisten henkilötietoryhmien käsittely ei ole ollut tietosuojalain, eikä tietosuoja-asetuksen erityisiä henkilötietoryhmiä koskevien velvoitteiden mukaista (4680/182/18).