Siirry pääsisältöön
Euroopan komission logo
fi
Euroopan komissio

Missä olosuhteissa yritykseni/organisaationi voi käsitellä arkaluonteisia tietoja?

Vastaus

Yrityksesi/organisaatiosi voi käsitellä arkaluonteisia tietoja voidaan käsitellä, jos yksi alla luetelluista ehdoista täyttyy:

  • yksilöltä on saatu nimenomainen suostumus (tämä mahdollisuus on voitu jossain tapauksissa poissulkea lainsäädännöllä)
  • käsittely on tarpeen yrityksesi/organisaatiosi velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan EU:n oikeudessa tai kansallisessa lainsäädännössä tai työehtosopimuksessa
  • henkilön elintärkeät edut ovat vaarassa, ja henkilö on mahdollisesti fyysisesti tai oikeudellisesti kykenemätön antamaan suostumuksensa
  • poliittinen, filosofinen, uskonnollinen tai ammattiliittotoimintaan liittyvä säätiö, yhdistys tai muu voittoa tavoittelematon yhteisö käsittelee jäsentensä tai säännöllisesti organisaation kanssa tekemisissä olevien henkilöiden tietoja
  • käsittely koskee henkilötietoja, jotka henkilö on nimenomaisesti saattanut julkisiksi
  • tietojen käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • tietojen käsittely on tarpeen tärkeää yleistä etua koskevasta syystä EU:n oikeuden tai kansallisen lainsäädännön nojalla
  • tietojen käsittely on tarpeen: ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten EU:n oikeuden tai kansallisen lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti
  • tietojen käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi EU:n oikeuden tai kansallisen lainsäädännön nojalla
  • tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten EU:n oikeuden tai kansallisen lainsäädännön nojalla.

Kansallisella lainsäädännöllä voidaan ottaa käyttöön lisäehtoja, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tarkista tiedot oman maasi kansalliselta tietosuojaviranomaiselta.

Esimerkki

Arkaluonteista tietoa saa käsitellä

Lääkäri ottaa vastaan lukuisia potilaita yksityisvastaanotollaan. Hän kirjaa käynnit tietokantaan, joka sisältää muun muassa seuraavat tietokentät: potilaan nimi/sukunimi, oireiden kuvaus ja määrätty lääkitys. Näiden tietojen katsotaan olevan arkaluonteisia tietoja. Terveystietojen käsittely on sallittua tietosuojalain puitteissa, koska se on tarpeen potilaan hoitamiseksi ja koska käsittelystä vastaa lääkäri, jota sitoo vaitiolovelvollisuus.

Arkaluonteista tietoa ei saa käsitellä

Yrityksesi myy pukuja verkossa. Palvelujen räätälöimiseksi asiakkaan erityistarpeiden mukaan pyydät asiakkaalta seuraavia tietoja: koko, haluttu väri, maksutapa, nimi ja toimitusosoite. Yrityksesi kysyy asiakkailta myös näiden poliittisia näkemyksiä. Suurin osa tiedoista on tarpeen sopimusvelvoitteiden täyttämiseksi. Asiakkaiden poliittiset näkemykset eivät kuitenkaan ole tarpeen pukujen valmistamiseksi ja toimittamiseksi. Et voi pyytää kyseisiä tietoja tämän sopimuksen nojalla.

Viitteet

Example

You can process sensitive data

A doctor sees a number of patients at his clinic. He logs the visit in a database that includes fields such as name/surname of patient, description of symptoms and medication prescribed. That is considered to be sensitive data. The processing of health data by the clinic is allowed under the data protection law because it is required to treat the person and is carried out under the responsibility of a doctor who is subject to an obligation of professional secrecy.

You can’t process sensitive data

Your  company sells dresses online. In order to tailor the services to the specific interests of your clients, you ask them to provide you with information about sizes, preferred colour, payment method, name and the address so that the product can be delivered. In addition your company asks for your clients’ political views. You need the majority of the information to fulfil your side of the contract. However, clients’ political views are not a requirement to make and deliver their dresses. Your company cannot ask for that information under that contract.