Tässä on kirjallinen kuvaus SunUran valmennus- ja yrityspalveluiden tasapainotestin suorittamisesta ja siihen liittyvistä päätöksenteon vaiheista. Testi tehdään uudestaan ja alla oleva kuvaus päivitetään vastaavasti, jos käsittelyn tarkoitus, luonne tai asiayhteys muuttuu.
Paikalla olivat: Ville-Matti Vilkka, Sari Kuosmanen
Testi tehtiin 24.8.2022 klo 14-16:00.
Käsittelyperusteen valinta
Henkilötietojen käsittelylle täytyy olla laillinen peruste. SunUran valmennus- ja yrityspalveluiden oikeutettu etu on käytännössä soveltuvin käsittelyperuste ulkopuolisten ihmisten henkilötietojen käsittelylle, kunhan se voidaan perustellusti tasapainottaa rekisteröityjen oikeuksien ja vapauksien kanssa. Tämän selvittämiseksi rekisteröidylle aiheutuvat riskit arvioidaan tämän tasapainotestin yhteydessä. Jos oikeutettua etua ei saada tasapainotettua rekisteröidyille aiheutuvien riskien kanssa, tulee henkilötietojen käsittelylle olla jokin muu tietosuoja-asetuksessa määritellyistä käsittelyperusteista.
- Onko oikeutettu etu sopivin käsittelyperuste?
Muut vaihtoehtoiset käsittelyperusteet
Rekisteröidyn antama suostumus
Suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua. Rekisteröity ei siten voi antaa suostumusta, jonka nojalla häntä koskevia tietoja voitaisiin käyttää mihin tahansa tarkoituksiin ja miten tahansa. Suostumuksen asianmukaisuuden vaatimuksena on mm. rekisterinpitäjän velvoite pystyä osoittamaan suostumuksen olemassaolo, kirjallinen muoto on suositeltava.
SunUran valmennus- ja yrityspalveluiden henkilötietojen käsittely on hyvin lähellä suostumusperusteista käsittelyä. Suostumusta ei voida kuitenkaan katsoa soveltuvan yleisesti käsittelyperusteeksi SunUran valmennus- ja yrityspalveluissa henkilötietojen käsittelylle etenkin seuraavista syistä:
Vastaus: Tilanteessa on epäsuhta vallankäytössä SunUran ja valmennusasiakkaan välillä. TE-palvelu ja Työllisyyden kuntakokeilu ohjaavat asiakkaat valmennuspalveluun. Tällöin suostumusta ei voi käyttää henkilötietojen oikeusperustana henkilötietojen käsittelyssä. Valmennustoiminta on viranomaisen tilaamaa, jolloin SunUra käyttää viranomaisen kaltaista julkista valtaa. Tähän ei sovellu asiakkaan suostumus.
Sopimuksen täytäntöönpano
SunUran valmennus- ja yrityspalveluiden toiminnassa ei ole sellaista sopimusta rekisteröidyn ja rekisterinpitäjän välillä, jonka täytäntöön panemiseksi henkilötietojen käsittely olisi tarpeen. Palvelut voisivat toimia periaatteessa myös anonyymisti asiakkaan näkökulmasta.
Lakisääteinen velvoite, elintärkeiden etujen suojaaminen, julkinen valta
Laillinen peruste henkilötietojen käsittelylle voi olla lakisääteisen velvoitteen noudattaminen, elintärkeiden etujen suojaaminen tai julkisen vallan käyttäminen. Laki ei velvoita keräämään SunUran valmennus- ja yrityspalveluissa henkilötietoja. Kyse ei myöskään ole kenenkään elintärkeän edun suojaamisesta. Myöskään julkisen vallan käyttäminen ei edellytä SunUran valmennus- ja yrityspalveluissa kerättyjen henkilötietojen käsittelyä, joten nämä käsittelyperusteet eivät sovellu henkilötietojen käsittelyn perusteeksi tässä tapauksessa.
Yleinen etu
Yleistä etua koskeva tehtävä on täytynyt antaa lailla tai muilla oikeudellisilla säännöksillä. Yleisen edun mukaista käsittelyä voi esimerkiksi olla henkilötietojen käsittely tieteellisen tai historiallisen tutkimuksen tai tilastoinnin tarkoituksia varten. Yleinen etu ei siis sovellu henkilötietojen käsittelyperusteeksi SunUran valmennus- ja yrityspalveluissa.
- Täyttyvätkö perusvaatimukset?
Täyttyvätkö seuraavat oikeutetun edun perusvaatimukset?
- Edun on oltava tietosuojalainsäädännön mukainen.
- Edun on oltava selkeästi ilmaistu, jotta sen tasapainoa suhteessa rekisteröidyn etuihin ja oikeuksiin voidaan arvioida.
- Edun täytyy edustaa todellista ja välitöntä tarvetta (ei spekulatiivista).
- Etu on lainmukainen
Vastaus: Laki julkisesta työvoima- ja yrityspalvelusta tekee mahdolliseksi SunUran valmennuspalvelut.
- Etu on selkeästi ilmaistu
Vastaus: Rekisteröityjen informaatiovelvollisuudesta on huolehdittu. Etu ilmaistaan tietosuojaselosteessa SunUran julkisilla verkkosivuilla. Rekisteröityjä informoidaan tietosuojaselosteen kautta, mm. linkittämällä tietosuojaseloste erilaisiin kutsuihin. Oikeutetun edun tasapainotesti laitetaan julkisesti saatavaksi.
- Etu perustuu todelliseen ja välittömään tarpeeseen
Vastaus: SunUralla on tarve tarjota valmennusta, koska se on yrityksen olemamassaolon syy (missio).
- Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi?
- Harkitse, voisiko samaan lopputulokseen päästä sellaisilla keinoilla, joilla rekisteröidyn yksityisyyteen puututaan vähemmän.
Vastaus: Ei päästäisi, toiminnassa kerätään vain tiedot, jotta voidaan tuottaa kuvattua palvelua.
Jotta etu olisi oikeutettu, tietojen käsittelyn täytyy olla tarpeen esimerkiksi jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) ja oikeassa suhteessa siihen nähden. Myös yleinen tai laajemman yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyysjärjestöt, voittoa tavoittelemattomat yhteisöt). Muista oikeutetuista eduista voi olla kysymys esimerkiksi silloin, kun käsittely on lähellä jotain asiayhteyttä, johon voidaan soveltaa muuta käsittelyperustetta (esim. sopimus), mutta käsittely ei suoraan mene tämän käsittelyperusteen alaan. Myös sillä on merkitystä, tunnistetaanko EU:n tai kansallisessa lainsäädännössä tai muussa sääntelyvälineessä rekisterinpitäjän oikeus käsitellä henkilötietojen jonkin oikeutetun edun toteuttamiseksi.
- Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet?
Rekisterinpitäjän tai kolmannen osapuolen etu
Arvioi henkilötietojen käsittelyn tosiasiallista vaikutusta vastaamalla seuraaviin kysymyksiin.
- Millaisesta rekisterinpitäjän tai kolmannen osapuolen edusta on kyse?
Vastaus: Oikeus tarjota valmennusta ja olla mukana työllistymistä tukevassa kehityksessä.
- Millaista hyötyä henkilötietojen käsittelystä olisi?
Vastaus: Toimintaa tulee mahdolliseksi tai se on helpompi toteuttaa.
- Millaista haittaa olisi niiden käsittelemättä jättämisestä?
Vastaus: Toimintaa ei olisi tai sen tarjoaminen vaikeutuisi.
Vaikutukset rekisteröityyn
- Minkä luonteisista henkilötiedoista on kyse?
Vastaus: Valmennuksiin osallistuvilta kerätään seuraavat henkilötiedot: nimi, henkilötiedot, yhteystiedot (sähköposti, puhelinnumero ja tarvittaessa osoite, jos ei ole sähköpostia).
- Miten henkilötietoja käsiteltäisiin (esim. laajamittainen käsittely, yhdistely, tiedonlouhinta, profilointi, julkaisu)?
Vastaus: Tiedot kerätään rekisteröidyltä itseltään tai TE-palvelun/Työllisyyden kuntakokeilun antamista tiedoista.
- Miten käsittelytoimenpiteet vaikuttaisivat rekisteröityyn?
Vastaus: Mahdollistaa rekisteröidylle sen, että hänen työllistymissuunnitelmansa toteutuu hän voi saada työttömyyteen liittyvää sosiaaliturvaa. Henkilötietojen käsittely tässä tilanteessa välttämätöntä.
Mitä arkaluonteisempia tiedot ovat (esim. erityiset henkilötietoryhmät tai salassa pidettävät henkilötiedot), sitä enemmän käsittelystä voi olla seurauksia rekisteröidylle. Mitä kielteisempiä ja epävarmempia käsittelyn seuraukset olisivat, sitä epätodennäköisempää on, että käsittelyä pidetään oikeutettuna. Esimerkiksi harmittomien yksittäisten tietojen käsittely suuressa mittakaavassa ja yhdistellen saattaa johtaa siihen, että rekisteröidystä paljastuu yksilöllisempiä ja arkaluonteisempia tietoja. Kun arvioit tietojen käsittelyn vaikutuksia rekisteröityyn, huomioi sekä konkreettiset että mahdolliset seuraukset. Niitä voivat olla esimerkiksi tulevat päätökset, toimet tai tilanteet, joissa käsittely voi johtaa henkilöiden syrjimiseen, mutta myös emotionaaliset vaikutukset, kuten ärtymys ja mielipaha.
Myös riskin todennäköisyys ja seurauksien vakavuus vaikuttavat yleiseen arvioon vaikutuksista. Tasapainotestin tarkoituksena on estää rekisteröidyn näkökulmasta kohtuuttomat vaikutukset.
- Osaisiko rekisteröity odottaa, että hänen tietojaan käytetään tällä tavalla?
Vastaus: Osaisi, kyseessä on valmennukseen osallistujan etu, että hänen oikeutensa saada työllistymistä tukevaa valmennusta voidaan toteuttaa ja että TE-palvelu saa myös tiedon, että asiakas on palvelussa, mikä edellyttää henkilötietojen käsittelyä.
- Onko todennäköistä, että rekisteröity vastustaisi tietojensa käsittelyä tai ainakin pitäisi sitä kyseenalaisena?
Vastaus: Ei.
Käsittely ei saa olla rekisteröidyn näkökulmasta ennakoimatonta ja odottamatonta. Mitä rajoittavammassa asiayhteydessä tiedot on kerätty, sitä enemmän rajoituksia niiden käsittelylle yleensä on.
- Missä asemassa rekisterinpitäjä ja rekisteröity ovat?
Vastaus: Rekisterinpitäjä on valmennusta tarjoava yritys, joka tässä toiminnassa tarjoaa asiakkaan tarvitsemaa valmennusta, johon TE-palvelu voi velvoittaa asiakkaan. SunUra itse ei voi velvoittaa asiakasta valmennukseen ilman viranomaista.
- Oletko aikeissa käsitellä lasten henkilötietoja?
Vastaus: Ei.
- Onko rekisteröity jollakin muulla tavalla haavoittuvassa asemassa?
Vastaus: Ei.
Tunnistetut riskit ja niihin kohdistetut suojatoimet
Kiinnitä huomiota siihen, mikä on rekisterinpitäjän suhde rekisteröityyn.
- Erittele mahdolliset riskitapahtumat (esim. taulukolla), missä vaiheessa henkilötietojen käsittelyä riski voi aktualisoitua, millaista vahinkoa siitä voi aiheutua rekisteröidylle, vahingon todennäköisyys ja suuruus sekä korjaavat toimenpiteet.
Vastaus: Riski voisi olla se, jos käytössä olisi tietoturvattomia järjestelmiä. Tämä riski on otettu huomioon ja toiminnassa on käytössä tietoturvallisia järjestelmiä.
Vastaus: TE-palvelun välittämä tieto valmennuksesta voi tulla yllätyksenä valmennusasiakkaalle, toisaalta tämä kuuluu ennemmin TE-palvelun informaatiovelvollisuuden piiriin.
Vastaus: Väliaikaisen tasapainon määrittäminen
Huom! Tietosuojasäännösten mukaiset toimenpiteet (esim. oikeasuhtaisuuden arviointi, avoimuus ja läpinäkyvyys) tukevat oikeutetun edun käyttöä käsittelyperusteena.
Yllä olevan eri osapuolten etujen punninnan perusteella voidaan sanoa, että etu on oikeutettu
- Varmista tietosuojan lisätakeet
- Käsittelyssä huomioituja suojakeinoja on kuvattu edellä riskien kuvauksen yhteydessä kohdassa 4.
Vastaus: Järjestelmät ja henkilöstön perehdytys on mietitty tietosuojan ja tietoturvan kannalta siten, että ne turvaavat sekä tietosuojan että tietoturvan asiallisella tavalla.
- Osoita toiminnan lainmukaisuus ja varmista avoimuus
Tämä dokumentti kuvaa tasapainotestin ja se on pidettävä tallessa. SunUran valmennus- ja yrityspalvelut toimivat avoimesti ja tarvittaessa perustelemme rekisteröidyille ja viranomaisille, miksi henkilötietojen käsittely on tässä tapauksessa rekisterinpitäjän oikeutetun edun mukaista. Rekisteröityjä informoidaan vastustamisoikeudesta. Kaikki dokumentaatio pidetään jatkuvasti ajan tasalla ja tasapainotesti tehdään tarvittaessa uudestaan.
Rekisterinpitäjän on arvioitava tasapainotestillä, voidaanko etu katsoa oikeutetuksi. Tasapainotestissä rekisterinpitäjän tai kolmannen osapuolen etua punnitaan rekisteröidyn etuja ja oikeuksia vasten. Testissä on kuusi vaihetta. Tee testi alla olevien kohtien ohjeiden mukaisesti.