Tietosuoja laskutuksessa
Rankaviita, Katja (2020)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020051838217
https://urn.fi/URN:NBN:fi-fe2020051838217
Tiivistelmä
Tämän tutkielman aiheena on tietosuoja laskutuksessa. Paitsi että laskutus on liiketaloudellisessa mielessä kriittinen toiminto organisaatioissa, liittyy siihen myös olennaisesti tietosuoja. Laskutuksessa henkilötietojen käsittely kohdistuu suuriinkin määriin henkilötietoja ja se voi kohdistua myös erityisiin henkilötietoryhmiin kuuluviin tietoihin. Tietosuoja tuli laskutuksessakin entistä tärkeämmäksi EU:n yleisen tietosuoja-asetuksen soveltamisen alettua 25.5.2018. Tietosuoja-asetusta on täydennetty ja täsmennetty asetuksen suoman sääntelyvaran puitteissa kansallisella tietosuojalailla, joka tuli voimaan 1.1.2019.
Tietosuoja on henkilötietojen suojaa. Henkilötiedon käsite on laaja, sillä henkilötietoja ovat kaikki tunnistettavissa olevaan henkilöön liittyvät tiedot. Henkilötietojen käsittely pitää sisällään niin ikään laajan joukon erilaista henkilötietoihin kohdistuvaa käsittelyä, kuten keräämistä, tallentamista, arkistointia ja poistamista. Kaikessa henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen 5 artiklan periaatteita, joista yhtenä on esimerkiksi lainmukaisuus. Lainmukaisuuden periaatteeseen liittyvät myös tietosuoja-asetuksen 6 artiklan mukaiset henkilötietojen käsittelyperusteet. Henkilötietojen käsittelylle tulee olla aina jokin 6 artiklan mukaisista perusteista, jotta käsittely olisi lainmukaista. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sallittua jonkin 9 artiklan 2 kohdan edellytyksen täyttyessä, mutta pääsääntönä on kyseisten tietojen käsittelykielto. Henkilötunnuksen käsittelyn osalta tietosuoja-asetuksessa on annettu mahdollisuus kansalliseen sääntelyyn ja tätä koskeva sääntely onkin tietosuojalaissa. Tutkimuksessa käytetty tutkimusmenetelmä on lainopillinen, missä tulkitaan ja systematisoidaan voimassa olevaa oikeutta. Aineistona käytettiin pääasiassa lainsäädäntöä, virallislähteitä, oikeuskirjallisuutta sekä liiketaloudellista kirjallisuutta.
Tutkielmassa keskityttiin laskutuksen näkökulmasta erityisesti henkilötunnuksen käsittelyyn, lainmukaisiin henkilötietojen käsittelyperusteisiin, sekä edellytyksiin käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Henkilötunnuksen käsittely osoittautui edelleen sallituksi jälkikäteen tapahtuvassa laskutuksessa. Henkilötunnuksen käsittelyä koskeva kansallinen sääntely vastaakin henkilötietolain aikaista sääntelyä. Henkilötietojen käsittelyn kuudesta käsittelyperusteesta tärkeimmäksi laskutuksessa osoittautui sopimus, vaikka käsittelyperusteilla sinänsä ei ole keskinäistä etusijajärjestystä. Laskutuksessa tapahtuvan henkilötietojen käsittelyn perustaminen esimerkiksi pelkkään rekisteröidyn suostumukseen olisi ongelmallista, sillä rekisteröidyllä on oikeus peruuttaa antamansa suostumus. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu taas ei ole laskutuksessa yhtä yksiselitteinen käsittelyperuste kuin sopimus, sillä oikeutettu etu edellyttää rekisterinpitäjän ja rekisteröidyn etuja koskevaa punnintaa. Lakisääteisen velvoitteen käyttö käsittelyperusteena edellyttää, että oikeusperusteesta on säädetty jäsenvaltion tai unionin oikeudessa. Näin on myös silloin kun käsittelyperusteena on yleinen etu tai julkisen vallan käyttö. Käytettävät henkilötietojen käsittelyn perusteet tulee olla päätettyinä jo ennen käsittelyyn ryhtymistä. Erityisiin henkilötietoryhmiin kuuluvien eli aiemman lain mukaan arkaluonteisten henkilötietojen käsittely laskutuksessa tulee kyseeseen tavallisimmin rekisteröidyn nimenomaisella suostumuksella tai voittoa tavoittelemattoman yhteisön suorittamana taikka terveydenhuollossa.
Tietosuoja on henkilötietojen suojaa. Henkilötiedon käsite on laaja, sillä henkilötietoja ovat kaikki tunnistettavissa olevaan henkilöön liittyvät tiedot. Henkilötietojen käsittely pitää sisällään niin ikään laajan joukon erilaista henkilötietoihin kohdistuvaa käsittelyä, kuten keräämistä, tallentamista, arkistointia ja poistamista. Kaikessa henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen 5 artiklan periaatteita, joista yhtenä on esimerkiksi lainmukaisuus. Lainmukaisuuden periaatteeseen liittyvät myös tietosuoja-asetuksen 6 artiklan mukaiset henkilötietojen käsittelyperusteet. Henkilötietojen käsittelylle tulee olla aina jokin 6 artiklan mukaisista perusteista, jotta käsittely olisi lainmukaista. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sallittua jonkin 9 artiklan 2 kohdan edellytyksen täyttyessä, mutta pääsääntönä on kyseisten tietojen käsittelykielto. Henkilötunnuksen käsittelyn osalta tietosuoja-asetuksessa on annettu mahdollisuus kansalliseen sääntelyyn ja tätä koskeva sääntely onkin tietosuojalaissa. Tutkimuksessa käytetty tutkimusmenetelmä on lainopillinen, missä tulkitaan ja systematisoidaan voimassa olevaa oikeutta. Aineistona käytettiin pääasiassa lainsäädäntöä, virallislähteitä, oikeuskirjallisuutta sekä liiketaloudellista kirjallisuutta.
Tutkielmassa keskityttiin laskutuksen näkökulmasta erityisesti henkilötunnuksen käsittelyyn, lainmukaisiin henkilötietojen käsittelyperusteisiin, sekä edellytyksiin käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Henkilötunnuksen käsittely osoittautui edelleen sallituksi jälkikäteen tapahtuvassa laskutuksessa. Henkilötunnuksen käsittelyä koskeva kansallinen sääntely vastaakin henkilötietolain aikaista sääntelyä. Henkilötietojen käsittelyn kuudesta käsittelyperusteesta tärkeimmäksi laskutuksessa osoittautui sopimus, vaikka käsittelyperusteilla sinänsä ei ole keskinäistä etusijajärjestystä. Laskutuksessa tapahtuvan henkilötietojen käsittelyn perustaminen esimerkiksi pelkkään rekisteröidyn suostumukseen olisi ongelmallista, sillä rekisteröidyllä on oikeus peruuttaa antamansa suostumus. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu taas ei ole laskutuksessa yhtä yksiselitteinen käsittelyperuste kuin sopimus, sillä oikeutettu etu edellyttää rekisterinpitäjän ja rekisteröidyn etuja koskevaa punnintaa. Lakisääteisen velvoitteen käyttö käsittelyperusteena edellyttää, että oikeusperusteesta on säädetty jäsenvaltion tai unionin oikeudessa. Näin on myös silloin kun käsittelyperusteena on yleinen etu tai julkisen vallan käyttö. Käytettävät henkilötietojen käsittelyn perusteet tulee olla päätettyinä jo ennen käsittelyyn ryhtymistä. Erityisiin henkilötietoryhmiin kuuluvien eli aiemman lain mukaan arkaluonteisten henkilötietojen käsittely laskutuksessa tulee kyseeseen tavallisimmin rekisteröidyn nimenomaisella suostumuksella tai voittoa tavoittelemattoman yhteisön suorittamana taikka terveydenhuollossa.