Tietosuoja (GDPR)

Euroopan unionin yleinen tietosuoja-asetus GDPR ( General Data Protection Regulation vuodelta 2016) on tärkeä kaikille tietotekniikan opiskelijoille, koska se koskee kaikkea henkilötietoa. Tietojärjestelmissä sekä niitä ympäröivissä järjestelmissä on otettava asetuksen vaatimukset huomioon ja henkilötietoa on sielläkin, missä sitä ei aluksi ajattelisi olevan. Tästä yhtenä esimerkkinä ovat sähköiset lukkojärjestelmät, joissa lokitietoa avaimen käytöstä kerätään lukkopesään.

Tietosuoja-asetus toi merkittävän muutoksen eurooppalaisen tietosuojalainsäädännön määräävään toimivaltaan.

GDPR koskee kaikkea henkilötietojen käsittelyä, “jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.” (3. artiklan 1. kohta). Tässä käsite rekisterinpitäjän toimipaikka on asetuksessa poikkeuksellisen laaja verrattuna muihin yleisesti ymmärrettyihin oikeusperiaatteisiin. Toimipaikan perustaminen tai ylläpitäminen EU:n alueella ei edellytä muuta kuin kykyä ohjata liiketoimia. Määritelmä on erityisesti laajempi kuin yhtiöoikeudessa tai kansainvälisessä vero-oikeudessa. Esimerkiksi Yhdysvalloissa sijaitsevalla holding-yhtiöllä voidaan katsoa olevan henkilötietojen käsittelypaikka EU:ssa sen kokonaan omistaman tytäryhtiön kautta. Siten oikeushenkilö, jolla ei ole “kiinteää toimipaikkaa” eikä “verovelvollista läsnäoloa” EU:ssa, kuitenkin suorittaa tietojenkäsittelyä EU:ssa sijaitsevan “toimipaikan” yhteydessä GDPR-vastuun analysoinnin näkökulmasta.

On hyvä huomata, että GDPR on EU:n asetus. Tämä tarkoittaa, että se on suoraan voimassa EU:n jäsenmaissa, toisin kuin EU:n direktiivi, joka edellyttää kansallisen lainsäädännön mukauttamista direktiiviä vastaavaksi. Mahdollisissa lainsäädännön ristiriitatilanteissa EU:n asetus ohittaa jäsenmaan kansallisen lainsäädännön. GDPR jättää kuitenkin myös tilaa kansalliselle lainsäädännölle näin erityisesti mainiten. Tästä yhtenä esimerkkinä on, että kansallinen lainsäädäntö voi sallia rikostuomioita koskevien henkilötietojen käsittelyn ilman erityisen tietoryhmän henkilötiedon vaatimuksia.

GDPR ulottaa määräävän lainkäyttövallan kenen ja missä tahansa toteuttamaan henkilötietojen käsittelyyn, joka liittyy tavaroiden tai palvelujen tarjoamiseen EU:ssa sijaitsevalle rekisteröidylle (3. artikla, 2a). Määräävän lainkäyttövallan uskotaan ulottuvan vain tilanteisiin, joissa toimittaja tarjoaa vapaaehtoisesti tällaisia ​​tavaroita tai palveluita rekisteröidyille EU:ssa.

Lisäksi GDPR koskee kaikkia, jotka seuraavat EU:ssa olevien rekisteröityjen käyttäytymistä, siltä osin kuin tämä käyttäytyminen tapahtuu EU:ssa (3. artikla 2b). Tämän lainkäyttövallan perusteena näyttävät olevan sellaiset uudehkot palvelut, jotka valvovat ja analysoivat ​​ihmisten erilaisia käyttäytymismalleja, esimerkiksi verkkoselainten käyttöä tai fyysistä liikkumista esim. ostoksilla. EU:n ulkopuolella sijaitsevien henkilöiden, jotka näiden perusteiden takia ovat GDPR:n alaisia, on useissa tapauksissa nimettävä edustaja EU:hun (27. artikla & johdanto-osan kohta 80). GDPR:n alueellisen toimivallan tulkitseminen voi olla vaikeaa, varsinkin kun otetaan huomioon uusien verkkopalvelumuotojen nopea ilmaantuminen. Euroopan tietosuojaneuvoston odotetaan viimeistelevän viralliset ohjeet aikanaan.

Lakiteksteissä ja niihin viitattaessa käytetään termejä ”luonnollinen henkilö” ja ”juridinen henkilö” (käytetään myös ”oikeushenkilö”). Luonnollinen henkilö on yksittäinen todellinen henkilö, kun taas juridinen henkilö ei ole todellinen henkilö, vaan yritys, organisaatio, yhteisö tai vastaava.

GDPR ei velvoita luonnollisia henkilöitä yksityiselämässä, mutta juridinen henkilö ei voi siirtää henkilötietojen käsittelyä luonnolliselle henkilölle ja siten välttää lain velvoitteita. Tästä on oikeustapaus Suomesta, joka on käsitelty EU:n tuomioistuimessa, katso linkki.

Jokaisessa maassa on riippumaton valvontaviranomainen, joka mm. valvoo lain noudattamista, ohjeistaa ja jolle on mahdollista tehdä kantelu tietosuojalainsäädännön epäillyistä rikkomuksista. Suomessa valvontaviranomainen on tietosuojavaltuutetun toimisto.

Keskeisiä tietosuojaan vaikuttavia lakeja Suomessa ovat olleet Henkilörekisterilaki 1987–1998 ja Henkilötietolaki 1999–2018. Vuoden 2019 alussa tuli voimaan Tietosuojalaki (1050/2018), joka täsmentää ja täydentää EU:n tietosuoja-asetusta sen sallimissa rajoissa.

Tärkeimmät käsitteet: Tietosuoja-asetuksen ymmärtämiseksi on tarpeen tietää keskeiset käsitteet:

• Tunnistettavissa oleva: henkilö, joka voidaan suoraan tai epäsuorasti tunnistaa käyttäen
  • tunnistetietoja: esim. nimi, henkilötunnus, sijaintitieto, verkkotunnistetiedot
  • tunnusomaisia tekijöitä: esim. fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen, sosiaalinen.
• Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.
• Käsittely: kaikenlaiset toimenpiteet (mm. “käyttö”), joita henkilötietoihin voi kohdistaa.Käsittelylle on aina oltava laissa säädetty oikeusperuste.
• Rekisteröity on henkilö, jota henkilötieto koskee.
• Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
• Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Rekisterinpitäjä on aina päävastuussa tietosuoja-asetuksen noudattamisesta. Käytännössä vastuuta kuitenkin jaetaan käsittelijälle sopimuksilla. Tätä GDPR myös edellyttää silloin, kun joku ulkopuolinen käsittelee rekisterinpitäjän tietoja. Esimerkkinä tilanteesta on taloyhtiö: Taloyhtiön henkilötiedoissa rekisterinpitäjänä on taloyhtiö. Isännöintitoimisto sekä huoltoyhtiö ovat henkilötietojen käsittelijöitä silloin, kun käsittelevät taloyhtiön henkilötietoja.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Asetuksessa on mainittu sisäänrakennettu ja oletusarvoinen tietosuoja. Sisäänrakennetussa tietosuojassa riskit tulee arvioida ajoissa ja tietosuojan toteutus ottaa mukaan alusta alkaen. Tietosuojan toteuttamisen tulee olla oletusarvoista. Esimerkiksi tietojärjestelmissä olevat henkilötiedot voidaan salata automaattisesti, jolloin mahdollisen tietovuodon seurauksia voidaan pienentää. Oletusarvoisuutta on myös henkilötiedon minimoinnin periaate ja tähän asetus myös velvoittaa. Jokaisen henkilötiedon kohdalla tulee siis pohtia, onko sen kerääminen ja käsittely tarpeellista vai voidaanko se jättää pois. Jokaiselle kerätylle henkilötiedolle pitää olla todellinen tarve. Henkilötieto pitää myös poistaa, kun sen säilyttämiselle ei ole enää tarvetta.

Henkilötietojen käsittelyn edellytykset

EU:n tietosuoja-asetuksen artiklan 6 mukaan henkilötietojen käsittely edellyttää jotain seuraavista:

• rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
• käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
• käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
• käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
• käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Jos mikään näistä ei toteudu, henkilötietojen käsittely on laitonta.

Suostumuksen pyytäminen

Suostumuksen edellytyksestä eli artiklan 6 ensimmäisestä henkilötietojen käsittelyn edellytyksestä säädetään tarkemmin artiklassa 7:

1. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.
2. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.
3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
4. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Suostumuksen todistamiseen riittää sähköinen tallentaminen esimerkiksi verkossa pyydetyistä kyselyistä. Suostumus ei saa kuitenkaan olla oletusarvona eli esimerkiksi valmiiksi laitettu rasti lomakkeeseen ei täytä lain vaatimuksia. Katso esimerkki.

Suostumuksesta kieltäytymisen tulee olla myös tosiallisesti mahdollinen. Suostumusta ei siis voi käyttää henkilötietojen käsittelyn perusteena, jos rekisteröidyllä ei ole tosiasiallista mahdollisuutta kieltäytyä. Tällaisessa tilanteessa perusteen täytyy löytyä muista artiklan 6 kohdista. Oikeutettuun etuun vedottaessa on rekisterinpitäjän tehtävä tasapainotesti ennen henkilötietotietojen käsittelyn aloittamista. Tasapainotestiin on tietosuojavaltuutetun toimiston sivuilla ohjeet. Katso Rekisterinpitäjän oikeutettu etu.

GDPR opiskelijan arjessa

Monelle luonnolliselle henkilölle GDPR näyttäytyy arjessa lähinnä nettisivujen evästeasetusponnahdusikkunana. Yllä oleva tietosuoja.fi:n esimerkki sivusikin jo tätä, mutta EU:n alueella toimivilla nettisivuilla on velvollisuus pyytää EU-alueella asuvan käyttäjän suostumus evästeiden käyttämiseen esimerkiksi markkinointiin. Usein tätä kyselyä pidetään lähinnä ärsyttävänä, ja monella onkin tapana vain nopeasti klikata “Hyväksy evästeet” -painiketta sen kummemmin asiaa miettimättä. Omaa yksityisyyttäsi voitkin parantaa painamalla jatkossa “Hylkää” -nappia. Nettisivu toimii todennäköisesti täysin yhtä hyvin, kuin jos olisit hyväksynyt evästeet. Selaimesi asetuksista voit käydä poistamassa tallennettuja evästeitä, jolloin nettisivut kysyvät uudelleen lupaa niiden käyttämiseen.

Kilta- tai kerhotoiminnan hallituksiin osallistuvilla opiskelijoilla voi kuitenkin olla kokemusta myös henkilötietojen käsittelijänä toimimisesta. Yhdistyksetkin ovat GDPR:n mukaan juridisia henkilöitä. Jäsenluettelon pitäminen on määritelty yhdistyslaissa, joten yhdistyksellä on velvollisuus pitää kirjaa jäsenten nimistä ja kotipaikoista. Mikäli kerho kuitenkin haluaisi tiedotusta varten pitää kirjaa jäsenten sähköpostiosoitteesta, vaatii tämä jäsenten suostumuksen. Huomaa myös, että henkilötietojen käsittelyä tapahtuu välillä lähes huomaamatta. Esimerkiksi jos kerho lähettää kaikille jäsenilleen sähköpostitiedotteen, tulisi vastaanottajien olla piilokopiokentässä, ei vastaanottajakentässä, jossa jokainen sähköpostiosoite on muiden jäsenten näkyvillä. Mikäli istut jonkin kerhon tai killan hallituksessa, kannattaa perehtyä Tietosuojavaltuutetun Toimiston ohjeeseen: Henkilötietojen käsittely yhdistystoiminnassa.

Erityinen tietoryhmä

Arkaluonteisia henkilötietoja kuvataan asetuksessa termillä ”erityinen tietoryhmä”. Nämä ovat:

• rotu tai etninen alkuperä;
• poliittinen mielipide;
• uskonnollinen tai filosofinen vakaumus;
• ammattiliittoon kuuluminen;
• geneettiset tai biometriset tiedot tunnistamista varten;
• terveyttä koskevat tiedot (koskee tietysti myös hoitoja);
• seksuaalinen suuntautuminen tai käyttäytyminen;

Näiden käsittely on lähtökohtaisesti kielletty, mutta asetuksessa on kuvattu 10 kohtaa, joissa kiellosta poiketaan. Näihin kuuluvat esimerkiksi suostumus ja välttämättömyys.

Tietosuojalaki luettelee 11 menettelyä, joilla henkilötietojen käsittelyä pitää turvata edellä mainituissa poikkeamatilanteissa. Asetus kuvaa vastaavia menettelyjä yleisemmin. Niihin kuuluvat monet tavanomaiset tietoturvalliset menettelyt mutta myös henkilötietojen pseudonymisointi.

Osoitusvelvollisuus

Rekisterinpitäjän on pystyttävä osoittamaan, että asetusta noudatetaan. Tämä sisältää rekisterin tietoturvasta huolehtimisen. Rekisterinpitäjän tulee informoida rekisteröityjä henkilötietojen käsittelystä tietosuojaselosteella tai muulla vastaavalla asiakirjalla. Lue tarkemmin.

Vaikutustenarviointi

Vaikutustenarviointi on artiklassa 35 kuvattu menetelmä, jonka tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

”Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Tavoitteena on sen arviointi, onko jäljelle jäänyt riski ” (toimituksen täsmennys, yleisesti käytetään termiä jäännösriski)” oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.”

Artiklassa 35 kerrotaan edellytykset vaikutuksenarvioinnin tekemiselle:

”Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.”

Valvontaviranomainen pitää yllä kuvausta esimerkeistä vaikutuksenarvioinnin tekemisen edellytyksistä: mm. geneettisiä tietoja, profiloitua markkinointia, kuvaa ja videota tallennettaessa, julkisen tilan seurantaa sekä paikkatietoja käsiteltäessä on erillisten ehtojen täyttyessä tehtävä vaikutuksenarviointi.

Rekisteröidyn oikeudet

Rekisteröidyn oikeudet ovat tietojärjestelmien suunnittelun ja toteutuksen kannalta tärkeitä, koska esimerkiksi tietojärjestelmissä on tarpeen ottaa huomioon mm. tietojen tarkastus, tietojen poisto, käsittelyn kielto ja virheellisten tietojen oikaisu sekä määräajat lain mukaisesti.

Asetuksessa kuvataan rekisteröidyn oikeudet, lue tästä.

On hyvä huomata, että tiettyihin viranomaisrekistereihin ei ole kaikkia oikeuksia. Esimerkiksi ei ole mahdollista pyytää terveystietojen poistamista. Samoin tarkastusoikeutta ei ole poliisin vihjerekisteriin eikä rahanpesurekisteriin.

Tietoturvaloukkaus

Yhtenä keskeisenä muutoksena aikaisempaan lainsäädäntöön tietosuosuoja-asetuksessa säädetään menettelystä henkilötietojen tietoturvaloukkauksen tapahtuessa. Keskeistä on ilmoitusvelvoite valvontaviranomaiselle ja käyttäjille sekä dokumentointivelvollisuus. Lue lisää.

On myös hyvä huomata, että henkilötietojen tietoturvaloukkaus ei sellaisenaan johda sanktioihin, jos tietosuoja-asetusta on noudatettu.

Tietoturvaloukkauksen sattuessa on suotavaa tehdä rikosilmoitus poliisille. Tämä voi olla myös mahdollisen vakuutuskorvauksen saamisen edellytys. Lisäksi Kyberturvallisuuskeskus ottaa vastaan ilmoituksia. Laki ei kuitenkaan edellytä rikosilmoitusta eikä ilmoitusta Kyberturvallisuuskeskukselle.

Hallinnollinen sakko

Jälleen yksi keskeinen muutos aikaisempaan lainsäädäntöön on hallinnollinen sakko, joka voi olla varsin suuri. Hallinnollinen sakko voidaan määrätä, jos ei ole noudattanut tietosuoja-asetusta. Tietosuojavaltuutetun toimiston mukaan:

”Valvontaviranomainen voi määrätä sakkoja rekisterinpitäjälle tai henkilötietojen käsittelijälle tietosuoja-asetuksen rikkomisesta.” ”Hallinnollinen sakko voi olla enintään 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta. Muita mahdollisia seuraamuksia ovat muun muassa varoitukset, huomautukset ja määräykset sekä henkilötietojen käsittelyn rajoittaminen ja kieltäminen.”

Sakon on oltava tuntuva, jotta sillä on vaikutusta, mutta tarkoitus ei ole kuitenkaan ajaa rekisterinpitäjää konkurssiin. Sakkoa sovitetaan rikkomuksen vakavuuteen, mutta myös rekisterinpitäjän taloudelliseen tilanteeseen sekä muihin olosuhteisiin. Esimerkkinä muista olosuhteista on Taksi Helsinki Oy:n sakon suuruudessa koronatilanteen huomioiminen. Valvontaviranomaisen määräämästä sakosta voi valittaa hallinto-oikeuteen.

On hyvä huomata, että henkilötietojen tietoturvaloukkauksesta ei automaattisesti aiheudu hallinnollista sakkoa. Olennaista on, että tietosuoja-asetusta on noudatettu ja on toimittu lain edellyttämällä tavalla sekä tietenkin ennalta edellytetyn osoitusvelvollisuuden näyttäminen toteen. Ohessa on esimerkkejä Suomessa olleista tapauksista, joissa hallinnollinen sakko on määrätty:

Psykoterapiakeskus Vastaamo

Suoramarkkinointi

Pysäköinninvalvontayritys

Korkeakoulu

Taksi Helsinki

Suomessa on tehty poikkeus muihin EU-maihin verrattuna: hallinnollista sakkoa ei määrätä viranomaisille. Ajatuksena on, että muut ohjaavat toimet riittävät. Ohessa on tästä esimerkki, jossa Oikeusrekisterikeskukselle olisi mitä ilmeisimmin määrätty hallinnollinen sakko.

Tietosuojavastaava

Tietosuojavastaava on nimitettävä, jos

• käsitellään laajamittaisesti arkaluontoisia tietoja
• seurataan ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
• organisaatio on julkishallinnon toimija (pois lukien tuomioistuimet).

Pieniinkin yrityksiin tarvitaan tietosuojavastaava, esimerkiksi jos ne käsittelevät vuoden aikana kymmenien rekisteröityjen henkilötietoja (vapaa tulkinta Tietosuojavaltuutetun ohjeesta). Tietosuojavastaavan tehtävät on kuvattu tietosuojavaltuutetun toimistolla seuraavasti:

• seuraa tietosuojasääntöjen noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita
• antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille
• antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarvioinnin toteutusta
• on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
• on tietosuojavaltuutetun toimiston yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa.

On hyvä huomata, että tietosuojavastaava ei ole nimikkeestään huolimatta henkilökohtaisessa vastuussa tietosuojaa koskevien lakien noudattamisesta. Organisaation johdon tehtävänä on huolehtia, että lakeja noudatetaan.

Huom! Tietosuojavastaava ja tietosuojavaltuutettu tarkoittavat eri asiaa ja menevät helposti sekaisin. Ole siis tarkkana!

Muu lainsäädäntö

Myös muu lainsäädäntö vaikuttaa tietosuojaan:

• Oikeus yksityiselämän suojaan on Suomen perustuslaissa säädetty perusoikeus. Henkilötietojen rekisteröiminen merkitsee poikkeamista siitä ja tarkempia säädöksiä varten on tietosuojalaki. (Myös Euroopan unionin perusoikeuskirja myöntää suojan yksityiselämälle ja henkilötiedoille.)
• Laki sähköisen viestinnän palveluista (917/2014, alkup. nimi oli Tietoyhteiskuntakaari) käsittelee tarkemmin mm. luottamuksellisen viestinnän suojaa sekä erilaisia viestinnän tuottamia tunnistetietoja ja paikkatietoja.
• Laki yksityisyyden suojasta työelämässä (759/2014) koskee työnantajan toteuttamaa henkilötietojen käsittelyä, esim. huumetestejä ja kameravalvontaa.
• Viranomaisen luovuttaessa henkilötietoja henkilörekistereistään tietosuojalain yleisten säännösten sijasta sovelletaan Julkisuuslakia (621/1999), jossa säädetään myös yleisimmistä salassapitoperusteista sekä hyvästä tiedonhallintatavasta.
• Vuonna 2007 siirrettiin silloisesta Henkilötietolaista uuteen Luottotietolakiin (527/2007) asiaan liittyvien henkilötietojen käsittelysäännöt, esim. merkintöjen säilytysajat luottotietorekistereissä: esim. konkurssi 5v, virallisesti todettu maksuhäiriö 3v, muut 2v. Vuoden 2022 uudistuksessa maksuhäiriömerkinnän säilyvyys lyheni yhteen kuukauteen velan maksusta lähtien. Tätä uudistusta tietyssä mielessä kompensoi Positiivinen luottotietorekisteri (laki 739/2022), joka tallentaa ja luovuttaa (vuodesta 2024 alkaen) entistä enemmän henkilötietoja.
• Henkilötietojen käsittelyä koskevia säännöksiä sisältyy tietosuojalain lisäksi eri aloja, erityisesti viranomaisten tehtäviä ja toimintaa koskevaan erityislainsäädäntöön. Tärkeä esimerkki on Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (764/2021, alun perin 2007). Lisäksi on olemassa kansainvälisiä normeja ja ohjeita.

Tietosuoja-asetusta voi lukea sellaisenaankin, mutta helppolukuinen se ei ole. (Laissa olevat 45 viittausta GDPR:ään tekevät laista tosin vielä hankalamman; vrt. myös tehtävä). Tulkinnan apua voi löytyä Tietosuojavaltuutetun toimiston sivustolla vastatuista kysymyksistä. Hyödyllinen on myös sivuston esitys tietosuojaperiaatteista. Hyvän esimerkin henkilötietojen käsittelyn suunnittelusta tarjoaa sivuston kuvaus käsittelystä tieteellistä tutkimusta varten. Tampereen yliopistolla on tietosuojasivusto ulkoisille käyttäjille, ja intranettiin avautuu lisäsivusto helmikuussa 2022. TUNI-Moodlesta löytyy tietosuojan ajokortti, joka on hyödyksi tutkielmavaiheessa oleville opiskelijoille.

Suomessa väestötietojärjestelmä on tärkeä henkilörekisteri, jota koskee Väestötietolaki (661/2009). Sinne voidaan tavanomaisen suoramarkkinointia ym. koskevan luovutuskiellon lisäksi merkitä sitä paljon vahvempi turvakielto.

Henkilötietojen suoja ei saa heiketä, jos niitä siirretään maasta toiseen. Voi olla, ettei siirtoa EU:n ulkopuolelle saa tehdä. GDPR tarjoaa erilaisia mekanismeja, joilla riittävästä tietosuojasta EU:n ulkopuolella olevassa kohdemaassa voidaan vakuuttua. Kansainvälisissä tiedonsiirroissa tulee huomioida kulloinenkin oikeuskäytäntö ja tietosuojaviranomaisen ohjeistus.

Uudistuksia tulee lainsäädäntöön kaiken aikaa. GDPR oli laaja ja tärkeä uudistus. Se yhtenäisti tietosuojan Euroopassa niin, että yritysten riittää asioida yhden jäsenmaan kanssa. Isot sanktiot (hallinnolliset sakot) ovat saaneet yritykset ottamaan asian huomioon, mutta tuomioitakin on jo pitkä lista, Suomessa 9 kpl vuoden 2021 loppuun mennessä. Kehitys ei pääty GDPR:ään, sillä valmisteilla on sääntelyä, joka parantaa verkkoviestinnän yksityisyyttä (Asetusehdotus yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä 2017).

Sananvapaus on toinen perustuslain säätämä oikeus ja se voi olla ristiriidassa yksityisyyden kanssa. Esimerkki tärkeästä rajankäynnistä koskee hyvin yleiseksi tullutta valokuvausta ja videointia, ja sen lisäksi vielä tuotosten julkaisemista. Valvonta- ja nettikameroiden käyttö ja kuvien tallennus tai julkaisu voivat johtaa laajoihin tarkasteluihin, sillä tallennus muodostaa henkilörekisterin. Kuvaan astuu myös rikoslain sääntely salakatselusta ja kotirauhasta. Kuvaaminen julkisilla paikoilla on kuitenkin sallittua jo perustuslain nojalla.

Tämän tehtävän päätavoitteena on, että opit, miltä tietosuojalaki ja -asetus näyttävät ja millaista niitä on lukea. Avaa selaimen eri välilehdille tietosuojalaki ja GDPR. Huomaa, että varsinainen asetus alkaa 1. artiklalla vasta vähän ennen pitkän sivun puoliväliä.

Kysymys 1

Kuten materiaalissa todetaan, asetuksessa on kuvattu 10 ja laissa 8 tilannetta, joissa arkaluonteisten henkilötietojen käsittely sallitaan. Nämä ovat asetuksen artiklassa 9 ja lain pykälässä 6. Etsi nämä ja totea, että

asetuksessa ne ovat 1–10 ja laissa 1–8.

asetuksessa ne ovat a–j ja laissa 1–8.

asetuksessa ne ovat 1-10 ja laissa a–h.

asetuksessa ne ovat a–j ja laissa a–h.

Kysymys 2

Kumpikaan säädös ei käytä tässä kohden termiä arkaluonteinen vaan erityinen henkilötietoryhmä. Termi ryhmä tulee siitä–kuten materiaalistakin näkyy, että useimmat kohdat sisältävät enemmän kuin yhden tiedon. Kumpikaan säädös ei suoraan määrittele, että erityisiä, tai arkoja, henkilötietoryhmiä ovat nämä ja nämä (vaan kieltää vain käsittelyn). Tutki kumpaakin säännöstä haulla ja vastaa, AL: esiintyykö niissä termiä arkaluonteinen, HTR: avaako laki, mitä nämä erityiset henkilötietoryhmät ovat.

AL ei esiinny kummassakaan, HTR ei avata laissa.

AL esiintyy vain asetuksessa mutta siinäkään ei artikloissa, HTR ei avata laissa.

AL ei esiinny kummassakaan, HTR avataan laissa.

AL esiintyy vain asetuksessa mutta siinäkään ei artikloissa, HTR avataan laissa.

AL esiintyy molemmissa, HTR ei avata laissa.

AL esiintyy molemmissa, HTR avataan laissa.

Kysymys 3

Kansallista sääntelyä on lain luvun 3 käsittelemä tietosuojavaltuutettu. Hän on asetuksen edellyttämä valvontaviranomainen. Asetus myös edellyttää rekisterinpitäjiä ja henkilötietojen käsittelijöitä asettamaan tietosuojavastaavan. Mitä laki sanoo tietosuojavastaavasta?

Ei mitään.

Vain sen, että henkilötietojen käsittelijän pitää sellainen nimittää tietyissä tilanteissa.

Vain sen, että tietosuojavastaavan osalta pitää noudattaa asetuksen artikloja 37–39.

Nimittämisen lisäksi laki asettaa tietosuojavastaaville velvoitteen ilmoittautua tietosuojavaltuutetun toimistoon.

Kysymys 1

Mitä lain edellyttämiä velvoitteita on, jos yrityksen asiakasrekisteri joutuu tietomurron kohteeksi ja on perusteltu epäily, että se on vuotanut? Valitse oikeat vaihtoehdot.

Tulee tehdä ilmoitus Kyberturvallisuuskeskukselle

Pitää tehdä rikosilmoitus

Pitää ilmoittaa asiakkaille viipymättä

Tulee tehdä ilmoitus Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa siitä, kun tietosuojaloukkaus on havaittu

Tietoturvaloukkauksesta seuraa aina hallinnollinen sakko, joka on maksettava.

Kysymys 2

Milloin on tehtävä vaikutustenarviointi? Valitse oikeat vaihtoehdot.

Aina, kun käsitellään henkilötietoja.

Silloin, kun käsitellään ammattiliiton jäsenyyttä.

Silloin, kun tapahtuu tietoturvaloukkaus

Silloin, kun käsitellään henkilöiden sijaintitietoja laajamittaisesti.

Silloin, kun suunniteltu henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille.

Kun tehdään käyttäytymis- tai markkinointiprofiileja, jotka perustuvat verkkosivuston käyttöön tai verkkosivustolla liikkumiseen.

Kysymys 3

Mitä vaikutustenarviointi sisältää? Valitse oikeat vaihtoehdot

Riskianalyysin.

Tietosuojavastaavan nimittämisen.

Jäännösriskien arvioinnin.

Neuvojen kysymisen tietosuojavastaavalta.

Kysymys 4

Milloin vaikutustenarviointi on tehtävä? Valitse oikeat vaihtoehdot

Vasta sen jälkeen, kun korkean riskin henkilötietojen käsittely on aloitettu.

Ennen henkilötietojen käsittelyn aloittamista.

Riskien muuttuessa.

Kun käsitellään henkilöiden koronatartuntojen tietoja

Kysymys 5

Yksi peruste henkilötietojen käsittelyyn on suostumuksen pyytäminen. Mitä suostumuksen pyytäminen tällöin edellyttää? Valitse oikeat vaihtoehdot.

Riittää, että ilmoittaa lomakkeella, että henkilötietoja kerätään, mutta muuta vaihtoehtoa ei ole kuin suostua tai kieltäytyä palvelun vastaanottamisesta.

Valmiiksi laitettu rasti lomakkeeseen riittää, kunhan vaihtoehtona on tietojen keräämisen kieltäminen.

Pienellä kirjasimella oleva lakiteksti suostumuksen ehdoista riittää.

Suostumuksen on oltava yksiselitteinen.

Suostumuksen on oltava todistettavissa.

Suostumuksen pyytämiseen on käytettävä selkeää kieltä.

Kysymys 6

Tietosuojavastaava

on henkilökohtaisessa vastuussa tietosuoja-asetuksen noudattamisesta.

pitää olla jokaisessa yrityksessä, jossa käsitellään henkilötietoja.

on organisaation yhteyshenkilö tietosuojavaltuutetun toimistoon.

on viranomainen, jota aatteellisten yhdistysten ei tarvitse nimetä.

on yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa

valvoo vaikutustenarvioinnin toteutusta

Palautusta lähetetään...