- COMP.SEC.100
- 4. Laki ja säädökset
- 4.4 Tietosuoja (GDPR)
Tietosuoja (GDPR)¶
Euroopan unionin yleinen tietosuoja-asetus GDPR ( General Data Protection Regulation vuodelta 2016) on tärkeä kaikille tietotekniikan opiskelijoille, koska se koskee kaikkea henkilötietoa. Tietojärjestelmissä sekä niitä ympäröivissä järjestelmissä on otettava asetuksen vaatimukset huomioon ja henkilötietoa on sielläkin, missä sitä ei aluksi ajattelisi olevan. Tästä yhtenä esimerkkinä ovat sähköiset lukkojärjestelmät, joissa lokitietoa avaimen käytöstä kerätään lukkopesään.
Tietosuoja-asetus toi merkittävän muutoksen eurooppalaisen tietosuojalainsäädännön määräävään toimivaltaan.
GDPR koskee kaikkea henkilötietojen käsittelyä, “jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.” (3. artiklan 1. kohta). Tässä käsite rekisterinpitäjän toimipaikka on asetuksessa poikkeuksellisen laaja verrattuna muihin yleisesti ymmärrettyihin oikeusperiaatteisiin. Toimipaikan perustaminen tai ylläpitäminen EU:n alueella ei edellytä muuta kuin kykyä ohjata liiketoimia. Määritelmä on erityisesti laajempi kuin yhtiöoikeudessa tai kansainvälisessä vero-oikeudessa. Esimerkiksi Yhdysvalloissa sijaitsevalla holding-yhtiöllä voidaan katsoa olevan henkilötietojen käsittelypaikka EU:ssa sen kokonaan omistaman tytäryhtiön kautta. Siten oikeushenkilö, jolla ei ole “kiinteää toimipaikkaa” eikä “verovelvollista läsnäoloa” EU:ssa, kuitenkin suorittaa tietojenkäsittelyä EU:ssa sijaitsevan “toimipaikan” yhteydessä GDPR-vastuun analysoinnin näkökulmasta.
On hyvä huomata, että GDPR on EU:n asetus. Tämä tarkoittaa, että se on suoraan voimassa EU:n jäsenmaissa, toisin kuin EU:n direktiivi, joka edellyttää kansallisen lainsäädännön mukauttamista direktiiviä vastaavaksi. Mahdollisissa lainsäädännön ristiriitatilanteissa EU:n asetus ohittaa jäsenmaan kansallisen lainsäädännön. GDPR jättää kuitenkin myös tilaa kansalliselle lainsäädännölle näin erityisesti mainiten. Tästä yhtenä esimerkkinä on, että kansallinen lainsäädäntö voi sallia rikostuomioita koskevien henkilötietojen käsittelyn ilman erityisen tietoryhmän henkilötiedon vaatimuksia.
GDPR ulottaa määräävän lainkäyttövallan kenen ja missä tahansa toteuttamaan henkilötietojen käsittelyyn, joka liittyy tavaroiden tai palvelujen tarjoamiseen EU:ssa sijaitsevalle rekisteröidylle (3. artikla, 2a). Määräävän lainkäyttövallan uskotaan ulottuvan vain tilanteisiin, joissa toimittaja tarjoaa vapaaehtoisesti tällaisia tavaroita tai palveluita rekisteröidyille EU:ssa.
Lisäksi GDPR koskee kaikkia, jotka seuraavat EU:ssa olevien rekisteröityjen käyttäytymistä, siltä osin kuin tämä käyttäytyminen tapahtuu EU:ssa (3. artikla 2b). Tämän lainkäyttövallan perusteena näyttävät olevan sellaiset uudehkot palvelut, jotka valvovat ja analysoivat ihmisten erilaisia käyttäytymismalleja, esimerkiksi verkkoselainten käyttöä tai fyysistä liikkumista esim. ostoksilla. EU:n ulkopuolella sijaitsevien henkilöiden, jotka näiden perusteiden takia ovat GDPR:n alaisia, on useissa tapauksissa nimettävä edustaja EU:hun (27. artikla & johdanto-osan kohta 80). GDPR:n alueellisen toimivallan tulkitseminen voi olla vaikeaa, varsinkin kun otetaan huomioon uusien verkkopalvelumuotojen nopea ilmaantuminen. Euroopan tietosuojaneuvoston odotetaan viimeistelevän viralliset ohjeet aikanaan.
Lakiteksteissä ja niihin viitattaessa käytetään termejä ”luonnollinen henkilö” ja ”juridinen henkilö” (käytetään myös ”oikeushenkilö”). Luonnollinen henkilö on yksittäinen todellinen henkilö, kun taas juridinen henkilö ei ole todellinen henkilö, vaan yritys, organisaatio, yhteisö tai vastaava.
GDPR ei velvoita luonnollisia henkilöitä yksityiselämässä, mutta juridinen henkilö ei voi siirtää henkilötietojen käsittelyä luonnolliselle henkilölle ja siten välttää lain velvoitteita. Tästä on oikeustapaus Suomesta, joka on käsitelty EU:n tuomioistuimessa, katso linkki.
Jokaisessa maassa on riippumaton valvontaviranomainen, joka mm. valvoo lain noudattamista, ohjeistaa ja jolle on mahdollista tehdä kantelu tietosuojalainsäädännön epäillyistä rikkomuksista. Suomessa valvontaviranomainen on tietosuojavaltuutetun toimisto.
Keskeisiä tietosuojaan vaikuttavia lakeja Suomessa ovat olleet Henkilörekisterilaki 1987–1998 ja Henkilötietolaki 1999–2018. Vuoden 2019 alussa tuli voimaan Tietosuojalaki (1050/2018), joka täsmentää ja täydentää EU:n tietosuoja-asetusta sen sallimissa rajoissa.
Tärkeimmät käsitteet: Tietosuoja-asetuksen ymmärtämiseksi on tarpeen tietää keskeiset käsitteet:
- Tunnistettavissa oleva: henkilö, joka voidaan suoraan tai epäsuorasti tunnistaa käyttäen
- tunnistetietoja: esim. nimi, henkilötunnus, sijaintitieto, verkkotunnistetiedot
- tunnusomaisia tekijöitä: esim. fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurillinen, sosiaalinen.
- Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.
- Käsittely: kaikenlaiset toimenpiteet (mm. “käyttö”), joita henkilötietoihin voi kohdistaa.Käsittelylle on aina oltava laissa säädetty oikeusperuste.
- Rekisteröity on henkilö, jota henkilötieto koskee.
- Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
- Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Rekisterinpitäjä on aina päävastuussa tietosuoja-asetuksen noudattamisesta. Käytännössä vastuuta kuitenkin jaetaan käsittelijälle sopimuksilla. Tätä GDPR myös edellyttää silloin, kun joku ulkopuolinen käsittelee rekisterinpitäjän tietoja. Esimerkkinä tilanteesta on taloyhtiö: Taloyhtiön henkilötiedoissa rekisterinpitäjänä on taloyhtiö. Isännöintitoimisto sekä huoltoyhtiö ovat henkilötietojen käsittelijöitä silloin, kun käsittelevät taloyhtiön henkilötietoja.
Sisäänrakennettu ja oletusarvoinen tietosuoja¶
Asetuksessa on mainittu sisäänrakennettu ja oletusarvoinen tietosuoja. Sisäänrakennetussa tietosuojassa riskit tulee arvioida ajoissa ja tietosuojan toteutus ottaa mukaan alusta alkaen. Tietosuojan toteuttamisen tulee olla oletusarvoista. Esimerkiksi tietojärjestelmissä olevat henkilötiedot voidaan salata automaattisesti, jolloin mahdollisen tietovuodon seurauksia voidaan pienentää. Oletusarvoisuutta on myös henkilötiedon minimoinnin periaate ja tähän asetus myös velvoittaa. Jokaisen henkilötiedon kohdalla tulee siis pohtia, onko sen kerääminen ja käsittely tarpeellista vai voidaanko se jättää pois. Jokaiselle kerätylle henkilötiedolle pitää olla todellinen tarve. Henkilötieto pitää myös poistaa, kun sen säilyttämiselle ei ole enää tarvetta.
Henkilötietojen käsittelyn edellytykset¶
EU:n tietosuoja-asetuksen artiklan 6 mukaan henkilötietojen käsittely edellyttää jotain seuraavista:
- rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
- käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
- käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Jos mikään näistä ei toteudu, henkilötietojen käsittely on laitonta.
Suostumuksen pyytäminen¶
Suostumuksen edellytyksestä eli artiklan 6 ensimmäisestä henkilötietojen käsittelyn edellytyksestä säädetään tarkemmin artiklassa 7:
- Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.
- Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.
- Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
- Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.
Suostumuksen todistamiseen riittää sähköinen tallentaminen esimerkiksi verkossa pyydetyistä kyselyistä. Suostumus ei saa kuitenkaan olla oletusarvona eli esimerkiksi valmiiksi laitettu rasti lomakkeeseen ei täytä lain vaatimuksia. Katso esimerkki.
Suostumuksesta kieltäytymisen tulee olla myös tosiallisesti mahdollinen. Suostumusta ei siis voi käyttää henkilötietojen käsittelyn perusteena, jos rekisteröidyllä ei ole tosiasiallista mahdollisuutta kieltäytyä. Tällaisessa tilanteessa perusteen täytyy löytyä muista artiklan 6 kohdista. Oikeutettuun etuun vedottaessa on rekisterinpitäjän tehtävä tasapainotesti ennen henkilötietotietojen käsittelyn aloittamista. Tasapainotestiin on tietosuojavaltuutetun toimiston sivuilla ohjeet. Katso Rekisterinpitäjän oikeutettu etu.
GDPR opiskelijan arjessa
Monelle luonnolliselle henkilölle GDPR näyttäytyy arjessa lähinnä nettisivujen evästeasetusponnahdusikkunana. Yllä oleva tietosuoja.fi:n esimerkki sivusikin jo tätä, mutta EU:n alueella toimivilla nettisivuilla on velvollisuus pyytää EU-alueella asuvan käyttäjän suostumus evästeiden käyttämiseen esimerkiksi markkinointiin. Usein tätä kyselyä pidetään lähinnä ärsyttävänä, ja monella onkin tapana vain nopeasti klikata “Hyväksy evästeet” -painiketta sen kummemmin asiaa miettimättä. Omaa yksityisyyttäsi voitkin parantaa painamalla jatkossa “Hylkää” -nappia. Nettisivu toimii todennäköisesti täysin yhtä hyvin, kuin jos olisit hyväksynyt evästeet. Selaimesi asetuksista voit käydä poistamassa tallennettuja evästeitä, jolloin nettisivut kysyvät uudelleen lupaa niiden käyttämiseen.
Kilta- tai kerhotoiminnan hallituksiin osallistuvilla opiskelijoilla voi kuitenkin olla kokemusta myös henkilötietojen käsittelijänä toimimisesta. Yhdistyksetkin ovat GDPR:n mukaan juridisia henkilöitä. Jäsenluettelon pitäminen on määritelty yhdistyslaissa, joten yhdistyksellä on velvollisuus pitää kirjaa jäsenten nimistä ja kotipaikoista. Mikäli kerho kuitenkin haluaisi tiedotusta varten pitää kirjaa jäsenten sähköpostiosoitteesta, vaatii tämä jäsenten suostumuksen. Huomaa myös, että henkilötietojen käsittelyä tapahtuu välillä lähes huomaamatta. Esimerkiksi jos kerho lähettää kaikille jäsenilleen sähköpostitiedotteen, tulisi vastaanottajien olla piilokopiokentässä, ei vastaanottajakentässä, jossa jokainen sähköpostiosoite on muiden jäsenten näkyvillä. Mikäli istut jonkin kerhon tai killan hallituksessa, kannattaa perehtyä Tietosuojavaltuutetun Toimiston ohjeeseen: Henkilötietojen käsittely yhdistystoiminnassa.
Erityinen tietoryhmä¶
Arkaluonteisia henkilötietoja kuvataan asetuksessa termillä ”erityinen tietoryhmä”. Nämä ovat:
- rotu tai etninen alkuperä;
- poliittinen mielipide;
- uskonnollinen tai filosofinen vakaumus;
- ammattiliittoon kuuluminen;
- geneettiset tai biometriset tiedot tunnistamista varten;
- terveyttä koskevat tiedot (koskee tietysti myös hoitoja);
- seksuaalinen suuntautuminen tai käyttäytyminen;
Näiden käsittely on lähtökohtaisesti kielletty, mutta asetuksessa on kuvattu 10 kohtaa, joissa kiellosta poiketaan. Näihin kuuluvat esimerkiksi suostumus ja välttämättömyys.
Tietosuojalaki luettelee 11 menettelyä, joilla henkilötietojen käsittelyä pitää turvata edellä mainituissa poikkeamatilanteissa. Asetus kuvaa vastaavia menettelyjä yleisemmin. Niihin kuuluvat monet tavanomaiset tietoturvalliset menettelyt mutta myös henkilötietojen pseudonymisointi.
Osoitusvelvollisuus¶
Rekisterinpitäjän on pystyttävä osoittamaan, että asetusta noudatetaan. Tämä sisältää rekisterin tietoturvasta huolehtimisen. Rekisterinpitäjän tulee informoida rekisteröityjä henkilötietojen käsittelystä tietosuojaselosteella tai muulla vastaavalla asiakirjalla. Lue tarkemmin.
Vaikutustenarviointi¶
Vaikutustenarviointi on artiklassa 35 kuvattu menetelmä, jonka tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.
”Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Tavoitteena on sen arviointi, onko jäljelle jäänyt riski ” (toimituksen täsmennys, yleisesti käytetään termiä jäännösriski)” oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.”
Artiklassa 35 kerrotaan edellytykset vaikutuksenarvioinnin tekemiselle:
”Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.”
Valvontaviranomainen pitää yllä kuvausta esimerkeistä vaikutuksenarvioinnin tekemisen edellytyksistä: mm. geneettisiä tietoja, profiloitua markkinointia, kuvaa ja videota tallennettaessa, julkisen tilan seurantaa sekä paikkatietoja käsiteltäessä on erillisten ehtojen täyttyessä tehtävä vaikutuksenarviointi.
Rekisteröidyn oikeudet¶
Rekisteröidyn oikeudet ovat tietojärjestelmien suunnittelun ja toteutuksen kannalta tärkeitä, koska esimerkiksi tietojärjestelmissä on tarpeen ottaa huomioon mm. tietojen tarkastus, tietojen poisto, käsittelyn kielto ja virheellisten tietojen oikaisu sekä määräajat lain mukaisesti.
Asetuksessa kuvataan rekisteröidyn oikeudet, lue tästä.
On hyvä huomata, että tiettyihin viranomaisrekistereihin ei ole kaikkia oikeuksia. Esimerkiksi ei ole mahdollista pyytää terveystietojen poistamista. Samoin tarkastusoikeutta ei ole poliisin vihjerekisteriin eikä rahanpesurekisteriin.
Tietoturvaloukkaus¶
Yhtenä keskeisenä muutoksena aikaisempaan lainsäädäntöön tietosuosuoja-asetuksessa säädetään menettelystä henkilötietojen tietoturvaloukkauksen tapahtuessa. Keskeistä on ilmoitusvelvoite valvontaviranomaiselle ja käyttäjille sekä dokumentointivelvollisuus. Lue lisää.
On myös hyvä huomata, että henkilötietojen tietoturvaloukkaus ei sellaisenaan johda sanktioihin, jos tietosuoja-asetusta on noudatettu.
Tietoturvaloukkauksen sattuessa on suotavaa tehdä rikosilmoitus poliisille. Tämä voi olla myös mahdollisen vakuutuskorvauksen saamisen edellytys. Lisäksi Kyberturvallisuuskeskus ottaa vastaan ilmoituksia. Laki ei kuitenkaan edellytä rikosilmoitusta eikä ilmoitusta Kyberturvallisuuskeskukselle.
Hallinnollinen sakko¶
Jälleen yksi keskeinen muutos aikaisempaan lainsäädäntöön on hallinnollinen sakko, joka voi olla varsin suuri. Hallinnollinen sakko voidaan määrätä, jos ei ole noudattanut tietosuoja-asetusta. Tietosuojavaltuutetun toimiston mukaan:
”Valvontaviranomainen voi määrätä sakkoja rekisterinpitäjälle tai henkilötietojen käsittelijälle tietosuoja-asetuksen rikkomisesta.” ”Hallinnollinen sakko voi olla enintään 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta. Muita mahdollisia seuraamuksia ovat muun muassa varoitukset, huomautukset ja määräykset sekä henkilötietojen käsittelyn rajoittaminen ja kieltäminen.”
Sakon on oltava tuntuva, jotta sillä on vaikutusta, mutta tarkoitus ei ole kuitenkaan ajaa rekisterinpitäjää konkurssiin. Sakkoa sovitetaan rikkomuksen vakavuuteen, mutta myös rekisterinpitäjän taloudelliseen tilanteeseen sekä muihin olosuhteisiin. Esimerkkinä muista olosuhteista on Taksi Helsinki Oy:n sakon suuruudessa koronatilanteen huomioiminen. Valvontaviranomaisen määräämästä sakosta voi valittaa hallinto-oikeuteen.
On hyvä huomata, että henkilötietojen tietoturvaloukkauksesta ei automaattisesti aiheudu hallinnollista sakkoa. Olennaista on, että tietosuoja-asetusta on noudatettu ja on toimittu lain edellyttämällä tavalla sekä tietenkin ennalta edellytetyn osoitusvelvollisuuden näyttäminen toteen. Ohessa on esimerkkejä Suomessa olleista tapauksista, joissa hallinnollinen sakko on määrätty:
Suomessa on tehty poikkeus muihin EU-maihin verrattuna: hallinnollista sakkoa ei määrätä viranomaisille. Ajatuksena on, että muut ohjaavat toimet riittävät. Ohessa on tästä esimerkki, jossa Oikeusrekisterikeskukselle olisi mitä ilmeisimmin määrätty hallinnollinen sakko.
Tietosuojavastaava¶
Tietosuojavastaava on nimitettävä, jos
- käsitellään laajamittaisesti arkaluontoisia tietoja
- seurataan ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
- organisaatio on julkishallinnon toimija (pois lukien tuomioistuimet).
Pieniinkin yrityksiin tarvitaan tietosuojavastaava, esimerkiksi jos ne käsittelevät vuoden aikana kymmenien rekisteröityjen henkilötietoja (vapaa tulkinta Tietosuojavaltuutetun ohjeesta). Tietosuojavastaavan tehtävät on kuvattu tietosuojavaltuutetun toimistolla seuraavasti:
- seuraa tietosuojasääntöjen noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita
- antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille
- antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarvioinnin toteutusta
- on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
- on tietosuojavaltuutetun toimiston yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa.
On hyvä huomata, että tietosuojavastaava ei ole nimikkeestään huolimatta henkilökohtaisessa vastuussa tietosuojaa koskevien lakien noudattamisesta. Organisaation johdon tehtävänä on huolehtia, että lakeja noudatetaan.
Huom! Tietosuojavastaava ja tietosuojavaltuutettu tarkoittavat eri asiaa ja menevät helposti sekaisin. Ole siis tarkkana!
Muu lainsäädäntö¶
Myös muu lainsäädäntö vaikuttaa tietosuojaan:
- Oikeus yksityiselämän suojaan on Suomen perustuslaissa säädetty perusoikeus. Henkilötietojen rekisteröiminen merkitsee poikkeamista siitä ja tarkempia säädöksiä varten on tietosuojalaki. (Myös Euroopan unionin perusoikeuskirja myöntää suojan yksityiselämälle ja henkilötiedoille.)
- Laki sähköisen viestinnän palveluista (917/2014, alkup. nimi oli Tietoyhteiskuntakaari) käsittelee tarkemmin mm. luottamuksellisen viestinnän suojaa sekä erilaisia viestinnän tuottamia tunnistetietoja ja paikkatietoja.
- Laki yksityisyyden suojasta työelämässä (759/2014) koskee työnantajan toteuttamaa henkilötietojen käsittelyä, esim. huumetestejä ja kameravalvontaa.
- Viranomaisen luovuttaessa henkilötietoja henkilörekistereistään tietosuojalain yleisten säännösten sijasta sovelletaan Julkisuuslakia (621/1999), jossa säädetään myös yleisimmistä salassapitoperusteista sekä hyvästä tiedonhallintatavasta.
- Vuonna 2007 siirrettiin silloisesta Henkilötietolaista uuteen Luottotietolakiin (527/2007) asiaan liittyvien henkilötietojen käsittelysäännöt, esim. merkintöjen säilytysajat luottotietorekistereissä: esim. konkurssi 5v, virallisesti todettu maksuhäiriö 3v, muut 2v. Vuoden 2022 uudistuksessa maksuhäiriömerkinnän säilyvyys lyheni yhteen kuukauteen velan maksusta lähtien. Tätä uudistusta tietyssä mielessä kompensoi Positiivinen luottotietorekisteri (laki 739/2022), joka tallentaa ja luovuttaa (vuodesta 2024 alkaen) entistä enemmän henkilötietoja.
- Henkilötietojen käsittelyä koskevia säännöksiä sisältyy tietosuojalain lisäksi eri aloja, erityisesti viranomaisten tehtäviä ja toimintaa koskevaan erityislainsäädäntöön. Tärkeä esimerkki on Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (764/2021, alun perin 2007). Lisäksi on olemassa kansainvälisiä normeja ja ohjeita.
Tietosuoja-asetusta voi lukea sellaisenaankin, mutta helppolukuinen se ei ole. (Laissa olevat 45 viittausta GDPR:ään tekevät laista tosin vielä hankalamman; vrt. myös tehtävä). Tulkinnan apua voi löytyä Tietosuojavaltuutetun toimiston sivustolla vastatuista kysymyksistä. Hyödyllinen on myös sivuston esitys tietosuojaperiaatteista. Hyvän esimerkin henkilötietojen käsittelyn suunnittelusta tarjoaa sivuston kuvaus käsittelystä tieteellistä tutkimusta varten. Tampereen yliopistolla on tietosuojasivusto ulkoisille käyttäjille, ja intranettiin avautuu lisäsivusto helmikuussa 2022. TUNI-Moodlesta löytyy tietosuojan ajokortti, joka on hyödyksi tutkielmavaiheessa oleville opiskelijoille.
Suomessa väestötietojärjestelmä on tärkeä henkilörekisteri, jota koskee Väestötietolaki (661/2009). Sinne voidaan tavanomaisen suoramarkkinointia ym. koskevan luovutuskiellon lisäksi merkitä sitä paljon vahvempi turvakielto.
Henkilötietojen suoja ei saa heiketä, jos niitä siirretään maasta toiseen. Voi olla, ettei siirtoa EU:n ulkopuolelle saa tehdä. GDPR tarjoaa erilaisia mekanismeja, joilla riittävästä tietosuojasta EU:n ulkopuolella olevassa kohdemaassa voidaan vakuuttua. Kansainvälisissä tiedonsiirroissa tulee huomioida kulloinenkin oikeuskäytäntö ja tietosuojaviranomaisen ohjeistus.
Uudistuksia tulee lainsäädäntöön kaiken aikaa. GDPR oli laaja ja tärkeä uudistus. Se yhtenäisti tietosuojan Euroopassa niin, että yritysten riittää asioida yhden jäsenmaan kanssa. Isot sanktiot (hallinnolliset sakot) ovat saaneet yritykset ottamaan asian huomioon, mutta tuomioitakin on jo pitkä lista, Suomessa 9 kpl vuoden 2021 loppuun mennessä. Kehitys ei pääty GDPR:ään, sillä valmisteilla on sääntelyä, joka parantaa verkkoviestinnän yksityisyyttä (Asetusehdotus yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä 2017).
Sananvapaus on toinen perustuslain säätämä oikeus ja se voi olla ristiriidassa yksityisyyden kanssa. Esimerkki tärkeästä rajankäynnistä koskee hyvin yleiseksi tullutta valokuvausta ja videointia, ja sen lisäksi vielä tuotosten julkaisemista. Valvonta- ja nettikameroiden käyttö ja kuvien tallennus tai julkaisu voivat johtaa laajoihin tarkasteluihin, sillä tallennus muodostaa henkilörekisterin. Kuvaan astuu myös rikoslain sääntely salakatselusta ja kotirauhasta. Kuvaaminen julkisilla paikoilla on kuitenkin sallittua jo perustuslain nojalla.