Tietosuoja (GDPR)

Euroopan unionin yleinen tietosuoja-asetus GDPR ( General Data Protection Regulation vuodelta 2016) on tärkeä tietotekniikan opiskelijoille, sillä se koskee kaikkea henkilötietoa. Tietojärjestelmissä sekä niitä ympäröivissä järjestelmissä on otettava asetuksen vaatimukset huomioon ja henkilötietoa on sielläkin, missä sitä ei aluksi ajattelisi olevan. Tästä yhtenä esimerkkinä ovat sähköiset lukkojärjestelmät, joissa lokitietoa avaimen käytöstä kerätään lukkopesään.

Keskeisiä tietosuojaan vaikuttavia lakeja Suomessa ovat olleet Henkilörekisterilaki 1987–1998 ja Henkilötietolaki 1999–2018. Vuoden 2019 alussa tuli voimaan Tietosuojalaki (1050/2018), joka täsmentää ja täydentää GDPR:ää sen sallimissa rajoissa.

Tärkeimmät käsitteet: GDPR:n ymmärtämiseksi on tarpeen tietää keskeiset käsitteet:

  • Tunnistettavissa oleva: henkilö, joka voidaan suoraan tai epäsuorasti tunnistaa käyttäen
    • tunnistetietoja: esim. nimi, henkilötunnus, sijaintitieto, verkkotunnistetiedot
    • tunnusomaisia tekijöitä: esim. fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurinen, sosiaalinen.
  • Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.
  • Käsittely: kaikenlaiset toimenpiteet (mm. “käyttö”), joita henkilötietoihin voi kohdistaa (myös säilytys). Käsittelylle on aina oltava laissa säädetty oikeusperuste.
  • Rekisteröity on henkilö, jota henkilötieto koskee.
  • Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
  • Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Rekisterinpitäjä on aina päävastuussa tietosuoja-asetuksen noudattamisesta. Käytännössä vastuuta kuitenkin jaetaan käsittelijälle sopimuksilla. Tätä GDPR myös edellyttää silloin, kun joku ulkopuolinen käsittelee rekisterinpitäjän tietoja. Esimerkkinä: Taloyhtiö on osakkaiden ja asukkaiden henkilötietojen rekisterinpitäjä, mutta harvoin käsittelijä. Sen sijasta käsittelijöitä ovat isännöintitoimisto ja huoltoyhtiö.

Jokaisessa maassa on riippumaton valvontaviranomainen, joka mm. valvoo tietosuojalainsäädännön noudattamista, ohjeistaa ja jolle on mahdollista tehdä kantelu epäillyistä rikkomuksista. Suomessa valvontaviranomainen on tietosuojavaltuutetun toimisto.

GDPR ei velvoita luonnollisia henkilöitä (=yksityisiä ihmisiä) heidän yksityiselämässään. Oikeushenkilö (= yritys, organisaatio, yhteisö tai vastaava) ei voi siirtää henkilötietojen käsittelyä luonnolliselle henkilölle ja siten välttää lain velvoitteita. Tästä on oikeustapaus Suomesta, joka on käsitelty EU:n tuomioistuimessa, katso linkki.

Sisäänrakennettu ja oletusarvoinen tietosuoja

GDPR:ssä “sisäänrakennettu” (data protection by design) tarkoittaa sitä, että organisaatioiden on arvioitava riskit jo varhaisessa vaiheessa ja sisällytettävä tietosuoja osaksi järjestelmiä alusta alkaen. “Oletusarvoisuus” tarkoittaa, että suojaukset ovat paikoillaan oletuksena eikä erikseen asennettuina — esimerkiksi henkilötiedot salautaan järjestelmissä automaattisesti tietomurtojen vaikutusten vähentämiseksi. GDPR vaatii myös tietojen minimointia: Jokaisen henkilötiedon on oltava tarpeellinen määriteltyä tarkoitusta varten (kerätään vain tarpeellinen) ja se on poistettava, kun sitä ei enää tarvita.

Henkilötietojen käsittelyn edellytykset

GDPR:n artiklan 6 mukaan henkilötietojen käsittely edellyttää jotain seuraavista:

  • rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
  • käsittely on tarpeen * sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä * rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi * rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi * yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi * rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Jos mikään näistä ei toteudu, henkilötietojen käsittely on laitonta.

Suostumuksen pyytäminen

Suostumuksen edellytyksestä eli artiklan 6 ensimmäisestä henkilötietojen käsittelyn edellytyksestä säädetään tarkemmin artiklassa 7:

  1. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.
  2. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.
  3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
  4. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Suostumuksen todistamiseen riittää sähköinen tallentaminen esimerkiksi verkossa pyydetyistä kyselyistä. Suostumus ei saa kuitenkaan olla oletusarvona eli esimerkiksi valmiiksi laitettu rasti lomakkeeseen ei täytä lain vaatimuksia. Katso esimerkki.

Suostumuksesta kieltäytymisen tulee olla myös mahdollinen. Suostumusta ei siis voi käyttää henkilötietojen käsittelyn perusteena, jos rekisteröidyllä ei ole tosiasiallista mahdollisuutta kieltäytyä. Tällaisessa tilanteessa perusteen täytyy löytyä muista artiklan 6 kohdista. Oikeutettuun etuun vedottaessa on rekisterinpitäjän tehtävä tasapainotesti ennen henkilötietojen käsittelyn aloittamista. Tasapainotestiin on tietosuojavaltuutetun toimiston sivuilla ohjeet. Katso Rekisterinpitäjän oikeutettu etu.

GDPR opiskelijan arjessa

Monelle GDPR näyttäytyy arjessa lähinnä nettisivujen evästeasetusten ponnahdusikkunana. Yllä oleva tietosuoja.fi:n esimerkki sivusikin jo tätä, mutta EU:n alueella toimivilla nettisivuilla on velvollisuus pyytää EU-alueella asuvan käyttäjän suostumus evästeiden käyttämiseen esimerkiksi markkinointiin. Usein tätä kyselyä pidetään lähinnä ärsyttävänä, ja monella onkin tapana vain nopeasti klikata “Hyväksy evästeet” -painiketta sen kummemmin asiaa miettimättä. Omaa yksityisyyttäsi voitkin parantaa painamalla jatkossa “Hylkää” -nappia. Nettisivu toimii todennäköisesti täysin yhtä hyvin, kuin jos olisit hyväksynyt evästeet. Selaimesi asetuksista voit käydä poistamassa tallennettuja evästeitä, jolloin nettisivut kysyvät uudelleen lupaa niiden käyttämiseen.

Kilta- tai kerhotoiminnan hallituksiin osallistuvilla opiskelijoilla voi olla kokemusta myös henkilötietojen käsittelijänä toimimisesta. Yhdistyksetkin ovat GDPR:n mukaan oikeushenkilöitä. Jäsenluettelon pitäminen on määritelty yhdistyslaissa, joten yhdistyksellä on velvollisuus pitää kirjaa jäsenten nimistä ja kotipaikoista. Mikäli kerho kuitenkin haluaisi tiedotusta varten pitää kirjaa jäsenten sähköpostiosoitteesta, vaatii tämä jäsenten suostumuksen. Huomaa myös, että henkilötietojen käsittelyä tapahtuu välillä lähes huomaamatta. Esimerkiksi jos kerho lähettää kaikille jäsenilleen sähköpostitiedotteen, tulisi vastaanottajien olla piilokopiokentässä, ei vastaanottajakentässä, jossa jokainen sähköpostiosoite on muiden jäsenten näkyvillä. Mikäli istut jonkin kerhon tai killan hallituksessa, kannattaa perehtyä Tietosuojavaltuutetun toimiston ohjeeseen: Henkilötietojen käsittely yhdistystoiminnassa.

Erityinen henkilötietoryhmä

Arkaluonteisia henkilötietoja GDPR kuvaa termillä ”erityinen henkilötietoryhmä”. Nämä ovat:

  • rotu tai etninen alkuperä;
  • poliittinen mielipide;
  • uskonnollinen tai filosofinen vakaumus;
  • ammattiliittoon kuuluminen;
  • geneettiset tai biometriset tiedot tunnistamista varten;
  • terveyttä koskevat tiedot (koskee tietysti myös hoitoja);
  • seksuaalinen suuntautuminen tai käyttäytyminen;

Näiden käsittely on lähtökohtaisesti kielletty, mutta GDPR luettelee 10 tapausta, joissa kiellosta poiketaan. Näihin kuuluvat esimerkiksi suostumus ja välttämättömyys. Tietosuojalaki täydentää poikkeamia 8-kohtaisella luettelolla (GDPR:ään verrattuna uutena sellaisia kuin vakuutus, antidoping, vammaisurheilu, kulttuuriperintö). Kun arkoja tietoja käsitellään, pitää Tietosuojalain mukaan käyttää “asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn oikeuksien suojaamiseksi”. Niitä luetellaan 11, joista viimeinen on “muut tekniset, menettelylliset ja organisatoriset toimenpiteet.” Ei siis riitä lukea lakia vaan pitää tietää, mitä on tekemässä, ja osata tämän kurssin muutkin asiat. GDPR kuvaa vastaavia menettelyjä yleisemmässä yhteydessä, itse asiassa useammassa kuin yhdessä. Voit tutustua niihin esim. katsomalla, missä esiintyy pseudonymisointi (paikkoja on määrittelyn jälkeen neljä).

Osoitusvelvollisuus

Rekisterinpitäjän on pystyttävä osoittamaan, että asetusta noudatetaan. Tämä sisältää rekisterin tietoturvasta huolehtimisen. Rekisterinpitäjän tulee informoida rekisteröityjä henkilötietojen käsittelystä tietosuojaselosteella tai muulla vastaavalla asiakirjalla. Lue tarkemmin.

Vaikutustenarviointi

GDPR viittaa monessa kohdassa riskien arviointiin. Artikla 35 vie asian pidemmälle:

”Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.”

Riskeistä pitää siis jo olla ennakkokäsitys, ja sen jälkeen päädytään tekemään vaikutustenarviointi, ja se sisältää myös riskianalyysin. Voidaan tarvita myös ennakkokuuleminen (eli valvontaviranomaisen konsultointi), ja koko vaikutustenarviointi on ilmeisesti huomattu sen verran mutkikkaaksi, että GDPR vaatii rekisterinpitäjää pyytämään neuvoja tietosuojavastaavalta – jos sellainen on nimitetty. Valvontaviranomaisen puolestaan on julkaistava luettelo siitä, minkä tyyppisten käsittelytoimien yhteydessä vaikutustenarviointi tarvitaan. Katso tietosuojavaltuutetun päätös luetteloksi. Tarvitset sitä ja kriteeriluetteloa kahdessa kysymyksessä.

Vaikutustenarviointi koskee siis henkilötietojen käsittelyn tarpeellisuutta, oikeasuhteisuutta ja aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Tavoitteena on sen arviointi, onko jäljelle jäänyt riski (eli jäännösriski) oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää paitsi noudattamaan vaatimuksia, myös dokumentoimaan ja siten tarvittaessa osoittamaan, että on niitä noudattanut.

Rekisteröidyn oikeudet

Rekisteröidyn oikeudet ovat tietojärjestelmien suunnittelun ja toteutuksen kannalta tärkeitä, jotta voidaan ottaa huomioon mm. tietojen tarkastus, tietojen poisto, käsittelyn kielto ja virheellisten tietojen oikaisu sekä määräajat lain mukaisesti.

GDPR kuvaa rekisteröidyn oikeudet, lue tästä.

Tiettyihin viranomaisrekistereihin rekisteröidyillä ei ole kaikkia oikeuksia. Esimerkiksi ei ole mahdollista pyytää terveystietojen poistamista. Samoin tarkastusoikeutta ei ole poliisin vihjerekisteriin eikä rahanpesurekisteriin.

Tietoturvaloukkaus

Yhtenä keskeisenä muutoksena aikaisempaan lainsäädäntöön tietosuoja-asetuksessa säädetään menettelystä henkilötietojen tietoturvaloukkauksen tapahtuessa. Keskeistä on ilmoitusvelvoite valvontaviranomaiselle ja käyttäjille sekä dokumentointivelvollisuus. Lue lisää.

Tietoturvaloukkauksen sattuessa on suotavaa tehdä rikosilmoitus poliisille. Tämä voi olla myös mahdollisen vakuutuskorvauksen saamisen edellytys. Lisäksi Kyberturvallisuuskeskus ottaa vastaan ilmoituksia. Laki ei kuitenkaan edellytä rikosilmoitusta eikä ilmoitusta Kyberturvallisuuskeskukselle.

Hallinnollinen sakko

Henkilötietojen tietoturvaloukkaus ei sellaisenaan johda sanktioihin, jos tietosuoja-asetusta on noudatettu, osoitusvelvollisuus mukaan lukien. Muussa tapauksessa voidaan määrätä hallinnollinen sakko. Tietosuojavaltuutetun toimiston mukaan:

”Valvontaviranomainen voi määrätä sakkoja rekisterinpitäjälle tai henkilötietojen käsittelijälle tietosuoja-asetuksen rikkomisesta.” ”Hallinnollinen sakko voi olla enintään 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta. Muita mahdollisia seuraamuksia ovat muun muassa varoitukset, huomautukset ja määräykset sekä henkilötietojen käsittelyn rajoittaminen ja kieltäminen.”

Sakon on oltava tuntuva, jotta sillä on vaikutusta, mutta tarkoitus ei ole kuitenkaan ajaa rekisterinpitäjää konkurssiin. Sakkoa sovitetaan rikkomuksen vakavuuteen, mutta myös rekisterinpitäjän taloudelliseen tilanteeseen sekä muihin olosuhteisiin. Esimerkkinä muista olosuhteista on koronatilanteen huomioiminen Taksi Helsinki Oy:n sakon suuruudessa. Valvontaviranomaisen määräämästä sakosta voi valittaa hallinto-oikeuteen.

Tässä on esimerkkejä suomalaisista hallinnollisista sakoista:

Psykoterapiakeskus Vastaamo

Suoramarkkinointi

Pysäköinninvalvontayritys

Korkeakoulu

Taksi Helsinki

Suomessa on tehty poikkeus muihin EU-maihin verrattuna: hallinnollista sakkoa ei määrätä viranomaisille. Ajatuksena on, että muut ohjaavat toimet riittävät. Ohessa on tästä esimerkki, jossa Oikeusrekisterikeskukselle olisi mitä ilmeisimmin määrätty hallinnollinen sakko.

Tietosuojavastaava

Tietosuojavastaava on nimitettävä, jos

  • käsitellään laajamittaisesti arkaluontoisia tietoja;
  • seurataan ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti;
  • organisaatio on julkishallinnon toimija (pois lukien tuomioistuimet).

Pieniinkin yrityksiin tarvitaan tietosuojavastaava, esimerkiksi jos ne käsittelevät vuoden aikana kymmenien rekisteröityjen henkilötietoja (vapaa tulkinta Tietosuojavaltuutetun ohjeesta). Tietosuojavastaavan tehtävät on kuvattu tietosuojavaltuutetun toimistolla seuraavasti:

  • seuraa tietosuojasääntöjen noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita
  • antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille
  • antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarvioinnin toteutusta
  • on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
  • on tietosuojavaltuutetun toimiston yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa.

Tietosuojavastaava ei ole nimikkeestään huolimatta henkilökohtaisessa vastuussa tietosuojaa koskevien lakien noudattamisesta. Organisaation johdon tehtävänä on huolehtia, että lakeja noudatetaan.

Huom! Tietosuojavastaava ja tietosuojavaltuutettu tarkoittavat eri asiaa ja menevät helposti sekaisin. Ole siis tarkkana!

Muu lainsäädäntö

Myös muu lainsäädäntö vaikuttaa tietosuojaan:

  • Oikeus yksityiselämän suojaan on Suomen perustuslaissa säädetty perusoikeus. Henkilötietojen rekisteröiminen merkitsee poikkeamista siitä ja tarkempia säädöksiä varten on tietosuojalaki. (Myös Euroopan unionin perusoikeuskirja myöntää suojan yksityiselämälle ja henkilötiedoille.)
  • Laki sähköisen viestinnän palveluista (917/2014, alkup. nimi oli Tietoyhteiskuntakaari) käsittelee tarkemmin mm. luottamuksellisen viestinnän suojaa sekä erilaisia viestinnän tuottamia tunnistetietoja ja paikkatietoja.
  • Laki yksityisyyden suojasta työelämässä (759/2014) koskee työnantajan toteuttamaa henkilötietojen käsittelyä, esim. huumetestejä ja kameravalvontaa.
  • Viranomaisen luovuttaessa henkilötietoja henkilörekistereistään tietosuojalain yleisten säännösten sijasta sovelletaan Julkisuuslakia (621/1999), jossa säädetään myös yleisimmistä salassapitoperusteista sekä hyvästä tiedonhallintatavasta.
  • Vuonna 2007 siirrettiin silloisesta Henkilötietolaista uuteen Luottotietolakiin (527/2007) asiaan liittyvien henkilötietojen käsittelysäännöt, esim. merkintöjen säilytysajat luottotietorekistereissä: esim. konkurssi 5v, virallisesti todettu maksuhäiriö 3v, muut 2v. Vuoden 2022 uudistuksessa maksuhäiriömerkinnän säilyvyys lyheni yhteen kuukauteen velan maksusta lähtien. Tätä uudistusta tietyssä mielessä kompensoi Positiivinen luottotietorekisteri (laki 739/2022), joka tallentaa ja luovuttaa (vuodesta 2024 alkaen) entistä enemmän henkilötietoja.
  • Henkilötietojen käsittelyä koskevia säännöksiä sisältyy tietosuojalain lisäksi eri aloja, erityisesti viranomaisten tehtäviä ja toimintaa koskevaan erityislainsäädäntöön. Tärkeä esimerkki on Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (764/2021, vastaava laki alun perin 2007). Lisäksi on olemassa kansainvälisiä normeja ja ohjeita.

Tietosuoja-asetusta voi lukea sellaisenaankin, mutta helppolukuinen se ei ole. (Tietosuojalaissa olevat 45 viittausta GDPR:ään tekevät laista tosin vielä hankalamman; vrt. myös tehtävä). Tulkinnan apua voi löytyä Tietosuojavaltuutetun toimiston sivustolla vastatuista kysymyksistä. Hyödyllinen on myös sivuston esitys tietosuojaperiaatteista. Hyvän esimerkin henkilötietojen käsittelyn suunnittelusta tarjoaa sivuston kuvaus käsittelystä tieteellistä tutkimusta varten. Tampereen yliopistolla on tietosuojasivusto ulkoisille käyttäjille, ja intranetistä löytyy sisäinen versio. TUNI-Moodlesta löytyy tietosuojan ajokortti, joka on hyödyksi tutkielmavaiheessa oleville opiskelijoille.

Suomessa väestötietojärjestelmä on tärkeä henkilörekisteri, jota koskee Väestötietolaki (661/2009). Sinne voidaan tavanomaisen suoramarkkinointia ym. koskevan luovutuskiellon lisäksi merkitä sitä paljon vahvempi turvakielto.

Henkilötietojen suoja ei saa heiketä, jos niitä siirretään maasta toiseen. Voi olla, ettei siirtoa EU:n ulkopuolelle saa tehdä. GDPR tarjoaa erilaisia mekanismeja, joilla riittävästä tietosuojasta EU:n ulkopuolella olevassa kohdemaassa voidaan vakuuttua. Kansainvälisissä tiedonsiirroissa tulee huomioida kulloinenkin oikeuskäytäntö ja tietosuojaviranomaisen ohjeistus.

Uudistuksia tulee lainsäädäntöön kaiken aikaa. GDPR oli laaja ja tärkeä uudistus. Se yhtenäisti tietosuojan Euroopassa niin, että yritysten riittää asioida yhden jäsenmaan kanssa. Isot sanktiot (hallinnolliset sakot) ovat saaneet yritykset ottamaan asian huomioon, mutta tuomioitakin on jo pitkä lista, Suomessa 27 kpl vuoden 2026 toukokuuhun mennessä. Kehitys ei pääty GDPR:ään, sillä valmisteilla on sääntelyä, joka parantaa verkkoviestinnän yksityisyyttä - näin siitä huolimatta, että “ePrivacy”-asetusehdotus vuodelta 2017 jätettiin pois komission työlistalta vuonna 2025.

Sananvapaus on toinen perustuslain säätämä oikeus ja se voi olla ristiriidassa yksityisyyden kanssa. Esimerkki tärkeästä rajankäynnistä koskee hyvin yleiseksi tullutta valokuvausta ja videointia, ja sen lisäksi vielä tuotosten julkaisemista. Valvonta- ja nettikameroiden käyttö ja kuvien tallennus tai julkaisu voivat johtaa laajoihin tarkasteluihin, sillä tallennus muodostaa henkilörekisterin. Kuvaan astuu myös rikoslain sääntely salakatselusta ja kotirauhasta. Kuvaaminen julkisilla paikoilla on kuitenkin sallittua jo perustuslain nojalla.

Tämän tehtävän päätavoitteena on, että opit, miltä tietosuojalaki ja -asetus näyttävät ja millaista niitä on lukea. Avaa selaimen eri välilehdille tietosuojalaki ja GDPR. Huomaa, että varsinainen asetus alkaa 1. artiklalla vasta vähän ennen pitkän sivun puoliväliä.

Kuten materiaalissa todetaan, asetuksessa on kuvattu 10 ja laissa 8 tilannetta, joissa arkaluonteisten henkilötietojen käsittely sallitaan. Nämä ovat asetuksen artiklassa 9 ja lain pykälässä 6. Etsi nämä ja totea, että
Kumpikaan säädös ei käytä tässä kohden termiä arkaluonteinen vaan erityinen henkilötietoryhmä. Termi ryhmä tulee siitä–kuten materiaalistakin näkyy, että useimmat kohdat sisältävät enemmän kuin yhden tiedon. Kumpikaan säädös ei suoraan määrittele, että erityisiä, tai arkoja, henkilötietoryhmiä ovat nämä ja nämä (vaan kieltää vain käsittelyn). Tutki kumpaakin säännöstä haulla ja vastaa, AL: esiintyykö niissä termiä arkaluonteinen, EHTR: avaako laki, mitä nämä erityiset henkilötietoryhmät ovat.
Kansallista sääntelyä on lain luvun 3 käsittelemä tietosuojavaltuutettu. Hän on asetuksen edellyttämä valvontaviranomainen. Asetus myös edellyttää rekisterinpitäjiä ja henkilötietojen käsittelijöitä asettamaan tietosuojavastaavan. Mitä laki sanoo tietosuojavastaavasta?
Mitä lain edellyttämiä velvoitteita on, jos yrityksen asiakasrekisteri joutuu tietomurron kohteeksi ja on perusteltu epäily, että se on vuotanut? Valitse oikeat vaihtoehdot.
Milloin on tehtävä vaikutustenarviointi? Valitse oikeat vaihtoehdot.
Mitä vaikutustenarviointi sisältää? Valitse oikeat vaihtoehdot
Milloin vaikutustenarviointi on tehtävä? Valitse oikeat vaihtoehdot.
Yksi peruste henkilötietojen käsittelyyn on suostumuksen pyytäminen. Mitä suostumuksen pyytäminen tällöin edellyttää? Valitse oikeat vaihtoehdot.
Tietosuojavastaava

GDPR:n määräävä toimivalta (syventävä)

Ennen säädöksen soveltamista täytyy tietää, mihin asioihin se soveltuu. Siksi lakitekstien alussa määritellään sovellusala ja tätä on käsitelty edellä. Tämän lisäksi säädöksiin liittyy toimivalta, eli missä niitä sovelletaan, kuten aiemmassa luvussa on esitetty. GDPR toi merkittävän muutoksen eurooppalaisen tietosuojalainsäädännön määräävään toimivaltaan.

GDPR koskee kaikkea henkilötietojen käsittelyä, “jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.” (3. artiklan 1. kohta). Tässä käsite rekisterinpitäjän toimipaikka on asetuksessa poikkeuksellisen laaja verrattuna muihin yleisesti ymmärrettyihin oikeusperiaatteisiin. Toimipaikan perustaminen tai ylläpitäminen EU:n alueella ei edellytä muuta kuin kykyä ohjata liiketoimia. Määritelmä on erityisesti laajempi kuin yhtiöoikeudessa tai kansainvälisessä vero-oikeudessa. Esimerkiksi Yhdysvalloissa sijaitsevalla holding-yhtiöllä voidaan katsoa olevan henkilötietojen käsittelypaikka EU:ssa sen kokonaan omistaman tytäryhtiön kautta. Siten oikeushenkilö, jolla ei ole “kiinteää toimipaikkaa” eikä “verovelvollista läsnäoloa” EU:ssa, kuitenkin suorittaa tietojenkäsittelyä EU:ssa sijaitsevan “toimipaikan” yhteydessä GDPR-vastuun analysoinnin näkökulmasta.

Koska GDPR on EU:n asetus eikä direktiivi se on suoraan voimassa EU:n jäsenmaissa. Ristiriitatilanteissa EU:n asetus ohittaa jäsenmaan kansallisen lainsäädännön. GDPR jättää kuitenkin myös tilaa kansalliselle lainsäädännölle näin erityisesti mainiten. Tästä yhtenä esimerkkinä on, että kansallinen lainsäädäntö voi sallia rikostuomioita koskevien henkilötietojen käsittelyn ilman erityisen henkilötietoryhmän vaatimuksia.

GDPR ulottaa määräävän lainkäyttövallan kenen ja missä tahansa toteuttamaan henkilötietojen käsittelyyn, joka liittyy tavaroiden tai palvelujen tarjoamiseen EU:ssa sijaitsevalle rekisteröidylle (3. artikla, 2a). Määräävän lainkäyttövallan uskotaan ulottuvan vain tilanteisiin, joissa toimittaja tarjoaa vapaaehtoisesti tällaisia tavaroita tai palveluita rekisteröidyille EU:ssa.

Lisäksi GDPR koskee kaikkia, jotka seuraavat EU:ssa olevien rekisteröityjen käyttäytymistä, siltä osin kuin tämä käyttäytyminen tapahtuu EU:ssa (3. artikla 2b). Tämän lainkäyttövallan perusteena näyttävät olevan sellaiset uudehkot palvelut, jotka valvovat ja analysoivat ihmisten erilaisia käyttäytymismalleja, esimerkiksi verkkoselainten käyttöä tai fyysistä liikkumista esim. ostoksilla. EU:n ulkopuolella sijaitsevien henkilöiden, jotka näiden perusteiden takia ovat GDPR:n alaisia, on useissa tapauksissa nimettävä edustaja EU:hun (27. artikla & johdanto-osan kohta 80). Euroopan tietosuojaneuvosto (edpb) julkaisi ohjeet GDPR:n alueellisesta soveltamisesta vuonna 2019. Näistä huolimatta sääntelyn tulkinta voi olla edelleen vaikeaa erityisesti uusien digitaalisten palvelujen yhteydessä, ja myös sääntelyn täytäntöönpano EU:n ulkopuolisiin toimijoihin liittyy käytännön haasteita.

Palautusta lähetetään...