09 elo Tietosuoja turvaa henkilötietoja
Mitä tarkoitetaan tietosuojalla?
Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Henkilötietoja ovat sellaiset tiedot, josta yksittäinen henkilö on tunnistettavissa joko suoraan tai välillisesti. Tällaisia ovat esimerkiksi henkilön etunimi- sukunimi -yhdistelmä, osoitetiedot, sähköpostiosoite, puhelinnumero, pankkitilin numero, paikannustiedot, IP-osoite, potilastiedot ja ajoneuvon rekisterinumero. Tietoja suojataan, kun niiden käsittely on kokonaan tai osittain automaattista tai tiedot muodostavat rekisterin tai osan rekisteriä. Suojan kannalta ei ole merkitystä sillä, mitä tekniikkaa tietojen käsittelyssä käytetään. Suojattava henkilötieto voi myös olla tallennettuna monella tapaa, esimerkiksi paperilla, sähköisessä tiedostossa, tietokannassa tai ääni- tai kuvatallenteena.
Tietosuojan tavoitteena on turvata jokaisen henkilön, jonka tietoja käsitellään, oikeudet. Tietosuoja määrittää, milloin ja millä tavoin henkilötietoja voidaan käsitellä. Suoja koskee yksityishenkilöön liittyvien tietojen keräämistä, tallentamista, käsittelemistä, luovuttamista, siirtämistä ja yhdistämistä. Tietosuojaa koskevia vaatimuksia ei kuitenkaan sovelleta, jos yksityishenkilö käsittelee henkilötietoja omiin tarkoituksiin tai omassa kotitaloudessaan eikä se liity ammatilliseen tai kaupalliseen toimintaan. Tällaista käsittelyä on esimerkiksi osoitteiden tallentaminen omaan osoitekirjaan.
Henkilötietojen käsittelyn tulee perustua lakiin
Henkilötietojen käsittelyn tulee aina perustua lakiin. EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR, jäljempänä ”asetus”) on tullut noudattaa jäsenmaissa 22.5.2018 lähtien. Asetuksen tarkoitus on ajantasaistaa lainsäädäntö vastaamaan teknologian kehitystä ja toisaalta yhdenmukaistaa sääntely EU:n alueella. Asetuksen lisäksi tietosuojasta säädetään tietosuojalaissa ja lukuisissa erityislaeissa liittyen esimerkiksi työelämän tietosuojakysymyksiin, potilaan oikeuksiin ja luottolaitostoimintaan.
Rekisteröityjen oikeudet
Tietosuojan keskeisintä sisältöä ovat rekisteröityjen oikeudet. Rekisteröidyllä tarkoitetaan sitä henkilöä, jonka henkilötietoja käsitellään. Rekisteröidyllä on oikeus saada tietoa omien henkilötietojen käsittelystä, saada pääsy niihin ja pyytää virheellisten tietojen oikaisua. Hänellä on myös oikeus pyytää tietojen poistamista, siirtää tiedot toiseen järjestelmään, rajoittaa tietojensa käsittelyä ja vastustaa sitä sekä myös vastustaa esimerkiksi profilointia tietojensa avulla.
Tietosuojalainsäädännön yrityksille asettamat velvollisuudet
Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Tällaisia ovat esimerkiksi kuluttaja-asiakkaan tai yritysasiakkaan yhteyshenkilön yhteystiedot. Tietosuoja-asetuksen tultua voimaan monet yritykset kiirehtivät tekemään erilaisia toimenpiteitä, jotta niiden toiminta täyttäisi lain asettamat vaatimukset.
Tietosuojasta huolehtiminen on kuitenkin jatkuva prosessi. Kaikkien henkilötietoja käsittelevien organisaatioiden on kiinnitettävä huomiota siihen, millä perusteella henkilötietoja voidaan kerätä, käyttää, säilyttää, julkaista tai muutoin käsitellä. Henkilötietoja keräävän tahon tulee huolehtia, että lainsäädännön asettamat vaatimukset on otettu huomioon jo ennen kuin henkilötietojen käsittelyyn ryhdytään.
Asetuksen vaatimukset on kirjattu yleisiksi periaatteiksi, joiden tarkemman toteutusmuodon yritys valitsee itse. Pelkkä noudattaminen ei kuitenkaan riitä, vaan se on kyettävä myös osoittamaan. Tällöin puhutaan osoitusvelvollisuudesta. Käytännössä tämä tapahtuu siten, että yritys dokumentoi tehdyt toimenpiteet.
Velvollisuuteen sisältyy ensinnäkin huolehtiminen siitä, että rekisteröidyt ymmärtävät, kuinka heidän henkilötietojaan käsitellään. Toiseksi kaikki käyttötarkoitukset, joihin henkilötietoja käytetään, tulee olla etukäteen yksilöity eikä tietoja saa käyttää muihin tarkoituksiin. Lisäksi henkilötietoja saa hyödyntää ainoastaan siinä laajuudessa, mikä on tarpeellista käyttötarkoituksen toteuttamiseksi. Yritysten tulee määritellä kaikille eri henkilötiedoille säilytysajat, säilyttää tiedot huolellisesti ja varmistaa, että tiedot hävitetään säilytysajan päätyttyä. Mikäli henkilötietojen käsittely yrityksessä on laajamittaista tai sellaista, että se luonteensa vuoksi vaatii säännöllistä seurantaa, tulee yrityksen nimittää tietosuojavastaava. Tällainen tilanne on esimerkiksi, jos yritys käsittelee potilastietoja, tekee rekrytointiin liittyviä profilointeja tai käsittelee henkilötietoja laajasti. Tietosuojavastaava on asiantuntija, joka seuraa henkilötietojen käsittelyä organisaatiossa ja auttaa säännösten noudattamisessa.
Tietoturvaloukkauksista tulee ilmoittaa
Yksittäisten henkilöiden oikeudet ovat nousseet esille erityisesti tietoturvaloukkauksia koskevissa tilanteissa. Tällaisessa tilanteissa henkilötietoja vahingossa tai lakia rikkomalla esimerkiksi tuhoutuu, häviää, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole siihen oikeutta. Yrityksen tulee pääsäännön mukaan ilmoittaa tällaisista loukkauksista valvontaviranomaiselle, mikäli kyseessä ei ole tilanne, josta ei katsota aiheutuvan riskiä henkilöiden oikeuksille. Loukkauksesta voi olla velvollisuus ilmoittaa myös sen kohteeksi joutuneelle. Suomessa tietosuojavaltuutettu valvoo ja opastaa tietosuojalainsäädännön käyttöön liittyen ja myös tietoturvaloukkauksesta tulee ilmoittaa tietosuojavaltuutetun toimistolle.
asianajaja Jenna Järnstedt
Kirjoitus on julkaistu Hämeenlinnan kaupunkiuutisten lakipalstalla 9.4.2022.