Toukokuussa 2018 voimaan astuneen EU:n yleisen tietosuoja-asetuksen (ns. GDPR) tarkoituksena on parantaa yksityishenkilöiden henkilötietojen suojaa ja tietosuojaoikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin, yhtenäistää tietosuojasääntelyä kaikissa EU-maissa sekä edistää digitaalisten sisämarkkinoiden kehittymistä.
Keskeisiä käsitteitä:
- Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
- Henkilötietoja voi olla talletettuna esimerkiksi sähköisissä tiedostoissa, tietokannoissa, paperilla, kortistossa, mapeissa tai ääni- tai kuvatallenteella.
- Rekisteröity on henkilö, jota henkilötieto koskee.
- Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. (SKTL:n jäsenet toimivat yleensä rekisterinpitäjänä).
- Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjästä ulkopuolista tahoa, joka pelkästään käsittelee henkilötietoja rekisterinpitäjän lukuun.
Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi:
- nimi
- kotiosoite
- sähköpostiosoite, kuten etunimi.sukunimi@yritys.com
- puhelinnumero
- henkilökortin numero
- auton rekisterinumero
- paikannustiedot
- IP-osoite
- potilastiedot
- perinnöllisiä sairauksia koskevat tiedot.
Peruste käsitellä henkilötietoja voi olla:
- rekisteröidyn suostumus
- sopimus (yleensä SKTL:n jäsenten peruste on sopimus)
- rekisterinpitäjän lakisääteinen velvoite
- elintärkeiden etujen suojaaminen
- yleinen etu ja julkinen valta
- rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
Tietosuojaperiaatteiden mukaan henkilötietoja on
- käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
- käsiteltävä luottamuksellisesti ja turvallisesti
- kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
- kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
- päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
- säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten.
Tämän takia pitää ilmoittaa avoimesti ja selkeästi vähintään:
- yrityksen nimi, yhteystiedot ja mahdollisen tietosuojavastaavan yhteystiedot (jos on isompi toimija)
- mitä tietoja yritys käsittelee
- mihin tarkoitukseen yritys käsittelee henkilötietoja
- henkilötietojen käsittelyn oikeusperuste
- kuinka kauan tietoja säilytetään
- mikä toinen yritys tai henkilö voi saada tiedot
- siirretäänkö henkilötietoja EU:n ulkopuolelle
- henkilön tietosuojaoikeudet:
- oikeus tehdä valitus tietosuojaviranomaiselle
- oikeus milloin tahansa peruuttaa suostumus, jos käsittely perustuu suostumukseen.
Henkilötietojen käsittelyssä on noudatettava aina lakia ja tietosuojaperiaatteita. Arkaluonteisia tietoja saa käsitellä vain poikkeustapauksissa. Tietosuojaseloste ei ole määrämuotoinen dokumentti.
Esimerkki:
Tietosuoja-asetus vaatii yleisesti sen, että myös tietoturvasta on huolehdittu asianmukaisesti!
Tietoturva ja tietosuoja?
Tietoturva ja tietosuoja ovat kaksi eri asiaa, vaikka niistä puhutaankin samoissa yhteyksissä.
Tietoturva kattaa kaiken sen, mikä liittyy tietojen saatavuuteen, oikeellisuuteen sekä tietojen luottamuksellisuuden säilymiseen käsittelyn, säilytyksen ja tiedonsiirron aikana. Sanastokeskus TSK:n mukaan tietoturvaa ovat kaikki ne järjestelyt, joilla pyritään varmistamaan käytettävyys, tiedon eheys ja luottamuksellisuus. Tietoturvan järjestelyjä ovat esimerkiksi salaus ja varmuuskopiointi sekä palomuurin, virustorjuntaohjelman ja varmenteiden käyttö. Tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen.
Tietosuojalla eli yksityisyyden suojalla tarkoitetaan ihmisen henkilötietojen sekä henkilökohtaiseen toimintaan liittyvien tietojen keräämisen ja käsittelyn rajoittamista niin, ettei henkilön yksityisyys turhaan vaarannu. Tietosuoja pyritään toteuttamaan tietoturvan avulla. Sanastokeskus TSK:n mukaan tietosuojaa ovat ne olot, joissa tiedon luottamuksellisuus säilyy.