Digitalisaatio ja informaation määrän vauhdikas kasvu ovat erilläänkin haastavia aiheita tietosuojan ja yksityisyyden kannalta, mutta yhdessä ne muodostavat lainsäätäjillekin pähkinän purtavaksi. Uusimpia Euroopan parlamentin pureskeltuja pähkinöitä on Euroopan Unionin yleinen tietosuoja-asetus, GDPR. Parlamentilta tämä pähkinä eteni vielä Suomen valtakunnalliseen lainsäädäntöön. Vuoden 2019 alusta otettiin käyttöön tietosuojalaki, joka täydentää GDPR:ää Suomessa.
Organisaatiot saattavat kokea tiukentuneet / tarkentuneet tietosuoja-lait haasteellisina ja ongelmallisina. Kyseiset lait ovat kuitenkin säädetty ihmisten suojaksi, eikä suinkaan vain organisaatioiden kiusaksi.
Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.
Henkilötietojen määritelmä on laajentunut GDPR:n myötä. Henkilötietoja ovat tätä nykyä myös tiedot, joita yhdistelemällä henkilö voidaan tunnistaa.
Henkilötietoa ei ole esimerkiksi yrityksen rekisteritunnukset, yleiset sähköpostiosoitteet (esimerkiksi info@yritys.fi) tai anonymisoidut tiedot (käsitelty siten, että henkilön tunnistaminen on peruuttamattomasti estetty).
GDPR:n myötä rekisterissä olevalla henkilöllä on oikeus mm.:
Henkilörekisteri syntyy, kun henkilötietoja kerätään ja tallennetaan. Rekisteri voi olla digitaalinen ja / tai paperilla.
Pohdittavaksi
Mitä henkilörekistereitä sinulla on työkäytössäsi?
Onko rekistereistä olemassa tietosuojaselosteet?
Ovatko kaikki rekisterit edes tarpeellisia?
Rekisterinpitäjän on ylläpidettävä henkilötietojen käsittelystä kirjallista selostetta. Tietosuojaselosteen täytyy sisältää:
Pohdittavaksi
Kuinka paljon turhaa henkilötietoa on jäänyt roikkumaan esimerkiksi tietokoneille, sähköpostiin, pilvipalveluihin, pöytälaatikkoon?
GDPR:n vaikutus yltää Euroopan Unionin ulkopuolellekin. Asetus suojaa EU:n kansalaisia kaikkialla, jossa heidän henkilötietojaan käsitellään. Organisaation käsitellessä EU:n kansalaisen henkilötietoa, on sen noudatettava tietosuoja-asetuksen pykäliä. Tästä syystä asetuksen voimaantulon jälkeen esimerkiksi moni yhdysvaltalainen uutissivusto lopetti palveluiden tarjoamisen EU:n sisälle. Todennäköisesti pienellä vaivalla olisi ollut mahdollista saada sivustot käsittelemään tietoa asetuksen mukaisesti, mutta organisaatiot eivät halunneet ottaa sakkojen riskejä. Sittemmin moni sivustoista on avannut yhteydet EU:n sisällekin, tutustuttuaan asetuksen ehtoihin ja tehtyään tarvittavat toimenpiteet noudattaakseen niitä.
GDPR velvoittaa jokaista työntekijää, joka millään tavalla käsittelee henkilötietoja.
Eduskunta on säätänyt tietosuojalain voimaantulon 1.1.2019 alkaen. Uusi tietosuojalaki täsmentää henkilötietojen suojelua sekä GDPR:n kansallista soveltamista.
Tietosuojavaltuutetun toimisto tarjoaa kattavan, helposti lähestyttävän infopaketin, josta löytyy näkökulmat yksityishenkilöiden sekä organisaatioiden kannalta. Sivustolta löytyy myös laaja Usein kysytyt kysymykset -osio, josta mahdollisesti löytää vastauksen päällimmäisenä oleviin ksyymyksiin. Sivustolle kerätään myös aiheesta ajankohtaiset uutiset. Tämä sivusto kannattaa pitää ensimmäisenä mielessä tietosuojaa koskevien kysymysten kannalta! https://tietosuoja.fi/etusivu
YouTube toimii erinomaisena tiedonlähteenä mm. webinaarien muodossa. SoteNavi-hankkeen seminaarissakin esiintynyt Ville Kankare käsittelee GDPR:ää ja Office365-pilvipalvelua Elisa Oyj:n videolla:
Eduskunta / Valtioneuvosto: Tietosuojalaki
https://valtioneuvosto.fi/delegate/file/49314
Finlex: Tietosuojalaki
https://www.finlex.fi/fi/laki/ajantasa/2018/20181050
EUR-Lex: GDPR
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1555285660508&uri=CELEX:32016R0679