logo-vipuvoimaa-eulta
logo-elinkeino-liikenne-ja-ymparistokeskus

Tiedot saatavilla ja tehokkaasti turvassa

Johdanto

Digitalisaatio ja informaation määrän vauhdikas kasvu ovat erilläänkin haastavia aiheita tietosuojan ja yksityisyyden kannalta, mutta yhdessä ne muodostavat lainsäätäjillekin pähkinän purtavaksi. Uusimpia Euroopan parlamentin pureskeltuja pähkinöitä on Euroopan Unionin yleinen tietosuoja-asetus, GDPR. Parlamentilta tämä pähkinä eteni vielä  Suomen valtakunnalliseen lainsäädäntöön. Vuoden 2019 alusta otettiin käyttöön tietosuojalaki, joka täydentää GDPR:ää Suomessa.

Organisaatiot saattavat kokea tiukentuneet / tarkentuneet tietosuoja-lait haasteellisina ja ongelmallisina. Kyseiset lait ovat kuitenkin säädetty ihmisten suojaksi, eikä suinkaan vain organisaatioiden kiusaksi. 

GDPR (yleinen tietosuoja-asetus)​ lyhyesti:

  • General Data Protection Regulation
  • Tietosuoja-asetuksella tarkoitetaan Euroopan Unionin
    yleistä tietosuoja-asetusta, jonka EU:n parlamentti
    hyväksyi vuonna 2016
  • Asetus tuli sovellettavaksi 25.5.2018
  • Asetuksessa tarkennetaan ja tiukennetaan luonnollisen henkilön tietoturva-asemaa organisaatioissa

Mikä on henkilötietoa?

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.

https://tietosuoja.fi/mika-on-henkilotieto. 12.1.2019

Henkilötietojen määritelmä on laajentunut GDPR:n myötä. Henkilötietoja ovat tätä nykyä myös tiedot, joita yhdistelemällä henkilö voidaan tunnistaa.

  • nimi
  • osoite
  • henkilötunnus
  • sähköpostiosoite
  • auton rekisterinumero
  • IP-osoite
  • Evästeet
  • Paikannustiedot
  • Potilastiedot

Henkilötietoa ei ole esimerkiksi yrityksen rekisteritunnukset, yleiset sähköpostiosoitteet (esimerkiksi info@yritys.fi) tai anonymisoidut (käsitelty siten, että henkilön tunnistaminen on peruuttamattomasti estetty) tiedot.

Rekisteröidyn / yksityishenkilön oikeudet?

GDPR:n myötä rekisterissä olevalla henkilöllä on oikeus mm.:

  • Päästä käsiksi omiin henkilötietoihinsa ja saada ne itselleen
    • Esimerkiksi Facebookilta voi pyytää henkilötietoja tarkastettavaksi. Facebookin henkilöstä keräämä datamäärä on valtava ja se pitää sisällään mm. kaikki chat-viestit, tilapäivitykset, tykkäykset, aktiivisuudet, jne.
    • Vuosia sitten tehdessäni ko. pyynnön, Facebookilta saamaani pakettiin ei kuulunut kuvatiedostot. 
  • Korjata niissä esiintyviä virheitä
  • Tulla unohdetuksi / kieltää henkilötietojensa käsittely
    • Mikäli laki ei velvoita organisaatiota säilyttämään tietoja, rekisteröidyllä on oikeus tulla unohdetuksi

Organisaatioiden velvollisuudet?

  • Henkilötiedot suojattava asianmukaisesti
    • Kenellä on pääsy tietoihin? Fyysinen suojaus? Digitaalinen
      suojaus?
  • Ilmoitusvelvollisuus – tietomurroista ilmoitettava 72h kuluessa
    viranomaiselle
  • Hankittava suostumus henkilötietojen käsittelyyn
  • Henkilötietojen käsittely lokitietoihin
  • Rekisteri-/tietosuojaselosteet

Rekisterit

Henkilörekisteri syntyy, kun henkilötietoja kerätään ja tallennetaan. Rekisteri voi olla digitaalinen ja / tai paperilla.

  • Rekisterinpitäjän täytyy ilmoittaa selkokielellä henkilötietojen keräämisestä
    • Ilmoitus on aiemmin mahdollisesti ängetty täyteen lakiteknisiä
      termejä, tehden siitä vaikealukuisen
  • Mitä tietoja kerätään?
  • Rekisterejä ovat esimerkiksi asiakasrekisterit ja työntekijärekisterit

Pohdittavaksi

Mitä henkilörekistereitä sinulla on työkäytössäsi?

Onko rekistereistä olemassa tietosuojaselosteet?

Ovatko kaikki rekisterit edes tarpeellisia?

Tietosuojaseloste

Rekisterinpitäjän on ylläpidettävä henkilötietojen käsittelystä kirjallista selostetta. Tietosuojaselosteen täytyy sisältää:

  1. Rekisterinpitäjän tiedot
    • Nimi, osoite, muut yhteystiedot
  2. Yhteyshenkilö rekisteriä koskevissa asioissa
    • Nimi, osoite, muut yhteystiedot
  3. Rekisterin nimi
    • Esim. Organisaation asiakasrekisteri
  4. Henkilötietojen käsittelyn tarkoitus ja peruste
    • Miksi tiedot kerätään, mitä niillä tehdään?
  5. Rekisterin tietosisältö
    • Esim. nimi, syntymäaika, yhteystiedot
  6. Säännönmukaiset tietolähteet
    • Mistä tieto saadaan?
  7. Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle
    • Luovutetaanko tietoja? Kenelle, miksi?
  8. Rekisterin suojauksen periaatteet
    • Miten tiedot suojataan? Fyysisesti / digitaalisesti?
  9. Tietojen säilytys
    • Miten kauan tietoa säilytetään?
  10. Rekisteröidyn oikeudet
    • Oikeudet tarkastaa tietonsa, vaatia virheellisten tietojen oikaisua, poistoa, täydennystä, oikeus kieltää tietojensa käyttö

Pohdittavaksi

Kuinka paljon turhaa henkilötietoa on jäänyt roikkumaan esimerkiksi tietokoneille, sähköpostiin, pilvipalveluihin, pöytälaatikkoon? 

Keneen GDPR vaikuttaa?

GDPR:n vaikutus yltää Euroopan Unionin ulkopuolellekin. Asetus suojaa EU:n kansalaisia kaikkialla, jossa heidän henkilötietojaan käsitellään. Organisaation käsitellessä EU:n kansalaisen henkilötietoa, on sen noudatettava tietosuoja-asetuksen pykäliä. Tästä syystä asetuksen voimaantulon jälkeen esimerkiksi moni yhdysvaltalainen uutissivusto lopetti palveluiden tarjoamisen EU:n sisälle. Todennäköisesti pienellä vaivalla olisi ollut mahdollista saada sivustot käsittelemään tietoa asetuksen mukaisesti, mutta organisaatiot eivät halunneet ottaa sakkojen riskejä. Sittemmin moni sivustoista on avannut yhteydet EU:n sisällekin, tutustuttuaan asetuksen ehtoihin ja tehtyään tarvittavat toimenpiteet noudattaakseen niitä.

GDPR velvoittaa jokaista työntekijää, joka millään tavalla käsittelee henkilötietoja. 

 

Käytännön vinkkejä GDPR-yhteensopivuuteen

  • Käy aineisto läpi – tietoiseksi kerätystä (kerääntyneestä) tiedosta!
    • Vuosien varrella kerääntyy valtavat määrät turhaa dataa, jonka seassa voi olla henkilötietojakin ripoteltuna
    • Esimerkiksi palaverimuistiot, muistiinpanot, jne. saattavat sisältää aivan turhaan henkilötietoja
    • Organisaation aineisto, esim. palvelimelta, yhteisiltä levyasemilta,
      arkistokaapeista
  • Poista turha data!
    • Sentimentaalinen arvo kannattaa punnita tietosuojan kannalta
    • Henkilötietojen säilytys täytyy perustella, joten turhan datan säilytys sotii jopa asetusta vastaan
    • Olet vastuussa siitä, mitä säilöt järjestelmissäsi
      • ”En minä tiennyt, että meillä on tällaista” on todella huono selitys
  • Ei kannata unohtaa maalaisjärkeä
    • Tietosuoja-asetus ei tullut voimaan tuhotakseen organisaatioita, vaan suojelemaan yksityisyyttä

Tietosuojalaki

Eduskunta on säätänyt tietosuojalain voimaantulon 1.1.2019 alkaen. Uusi tietosuojalaki täsmentää henkilötietojen suojelua sekä GDPR:n kansallista soveltamista.

Tietosuojan ja GDPR:n työkalupakit ja lähteet

Tietosuojavaltuutetun toimisto tarjoaa kattavan, helposti lähestyttävän infopaketin, josta löytyy näkökulmat yksityishenkilöiden sekä organisaatioiden kannalta. Sivustolta löytyy myös laaja Usein kysytyt kysymykset -osio, josta mahdollisesti löytää vastauksen päällimmäisenä oleviin ksyymyksiin. Sivustolle kerätään myös aiheesta ajankohtaiset uutiset. Tämä sivusto kannattaa pitää ensimmäisenä mielessä tietosuojaa koskevien kysymysten kannalta! https://tietosuoja.fi/etusivu

YouTube toimii erinomaisena tiedonlähteenä mm. webinaarien muodossa. SoteNavi-hankkeen seminaarissakin esiintynyt Ville Kankare  käsittelee GDPR:ää ja Office365-pilvipalvelua Elisa Oyj:n videolla: