EU:n tietosuoja-asetus 2018

Yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) on henkilötietojen käsittelyä sääntelevä laki, joka hyväksyttiin 14.4.2016 Euroopan parlamentin ja neuvoston päätöksillä ja tuli voimaan kaikissa EU-maissa 25.5.2018. Samalla se korvasi vuonna 1995 annetun henkilötietodirektiivin. Asetuksen tarkoituksena on antaa parempaa suojaa henkilötiedoille, mutta myös keinoja hallita tietojen käsittelyä. Lisäksi se yhtenäistää tietosuojasääntelyä kaikissa EU-maissa ja edistää digitaalisten sisämarkkinoiden kehittymistä.

Kansalaisille enemmän oikeuksia

Asetuksen myötä rekisteröidyillä on oikeus tietää mitä henkilötietoja itsestään on eri organisaatiolla sekä miten ja mihin tarkoitukseen henkilötietoja tarvitaan. Henkilötiedoiksi luetaan kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön ja mahdollistaa näin tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella. Vaikka henkilötietojen käyttö on relevanttia, niin tulee saada tietää, kuinka kauan niitä tarvitaan ja luovutetaanko niitä eteenpäin. Mikäli ilmenee virheellisiä tai puutteellisia henkilötietoja, niin voi pyytää niiden korjaamista, mutta myös niiden poistamista. Kukin voi myös vastustaa henkilötietojen käsittelyjä ja pyytää henkilötietojen käsittelyn rajoittamista.

Rajoituksia tietojen saantiin

Pitää muistaa, että lain mukaan kansalaisilla ei ole aina oikeutta tutustua itsestä kerättyihin tietoihin. Näitä syitä ovat:

- Jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä

- Tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille

- Henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Näissä tapauksissa rekisteröidylle on ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. Jos ei ole oikeutta tutustua itsestään kerättyihin tietoihin, tiedot on annettava tietosuojavaltuutetulle kansalaisen pyynnöstä.

Rekisterinpitäjille uusia velvoitteita

Oleellisin muutos aiempaan henkilötietodirektiiviin on se, että jokaisen henkilörekisteriä pitävän on pystyttävä dokumentein osoittamaan, että henkilötiedot ovat asianmukaisia ja rajoittuvat vain siihen, mikä on tiedon käsittelyn kannalta tarpeellista. Kun rekisterinpitäjä tekee toimia käsiteltävien henkilötietojen suojaamiseksi, tulee heidän suhteuttaa henkilötietojen käsittelyä rekisteröityjen oikeuksille ja vapauksille aiheuttavaan riskiin.

Uuden asetuksen myötä rekisteriselosteet on oltava kattavampia kuin aiemmin. Rekisteröitävälle on selosteessa ilmoitettava muun muassa henkilötietojen säilytysaika ja se, mihin ja miten tietoja käytetään.

Tietosuoja-asetus edellyttää myös, että rekisterinpitäjä ilmoittaa 72h kuluessa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Näitä tietoturvaloukkauksia ovat mm. Henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

Digitaalisten sisämarkkinoiden kehittyminen

Digitaalisilla sisämarkkinoiden kehittämisen tavoitteena edistää EU:n jäsenvaltioiden yhteismarkkinoita ja poistaa kaupankäynnin esteitä yhteisen hyvinvoinnin edistämiseksi. Tiedonsaannin parantuminen lisää tehokkuutta, luo ihmisille työllistymismahdollisuuksia ja helpottaa yhteisten sääntöjen noudattamista. Verkkokaupan globalisaatio tuo ihmisille uusia ostosmahdollisuuksia, halvempia hintoja ja laajempia valikoimia. Tämä tosin on aiheuttanut eettisiä ongelmia epäekologisuuden ja huonojen työolojen muodossa.

Tutkimuksen perusteella digitaalisia sisämarkkinoita kehittämällä on mahdollisuus  vähentää Euroopan kansalaisille ja yrityksille aiheutuvia kustannuksia ja esteitä sekä tehdä Euroopan taloudesta vihreämpi ja sosiaalisempi. Näitä asioita voidaan toteuttaa kehittämällä sähköistä asiointia ja siihen liittyviä palveluja, esimerkiksi sähköisiä terveyspalveluja. Samalla kun digitaaliset sisämarkkinat edistävät taloutta ja parantavat elämänlaatua sähköisen kaupankäynnin ja sähköisen hallinnon avulla, niin on myös on turvattava yksityisyyden ja henkilötietojen suoja ja verkkoturvallisuus.

Henkilötietojen käsittely oppilaitoksissa

Suuri osa oppilaitoksissa käsiteltävistä tiedoista on henkilötietoja kuten nimi, henkilötunnus, osoite, tiedot kurssien suorittamisesta, poissaoloista ja saaduista arvosanoista. Myös tiedot, joita kertyy yksilön toimiessa sähköisessä ympäristössä, voivat olla henkilötietoja. Tällainen materiaali voi olla kuvia, videoita ja äänitteitä, joista henkilön tunnistaa. Koska opetusta toteutetaan nykyään paljon erilaisten sähköisten palveluiden avulla, tietosuoja-asetus tuo oppilaitoksiin pohdittavaksi uusia asioita.

Lähtökohtaisesti tieto- ja viestintätekniikan käyttö oppilaitosten toiminnassa on sallittua silloin, kun kyse on opetuksen järjestämisessä käytettävistä sähköisistä työvälineistä. Tällöin tulee kiinnittää huomiota siihen, mitä tietoja sähköiset palvelut käyttäjistä keräävät. Tietosuojan kannalta mutkattominta on suosia sovelluksia, joissa henkilötietoja kerääntyy mahdollisimman vähän, esimerkiksi pelkkä nimi tai nimimerkki.

Oppilaitoksissa on nimetty tietosuojavastaava, joilta saa lisätietoa aiheesta. Lisäksi on hyvä tutustua opetus- ja kulttuuriministeriönjulkaisemaan tietosuojaoppaaseen.