1 kuukausi ja 8 päivää. Euroopan Unionin yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018, siihen on aikaa siis reilu kuukausi. Olette varmasti jo kuulleetkin asetuksesta. Tai ehkä kirjainyhdistelmä GDPR (General Data Protection Regulation) on ponnahtanut eteenne uutisissa tai lehtiartikkeleissa.

Ajattelin muutaman sanan tai itse asiassa muutaman postauksen kirjoittaa tästä ajankohtaisesta aiheesta, niin kiinnostava ja merkittävä aihe mielestäni on.

Lyhyesti sanottuna tietosuoja-asetus koskee kaikkea henkilötietojen käsittelyä. Asetus siis tulee tavalla tai toisella koskettamaan meitä jokaista. Asetus koskee niin yksityisiä yrityksiä kuin valtion ja kuntien viranomaisia. Asetusta aletaan soveltaa samaan aikaan koko EU:ssa, toimintatavat siis yhdenmukaistuvat koko unionin alueella. Tai ainakin niin sopii toivoa. Muutoksen sisäistäminen kun tunnetusti kestää. Mutta uskon, että olemme menossa oikeaan suuntaan.

Määritelmistä

Itse tietosuoja-asetus on lähes 90-sivuinen järkäle. Käsitteitäkin on määritelty kymmeniä. Tässä niistä pari.

Rekisterinpitäjä = luonnollinen henkilö, viranomainen, virasto tai muu elin, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käytännössä rekisterinpitäjä voi olla esimerkiksi terveyskeskus, mikä tahansa yritys, joka kerää tietoja asiakkaistaan esimerkiksi markkinointia varten.

Henkilötieto = henkilöön liittyvä tieto kuten nimi, henkilötunnus, sähköpostiosoite, auton rekisterinumero, taiteilijanimi. Lyhyesti voi kaiketi sanoa: jos kohde itse tunnistaa itsensä niin tieto on henkilötieto.

Lisäksi asetuksessa on erikseen huomioitu erityisiä henkilötietoryhmiä koskeva käsittely. Näitä ovat esimerkiksi terveystiedot, ammattiliiton jäsenyys, rotu, uskonnollinen vakaumus. Lähtökohtaisesti edellä mainittujen tietojen käsittely on kiellettyä. Toki säädöksistä löytyy poikkeuksia.

Henkilön (rekisteröidyn) oikeuksista

Tietosuoja-asetus vastaa monin paikoin nykyistä henkilötietolakia. Tietosuoja-asetukseen kuitenkin sisältyy paljon uutta asiaa kuten, että rekisteröidylle tulee lisää oikeuksia. Yrityksillä ja viranomaisilla on meistä paljon tietoa. Organisaatioiden pitää jatkossa pystyä osoittamaan, miten he käsittelevät henkilötietoja. Rekisteröidyillä eli meillä on muun muassa seuraavia oikeuksia:

  • oikeus tietää, mitkä ovat henkilötietojen käsittelyn tarkoitukset eli mihin tarkoitukseen henkilötietoa kerätään
  • oikeus tietää, mikä on käsittelyn oikeusperuste eli minkä lain tai säädöksen nojalla henkilötietoa kerätään ja käsitellään
  • oikeus tietää henkilötietojen säilytysajat eli miten pitkään tietoa säilytetään tai mitkä ovat säilytysaikojen määrittämiskriteerit
  • oikeus oikaista virheelliset tiedot
  • oikeus saada pääsy tietoihin eli meille pitää toimittaa kaikki meitä itseä koskevat tiedot, mikäli niin vaadimme

Lisäksi henkilötietojen käsittelyä koskeva informaatio pitää olla helposti ymmärrettävässä muodossa ja tiedon pitää olla helposti saatavilla. Tietosuojainfoa ei siis pidä piilottaa monen linkin taakse organisaation verkkosivuilla. Itse asiassa tietoa voi jakaa vaikka sarjakuvin. Katso esimerkki alla olevan linkin takana. Sarjakuvan on piirtänyt Valtionvarainministeriö (JUHTA).

Tietojen kalastelu