Lakiklinikka: Tietosuoja ja turvallisuus
Kuva: Kari Långsjö
Uutta tietosuojasääntelyä aletaan Suomessa ja koko EU:ssa soveltaa 25. toukokuuta alkaen. Sääntelypakettiin sisältyy EU:n tietosuoja-asetus, kansallinen tietosuojalaki ja vähitellen tarkistettava erityislainsäädäntö. Kokonaisuus on jopa ammattilaiselle haastava.
* * *
Uudistuksessa keskeistä on yksilön oikeuksien vahvistaminen ja rekisterinpitäjän vastuun korostaminen. Uusilla säännöillä halutaan varmistaa, että jokaisen perusoikeutta yksityisyyteen ja henkilötietojen suojaan noudatetaan sekä kaupallisessa käytössä että viranomaistoiminnassa myös digiaikana. Pakottavalla lainsäädännöllä ohjataan yhteiskuntaa kohti turvallisempia käytäntöjä ihmisten tietojen käsittelyssä. Rekisterinpitäjälle säädetään laaja niin organisatorinen kuin tekninenkin kokonaisvastuu sen toimintaan liittyvien ihmisten tietojen käsittelystä.
Tietosuojauudistuksessa painotetaan turvallista henkilötietojen käsittelyä. Turvallisuutta lisäävää on esimerkiksi se, että henkilötietojen käsittelystä vastuussa oleva taho, eli rekisterinpitäjä, tekee riskiarvion omasta henkilötietojen käsittelystään: Pärjääkö organisaatiomme ilman tätä tietoa? Pärjääkö rekisteröity, jos käsittelyssä tapahtuu virheitä? Mikä on tietojen yhteiskunnallinen arvo? Riskiarvon perusteella mietitään, paljonko voidaan ja pitää satsata tietosuojan eri ratkaisuihin organisaatiossa.
* * *
Rekisterinpitäjän tulisi ymmärtää, että omilla toimilla voi parantaa sekä käsittelyn ja koko toiminnan laatua että rekisteröityjen yksityisyyden suojaa. Organisaation ratkaisuilla voidaan vaikuttaa esimerkiksi siihen, millaista tietoa elinkeinoelämän tukena käytettävät robotit löytävät henkilöstä internetistä ja sitä kautta siihen, millaista mainontaa tai sisältöä henkilölle ohjataan verkossa.
Turvallisuutta lisäävää on myös rekisteröityjen oma kiinnostus ja ymmärrys yksityisyyden ja henkilötietojen suojan tärkeydestä. Pitkälle pääsee maalaisjärjellä, mutta tulisi pohtia, kenelle ja mihin toimintaan on järkevä antaa tietoa itsestään. Jos haluaa saada terveyspalveluita, on välttämätöntä kertoa asioita itsestään. Jos haluaa tallettaa rahaa muualle kuin patjan alle, on välttämätöntä antaa esimerkiksi pankille tietoa itsestään. Mutta tiedostetaanko, että avoimesta sähköpostiviestistä usein poimitaan tietoa markkinoinnin kohdistamiseksi? Ja että ilman toimenpiteitä useat verkkokaupat seuraavat, mitä teet internetissä, ja kohdistavat sekä markkinointia että hintoja sinulle. Lentolipun hinta voi hyvin muuttua sen mukaan, kuinka usein vierailet lentoyhtiön sivuilla, esimerkiksi.
* * *
Miten on sitten mahdollista ottaa kantaa siihen, mikä on järkevää, perusteltua tai turvallista? Miten minä voin tietää, mihin käyttöön minun on turvallista luovuttaa henkilötietojani?
Tietosuojauudistuksessa vastuu oman toiminnan kuvaamisesta on annettu rekisterinpitäjille, eli kunnille, maakunnille, sairaaloille jne. Tahojen, joiden vuoksi henkilötietoja kerätään, pitää myös osata kertoa omasta toiminnastaan riittävästi, jotta ihmiset voivat tehdä tietoisen päätöksen omien henkilötietojensa antamisesta. Asetuksen artikla 12:n mukaan tietoa pitää aina antaa läpinäkyvässä muodossa, mikä tarkoittaa sitä, että kun rekisterinpitäjä on yhteydessä ihmisiin, joiden tietoja se käsittelee, tulisi yhteydenpito käydä näiden ihmisten edellytyksillä. Olisi vältettävä kankeaa virkakieltä ja kerrottava, mitä tietoa tarvitaan ja mihin tarkoituksiin, miten kauan tietoja käsitellään, kuka tietoja käsittelee ja paljon muutakin. Tämä tietenkin edellyttää, että rekisterinpitäjä itse on ottanut selvää ja osaa näistä asioista kertoa.
Eli turvallisuutta lisätään tietosuojan näkökulmasta ennen kaikkea ymmärtämällä omaa toimintaa paremmin, sekä rekisterinpitäjänä että rekisteröitynä.
Ida Sulin, johtava lakimies, Kuntaliitto
Lakiklinikka on julkaistu Kuntalehdessä 5/2018