EU GDPR eli yleinen tietosuoja-asetus
Kaikki mitä sinun tulee tietää tietosuojasta.Tietosuoja pähkinänkuoressa
Tietosuoja on perusoikeus; lähtökohtaisesti yksilöllä on perustuslaillinen vapaus ja oikeus vaikuttaa itseään koskeviin tietoihin ja niiden käyttöön. Tietosuojalla suojataan kaikkia sellaisia tietoja, jotka ovat yhdistettävissä tiettyyn henkilöön. Siihen liittyy läheisesti myös yksityisyyden suoja, eli jokaisen oikeus yksityiselämäänsä vaikuttavien, niin fyysisten, psykologisten kuin informaation liittyvien toimien suojaan.
EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) on henkilötietojen käsittelyä koskeva laki, joka astui voimaan keväällä 2016 ja jota alettiin soveltaa käytäntöön kaikissa EU-maissa keväällä 2018. GDPR:n avulla henkilötiedot ovat aiempaa paremmin suojattuina ja rekisteröidyt voivat itse vaikuttaa enemmän niiden käsittelyyn.
Käytännössä laki on maailmanlaajuinen, koska sen pykäliä sovelletaan niin eurooppalaisiin organisaatioihin, jotka sijaitsevat EU:ssa ja käsittelevät henkilötietoja missä päin maailmaa tahansa, kuin EU:n ulkopuolisiin organisaatioihin, jotka käsittelevät EU:n alueella olevien ihmisten henkilötietoja liittyen palveluiden tai tavaroiden tarjoamiseen, tai seuraavat EU:n alueella olevien ihmisten käyttäytymistä.
Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille tarkat vaatimukset henkilötietojen keräämistä, säilytystä ja hallinnointia koskien. Yksityisen henkilön tekemään henkilökohtaiseen tai hänen kotitalouttaan koskevaan henkilötietojen käsittelyyn sitä ei kuitenkaan sovelleta.
Tee lyhyt testi ja kartoita organisaatiosi tietosuojataso
Analyysimme perustuu sertifioidun tietosuoja-asiantuntijan asettamiin lähtötilannekartoituskysymyksiin.
Aika ennen GDPR:ää – Tietosuojalainsäädännön kehitys
Tietosuojalainsäädännön peruskivi muurattiin 1948, kun YK:n yleiskokous hyväksyi ihmisoikeuksien yleismaailmallisen julistuksen. 1970-luvulla automatisoidun tietojenkäsittelyn yleistyminen synnytti huolta, ja sen takia useissa Euroopan maissa muodostettiin erillisiä tietosuojalakeja, kuitenkin vielä siltä pohjalta, että tietojenkäsittely tapahtuu pääosin suurina massoina massiivisissa tietopankeissa. 1980-luvulla kävi selväksi, että tämä lähtökohta oli väärä; teknologia levittäytyi kaikkialle tietokoneiden koon pienentyessä.
OECD hyväksyi vuonna 1980 yksityisyyden suojelemista ja kansainvälistä henkilötietojen siirtämistä koskevan tietosuojaohjeen, jonka myös Suomi tuolloin allekirjoitti. Vuonna 1981 astui voimaan Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa käsittelyssä (Suomen osalta se astui voimaan vasta 1992). Suomessa säädettiin henkilörekisterilaki vuonna 1987, jolloin maahamme myös perustettiin tietosuojavaltuutetun virka sekä tietosuojalautakunta käsittelemään ko. lain asioita.
Vuonna 1995 astui voimaan EU:n henkilötietodirektiivi, jonka tarkoituksena oli suojella henkilötietojen käsittelyn kohteena olevia yksilöitä sekä säännellä näiden tietojen vapaata liikkuvuutta. Sen direktiivin mukaisesti Suomessa säädettiin vuonna 1999 henkilötietolaki, joka korvasi aiemman henkilörekisterilain.
2000-luvulla Suomessa päivitettiin useita tietosuojaan liittyviä erityislakeja mm. laki henkilötietojen käsittelystä poliisitoimessa (761/2003), sähköisen viestinnän tietosuojalaki (516/2004), laki yksityisyyden suojasta työelämässä (759/2004), laki henkilötietojen käsittelystä rajavartiolaitoksessa (579/2005), ja laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007).
Vuonna 2002 EU:ssa annetussa sähköisen viestinnän tietosuojadirektiivissä eli ePrivacy-direktiivissä säädettiin henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Tällä hetkellä tätä direktiiviä uudistetaan, ja Euroopan komission tavoitteena on saattaa lähiaikoina voimaan ePrivacy-asetus, joka täydentää ja täsmentää GDPR-asetusta nimenomaan sähköisten viestintäpalveluiden osalta.
EU:n yleinen tietosuoja-asetus 2016/679 hyväksyttiin keväällä 2016 ja se on velvoittanut toukokuusta 2018 alkaen yrityksiä ja organisaatioita. EU:n yleistä tietosuoja-asetusta täydentämään ja täsmentämään on Suomessa laadittu kansallinen Tietosuojalaki 1050/2018, joka tuli voimaan 1.1.2019.
Mitä tietosuojatermit tarkoittavat
Tietosuojan peruskäsitteitä
Rekisteröity
Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö
Suostumus
Mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn
Henkilötieto
Kaikki tunnistettua tai tunnistettavissa oleva luonnollista henkilöä koskeva tieto
Henkilötietojen tietoturvaloukkaus
Tapahtuma, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole niihin käsittelyoikeutta
Rekisterinpitäjä
Taho, esimerkiksi yritys, julkinen viranomainen tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
Käsittely
Toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin, kuten tietojen kerääminen, säilyttäminen, muokkaaminen, poistaminen jne.
Henkilötietojen käsittelijä
Taho, joka käsittelee henkilötietoja rekisterinpitäjän puolesta
Rekisteri
Käyttötarkoitukseltaan yhteneväinen, jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein. Tämä tietojoukko voi olla keskitetty tai hajautettu, sekä toiminnallisin tai maantieteellisin perustein jaettu. Samaan henkilörekisteriin siis kuuluvat kaikki eri järjestelmissä, tietokannoissa, manuaalisissa luetteloissa ja kortistoissa olevat tiedot, jos niitä käytetään saman tehtävän hoitamiseen
Tietotilinpäätös
Raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa vuosittaisen ajantasaisen tilannekuvan organisaation henkilötietojen käsittelyn nykytilasta ja arvion tietosuojan toteutumisesta
Tietosuojavastaava
Organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa
Tarkista, tarvitseeko organisaatiosi tietosuojasta vastaavan henkilön; se ei ole aina pakollista. Tarve riippuu mm. siitä, minkä tyyppisiä tietoja käsitellään ja missä määrin.
Lue lisää tietosuojan peruskäsitteitä koskevasta kirjoituksesta
Henkilötietojen käsittelyn oikeusperusteet
Tietosuoja-asetuksessa on kuusi eri perustetta, joilla henkilötietojen käsittely on mahdollista.
Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta. Tämä oikeusperuste on määritettävä ennen käsittelyn aloittamista. Kun henkilötietojen käsittely sidotaan johonkin käsittelyperusteeseen, perustetta ei voi enää vaihtaa toiseen.
Tietosuoja-asetuksessa on kuusi eri perustetta, joilla henkilötietojen käsittely on mahdollista:
- rekisteröidyn suostumus
- suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, ja se pitää voida peruuttaa yhtä helposti kuin sen on voinut antaa
- sopimus
- sopimusperuste sisältää myös sopimusta edeltäneet henkilötietojen käsittelytoimet, jos ne on tehty rekisteröidyn pyynnöstä
- rekisterinpitäjän lakisääteinen velvoite
- perusteena täytyy olla joko Euroopan unionin tai jonkin sen jäsenvaltion laki
- elintärkeiden etujen suojaaminen
- rekisteröidyn tai jonkun toisen henkilön hätätilanne
- yleistä etua koskeva tehtävä tai julkinen valta
- tehtävä tai valta annettu lailla tai muulla oikeudellisella säännöksellä
- rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
- vaatii tasapainotestin, jossa verrataan rekisteröidyn intressejä ja perusoikeuksia sekä rekisterinpitäjän intressejä
Erityiset henkilötietoryhmät
Erityisten henkilötietoryhmien (niin sanottujen arkaluontoisten tietojen) käsittely on lähtökohtaisesti kiellettyä. Käsittely on kuitenkin mahdollista silloin, kun käsittelykieltoon on säädetty poikkeus tietosuoja-asetuksessa tai kansallisessa lainsäädännössä.
Arkaluontoisia tietoja ovat henkilön
- rotu tai etninen alkuperä,
- poliittiset mielipiteet,
- uskonnollinen tai filosofinen vakaumus,
- ammattiliiton jäsenyys,
- terveyttä koskevat tiedot,
- seksuaalinen suuntautuminen tai käyttäytyminen, tai
- geneettiset tai biometriset tiedot silloin, kun niitä käytetään henkilön tunnistamista varten.
Näitä arkaluontoisia tietoja täytyy suojata tarkemmin kuin muita henkilötietoja, koska niiden vuotaminen ulkopuolisille voi tuottaa henkilölle suurta harmia, uhkia tai riskejä.
Erityisiä henkilötietoryhmiä saa käsitellä vain silloin, kun:
- rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn
- käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi tilanteessa, jossa rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan
- henkilötietoja käsitellään poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja ne suojataan asianmukaisesti; tällöin käsittely voi koskea vain yhteisön jäseniä, entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoitukseen liittyvät yhteydet, eikä tietoja saa luovuttaa yhteisön ulkopuolelle ilman rekisteröidyn suostumusta
- käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi esimerkiksi julkaisemalla ne verkkosivuillaan
- käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
- tuomioistuimet suorittavat lainkäyttötehtäviään
- käsittelyn tueksi on tarkentavaa sääntelyä tai muuta menettelyä, mm. työehtosopimusten tai historiallisten tutkimusten muodossa
Kansainväliset henkilötietojen siirrot
Kansalliset ja kansainväliset lait ja asetukset ovat usein törmäyskurssilla, tai eivät vastaa mahdollisiin ongelmiin tapauksissa, joissa yritykset siirtävät tai jakavat käyttäjien henkilötietoja kolmansille osapuolille.
Henkilötietoja saa siirtää EU:n sisällä ja Euroopan talousalueeseen (ETA) kuuluvaan maahan samoilla perusteilla kuin Suomen sisällä.
Henkilötietojen käsittely EU/ETA-alueen ulkopuolella tarkoittaa tilannetta, jossa tiedot on tallennettu tai niihin pääsee käsiksi etäyhteydellä EU/ETA-alueen ulkopuolelta, niin sanotuista kolmansista maista.Näissä tilanteissa tietojen siirroissa voi tietosuojan taso heikentyä ja riskit lisääntyä, joten lähtökohtaisesti henkilötietojen siirto on kiellettyä, jos sille ei ole GDPR:ssä määritettyjä edellytyksiä.
Ensinnäkin, henkilötietojen käsittelyn täytyy olla sallittua Suomessa kyseisessä tilanteessa. Toiseksi, siirrolle on olemassa jokin hyväksytty siirtoperuste.
Näitä mahdollisia siirtoperusteita henkilötietojen siirrolle kolmansiin maihin ovat, ensisijaisuusjärjestyksessä:
- EU-komission vastaavuuspäätös siitä, että kyseinen tietojen vastaanottajamaa varmistaa riittävän tietosuojan tason
- Näitä ovat tällä hetkellä Andorra, Argentiina, Färsaaret, Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi ja Uruguay, sekä Kanadan kaupalliset organisaatiot; Iso-Britannian osalta käsittely on vielä kesken
- Riittävät turvatoimet
- ensisijaisesti EU-komission hyväksymät vakiolausekkeet ja näihin liittyvät tapauskohtaiset sopimukselliset, tekniset tai organisatoriset lisäsuojatoimet
- toisijaisesti tietosuojaviranomaisen luvanvaraiset, ”räätälöidyt” sopimuslausekkeet, sertifioinnit tai yritystä koskevat sitovat säännöt
- Erityistilanteita koskevat poikkeukset
- Voidaan käyttää vain rajoitetuissa poikkeustilanteissa
Rekisterinpitäjän vastuulla on varmistaa, ettei henkilötietojen suojan tasoa vaaranneta, kun tietoja siirretään EU:n/ETA:n ulkopuolelle, joten aina, kun suunnitellaan yhteistyötä EU-/ETA-alueen ulkopuolisten yhteistyökumppanien tai palveluntarjoajien kanssa toimissa, minkä yhteydessä henkilötietoja voi siirtyä kolmansiin maihin, kannattaa myös selvittää tarkoin, mitä dataa siirretään ja minne, miten omalle datalle varmistetaan oma, riittävä kontrolli, ja minkälaisin sopimuksellisin ehdoin ulkopuolisia palveluita hankitaan. Riskianalyysi on avainasemassa aina henkilötietojen käsittelyä suunniteltaessa, ja erityisen tärkeää se on kansainvälisissä henkilötietojen siirroissa.
Privacy shield -järjestely kumoutui
Kulkeutuuko yrityksestänne henkilötietoja Yhdysvaltoihin?
EU:n tuomioistuin kumosi heinäkuussa 2020 Euroopan unionin ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, jota monet organisaatiot olivat käyttäneet perusteena henkilötietojensa käsittelylle USA:ssa. Päätöksen mukaan Privacy Shield -järjestelyllä ei voitu taata, että henkilötiedoille taataan Yhdysvalloissa EU:n tietosuojaa vastaava taso, ja että esimerkiksi yhdysvaltalaisille palvelimille varastoidut henkilötiedot eivät päätyisi tiedustelupalveluiden tai muiden kolmansien osapuolten käyttöön. Tästä johtuen kaikki henkilötietojen siirrot USA:han, jotka perustuivat ainoastaan Privacy Shield -järjestelyyn, ovat tällä hetkellä mitättömiä. EU ja USA kyllä käyvät parhaillaan neuvotteluita, jotta uusi vastaavanlainen järjestely saataisiin aikaan.
Lue lisää Privacy Shield -järjestelyn kumoutumisesta & seuraamusmaksuista
Tietosuojaperiaatteet ja niihin liittyvät velvollisuudet
Tietosuoja-asetuksessa on määritetty tietyt periaatteet, joita on noudatettava aina henkilötietoja käsiteltäessä. Niiden perusteella rekisterinpitäjälle määräytyy tietyt velvollisuudet, jotka sen tulee täyttää.
Periaatteet
Tietosuojaperiaatteita ovat:
- Lainmukaisuus, asianmukaisuus ja läpinäkyvyys
- Henkilötietojen käsittelyyn tulee olla laillinen peruste ja käsittelyn on noudatettava muuta lainsäädäntöä
- Henkilötietoja ei saa käsitellä tavalla, joka on rekisteröidyn kannalta ennalta arvaamatonta
- Henkilötietojen käsittelystä tulee informoida selkeästi ja ymmärrettävällä tavalla, esim. tietosuojaseloste
- Käyttötarkoitussidonnaisuus
- Henkilötietoja saa kerätä vain laillisia käyttötarkoituksia varten
- Henkilötietojen käyttötarkoitus tulee määrittää ja dokumentoida etukäteen
- Henkilötietoja ei myöhemminkään saa käsitellä alkuperäisen tarkoituksen vastaisesti
- Täsmällisyys
- Käsiteltävien henkilötietojen tulee olla täsmällisiä, ajan tasalla ja tarvittaessa päivitettyjä
- Epätarkat ja virheelliset henkilötiedot tulee poistaa tai korjata
- Tietojen minimointi
- Käsiteltävien henkilötietojen tulee olla asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista niihin määriteltyihin käyttötarkoituksiin, joita varten tietoja käsitellään
- Tietoja ei saa käsitellä laajemmin kuin on välttämätöntä käyttötarkoitukseen nähden. Esim. Työhaastattelussa voi kysyä vain avoimen paikan kannalta tarpeellisia tietoja
- Säilytyksen rajoittaminen
- Henkilötiedot saa säilyttää tunnistettavassa muodossa vain niin kauan kuin voidaan osoittaa sen olevan tarpeen tietojenkäsittelyn tarkoituksen toteuttamiseksi
- Säilyttämisajan määrittämisen kriteerit tulee aina määrittää, esim. lakisääteiset velvoitteet ja kanneajat huomioiden. Esim. Työnantajalla velvollisuus antaa työtodistus 10 vuotta työsuhteen päättymisen jälkeen
- Luottamuksellisuus ja turvallisuus
- Henkilötietojen käsittelyn tulee olla luottamuksellista ja turvallista
- Rekisterinpitäjän tulee arvioida mahdollisia riskejä ja suunnitella ja toteuttaa tarpeelliset suojatoimet, joilla varmistetaan henkilötietojen suojaaminen luvattomalta ja lainvastaiselta käsittelyltä tai vahingossa tapahtuvalta häviämiseltä tai vahingoittumiselta - Mitä arkaluonteisempi henkilötieto, sitä vahvemmat suojatoimet tarvitaan. Esim. Tekniset toimenpiteet, tietosuoja- ja tietoturvaohjeet, käsittelijöiden ja säilytysajan rajoittaminen, vaitiolositoumukset
Rekisterinpitäjän velvollisuudet
Tietosuojaperiaatteisiin liittyvät rekisterinpitäjän velvollisuudet ovat:
- Noudattamisvelvollisuus
Rekisterinpitäjän tulee noudattaa tietosuoja-asetuksen vaatimuksia
→ Prosessit ja toimintatavat kuntoon
- Osoittamisvelvollisuus
Rekisterinpitäjän tulee pystyä todistamaan, että se on toteuttanut tarvittavat toimet GDPR:n noudattamiseksi.
→ Dokumentaatio kuntoon
- Informointivelvollisuus
Rekisterinpitäjän tulee tiedottaa henkilötietojen käsittelystä tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa sekä selkeällä ja yksinkertaisella kielellä
→ Tietosuojaselosteet kuntoon
Toimiiko yrityksesi kansainvälisesti? Ota haltuun GDPR:n englanninkieliset käsitteet.
Joudutko selvittelemään tietosuoja-asioita kansainvälisten asiakkaiden tai yhteistyökumppaneiden kanssa?
Päätimme jakaa keskeisimmät varmasti paikkansa pitävät tietosuojakäsitteet englanniksi.
- Tietosuoja = Data protection
- Henkilötieto = Personal data
- Henkilötietojen käsittely = Processing; Personal data processing; Processing of personal data
- Henkilörekisteri = Personal data file; Personal file
- Rekisteröity = Data subject
- Rekisterinpitäjä = Controller
- Henkilötietojen käsittelijä = Processor
- Tietosuojavastaava; Tietosuojasta vastaava henkilö = Data protection officer; DPO
- Tietosuojaseloste = Privacy notice; Privacy statement; Privacy policy statement
- Erityiset henkilötietoryhmät = Special categories of personal data
- Tietosuojan vaikutustenarviointi = Data protection impact assessment; DPIA
- Päätös tietosuojan riittävyydestä = Adequacy decision
- Henkilötietojen tietoturvaloukkaus; Tietosuojaloukkaus = Personal data breach