Mitä henkilötiedoillemme tapahtuu, kun allekirjoitamme vetoomuksen netissä, käymme lääkärissä tai lataamme uuden sovelluksen puhelimeemme? Toukokuussa voimaan astuva EU-asetus lisää henkilötietojen suojaa – ja kaventaa myös EU:n ulkopuolella rekisteröityjen yritysten ja järjestöjen oikeutta niiden varastoimiseen.

Euroopan unionissa on pian astumassa voimaan uusi asetus henkilötiedoista, jota on luonnehdittu maailmanlaajuisesti mullistavimmaksi henkilöiden yksityisyyttä koskevaksi säädökseksi kahteen vuosikymmeneen. Monet tietotekniikkajätit ja yritykset ovat joutuneet uudistamaan toimintansa perusteita noudattaakseen EU:n tiukkoja rajoituksia. Uusi asetus tulee suojaamaan paljon nykyistä vahvemmin kansalaisten tietojen käyttöä julkisella ja yksityisellä sektorilla sekä antaa heille lisää oikeuksia päättää siitä, miten heidän dataansa käytetään.

Viime viikon torstaina eduskunnassa tuli käsittelyyn hallituksen esitys uudesta tietosuojalaista. Uusi tietosuojalaki täytyy saada Suomessa voimaan ennen toukokuun loppua, jolloin uusi EU:n yleinen tietosuoja-asetus astuu voimaan.

Yritysten rinnalla järjestöt ja viranomaiset joutuvat noudattamaan EU:n yleistä tietosuoja-asetusta (eng. General Data Protection Regulation, GDPR). Sen ideana on yhdenmukaistaa tapaa, jolla henkilötietoja käsitellään EU:n sisällä sekä lisätä henkilötietojen suojaa. Ainoastaan poliisi, rajavartiolaitos ja turvallisuuspalvelut on jätetty uuden asetuksen ulkopuolelle. Niiden henkilötietojen käyttöä säätelee toinen, vuonna 2016 hyväksytty Euroopan neuvoston direktiivi.

Asetus tulee kaikkien sektoreiden, niin julkisen kuin yksityisen, sovellettavaksi 25. toukokuuta 2018 alkaen. Käytännössä siis jokainen, joka ylläpitää tietokantaa asiakkaista, jäsenistä tai kontakteista joutuu soveltamaan uutta tietosuoja-asetusta.

– Tietosuoja-asetus on käynnistänyt Suomessa varsinaiset norminpurkutalkoot. Henkilötietosuoja tulee yhdenmukaistumaan ja paranemaan, Suomen tietosuojavaltuutettu Reijo Aarnio sanoo. Hänen mukaansa aiemmin yli 700 lakia sisälsi henkilötietoja koskevia säädöksiä, jotka on nyt arvioitava suhteessa tietosuoja-asetukseen ja uuteen tietosuojalakiin.

EU:n yleinen tietosuoja-asetus hyväksyttiin toukokuussa 2016 Euroopan parlamentissa. Tuolloin unionin päättäjät olivat seuranneet jo muutaman vuoden ajan huolestuneina, kuinka etenkin amerikkalaiset yritykset olivat muuttaneet kuluttajien ja käyttäjien henkilötietoja kauppatavaraksi. Tietoturvaa koskeva asetus on kuitenkin osa paljon laajempaa uudistusta Euroopan unionissa, nimittäin sen digitaalista sisämarkkinastrategiaa, joka avaa edelleen eurooppalaisille yrityksille ovea estottomaan kaupankäyntiin muissa EU-jäsenmaissa.

The Ulkopolitist listasi tärkeimmät yleisen tietosuoja-asetuksen uudistukset.

 

1. Henkilötietoja saa käyttää enää tiettyyn, rajattuun tarkoitukseen

Yleistä tietosuoja-asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn – siis aina autonomistajista postimerkkiharrastajiin. EU-päättäjät haluavat säädöksellä parantaa henkilötietojen suojaa ja lisätä niiden tarkoituksenmukaista keräämistä ja varastoimista.

Kuluttajan, kansalaisen ja asiakkaan kannalta tämä on erittäin myönteinen muutos. Heidän yhteystietonsa eivät enää voi päätyä yhden sähköpostikampanjan jälkeen saman järjestön tai yrityksen uudenvuoden kirjeiden vastaanottajalistalle, jos he eivät ole selvästi ilmaisseet tähän suostumustaan.

Jatkossa todennäköisesti yleistyvätkin tilausten alle kirjatut kysymykset (“Haluatko vastaanottaa uutisia ja muuta materiaalia jatkossa samalta vastaanottajalta?”), jotka lähettäjän on pakko kysyä noudattaakseen EU-asetusta.

EU haluaa uudella asetuksella puuttua trendiin, jossa henkilötiedot ovat muuttuneet joidenkin yritysten kauppatavaraksi. Esimerkiksi brittilehti The Guardian kertoi vuonna 2016 kuinka WhatsApp luovuttaa käyttäjiensä nimiä ja puhelinnumeroita Facebookille mainontaa varten, vaikka yritykset olivat luvanneet, ettei WhatsAppin osto osaksi Facebook-imperiumia mahdollistaisi käyttäjätietojen yhdistämistä.  

Jotkut yritykset ovat syntyneet pelkästään asiakasprofiilien kokoamisen ympärille: Newsweek-julkaisu raportoi pari vuotta sitten “datameklareista”, jotka kokoavat tietoja julkisista ja yksityisistä lähteistä ja myyvät ne sitten yrityksille markkinointitarkoituksiin. Tämänkaltaisesta toiminnasta tulee laitonta EU:n alueella uuden asetuksen astuttua voimaan.

 

2. Henkilötietoja saa kerätä vain sen verran, mitä kulloinkin oikeasti tarvitaan

Samalla tietojen kerääjät, eli niin kutsutut rekisterinpitäjät, saavat kerätä vain sen verran tietoja, mitä he oikeasti tarvitsevat. Esimerkiksi lääkäri tai veripalvelu voi tarvita laajasti erilaisia terveystietoja tai tietoja potilaan parisuhteesta, viimeaikaisista matkoista ja ruokavaliosta, kun taas seminaarin järjestäjä tarvitsee yhteyshenkilön hätätapauksia varten, mutta ei vaikkapa henkilön varallisuuteen kuuluvia tietoja.

Käytännössä yksityiset ja julkiset tahot joutuvat siis jatkossa punnitsemaan, mitkä tiedot henkilöistä ovat heidän toiminnalleen välttämättömiä ja mitkä eivät. Lisäksi tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyä varten.

Järjestökentällä etenkin kuukausilahjoittajien tuella pyörivät yhteisöt joutuvat huomioimaan tietosuoja-asetuksen pykälät työssään. Henkilötiedoiksi lasketaan kaikki tiedot, joiden avulla yksilö pystytään tunnistamaan, niin myös lahjoituksiin liittyvät tiedot kuten pankki- ja osoitetiedot. Järjestöille suositellaankin, että henkilökuntaa ja vapaaehtoisia koulutetaan henkilötietojen vastuullisessa käsittelyssä ja että ne luovat omat tietoturvaohjeet mikäli sellaisia ei vielä ole olemassa. Muun muassa brittilehti The Guardian on kirjannut ohjeet järjestöille tietosuoja-asetuksen noudattamisesta.

 

3. Myös EU:n ulkopuolelle rekisteröidyt yritykset joutuvat noudattamaan uutta henkilötietoasetusta

Ehkä merkittävintä yleisessä tietosuoja-asetuksessa on, että sitä eivät jatkossa joudu noudattamaan ainoastaan EU-maissa rekisteröityneet yritykset, vaan maailmanlaajuisesti kaikki, jotka käsittelevät EU-kansalaisten tietoja tai myyvät tuotteitaan EU:ssa. Näin esimerkiksi amerikkalaiset sosiaalisen median tai hakukoneyritykset (lue: myös Google ja Facebook) joutuvat nekin uudistamaan tapaa, jolla ne käsittelevät EU:ssa olevien käyttäjiensä tietoja.

Facebook, Google ja muut amerikkalaiset yritykset ovat joutuneet palkkaamaan satoja uusia työntekijöitä selvitäkseen EU-asetuksen uudistuksista toiminnassaan. Ne ovat muuttaneet toimintojaan läpinäkyvämmäksi ja antaneet käyttäjille enemmän mahdollisuuksia päättää siitä, mitä tietoja hänestä on näkyvillä muille käyttäjille tai mainostajille. Facebook on myös ilmoittanut tuottavansa opetusvideoita siitä, miten käyttäjät voivat hallita tietojaan.

 

4. Yritysten ja instituutioiden pitää todistaa, miten ne käsittelevät henkilötietoja

Mielenkiintoinen uudistus on myös siksi, että rekisterinpitäjät joutuvat jatkossa todistamaan, miten ne suojelevat henkilötietoja niin työntekijöidensä kuin asiakkaidensa tai potilaidensa osalta.

-Ei enää riitä, että bisnes tai järjestö noudattaa lakia, nyt niiden pitää kyetä osoittamaan, että ne noudattavat sitä. Kuluttajat voivat jatkossa esimerkiksi sertifikaattien ja auditointien avulla valita, kenen kanssa he uskaltavat tehdä kauppaa ja kenelle he luovuttavat esimerkiksi luottokorttitietonsa, tietosuojavaltuutettu Reijo Aarnio kertoo.

Joihinkin yrityksiin ja yhteisöihin tulee pakolliseksi perustaa niin kutsutun tietosuojavastaavan virka. Tietosuojavastaava on nimettävä silloin, kun toiminnan ydintä on ihmisten henkilötietojen käsittely ja jatkuva päivittäminen. Tähän joukkoon kuuluvat vaikkapa puhelin- ja telepalveluyritykset sekä kunnat ja kaupungit. Myös arkaluontoisia tietoja, kuten terveys- tai varallisuustietoja käsittelevät tahot tarvitsevat toukokuusta eteenpäin tietosuojavastaavan.

Kaikkien rekisterinpitäjien tarkistettavaksi tulee myös, miten he pyytävät käyttäjiltä, jäseniltä ja asiakkailta lupaa henkilötietoihin. Enää ei riitä, että on linkittänyt käyttöehdot lomakkeen yhteyteen, vaan käyttäjälle on yksityiskohtaisesti kerrottava, mihin tietoja käytetään. Jos yhteisö esimerkiksi turvautuu Google Analytics -palveluun kanaviensa analysoimiseksi, on tästä mainittava erikseen lupaa pyydettäessä.

 

5. Henkilötietojen väärästä käytöstä voidaan määrätä sakkoja

Asetus sisältää toistaiseksi lukuisia tulkinnanvaraisia oikeudellisia termejä, joiden täsmentyminen on jätetty myöhemmän oikeuskäytännön varaan. Toistaiseksi epämääräinen oikeustila yhdistettynä mahdollisuuden jaella sakkoja pelottaa monia yrityksiä.

Yrityksen tai yhteisön saamat sakot voivat asetuksen mukaan olla enimmillään 4 % yrityksen edellisen vuoden maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa, riippuen siitä kumpi johtaa korkeampaan summaan. Suomessa tietosuojavaltuutettu voisi myös turvautua ensin huomautuksen antamiseen.

– Harmillista on, että viranomaiset on jätetty Suomeen tulevassa tietosuojalaissa sakkokäytännön ulkopuolelle. Mielestäni sen pitäisi olla niin, että sekä yksityinen että julkinen sektori olisivat saman toimivallan alla, Reijo Aarnio sanoo.

Suurin merkitys tietosuojasääntelyllä on etenkin yrityksille, joiden liiketoimintaan liittyy laajamittaista yksityishenkilöasiakkaiden henkilötietojen käsittelyä. Näitä ovat erityisesti vähittäiskauppa, finanssi-, media-, ja terveydenhuoltoalan yritykset sekä IT-palveluyritykset ja teleoperaattorit.

 

6. Kansallisella tasolla on myös luvassa poikkeuksia EU-asetuksen sisällöstä

EU-asetuksen rinnalle tulee kaikissa jäsenvaltioissa myös uutta kansallista lainsäädäntöä, jota Suomessa siis parhaillaan käsitellään eduskunnassa.

Oikeusministeriön viime kesäkuussa julkaisema mietintö, joka oli hallituksen viimeviikkoisen esityksen pohjana, keräsi huomattavan määrän lausuntoja media- ja tiedealalta, yhteensä 105 kappaletta. Muun muassa Yleisradio, Sanoma Media Finland, Alma Media ja Viestintävirasto kommentoivat luonnosta, kuten myös Helsingin yliopisto, Aalto yliopisto ja Taideyliopisto.

Hallituksen ehdotus poikkeaa EU-asetuksesta etenkin kahdelta osin. Sen mukaan tieteellistä tutkimusta varten voitaisiin poiketa henkilötietojen keruuta koskevista rajoituksista. Tutkimus on määritelty asetuksen johdanto-osassa hyvin laajasti, ja se käsittää sekä kaupallisten toimijoiden kuin tutkimuslaitosten tekemän tutkimuksen.

Toiseksi EU-asetuksesta on poikettu hieman sananvapauden ja henkilötietojen yhteen sovittamisessa. Esimerkiksi Sanoma Media kritisoi alkuperäistä luonnosta siitä, että lakiin oli muotoiltu takaportteja, joilla voitaisiin estää journalistisen sisällön julkaiseminen. Näin olisi esimerkiksi tilanteessa, jossa joku henkilö ei ole tyytyväinen häntä koskevaan uutisointiin.

Suomessa tietosuojan valvominen keskittyisi jatkossa tietosuojavaltuutetun toimistolle. Reijo Aarnio on toiminut Suomen tietosuojavaltuutettuna vuodesta 1997. Uusina tehtävinä tietosuojavaltuutettu hoitaisi ennakkokuulemisia sekä henkilötietojen tietoturvaloukkauksiin liittyviä tehtäviä. Uutena perustettava Euroopan tietosuojaneuvosto työllistänee myös kansallisia tietosuojavaltuutettuja.

 

Lisätietoja:

http://oikeusministerio.fi/artikkeli/-/asset_publisher/tietosuojalaki-taydentaisi-eu-n-tietosuoja-asetusta

http://tietosuoja.fi/fi/index/euntietosuojauudistus.html

https://ec.europa.eu/finland/news/new-data-protection-rules_180215_fi