Henkilötietojen suoja siirtyy digiaikaan

Jatkossa ihmiset saavat paremmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.

Meistä kaikista jää tänä päivänä sähköisiä jälkiä niin ostoksia tehdessä kuin vaikkapa viranomaisten luona asioidessa. Olemme myös erilaisten yhdistysten jäseniä, opiskelemme ja käymme töissä. Näitä tietoja kootaan erilaisiin rekistereihin. Tyypillisesti henkilötietoja on esimerkiksi potilas-, oppilas-, jäsen-, asiakas- tai työnantajan rekisterissä.

Nykyisenkin lainsäädännön mukaan henkilörekistereihin tallennetut omat tietonsa voi tarkistaa ja jos virheitä löytyy, vaatia niiden korjaamista. Omia tietoja voi vaatia myös poistettavaksi. Rekisterinpitäjä saa käyttää henkilötietoja vain siihen tarkoitukseen, jota varten ne on kerätty.

Jatkossa nämä kansalaisten oikeudet siirtyvät digiaikaan, sillä nykyinen säännöstö otettiin käyttöön aikana, jolloin käytössä oli lankapuhelin. Sosiaalinen media, pilvipalvelut, sijaintiin perustuvat palvelut ja älykortit ovat kasvattaneet henkilötietojen käsittelyä räjähdysmäisesti. Tarvitaan uusi säännöstö, joka varmistaa, että ihmisten oikeus henkilötietojen suojaan pysyy voimassa myös digitaaliaikana.

Euroopan unionin laajuinen tietosuoja-asetus tuli voimaan viime toukokuussa, mutta sitä aletaan soveltaa siirtymäajan jälkeen keväällä 2018. Asetuksen tavoitteena on yhtenäistää ja ajanmukaistaa eurooppalaista tietosuojalainsäädäntöä.

Asetuksen mukaan omien henkilötietojen kontrollointi helpottuu. Asianomaisella ihmisellä on oikeus saada enemmän ja selkeämpää tietoa siitä, miten hänen tietojaan käsitellään ja miksi.

Hän saa myös oikeuden siirtää omat tietonsa tietojärjestelmästä toiseen.

– Se parantaa henkilötietojen käytettävyyttä entisestään. Esimerkkinä voisi olla se, että kun tähän saakka on facebookilta ollut oikeus saada omia henkilötietojaan paperisina, niin jatkossa ne on mahdollista saada sähköisessä muodossa, kertoo EU-eritysasiantuntija Anu Talus oikeusministeriöstä.

Rekisterissä olevalla ihmisellä on jatkossa myös oikeus tulla unohdetuksi. Kun hän ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne.

Eniten uusi asetus on noussut esiin tietosuojavuotojen ja -murtojen näkökulmasta. Suomen laki ei tällä hetkellä edellytä rekisterinpitäjiä kertomaan asiakkailleen, jos heitä koskevat rekisteritiedot ovat vuotaneet.

Uuden asetuksen myötä kertominen on tehty pakolliseksi sekä valvontaviranomaiselle että asianomaisille ihmisille. Ilmoitus on tehtävä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja asianomaisille ihmisille ilman aiheetonta viivytystä.

Ilmoitusvelvollisuuden rikkomisesta voidaan määrätä mittava, jopa kymmenien miljoonien eurojen sakko.

Kolmas iso kokonaisuus on lasten sosiaalisen median käyttö. Sitä koskevia ikärajoja ei Suomen henkilötietolainsäädännössä tällä hetkellä säännellä.

– Joillakin sosiaalisilla medioilla voi olla omia ikärajoja, mutta ne ovat lähtöisin esimerkiksi Yhdysvaltojen lainsäädännöstä, Talus toteaa.

Uuden asetuksen mukaan alle 16-vuotiaalla on oltava vanhempien suostumus sosiaalisen median käyttöön.

– Lähtökohtana on 16 vuotta, mutta ikäraja voidaan kansallisesti määritellä 13 ja 16 vuoden välille.

Lähteenä myös Tietosuojavaltuutetun toimiston julkaisema opas, suomi.fi sekä castren.fi