Yksityisyys ja tietosuoja

Yksityisyys ja tietosuoja 

EU:n tietosuoja-asetus

EU:n tietosuoja-asetus eli GDPR tulee sanoista General Data Protection Regulation. Tämä laki sääntelee henkilötietojen käsittelyä. Tietosuoja-asetus antaa suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä. (Tietosuojavaltuutetun toimisto, n.d.)

Lakia alettiin soveltamaan kaikissa EU-maissa keväällä 2018. Lainsäädäntöuudistuksen tavoitteena on ollut muun muassa parantaa henkilötietojen suojaa ja tietosuojaoikeuksia, vastata digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin, yhteisnäistää samalla tietosuojasääntelyä kaikissa EU-maissa sekä edistää digitaalisten sisämarkkinoiden kehittymistä. (Tietosuojavaltuutetun toimisto, n.d.)

Tietosuojaoikeudet:

  • oikeus tietää mitä henkilötietoja organisaatiolla on sinusta
  • oikeus tietää miten ja mihin tarkoitukseen henkilötietojasi käsitellään
  • oikeus pyytää virheellisten, epätarkkojen ja puutteellisten henkilötietojen muokkaamista
  • oikeus pyytää henkilötietojesi poistamista
  • oikeus vastustaa ja rajoittaa henkilötietojesi käsittelyä
  • oikeus siirtää tietosi toiselle organisaatiolle
  • oikeus olla joutumatta perusteetta automaattisen päätöksenteon kohteeksi

(Tietosuojavaltuutetun toimisto, n.d.)

                                Kuva 1. (Opitietosuojaa, n.d.)

Yksityisyyden suoja

Se on laaja käsite, jota voidaan selittää yksilön oikeudella yksityiselämäänsä ja yksityisyyteensä erilaisissa vaiheissa tietojenkäsittelyssä. Valtiovalta antaa suojaa jokaisen henkilön yksityisyyden ylläpitämiselle ja yksityisyys on turvattu siltä varalta ettei viranomainen tai jokin muu taho voi aiheettomasti ja mielivaltaisesti puuttua siihen. Yksityisyyden suoja liittyy laajasti perusoikeuteen yksityiselmän suojasta, mutta myös muihin perusoikeuksiin kuten yhdenvertaiseen kohteluun, henkilökohtaiseen koskemattomuuteen sekä vapauteen. Itsemääräämisoikeus antaa yksilölle oikeuden päättää asioistaan ja tehdä omaan elämäänsä liittyviä valintoja ilman muiden mielipiteitä ja puuttumistä siihen. (Minilex, n.d.)

Perustuslaki antaa jokaiselle oikeuden yksityiselämän suojaan, kunniaan ja kotirauhaan. Se turvaa yksilölle oikeuden elää yksityiselmäänsä eli siis oikeuden määrätä itsestään, ruumiistaan, sosiaalisista suhteistaan ja suhteestaan ympäristöön. Meillä jokaisella on oikeus elää niin, ettei julkinen valta vaikuta siihen. Yksityisyyden suojan ja yksityiselämän suojan käsitteitä käytetään joskus samassa merkityksessä. (Minilex, n.d.)

Henkilötieto 

Henkilötietoja ovat kaikki ne tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. 

Niitä ovat esimerkiksi: (Tietosuojavaltuutetun toimisto, n.d.)

  • nimi
  • kotiosoite
  • sähköpostiosoite, kuten muodossa (etunimi.sukunimi@yritys.fi) 
  • puhelinnumero
  • henkilökortin numero
  • auton rekisterinumero 
  • paikannustiedot
  • IP-osoite
  • potilastiedot
  • isovanhempien perinnöllisiä sairauksia koskevat tiedot 

(Tietosuojavaltuutetun toimisto, n.d.)

Henkilötietoja sisältävät myös työvuorolistat tai palkkarekisteri, valvontakameramateriaali, käyttäjätiedot ja ruokakauppojen kanta-asiakasohjelmat. Nämä kaikki ovat tietosuojalainsäädännön piirissä. (Tietosuoja-asetus, n.d.)

Rekisterinpitäjä

Rekisterinpitäjä on henkilö tai organisaatio, joka määrittää mihin tarkoituksiin ja millä keinoin henkilötietoja käsitellään. Yrityksessäsi rekisterinpitäjä päättää "miksi" ja "miten" henkilötietoja käsitellään. Käsittelijä taas käsittelee tietoja ainoastaan rekisterinpitäjän puolesta. (Euroopan komissio, n.d.) Rekisterinpitäjä voi olla vaikka jäsenistään tietoja keräävä yhdistys, potilastietoja käsittelevä sairaala, verkkokauppa tai sosiaalisen median palvelu. (Tietosuojavaltuutetun toimisto, n.d.) 

Henkilötietojen käsittelijä

Henkilötietojen käsittelijä on henkilö tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Tämä voi olla esimerkiksi toisen yrityksen markkinointia hoitava markkinointitoimisto tai IT-palvelutarjoaja, jolla on pääsy rekisterinpitäjän henkilötietoihin. (Tietosuojavaltuutetun toimisto, n.d.) Sopimuksella tai muulla laillisella asiakirjalla pitää määritellä henkilötietojen käsittelijän velvollisuudet rekisterinpitäjää kohtaan. Siinä on määriteltävä, mitä henkilötiedoille tapahtuu sopimuksen päättymisen jälkeen. Tyypillinen toiminta on IT-ratkaisujen, kuten pilvitallennuspalvelun tarjoaminen. Hän voi teettää vain osan tehtävistään toisella rekisterinpitäjällä tai sitten nimittää yhteisen henkilötietojen käsittelijän saatuaan ensin rekisterinpitäjältä siihen kirjallisen luvan. Henkilötietojen käsittelijä on usein yrityksen ulkopuolinen kolmas osapuoli. Jos kyseessä olisi yritysryhmä, yksi yritys voisi toimia toisen yrityksen henkilötietojen käsittelijänä. (Euroopan komissio, n.d.)

Esimerkki rekisterinpitäjästä ja henkilötietojen käsittelijästä 

Panimo yrityksessä on paljon työtekijöitä. Yritys tekee tilitoimiston kanssa sopimuksen palkanlaskennasta. Panimo kertoo tilitoimitolle koska palkat pitää maksaa, kun työntekijä irtisanoo itsensä tai kun työntekijä saa palkankorotuksen sekä antaa muita tietoja palkkanauhaa ja palkanmaksua varten. Tilitoimistolla on oma IT-järjestelmä, johon se tallentaa työntekijöiden tietoja. Tässä tapauksessa Panimo on siis rekisterinpitäjä ja tilitoimisto henkilötietojen käsittelijä. (Euroopan komissio, n.d.)

Tietosuojavastaava

Tietosuojavastaava on yrityksen sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamista. Tietosuojavastaavan tehtäviä:
  • Seurata tietosuojasääntöjen noudattamista koko organisaatiossa ja tuoda esiin havaitsemiaan puutteita 
  • Antaa tietoa ja neuvoa tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille 
  • Antaa pyydettäessä neuvoa tietosuojan vaikutustenarvioinnin tekemisestä ja valvoa vaikutustenarvioinnin toteutumista 
  • Olla rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa 
  • Olla myös tietosuojavaltuutetun toimiston yhteyshenkilö ja tehdä yhteistyötä tietosuojavaltuutetun toimiston kanssa (Tietosuoja, n.d.)

Tietosuoja-asetuksen postiiviset asiat yrityksille 

Tietosuoja-asetuksen vaatimuksiin perehtyessä ja sopeutumisessa voi olla myös hyvä ja jopa tuottava puoli. Näin yrityksen tietojärjestelmä joutuu läpivalaistavaksi, joten siitä voi samalla löytyä turhia töitä ja ylimääräisiä kuluja aiheuttavia sekä tuottamattomia teknisiä ratkaisuja, joista voidaan luopua. Muutos voi johtaa toimitatapojen ja järjestelmien tehostamiseen sekä paremmin yrityksen nykyisiä tarpeita vastaaviin ja kustannuksia alentaviin ratkaisuihin. Yritysten ja organisaatioiden keskinäisessä kaupankäynnissä voi olla myös kilpailuvalttina tietojärjestelmien ajantasaisuus. (Tietosuoja-asetus, n.d.)

Työnantaja ja työntekijä

Työnhaku
Työnantaja saa käsitellä työnhakijasta tai työntekijästä vain työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksiin tai velvollisuuksien hoitamiseen sekä työnantajan työntekijöille tarjoamiin etuuksiin tai jotka johtuvat työtehtävien erityisluonteesta.

Työntekijän henkilökohtaisten tietojen suojaamisesta säädetään laissa nimeltä yksityisyyden suojasta työelämässä (759/2004). Työntekijöistä ei saa säilyttää vanhentuneita tietoja työpaikalla. Työntekijän henkilötiedot on ensi sijassa kerättävä häneltä itseltään. Mikäli työnantaja kerää henkilötietoja muualta, on työtekijältä yleensä pyydettävä suostumus tietojen keräämiseen. Tätä suostumusta ei tarvita siinä tilanteessa, jos viraomainen luovuttaa työnantajalle tietoja laissa säädetyn tehtävän suorittamiseksi tai työnantaja hankkii lain mukaisilla perusteilla luotto- tai rikosrekisteritietoja, jotta saa selvitettyä työntekijän luotettavuuden.  (Työsuojelu, n.d.)

Työnantajan täytyy määritellä miksi henkilötietojen kerääminen on tarpeellista jo tietojen keräämisen suunnittelun yhteydessä. Työnantajan tulee määritellä myös etukäteen, kenen työtehtäviin henkilötietojen käsitelly kuuluu. Työntekijöistä ei saa säilyttää vanhentuneita, virheellisiä tai tarpeettomia tietoja. Tietosuoja-asetuksen mukaisesti rekisteröidyllä on oikeus:  (Työsuojelu, n.d.)

  • saada tietoa henkilötietojen käsitellystä
  • päästä tietoihin
  • oikeista ja muuttaa tietoa
  • poistaa tiedot 
  • rajoittaa tietojen käsittelyä
  • siirtää tietoja järjestelmästä toiseen
  • olla menemättä automaatisen päätöksenteon kohteeksi

 (Työsuojelu, n.d.)

HAMK Tradenomiopiskelijoiden oppimissivusto 
Luotu Webnodella
Luo kotisivut ilmaiseksi! Tämä verkkosivu on luotu Webnodella. Luo oma verkkosivusi ilmaiseksi tänään! Aloita