Hyppää pääsisältöön

Tietosuoja-asetus astuu voimaan - kansalle lisää oikeuksia, yrityksille lisävastuuta

Tangentbord med ett öppet lås som tangent.
Tangentbord med ett öppet lås som tangent. Kuva: Mostphotos / Illia Uriadnikov tietoturva,tietosuoja,teknologia,data,digitalisointi

Suomalaiset saavat lisää oikeuksia ja paremmat mahdollisuudet kontrolloida omia henkilötietojaan, kun EU:n uusittua tietosuojalainsäädäntöä aletaan soveltaa toukokuussa.

Yrityksille asetus merkitsee lisävastuuta, tarkempia ohjeita henkilötietojen käsittelyyn ja tiukemmat seuraukset rikkomuksista.

Uudet oikeudet

Asetuksen myötä kansalaiselle tulee oikeus tulla unohdetuksi, oikeus saada tietää tietoturvaloukkauksesta, oikeus saada tietonsa siirrettyä järjestelmästä toiseen ja oikeus kääntyä oman maan tietosuojaviranomaisten puoleen, vaikka tietosuojaan liittyvä ongelma olisi ulkomailla.

Asetus parantaa myös kansalaisen tiedonsaantioikeutta. Rekisterinpitäjälle tulee velvollisuus kertoa selkeällä ja ymmärrettävällä tavalla miten henkilön tietoja käsitellään.

En datorskärm med rader av kod.
En datorskärm med rader av kod. Kuva: Mostphotos kyberturvallisuus,hacker,tietosuoja,internet,data,tietotekniikka,tietokoneet,hakkerointi,hacking,salaus

Mikä on oikeus tulla unohdetuksi?

Oikeus tulla unohdetuksi tarkoittaa käytännössä, että kun henkilö ei enää halua että joku käsittelee hänen tietojaan, hän voi vaatia niiden poistamista tämän rekisteristä. Ellei tälle ole laillista estettä, on rekisterinpitäjän poistettava tiedot.

Tämä ei kuitenkaan tarkoita, että kaikki tiedot poistettaisiin täydellisesti ja heti, kun pyyntö esitetään.

Jos tietojen säilytys on välttämätöntä esimerkiksi sopimuksen tai lakisääteisen velvollisuuden takia, tiedot voidaan säilyttää niin pitkään kuin on tarpeen.

Tietomurroista on kerrottava

Kuluttajan oikeus saada tietää tietoturvaloukkauksesta tarkoittaa, että hänelle on viipymättä ilmoitettava loukkauksesta, esimerkiksi tietomurrosta. Näin kuluttaja voi ryhtyä tarvittaviin suojaustoimenpiteisiin.

Yritysten tai organisaatioiden on myös raportoitava tietoturvaloukkauksista viranomaisille. Aiemmin on esiintynyt tapauksia, joissa yritys vaikenee eriasteisista tietoturvaloukkauksista välttääkseen kielteistä julkisuutta.

Helpompi vaihtaa palveluntarjoajaa

Oikeus siirtää tiedot järjestelmästä toiseen helpottaa palveluntarjoajan vaihtamista. Kun kuluttaja päättää siirtyä käyttämään esimerkiksi toisen pankin, vakuutusyhtiön tai sähköyhtiön palveluita on tietojen siirryttävä asiakkuuden mukana.

Tangentbord med lås som tangent.
Tangentbord med lås som tangent. Kuva: Imilian tietoturva,tietosuoja,digitalisointi

Apua myös ongelmiin ulkomailla

Oikeus saada apua oman maan tietosuojaviranomaisilta myös ylikansallisissa ongelmatilanteissa tuo avun ongelmatilanteisiin, joissa ulkomainen rekisterinpitäjä ei anna henkilön tarkastaa omia tietojaan.

Asetuksen myötä henkilö voi jatkossa kääntyä oman maan tietosuojaviranomaisten puoleen. Nämä hoitavat asiaa yhteistyössä rekisterinpitäjän kotimaan tietosuojaviranomaisten kanssa.

Lasten tietoja suojellaan

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa.

EU:n jäsenvaltiot voivat kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Suomen hallitus on esityksessään tietosuojalaiksi esittänyt 13 vuoden ikärajaa.

Tällä tavoin pyritään suojaamaan lapsia painostukselta jakaa henkilötietojaan ilman täyttä ymmärrystä seurauksista.

Kaisla 5v katselee iPadia
Kaisla 5v katselee iPadia Kuva: Jari Kovalainen / Yle iPad,lapsi

Asetus teettää yrityksissä töitä

Yrityksille tietosuoja-asetus tuo tukun uusia vaatimuksia. Niiden tulee muun muassa osoittaa omilla asiakirjoillaan, että noudattavat asetusta ja ottavat toiminnassaan huomioon lainsäädännön vaatimukset ja riskit.

Yritysten tulee myös tuoda tietosuoja kaikkiin prosesseihin, suunnittelusta toteutukseen ja henkilötietojen elinkaaren loppuun asti. Tätä kutsutaan oletusarvoiseksi tietosuojaksi.

On oltava luotettava

Henkilörekisteriä pitävän yrityksen on nimettävä henkilörekisterivastaava ja ylipäätään osoitettava olevansa luotettava toimija.

Mikäli yritys rikkoo tietosuoja-asetuksen sääntöjä, sitä voidaan sakottaa. Sakko voi nousta jopa neljään prosenttiin yrityksen maailmanlaajuisesta liikevaihdosta.

Suomen laki -kirja ja puhemiehen nuija.
Suomen laki -kirja ja puhemiehen nuija. Kuva: Yle lainsäädäntö,laki,Nuija,Lakikirja,lakikirjat

Asetus voimaan 25.5. - laki saattaa myöhästyä

EU:n tietosuoja-asetus astuu voimaan 25.5. Sen rinnalla on olemassa EU:n tietosuojadirektiivi joka koskee henkilötietojen käyttöä ja käsittelyä rikosasioissa sekä henkilötietojen vaihtoa eri maiden viranomaisten kesken.

Direktiiviä ei sovelleta sellaisenaan, vaan se edellyttää kansallista lainsäädäntöä. Hallitus on antanut eduskunnalle esityksen tietosuojalaiksi, jonka oli tarkoitus astua voimaan samaan aikaan asetuksen kanssa.

Viranomaisarvioiden mukaan lain voimaantulo saattaa myöhästyä, mutta se saataneen voimaan ennen eduskunnan kesätaukoa.

Lainsäädäntö ohjaa millä lailla teknologiaa käytetään ja mitä teknologian keräämälle tiedolle tapahtuu.― Tietosuojavaltuutettu Reijo Aarnio

Tietosuojavaltuutettu Reijo Aarnio.
Tietosuojavaltuutettu Reijo Aarnio Tietosuojavaltuutettu Reijo Aarnio. Kuva: Yle, Henrik Leppälä Reijo Aarnio,MOT

Kasvojentunnistus vaatii lain

Tällä hetkellä esimerkiksi Keskusrikospoliisi kokeilee omissa tiloissaan kasvojentunnistusteknologiaa.

Kokeilua ei voida laajentaa poliisin toimitilojen ulkopuolelle ennen kuin Suomessa on voimassa laki, joka säätelee kasvojentunnistusta ja biometristen tunnisteiden käyttöä.

"Emme saa sortua siihen teknologiseen imperatiiviin, että teknologia vie ja ihmiset vikisee. Sen pitää mennä niin päin, että lainsäädäntö ohjaa millä tavalla teknologiaa käytetään, millä edellytyksillä ja missä tilanteessa sekä mitä teknologian keräämälle tiedolle tapahtuu", sanoo tietosuojavaltuutettu Reijo Aarnio.