Mistä on kyse? EU:n tietosuoja-asetusta ryhdytään soveltamaan Suomessa 25. päivä toukokuuta

Tietosuojaa uudistetaan, koska teknologian kehityksen, digitalisaation ja globalisaation vuoksi

Jopa noin 70 prosenttia euroopan kansalaisista on kertonut olevansa huolissaan, mihin heidän henkilötietojaan kerätään

Tavallisten ihmisten mahdollisuudet kontrolloida henkilötietojensa käyttöä ovat paranemassa merkittävästi. Se johtuu Euroopan unionin tietosuoja-asetuksesta (GDPR), jota aletaan soveltaa Suomessa toukokuun 25. päivä. Tarvetta tietosuojan tiukentamiselle on, koska moni (siirryt toiseen palveluun)on huolissaan siitä, mihin yritykset käyttävät heistä kerättyjä henkilötietoja.

Miten omista henkilötiedoista sitten kannattaa huolehtia? Kysymyksiin vastaavat tietosuojavaltuutettu Reijo Aarnio Tietosuojavaltuutetun toimistosta ja tietosuojavastaava Juha Reihe Kotkan kaupungilta.

Millä tavalla tietosuoja-asetuksen soveltamisen aloittaminen vaikuttaa tavalliseen arkeen?

Reijo Aarnio: Ensinnäkin ihmisten oikeudet paranevat. Punainen lanka koko uudistuksessa on, että kuluttajille tulee entistä paremmat mahdollisuudet tunnistaa ne toimijat joiden kanssa on hyvä ja turvallista asioida. Eli tietosuojaan tulee myös valvonta. Organisaatiot huolehtivat myös itse jonkinlaisesta omasta valvonnasta, joka tarkoittaa, että niiden pitää rakentaa sisäiset mekanismit, lokijärjetelmät, sisäisen tarkastuksen funktiot, joilla organisaatiot itse valvoo toimintaa. Ihan selkeä kehitys näyttäisi olevan siihen suuntaan, että tietosuojan toteuttaminen ja tietoturvan toteuttaminen ei missään nimessä ole tekninen it-osaston asia, vaan se nousee sinne yhtiön toimitusjohtajan ja hallitustahon asiaksi.

Juha Reihe: Luulen, että asetuksen myötä ihmiset käyttävät enemmän asetuksen sisältämiä oikeuksia kysyä, mitä tietoa heistä on henkilörekistereissä ja miten sitä tietoa on käytetty. Toisaalta organisaatioiden puolesta uskoisin, että se tarkoittaa sitä, että pyyntöjä rekisteröityjen toimesta tulee tämän kevään aikana aiempaa enemmän kyselyitä.

Savon Sanomien artikkelin mukaan (siirryt toiseen palveluun) on mahdollista, että taloyhtiöt joutuvat luopumaan porraskäytäviensä nimitauluista Suomessa. Tietosuoja-asetuksen myötä henkilörekistereiden pitämiseen tuleekin useita tiukennuksia. Voiko olla niin, että jatkossa esimerkiksi myös taloyhtiöiden saunalistat voidaan tulkita henkilörekistereiksi ja ne joudutaan poistamaan näkyviltä?

Reijo Aarnio: Siitä liikkuu todella merkillisiä tulkintoja. Usein tulkintojen esittäjät eivät itse huomaa sitä, että asetusta ei paikallisesti edes tulkita, vaan tulkinta tapahtuu Euroopan tasolla. Kaikkia tulkintoja ei ole vielä edes tehty. Ovessa tai oven pielessä oleva saunavuorolista on tyypillinen tulkintakysymys. Pitää selvittää, mistä nimilistassa on kysymys. Mutta sellaista yleistämistä ei voi tehdä, että saunavuorolistaa ei koskaan voisi laittaa näkyville. Saunavuorolistakysymys kuvastaa sitä, että tässä on pikkaisen liikaa hypetystä päällä. Jalat maahan on minun toiveeni. Terveen järjen käyttö on sallittua myös tietosuoja-asioissa. Jos jollain on huoli saunalistan näkymisestä, niin oikea tapa on kysyä isännöitsijätoimistosta, että miksi meillä on tällainen käytäntö. Joskus se on ihan laillista. Joskus siihen voidaan vähän kriittisemmin suhtautua.

Mitä ovat henkilötiedot?

Juha Reihe: Epäsuora henkilötieto voi olla vaikka tietokoneen ip-tunnus, joka yhdistettynä vaikka paikkaan kertoo kenestä mahdollisesti on kyse. Aina henkilötiedon ei tarvitse olla tekstimuodossa. Sormenjälki voi olla olla epäsuora tunniste. Myös valokuvasta, äänestä ja videosta voi syntyä henkilötietoa.

Reijo Aarnio: On suoria henkilöön liittyviä henkilötietoja, kuten nimi ja sosiaaliturvatunnus. Sitten on välillisiä henkilötietoja, kuten ajoneuvon rekisterinumero, josta helposti pystytään julkisista lähteistä kaivamaan ajoneuvon omistaja tai haltijatiedot. Ja sitten yksi ääripää ovat biometriset ja geneettiset tiedot, jotka on huomioitu asetuksessa. Nyt ollaan ensimmäistä kertaa menty ihmisen ihon alle. Tarvitsemme uusia sääntöjä, jotta myös näihin tilanteisiin voidaan puuttua paremmin jo ennakkoon.

Henkilötietoja joutuu usein luovuttamaan saadakseen esimerkiksi kuntosali-, kirjasto- tai bonuskortin. Minkälaisia vinkkejä antaisit tilanteisiin, joissa kysytään henkilötietoja?

Reijo Aarnio: Ensinnäkin tunnista kumppani, joka tietoja kysyy. Sen jälkeen ota selvää, miten kumppani aikoo tietoja käyttää. Ja sitten kolmanneksi katso, että tällä on riittävät ohjeet siitä, millä tavalla viranomaiset voivat auttaa riitatilanteissa. Sen jälkeen pystyt arvioimaan tilanteen ja katsomaan, olisiko joku turvallisemman ja luotettavamman tuntuinen palveluntarjoaja mahdollisesti saatavana. Käytä sen jälkeen itsemääräämisoikeuttasi niin hyvin kuin pystyt.

Miksei henkilötietojen pitäisi päästä vääriin käsiin?

Reijo Aarnio: Tuota voidaan lähestyä monellakin tavalla. Ensimmäinen tapa on se, että tietosuojahan tarkoittaa ihmisillä olevilla oikeuksia itseään koskeviin tietoihin. Oikeuksiin kuuluu oikeus tietää, kuka niitä käsittelee, oikeus kieltää niiden käyttö ja oikeus vaatia virheet oikaistavaksi ja niin edespäin. Jos tietoturva pettää, niin se on yhtäläisyysmerkki sille, että ihmisten oikeuksia loukataan.

Tyypillisissä identiteettivarkaustilanteissa on mahdollisten taloudellisten haittojen lisäksi elämänlaatuun liittyviä asioita. On kurja olla, kun ei tiedä, mistä tulee yhteydenottoja ja mistä tulee seuraava aiheeton lasku.

Kotkan kaupungin tietosuojavastaava Juha Reihe Juha Korhonen / Yle

Keitä ovat tahot, jotka pitävät henkilörekistereitä? Mikä muuttuu rekisterinpitäjien toiminassa?

Reijo Aarnio: Rekisterinpitäjiä ovat kaikki sellaiset tahot, jotka käsittelevät henkilötietoja muuhun kuin kotitaloustarkoitukseen. Asetusta sovelletaan erittäin, erittäin laajasti. Arvioimme jo 30 vuotta sitten, että Suomessa oli noin miljoona henkilötietojen käsittelyjärjestelmää. Määrä ei ole siitä ainakaan pienentynyt.

Isoin muutos henkilörekisterinpitäjien kannalta on, että ne joutuvat osoittamaan olevansa luotettavia kumppaneita. Niille tulee mahdollisesti uusia seuraamusjärjestelmiä. Niiden pitää olla entistä avoimempia, jos asiat menevät huonosti. Yrityksille tulee tietoturvaloukkauksesta ilmoittamisen velvollisuus. Se on tietysti huonoa mainosta yritykselle, jos se joutuu lähettämään omille asiakkailleen viestiä, että heidän järjestelmänsä on hakkeroitu.