Lehtikuva/Antti Aimo-Koivisto

GDPR korvaa henkilötietolain

Uusi henkilötietoja käsittelevä tietosuoja-asetus GDPR (General Data Protection Regulation) tulee voimaan 25. toukokuuta. Asetuksen tavoite on ”antaa rekisteröidyille kontrolli henkilötietoihinsa luottamuksen palauttamiseksi”, Euroopan unioni linjaa. Asetus korvaa Suomen henkilötietolain.

Asetus koskee kaikkia EU:n jäsenmaiden henkilötietoja kokoavia ja käsitteleviä yhteisöjä sekä EU:n ulkopuolisia toimijoita, jotka tarjoavat palveluja tai tavaraa EU:n kansalaisille.

Arkaluontoisten asioiden käsittely on lähtökohtaisesti kiellettyä, ellei rekisteröity ole antanut siihen lupaa.

Perjantaina voimaan astuva tietosuoja-asetus GDPR antaa kansalaisille oikeuden hallita tietojaan. Se myös velvoittaa yrityksiä ja yhteisöjä toimimaan.

– Rekisteröidyillä on oikeus saada läpinäkyvää tietoa omien tietojensa käsittelystä, asianajaja Johanna Lilja asianajotoimisto Roschierista toteaa.

Henkilötiedoiksi luetaan kaikki tiedot, joista henkilö voidaan tunnistaa nimestä aina IP-osoitteeseen asti. Näihin kuuluvat myös pseudonyymit eli nimimerkit ja taiteilijanimet.

ILMOITUS

Yritysten ja yhteisöjen on informoitava aktiivisesti rekisteröityjä.

Henkilörekistereiden pitäjien tulee pystyä osoittamaan viranomaisille, että ne ovat saaneet rekisteröityjen suostumuksen henkilötietojen säilyttämiseen.

Asetus ei koske rikosten selvittämistä, ulko- ja turvallisuuspolitiikkaa tai niin sanottuja kotitalousrekisterejä, kuten vaikkapa osoitelistaa sukulaisista.

”Rajanveto vaikeaa”

Asetusten tulkinta kuitenkin hakee vielä muotoaan.

– Sananmukaisesti tulkiten kotikoneenkin sähköpostilistat tai työpuhelimen nimiluettelo voivat olla asetuksen piiriin kuuluvia, sikäli kuin tiedot liittyvät ammatilliseen tai kaupalliseen toimintaan, etenkin, jos tietoja syötetään suoraan työnantajan järjestelmästä. Rajanveto voi kyllä olla käytännössä vaikeaa, Lilja arvioi.

EU:ssa tietosuoja-asetus on tullut voimaan jo kaksi vuotta sitten. Siirtymäkausi päättyy nyt.

Suomessa kansallisena valvontaviranomaisena toimii tietosuojavaltuutettu.

Rodusta tai vakaumuksesta ei saa mainita

Arkaluontoisten asioiden käsittely on lähtökohtaisesti kiellettyä, ellei rekisteröity ole antanut siihen lupaa. Niitä ovat esimerkiksi rotu, etninen tausta, uskonnollinen tai filosofinen vakaumus, seksuaalinen käyttäytyminen, terveydentila tai ammattiliiton jäsenyys.

Arkaluontoisia asioita voidaan käsitellä, jos kysymyksessä ovat terveyden- ja sosiaalihuollon palvelut tai rekisteröidyn elintärkeä etu. Myös uskonnollisilla ja poliittisilla yhteisöillä on oikeus käsitellä jäsentensä tietoja.

– Yrityksen tai muun jäsentietoja keräävän yhteisön on suunniteltava ja määriteltävä etukäteen, mitä tietoja se kerää ja miten, Lilja kertoo.

Alaikäisen tiedoille huoltajan lupa

Alle 16-vuotiaan tietojen rekisteröimiseen vaaditaan huoltajan lupa.

– Kansallisessa lainsäädännössä voidaan sopia alemmasta ikärajasta, mutta ei alemmasta kuin 13 ikävuodesta, Lilja toteaa.

Kuluttaja-asiamiehen mielestä alaikäraja pitäisi olla vähintään 15 vuotta.

– Rekisterinpitäjän on tarkistettava huoltajan suostumus tai valtuutus, jos se onnistuu kohtuullisilla toimilla.

Sähköiseen tiedonjakeluun liittyvät säädökset tulossa

Sähköiseen tiedonjakeluun liittyvä asetuksen osa, ePrivacy on vielä työn alla. Se säätelee esimerkiksi verkkokaupan yhteydessä käsiteltyjä henkilötietoja ja sen odotetaan tulevan voimaan kahden vuoden kuluttua.

GDPR korvaa henkilötietolain

Uusi henkilötietoja käsittelevä tietosuoja-asetus GDPR (General Data Protection Regulation) tulee voimaan 25. toukokuuta. Asetuksen tavoite on ”antaa rekisteröidyille kontrolli henkilötietoihinsa luottamuksen palauttamiseksi”, Euroopan unioni linjaa. Asetus korvaa Suomen henkilötietolain.

Asetus koskee kaikkia EU:n jäsenmaiden henkilötietoja kokoavia ja käsitteleviä yhteisöjä sekä EU:n ulkopuolisia toimijoita, jotka tarjoavat palveluja tai tavaraa EU:n kansalaisille.