Mitä tarkoittaa tietosuoja?
Tietosuoja on perusoikeus, joka säätelee henkilötietojen käsittelyä ja turvaa rekisteröidyn oikeudet. EU:ssa tietosuoja perustuu yleiseen tietosuoja-asetukseen (GDPR) ja Suomessa sitä täsmentää tietosuojalaki (1050/2018).
Tietosuoja – lyhyt määritelmä
- Tietosuoja = säännöt ja periaatteet, joilla henkilötietoja saa käsitellä sekä rekisteröidyn oikeudet.
Mitä on henkilötieto?
Henkilötieto on mitä tahansa tietoa, josta henkilö on suoraan tai epäsuorasti tunnistettavissa (esim. nimi, sähköposti, IP-osoite, sijainti, laitetunniste). Määritelmä löytyy GDPR:n artiklasta 4(1) ja EU-komission selitteistä.
Milloin GDPR:ää sovelletaan?
GDPR koskee sekä automaattista käsittelyä että manuaalisia rekistereitä – tekniikasta tai tallennusmuodosta riippumatta. Myös EU:n ulkopuoliset toimijat ovat asetuksen piirissä, jos ne tarjoavat tavaroita tai palveluja EU:ssa oleville.
Tietosuojan periaatteet
GDPR määrittelee seitsemän periaatetta:
lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tarkoitussidonnaisuus, tietojen minimointi, tietojen täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus sekä osoitusvelvollisuus.
Lailliset käsittelyperusteet
Henkilötietoja saa käsitellä vain, jos jokin artiklan 6 peruste täyttyy: suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, julkinen tehtävä tai oikeutettu etu. Oikeutetun edun kohdalla tehdään tasapainotesti.
Erityiset henkilötietoryhmät
Terveys-, biometriset ja muut erityiset henkilötiedot ovat pääsääntöisesti kielletty käsitellä, ellei artiklan 9 poikkeus täyty. Suomessa ohjeistus korostaa, että tällaiset tiedot vaativat korotetut suojatoimet.
Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus tiedonsaantiin, tarkastukseen, oikaisuun, poistoon, käsittelyn rajoittamiseen, siirrettävyyteen, vastustamiseen sekä oikeus olla joutumatta pelkästään automaattiseen päätöksentekoon.
Keskeiset roolit ja vastuut
| Rooli | Lyhyt kuvaus |
|---|---|
| Rekisterinpitäjä | Määrittelee käsittelyn tarkoitukset ja keinot; vastaa velvoitteiden täyttämisestä. |
| Käsittelijä | Käsittelee tietoja rekisterinpitäjän lukuun sopimuksen perusteella (Art. 28). |
| Tietosuojavastaava (DPO) | Nimetään, jos toiminta sisältää laajamittaista seurantaa tai erityisiä henkilötietoja; oltava riippumaton, rooli voi olla myös ulkoistettu. |
Tietoturvaloukkaus ja ilmoitusvelvollisuus
Henkilötietojen tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa havaitsemisesta; tietyissä tapauksissa myös rekisteröidyille.
Evästeet ja seuranta Suomessa lyhyesti
Laitteelle tallentaminen tai sieltä tiedon lukeminen edellyttää pääsääntöisesti ennakkosuostumusta, ellei toiminto ole välttämätön palvelun tarjoamiseksi. Valvontaa Suomessa tekee Traficom; EDPB:n vuonna 2024 päivitetyt ohjeet selventävät, että sääntö koskee laajasti myös uusia seurantatekniikoita, ei vain evästeitä.
Tietosuoja vs. tietoturva
Tietosuoja on kattosääntely henkilötietojen käsittelylle ja oikeuksille; tietoturva on yksi sen periaatteista (eheys ja luottamuksellisuus) ja tarkoittaa käytännön keinoja suojata tiedot.
Suomen lainsäädäntö ja viranomainen
GDPR:ää täsmentää tietosuojalaki (1050/2018), ja valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto. Sivusto kokoaa myös EDPB:n (EU:n tietosuojaneuvosto) ohjeistuksia soveltamisen tueksi.
Usein kysyttyä – tietosuoja
Tarvitaanko aina suostumus?
Ei. Suostumus on vain yksi kuudesta laillisesta perusteesta; usein käsittely perustuu sopimukseen, lakisääteiseen velvoitteeseen tai oikeutettuun etuun.
Mitä eroa on “henkilötiedolla” ja “erityisellä henkilötiedolla”?
Erityiset henkilötiedot (esim. terveys, biometria, seksuaalinen suuntautuminen) ovat tavallista arkaluonteisempia ja niiden käsittely on lähtökohtaisesti kielletty ellei poikkeus päde.
Miten varaudun käytännössä?
Tee käsittelytoimien kartoitus, tunnista perusteet ja oikeudet, ota privacy by design kehitykseen, nimeä tarvittaessa DPO, huolehdi sopimuksista ja prosessista 72 h ilmoitukselle.
Yhteenveto
Tietosuoja määrittää, milloin ja miten henkilötietoja saa käsitellä ja mitä oikeuksia rekisteröidyllä on. EU:ssa runko on GDPR, Suomessa sitä täsmentää tietosuojalaki. Toimiva tietosuoja yhdistää selkeät perusteet, rekisteröityjen oikeuksien toteuttamisen, privacy by design -ajattelun, asianmukaiset sopimukset ja kyvyn reagoida loukkauksiin.