Olet saattanut törmätä tietosuojaa koskeviin uutisiin, joissa vilisee sanoja kuten GDPR, henkilötieto tai rekisterinpitäjä, mutta oletko koskaan miettinyt sen tarkemmin, mitä nuo itse asiassa tarkoittavat? Tietosuoja itsessään on erittäin kattava kokonaisuus ja tässä artikkelissa pyritään antamaan mahdollisimman selkokielinen käsitys eräistä keskeisimmistä tietosuojaa koskevista termeistä. Jo tässä kohtaa on hyvä esitellä tietosuojaa koskevia oikeuksia ja velvollisuuksia Euroopan unionissa säätelevä GDPR, joka tulee sanoista General Data Protection Regulation, suomennettuna yleinen tietosuoja-asetus. Se on Euroopan unionin laajuinen asetus, joka säätelee sitä, miten henkilötietoja käsitellään. Suomessa sovelletaan tietosuoja-asetuksen ohella tietosuojalakia, joka astui voimaan 1.1.2019. Tietosuojalaki sisältää eräitä täsmennyksiä ja poikkeuksia tietosuoja-asetukseen verrattuna. Lakiasiaintoimisto Notion yksi suurimmista vahvuusalueista onkin nimenomaan tietosuojan parissa. International Association of Privacy Professionals (IAPP) on myöntänyt juristillemme Heidi Kaarrolle CIPP/E-sertifikaatin (Certified Information Privacy Professional, Europe), joka on maailman ensimmäinen tietosuoja-asiantuntijoiden sertifikaatti.
Keskeisimpiin tietosuojaa koskeviin termeihin lukeutuvat muun muassa termit tietosuoja, henkilötieto ja rekisteröity. Tietosuoja on jokaiselle henkilölle kuuluva perusoikeus, jonka tarkoituksena on turvata rekisteröidyn oikeuksien ja vapauksien toteutuminen siinä, kuinka henkilötietoja käsitellään. Tässä yhteydessä rekisteröidyllä tarkoitetaan sitä henkilöä, jonka henkilötietoja rekisterinpitäjä kerää ja käsittelee. Esimerkiksi Lakiasiaintoimisto Notiolla on asiakasrekisteri, jossa jokainen yksittäinen asiakas on rekisteröity ja jossa jokaiseen yksittäiseen rekisteröityyn liittyy henkilötietoja, esimerkiksi nimi, kotiosoite, matkapuhelinnumero sekä sähköpostiosoite.
"Henkilötietoja ovat kaikki sellaiset tiedot, jotka liittyvät suoraan yksittäiseen henkilöön ja joiden pohjalta henkilö on jo tunnistettu tai on tunnistettavissa. Se, miten henkilötieto on tallennettu, vaihtelee erittäin paljon. Nykypäivänä henkilötiedot ovat varmasti useimmiten sähköisessä muodossa, esimerkiksi juuri yrityksen asiakasrekisterissä, mutta niitä voi olla tallennettuna myös monella muulla tavalla: kirjoitetulla paperilla, nauhoitetulla äänitallenteella tai valokuvassa", Notion juristi Heidi Nurminen opastaa.
Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee tarkoitukset ja keinot henkilötietojen käsittelylle. Aikaisemmin käytettyä esimerkkiä mukaillen, Lakiasiaintoimisto Notio toimii rekisterinpitäjänä oman asiakasrekisterinsä osalta. Mitä kaikkea henkilöstä, eli rekisteröidystä, sitten saadaan tallentaa? Kuten edellä esitettiin, henkilötietoja ovat kaikki sellaiset tiedot, jotka koskevat jo tunnistettua tai tunnistettavissa olevaa rekisteröityä. Aikaisempien esimerkkien lisäksi tällaisia ovat muun muassa henkilökortin tai passin numero, tulot tai lääkärillä olevat tiedot potilaan sairaushistoriasta.
Jos henkilötietoja sitten saa tallentaa, tarkoittaako tämä sitä, että esimerkiksi aivan jokaisella yrityksellä on oikeus tallentaa yksittäisen ihmisen sairaushistoria? Onneksi ei.
"GDPR, ja täten myös Suomen tietosuojalaki, määrittelevät tarkasti ne tilanteet, jolloin henkilötietojen käsittely on sallittua sekä myös sen, millaisten henkilötietojen käsittely on sallittua. Yksi keskeisistä tietosuojaa koskevista periaatteista on henkilötietojen minimoinnin periaate, jonka mukaisesti käsiteltävien henkilötietojen tulee olla asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeen käsittelyn tarkoituksen kannalta", Nurminen jatkaa.
Tuttua esimerkkiä käyttäen, Lakiasiaintoimisto Notiolla on perusteltu syy tallentaa esimerkiksi asiakkaidensa nimet ja puhelinnumerot, mutta tietoja, joita emme tarvitse, emme kerää. Jotta rekisterinpitäjä voi kerätä ja käsitellä rekisteröidyn henkilötietoja, tulee rekisterinpitäjällä olla tälle lainmukainen peruste. Tietosuoja-asetuksen mukaan rekisterinpitäjä voi perustaa henkilötietojen käsittelyn esimerkiksi joihinkin alla mainituista oikeusperusteista:
Suostumus: rekisteröity on antanut suostumuksensa sille, että hänen henkilötietojaan saadaan käsitellä. Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen sekä yksiselitteinen. Suostumus voidaan myöhemmin myös peruuttaa eikä henkilötietoja voida käyttää laajemmin kuin mihin suostumus on annettu.
Sopimusvelvoite: rekisterinpitäjällä on sopimukseen perustuva velvollisuus käsitellä rekisteröidyn henkilötietoja. Esimerkkinä voidaan mainita tilanne, jossa kuntosaliketjulla on asiakkaan kanssa solmimaansa sopimukseen perustuva velvollisuus käsitellä esimerkiksi asiakkaan nimi- ja yhteystietoja.
Laillinen velvoite: rekisterinpitäjällä oleva lakiin perustuva velvoite käsitellä rekisteröidyn henkilötietoja. Esimerkkinä tästä voidaan mainita esimerkiksi tilanne, jossa pankilla on velvollisuus käsitellä asiakkaidensa tunnistamistietoja lakiin perustuvien, rahanpesun ja terrorismin rahoittamisen estämiseksi asetettujen velvollisuuksiensa toteuttamiseksi.
Kuten jo alussa mainittiin, tietosuoja on erittäin kattava kokonaisuus. Yhteen artikkeliin olisi täysi mahdottomuus saada sisällytettyä kaikkia sen koukeroita, mutta toivottavasti sait lisää ymmärrystä yleisimmistä termeistä ja siitä, että kuka tahansa ei saa tehdä mitä tahansa kenen tahansa henkilötiedoilla. Jos artikkelin luettuasi esimerkiksi koet, että rekisteröitynä sinun tietojasi on loukattu tai toimit yrityksessä ja sinulle heräsi kysymys siitä, onko teillä hoidettu kaikki lain vaatimalla tavalla, Lakiasiaintoimisto Notio auttaa erittäin mielellään tietosuoja-asioissa. Tarjoamme sekä yksityishenkilöille että yrityksille aina 20 minuutin ilmaisen alkukartoituskeskustelun, jossa voimme käydä tilannettasi läpi. Mikäli haluat varata alkukartoituskeskustelun, tavoitat meidät monella eri tavalla:
Puhelinnumero: +358444915781
Whatsapp: +358444915781
Sähköpostiosoite: info@notiolaki.fi
Ethän toimita viestitse mitään arkaluontoisia henkilötietoja. Vastaanotamme kaikki tarpeelliset henkilötietoja sisältävät tiedot tietoturvallisella tavalla, johon annamme erikseen ohjeet.
Lakiasiaintoimisto Notio on Pirkanmaalla sijaitseva lakitoimisto, joka palvelee asiakkaitaan pääsääntöisesti Pirkanmaalla (esimerkiksi Tampere, Ylöjärvi, Nokia, Valkeakoski, Pirkkala sekä Akaa) sekä Kanta-Hämeessä (esimerkiksi Hämeenlinna, Iittala sekä Janakkala), mutta asiasta riippuen palvelemme mielellämme ympäri Suomea. Ota siis rohkeasti yhteyttä!