Merkittävin tietojen jakamista rajoittava tekijä on henkilötietojen suoja. Henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön kulmakivi on Euroopan unionin yleinen tietosuoja-asetus, eli Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta. Huomaa, että yleinen tietosuoja-asetus on laaja ja merkittävä kokonaisuus, jota ei ole tässä yhteydessä mahdollista esitellä tyhjentävästi.
Yleistä tietosuoja-asetusta on täydennetty kansallisesti tietosuojalailla (1050/2018), jossa on muun muassa määritelty tietosuojavaltuutetun tehtävät ja toimivalta, sekä säädetty tarkemmin tietyistä erityistilanteista, kuten henkilötietojen käsittelystä journalistisiin, taiteellisiin tai tieteellisiin tarkoituksiin, sekä henkilötunnuksen käsittelystä.
Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.
Henkilötiedot ovat tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, joita voivat olla esimerkiksi nimi, henkilötunnus, osoite, IP-osoite, passin numero tai tulotiedot. Tietoaineistoja ja dataa voi olla kuitenkin mahdollista anonymisoida esimerkiksi teknisillä toimenpiteillä niin, että se ei enää sisällä yksilöiviä henkilötietoja.
Tietosuoja-asetus edellyttää, että henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Henkilötietojen on oltava täsmällisiä ja tarvittaessa myös ajantasaisia. Tietosuoja-asetuksessa säädetään myös rekisteröidyn oikeudesta vaatia häntä koskevien virheellisten tai epätarkkojen henkilötietojen oikaisemista.
Tietosuoja-asetuksen mukaan henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta. Henkilötietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötietojen käsittely voi olla mahdollista määritetyn käyttötarkoituksen ohella myös sellaiseen käyttötarkoitukseen, joka katsotaan yhteensopivaksi alkuperäisen käyttötarkoituksen kanssa. Käsittelyn on oltava lainmukaista myös muiden tietosuojasäännösten näkökulmasta; yhteensopiva käyttötarkoitus ei oikeuta rekisterinpitäjää poikkeamaan muista tietosuojasäännöksistä. Voit lukea lisää henkilötietojen käsittelyn käyttötarkoitussidonnaisuudesta Tietosuojavaltuutetun toimiston sivuilta.
Tietoja käsittelevän on huolehdittava siitä, että käsitelläkseen henkilötietoja se täyttää jonkin tietosuoja-asetuksessa määritellyistä perusteista, joita ovat:
- rekisteröidyn suostumus,
- sopimus, jossa rekisteröity on osapuolena tai jota edeltävät henkilötietojen käsittelytoimet on tehty rekisteröidyn pyynnöstä,
- lakisääteisen velvoitteen täyttäminen,
- henkilön elintärkeiden etujen suojaaminen,
- julkisen vallan käyttäminen tai yleisen edun mukaisen tehtävän suorittaminen, tai
- rekisterinpitäjän oikeutettu etu.
Henkilötietojen käsittelystä säädetään kansallisella lailla, jolla määritellään miten ja mihin tarkoitukseen mitäkin tietoja voidaan käsitellä. Tähän ohjaa myös eduskunnan perustuslakivaliokunnan käytäntö. Huomaa, että henkilötietojen käsittelyyn oikeuttava sääntely voi olla myös osana jotain muuta lakia eikä välttämättä omana lakinaan. Kansallista erityislainsäädäntöä onkin säädetty paljon tietosuoja-asetuksen voimaantulon johdosta.
Henkilötietoja on käsiteltävä tavalla, joka on riittävän turvallinen ja suojattu. Erilaisin toimenpitein tulisi huolehtia, että tietoja ei päästä käyttämään luvattomasti tai lainvastaisesti, ja että tietoja ei vahingossa hävitetä tai kadoteta. Voit lukea lisää toimenpiteistä tietosuoja-asetuksesta. Toimenpiteiden osalta tietosuojaa ja tietoturvaa koskeva sääntely lähestyvät toisiaan.
Yleinen tietosuoja-asetus velvoittaa henkilötietoja laajamittaisesti käsitteleviä organisaatioita nimeämään tietosuojavastaavan (julkisessa hallinnossa pakollinen), jonka tehtävänä on neuvoa erilaisissa tietosuojaan liittyvissä kysymyksissä sekä valvoa henkilötietojen käsittelyä. Tietosuojavastaavan nimeämisestä ja tehtävistä löydät lisää tietoa Tietosuojavaltuutetun toimiston sivuilta.
Tutustu tarkemmin: