Osa 7

Laki ja henkilöihin liittyvien tietojen käsittely

GDPR (General Data Protection Regulation) on henkilötietojen käsittelyä koskeva laki. Se hyväksyttiin 2016 ja se tuli voimaan toukokuussa 2018. Se koskee kaikkia eurooppalaisia yrityksiä sekä kaikkia niitä yrityksiä, jotka käsittelevät eurooppalaisten henkilötietoja.

Alla olevalla noin tunnin mittaisella Youtube-videolla käsitellään GDPR-lainsäädännön ydinkohdat. Videon ydinsisältö alkaa seitsemän minuutin kohdalta.

Alla säädöksen ydinkohdat:

  • Henkilötietojen keräämiseen tulee olla eksplisiittnen lupa tai laillinen syy. Jotta henkilökohtaisia tietoja saa kerätä, henkilön tulee eksplisiittisesti ja tietoisesti sallia tietojen kerääminen. Suostumuksen tietojen keruun sallimiseen tulee olla aito, eli tietojen keruusta pitää pystyä kieltäytymään ilman negatiivisia seuraamuksia.
  • Mitä tahansa ei saa kerätä. Kerättävien tietojen tulee olla perusteltavissa ja kerättävien tietojen tulee olla rajattu vain niihin, mitä organisaatio tarvitsee toimintaansa.
  • Henkilötietojen poistaminen pitää olla mahdollista. Henkilön tulee pystyä pyytämään tietojen poistamista järjestelmästä, ja tiedot tulee poistaa jos organisaatiolla ei ole mitään laillista syytä tiedon säilyttämiseen. Organisaation tulee myös informoida kolmannen osapuolen organisaatioita, joille henkilökohtaisia tietoja on annettu.
  • Mikäli henkilötietoja vuodetaan (tarkoituksella tai vahingossa), tulee siitä kertoa — aiemmin yritysten ei ole esimerkiksi tarvinnut kertoa luottokorttitietojen vuotamisesta
  • Ei vain Euroopan Unionissa. Myös Euroopan Unionin ulkopuoliset organisaatiot, joiden kohdeyleisönä on Euroopan Unionin jäsenet, ovat lain piirissä.
  • Lainsäädäntö mahdollistaa sakkojen antamisen kerätyn tiedon huonosta käsittelystä. Organisaatio voi saada jopa sakot, jonka koko on 4% organisaation vuotuisesta liikevaihdosta.

Henkilötiedot

GDPR:n ytimessä on henkilötietojen käsittely. Henkilötietoja ovat lain mukaan kaikki tunnistettavaan tai tunnistettavissa olevaan elävään henkilöön liittyvät tiedot. Henkilötietoja ovat esimerkiksi:

  • nimi
  • kotiosoite
  • sähköpostiosoite
  • sijaintitieto (esimerkiksi puhelimen reitinhakua varten lähettämä sijainti)
  • IP-osoite
  • selaimen palvelimelle lähettämä eväste (lähetetään esimerkiksi kirjautumisen yhteydessä sekä mainosten personointia varten)
  • henkilön yksilöivä merkkijono tai tunniste
  • sormenjälki
  • sukupuoli
  • ammatti
  • puhelimen sarjanumero
  • ...

Henkilötiedot ovat henkilötietoja vaikka ne hajauttaisi useammalle palvelimelle. Esimerkiksi tilanteessa, missä sähköpostiosoitteen alkuosa tallennetaan yhdelle palvelimelle ja sähköpostiosoitteen loppuosa toiselle palvelimelle, tiedot ovat yhä henkilötietoja mikäli sähköpostiosoitteet voidaan yhdistää liittämällä eri palvelimilla olevat tiedot.

Mikäli henkilötiedot (pseudo)anonymisoidaan eli niistä poistetaan henkilöön viittaavat tiedot, mutta henkilö on yhä tunnistettavissa pienen "myyräntyön" jälkeen, ovat tiedot yhä henkilötietoja. Mikäli henkilöä ei voida tunnistaa anonymisoiduista henkilötiedoista minkäänlaisen menetelmän avulla, ei tietoja enää nähdä henkilötietoina.

Milloin henkilötietoja saa käsitellä?

GDPR määrittelee kuusi mahdollista syytä henkilötietojen käsittelyyn. Mikäli yksi tai useampi seuraavista ehdoista pätee henkilötietojen käsittelytilanteessa, on henkilötietojen käsittely sallittua.

GDPR:n kuudes artikla, kohta 1:


Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.


Henkilötietoja saa käsitellä esimerkiksi vain mikäli henkilötietojen käsittelyyn — tiettyä tarkoitusta varten — on annettu lupa; henkilötietojen käsittely on tarpeen henkilön kanssa tehdyn sopimuksen takia tai koska henkilö on edellyttänyt henkilötietojen käsittelyä ennen tulevan sopimuksen voimaantuloa; tai koska henkilötietoja tarvitsee käsitellä henkilön hengen turvaamiseksi.

Näiden lisäksi yritysten ja julkisten organisaatioiden välillä on eroja tietojen käsittelyyn liittyvissä oikeuksissa; julkiset organisaatiot saavat käsitellä heidän toimintansa kannalta oleellisia henkilötietoja heidän tehtävänsä toteuttamiseksi ilman erillistä eksplisiittistä henkilön antamaa lupaa.

Esimerkiksi Suomen koulutusjärjestelmällä on laillinen vastuu koulutuksen järjestämisestä — omien koulutustietojen poistaminen ei yliopiston rekisteristä (todennäköisesti) onnistu, eikä yliopiston erikseen tule pyytää lupaa koulutustietojen tallentamiseen. Vastaavia poikkeuksia löytyy myös tieteelliseen tutkimukseen liittyen.

Pääsit aliluvun loppuun! Jatka tästä seuraavaan osaan: