EU:n tietosuoja-asetus (25.5.2018- )
Suomen ja Euroopan unionin tietosuojalait ovat uudistuneet. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.
Tietosuoja-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä. Asetus vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetuksessa on säädetty henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä.
Asetuksen mukaan rekisterinpitäjän on huolehdittava siitä, että tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa.
Tietosuojaperiaatteiden mukaan henkilötietoja on:
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
Tietosuoja-asetuksen mukaan rekisteröidyt saavat uusia oikeuksia, mm:
Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä
Oikeus saada pääsy tietoihin
Rekisterinpitäjän on rekisteröidyn pyytäessä ilmoitettava, käsitelläänkö häntä koskevia henkilötietoja vai ei sekä toimitettava jäljennös käsiteltävistä henkilötiedoista. Rekisterinpitäjällä on velvollisuus toimittaa jäljennös sähköisesti kaikista käsiteltävistä rekisteröidyn henkilötiedoista.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot tai täydentää puutteellisia henkilötietoja.
Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi
Oikeus tulla unohdetuksi tarkoittaa rekisteröidyn oikeutta pyytää rekisterinpitäjää poistamaan esimerkiksi häntä koskevat vanhentuneet henkilötiedot. Oikeutta tulla unohdetuksi ei sovelleta lakisääteisiin rekistereihin. Tietojen poistaminen niistä ei ole mahdollista lakisääteisen tehtävän suorittamiseen liittyvän käsittelyn yhteydessä.
Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Tämä oikeus ei koske julkisen sektorin rekistereitä, joita pidetään lain perusteella.
Oikeus saada tieto rekisterinpitäjään kohdistuneesta henkilötietojen tietoturvaloukkauksesta
Rekisterinpitäjille on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus astuu voimaan, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan muodossa. Ilmoitusta ei tarvitse lähettää tietyissä tilanteissa, esimerkiksi jos vuotaneet henkilötiedot ovat salattu ja salausavaimet eivät ole vaarantuneet. Rekisterinpitäjä voi ilmoittaa vuodosta median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa. Tällaisiksi tilanteiksi voidaan nähdä suuren kokoluokan tietovuodot, joiden piirissä on lukemattomia rekisteröityjä.
Oikeus tehdä valitus valvontaviranomaiselle
Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. Valvontaviranomainen Suomessa on tietosuojavaltuutettu.
Tietosuojalaki
Uusi tietosuojalalaki 1050/2018 täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta. Lain mukaan tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttää, että lapsi on vähintään 13-vuotias. Tätä nuoremman lapsen osalta rekisterinpitäjän olisi tarkistettava, että lapsella on vanhempien suostumus esimerkiksi sosiaalisen median palvelujen käyttämiseen.
Tietosuojavastaava
Sysmän kunnan tietosuojavastaava on järjestelmäasiantuntija Pasi Laakso (tietosuojavastaava@sysma.fi), puh. (044) 713 4513.
Tietosuojavastaavan tehtävänä on edistää ja valvoa henkilötietojen lainmukaista käsittelyä. Tietosuojavastaava on myös asiakkaiden (rekisteröityjen) käytettävissä, mikäli oma tietosuoja herättää lisäkysymyksiä.
Lisätietoja
Lisätietoja tietosuoja-asetuksesta löytyy osoitteesta: tietosuoja.fi/yksityishenkilot