• Ei tuloksia

Varautuminen EU:n yleiseen tietosuoja-asetukseen näkymä

N/A
N/A
Info
Lataa
Protected

Academic year: 2022

Jaa "Varautuminen EU:n yleiseen tietosuoja-asetukseen näkymä"

Copied!
3
0
0

Ladataan.... (näytä koko teksti nyt)

Lataa nyt ( 3 sivua )

Kokoteksti

(1)

5

Varautuminen EU:n yleiseen tietosuoja-asetukseen

1

Pekka Heikkinen

EU:n yleinen tietosuoja-asetus tuli voimaan keväällä 2016 ja sitä ryhdytään soveltamaan 25.5.2018 alkaen. On tärkeää, että kirjastot ja arkistot varautu- vat asetuksen vaikutuksiin jo ennalta. Asetus velvoittaa suojaamaan henkilötie- dot sekä säätelee niiden käyttöä. Henkilötietoja ovat kaikki tiedot jotka voidaan yhdistää johonkin elossa olevaan yksityiseen henkilöön kuten nimitieto, osoite- tieto, sähköpostiosoite, kirjastokortin numero, puhelinnumero, valokuva josta henkilö on tunnistettavissa tms.

1 Tämän ohjeistuksen lähtökohtana oli British Libraryssä työskentelevän Ben Whiten heinäkuussa 2017 IFLAlle laatima muistio. Tämä esitys ei ole kattava. Tietosuojavaltuutetun toimisto on julkaissut oppaan Miten valmistautua EU:n tieto- suoja-asetukseen http://tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/01/uusiopasauttaarekisterinpitajiaeuntietosuo- ja-asetukseenvalmistautumisessa.html).

2 http://oikeusministerio.fi/julkaisu?pubid=URN:ISBN:978-952-259-612-3

3 Nimi yleinen tietosuoja-asetus (”General Data Protection Regulation” GDPR) viittaa siihen, että samaan aikaan sen kanssa annettiin myös erityisesti rikosten torjuntaan liittyvän henkilötietojen käsittelyä koskeva erillinen direktiivi.

4 Nykyisestä henkilötietolaista poiketen asetus ei mainitse asiakkuus- tai jäsenyyssuhdetta erillisenä henkilötietojen käsit- telyn perusteena.

EU

-asetus tulee jäsenmaissa voimaan sellaise- naan. Se jättää jäsenmaille kuitenkin jonkin ver- ran liikkumavaraa. Oikeusministeriön asettama Tatti-työryhmä jätti tämän liikkumavaran käyt- töä koskevan mietintönsä 21.6.2017.2 Työryh- män mietintö ja siihen sisältyvä esitys uutta tie- tosuojalakia koskevaksi hallituksen esitykseksi on parhaillaan lausuntokierroksella. Tämä esi- tetty uusi tietosuojalaki korvaisi nykyisen hen- kilötietolain.

Toukokuun 2018 jälkeen henkilötietojen käsit- telyyn sovelletaan siis ensi sijassa EU:n tietosuoja- asetusta ja sitä täydentävin osin uutta kansallista tietosuojan yleislakia eli tietosuojalakia. On ole- tettavaa, että Suomessa tullaan seuraavan vuoden kuluessa antamaan myös joukko soveltamisalal- taan suppeampia kansallisia erillissäädöksiä. Nä-

mä erillissäädökset syrjäyttävät soveltamisalallaan tietosuojalain, eivät kuitenkaan EU-asetusta.3

EU:n tietosuoja-asetus ei sinällään merkitse mitenkään perustavaa muutosta nykytilantee- seen. Joihinkin sen kohtiin kannattaa kirjastois- sa ja arkistoissa kuitenkin kiinnittää jo valmiste- luvaiheessa huomiota. Tietosuoja on olennainen myös niiden museoiden kannalta, joiden kokoel- miin sisältyy laajoja kuva-arkistoja.

Kuten tähänkin asti, henkilötietoja saa käsitellä vain asetuksen nimenomaisesti sallimilla perus- teilla. Kansallisten muistiorganisaatioiden osalta perustelu liittyy niiden lakisääteisiin velvoittei- siin. Muiden kirjastojen tai arkistojen osalta pe- rusteluna voi olla joko yleistä etua koskevan teh- tävän suorittaminen tai kirjaston/arkiston tai nii- den asiakkaiden oikeutettu etu.4

(2)

6

I. Mitkä ovat olennaisimmat muutokset?

• Osoitusvelvollisuus. Rekisterinpitäjän (eli kir- jaston tai arkiston) on pystyttävä tarvittaessa osoittamaan, että tietosuoja-asetuksen velvoit- teet on huomioitu sen toiminnassa.

• Ankarat sanktiot. Tapauksissa, joissa asetuksen keskeisiä periaatteita loukataan, se mahdollistaa jopa 20 miljoonan euron suuruisten hallinnol- listen sakkojen määräämisen. Sanktio voi tulla kyseeseen esimerkiksi tapauksissa, joissa asiak- kaan henkilötietoja käsitellään ilman että jatko- käytön ehtoja on selkeästi ja ymmärrettävästi selostettu asiakkaalle.5

• Siitä, tullaanko sakkoja soveltamaan myös jul- kisen sektorin toimijoihin, käydään Suomessa vielä keskustelua.

• Sisäänrakennettu ja oletusarvoinen tietosuoja.

Tämä tarkoittaa sitä, että kirjastojen on jo en- nalta sopeutettava tekniset ja organisatoriset prosessinsa tietosuojasääntelyn vaatimuksiin.

Tietosuojavaikutukset tulee aina arvioida uusia toimintatapoja tai järjestelmiä käyttöön otetta- essa. Kirjastojen ei tule kerätä henkilötietoja, jotka eivät ole niiden toiminnan kannalta eh- dottoman välttämättömiä. Tarpeettomiksi käy- neet henkilötiedot tulee viipymättä hävittää.

Kirjastojärjestelmien tietoturva tulee varmis- taa, ja henkilötiedot tulee mahdollisuuksien mukaan salata tai ainakin pseu-donymisoida.6

• Ilmoitusvelvollisuus. Jos henkilötietoja häviää tai järjestelmiin murtaudutaan, kirjastojen tu- lee informoida tästä viranomaisia 72 tunnin ku luessa. Rekisteröityjä, eli niitä yksittäisiä hen kilöitä joita asia koskee, tulee informoida niin pian kuin käytännössä mahdollista.

• Asiakkaiden oikeudet. Asiakkailla on oikeus saa da maksutta tieto siitä, mitä tietoja hänestä on kerätty ja mihin tarkoituksiin henkilötietoja käytetään. Heillä on muun muassa myös oikeus vaatia tietojen oikaisemista sekä tietyin edelly- tyksin myös oikeus vaatia käsittelyn rajoittamis- ta tai jopa oikeus vastustaa niiden käsittelyä.

• Tietosuojavastaava. Kaikkien julkisten toimi- joiden, joiden ydintehtäviin kuuluu henkilötie- tojen käsittely, on nimettävä tietosuojavastaava.

Tämä vaatimus koskee oletettavasti useimpia kir jastoja. Tietosuojavastaava voi olla sellainen hen kilökuntaan kuuluva, jonka tehtäviin ei kes keisesti kuulu henkilötietojen käsittely (ei siis esim. IT-vastaava tai tietojärjestelmäpäällik- kö). Tietosuojavastaava voi myös olla useamman organisaation yhteinen.

II. Mitä kirjastojen olisi tehtävä?

• Kirjastojen tulisi yksilöidä, mikä on henkilötie- tojen käsittelyn peruste eri toimintojen osalta.

Esimerkiksi miltä osin käsittely perustuu rekis- teröidyn (asiakkaan tai tekijän) suostumukseen, miltä osin lakisääteiseen velvoitteeseen tai tar- peellisen yleistä etua koskevan tehtävän suorit- tamiseen.

• Jos käsittelyn perusteena on asiakkaan suostu- mus, tulisi varmistaa että käsittelyn ehdot ovat eri ikäisten asiakkaiden ymmärrettävissä ja hel- posti saatavilla. Käsittelyn peruste ja ne tarkoi- tukset, joihin henkilötietoja käytetään, tulee mää ritellä mahdollisimman arkikielisesti. Olisi myös varmistettava, että suostumus tietojen kä- sittelyyn on annettu nimenomaisella ja aktiivi- sella toimella – pelkkä lomakkeeseen sisällytetty, valmiiksi rastitettu vaihtoehto ei riitä.

5 Mikäli henkilötietoja käsitellään asiakkaan suostumuksen perusteella, tulee suostumuksen olla vapaaehtoinen, nimen- omainen ja yksilöity. Pelkkä reagoimatta jättäminen (tyyliin ruksi valmiina ruudussa) ei riitä. Kirjaston on tarvittaessa pys- tyttävä osoittamaan, että suostumus on annettu. Jokainen voi myös aina halutessaan peruuttaa suostumuksensa.

6 Pseudonymisoinnilla tarkoitetaan sitä, että yksilöitävissä oleva aineiston osa(henkilötieto) korvataan jollakin keinotekoi- sella tunnisteella.

(3)

7

• Osoitusvelvollisuus edellyttää, että kirjastot do- kumentoivat ja säilyttävät tiedot henkilötietojen käsittelyn tarkoituksesta, henkilötietoryhmis- tä7, teknisistä ja organisatorisista suojakeinoista jne. Nämä tulee pyydettäessä esittää tietosuo- javiranomaisille.

III. Sisältääkö asetus

kirjastoja/arkistoja koskevia poikkeussäännöksiä tai erivapauksia?

Kyllä, mutta pääosin nämä eivät ole jäsenmaita velvoittavia. Jäsenmaiden päätettäväksi on jätet- ty, missä laajuudessa asetuksen sisältämää liikku- mavaraa hyödynnetään. Juuri tämän vuoksi ak- tiivinen vaikuttaminen olisi nyt välttämätöntä.

a) Sananvapaus ja tiedonvälityksen vapaus Asetus velvoittaa jäsenmaat sovittamaan yhteen hen kilötietojen suojan sekä tiedonvälityksen va- pauden. Tämä kattaa myös tietojen käsittelyn akateemisen ja kirjallisen ilmaisun tarkoituksia varten.

Asetuksen johtolauseen (153) mukaan kohtaa olisi tulkittava väljästi.

Asetus myös nimenomaisesti mainitsee uutis- ja lehtiarkistot. Myös kirjastot hallinnoivat leh- tiarkistoja, joilla on suuri merkitys sananvapau- den käytön edellytysten turvaajana. Joukkovies- tintää koskevat, asetukseen sisältyvät hyvin laajat poikkeussäännöt soveltuvat tällä perusteella myös moniin kirjastoihin ja arkistoihin.

Nyt olisi olennaista pyrkiä vaikuttamaan kan- salliseen säädösvalmisteluun siten, että kirjasto-

jen ja arkistojen merkitys sanan- ja ilmaisunva- pauden kannalta tunnustettaisiin yksiselitteises- ti myös kansallisessa lainsäädännössä.

b) Yleisen edun mukaiset arkistointitarkoitukset Tämän ohella asetus antaa jäsenvaltioille mahdol- lisuuden säätää harkintansa mukaan poikkeuksis- ta, jotka koskevat ”yleisen edun mukaisia arkis- tointitarkoituksia”. Jäsenvaltiot voivat mm. sää- tää poikkeuksista rekisteröityjen oikeuksiin, jos nämä oikeudet todennäköisesti estäisivät tai suu- resti vaikeuttaisivat yleisen edun mukaista arkis- tointitoimintaa.

Olisi tärkeää, että säädösvalmistelun kuluessa nyt selkeytettäisiin, millaisten kirjastojen ja arkis- tojen katsotaan mahtuvat tämän poikkeussään- nöksen piiriin.

c) Tieteellinen tai historialli- nen tutkimustarkoitus

Asetus sisältää myös joitain ei-velvoittavia poik- keussäännöksiä, jotka liittyvät tieteellisiin tai his- toriallisiin tutkimustarkoituksiin. Kuten edelli- sessä kohdassa, myös näiden käyttöönotto on jä- tetty jäsenvaltioiden harkittavaksi.

Saattaa olla, että joissain tapauksissa tutkimus- tarkoitukseen vetoaminen on tieteellisissä kirjas- toissa ja arkistoissa edellisten kohtien ohella vie- lä erikseen avuksi.

Tietoa kirjoittajasta:

Pekka Heikkinen, lakimies Kansalliskirjasto

pekka.heikkinen@helsinki.fi

7 Esimerkiksi siitä, sisältääkö käsitelty aineisto arkaluonteisia henkilötietoja eli etniseen taustaan, poliittisiin tai uskonnol- lisiin näkemyksiin, seksuaalisuuteen, terveyteen, ammattiyhdistystoimintaan osallistumiseen liittyviä tietoja tai geneettis- ten/biometristen tietojen käsittelyä (asetuksessa ”erityiset henkilötietoryhmät”). samoin olisi kirjattava, liittyvätkö käsitel- lyt henkilötiedot asiakkaisiin, tekijä/auktoriteettitietoihin tms.

Viittaukset

Lataa nyt ( PDF - 3 sivua - 58.04 KB )

LIITTYVÄT TIEDOSTOT

JYVÄSKYLÄN KAUPUNKI TIETOSUOJASELOSTE GDPR, EU:n Tietosuoja-asetus (EU 2016/680) Laatimispäivä: 21.5.2018

Henkilötietolain 30 §:n mukaan rekisteröidyllä on oikeus kieltää rekisterinpitä- jää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja

JYVÄSKYLÄN KAUPUNKI TIETOSUOJASELOSTE GDPR, EU:n Tietosuoja-asetus (EU 2016/680) Laatimispäivä: 24.5.2018

Asiakkuuteen liittyvät asiakirjat säilytetään samoin palomuurein, salasanoin ja muin teknisin keinoin suojatulla verkkoasemalla. Jos manuaalista aineistoa tarvitaan, säilyte- tään

JYVÄSKYLÄN KAUPUNKI TIETOSUOJASELOSTE GDPR, EU:n Tietosuoja-asetus (EU 2016/680) Laatimispäivä: 24.5.2018

Rekisteriä käytetään Jyväskylän kaupungin nuorten työpajatoiminnassa työ- elämävalmennuksessa olevien nuorten asiakkaiden (nuorten työpaja, työllis-

TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus (679/2016), art. 12 Tietosuojalaki Laatimispäivä 26.4.2018

Jätehuollon asiakastietojärjestelmien osalta rekisterinpitäjiä ovat sekä Jyväskylän seudun jä- telautakunta että Mustankorkea Oy.. Kunnan järjestämän jätehuollon

Artist CRM-Järjestelmä ja EU:n tietosuoja-asetus

Rekisterinpitäjän on uuden tietosuoja-asetuksen myötä voitava osoittaa, että henkilö- tietojen käsittelyssä on noudatettu kaikkia tietosuoja-asetuksen 5. artiklan 1 kohdan

Asiakastyytyväisyystutkimus: Tili- ja isännöintitoimisto X

EU-maissa vuoden 2018 toukokuun aikana käyttöönotettu yleinen tieto- suoja-asetus GDPR on vaikuttanut myös tietojen käsittelyyn taloushallin- toalalla. Uuden asetuksen tarkoituksena

Asiakirjahallinnon kehittäminen EU:n tietosuoja-asetuksen ja suomalaisen lainsäädännön mukaisesti

 Miten yrityksen pitää säilyttää, arkistoida ja hävittää henkilötietoja sisältäviä asiakirjoja voimassa olevan suomalaisen lainsäädännön ja EU:n tietosuoja-

Koulu digitalisoituu, mutta laahaako tietosuoja perässä? : tietosuoja koulussa Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) näkökulmasta

Pitkänen, Tiilikka ja Warma (2016, 216) taas tarkentavat tietoturvan käsittävän ”tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista siten, että tiedot