EU:n tietosuoja-asetus ja henkilötietojen käsittely

GDPR eli General Data Protection Regulation (yleinen tietosuoja-asetus) on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018. EU:n tietosuoja-asetuksessa määritellään ne säännöt, joita yritysten ja muiden organisaatioiden on noudatettava henkilötietoja käsitellessään sekä kerrotaan, mitä oikeuksia sinulla on, kun jokin yritys tai organisaatio käsittelee henkilötietojasi. Tietosuoja-asetus antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä. Tietosuojavaltuutetun sivuilta löytyy kattavasti tietoa tietosuojaa koskevista oikeuksista (linkki alla).

EU:n yleisen tietosuoja-asetuksen mukaan sinulla on oikeus:

  1. saada tietoa henkilötietojesi käsittelystä,
  2. saada tutustua sinusta kerättyihin tietoihin,
  3. oikaista sinusta kerättyjä tietoja,
  4. pyytää poistamaan tietosi ja tulla unohdetuksi,
  5. rajoittaa tietojesi käsittelyä,
  6. siirtää tietosi järjestelmästä toiseen,
  7. vastustaa henkilötietojesi käsittelyä,
  8. olla joutumatta automaattisen päätöksenteon kohteeksi.

Nämä luetellut oikeudet ovat pääsääntöjä, joihin liittyy poikkeuksia.  

Pohdittavaksi: EU:n tietosuoja-asetus ja sinun oikeutesi 

Käykää läpi kahdeksan EU:n yleisen tietosuoja-asetuksen eli GDPR:n antamaa oikeutta ja keskustelkaa siitä, mitä ne käytännössä tarkoittavat.  

Miten lainsäädäntö liittyy digitaalisten palvelujen keräämään tietoon? Miksi tietojen keräämiseen tulee puuttua lailla? Missä laissa näistä säädetään? 

Vuonna 2023 voimaan tuleva EU-sääntely rajoittaa yksityishenkilöiden profilointia. Digipalveluiden on kerrottava selkeästi, miten niiden suosittelualgoritmi toimii. Niiden on annettava käyttäjälle mahdollisuus säätää suosittelualgoritmin toimintaa ja jopa kytkeä se kokonaan pois päältä. Mainokset on selvästi merkittävä mainoksiksi ja käyttäjän on voitava nähdä, millä perusteella heille on jokin mainos kohdistettu. 

Jo aiemmin GDPR (vuodesta 2018) on määrännyt, millä edellytyksillä henkilöiden tietojen käsittely on sallittua sekä sen, että käyttäjällä on oikeus tarkistaa hänestä kerätyt tiedot, saada niistä kopiot, korjata virheet ja vaatia kaikkien tietojensa poistamista.  

Pohdittavaksi: Kokeilu 

Kokeile: Löydätkö käyttämästäsi somepalvelusta tavan nähdä sinusta kerätyt tiedot, rajoittaa profilointia tai mainosten kohdistamista, ja poistaa osia sinusta kerrytetystä profiloinnista? 

Kohtelevatko lait alaikäisiä eri tavalla kuin täysi-ikäisiä? Voiko alaikäinen antaa suostumuksen samoihin asioihin kuin täysi-ikäinen? 

Lasten henkilötietoihin sovelletaan erityistä suojaa. 

Vuodesta 2023 alkaen mainosten kohdistaminen digitaalisissa palveluissa alaikäisiin on täysin kiellettyä. Samoin arkaluontoisiin tietoihin perustuva kohdistaminen on kiellettyä: etninen tausta, poliittiset mielipiteet, uskonnolliset tai filosofiset uskomukset, ammattiliittojäsenyys, geneettiset tiedot, terveys tai seksuaalinen suuntaus. 

Vajaavaltaisen eli alle 18-vuotiaan asemasta säädetään laissa holhoustoimesta. Lain mukaan alaikäisen eli alle 18-vuotiaan oikeustoimikelpoisuus on rajoitettu. Alaikäinen voi itse tehdä vain sopimuksia, jotka ovat olosuhteisiin nähden tavanomaisia ja merkitykseltään vähäisiä. Tämän lisäksi alaikäisellä on oikeus määrätä omista työansioistaan ja huoltajan hänen käyttöönsä antamista varoista.

Poikkeuksia alle 18-vuotiaan asemaan on mm. hallintolaissa, jonka mukaan 15-vuotta täyttäneellä on rinnakkainen puhevalta huoltajansa kanssa. Lisäksi oppilas- ja opiskelijahuoltolakiin sisältyy alaikäisen oikeuksia koskien mm. tietojen luovuttamista huoltajalle.

Ottaessasi minkä tahansa uuden palvelun käyttöön on hyvä käytäntö heti alkuun mennä palvelun asetuksiin ja katsoa, mitä kaikkea voit säätää liittyen omien tietojesi keräämiseen, käyttöön ja jakamiseen.