Mitä tarkoittaa tietosuoja?


Henkilötietojen suoja perusoikeutena

Oikeus yksityisyyteen eli yksityiselämän ja henkilötietojen suojaan on jokaiselle kuuluva perusoikeus aivan kuten esimerkiksi yhdenvertaisuus ja sananvapaus. Suomen perustuslain[1] mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu, ja henkilötietojen suojasta säädetään tarkemmin lailla.[2] Tällä hetkellä henkilötietojen suojasta säädetään henkilötietolaissa[3], joka on henkilötietojen käsittelyä koskeva kansallinen yleislaki. Henkilötietojen suoja on turvattu nimenomaisesti myös EU:n perusoikeuskirjassa ja Euroopan unionin toiminnasta tehdyssä sopimuksessa.[4] Sen asema on vahvistettu myös Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä.

Jokainen henkilötietojen käsittelyn kanssa tekemisissä oleva taho soveltaa itse henkilötietojen käsittelyä koskevaa lainsäädäntöä omaan toimintaansa. Sen vuoksi on erittäin tärkeää, että myös opetustoimessa tunnetaan henkilötietojen käsittelyä sääntelevä lainsäädäntökehikko.

Henkilötietoja saa kerätä tai käsitellä silloin, kun henkilötietojen suojaa koskevassa lainsäädännössä määritellyt edellytykset täyttyvät. Kaikilla, myös oppilaalla tai opiskelijalla, on oikeus henkilötietojensa suojaan. Oikeus henkilötietojen suojaan ei kuitenkaan ole absoluuttinen, vaan sitä tulee tarkastella suhteessa muihin perusoikeuksiin ja tapauskohtaisiin riskeihin.

Oppilaitoksissa henkilötietojen käsittely liittyy opetuksen tai koulutuksen järjestämiseen. Tietosuojan selkein ilmentymä oppilaitosten arjessa on se, että henkilötietojen käsittelyn on oltava asiallisesti perusteltua oppilaitoksen toiminnan kannalta. Henkilötietoja ei voida käsitellä oppilaitoksille kuulumattomia tehtäviä varten. Käsiteltävien henkilötietojen on lisäksi oltava tarpeellisia käyttötarkoitukseensa nähden.

Henkilötietolaista tietosuoja-asetukseen ja tietosuojalakiin

Tällä hetkellä keskeisin tietosuojasäädös on henkilötietolaki, joka astui voimaan vuonna 1999. Sen avulla pantiin täytäntöön vuonna 1995 annettu henkilötietodirektiivi [5]. Vaikka henkilötietodirektiivin ja siihen pohjautuvan kotimaisen henkilötietolakimme keskeisimmät tavoitteet ja periaatteet ovat edelleen päteviä, ne ovat kuitenkin jäämässä historiaan. Nykypäivänä henkilötietoja jaetaan ja kerätään merkittävästi enemmän ja laajemmin kuin 1990-luvulla. Myös teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen käsittelyyn aivan uudenlaisia haasteita.

Toukokuun 25. päivänä 2018 sovellettavaksi tulee EU:n yleinen tietosuoja-asetus[6]. Sen rinnalla ryhdytään toistaiseksi nimeämättömänä päivänä soveltamaan kansallista tietosuojalakia[7], jonka tarkoituksena on täydentää ja täsmentää tietosuoja-asetusta sekä määrätä tietosuoja-asetukseen sisältyvän kansallisen liikkumavaran käytöstä. Tietosuojalaki ei muodosta henkilötietolain kaltaista itsenäistä kokonaisuutta, vaan sitä tulisi aina lukea rinnakkain tietosuoja-asetuksen kanssa.

Tietosuoja-asetuksen tarkoituksena on saada aikaan koko EU:n laajuinen vahva ja johdonmukainen tietosuojakehys. Yksi sen merkittävimmistä tavoitteista on parantaa luonnollisten henkilöiden mahdollisuutta valvoa omia henkilötietojaan ja niiden käsittelyä. Koska kyse on EU-asetuksesta, tietosuoja-asetusta tullaan soveltamaan kaikissa jäsenvaltioissa sellaisenaan. Sen säännöksistä ei voida poiketa kansallisesti edes lainsäädännöllä tai viranomaisten antamilla määräyksillä.

Tietosuoja-asetusta sovelletaan kaikenlaiseen henkilötietojen käsittelyyn silloin, kun käsittely on automaattista. Lisäksi sitä sovelletaan sellaiseen muuhun kuin automaattiseen käsittelyyn, jonka tarkoituksena on muodostaa rekisteri tai sen osa.[8] Manuaalinen käsittely voi yksinkertaisimmillaan olla sitä, että yksittäinen ihminen käsittelee paperisia asiakirjoja. Rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein.[9] Esimerkiksi naulakoiden tai piirustusten nimikoiminen ei muodosta rekisteriä. Rekisterikäsitteen osalta olennaista on, että tiedot on järjestetty tiettyjen perusteiden mukaisesti siten, että yksittäistä henkilöä koskevat tiedot ovat löydettävissä helposti ja ilman kohtuuttomia kustannuksia. Tällaisia perusteita voivat olla muun muassa etunimen alkukirjain tai syntymäaika.

Tietosuoja-asetuksen soveltamisalan ulkopuolelle on rajattu sellainen henkilötietojen käsittely, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.[10] Esimerkiksi joulukorttien lähettämiseksi kerätyt tuttavien osoitetiedot jäävät sen soveltamisalan ulkopuolelle. Muutoin tietosuoja-asetusta sovelletaan sekä yksityisellä että julkisella sektorilla, ja myös oppilaitosten harjoittama henkilötietojen käsittely kuuluu sen soveltamisalaan.

Tietosuoja-asetusta tullaan soveltamaan sellaisiinkin henkilötietoihin, jotka on kerätty ennen sen sovellettavaksi tulemista. Myös kaikki tällä hetkellä käytössä olevat tietojärjestelmät on siten saatettava tietosuoja-asetuksen mukaisiksi ennen 25.5.2018 päättyvän siirtymäajan loppua.

 

[1] 731/1999.

[2] Suomen perustuslain 10 §.

[3] 523/1999.

[4] Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohta ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohta.

[5] Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.

[6] Euroopan parlamentin ja neuvoston asetus 2016/649 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus).

[7] Lakia ei ole vielä hyväksytty.

[8] Tietosuoja-asetuksen 2 artiklan 1 kohta.

[9] Tietosuoja-asetuksen 4 artiklan 6 kohta.

[10] Tietosuoja-asetuksen 2 artiklan 2 kohta.