Miksi tietosuoja on oikeasti tärkeä asia?

Vanhan vitsin mukaan maaseudulla naapurille on turha kertoa kuulumisia, koska et kuitenkaan kerro mitään mitä ei jo tiedettäisi.

Vaikka juoruamista yleensä paheksutaan, me kaikki syyllistymme siihen. Kukapa meistä ei tietäisi perhetuttujen ja sukulaisten perhekriiseistä jo kauan ennen kuin asianomaiset itse kertovat niistä?

Juoruilua voi joku pitää vielä harmittomana, mutta yksityisyyden suoja on silti paljon laajempi kysymys, ja sen merkitys kasvanut huomattavasti. Siihen on yksi selkeä selitys: ympäristömme digitalisoituminen on paitsi lisännyt meistä kerättyä tietoa, myös sen hyödyntämistä ja jakamista. Siinä missä aiemmin tietojemme leviämistä rajoitti aina kylän juorukellojen puhenopeus ja liikkuvuus, verkossa leviämään lähtenyt tieto on hetkessä jopa miljoonien ihmisten ulottuvilla. Samoin mainostajat jakavat ja hyödyntävät toistensa tietoa melko surutta. Profiloinnin määrä ja tarkkuus on pahimmillaan hiuksia nostattavaa. Vai haluatko itse, että mainostaja tietää tasan tarkkaan, milloin perheessä aletaan odottaa vauvaa, milloin lapsi menee kouluun ja milloin itse olet sairastunut vakavasti?

Tietosuojalainsäädännön tarkoituksena on rajoittaa tuota henkilötietojen levittämistä ja toistaiseksi melkoisen villiä tietojen hyödyntämistä. EU:n yleisen tietosuoja-asetuksen yhtenä tavoitteena on tehdä henkilötietojen liikkeistä läpinäkyvää: jokaisen henkilötietoja käyttävän on kyettävä osoittamaan, mistä ja miten hän on kyseiset tiedot hankkinut. Kun kysyjä voi esittää samat kysymykset tietojen lähteelle ja jälleen tämän lähteelle, on henkilötietojen kulku mahdollista jäljittää ja esimerkiksi äänestää jaloillaan sen yrityksen kohdalla, jonka asiakastiedoista tiedot ovat mainostajille lähteneet. Samoin henkilötietojen käyttöä rajoitetaan siten, että henkilötietoja antaessaan jokaisen on mahdollista selvittää tarkasti, mihin tarkoituksiin noita tietoja voidaan myöhemmin käyttää. Jokaisella on myös oikeus saada tietää kaikki häntä koskevat ja häneen liittyvät tiedot.

Henkilötietojen kerääjälle tästä seuraa siis vastaava kertomisvelvollisuus. Tämä edellyttää sitä, että kerääjä on perillä siitä, mitä tietoja kerää tai käyttää, mihin tarkoitukseen ja miksi. Asetuksen työläys piileekin tässä: Monesti näitä asioita ei ole mietitty lainkaan tai ainakaan kirjattu mihinkään ylös siinä vaiheessa kun henkilötietoja on ryhdytty keräämään ja tallentamaan. Hyvä työkalu tuohon kartoitustyöhön onkin nyt arvokas. Lisäksi henkilötietojen laajuus täytyy kartoittaa, jotta omien tietojen tarkastuspyyntöihin voidaan vastata. Tarkastusoikeus ei sinänsä ole Suomessa uusi asia, joten jos aiempaa lainsäädäntöä on noudattanut ja tarkastuksiin valmistautunut, ei muutos ole suuri.

Paitsi että verkko mahdollistaa juorujen levittämisen, on jokaisen henkilötietojen suojaaminen tärkeää myös siksi, että meistä kerätyillä tiedoilla on mahdollista saada aikaan paljon haittaa. Vaikka henkilötunnuksia ei pitäisi käyttää henkilön tunnistamiseen, valitettavan monet edelleen luottavat vain muutaman numeron osaamiseen luottaakseen siihen, että toinen osapuoli on se joka väittää olevansa. Henkilötunnuksen ja nimen joutuminen vääriin käsiin riittääkin jo melkoisen harmistuksen aikaansaamiseksi esimerkiksi väärille tileille väärin perustein otetuilla pikavipeillä, väärään osoitteeseen tilatuilla verkkokauppaostoksilla ja niin edelleen. 

Vaikka itse varjelisikin omia henkilötietojaan, joutuu niitä antamaan eri yhteyksissä eri toimijoille esimerkiksi saadakseen palvelua. Onkin oikein ja arvollista, että tuon tietojen vastaanottajien tulee varjella henkilötietoja vähintään samalla huolellisuudella kuin tietojen haltija. Tietosuoja-asetuksen vaatimuksilla turvallisesta säilyttämisestä ja oikeista toimintatavoista pyritäänkin edesauttamaan sitä, että henkilötiedot eivät päätyisi vääriin käsiin tällaisten väliportaiden kautta.

Henkilötietojen käsittelijälle tämä tarkoittaa velvollisuutta suojata tiedot. Kuten tiedämme, henkilötietojen suoja on nykyisellään usein aivan retuperällä: asiakkaiden yhteystietoja, jopa ovikoodeja ja hälyttimien salasanoja, kirjoitetaan muistilapuille ja jätetään taskuihin pyörimään; henkilötietoja, jopa henkilötunnuksia ja muita arkaluonteisia tietoja, lähetetään suojaamattomana sähköpostina tai huudellaan puhelimessa muiden kuunnellessa. 

Lainsäätäjän näkökulmasta kokemus on osoittanut, että keskimäärin henkilötietojen turvallisesta käsittelystä ei huolehdita vapaaehtoisesti tai oma-aloitteisesti. Tämä lieneekin yksi syy, miksi henkilötietojen käsittelijöille on asetettu niin sanottu osoittamisvelvollisuus: Ei ainoastaan riitä, että asiat ovat kunnossa, vaan se täytyy myös kyetä osoittamaan. Henkilötietoja käsitteleville yhteisöille tämä tarkoittaa tarvetta dokumentoida henkilötietojen käsittelyprosessit, säilytystavat ja muut tiedot. Tiedot täytyy tarvittaessa pystyä antamaan tarkastajalle nopeasti, joten niitä on myöhäistä ryhtyä tarkastuksen tullessa tekemään. Työväline, joka helpottaa kartoittamisprosessissa ja ennen kaikkea tukee myös myöhempiä muutoksia, helpottaa työtä huomattavasti. Vaikka asetuksen vaatimusten täyttäminen voi tässä vaiheessa vaatia melkoisen rykäisyn, ei kyse silti ole kertaluontoisesta projektista. Vaatimustenmukaisuutta tulee seurata jatkuvasti ja pitää dokumentaatio muuttuvassa toimintaympäristössä ajan tasalla – unohtamatta myös käytännön toteutusta ja sen valvontaa. 

Henkilötietojen suojaaminen on kuitenkin nykymaailmassa miltei yhtä tärkeää kuin pankkitietojen suojaaminen. Pelkästään nimellä ja osoitteella on jo mahdollista saada aikaan valtavasti harmistusta, puhumattakaan jos niihin yhdistyy henkilötunnus. Tuolloin tietojen kriittisyys alkaa olla jo samaa luokkaa luottokortin numeron kanssa. Kuinka monelle meistä on ok, että luottokorttimme numero pyörii satunnaisissa exceleissä, kirjoitetaan muistilapulle ja talletetaan puolihuolimattomasti pöydän nurkalle?

Tuomas Liinamaa
OTM, luvan saanut oikeudenkäyntiavustaja
 
Legalwise Oy on tamperelainen juridiikan asiantuntijayritys, joka auttaa yrityksiä ja yrittäjiä keskittymään liiketoimintaan.
Olitpa mistä päin Suomea tahansa, me autamme niin tietosuoja-asioissa kuin muidenkin yrityksen lakiasioiden kanssa.

Julkaistu: 14.03.2018

Legalwise logo

Ota yhteyttä

Jos tarvitsette juristin apua, niin voitte ottaa yhteyttä heihin suoraan alla olevalla yhteydenottolomakkeella.

*pakollinen kenttä

Palvelua toteuttamassa