4. Lainsäädäntö - EU
Perustana EU-tason sääntely
Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta
henkilötietojen käsittelyssä ja näiden tietojen
vapaasta liikkuvuudesta.
Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY)
henkilötietojen käsittelystä ja yksityisyyden suojasta
sähköisen viestinnän alalla.
Positiivinen puoli - alue hyvin harmonisoitu Unionissa
5. Perusidea
Henkilötietoja voidaan kerätä ja tallettaa:
“kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja
tietoisen suostumuksensa”
kun rekisterinpitäjän ja rekisteröidyn välillä on
asiallinen yhteys kuten asiakassuhde tai
palvelussuhde
Säädetty muussa laissa
6. Rekisteriseloste
Kertoo tallennuksen kohteelle
Miksi kerätään
Mitä kerätään
Miten käytetään
Miten korjata virheelliset tiedot
Työkalu tietoisuus-kriteerin täyttämiseen
7. Rekisteröidyn oikeuksia
Oikeus tarkastaa itseään koskevat tiedot
Oikeus vaatia virheellisen tiedon oikaisua
Oikeus kieltää henkilötietojen käsittely:
suoramarkkinointiin (sekä myynnissä että muussa
suoramarkkinoinnissa)
markkina- ja mielipidetutkimukseen
henkilömatrikkeliin
Rekisteröijän tulee informoida kielto-oikeudesta
henkilötietojen keräämisen yhteydessä.
8. Arkaluonteisten tietojen
kerääminen
Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti
kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat:
rotua tai etnistä alkuperää
henkilön yhteiskunnallista, poliittista tai uskonnollista
vakaumusta
ammattiliittoon kuulumista
rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
henkilön terveydentilaa, sairautta, vammaisuutta tai
häneen kohdistettuja hoitotoimenpiteitä
henkilön seksuaalista suuntautumista tai käyttäytymistä
henkilön sosiaalihuollon palveluja, tukitoimia ja muita
sosiaalihuollon etuuksia.
10. Sallittua jos
Tietojen käsittelyä, johon rekisteröity on antanut
nimenomaisen suostumuksensa;
sellaisen henkilön yhteiskunnallista, poliittista tai
uskonnollista vakaumusta tai ammattiliittoon kuulumista
koskevan tiedon käsittelyä, jonka rekisteröity on itse
saattanut julkiseksi;
Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
14. Tietojen luovutus EU:n
ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin
jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos
kyseissä maassa taataan riittävä tietosuojan taso
Tapauskohtainen harkinta
Tietojen luonne
Suunnitellun käsittelyn tarkoitus ja kestoaika
Alkuperämaa ja lopullinen kohde
Asianomaisessa maassa voimassa olevat yleiset ja
alakohtaiset oikeussäännöt
15. Safe Harbor –järjestely
Komissio todennut tietyt maat valmiiksi turvallisiksi
Mm. Sveitsi, Kanada, Argenttiina
USA:n kanssa erikoisjärjestely
Organisaatiokohtainen oikeutus
Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja
on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US
Department of Commerce) ja komission hyväksymiä yksityisyyden
suojaa koskevia safe harbor –periaatteita
17. Kysymyksiä pilviratkaisuille
Miten kysyä suostumus asialle, jota ei välttämättä
tiedetä etukäteen?
Tulisiko listata kaikki maat, joissa henkilötiedot
mahdollisesti tulevat sijaitsemaan?
Miten merkitä tietoihin, missä menevät niiden käsittelyn
rajat?
18. Hyvä rekisteritapa?
Laki edellyttää ns. hyvän rekisteritavan noudattamista
Sisältö oikeuskäytännön kautta
Tietosuojavaltuutettu, tietosuojalautakunta
Hallinto-oikeudet
19. Korkeimman hallinto-oikeuden
päätös ns. pikavippiasiassa
Kyseessä ns. “paha yritys”, mikä vaikutti ratkaisun
taustalla
Mikä riittävä tunnistuksen taso?
Tietosuojalautakunta -> hallinto-oikeus -> KHO
20. Hallinto-oikeus
…Hallinto-oikeus katsoo, että tällainen menettely on vastoin
henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2
momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen
menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen
käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä
edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole
henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n
lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin
edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö
luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31
§:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole
ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei
ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä
ongelmia.”
21. Hallinto-oikeus
“Päätöksessä on kysymys X Oy:n käyttämän
luotonhakijoiden tunnistamistavan henkilötietolain
mukaisuudesta, eikä sillä seikalla, että myös muiden
toimijoiden toiminnassa ja muilla toimialoilla saattaa olla
riski väärien henkilöiden rekisteröimisestä
luotonhakijoiksi, ole merkitystä X Oy:n käyttämän
tunnistamistavan lainmukaisuuden arvioinnissa.
Hyväksyttävät luotonhakijan tunnistamismenettelyt
voivat vaihdella palvelualojen mukaan…”
22. Mitä jos rikotaan?
Yleensä - ei mitään
Henkilötietolaki: Sakko
Oikeudenkäymiskulut
23. Avoin data?
Laissa ei erityisoikeuksia
Sillä, että tieto on vapaasti saatavissa viranomaiselta,
ei ole merkitystä
Esimerkki: Pöytäkirjat voivat muodostaa
henkilörekisterin
Tietojen anonymisointi
Teknisesti haasteellinen tehtävä, jos tavoitteena
huomattava luotettavuus