Katsaus tietosuojaan – mitä juuri sinun pitäisi tietää tietosuojasta?

Tietosuoja-asetus ei ole kiellettyjen asioiden lista, vaan se antaa säännöt henkilötietojen käsittelylle.  Tietosuoja-asetus turvaa ihmisten perusoikeuksia, sillä se antaa ihmisille mahdollisuuden valvoa omien henkilötietojensa käsittelyä. 

Aikaisemmin henkilötietoja saatettiin kerätä varmuuden vuoksi. Tietosuoja-asetus lähtee siitä, että vain välttämättömiä, oikeasti tarpeellisia henkilötietoja voidaan kerätä ja käsitellä. Kyse on minimointiperiaatteesta, joka tarkoittaa sitä, että tietoja ei voida kerätä ja säilyttää ilman asianmukaista ja perusteltua syytä. Henkilötietoja voidaan kerätä ja käsitellä vain jotakin ennalta suunniteltua tarkoitusta varten, ja tiedot on poistettava sen jälkeen, kun ne eivät enää ole tarpeellisia alkuperäistä tarkoitusta varten. 

Henkilötietoa on kaikki tieto, jolla henkilö voidaan tunnistaa. Henkilötietoa on esimerkiksi nimi, käyttäjätunnus, kuva, ääni ja käsin tehty allekirjoitus. Henkilötiedoksi katsotaan kaikki sellainen tieto, josta henkilö voidaan tunnistaa joko suoraan tai erilaisia tietoja yhdistämällä. Henkilötietojen käsittelyksi katsotaan oikeastaan kaikki manuaaliset ja tietojärjestelmässä tapahtuvat henkilötietoihin kohdistuvat toiminnot. Pelkkä henkilötietojen katsominen, selaaminen tai tiedon hakeminen tietokannasta katsotaan henkilötietojen käsittelyksi. 

Tietosuoja saattaa näyttäytyä organisaatiossa eri työntekijöille eri tavalla. Ihan jokainen työntekijä ei välttämättä mieti syvällisesti riskiarviointeja, tietosuojaselosteiden tekstejä, henkilötietojen säilyttämisaikoja taikka tiedonsiirtoja EU/ETA-maiden ulkopuolelle sekä niihin liittyviä sopimuksia. Se, millä tavalla tietosuoja työntekijälle näyttäytyy, riippuu työtehtävästä. Silti tietosuojan perusasiat ja periaatteet tulisi jokaisen organisaation työntekijän tuntea. 

Aina, kun suunnitellaan uudenlaista toimintaa, tulee tunnistaa se, tullaanko siinä käsittelemään henkilötietoja. Uudenlainen toiminta voi olla esimerkiksi uuden järjestelmän tai sovelluksen käyttöönotto, uuden palvelun hankinta, sopimuksen laadinta, uusi tutkimushanke, kyselyn tai haastattelun tekeminen tai tapahtuman järjestäminen. Jos henkilötietoja käsitellään, tulee koko henkilötietojen käsittelyn elinkaari aina henkilötietojen keräämisestä niiden poistamiseen käydä ennalta läpi ja huolehtia siitä, että kaikki tietosuoja-asetuksen vaatimukset täyttyvät jokaisessa käsittelyn vaiheessa. Keskeistä on kysyä miksi, miten ja kuka henkilötietoja käsittelee? Ovatko juuri nämä henkilötiedot välttämättömiä? Tietosuoja-asetuksen edellyttämät vaatimukset liittyvät käytännön prosesseihin, kuten esimerkiksi rekisteröityjen oikeuksiensa toteuttamiseen, erilaiseen dokumentaatioon sekä tietojen säilyttämiseen ja suojaamiseen.  

Työntekijän, joka käsittelee jo olemassa olevassa ja vakiintuneessa toiminnassa henkilötietoja, tulee tunnistaa, millaisia käsittelytoimia työtehtäviin kuuluu ja arvioida jatkuvasti sitä, millaisia riskejä henkilötietojen käsittelyyn mahdollisesti kohdistuu. Lisäksi tulisi säännöllisesti arvioida henkilötietojen käsittelyn tarvetta, henkilötietojen täsmällisyyttä, rekisteröityjen oikeuksien toteutumista sekä tuntea henkilötietojen käsittelyyn liittyvät ohjeet. Lisäksi on hyvä muistaa se, että aiemmin kerättyjä henkilötietoja ei voida käyttää myöhemmin toista käyttötarkoitusta varten, jollei se ole yhteensopivaa alkuperäistä käyttötarkoitusta varten. Jos esimerkiksi käsitellään jonkin tapahtuman yhteydessä kerättyjä henkilötietoja, niitä ei voida käsitellä myöhemmin markkinointitarkoitukseen, jollei tällaiseen käsittelyyn ole tietoja kerätessä saatu rekisteröidyn suostumusta.  

Jokaisella työntekijällä on käyttöoikeuksia eri järjestelmiin, mutta niissä voidaan käsitellä henkilötietoja vain, jos käsittely liittyy omiin työtehtäviin. Työntekijät vastaavat itse omasta toiminnastaan, vaikka heillä olisi laaja pääsy eri järjestelmiin. Erityisesti uusien järjestelmien käyttöönottoon tarvitaan työnantajan lupa, sillä niiden turvallisuus tulee varmistaa, erityisesti jos järjestelmissä käsitellään henkilötietoja. Hyvä esimerkki on uusien tekoälysovellusten tai pilvipalveluiden käyttöönotto. Uusien palveluiden käyttö saattaa edellyttää esimerkiksi riskienarvioinnin, kuten tietosuojan vaikutustenarvioinnin, tekemisen. 

Arjen työssä järjestelmistä uloskirjautuminen, tunnusten lukitseminen ja paperimuodossa olevien asiakirjojen turvallinen säilyttäminen ovat turvallisen henkilötietojen käsittelyn perusasioita. Turvallisella ja huolellisella toiminnalla huolehditaan siitä, että henkilötiedot ovat suojassa luvattomalta käytöltä tai tuhoutumiselta. 

Korkeakoulujen ja muiden organisaatioiden tulee rekisterinpitäjänä noudattaa tietosuoja-asetusta, ja ne ovat vastuussa henkilötietojen käsittelyn lainmukaisuudesta. Rekisterinpitäjien on milloin tahansa voitava osoittaa, että henkilötietoja käsitellään tietosuoja-asetuksen mukaisesti. Tietosuoja-asetuksen noudattamatta jättäminen voi johtaa seuraamusmaksuun. Maksut ovat suuruudeltaan sellaisia, joilla on taloudellinen vaikutus rekisterinpitäjälle. Maksujen tarkoitus on motivoida rekisterinpitäjää välttämään tietosuoja-asetuksen rikkomista. 

Tietosuojatyö on jatkuvaa, päivittäistä arjen työtä, eikä sitä saada kerralla kuntoon. Toiminnan muuttuessa digitalisaatio, tekoälyn kehittyminen ja tietoturvakysymykset asettavat jatkuvasti uusia haasteita myös tietosuojalle. Jos siis esimerkiksi tekoälyä käytetään käsittelemään henkilötietoja, kyse on myös tietosuoja-asetuksen soveltamisesta. On myös hyvä muistaa, että tietosuoja ei ole vain lainsäädännöllinen velvoite, vaan hyvin hoidettu tietosuoja vahvistaa luottamusta toimintaamme. Tietosuoja on meidän kaikkien perusoikeus. Meillä jokaisella on oikeus tietää missä ja miten henkilötietojamme käsitellään sekä oikeus yksityisyyteen.  

Kirjoituksen tausta-aineistona on käytetty seuraavia lähteitä

Euroopan yleinen tietosuoja-asetus (GDPR). https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679 

Korpisaari, P., Pitkänen, O., Warma-Lehtinen, E. 2022. Tietosuoja. Helsinki: Alma Talent. 

European Data Protection, Law and Practice. 2023. Third Edition. Eduardo Ustaran.  

Valtiovarainministeriö. 2025. EU:n digisäädöksillä luodaan pelisääntöjä digitaalisen ajan toimintaympäristöön. EU:n digisäädöksillä luodaan pelisääntöjä digitaalisen ajan toimintaympäristöön – Valtiovarainministeriö 

Valtioneuvosto. 2025. EU:n tekoälyasetus : tekoälykäytäntöjen kiellot astuvat voimaan 2.2.2025. EU:n tekoälyasetus: tekoälykäytäntöjen kiellot astuvat voimaan 2.2.2025 – Valtioneuvosto