Apulaistietosuojavaltuutettu antoi huomautuksen Pääkaupunkiseudun Helmet-kirjastoille (Helsingin, Espoon, Vantaan ja Kauniaisten kaupungit, ”Helmet-kirjastot”) näiden Helmet.fi -verkkosivuston henkilötietojen käsittelyn tietosuojalainsäädännön vastaisuuksista. Helmet-kirjastojen henkilötietojen käsittelyä pidettiin usealla tavalla tietosuojalainsäädännön vastaisena.
Yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittely edellyttää GDPR:n 6 artiklan 1 kohdassa mainittua käsittelyperustetta, kuten esimerkiksi rekisteröidyn suostumusta taikka lakisääteistä velvoitetta. Koska kaikkea oikeutettuna ja perusteltuna pidettävää henkilötietojen käsittelyä ei ole voitu etukäteen säännellä, 6 artiklan käsittelyperusteisiin on sisällytetty henkilötietojen käsittely oikeutetun edun perusteella.
EU:n yleisen tietosuoja-asetuksen (ns. GDPR) voimaantulon jälkeen henkilötietojen siirrosta EU:n ulkopuolelle on tullut varsin monimutkainen aihe. Niin monimutkainen, että yritykset välttelevät käyttämästä EU:n ulkopuolelle sijoittuneita palveluntarjoajia. Tämä on toki hyvä lähtökohta, mutta ei läheskään aina edes vaihtoehto.
EU:n yleinen tietosuoja-asetus, tuttavallisemmin GDPR, aiheutti voimaan tullessaan paljon kohinaa yritysten keskuudessa. Asetuksen asettamat sanktiot ja vaatimukset herättivät kasapäin kysymyksiä ja ennakkoluuloja sekä runsaasti lisätyötä organisaatioiden tietosuojasta vastaaville tahoille. Kuluneiden päivien aikana koko suomalaista yhteiskuntaa järkyttänyt Psykoterapiakeskus Vastaamon asiakastietojärjestelmän tietomurto on nostanut ennennäkemättömällä ja surullisella tavalla esiin tietoturva- ja tietosuojavelvoitteiden merkityksen. Ottamatta enempää kantaa kyseiseen tapaukseen uskon viime päivien uutisoinnin herättäneen useat yritykset pohtimaan velvollisuuksiaan rekisterinpitäjänä entistä tarkemmin. Jokaisen rekisterinpitäjän, oli kyse sitten yhdistyksen jäsenrekisteristä tai pk-yrityksen asiakasrekisteristä, on tärkeä tunnistaa vastuunsa ja tietosuojan merkitys jokaisen yksilön perusoikeutena.
Tietosuoja on jotakin kummallista. Kaikki ymmärrämme mitä on tieto, ja useimmilla on mielessä joku konsepti siitä mitä on suoja. Yhdessä sanat kuitenkin muuttuvat abstraktiksi, merkityksettömäksi ja monitulkintaiseksi mössöksi. Jopa kokeneilla ja fiksuilla juristeilla (mitä, eivätkö ne kaikki olekaan fiksuja?) tuntuu säännönmukaisesti menevän sekaisin esim. mitä eroa on tietosuojalla ja tietoturvalla. Mitä siis ihan oikeasti tarkoittaa tietosuoja?
Tietosuoja on kaikessa abstraktiudessaan vaikea mutta erittäin ajankohtainen aihe. EU:n uusi tietosuoja-asetus ja sen sanamuoto on hyväksytty sekä Euroopan parlamentin että Neuvoston puolesta ja se astuu lopullisesti voimaan siirtymäajan jälkeen 25.5.2018. Uudistus tuo mukanaan monenlaisia täsmennyksiä myös Suomessa voimassaolevaan ja uuden asetuksen kanssa jossakin määrin samankaltaiseen henkilötietolakiin. Suurin periaatteellinen muutos asettaa kuitenkin myös suomalaisille uusia käytännön vaatimuksia: yritysten on vastedes sakon uhalla kyettävä vaadittaessa todistamaan toimivansa oikein, vaikka tietosuojaloukkausta ei olisi vielä edes tapahtunut. Asetus määrittelee siis uuden ennakollisen osoitusvelvollisuuden henkilörekisterin pitäjälle.
Euroopan komissio hyväksyi 12. heinäkuuta 2016 EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, jonka tarkoituksena on turvata EU:ssa asuvan henkilön perusoikeudet, kun tämän henkilötietoja siirretään Yhdysvaltoihin. Lisäksi tavoitteena on tuoda oikeudellista selkeyttä yrityksille, jotka turvautuvat yli Atlantin kulkevaan tietojensiirtoon.
