Apulaistietosuojavaltuutettu antoi huomautuksen Pääkaupunkiseudun Helmet-kirjastoille (Helsingin, Espoon, Vantaan ja Kauniaisten kaupungit, ”Helmet-kirjastot”) näiden Helmet.fi -verkkosivuston henkilötietojen käsittelyn tietosuojalainsäädännön vastaisuuksista. Helmet-kirjastojen henkilötietojen käsittelyä pidettiin usealla tavalla tietosuojalainsäädännön vastaisena.
Yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittely edellyttää GDPR:n 6 artiklan 1 kohdassa mainittua käsittelyperustetta, kuten esimerkiksi rekisteröidyn suostumusta taikka lakisääteistä velvoitetta. Koska kaikkea oikeutettuna ja perusteltuna pidettävää henkilötietojen käsittelyä ei ole voitu etukäteen säännellä, 6 artiklan käsittelyperusteisiin on sisällytetty henkilötietojen käsittely oikeutetun edun perusteella.
EU:n yleisen tietosuoja-asetuksen (ns. GDPR) voimaantulon jälkeen henkilötietojen siirrosta EU:n ulkopuolelle on tullut varsin monimutkainen aihe. Niin monimutkainen, että yritykset välttelevät käyttämästä EU:n ulkopuolelle sijoittuneita palveluntarjoajia. Tämä on toki hyvä lähtökohta, mutta ei läheskään aina edes vaihtoehto.
Traficom julkaisi syyskuussa palveluntuottajille evästeoppaan, missä se opastaa palveluntuottajia evästeiden keräämisessä ja käytössä Evästeohjeistus_palveluntarjoajille.pdf (traficom.fi).Opas sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.
Juristit törmäävät usein kysymykseen siitä, onko jokin asia laillista tai laitonta. Koska tieto lisää tuskaa, on vastaus tähän harvoin mustavalkoinen. Kun tätä asiaa tutkitaan vallitsevan evästeiden ja tietosuojaan liittyvien suostumusten käytännön kannalta, taidetaan mennä sille kuuluisalle harmaalle alueelle.
EU:n yleinen tietosuoja-asetus, tuttavallisemmin GDPR, aiheutti voimaan tullessaan paljon kohinaa yritysten keskuudessa. Asetuksen asettamat sanktiot ja vaatimukset herättivät kasapäin kysymyksiä ja ennakkoluuloja sekä runsaasti lisätyötä organisaatioiden tietosuojasta vastaaville tahoille. Kuluneiden päivien aikana koko suomalaista yhteiskuntaa järkyttänyt Psykoterapiakeskus Vastaamon asiakastietojärjestelmän tietomurto on nostanut ennennäkemättömällä ja surullisella tavalla esiin tietoturva- ja tietosuojavelvoitteiden merkityksen. Ottamatta enempää kantaa kyseiseen tapaukseen uskon viime päivien uutisoinnin herättäneen useat yritykset pohtimaan velvollisuuksiaan rekisterinpitäjänä entistä tarkemmin. Jokaisen rekisterinpitäjän, oli kyse sitten yhdistyksen jäsenrekisteristä tai pk-yrityksen asiakasrekisteristä, on tärkeä tunnistaa vastuunsa ja tietosuojan merkitys jokaisen yksilön perusoikeutena.
Teknologian kehittyessä yritykset innovoivat yhä monipuolisempia tapoja hyödyntää erilaisia sensoreja, mittareita ja älylaitteita osana arkirutiinejamme. Miltä kuulostaa älypatja, joka muotoutuu yksilöllisesti kehoosi sydämensykkeesi, hengityksesi ja kehon liikkeidesi mukaan, ja joka on yhteydessä kodin termostaattiin optimaalisen nukkumislämpötilan säätämiseksi? Kukapa ei haluaisi nukkua paremmin, mutta kolikon kääntöpuolena on sopimusehdot, joiden mukaan yhtiö voi käyttää tuotteen keräämiä henkilötietoja, mukaan lukien makuuhuoneen audiosignaaleja, vielä senkin jälkeen, kun henkilö on poistanut patjan liitännäisenä toimivan mobiilisovelluksen käyttäjäprofiilin.
Suoritin CIPP/E -sertifikaattikokeen onnistuneesti tammikuussa, josta syystä käyntikorttiini ilmaantui uusi titteli ”CIPP/E”. Mitä tällä tittelillä tai lyhenteellä sitten tarkoitetaan?
Taas on se aika vuodesta jolloin voit tehdä kaverisi kateellisiksi, haluat sitä tai et. Samalla voit myös itse ihmetellä, että millä ihmeellä tuo naapuri taas viime vuonna tienasi uuden omakotitalon verran. Joku voi myös ihmetellä, miksei minun omia tietojani löydy mistään.
Genomi, genetiikka, biopankki, DNA, genomitieto, geenimuuntelu, GMO ja pienet vihreät miehet. Sana ”genomi” voi aiheuttaa mitä erilaisimpia mielikuvia, mutta mistä oikeastaan puhumme, kun puhumme genomeista ja miksi puhumme niistä?
Niin se vain on, että vasta merkittävä sakon uhka sai Euroopan tai ainakin Suomen yrityselämän kiinnostumaan tietosuojasta. Ja meno onkin ollut melkoista, jo yksistään allekirjoittanut on muun oman työnsä ohella pitänyt kuluneen vuoden aikana liioittelematta kymmeniä ja taas kymmeniä tietosuojaluentoja ja sparraussessioita, puhumattakaan erilaisten tietojenkäsittelysopimusten ja muiden enemmän tai vähemmän EU:n yleisen tietosuoja-asetuksen 28. artiklaan perustuvien juridisten asiakirjojen kommentointimäärästä. Kippis sille. Tietosuoja on kaikkien huulilla sekä kynien kärjissä, ja hyvä niin, kysehän on meidän kaikkien oikeuksista yksilöinä.
Yhdysvaltalainen kuljetusyhtiö Uber tiedotti viime viikolla, että hakkerit ovat onnistuneet varastamaan henkilökohtaisia tietoja 57 miljoonalta yhtiön asiakkaalta sekä kuljettajalta eri puolilla maailmaa vuoden 2016 loppupuolella. Uber maksoi mediatietojen mukaan hakkereille 100.000 dollaria varastettujen tietojen tuhoamisesta sekä asiasta vaikenemisesta. Tiedoissa oli muun muassa sähköpostiosoitteita, nimiä sekä puhelinnumeroita. Yhtiön mukaan varastetuissa tiedoissa ei ollut kuitenkaan matkojen sijaintietoja, luottokorttinumeroita, pankkitilinumeroita, henkilötunnuksia tai syntymäaikoja.
Lontoon yleisurheilun MM-kisojen alla Urheilulehti kirjoitti Mo Farahin valmennusryhmään liittyvistä dopingepäilyistä sekä siitä, että Yhdysvaltain dopingviranomainen U.S Anti-Doping Agency on vaatinut nähtäväkseen kaikki Farahin valmentajan sähköpostit, joissa esiintyy sanat testo tai testosteroni. Valmennusryhmä, joka on nimetty rahoittajansa mukaan Nike Oregon Projectiksi, on Urheilulehden tietojen mukaan kieltäytynyt antamasta sähköposteja, koska ne sijaitsevat rahoittajan palvelimella ja ovat siten rahoittajan omaisuutta. Asianajajaa lienee siis konsultoitu ja tietosuojan ulottuvuuksia on mietitty. Itse kysymys dopinginkäytöstä ja siihen liittyvistä epäilyistä on toistaiseksi kesken ja vailla näyttöä, mutta juridisesti kiinnostava kysymys on myös se, kuka oikeastaan omistaa sähköpostit?
Tietosuoja on jotakin kummallista. Kaikki ymmärrämme mitä on tieto, ja useimmilla on mielessä joku konsepti siitä mitä on suoja. Yhdessä sanat kuitenkin muuttuvat abstraktiksi, merkityksettömäksi ja monitulkintaiseksi mössöksi. Jopa kokeneilla ja fiksuilla juristeilla (mitä, eivätkö ne kaikki olekaan fiksuja?) tuntuu säännönmukaisesti menevän sekaisin esim. mitä eroa on tietosuojalla ja tietoturvalla. Mitä siis ihan oikeasti tarkoittaa tietosuoja?
Yrityskaupassa ostaja ei halua hankkia sikaa säkissä eikä myyjänkään edun mukaista yleensä ole myydä koiraa haudattuna. Huolellisesti valmistellussa yrityskaupassa nämä siat ja koirat yleensä havaitaan ennen kauppaa tehtävässä due diligence -tarkastuksessa. Nykypäivänä on kuitenkin syytä miettiä uudelleen, että mitä oikeastaan tulisi tarkistaa yrityskaupan yhteydessä.
Euroopan komissio hyväksyi 12. heinäkuuta 2016 EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, jonka tarkoituksena on turvata EU:ssa asuvan henkilön perusoikeudet, kun tämän henkilötietoja siirretään Yhdysvaltoihin. Lisäksi tavoitteena on tuoda oikeudellista selkeyttä yrityksille, jotka turvautuvat yli Atlantin kulkevaan tietojensiirtoon.
Euroopan unioni on kulkenut pitkän matkan yhtenäistäessään lukuisia lainsäädännön alueita jäsenvaltioidensa välillä. EU-lainsäädännön syntymekanismit ovat moninaiset, kuten EU:n omilta sivuilta voidaan todeta. Lievästä sekavuudesta huolimatta voidaan pähkinänkuoressa todeta, että jäsenvaltion kannalta tärkeimmät lainsäädäntötyön lopputulokset ovat joka tapauksessa direktiivit ja asetukset. Direktiivit edellyttävät tyypillisesti vielä jäsenvaltion omia toimia, pääasiassa oman lainsäädäntönsä muokkaamista siten, että se täyttää vähintään direktiivin asettamat edellytykset. Asetus, toisin kuin asetukset kotimaisessa systematiikassamme, sen sijaan on käytännössä sitovuudeltaan voimakkain mahdollinen tapa säätää oikeutta EU-alueella. Se on suoraan voimassaolevaa oikeutta ilman jäsenvaltion omia toimia.
