This site uses cookies.
Some of these cookies are essential to the operation of the site,
while others help to improve your experience by providing insights into how the site is being used.
For more information, please see the ProZ.com privacy policy.
This person has a SecurePRO™ card. Because this person is not a ProZ.com Plus subscriber, to view his or her SecurePRO™ card you must be a ProZ.com Business member or Plus subscriber.
Affiliations
This person is not affiliated with any business or Blue Board record at ProZ.com.
Services
Translation, Editing/proofreading, Subtitling
Expertise
Detailed fields not specified.
Rates
Finnish to Swedish - Standard rate: 0.20 USD per word
Portfolio
Sample translations submitted: 1
Finnish to Swedish: Tietosuojan perusteet General field: Law/Patents
Source text - Finnish I – Tietosuojan perusteet
1. Johdanto
1.1 Tervetuloa
Tervetuloa, !
Tietosuoja on yhä tärkeämpi osa nykyaikaista, verkottunutta yhteiskuntaamme. Tietosuojalla on huomattava merkitys niin yksityiselämässä kuin liiketoiminnassakin.
Tämä koulutus opastaa sinut tietosuojan perusteisiin ja käytäntöihin. Koulutuksen sisältö nojaa EU:n tietosuoja-asetukseen, mutta myös tietosuojaviranomaisten antamiin ohjeisiin ja ratkaisuihin. Teoria-osiossa tutustutaan tietosuojan perussääntöihin ja Käytäntö-osiossa tietosuoja-asioissa esiin nouseviin tyypillisiin ongelmiin sekä tietosuojan toteuttamisen parhaisiin käytäntöihin. Aihepiiriä on havainnollistettu esittämällä runsaasti käytännönläheisiä esimerkkejä.
Tavoitteena on, että koulutuksen suoritettuasi olet saavuttanut yleiskäsityksen tietosuojasta ja osaat huomioida tietosuojaan liittyviä asioita päivittäisessä työssäsi. Varaa verkkokoulutuksen suorittamiseen noin 60 minuuttia aikaa.
1.2 Ohjeet
Käytä jokaisen sivun oikeassa reunassa näkyvää Seuraava-painiketta navigoidaksesi kurssin läpi.
Voit käydä kurssin läpi myös useassa osassa. Mikäli teet näin, pääset viimeksi vierailemallesi sivulle Tervetuloa-sivulla olevaa "Jatka siitä mihin viimeksi jäit"-linkkiä käyttämällä. Toiminto on käytettävissäsi, kun kirjaudut uudestaan kurssille.
Kurssin edetessä sinun tulee vastata välitesteissä esitettyihin kysymyksiin. Välitestien avulla voit itse seurata osaamisesi karttumista, mutta muut eivät sinua pääse välitestivastausten perusteella seuraamaan: vastaukset eivät tallennu minnekään, vaan niihin vastaaminen on osa oppimisprosessia.
Varsinainen lopputesti kannattaa tehdä vasta kun olet käynyt koko kurssin huolellisesti läpi ja kun sinusta tuntuu, että kurssissa opetellut asiat ovat sinulla hallussa. Lopputestin suorittaminen hyväksytysti on pakollinen osa tätä kurssia.
1.3 Sanasto
Arkaluonteiset tiedot
Termi, jolla kuvataan sellaisten henkilötietojen ryhmiä, jotka ovat erityisen intiimejä ja siten henkilön yksityisyyden ytimessä. Arkaluonteisia tietoja ovat sellaiset henkilötiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan:
• rotua tai etnistä alkuperää (esimerkiksi ihonväri, syntyperä)
• poliittinen vakaumus (esimerkiksi puoluejäsenyys)
• uskonnollinen tai filosofinen vakaumus (esimerkiksi tiettyyn uskontoon kuuluminen)
• ammattiliittoon kuulumista
• henkilön terveydentilaa
• henkilön seksielämää tai seksuaalista suuntautumista
• henkilön geneettisiä tai biometrisiä tietoja, kun em. tietoja käsitellään henkilön tunnistamiseksi (esimerkiksi tietoja henkilön fysiologiasta, sormenjäljistä, kasvonpiirteistä tai äänestä)
Big Data (massadata)
Erittäin suurten, järjestelemättömien ja jatkuvasti lisääntyvien tietomassojen, myös henkilötietojen, käsittelyä ja jalostamista tilastollisin ja matemaattisin menetelmin uudenlaiseksi tiedoksi.
Data Protection Impact Assessment (DPIA)
Tietosuoja-asetuksessa käytetty termi PIA:lle. Ks. Privacy Impact Assessment (PIA).
Henkilötieto
Henkilötiedot ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tietosuoja-asetuksen mukaan henkilö on tunnistettavissa, kun hänet voidaan suoraan tai epäsuorasti tunnistaa kyseisten tietojen perusteella, erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnustietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, tauloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Henkilötietojen käsittelijä
Palveluntarjoaja, jolle rekisterinpitäjä on toimeksiantosopimuksen perusteella ulkoistanut henkilötietojen käsittelytehtäviä ja joka siten käsittelee henkilötietoja rekisterinpitäjän lukuun. Ks. Rekisterinpitäjä.
Henkilötietojen käsittely
Mitkä tahansa henkilötietoihin kohdistuvat toimenpiteet.
Henkilörekisteri tai rekisteri
Henkilötietoja sisältävä, jäsennelty tietojoukko, josta tiedot ovat saatavilla tietyin perustein.
Privacy Impact Assessment (PIA)
PIA eli tietosuoja-arviointi (tai tietosuojaa koskeva vaikutusten arviointi) tarkoittaa prosessia, jossa arvioidaan suunniteltujen tietojen käsittelytoimien vaikutuksia sekä tunnistetaan käsittelytoimien aiheuttamia riskejä rekisteröityjen henkilötietojen suojalle ja yksityisyyden suojalle.
Rekisterinpitäjä
Luonnollinen henkilö tai oikeushenkilö taikka viranomainen, joka yksin tai yhdessä toisen kanssa määrittelee, miten henkilötietoja käytetään.
Seloste käsittelytoimista
Tietosuoja-asetuksessa rekisterinpitäjältä edellytetty dokumentti, josta selviävät muun muassa rekisterinpitäjän yhteystiedot, käsiteltävät henkilötiedot ja käsittelyn tarkoitus sekä henkilötietojen luovuttamisen ja suojaamisen periaatteet.
Rekisteröity
Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon henkilötiedot liittyvät.
Sijaintitieto
Viestintäverkosta tai päätelaitteesta saatava tieto, joka ilmaisee liittymän tai päätelaitteen maantieteellisen sijainnin.
Suostumus
Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn toteuttamalla selkeästi suostumusta ilmaisevan toimen.
2. Tietosuojasta arkipäivää
2.1 Tietosuojan lähtökohdat
2.1.1 Johdatus tietosuojaan
Tässä aihealueessa käsitellään tietosuojan keskeisiä lähtökohtia. Kun hallitset nämä keskeiset kokonaisuudet, sinun on helpompi omaksua muu kurssilla opiskeltava tieto.
Aihealueen sisältö:
• 2.1.1 Johdanto
• 2.1.2 Mitä tietosuojalla tarkoitetaan?
• 2.1.3 Miksi tietosuoja on otettava huomioon?
• 2.1.4 Yksityisyys, tietoturva ja tietosuoja
• 2.1.5 Mitkä tiedot ovat henkilötietoja?
• 2.1.6 Yhteenveto ja välikysely
2.1.2 Mitä tietosuojalla tarkoitetaan?
Lainsäädännön näkökulmasta tietosuojalla tarkoitetaan henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista. Tietosuojasäännökset määrittävät sen, minkälaista suojaa yksilö saa henkilötietojensa keräämistä, käsittelyä ja niiden muuta käyttämistä vastaan sekä sen, missä määrin muilla on oikeus kerätä, käsitellä ja käyttää yksilön henkilötietoja. Toisin sanoen, tietosuoja tarkoittaa henkilötietojen käsittelyn turvaamista ja suojaamista asiattomalta käytöltä. Tietosuojaan kuuluu myös järjestelmien, palveluiden ja tietoliikenteen asianmukainen suojaaminen. Kyseessä on laaja kokonaisuus, jonka lainmukainen käytännön toteutus pohjautuu rekisterinpitäjänä tai tietojen käsittelijänä toimivan organisaation henkilöstön osaamiseen ja toimintaan.
Oikeus tietosuojaan on kehittynyt oikeudesta nauttia yksityiselämään kohdistuvaa kunnioitusta. Yksityiselämän käsite liittyy luonnollisiin henkilöihin eli ihmisiin. Näin ollen myös oikeus tietosuojaan on ensisijaisesti luonnollisilla, elossa olevilla henkilöillä.
Henkilötietojen suoja ja tietosuoja
Henkilötietojen suoja ja tietosuoja nähdään yleensä synonyymeina, mutta toisaalta tietosuojan voidaan katsoa tarkoittavan enemmänkin koko tietosuojalainsäädännön kenttää kaikkine erityislakeineen, kun taas henkilötietojen suoja sisältää lähinnä henkilötietojen suojaa koskevan perusoikeussäännöksen ja EU:n henkilötietojen käsittelyä koskevan säädösmateriaalin.
SANASTO
Rekisterinpitäjä
Luonnollinen henkilö tai oikeushenkilö taikka viranomainen, joka yksin tai yhdessä toisen kanssa määrittelee, miten henkilötietoja käytetään.
Henkilötietojen käsittelijä
Palveluntarjoaja, jolle rekisterinpitäjä on toimeksiantosopimuksen perusteella ulkoistanut henkilötietojen käsittelytehtäviä ja joka siten käsittelee henkilötietoja rekisterinpitäjän lukuun.
2.1.3 Miksi tietosuoja on otettava huomioon?
Organisaatiot käsittelevät yhä suurempia määriä henkilötietoja: Kunta käsittelee henkilötietojasi esimerkiksi verotuksen toimittamista tai kunnan vastuulle laissa määrättyjen tehtävien toteuttamista varten ja tietoverkossa toimivan palvelun tarjoaja kerää esimerkiksi fyysiseen aktiivisuuteesi tai päivittäisiin liikkeisiisi liittyviä tietoja tarjotakseen sinulle erilaisia sähköisiä palveluita.
Internet ja mobiiliteknologia mahdollistavat tietojen keräämisen ja ihmisten seuraamisen aivan uudella tavalla. Suuri osa tietoverkoissa tarjotuista palveluista perustuu täysin käyttäjältä saadun tiedon hyödyntämiseen. Palveluiden käyttäjät puolestaan ovat yhä enemmän tietoisia omien henkilötietojensa arvosta ja niiden käsittelyyn liittyvistä riskeistä. Palvelujen onnistuminen ja menestyminen riippuu siten osittain siitä, että palvelun tarjoaja saa käyttäjät luottamaan siihen, että heidän henkilötietojansa käsitellään asiallisesti ja ettei heidän yksityisyytensä ole vaarassa. Luottamuksen saavuttaminen edellyttää sitä, että palveluiden käyttäjien yksityisyyden suojaamisesta on huolehdittu laadukkaasti.
Granite
Tietosuojasta on muodostunut olennainen osa organisaatioiden toimintaa, ja siihen on suhtauduttava vakavasti myös tietosuojalainsäädännöllisen paineen kasvaessa jatkuvasti. Tietosuoja tulisi kuitenkin nähdä myös kilpailuetuna ja positiivisena vaikuttimena kaikilla organisaation toiminnan osa-alueilla.
Oletko miettinyt, miksi juuri sinä käyt nyt tätä tietosuojakoulutusta? Voitko sinä vaikuttaa omalla toiminnallasi organisaatiosi tietosuojaan?
2.1.4 Yksityisyys, tietoturva ja tietosuoja
Tietosuoja tulee pitää erillään tietoturvasta sekä yksityisyyden suojasta, vaikka ne kaikki ovatkin osittain päällekkäisiä.
Tietosuoja tarkoittaa henkilötietojen käsittelyn turvaamista ja suojaamista asiattomalta käytöltä. Tietosuoja on yksilön perusoikeus, jonka turvaaminen on jokaisen henkilötietoja käsittelevän tahon velvollisuus. Turvatakseen omalta osaltaan yksilön tietosuojaperusoikeuden, henkilötietojen käsittelijän tulee muun muassa suojata käsittelemänsä henkilötiedot asianmukaisesti, toteuttaa rekisteröidyn tietosuojaoikeudet sekä kouluttaa henkilöstönsä ymmärtämään tietosuojalainsäädännössä esitetyt vaatimukset.
Tietosuoja ja yksityisyyden suoja ovat osittain päällekkäisiä. Tietosuoja kuitenkin tähtää nimenomaisesti suojaamaan myös sellaisia arvoja, jotka eivät yksityisyyden suojan kannalta ole ydinasioita. Siinä, missä yksityisyyden suojan piiriin kuuluu ihmisen yksityiselämään vaikuttavien toimien arviointi, tietosuojassa ei samanlaista vaikuttavuusvaatimusta ole: lähtökohtaisesti riittävää on, että tieto liittyy tunnistettavissa olevaan luonnolliseen henkilöön. Tästä syystä tietosuoja ulottaa vaikutuksensa laajemmalle kuin yksityisyyden suoja: tietosuoja on otettava huomioon myös silloin, kun käsiteltävinä eivät ole ihmisen yksityisyyden suojan piiriin kuuluvat tiedot.
Lisäksi tietosuoja on pidettävä erillään tietoturvasta (tai tietoturvallisuudesta): Tietosuojalla suojataan palvelun käyttäjää, kun taas tietoturvalla suojataan palveluun tallennettua tietoa itsessään.
Yksityisyyden suoja (eli yksityiselämän suoja) on perusoikeus, joka pohjautuu moniin kansainvälisiin sopimuksiin.
Yksityiselämän suojan avainkohdat ovat:
• Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
• Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.
Tietoturva (tai tietoturvallisuus) tarkoittaa hallinnollisin ja teknisin toimin varmistettua tietojen luottamuksellisuuden, eheyden ja käytettävyyden säilymistä. Tietoturvalla siis suojataan palveluun tallennettua tietoa itsessään. Myös henkilötietoja tulee käsitellä tietoturvallisesti.
• Luottamuksellisuus tarkoittaa, että tiedot pidetään salassa niin, että ne ovat vain niihin oikeutettujen saatavilla eivätkä ulkopuoliset pääse tietoihin käsiksi.
• Eheys turvaa tiedon virheettömyyttä ja luotettavuutta. Se tarkoittaa, etteivät tiedot vikojen, ulkoisten tapahtumien tai ihmisten toiminnan takia pääse muuttumaan tai tuhoutumaan, vaan säilyvät sellaisina kuin niiden on tarkoitettu säilyvän.
• Saatavuus tietoturvan yhteydessä puolestaan tarkoittaa sitä, että tiedot ovat tarvittaessa kaikkien niihin oikeutettujen hyödynnettävissä.
2.1.5 Mitkä tiedot ovat henkilötietoja?
Kaikenlaiset tiedot voivat olla henkilötietoja, jos ne liittyvät luonnolliseen henkilöön. Luonnolliseen henkilöön yhdistettävissä oleva tunnistetieto, kuten henkilötunnus, on aina henkilötieto.
Henkilötiedot saattavat myös sisältää tietoja, jotka yhdistettynä muiden tietojen kanssa voivat johtaa henkilön tunnistamiseen.
Henkilötiedolla tarkoitetaan myös sellaista välillistä, esimerkiksi perheeseen, asuinpaikkaan tai työhön liittyvää informaatiota, jonka avulla henkilö voidaan tunnistaa. Henkilön tunnistaminen ei tarkoita välttämättä henkilön nimen selvittämistä, vaan henkilö voi olla tunnistettavissa myös muiden tietojen perusteella. Hyvä nyrkkisääntö onkin, että kynnys henkilötiedon määritelmän täyttymiselle on matala, ja määritelmää on tulkittava laajasti.
Henkilötietoihin kuuluvat yhtä lailla henkilön yksityiselämään kuin työelämäänkin liittyvät tiedot.
- Esimerkki: Lääkemääräystä koskevista tiedoista ilmenee sekä lääkemääräyksen saaneen potilaan että lääkkeet määränneen lääkärin nimi ja mahdollisesti muita näihin henkilöihin liittyviä tietoja. Lääkemääräystä koskevia tietoja voidaan pitää sekä lääkemääräyksen saaneen potilaan että lääkkeet määränneen lääkärin henkilötietoina.
Tietojen talletusmuoto ei vaikuta EU:n tietosuoja-asetuksen sovellettavuuteen. Henkilötietoja voi sisältyä yhtä lailla kirjoitettuun, puhuttuun kuin kuvattuunkin materiaaliin. Sähköisesti tallennettu tieto voi sisältää henkilötietoja yhtä lailla kuin paperilla oleva. Jopa elävästä ihmisestä otetut kudosnäytteet voivat tietyissä tapauksissa olla henkilötietoja, sillä niistä voidaan selvittää henkilön dna.
Henkilötiedosta on kyse myös silloin, jos henkilö voidaan tunnistaa tiedoista esimerkiksi tietoja yhdistelemällä.
- Esimerkki: Paikallisviranomainen kerää tietoa alueen teillä ylinopeutta ajavista autoista. Paikallisviranomainen valokuvaa ylinopeutta ajavat autot ja tallentaa näistä automaattisesti aika- ja paikkatiedot. Koska auton omistaja voidaan tunnistaa valokuviin tallentuvan rekisterinumeron perusteella yleisestä ajoneuvorekisteristä hakemalla, paikallisviranomainen kerää henkilötietoja henkilötietolainsäädännön mukaisesti.
Erityiset henkilötietoryhmät eli arkaluonteiset tiedot
Henkilötiedoista voidaan erottaa erityisiä henkilötietojen ryhmiä, joiden intiimin luonteen vuoksi tällaisten tietojen käsittely edellyttää erityistä sääntelyä. EU:n tietosuoja-asetuksessa ei käytetä käsitettä "arkaluonteiset tiedot". sen sijaan erityisen intiimeihin tietoryhmiin viitataan termillä "erityiset henkilötietoryhmät".
Nämä tiedot ovat henkilön yksityisyyden ytimessä, ja siten ne ovat erityisen henkilökohtaisia. Tällaisten tietojen käsittely on pääsääntöisesti kiellettyä ja voidaan sallia vain, kun niiden käsittelyyn on erityinen, lainsäädännössä määritelty peruste ja käytössä on tarkoin määritellyt suojatoimet.
- Esimerkki: Euroopan unionin tuomioistuimen oikeuskäytännössä mainintaa siitä, että henkilö on loukannut jalkansa ja on osa-aikaisella sairaslomalla, on pidetty terveyteen liittyvänä henkilötietona ja näin ollen arkaluonteisena tietona. Toisaalta esimerkiksi sykemittarin mittaamaa fysiologista tulosta urheilusuorituksen aikana ei itsessään voida pitää arkaluonteisena, mutta yhdistettäessä mittaustulos muihin lääketieteellisiin henkilötietoihin sekä esimerkiksi henkilön syntymäaikaan, voidaan tietojen kokonaisuudesta päätellä tietyn yksilön terveydentilaa koskevia tosiasioita, jolloin tiedosta voi tulla arkaluonteista.
Tietojoukon luokittelu
Henkilötietojen käsittelyssä on huomattava se seikka, että yhdessä tietojoukossa, esimerkiksi yksittäisessä tekstitiedostossa oleva tieto, luokitellaan siinä olevan kaikista arkaluonteisimman tietoelementin mukaisesti. Esimerkiksi tennisvalmentajan kirjoittama raportti yksittäisen, tunnistettavissa olevan pelaajan turnausviikonlopun suorituksista sisältää tietosuojalainsäädännössä tarkoitettuja henkilötietoja, mistä syystä koko asiakirjaa on kohdeltava tietosuojalainsäädännön mukaisesti, vaikka raportti todennäköisesti sisältää enemmän muita tietoja kuin henkilötietoja. Niin ikään potilasasiakirja on kokonaisuudessaan arkaluonteinen, vaikka se saattaakin sisältää myös ei-arkaluonteisia henkilötietoja, kuten henkilön nimen.
SANASTO
Henkilötieto
Henkilötiedot ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tietosuoja-asetuksen mukaan henkilö on tunnistettavissa, kun hänet voidaan suoraan tai epäsuorasti tunnistaa kyseisten tietojen perusteella, erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnustietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
2.2 Rekisterinpitäjän ja tietojenkäsittelijän velvollisuudet
Organisaatiot käsittelevät yhä suurempia määriä henkilötietoja. Lainsäädännön näkökulmasta tietosuojalla tarkoitetaan henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista. Se tarkoittaa erityisesti henkilötietojen käsittelyn turvaamista ja suojaamista asiattomalta käytöltä. Tietosuoja tulee kuitenkin pitää erillään tietoturvasta sekä yksityisyyden suojasta, vaikka ne kaikki ovatkin osittain päällekkäisiä.
Kaikenlaiset tiedot voivat olla henkilötietoja, jos ne liittyvät luonnolliseen henkilöön. Henkilötiedolla tarkoitetaan myös sellaista välillistä informaatiota, jonka avulla henkilö voidaan tunnistaa. Kynnys henkilötiedon määritelmän täyttymiselle onkin matala, ja määritelmää on tulkittava laajasti. Tietosuojan vaatimuksiin on kiinnitettävä erityistä huolellisuutta käsiteltäessä arkaluonteisia tietoja tai erityisiin henkilötietoryhmiin kuuluvia tietoja. Organisaation tietosuojan korkea laatu eli toimivat, lainmukaiset menettelytavat ja huolellisuus tietojen käsittelyssä vaikuttavat positiivisesti organisaation toiminnan kaikkiin osa-alueisiin, myös sen ydinliiketoimintaan.
Voit nyt vastata alla oleviin välikysymyksiin. Vastauksiasi ei tallenneta eli harjoittele ja kokeile rohkeasti.
2.2.1 Johdatus rekisterinpitäjän ja tietojen käsittelijän velvollisuuksiin
Tässä osiossa tutustutaan henkilötietojen rekisterinpitäjän ja tietojenkäsittelijän velvollisuuksiin tietosuojan näkökulmasta.
Aihealueen sisältö:
• 2.2.1 Johdanto
• 2.2.2 Henkilörekisteri
• 2.2.3 Rekisteröidyn oikeudet
• 2.2.4 Rekisterinpitäjän ja tietojen käsittelijä
• 2.2.5 Huolellisuusvelvoite ja hyvä tietojenkäsittelytapa
• 2.2.6 Välitesti
• 2.2.7 Yhteenveto
2.2.2 Henkilörekisteri
Henkilörekisteri tarkoittaa mitä tahansa jäsenneltyä, henkilötietoja sisältävää tietojoukkoa. Määritelmä pitää sisällään ajatuksen loogisesta rekisterikäsitteestä. Looginen rekisteri tarkoittaa, että rekisterinpitäjän tietyssä tehtävässä käsitellyt tiedot muodostavat kokonaisuuden ja yhden henkilörekisterin. Toisin sanoen henkilörekisteriin luetaan kuuluviksi kaikki ne tiedot, joita käsitellään samassa käyttötarkoituksessa riippumatta siitä, miten ja mihin ne on talletettu.
Rekisterinpitäjän looginen rekisteri käsittää rekisterinpitäjäorganisaation itsensä toteuttaman henkilötietojen käsittelyn sekä ulkopuolisen tietojen käsittelijän rekisterinpitäjän lukuun toimeksiantosopimuksella toteuttaman henkilötietojen käsittelyn. Yksi henkilörekisteri voi siis sisältää useamman kuin yhden tahon käsittelemiä henkilötietoja.
Tietojenkäsittelyssä syntyviä lyhytaikaisia tiedostoja ja tallenteiden eri sukupolvia ei pidetä eri henkilörekistereinä silloin, kun ne ovat rekisterinpitäjän hallussa ja niitä käytetään määriteltyihin henkilötietojen käsittelyn tarkoituksiin.
Erilliset henkilörekisterit käyttötarkoituksen mukaan
Koska henkilörekisterin muodostavat samaan käyttötarkoitukseen kerätyt tiedot, esimerkiksi esiopetuksessa käsiteltävät tiedot uusista koululaisista muodostavat perusopetuksen oppilastiedoista erillisen rekisterin. Myös tiedot, joita käsitellään maahanmuuttajille järjestettävässä perusopetukseen valmistavassa opetuksessa sekä perusopetuksen oppivelvollisuuden suorittaneille tarkoitetussa lisäopetuksessa (ns. kymppiluokat), muodostavat erilliset henkilörekisterit. Edelleen koulun kerhotoiminnassa muodostuu koulun muista henkilörekistereistä erillinen rekisteri, samoin aamu- ja iltapäivätoiminnassa kerättävistä tiedoista.
SANASTO
Henkilörekisteri tai rekisteri
Henkilötietoja sisältävä, jäsennelty tietojoukko, josta tiedot ovat saatavilla tietyin perustein.
2.2.3 Rekisteröidyn oikeudet
Rekisteröidylle EU:n tietosuoja-asetuksella turvatut oikeudet vahvistavat ja täsmentävät henkilötietojen käsittelyn läpinäkyvyyttä rekisteröityä kohtaan.
Käytännössä rekisteröidyn oikeudet tarkoittavat monessa tilanteessa rekisterinpitäjän velvollisuuksia: Rekisterinpitäjän on luotava tarvittavat menettelyt ja mekanismit erilaisten rekisteröidyn oikeuksien toteuttamiseksi ja varmistettava, että organisaation henkilötietojen käsittelyyn osallistuvat henkilöt tuntevat tietosuojan vaatimukset ja todellakin toimivat niiden mukaisesti. Käytännössä nämä rekisterinpitäjän vastuut voivat tarkoittaa merkittäviä panostuksia esimerkiksi tietojenkäsittelyn menettelytapoihin, dokumentointiin tai henkilöstön koulutukseen.
Rekisteröidylle säädettyjä nimenomaisia, käsittelyn läpinäkyvyyttä turvaavia oikeuksia ovat muun muassa seuraavat:
Oikeus päästä tietoihin
Rekisterinpitäjän tulee huolehtia siitä, että rekisteröity saa tietää itseään koskevien tietojen käsittelystä. Lisäksi rekisteröidylle on taattava oikeus tarkastaa itseään koskevat henkilötiedot. Kun rekisteröity haluaa tarkastaa omien tietojensa käyttöä, on tälle EU:n tietosuoja-asetuksen mukaan annettava vastaus kuukauden kuluessa tietojen saamista koskevasta pyynnöstä. Rekisterinpitäjän on toimitettava joko pyydetyt rekisteröityä koskevat tiedot tai tieto siitä, että tietoja ei ole tai että tietoja ei käsitellä.
Tarkastusoikeus voidaan tietyissä tilanteissa evätä ja joissakin tilanteissa tarkastusoikeutta ei ole. Esimerkiksi kansallisen ja kansainvälisen turvallisuuden eteen työskentelevä turvallisuusviranomainen ei anna rekisteröityä koskevia tietoja olkoonkin, että yksittäisen, profiloidun henkilön tiedot saattavat turvallisuusviranomaisen rekisteristä löytyä. Niin ikään pelkästään tieteellisiin tutkimustarkoituksiin tai tilastointitarkoituksiin kerättyihin tietoihin kohdistuvaa tarkastusoikeutta yksilöllä ei lähtökohtaisesti ole. Estettä tarkastusoikeuden toteuttamiseen ei viimeksi mainituissa tapauksissa kuitenkaan ole.
Oikeus oikaista tiedot
Lain mukaan rekisterinpitäjän tulee huolehtia siitä, etteivät sen käsittelemät henkilötiedot ole virheellisiä, epätäydellisiä tai vanhentuneita. Tieto on virheetön, kun se on totuudenmukainen ja antaa asianmukaista informaatiota niistä seikoista, joita sillä on haluttu kuvata.
Rekisterinpitäjän on ilman aiheetonta viivytystä oikaistava rekisterissä oleva käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän tulee huolehtia virheellisen tiedon korjaamisesta sekä oma-aloitteisesti että rekisteröidyn vaatimuksesta ja huolehdittava siitä, että henkilötietojen oikaisuista ilmoitetaan jokaiselle sellaiselle vastaanottajalle, jolle kyseessä olevia henkilötietoja on luovutettu.
Oikeudet kieltää tai rajoittaa tietojen käsittelyä
EU:n tietosuoja-asetuksessa ja muussa lainsäädännössä on erilaisia säännöksiä, joiden perusteella rekisteröity henkilö voi erilaisissa tilanteissa kieltää henkilötietojensa käsittelyn. Lainsäädännön perusteella rekisteröity voi esimerkiksi kieltää henkilötietojensa käsittelyn ja luovutuksen tiettyihin tarkoituksiin kuten etäkauppaan ja muuhun suoramarkkinointiin sekä markkina- ja mielipidetutkimuksiin (markkinointikielto).
Osa lainkohdista mahdollistaa henkilölle oikeuden kieltää osoitetietojensa luovuttaminen sekä puhelimitse että kirjallisesti muille kuin tietyille viranomaisille (osoitteen luovutuskielto).
Äärimmillään tietojenluovutuskielto tarkoittaa yhteystietojen kuten nimen, puhelinnumeron, osoitteen ja kotikuntatiedon luovutuskieltoa määräajaksi tilanteissa, joissa henkilöllä on perusteltua syytä epäillä oman tai perheensä terveyden tai turvallisuuden olevan uhattu (turvakielto). Lisäksi EU:n tietosuoja-asetus sisältää esimerkiksi oikeuden tulla unohdetuksi, jonka mukaan rekisteröidyllä on tiettyjen edellytysten vallitessa oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat tiedot rekisteristään ilman aiheetonta viivytystä.
SANASTO
Rekisteröity
Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon henkilötiedot liittyvät.
2.2.4 Rekisterinpitäjä ja tietojen käsittelytapa
Rekisterinpitäjän tehtävä on henkilörekisterin pito. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lain edellytysten mukaisesti.
Kuka on rekisterinpitäjä?
Esimerkiksi yritys on rekisterinpitäjä asiakkaidensa ja henkilöstönsä osalta. Myös kunnalle säädetyissä tehtävissä ja niiden toteuttamisen edellyttämissä asiakassuhteiden hoidossa kerätään henkilötietoja (esimerkiksi perusopetuksen järjestämisessä muodostuu oppilasrekisteri, kunnallisessa terveydenhuollossa puolestaan potilasrekisteri). Näiden tietojen osalta kunta on rekisterinpitäjä.
Rekisterinpitäjien tulee huolehtia siitä, että tietosuoja eri rekistereihin kerättyjen henkilötietojen käsittelyn osalta on asianmukaisesti toteutettu. Viime kädessä rekisterinpitäjäorganisaation johdon vastuulla on huolehtia siitä, että henkilötietojen käsittelyyn liittyvät käytänteet ja vastuut määritellään, henkilöstöä ohjataan ja koulutetaan sekä siitä, että organisaatiossa käytetyt tietojärjestelmät vastaavat laissa asetettuja vaatimuksia.
Yksittäisenä rekisterinpitäjän palveluksessa olevana henkilönä sinä et ole lain tarkoittama rekisterinpitäjä niiden tietojen osalta, joita organisaatiosi kerää. Tietosuojan toteuttamisen vastuu on kuitenkin myös osa sinun tehtäviesi hoitoon liittyvää toiminnallista vastuuta, ja olet velvoitettu noudattamaan tietosuojalainsäädäntöä sekä organisaatiossasi määriteltyjä tietosuojakäytänteitä.
Henkilötietojen käsittelyn ulkoistaminen
Nykyisin on yleistä, että rekisterinpitäjä ulkoistaa henkilötietoja koskevia tietojenkäsittelypalveluita erilaisille palveluntarjoajille. Palveluntarjoajasta tulee lähtökohtaisesti henkilötietojen käsittelijä. Ulkoistettaessa henkilötietojen käsittelyä edellyttäviä tehtäviä, on tietosuojan vastuut otettava huomioon jo ulkoistamisen suunnittelusta lähtien. Palvelujen hankkimisesta laaditaan rekisterinpitäjän ja tietojen käsittelijän välillä toimeksiantosopimus, jossa kuvataan tietojenkäsittelyyn liittyvät tehtävät ja vastuut.
Ulkoistettaessa henkilötietojen käsittelypalveluita rekisterinpitäjä vastaa yhä henkilötietojen käsittelyn lainmukaisuudesta. Tätä vastuuta rekisterinpitäjä ei voi siirtää henkilötietojen käsittelijälle. Henkilötietojen käsittelijä puolestaan vastaa henkilötietojen käsittelystä osapuolten välillä solmittavan toimeksiantosopimuksen sekä EU:n tietosuoja-asetuksessa henkilötietojen käsittelijälle määriteltyjen vastuiden mukaisesti.
- Esimerkki henkilötietojen käsittelyn ulkoistamisesta: Sairaanhoitopiiri ulkoistaa sähköisen potilastietorekisterin ylläpitämisen tietotekniikkapalveluita tarjoavalle yritykselle. Terveydenhuoltolain mukaan sairaanhoitopiirin kuntayhtymän alueen potilasasiakirjat muodostavat yhteisen potilastietorekisterin. Yhteisen rekisterin rekisterinpitäjiä ovat kaikki rekisterin liittyvät toimintayksiköt niiden omien potilasasiakirjojen osalta. Vaikka rekisterissä olevia sähköisiä tietoja käsitteleekin tietotekniikkapalveluita tarjoava yritys, ei tietotekniikkapalveluyrityksestä tule rekisterinpitäjää suhteessa potilaisiin. Rekisterinpitäjän vastuut jäävät kullekin terveydenhuollon palveluita tarjoavalle (ja potilastietoja tuossa tarkoituksessa keräävälle) toimintayksikölle.
Henkilötietojen antaminen toimeksisaajalle tietojenkäsittelyn toteuttamista varten ei ole sellaista henkilötietojen luovuttamista, johon tarvittaisiin asianomaisen rekisteröidyn suostumus tai muu laillinen peruste. Toimeksisaajalla ei toisaalta myöskään ole mitään itsenäisiä oikeuksia toimeksiantosuhteen perusteella saamiinsa henkilötietoihin. Toimeksisaajalla ei esimerkiksi ole itsenäistä oikeutta käyttää toimeksiantosuhteessa saamiaan henkilötietoja omassa toiminnassaan, käsitellä niitä vastoin sopimusta, tai yhdistää niitä muuhun hallussaan olevaan tietoon.
SANASTO
Rekisterinpitäjä
Luonnollinen henkilö tai oikeushenkilö taikka viranomainen, joka yksin tai yhdessä toisen kanssa määrittelee, miten henkilötietoja käytetään.
Henkilötietojen käsittelijä
Palveluntarjoaja, jolle rekisterinpitäjä on toimeksiantosopimuksen perusteella ulkoistanut henkilötietojen käsittelytehtäviä ja joka siten käsittelee henkilötietoja rekisterinpitäjän lukuun. Ks. Rekisterinpitäjä.
2.2.5 Huolellisuusvelvoite ja hyvä tietojenkäsittelytapa
Rekisterinpitäjän sekä muiden henkilötietoja käsittelevien tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa tai muita yksityisyyden suojaa turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.
Henkilötietojen käsittelyä koskevan huolellisuusvelvoitteen voidaan katsoa olevan tietosuojan yleisvelvoite. Huolellisuusvelvoitteen täyttymistä arvioidaan ennen kaikkea muiden tietosuojavaatimusten täyttämisen, mutta myös yksittäisten henkilötietojen käsittelytilanteiden olosuhteiden kautta.
Huolellisuutta on, että henkilötietoja käsittelevä taho tuntee oman toimintansa kannalta riittävät henkilötietojen käsittelyä koskevat vaatimukset ja noudattaa näitä vaatimuksia. Huolimattomaksi voidaan katsoa toiminta, jossa henkilötietoja on käsitelty lainvastaisesti tai jossa niitä ei ole käsitelty olosuhteiden edellyttämällä tavalla.
Niin rekisterinpitäjän kuin henkilötietojen käsittelijän tulee henkilötietojen käsittelyssä oma-aloitteisesti noudattaa hyvää tietojenkäsittelytapaa. EU:n tietosuoja-asetus kertoo, milloin henkilötietoja on lupa käsitellä. Hyvän tietojenkäsittelytavan kannalta tärkeimmät yleiset periaatteet ovat tällöin käsittelyn suunnittelu-, tarpeellisuus-, huolellisuus- ja suojaamisvelvoitteet sekä rekisteröityjen henkilöiden oikeuksien huomioon ottaminen.
2.2.6 Yhteenveto ja välikysely
EU:n tietosuoja-asetus velvoittaa ennen kaikkea rekisterinpitäjää, mutta myös henkilötietojen käsittelijän on sitouduttava noudattamaan määräyksiä, mikäli käsittelee henkilötietoja rekisterinpitäjän puolesta. Niin rekisterinpitäjän kuin henkilötietojen käsittelijän tulee henkilötietojen käsittelyssä oma-aloitteisesti noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa.
Henkilötietojen käsittelyä koskevan viestinnän on oltava läpinäkyvää. Rekisteröidyn oikeuksien kannalta on tärkeintä, että organisaatio kertoo avoimesti kaikesta rekisteröidyn henkilötietojen käsittelystä. Henkilötietojen käsittelyn läpinäkyvyyttä rekisteröityä kohtaan vahvistavat rekisteröidylle lainsäädännöllä turvatut oikeudet, kuten oikeus saada tietoa ja tarkastaa itseään koskevat henkilötiedot, oikeus saada tietonsa korjatuksi sekä oikeus kieltää itseään koskevien henkilötietojen käsittely tietyissä tilanteissa.
Tietosuojaa koskevat lain säännökset määrittävät sen, minkälaista suojaa yksilö saa henkilötietojensa keräämistä, käsittelyä ja niiden muuta käyttämistä vastaan sekä sen, missä määrin muilla on oikeus kerätä, käsitellä ja käyttää yksilön henkilötietoja.
Voit nyt vastata alla oleviin välikysymyksiin. Vastauksiasi ei tallenneta eli harjoittele ja kokeile rohkeasti.
2.3 Käytännön tietosuojaa
2.3.1 Johdatus käytännön tietosuojaan
Tässä osiossa tarkastellaan yleisiä käytännön tilanteita, joissa tietosuojakysymykset tyypillisesti nousevat esille tai joissa yksilön oikeus tietosuojaan on ristiriidassa kolmansien tahojen oikeuksien ja intressien kanssa.
Aihealueen sisältö:
• 2.3.1 Johdanto
• 2.3.2 Tietosuoja ja Big Data
• 2.3.3 Viranomaistoiminta ja tietosuoja
• 2.3.4 Oikeus tulla unohdetuksi
• 2.3.5 Yhteenveto
2.3.2 Tietosuoja ja Big Data
Tietointensiivinen liiketoiminta kasvaa jatkuvasti. Big Data (tai suomalaisittain massadata) on suuressa roolissa tässä kehityksessä, sillä sen liike-elämässä ja julkisen hallinnon puolella luomat mahdollisuudet nähdään valtavina. Esimerkiksi liike-elämässä Big Data mahdollistaa asiakkaiden muuttuneiden tarpeiden ymmärtämisen ja auttaa siten muun muassa luomaan uusia, asiakkaita kiinnostavia sisältöjä ja palveluita.
- Esimerkki: Julkisen hallinnon puolella Yhdysvaltojen turvallisuusviraston, NSA:n toiminta voidaan nähdä esimerkkinä valtavasta Big Data-hankkeesta, jossa ihmisiä pyritään eri tietolähteistä peräisin olevia tietoja yhdistelemällä profiloimaan ja siten mahdollisesti ennakoimaan heidän käytöstään muun muassa terrorismirikosten ehkäisemiseksi.
Big Datan varjopuolena on kuitenkin pelko yksilöiden tietosuojaan liittyvien perusoikeuksien heikentymisestä. Monet epäilevät, voidaanko Big Datan ja tietosuojan sekä yksityisyyden suojan tavoitteet edes sovittaa yhteen. Big data onkin tietosuojan kannalta ongelmallinen ilmiö, ja ongelmallisuus liittyy ennen kaikkea henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen: Taloudellinen intressi hyödyntää alun perin tiettyyn tarkoitukseen kerättyjä henkilötietoja muuhunkin tarkoitukseen on korkea, mutta EU:n tietosuoja-asetus suhtautuu lähtökohtaisen kielteisesti henkilötietojen käyttöön ja hyödyntämiseen jotakin muuta kuin alkuperäistä käyttötarkoitusta varten.
Tietosuojalainsäädännön vaatimuksista voidaan kuitenkin jossakin määrin poiketa pseudonymisoimalla käsiteltävät henkilötiedot. Pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn ilman lisätietoja. Lisätiedot voivat olla rekisterinpitäjän hallussa, mutta ne tulee säilyttää erillään siten, ettei tietojen yhdistämistä tunnistettavissa olevaan luonnolliseen henkilöön tapahdu. Tiedot voidaan myös anonymisoida, jolloin henkilötietoja sisältävästä tietomassasta poistetaan peruuttamattomasti ne tiedot, joiden perusteella henkilö on tunnistettavissa. Perusteellisesti anonymisoitu tieto ei ole enää henkilötietoa eikä sen käsittelyyn näin ollen sovelleta lainkaan EU:n tietosuoja-asetusta. Koska tiedot ovat lakanneet olemasta henkilötietoja, ovat ne vapaasti hyödynnettävissä.
Henkilötietojen arvo ja Big Data
Digitaalisessa taloudessa henkilötiedot ovat merkittävä aineettoman omaisuuden muoto, ja ne toimivat valuuttana verkkopalveluiden vaihdossa. Vaikka suinkaan kaikki Big Data ei ole henkilökohtaista, on hyvä pitää mielessä, että monien sellaisten verkossa esitettävien tarjousten kohdalla, jotka esitetään ”ilmaisina” tai jotka ymmärretään ilmaisiksi, henkilötiedot toimivat eräänlaisena välttämättömänä valuuttana, jonka välityksellä näistä palveluista maksetaan.
Kerättyjen henkilötietojen avulla voidaan kehittyneitä teknologioita hyödyntämällä esimerkiksi luoda henkilöistä profiileja ja ennustaa ihmisten käyttäytymistä. Luotuja profiileja voidaan edelleen jatkojalostaa käytettäviksi eri konteksteissa. Tällaisella tietojen käsittelyllä voi olla vaikutusta yksilön asemaan ja oikeuksiin myöhemmin, eikä kaikkia tulevaisuuden mahdollisia riskejä pystytä vielä edes tunnistamaan. Näin ollen on tärkeää, että myös Big Data-hankkeiden kohdalla henkilötietojen käsittely tapahtuu suunnitellusti, hallitusti ja tietosuojasäännöksiä noudattaen.
Big Data-muistilista:
1. Suunnittele. Henkilötietojen massamuotoiseen hyödyntämiseen voi liittyä valtavia riskejä rekisteröityjen yksityisyyden suojan kannalta. Massadata-analyyseillä luotuja profiileja voidaan käyttää ja jatkojalostaa edelleen käytettäväksi eri tarkoituksissa ja eri konteksteissa. Onkin tärkeää, että tietojen käsittely tapahtuu suunnitellusti, hallitusti ja tietosuojasäännöksiä noudattaen.
2. Huomioi rekisteröityjen oikeuksien toteutuminen. Milloin tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja käsitellään, on rekisteröidylle tarjottava oikeus tietojen tarkastamiseen ja korjaamiseen ja rekisterinpitäjän on informoitava rekisteröityä tietojen käsittelystä.
3. Varmistu, että henkilötietojen uusi käyttötarkoitus ei ole yhteensopimaton alkuperäisen käyttötarkoituksen kanssa. Massadatan keskeinen idea on tietojen myöhempi käsittely tavalla ja tarkoituksiin, joita ei ole määritelty tietojen keräämishetkellä. Käyttötarkoitussidonnaisuuden periaate ei tietojen tällaista henkilötietojen käyttöä estä, kunhan uudet käyttötarkoitukset eivät ole yhteensopimattomia alkuperäisen käyttötarkoituksen kanssa.
4. Jos ostat tietoja analyysitarkoituksiin kolmannelta taholta, tutustu myyjään huolellisesti. Mikäli ostamasi tiedot sisältävät henkilötietoja, varmistu siitä, että myyjällä on ollut laillinen peruste tietojen keräämiseen ja tietojen edelleen levittämiseen. Jos myyjällä ei alunperinkään ole ollut laillista perustetta henkilötietojen käsittelytoimille, ei perustetta voida jälkikäteen hankkia.
SANASTO
Big Data
Erittäin suurten, järjestelemättömien ja jatkuvasti lisääntyvien tietomassojen, myös henkilötietojen, käsittelyä ja jalostamista tilastollisin ja matemaattisin menetelmin uudenlaiseksi tiedoksi.
2.3.3 Viranomaistoiminta ja tietosuoja
Viranomaisten toimintaa säätelee kansallinen lainsäädäntö. Lakien keskiössä on usein julkisuusperiaate: Viranomaisen hallussa oleva tieto on julkista, jollei laissa toisin erikseen säädetä.
Viranomaisilla on laajat oikeudet saada yksilöitä koskevia tietoja, joiden antamisesta asianomaiset eivät voi kieltäytyä. Huomattava määrä tietoja kertyy myös viranomaistoiminnan tuloksena esimerkiksi oikeushallinnon rekistereihin tai perusopetusta järjestävien kuntien rekistereihin. Tietosuoja ja julkisuusperiaate ovat lähtökohdiltaan jopa vastakkaisia: edellinen lähtee henkilötietojen suojan ja yksityisyyden suojan tarpeesta, jälkimmäinen puolestaan julkisuuden tarpeesta. Näiden kahden välillä voi syntyä ristiriitoja, joiden ratkaisemiseksi kaksi tärkeää periaatetta joudutaan sovittamaan yhteen tai tekemään valinta niiden välillä.
Jos asiakirja on lainsäädännön mukaan julkinen, viranomainen on pyydettäessä velvollinen antamaan sen. Julkisuusperiaate koskee myös sellaisia viranomaisen asiakirjoja, jotka sisältävät henkilötietoja. On kuitenkin itsestään selvää, että EU:n tietosuoja-asetus koskee myös lain mukaan julkisia henkilötietoja: vaikka tieto sinänsä olisikin julkinen, on se silti henkilötieto ja siksi suojattu. Viranomainen voikin luovuttaa henkilötietoja kolmannelle vain silloin, kun luovutuksen saajalla on EU:n tietosuoja-asetuksen mukainen oikeus käsitellä kyseisiä henkilötietoja. Luovuttaessaan henkilötietoja, viranomaisen on pyydettävä selvitys muun muassa tietojen käyttötarkoituksesta ja muista luovuttamiseen liittyvistä seikoista, kuten siitä, miten tietojen suojaus on järjestetty.
EU:n tietosuoja-asetuksen voimaan tultua kansallisella valvontaviranomaisella on oikeus vaatia tietoja ja konkreettista näyttöä siitä, että henkilötietoja käsittelevien organisaatioiden toiminnassa tietosuojavelvoitteet on asianmukaisesti huomioitu. Rekisterinpitäjän on jatkossa osoitusvelvollisuutensa perusteella dokumentoitava henkilötietojen käsittelytoimensa voidakseen osoittaa, että käsittelytoimissa noudatetaan tietosuoja-asetusta. Rekisterinpitäjät ovat velvollisia toimimaan yhteistyössä valvontaviranomaisen kanssa ja pyydettäessä esittämään tälle henkilötietojen käsittelyä koskevat dokumentit.
Tietyissä tilanteissa tietosuoja-asetus velvoittaa henkilötietoja käsittelevän organisaation kääntymään valvontaviranomaisen puoleen itsenäisesti. Esimerkiksi jos tietosuoja-arviointi eli PIA osoittaa, että käsittelytoimiin tai uuden teknologian käyttöön liittyy runsaasti erityisiä rekisteröityjen henkilötietojen suojaan vaikuttavia riskejä, on valvontaviranomaista kuultava ennen henkilötietojen käsittelyyn ryhtymistä, jotta tämä voi esittää ehdotuksia riskien minimoimiseksi. Lisäksi rekisterinpitäjällä on velvollisuus ilman aiheetonta viivytystä ilmoittaa valvontaviranomaiselle, mikäli joutuu henkilötietoihin kohdistuneen, vähäistä suuremman tietosuojaloukkauksen uhriksi.
Viranomaisen oikeus saada tietoja henkilötietojen käsittelytoimista ulottuu rekisterinpitäjän lisäksi myös henkilötietojen käsittelijään, joka on velvollinen toimittamaan valvontaviranomaiselle kaikki tiedot, jotka ovat tarpeen organisaation henkilötietojen käsittelyyn liittyvän toiminnan valvontaa varten.
Muistilista viranomaisvalvontaan valmistautumista varten:
1. Dokumentoi henkilötietojen käsittelytoimet ja käsittelytoimissa noudatetut prosessit. Tietosuoja-asetuksen mukaan niin rekisterinpitäjän kuin henkilötietojen käsittelijän on ylläpidettävä dokumentaatiota henkilötietojen käsittelytoimista. Organisaation, joka ei ole luonut dokumentoituja prosesseja henkilötietojen käsittelyä varten, ja joka ei ylläpidä dokumentaatiota tietojen käsittelytoimista, tulee olemaan hyvin hankalaa osoittaa, että se noudattaa osoitusvelvollisuuttaan.
2. Suunnittele mekanismit, joilla organisaatiosi toimittaa valvontaviranomaiselle tietoja. Määrittele lisäksi yhteyshenkilö tai -henkilöt tietosuojaviranomaisten kanssa asioimiseen.
3. Seuraa jatkossa annettavaa viranomaisohjeistusta. Tietosuojavaltuutettu tai EU:n tietosuojatyöryhmä ohjeistanevat jatkossa, miten henkilötietojen käsittelytoimet tulee dokumentoida ja miten yhteistyö valvontaviranomaisten kanssa käytännössä toteutetaan.
2.3.4 Oikeus tulla unohdetuksi
Demokraattisessa yhteiskunnassa yleisöllä on oikeus informaatioon, ja EU:n jäsenvaltioiden tulee valtiollisessa lainsäädännössään sovittaa yhteen EU:n tietosuoja-asetuksen mukainen henkilötietojen suoja sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen.
Rekisteröidyllä on, EU:n tietosuoja-asetuksen myötä myös lainsäädännössä nimenomaisesti turvattu oikeus vaatia rekisterinpitäjää hävittämään kaikki itseään koskevat tiedot ja tulla täten palveluntarjoajan “unohtamaksi”. Tällä turvataan yksilön oikeus tietää ja vaikuttaa siihen, kuinka häntä koskevia tietoa käsitellään. Mikäli edellytykset oikeuden soveltamiselle yksittäistapauksessa täyttyvät, syrjäyttää rekisteröidyn oikeus tulla unohdetuksi lähtökohtaisesti internetinkäyttäjien oikeuden informaatioon.
Oikeutta tulla unohdetuksi sovellettiin ensi kertaa EU-tuomioistuimen (EUT) Google-tapauksessa. Tapauksessa espanjalainen herrasmies vaati Googlea poistamaan sellaiset hakutulokset, jotka hakukone palautti hänen nimellään tehtyä hakua vastaan ja jotka viittasivat vanhoihin tietoihin hänen velkojensa vuoksi järjestetystä pakkohuutokaupasta. Tuomiossaan EUT totesi, että hakukoneet hallitsevat ihmisten henkilökohtaisia tietoja ja ovat näin ollen velvollisia poistamaan tietoja henkilön pyynnöstä.
EUT totesi, että yksilön oikeus hallita häntä koskevien tietojen käsittelyä on vahva etenkin niillä, jotka eivät ole julkisuuden henkilöitä. Mitä tunnetumpi henkilö on kyseessä, sitä enemmän yleisön intresseillä on painoarvoa poistopyyntöä käsiteltäessä.
Mitä oikeus tulla unohdetuksi tarkoittaa?
1. Tunnettujen poliitikkojen tai julkkisten on vaikeampi saada hakutuloksia poistettua kuin "tavisten". Matalin kynnys poistoille on silloin, kun tietojen poiston pyytäjä on alaikäinen.
2. Asetusehdotuksessa tarkoitettu oikeus tulla unohdetuksi perustuu jo perinteisesti olemassa olleeseen oikeuteen vaatia henkilötietojen poistamista, jos niitä ei enää tarvita mihinkään lailliseen tarkoitukseen. Rekisterinpitäjä on jo nyt ollut velvollinen poistamaan henkilötiedot sitten, kun niiden säilyttämiseen ei ole enää perusteltua syytä.
3. Tietojen poistamisen tarve liittyy monenlaisiin arkipäivän tilanteisiin. Esimerkiksi lapset eivät välttämättä ymmärrä, mitä riskejä henkilötietojen levittämiseen liittyy, ja saattavat joutua aikuisiksi vartuttuaan katumaan varomatonta tietojen levittämistään. Etenkin heidän olisi halutessaan voitava harjoittaa oikeuttaan tulla unohdetuksi.
4. Oikeus tulla unohdetuksi ei ole absoluuttinen. Henkilötietoja voidaan säilyttää niin kauan kuin niitä tarvitaan vaikkapa sopimuksen tai jonkin lakisääteisen velvoitteen täyttämiseen. Oikeus tulla unohdetuksi ei tarkoita myöskään historian uudelleenkirjoittamista, vaan asetusehdotuksessa nimenomaisesti tunnistetaan myös ilmaisunvapauden, tiedotusvälineiden vapauden sekä historiallisen ja tieteellisen tutkimuksen merkitys.
5. Organisaatioiden tulee pyrkiä huolehtimaan, että poistamispyyntö tulee myös kolmansien osapuolten tietoon. Tämä tarkoittaa esimerkiksi sen varmistamista, että kolmannet osapuolet, joille tieto on siirretty, saavat tiedon henkilötietojen poistamista koskevasta pyynnöstä. Useimmissa tapauksissa asian hoitaminen tarkoittaa yhden sähköpostin lähettämistä.
2.3.5 Yhteenveto ja välikysely
Henkilötietojen käsittelyyn nykymaailman verkottuneessa digiyhteiskunnassa liittyy runsaasti erilaisia riskejä ja huomioon otettavia asioita. Henkilötietojen käsittelyn ulkoistaminen esimerkiksi pilvipalvelutoimittajalle sekä Big Datan hyödyntäminen ovat arkipäivää, mutta edellyttävät huolellisuutta tietosuojan arvioimisessa, toteuttamisessa ja seuraamisessa.
Vaikka monet EU:n tietosuoja-asetukseen sisältyvät velvoitteet sisältyvät jo nykyiseen voimassa olevaan tietosuojalainsäädäntöön, aiheuttaa EU:n tietosuoja-asetus useille henkilötietoja käsitteleville organisaatioille lisätyötä. Tietosuoja-asetus esimerkiksi vahvistaa rekisteröityjen oikeuksia, kuten oikeutta tulla unohdetuksi. Lisäksi rekisterinpitäjän ja henkilötietojen käsittelijän on jatkossa varauduttava todistamaan valvontaviranomaiselle, että niiden toiminnassa noudatetaan tietosuoja-asetusta. Organisaation henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi onkin hyvä aloittaa hyvissä ajoin, sillä etenkin suuremmissa organisaatioissa muutosten omaksuminen ja levittäminen läpi organisaation voi kestää kauan.
Voit nyt vastata alla oleviin välikysymyksiin. Vastauksiasi ei tallenneta eli harjoittele ja kokeile rohkeasti.
3. Kertaus
Tietosuoja on kokonaisuudessaan tulkinnanvaraista, mikä on otettava huomioon yrityksen päätöksenteossa. Läpinäkyvä viestintä rekisteröityjen suuntaan on keskeinen osa tietosuojaa koskevaa lainsäädäntöä ja sääntöjä.
Yksityisyyden suoja ja tietoturva ovat läheisiä käsitteitä tietosuojan kanssa, mutta käsitteillä on vivahde-eroja, eikä niitä voi käyttää toistensa synonyymeinä.
Tietosuojassa on kyse yksilön henkilötietojen suojaamisesta. Henkilötietoja ovat kaikki suoraan tai välillisesti tunnistettavissa olevat tiedot. Tietoa, joka ei itsenään ole tunnistettavissa, mutta muuhun tietoon yhdistettynä tulee tunnistettavaksi, pidetään henkilötietona. Arkaluonteisilla tiedoilla eli henkilötietojen erityisryhmiin kuuluvilla tiedoilla tarkoitetaan erityisen arkaluonteisia tietoja esimerkiksi henkilön terveydestä, seksuaalisesta käyttäytymisestä, poliittisista näkemyksistä tai ammattiyhdistyksen jäsenyydestä. Nämä tiedot ovat keskeisiä henkilön yksityisyyden suojan kannalta, minkä vuoksi ne ovat erityisen henkilökohtaisia.
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Tietosuojalla tarkoitetaan henkilötietojen ja niiden käsittelyn suojaamista epäasianmukaiselta käytöltä. Henkilötietojen rekisterinpitäjällä ja käsittelijällä on velvollisuus turvata yksilön perusoikeus tietosuojaan. Rekisterinpitäjän ja käsittelijän tulee esimerkiksi suojata hankkimansa henkilötiedot asianmukaisesti, panna täytäntöön rekisteröidyn tietosuojaoikeudet ja kouluttaa työntekijänsä ymmärtämään tietosuojalainsäädännön vaatimukset. Rekisterinpitäjällä ja käsittelijällä on myös velvollisuus noudattaa asianmukaista huolellisuutta käsitellessään henkilötietoja ja toimia hyvän käsittelykäytännön mukaisesti.
Rekisteröidyllä on oikeus tarkastaa omat tietonsa, oikeus kieltää tietojensa käsittely tai rajoittaa sitä, oikeus vaatia virheellisten, puutteellisten tai vanhentuneiden tietojen korjaamista ja oikeus tulla unohdetuksi. Nämä oikeudet eivät ole absoluuttisia, vaan niitä on tarkasteltava suhteessa muihin oikeuksiin, kuten sananvapauteen ja yleiseen etuun.
Big datalla on suunnaton vaikutus tietojen käsittelyyn. Tietoa kerätään nykyään enemmän kuin koskaan aiemmin, ja tietokoneiden kasvava laskentateho on mahdollistanut useiden tietolähteiden yhdistämisen ennennäkemättömillä tavoilla. Big data luo paljon liiketoimintamahdollisuuksia, mutta se on myös uhka yksilöiden perusoikeudelle yksityisyyden suojaan ja tietosuojaan. Big datan hyvin toteutettu hyödyntäminen edellyttää kattavaa suunnittelua sekä käyttötarkoituksen sopivuuden ja rekisteröidyn oikeuksien huomioon ottamista.
4. Lopputesti
Nyt kun olet suorittanut kurssin, on aika tehdä lopputesti. Tutustu kysymyksiin huolellisesti ja valitse paras vaihtoehto. Testissä on 10 väittämää, ja sinun tehtävänäsi on päättää, pitävätkö ne paikkansa. Kun olet valmis, katso pisteesi napsauttamalla ”Tarkista vastaukset” -painiketta. Vastaa kaikkiin kysymyksiin.
Jos et läpäise koetta, voit suorittaa sen niin monta kertaa uudelleen kuin haluat. Kurssin läpäisemisen vaatimuksena on 7 pistettä!
Translation - Swedish I – Dataskyddets grunder
1. Inledning
1.1 Välkommen
Välkommen, !
Dataskyddet är en allt viktigare del av vårt moderna nätverkssamhälle. Dataskyddet spelar en viktig roll i såväl privatlivet som affärslivet.
Detta utbildningsprogram guidar dig i dataskyddets grunder och praxis. Utbildningens innehåll lutar sig mot EU:s dataskyddsförordning men också på dataskyddsmyndigheternas anvisningar och avgöranden. Under rubriken Teori lär vi känna de grundläggande reglerna för dataskydd och i avsnittet om Praxis studerar vi typiska problem som förekommer i dataskyddssammanhang samt bästa praxis för dataskydd. Frågeställningarna har illustrerats med en stor mängd praktiska exempel.
Målet är att du efter genomgången utbildning ska ha fått en allmän uppfattning om dataskyddet och att du i ditt dagliga arbete kan beakta dataskyddsrelaterade frågor. Reservera cirka 60 minuter för att avlägga kursen.
1.2 Anvisningar
Använd Nästa-knappen till höger på varje sida för att navigera genom kursen.
Du kan också genomgå kursen i delar. Om du väljer att göra så kommer du tillbaka till den sida du senast besökte via länken ”Fortsätt där du senast avbröt” på Välkommen-sidan. Funktionen blir tillgänglig när du på nytt loggar in på kursen.
Under kursens gång ska du besvara de frågor som ställs i mellantesterna. Med mellantesternas hjälp håller du själv koll på hur ditt kunnande växer. Ingen annan kan på basis av mellantesterna följa dig: dina svar sparas ingenstans utan svarandet är en del av inlärningsprocessen.
Det är klokast att göra själva sluttestet först när du omsorgsfullt har gått igenom hela kursen och du känner att du behärskar de ämnen som ingick i kursen. För att få godkänt i denna kurs måste du få godkänt i sluttestet.
1.3 Vokabulär
Känsliga uppgifter
Term som beskriver sådana grupper av personuppgifter som är särskilt integritetskänsliga och därför en del av kärnan i individens privatliv. Känsliga uppgifter är sådana personuppgifter som beskriver eller syftar till att beskriva:
• ras eller etniskt ursprung (till exempel hudfärg, härkomst)
• politiska åsikter (till exempel partitillhörighet)
• religiös eller filosofisk övertygelse (till exempel religionstillhörighet)
• fackanslutning
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska eller biometriska uppgifter som entydigt identifierar en person (till exempel data om personens fysiologi, fingeravtryck, anletsdrag eller röst)
Big Data (massdata)
Behandling och förädling av mycket stora, oorganiserade och ständigt växande datamassor, också personuppgifter, till ny information med hjälp av statistiska och matematiska metoder.
Data Protection Impact Assessment (DPIA)
Term i Dataskyddsförordningen för PIA. Jfr Privacy Impact Assessment (PIA).
Personuppgift
Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person. Enligt Dataskyddsförordningen kan en person identifieras när hen direkt eller indirekt kan identifieras på basis av ifrågavarande uppgifter, i synnerhet id-uppgifter som namn, personnummer, platsuppgift, elektroniska identiteter eller en eller flera för hen utmärkande fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala faktorer.
Personuppgiftsbiträde
Tjänsteleverantör hos vilken en personuppgiftsansvarig, på basis av ett personuppgiftsbiträdesavtal, har lagt ut sin personuppgiftsbehandling och som alltså behandlar personuppgifter för den personuppgiftsansvarigas räkning. Jfr Personuppgiftsansvarig.
Personuppgiftsbehandling
Alla åtgärder som riktar sig mot personuppgifter.
Personregister eller register
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
Personuppgiftsansvarig
Fysisk eller juridisk person eller myndighet som ensam eller tillsammans med andra definierar hur personuppgifterna får användas.
Register över behandling
Ett dokument som dataskyddsförordningen förutsätter att den personuppgiftsansvariga för, av vilket framgår bland annat den personuppgiftsansvarigas kontaktuppgifter, vilka personuppgifter som behandlas och behandlingens ändamål samt principerna för överlåtande av och skydd för personuppgifterna.
Registrerad
En identifierad eller identifierbar fysisk person som personuppgifterna är kopplade till.
Platsuppgift
Uppgift som fås ur kommunikationsnätverket eller terminalen av vilken anslutningens eller terminalens geografiska placering kan avläsas.
Samtycke
Frivillig, individualiserad och medveten viljeyttring där den registrerade genom en entydigt bekräftande handling samtycker till behandling av hens personuppgifter.
2. Dataskydd blir vardag
2.1 Utgångspunkter för dataskydd
2.1.1 Introduktion till dataskydd
I detta avsnitt behandlas de viktigaste utgångspunkterna för dataskyddet. När du behärskar dessa centrala helheter blir det lättare för dig att inhämta resten av kursmaterialet.
Avsnittets innehåll:
• 2.1.1 Inledning
• 2.1.2 Vad avses med dataskydd?
• 2.1.3 Varför ska dataskydd beaktas?
• 2.1.4 Personlig integritet, datasäkerhet och dataskydd
• 2.1.5 Vilka uppgifter är personuppgifter?
• 2.1.6 Sammandrag och mellantest
2.1.2 Vad avses med dataskydd?
Ur lagstiftningssynvinkel betyder dataskydd att kraven som ställs på personuppgiftsbehandling beaktas. Stadganden om dataskydd definierar vilket skydd individen har mot insamling, behandling och annan användning av hens personuppgifter samt också i vilken utsträckning andra har rätt att insamla, behandla och använda individens personuppgifter. Dataskydd betyder med andra ord att personuppgiftsbehandlingen säkras och skyddas mot obehörig eller otillåten behandling. Dataskydd omfattar också tillbörligt skydd för system, tjänster och datakommunikation. Det är fråga om en bred helhet vars praktiska realisering bottnar i personalens kunnande och arbetssätt vid den organisation som är personuppgiftsansvarig eller personuppgiftsbiträde.
Rätten till dataskydd har utvecklats ur rätten till respekt för privatlivet. Begreppet privatliv är kopplat till fysiska personer, det vill säga människor. Sålunda gäller också rätten till dataskydd i första hand för fysiska, levande personer.
Personuppgiftsskydd och dataskydd
Personuppgiftsskydd och dataskydd ses i allmänhet som synonymer. Dataskydd kan å andra sidan syfta på hela fältet av dataskyddslagstiftning med alla dess speciallagar, medan personuppgiftsskydd närmast innehåller det stadgande om skydd för personuppgifter som ingår i de grundläggande rättigheterna och EU:s stadganden om personuppgiftsbehandling.
VOKABULÄR
Personuppgiftsansvarig
Fysisk eller juridisk person eller myndighet som ensam eller tillsammans med andra definierar hur personuppgifter får användas.
Personuppgiftsbiträde
Tjänsteleverantör hos vilken en personuppgiftsansvarig, på basis av ett personuppgiftsbiträdesavtal, har lagt ut sin personuppgiftsbehandling och som alltså behandlar personuppgifter för den personuppgiftsansvarigas räkning.
2.1.3 Varför ska dataskyddet beaktas?
Organisationer behandlar allt större personuppgiftsvolymer: Kommunen behandlar dina personuppgifter till exempel för beskattningsändamål eller för att uppfylla sådana lagstadgade uppgifter som kommunen ansvarar för. Den som erbjuder en tjänst i internet samlar in data om till exempel din fysiska aktivitet eller dina dagliga aktiviteter i syfte att bjuda ut olika elektroniska tjänster.
Internet och mobilteknologin möjliggör insamling av data och spårning av människor på ett alldeles nytt sätt. En stor del av de tjänster som bjuds ut på nätet bygger helt och hållet på exploatering av uppgifter som användaren själv har tillhandahållit. De som utnyttjar tjänsterna är för sin del allt mer medvetna om de egna personuppgifternas värde och om vilka risker som är förknippade med personuppgiftsbehandlingen. Huruvida tjänsterna ska lyckas och ha framgång beror därför delvis på om den som erbjuder tjänsten kan övertyga användarna om att deras personuppgifter behandlas sakligt och att deras personliga integritet inte är hotad. Ett sådant förtroende förutsätter att integritetsskyddet för användarna håller hög nivå.
Granite
Dataskyddet har blivit en väsentlig del av organisationernas verksamhet. Det måste tas på allvar inte minst på grund av att trycket från dataskyddslagstiftningen kontinuerligt ökar. Dataskydd bör emellertid också se som en konkurrensfördel och som en positiv drivfjäder på organisationens alla verksamhetsområden.
Har du funderat på varför just du genomgår den här dataskyddsutbildningen? Kan du i ditt eget arbete påverka dataskyddet i din organisation?
2.1.4 Privatliv, datasäkerhet och dataskydd
Dataskydd ska inte blandas ihop med datasäkerhet och skydd för privatlivet, också om alla tre begreppen är delvis överlappande.
Med dataskydd avses att personuppgifter säkras och skyddas mot obehörig eller otillåten behandling. Dataskydd är en grundläggande rättighet för individen och varje instans som behandlar personuppgifter är skyldig att trygga denna rättighet. För att för egen del trygga individens grundläggande rätt till dataskydd ska personuppgiftsbiträdet bland annat skydda de personuppgifter som behandlas på tillbörligt sätt, uppfylla den registrerades dataskyddsrättigheter och utbilda sin personal till att förstå de krav som dataskyddslagstiftningen ställer.
Dataskydd och skydd för privatlivet är delvis överlappande. Dataskydd syftar emellertid uttryckligen till att skydda också sådana värden som inte är centrala med tanke på privatlivets skydd. I skydd för privatlivet ingår en bedömning av vilka handlingar som påverkar människans privatliv. Samma konsekvensbedömning krävs inte för dataskydd: som utgångspunkt räcker det att uppgiften är förknippad med en identifierbar fysisk person. Därför sträcker sig dataskyddets verkningar längre än privatlivsskyddet: dataskyddet måste beaktas också när uppgifterna som behandlas inte omfattas av skydd för privatlivet.
Dessutom ska dataskydd och datasäkerhet hållas isär: Dataskydd skyddar den som använder tjänsten medan datasäkerhet handlar om skydd för den information som lagrats i tjänsten.
Skydd för privatlivet är en grundläggande rättighet som bottnar i många internationella avtal.
Nyckelmomenten i skydd för privatlivet är:
• Vars och ens privatliv, heder och hemfrid är tryggade.
• Brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden är okränkbar.
Med datasäkerhet avses oförvanskad konfidentialitet, integritet och disponiblitet hos data som säkrats genom administrativa och tekniska åtgärder. Datasäkerhet handlar alltså om skydd för den information som lagrats i tjänsten. Datasäkerhet är ett krav också vid personuppgiftsbehandling.
• Konfidentialitet betyder att data hemlighålls så att endast behöriga personer har tillgång till dem och ingen utomstående kommer åt uppgifterna.
• Integritet är en garanti för att informationen är felfri och tillförlitlig. Det betyder att data inte på grund av tekniska fel, yttre händelser eller människors handlingar kan ändras eller förstöras, utan att de bevaras så som de är avsedda att bevaras.
• Disponibilitet betyder i samband med datasäkerhet att data vid behov kan utnyttjas av alla som har behörighet att utnyttja dem.
2.1.5 Vilka uppgifter är personuppgifter?
Alla slag av uppgifter kan vara personuppgifter om de är förknippade med en fysisk person. En identifieringsuppgift som kan kopplas till en fysisk person, som personnummer, är alltid en personuppgift.
Personuppgifter kan också innehålla sådana uppgifter som i kombination med andra uppgifter leder till att personen kan identifieras.
Med personuppgift avses också sådan indirekt information, förknippad med till exempel familj, bostadsort eller arbete, med hjälp av vilken personen kan identifieras. Identifiering betyder inte nödvändigtvis att namnet har klargjorts utan en person kan vara identifierbar också på basis av andra uppgifter. En bra tumregel är att tröskeln är låg för att definitionen av personuppgift ska vara uppfylld. Definitionen ska ges en bred tolkning.
Personuppgifter omfattar uppgifter ur såväl personens privatliv som hens arbetsliv.
- Exempel: Av uppgifterna om en läkemedelsordination framgår både namnet på patienten som ordinerats medicinen och namnet på ordinerande läkare samt eventuellt andra uppgifter förknippade med dessa personer. Uppgifter om en läkemedelsordination ska ses som personuppgifter för både patienten som fått receptet och läkaren som ordinerat läkemedlet.
Lagringsformen för uppgifterna inverkar inte på EU:s dataskyddsförordnings tillämplighet. Personuppgifter kan ingå i såväl skriftligt som verbalt och bildmaterial. Elektroniskt lagrade data kan innehålla personuppgifter lika väl som data på papper. Till och med vävnadsprover tagna av en levande människa kan i vissa fall utgöra personuppgifter eftersom de kan användas för att få reda på personens dna.
Personuppgifter kan det vara frågan om också när en person kan identifieras till exempel genom att kombinera olika uppgifter.
- Exempel: En lokal myndighet samlar in uppgifter om bilar som kör överhastighet på områdets vägar. Myndigheten fotograferar bilar som kör överhastighet varvid uppgift om tid och plats automatiskt sparas. Genom sökning i allmänna fordonsregistret kan bilens ägare identifieras på basis av det registernummer som lagrats på bilden. Enligt lagstiftningen om personuppgifter är det därför personuppgifter som lokalmyndigheten samlar in.
Särskilda personuppgiftskategorier eller känsliga uppgifter
Vissa personuppgifter är till sin natur särskilt känsliga och har därför starkare skydd i dataskyddsförordningen. EU:s dataskyddsförordning känner inte begreppet "känsliga uppgifter". I stället hänvisar termen ”särskilda kategorier av personuppgifter” till särskilt privata uppgiftskategorier.
Dessa uppgifter ingår i den personliga integritetens kärna och de är därför speciellt privata. Huvudregeln är att behandlingen av sådana uppgifter är förbjuden och kan tillåtas endast om det finns särskild, i lagen definierad grund för behandlingen och om noga definierade skyddsåtgärder är i bruk.
- Exempel: Europeiska unionens domstol har i sin rättspraxis ansett att ett omnämnande av att en person har skadat sig i foten och är partiellt sjukledig utgör en hälsorelaterad personuppgift, alltså en känslig uppgift. Sådana fysiologiska resultat som till exempel en pulsmätare ger under en idrottsprestation kan inte i sig betraktas som känsliga. Om mätresultatet kombineras med andra medicinska personuppgifter och till exempel personens födelsedatum kan man emellertid av uppgifternas helhet dra faktiska slutsatser om personens hälsa. I så fall kan uppgifterna bli känsliga.
Klassificering av uppgiftskategori
Vid personuppgiftsbehandling måste man beakta att data i en uppgiftsmängd, till exempel i en enskild textfil, ska klassificeras enligt det allra känsligaste uppgiftselement som ingår i filen. Anta att en tenniscoach skriver en rapport om en enskild identifierbar spelares prestationer under en veckoslutsturnering. Rapporten innehåller sådana personuppgifter som avses i dataskyddslagstiftningen. Det innebär att hela rapporten måste behandlas i enlighet med dataskyddslagstiftningen trots att det sannolikt ingår mer annan information än personuppgifter i rapporten. En patientjournal är också i sin helhet känslig, också om den kanske innehåller icke-känsliga personuppgifter som personens namn.
VOKABULÄR
Personuppgift
Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person. Enligt Dataskyddsförordningen kan en person identifieras när hen direkt eller indirekt kan identifieras på basis av ifrågavarande uppgifter, i synnerhet id-uppgifter som namn, personnummer, platsuppgift, elektroniska identiteter eller en eller flera för hen utmärkande fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala faktorer.
2.2 Den personuppgiftsansvarigas och databiträdets skyldigheter
Organisationer behandlar allt större personuppgiftsvolymer. Ur lagstiftningssynvinkel betyder dataskydd att kraven som ställs på personuppgiftsbehandling beaktas. Det betyder i synnerhet att personuppgiftsbehandlingen säkras och skyddas mot obehörig eller otillåten behandling. Dataskydd ska emellertid hållas isär från datasäkerhet och skydd för privatlivet, också om de tre begreppen är delvis överlappande.
Alla slag av uppgifter kan vara personuppgifter om de är förknippade med en fysisk person. Med personuppgift avses också sådan indirekt information med hjälp av vilken personen kan identifieras. Tröskeln är låg för att definitionen av personuppgift ska vara uppfylld. Definitionen ska ges en bred tolkning. Dataskyddets krav måste särskilt noggrant uppmärksammas vid behandlingen av känsliga uppgifter, det vill säga data i särskilda kategorier av personuppgifter. När organisationens dataskydd håller hög klass, det vill säga personuppgiftsbehandlingen är omsorgsfull och följer fungerande och lagenliga metoder, inverkar det positivt på alla delområden i organisationens verksamhet, också affärsverksamheten i dess kärna.
Nu kan du besvara nedanstående mellantest. Dina svar sparas inte så du kan med friskt mod ägna dig åt försök och misstag.
2.2.1 Introduktion till den personuppgiftsansvarigas och databiträdets skyldigheter
I detta avsnitt får du ur dataskyddets synvinkel bekanta dig med vilka skyldigheter den personuppgiftsansvariga och databiträdet har.
Avsnittets innehåll:
• 2.2.1 Inledning
• 2.2.2 Personregister
• 2.2.3 Den registrerades rättigheter
• 2.2.4 Den personuppgiftsansvariga och databiträdet
• 2.2.5 Ansvarsskyldighet och god sed för databehandling
• 2.2.6 Mellantest
• 2.2.7 Sammandrag
2.2.2 Personregister
Med personregister avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. I definitionen ingår tanken om ett logiskt registerbegrepp. Med logiskt register avses att den personuppgiftsansvarigas data som behandlas inom ramen för samma uppdrag utgör en helhet och ett personregister. Till personregistret räknas med andra ord alla de uppgifter som behandlas i samma användningssyfte, oberoende av hur och var de finns lagrade.
Den personuppgiftsansvarigas logiska register omfattar den personuppgiftsbehandling som den personuppgiftsansvariga organisationen själv genomför och den personuppgiftsbehandling som ett externt personuppgiftsbiträde genomför för den personuppgiftsansvarigas räkning på basis av ett personuppgiftsbiträdesavtal. Ett personregister kan alltså innehålla personuppgifter som behandlas av fler än en instans.
Sådana kortlivade datafiler som uppstår vid automatisk databehandling och säkerhetskopiornas olika generationer betraktas inte som skilda personregister så länge den personuppgiftsansvariga innehar dem och de används för definierade syften i samband med personuppgiftsbehandling.
Skilda personregister enligt användningssyfte
Ett personregister utgörs av uppgifter som insamlats för samma ändamål. De uppgifter om blivande skolelever som behandlas inom förskolan utgör alltså ett skilt register för den grundläggande utbildningens elevuppgifter. Uppgifter som behandlas inom den förberedande utbildningen för invandrare och inom tilläggsutbildningen för personer som avlagt sin läroplikt (så kallade tionde klasser) utgör likaså skilda personregister. Vidare uppstår inom skolans klubbverksamhet ett skilt register, skilt från skolans övriga personregister; likaså inom morgon- och eftermiddagsverksamheten.
VOKABULÄR
Personregister eller register
En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.
2.2.3 Den registrerades rättigheter
Den registrerades rättigheter som tryggas i EU:s dataskyddsförordning stärker och preciserar personuppgiftsbehandlingens öppenhet gentemot den registrerade.
I praktiken motsvarar den registrerades rättigheter i många situationer den personuppgiftsansvarigas skyldigheter: Den personuppgiftsansvariga måste skapa behövliga förfaranden och mekanismer för att uppfylla den registrerades olika rättigheter samt kontrollera att de personer inom organisationen som deltar i personuppgiftsbehandlingen känner till dataskyddets krav och verkligen handlar därefter. I praktiken kan den personuppgiftsansvarigas ansvar förutsätta betydande satsningar på till exempel tillvägagångssätten inom databehandlingen, dokumentationen eller personalutbildningen.
Sådana uttryckliga rättigheter för den registrerade som har stadgats för att garantera öppen personuppgiftsbehandling är bland annat följande:
Rätt till information
Den personuppgiftsansvariga ska se till att den registrerade är informerad om att hens personuppgifter behandlas. Dessutom har den registrerade rätt att granska sina personuppgifter. När den registrerade vill granska hur personuppgifterna används måste hen enligt EU:s dataskyddsförordning få svar på sin begäran inom en månad. Den personuppgiftsansvariga måste leverera antingen begärda uppgifter om den registrerade eller besked om att uppgifterna inte finns eller inte behandlas.
I vissa situationer kan den registrerade förvägras granskningsrätt och i vissa situationer föreligger den inte. En säkerhetsmyndighet som arbetar med nationell och internationell säkerhet ger till exempel inte ut någon information om registrerade, låt vara att uppgifter om en enstaka, profilerad person kan hittas i säkerhetsmyndighetens register. Som regel har individen inte heller rätt att granska sådana uppgifter som har samlats in för rent vetenskapligt forskningsändamål eller för statistiskt ändamål. I sist nämnda fall finns det emellertid inga hinder för att bevilja rätt till granskning.
Rätt till rättelse
Enligt lagen ska den personuppgiftsansvariga se till att de personuppgifter som behandlas inte är felaktiga, ofullständiga eller föråldrade. Uppgiften är felfri on den är sanningsenlig och ger tillbörlig information om de omständigheter som den är avsedd att skildra.
Den personuppgiftsansvariga ska utan omotiverat dröjsmål korrigera en sådan personuppgift i registret som med tanke på behandlingens ändamål är felaktig, onödig, bristfällig eller föråldrad. Den personuppgiftsansvariga ska, både på eget initiativ och efter krav från den registrerade, sörja för korrigering av en felaktig uppgift samt se till att meddelande om korrigerad personuppgift går till varje sådan mottagare till vilken ifrågavarande personuppgifter har överlåtits.
Rätt till förbud mot eller begränsning av behandling
I EU:s dataskyddsförordning och annan lagstiftning ingår olika stadganden på basis av vilka en registrerad person i olika situationer kan förbjuda behandlingen av personuppgifter. Lagstiftningen ger till exempel den registrerade möjlighet att förbjuda behandling och överlåtelse av personuppgift för vissa ändamål som distansförsäljning och annan direkt marknadsföring samt för marknads- och opinionsundersökningar (marknadsföringsförbud).
En del av lagställena ger individen möjlighet att antingen per telefon eller skriftligen förbjuda att adressuppgifter utlämnas till andra än vissa myndigheter (förbud mot utgivning av uppgifter).
Förbud mot att utge uppgifter kan som mest innebära tidsbegränsat förbud mot att utlämna kontaktuppgifter som namn, telefonnummer, adress och uppgift om hemkommun i situationer då en person har grundad anledning att misstänka att hens eller familjens hälsa eller säkerhet är hotad (spärrmarkering). Dessutom innehåller EU:s dataskyddsförordning till exempel rätten att bli bortglömd som under vissa omständigheter ger den registrerade rätt att utan onödigt dröjsmål få sina personuppgifter raderade av den personuppgiftsansvariga.
VOKABULÄR
Registrerad
En identifierad eller identifierbar fysisk person som personuppgifterna är kopplade till.
2.2.4 Personuppgiftsansvarig och sätt för databehandling
Den personuppgiftsansvariga har som uppgift att föra ett personregister. Den personuppgiftsansvariga ansvarar för att personuppgifterna behandlas på lagligt sätt.
Vem är personuppgiftsansvarig?
Ett företag är till exempel den personuppgiftsansvariga för sina kunders och sin personals del. Personuppgifter samlas också in i samband med kommunens lagstadgade uppgifter och de kundrelationer som genomförandet förutsätter (för att ordna grundläggande utbildning krävs till exempel ett elevregister, den kommunala hälsovården måste ha ett patientregister). Till dessa uppgifters del är kommunen personuppgiftsansvarig.
De personuppgiftsansvariga ska sörja för att dataskyddet är tillbörligt ordnat i fråga om behandling av personuppgifter som samlats i olika register. I sista hand ansvarar ledningen för den personuppgiftsansvariga organisationen för att uppförandekoder och ansvar i samband med personuppgiftsbehandling har definierats, att personalen får handledning och utbildning samt att organisationens datasystem motsvarar lagens krav.
Som enskild anställd hos den personuppgiftsansvariga är du inte i lagens mening personuppgiftsansvarig för data som din organisation samlar in. Ansvaret för att dataskyddet förverkligas utgör emellertid sådant funktionellt ansvar som har koppling också till dina arbetsuppgifter. Du är skyldig att iaktta dataskyddslagstiftningen och den uppförandekod i fråga om dataskydd som har definierats i din organisation.
Utläggning av personuppgiftsbehandling
Numera är det vanligt att den personuppgiftsansvariga lägger ut databehandlingstjänster för hanteringen av personuppgifter hos olika tjänsteleverantörer. Tjänsteleverantören blir som regel personuppgiftsbiträde. Vid utläggning av arbetsuppgifter som förutsätter personuppgiftsbehandling måste dataskyddsansvaret beaktas redan i samband med att utläggningen planeras. Ett personuppgiftsbiträdesavtal om köp av tjänsternas ingås mellan den personuppgiftsansvariga och personuppgiftsbiträdet, med beskrivning av uppgifter och ansvar förknippade med databehandlingen.
Utläggning av personuppgiftsbehandlingen fråntar inte en personuppgiftsansvarig ansvaret för att personuppgiftsbehandlingen är lagenlig. Detta ansvar kan den personuppgiftsansvariga inte överföra på personuppgiftsbiträdet. Personuppgiftsbiträdet ansvarar i sin tur för att personuppgifterna behandlas i enlighet med personuppgiftsbiträdesavtalet parterna emellan och det personuppgiftsbiträdesansvar som definieras i EU:s dataskyddsförordning.
- Exempel på utläggning av personuppgiftsbehandling: Sjukvårdsdistriktet lägger ut upprätthållandet av det elektroniska patientregistret på ett företag som säljer it-tjänster. Enligt hälso- och sjukvårdsvårdslagen utgör alla patientjournaler inom sjukvårdsdistriktets kommunförbund ett gemensamt patientregister. Personuppgiftsansvariga för det gemensamma patientregistret är samtliga verksamhetsenheter som anslutits till registret, var och en för sina patientjournaler. Registrets elektroniska data behandlas visserligen av ett it-företag men det betyder inte att it-företaget blir personuppgiftsansvarig i förhållande till patienterna. Den personuppgiftsansvarigas ansvar stannar kvar hos var och en av verksamhetsenheterna som erbjuder hälso- och sjukvårdstjänster (och som i detta syfte samlar personuppgifter).
Överlåtelse av personuppgifter till en entreprenör för genomförande av databehandling utgör inte en sådan överlåtelse av personuppgifter för vilken det skulle behövas vare sig samtycke av respektive registrerad eller annan laglig grund. Entreprenören har å andra sidan inte heller någon självständig rätt till personuppgifter som har överlåtits på basis av agentförhållandet. Entreprenören har till exempel inte självständig rätt att i sin egen verksamhet använda sig av sådana personuppgifter, inte heller att behandla dem i strid med avtalet eller att kombinera dem med annan information som entreprenören innehar.
VOKABULÄR
Personuppgiftsansvarig
Fysisk eller juridisk person eller myndighet som ensam eller tillsammans med andra definierar hur personuppgifter får användas.
Personuppgiftsbiträde
Tjänsteleverantör hos vilken en personuppgiftsansvarig, på basis av ett personuppgiftsbiträdesavtal, har lagt ut sin personuppgiftsbehandling och som alltså behandlar personuppgifter för den personuppgiftsansvarigas räkning. Jfr Personuppgiftsansvarig.
2.2.5 Ansvarsskyldighet och god databehandlingssed
Den personuppgiftsansvariga och alla andra som behandlar personuppgifter ska behandla personuppgifterna lagenligt samt iaktta noggrannhet och god databehandlingssed. Också i övrigt ska de agera så att varken skyddet för den registrerades privatliv eller andra grundläggande rättigheter som tryggar skydd för den personliga integriteten begränsas utan laglig grund.
Ansvarsskyldigheten i fråga om personuppgiftsbehandling kan anses vara en allmän skyldighet för allt dataskydd. Hur ansvarsskyldigheten har uppfyllts bedöms framför allt via uppfyllelsen av andra dataskyddskrav men också via omständigheterna i enstaka personbehandlingssituationer.
Ansvar ådagaläggs genom att den instans som behandlar personuppgifterna känner till vilka, för den egna verksamheten tillräckliga, krav som ställs på personuppgiftsbehandlingen samt uppfyller dessa krav. Ansvarslöst är ett beteende där personuppgifter behandlas lagstridigt eller där de inte behandlas på det sätt omständigheterna förutsätter.
Såväl den personuppgiftsansvariga som personuppgiftsbiträdet ska vid personuppgiftsbehandling självmant följa god databehandlingssed. EU:s dataskyddsförordning berättar när det är tillåtet att behandla personuppgifter. Med tanke på god databehandlingssed gäller de viktigaste allmänna principerna då ändamålsbegränsning, uppgiftsminimering, ansvarsskyldighet och lagringsminimering samt att de registrerade personernas rättigheter beaktas.
2.2.6 Sammandrag och mellantest
EU:s dataskyddsförordning förpliktigar framför allt den personuppgiftsansvariga. Också personuppgiftsbiträdet måste förbinda sig till att följa bestämmelserna personuppgifter behandlas för den personuppgiftsansvarigas räkning. Såväl den personuppgiftsansvariga som personuppgiftsbiträdet ska i personuppgiftsbehandlingen självmant iaktta noggrannhet och god databehandlingssed.
All kommunikation om personuppgiftsbehandling ska vara öppen. Med tanke på den registrerades rättigheter är det viktigast att organisationen öppet berättar om all behandling av den registrerades personuppgifter. Gentemot den registrerade öppen personuppgiftsbehandling stärker den registrerades lagstadgade rättigheter, som rätten till information och till granskning av personuppgifter som gäller en själv, rätten att få sina uppgifter korrigerade samt rätten att i vissa situationer förbjuda behandling av personuppgifter.
Lagens stadganden om dataskydd definierar vilket skydd individen ska ha mot insamling, behandling och annan användning av personuppgifterna samt i vilken mån andra ska ha rätt att samla, behandla och använda individens personuppgifter.
Nu kan du svara på nedan stående etappfrågor. Dina svar sparas inte så du kan med friskt mod ägna dig åt försök och misstag.
2.3 Dataskydd i praktiken
2.3.1 Introduktion till praktiskt dataskydd
I detta avsnitt får du studera vanliga praktiska situationer där frågor om dataskydd typiskt dyker upp eller där individens rätt till dataskydd står i konflikt med tredje parts rättigheter och intressen.
Avsnittets innehåll:
• 2.3.1 Inledning
• 2.3.2 Dataskydd och Big Data
• 2.3.3 Myndighetsverksamhet och dataskydd
• 2.3.4 Rätten att bli bortglömd
• 2.3.5 Sammandrag
2.3.2 Dataskydd och Big Data
Den dataintensiva affärsverksamheten växer kontinuerligt. Big Data (eller på svenska massdata) spelar en stor roll i denna utveckling. De möjligheter massdata har skapat i affärslivet och inom offentlig förvaltning ses som enorma. För affärslivet gör Big Data det till exempel möjligt att förstå kundernas förändrade behov och hjälper därför bland annat till vid skapandet av nya, för kunderna intressanta innehåll och tjänster.
- Exempel: Inom offentlig förvaltning kan Förenta staternas nationella säkerhetsmyndighet NSA ses som exempel på ett enormt Big Data-projekt. Målet är att bland annat förhindra terrorbrott genom att kombinera uppgifter från olika datakällor i syfte att profilera människor och därigenom eventuellt kunna förutsäga hur de kommer att bete sig.
Big Datas avigsida är en rädsla för att individens grundläggande rätt till dataskydd försvagas. Många tvivlar på att målen för privatlivets skydd ens är förenliga med Big Data och dataskydd. Med tanke på dataskydd är Big data därför ett problematiskt fenomen. Problemen har framför allt att göra med att personuppgiftsbehandlingen är bunden till användningssyftet. Det finns ett stort ekonomiskt intresse för att utnyttja sådana personuppgifter som ursprungligen samlats in för ett visst ändamål också för andra ändamål. EU:s dataskyddsförordning förhåller sig emellertid som regel negativt till att personuppgifter används och utnyttjas för något annat än det ursprungliga ändamålet.
Dataskyddslagstiftningens krav kan emellertid i någon mån frångås genom pseudonymisering av de personuppgifter som behandlas. Med pseudonymisering avses att personuppgifter behandlas så att personuppgifterna inte längre utan tilläggsinformation kan kopplas till en specifik registrerad person. Tilläggsinformationen kan innehas av den personuppgiftsansvariga men ska vara separat lagrad så att informationen inte kan kopplas till en identifierbar fysisk person. Uppgifterna kan också anonymiseras. Det betyder att de uppgifter på basis av vilka en person kan identifieras oåterkalleligt raderas ur datamassan. Grundligt anonymiserade data är inte längre personuppgifter vilket betyder att EU:s dataskyddsförordning inte alls ska tillämpas på behandlingen av dem. Eftersom uppgifterna har upphört att vara personuppgifter är det fritt fram att utnyttja dem.
Personuppgifters värde och Big Data
I en digital ekonomi är personuppgifter en betydande form av immateriell egendom och fungerar som valuta vid utbyte av nättjänster. Trots att all Big Data inte alls är personlig är det bra att tänka på att personuppgifterna fungerar som en sorts oundviklig valuta för många sådana specialerbjudanden i internet som presenteras som ”gratis” eller som uppfattas vara gratis. I den valutan betalar man de facto för dessa tjänster.
Genom att utnyttja utvecklad teknologi kan man med hjälp av insamlade personuppgifter till exempel skapa profiler av personerna och förutsäga hur människor kommer att bete sig. De skapade profilerna kan vidareförädlas för användning i olika kontexter. Sådan databehandling kan senare inverka på individens ställning och rättigheter. Ännu kan man inte ens identifiera alla eventuella framtida risker. Därför är det viktigt att personuppgiftsbehandlingen också i Big Data-projekt görs planmässigt, kontrollerat och i enlighet med stadgandena om dataskydd.
Big Data-minneslista:
1. Planera. Oerhörda risker i fråga om skydd för de registrerades personliga integritet kan vara förenade med att utnyttja personuppgifter i massform. Profiler som skapats genom analys av massdata kan användas och vidareförädlas för att användas för olika ändamål och i olika kontexter. Det är därför viktigt att databehandlingen görs planmässigt, kontrollerat och i enlighet med stadgandena om dataskydd.
2. Beakta att de registrerades rättigheter ska realiseras. När uppgifter om en identifierbar person behandlas ska den registrerade erbjudas rätten att granska och korrigera uppgifterna. Den personuppgiftsansvariga ska informera den registrerade om att uppgifterna behandlas.
3. Försäkra dig om att den nya användningen av personuppgifter inte är oförenlig med det ursprungliga ändamålet. Den centrala idén bakom massdata är att uppgifterna senare kan behandlas på sätt och för ändamål som inte hade specificerats när uppgifterna samlades in. Principen om ändamålsbegränsning är inget hinder för sådan användning av personuppgifter, förutsatt att de nya ändamålen inte är oförenliga med den ursprungliga användningen.
4. Om du av tredje part köper data för analysering, bekanta dig omsorgsfullt med säljaren. I det fall att personuppgifter ingår i de data du har köpt, försäkra dig om att säljaren har laglig grund för insamling av uppgifterna och för att sprida dem vidare. Om säljaren från början inte hade någon laglig grund för att behandla personuppgifter kan sådan inte heller fås i efterhand.
VOKABULÄR
Big Data
Behandling och förädling av mycket stora, oorganiserade och ständigt växande datamassor, också personuppgifter, till ny information med hjälp av statistiska och matematiska metoder.
2.3.3 Myndighetsverksamhet och dataskydd
Myndigheternas verksamhet regleras av nationell lagstiftning. I lagarnas nav står ofta offentlighetsprincipen: Information som innehas av myndigheterna är offentlig, om inte offentligheten av tvingande skäl särskilt har begränsats genom lag.
Myndigheterna har breda befogenheter att inhämta sådan information om individerna som den berörda inte kan vägra att ge ifrån sig. Betydande datavolymer uppkommer också som följd av myndigheternas verksamhet, till exempel i rättsförvaltningens register eller i registren hos kommuner som ordnar grundläggande utbildning. Dataskyddet och offentlighetsprincipen är i grunden rentav motstridiga: det förstnämnda utgår från behovet av skydd för personuppgifter och personlig integritet, det sistnämnda från behovet av offentlighet. Mellan dessa två kan konflikt uppstå. För att lösa en sådan konflikt måste två viktiga principer sammanjämkas eller också måste den ena väljas framför den andra.
Om handlingen enligt lag är offentlig måste myndigheten utlämna den på begäran. Offentlighetsprincipen gäller också myndighetshandlingar som innehåller personuppgifter. Det är ändå självklart att EU:s dataskyddsförordning gäller också personuppgifter som enligt lag är offentliga: också om informationen i sig är offentlig är det ändå fråga om personuppgift och därför är den skyddad. En myndighet kan överlåta personuppgifter till tredje part om mottagaren enligt EU:n dataskyddsförordning är berättigad att behandla ifrågavarande personuppgifter. Vid överlåtandet av personuppgifter måste myndigheten begära en utredning bland annat om hur uppgifterna ska användas och om andra faktorer i samband med överlåtelsen, som till exempel hur dataskyddet är ordnat.
När EU:s dataskyddsförordning har trätt i kraft har den nationella övervakningsmyndigheten rätt att utkräva information om och konkreta bevis för att organisationer som behandlar personuppgifter på tillbörligt sätt beaktar sitt dataskyddsansvar. Personuppgiftsansvariga ska i fortsättningen på basis av bevisningsskyldigheten dokumentera sin personuppgiftsbehandling för att kunna visa att dataskyddsförordningen efterlevs i behandlingsarbetet. Personuppgiftsansvariga är skyldiga att samverka med övervakningsmyndigheten och att på begäran för denna presentera alla dokument om personuppgiftsbehandlingen.
I vissa situationer förpliktar dataskyddsförordningen en organisation som behandlar personuppgifter att självmant vända sig till övervakningsmyndigheten. Om dataskyddsbedömningen eller PIA till exempel visar att behandlingen eller användningen av ny teknologi är förknippad med många särskilda risker som påverkar skyddet för de registrerades personuppgifter ska övervakningsmyndigheten höras innan personuppgiftsbehandlingen inleds. Tanken är att myndigheten ska kunna framlägga förslag om hur riskerna kan minimeras. Dessutom är den personuppgiftsansvariga skyldig att utan omotiverat dröjsmål informera övervakningsmyndigheten om varje personuppgiftsincident som är större än obetydlig.
Myndighetens rätt till information om personuppgiftsbehandling gäller utom den personuppgiftsansvariga också personuppgiftsbiträdet, som är skyldig att till övervakningsmyndigheten överföra all information som behövs för övervakning av organisationens agerande i samband med personuppgiftsbehandling.
Minneslista som förberedelse på myndighetsövervakning:
1. Dokumentera alla moment i personuppgiftsbehandlingen samt de processer som iakttas i behandlingen. Enligt dataskyddsförordningen ska både den personuppgiftsansvariga och personuppgiftsbiträdet registrera personuppgiftsbehandlingens olika moment. En organisation som inte har skapat dokumenterade processer för personuppgiftsbehandling och som inte kontinuerligt registrerar databehandlingens moment kommer att ha mycket svårt att bevisa att den uppfyller sin bevisningsskyldighet.
2. Planera organisationens mekanismer för att överföra information till övervakningsmyndigheterna. Utse också ett eller flera dataskyddsombud som ska sköta kontakterna med dataskyddsmyndigheterna.
3. Följ i fortsättningen myndighetsanvisningarna. Dataskyddsombudsmannen eller EU:s dataskyddsarbetsgrupp torde framöver ge anvisningar om hur personuppgiftsbehandlingens moment ska dokumenteras och hur samarbetet med övervakningsmyndigheterna i praktiken ska förverkligas.
2.3.4 Rätten att bli bortglömd
I ett demokratiskt samhälle har allmänheten rätt till information och EU:s medlemsstater ska i sin statliga lagstiftning sammanjämka skyddet för personuppgifter enligt EU:s dataskyddsförordning med rätten tillyttrandefrihet och fri informationsspridning.
I och med EU:s dataskyddsförordning har den registrerade en i lagen uttryckligen tryggad rätt att kräva att den personuppgiftsansvariga raderar alla personuppgifter om personen i fråga och att på det sättet bli “bortglömd” av tjänsteleverantören. Därigenom tryggas individens rätt att ha kännedom om och inverka på hur hens personuppgifter behandlas. Förutsatt att rätten i varje enskilt fall kan tillämpas går den registrerades rätt att bli bortglömd i princip före internetanvändarnas rätt till information.
Första gången rätten att bli bortglömd tillämpades i EU-domstolen var Google-fallet. En spansk gentleman krävde att Google skulle radera sökresultaten som sökmotorn gav på en sökning med hans namn och som hänvisade till föråldrade uppgifter om en tvångsauktion som hade ordnats med anledning av hans skulder. I sitt utslag konstaterade EU-domstolen att sökmotorer kontrollerar människors personliga data och att de därför är skyldiga att radera uppgifterna på begäran av personen i fråga.
EU-domstolen konstaterade att individens rätt att kontrollera behandlingen av uppgifter om sig själv är stark, i synnerhet för den som inte är en offentlig person. Ju mer känd personen är, desto mer tyngd har allmänhetens intresse vid handläggningen av en begäran om radering.
Vad innebär rätten att bli bortglömd?
1. För kända politiker eller kändisar är det svårare att få sökresultat raderade än för ”vanliga” människor. Lägst är tröskeln för radering om den som begär radering av data är minderårig.
2. Den i förslaget till förordning avsedda rätten att bli bortglömd grundar sig på den av sedan gammalt existerande rätten att kräva radering av personuppgifter som inte längre behövs för något lagligt ändamål. Den personuppgiftsansvariga har redan nu varit skyldig att radera personuppgifter som det inte längre finns någon motiverad orsak att lagra.
3. Behov att få data raderade kan uppstå i många vardagliga situationer. Ett barn förstår till exempel inte alltid vilka risker som är förknippade med spridningen av personuppgifter eller att man som vuxen kan komma att ångra sin oförsiktighet. I synnerhet i sådana fall behövs rätten att på begäran kunna bli bortglömd.
4. Rätten att bli bortglömd är inte absolut. Personuppgifter kan sparas så länge de behövs för att uppfylla till exempel ett avtal eller någon lagstadgad skyldighet. Rätten att bli bortglömd innebär inte heller att historien ska skrivas om. Förslaget till förordning identifierar uttryckligen också vikten av yttrandefrihet, pressfrihet samt historisk och vetenskaplig forskning.
5. Organisationerna ska försöka se till att också tredje part får kännedom om att radering har begärts. Detta innebär till exempel att man försäkrar sig om att sådan tredje part till vilken data har överförts blir informerad om att radering har begärts. I de flesta fall räcker det med ett mejl för att saken ska vara skött.
2.3.5 Sammandrag och etappfrågor
Personuppgiftsbehandling i nutidens nätverkande digisamhälle är förknippad med en uppsjö av olika risker och faktorer som måste beaktas. Utläggning av personuppgiftsbehandling på företag som säljer molntjänster och utnyttjande av Big Data är vardag men förutsätter omsorgsfullhet i bedömningen, genomförandet och uppföljningen av dataskyddet.
Många av de skyldigheter som ingår i EU:s dataskyddsförordning ingår redan i gällande dataskyddslagstiftning. Ändå orsakar EU:s dataskyddsförordning extra arbete för många organisationer som behandlar personuppgifter. Dataskyddsförordningen stärker till exempel de registrerades rättigheter, som rätten att bli bortglömd. Vidare måste den personuppgiftsansvariga och personuppgiftsbiträdet framöver bereda sig på att inför övervakningsmyndigheten bevisa att verksamheten följer dataskyddsförordningen. Det är därför bäst att i god tid gå igenom hur organisationen arbetar med personuppgiftsbehandling och anpassa sig till den nya förordningen. I synnerhet i större organisationer kan det ta lång tid att tillägna sig förändringar och få dem genomförda i hela organisationen.
Nu kan du besvara nedanstående mellantest. Dina svar sparas inte så du kan med friskt mod ägna dig åt försök och misstag.
3. Repetition
Dataskydd lämnar alltid rum för tolkning, vilket måste beaktas i företagets beslutsprocesser. Öppen kommunikation i de registrerades riktning utgör en central del av lagstiftningen och reglerna om dataskydd.
Skydd för privatliv och datasäkerhet är begrepp som har nära samband med dataskydd men det finns nyansskillnader och begreppen kan inte användas synonymt.
Dataskydd handlar om skydd för individens personuppgifter. Personuppgifter är all information som direkt eller indirekt kan identifieras. Information som inte som sådan kan identifieras men blir identifierbar i kombination med annan information betraktas som personuppgift. Med känsliga uppgifter, det vill säga särskilda kategorier av personuppgifter, avses särskilt känslig information om till exempel personens hälsa, sexuella preferenser, politiska åskådning eller fackanslutning. Dessa uppgifter är centrala för personens personliga integritet och därför särskilt privata.
Med personuppgifter avses all information som gäller en identifierad eller identifierbar fysisk person. Dataskydd betyder skydd för personuppgifter och behandling av dem, mot obehörig eller otillåten behandling. Den personuppgiftsansvariga och personuppgiftsbiträdet har skyldighet att trygga individens grundläggande rätt till dataskydd. Den personuppgiftsansvariga och biträdet ska till exempel skydda insamlade personuppgifter på tillbörligt sätt, se till att den registrerades dataskyddsrättigheter uppfylls och utbilda sin personal till att förstå dataskyddslagstiftningens krav. Den personuppgiftsansvariga och biträdet är också skyldiga att iaktta tillbörlig omsorgsfullhet i sin personuppgiftsbehandling och att följa god databehandlingssed.
Den registrerade har rätt att granska sina egna uppgifter, rätt att förbjuda eller begränsa behandling av uppgifterna, rätt att kräva korrigering av felaktiga, bristfälliga eller föråldrade uppgifter och rätt att bli bortglömd. Dessa rättigheter är inte absoluta utan de ska ses i relation till andra rättigheter, som yttrandefrihet och allmänt intresse.
Big data har ofantlig inverkan på personuppgiftsbehandlingen. Mer data än någonsin samlas nuförtiden in och datorernas växande kapacitet har gjort det möjligt att på aldrig tidigare skådat sätt kombinera flera olika datakällor. Big data skapar många affärsmöjligheter men utgör också ett hot mot individens grundläggande rätt till skydd för privatlivet och dataskydd. Ett väl utfört utnyttjande av Big data förutsätter att planeringen är heltäckande, att användningsändamålet är lämpligt och att den registrerades rättigheter beaktas.
4. Sluttest
Nu har du genomgått kursen och det är dags för sluttest. Läs frågorna omsorgsfullt och välj det bästa svarsalternativet. Testet omfattar 10 påståenden och din uppgift är att avgöra om de är sanna eller falska. När du är färdig kan du kolla dina poäng genom att klicka på knappen ”Kontrollera svaren”. Besvara samtliga frågor.
Om du inte fick godkänt kan du gå om kursen så många gånger du vill. För att bli godkänd behöver du få 7 poäng!
More
Less
Experience
Years of experience: 45. Registered at ProZ.com: May 2018.