EU:n tietosuoja-asetus

Osiot 1-4 perustuvat Helsingin yliopiston kurssilla vuonna 2019 tekemääni esseeseen.

1. Johdanto GDPR:ään ja asetuksen tarkoitus 

GDPR tulee sanoista General Data Protection Regulation. EU:n yleinen tietosuoja-asetus hyväksyttiin jo toukokuussa 2016, kahden vuoden siirtymäajalla [1]. Se koskee EU-maita ja lisäksi myös tahoja, jotka tallentavat EU-kansalaisten henkilötietoja EU:n ulkopuolella. Asetus on Euroopan komission, Euroopan parlamentin ja Euroopan unionin neuvoston yhteinen pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien EU:n jäsenmaiden kesken, ensisijaisesti yksinkertaistaa sääntely-ympäristöä sekä vahvistaa kansalaisten oikeuksia omiin henkilötietoihinsa. Suomen kansallinen lainsäädäntö [2] on jo varsin hyvin EU:n tietosuoja-asetuksen mukainen.

2. Mikä muuttui suhteessa vanhaan henkilötietolakiin?

Käyttämäni sana ”muutoskokonaisuus” ei tule asetustekstistä, vaan pyrin tällä sanalla auttamaan lukijaa hahmottamaan asetuksen tuomia muutoksia. Ensimmäinen muutoskokonaisuus vanhaan henkilötietolakiin nähden on, että GDPR tuo lisää oikeuksia yksityishenkilölle [3]. Näkyvin muutos on nettisurffaajalle lienee jo harmittaviksikin käyneet tietosuoja-asetuksen hyväksymisspyynnöt, joita alati joutuu sivustoilla klikkaamaan. Muutos, jota ei ehkä tule ajatelleeksi, on vaikkapa niinkin arkinen, että pizzaa kotiin tilatessa asiakas tietää nyt paremmin, miten hänen ruokatilauksiensa tietoja käsitellään, tallennetaanko näitä tietoja ja millä tavoin. Edellä kerrotun esimerkin tapaus ei lienee komissiolla ollut mielessä asetusta säädettäessä. Uuden asetuksen myötä yksityishenkilöllä on oikeus saada kaikki
tallennetut henkilötiedot, tietyillä ehdoilla pyytää oikeutta tulla unohdetuksi (pyytää haltijaa poistamaan kaikki henkilötiedot) ja oikeus kuulla tietosuojarikkomuksista.

Toinen muutoskokonaisuus vanhaan henkilötietolakiin verraten on, että GDPR:n käyttöönottoa tehostetaan tuntuvilla rangaistuksilla [3]. Törkeimmistä väärinkäytöksistä voi joutua maksamaan sakkoa 4% yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa, joista valitaan korkeampi. Ennen sakkoa toimijalle annetaan varoitus todennäköisestä lainvastaisuudesta, sitten huomautus asetuksen vastaisesta käsittelystä ja vasta lopulta tulee toimenpidemääräys. Sakkoa käytetään kuitenkin vain viimeisenä keinona. Sitä ennen toimijan tulee osoittaa, että on tehnyt kaikkensa asetuksen toteutumisen eteen. Tosin Tietosuojavaltuutetun toimiston kanssa käymäni puhelinkeskustelun mukaan [4] heidän ensisijainen toimintatapa mahdollista loukkausta epäiltäessä on ystävällinen yhteydenotto, neuvonta ja palvelu. Ainakin Suomessa palvelu ja neuvonta kuuluvat siis ensisijaiseen keinovalikoimaan.

Kolmas muutoskokonaisuutena on, että yritysten tarvitsee jatkossa ottaa huomioon vain yksi henkilötietojen käsittelyyn liittyvä laki [3]. Aikaisemmin EU:n ulkopuoliset yritykset saivat käsitellä dataa vapaammin, mutta nyt asetus on voimassa aina, kun henkilötietojen käsittely tapahtuu Euroopan unionissa. Neljäs muutoskokonaisuus liittyy ”privacy by design” -konseptiin, joka tulee pakolliseksi eri tietojärjestelmiä suunniteltaessa. Tällä konseptilla tarkoitetaan tapaa suunnitella ja kehittää tietojärjestelmiä, joissa tietoturva on järjestelmän ydinvaatimus.

Luvanvaraisuus on osa viidettä muutoskokonaisuutta. GDPR:ssä on erityyppisiä luvanvaraisuustasoja, joista suostumus, sopimus ja oikeutettu etu ovat yleisimpiä. Luvan pyytäminen pitää olla selkeä ja lupaa kysyessä pitää tehdä selväksi tietojen käyttötarkoitus. Yritykset eivät voi enää ns. kätkeä näitä tietoja loppukäyttäjän lisenssisopimukseen tai verkkosivustolle sijoitettujen lakitekstioiden alle. Luvan peruminen on tehtävä yhtä helpoksi kuin sen antaminenkin ja käsittelykäytänteiden muuttuessa pitää saada uusi lupa.

Jos henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin [5], on tietosuojavastaavan nimittäminen pakollista. Tietosuojavastaavia näkyy kuitenkin yllättäen olevan jopa parturien ja pizzerioiden nettisivuilla, vaikka se on ilmeisen tarpeetonta asetuksen kannalta, pakollista tietosuojavastaavan nimittäminen on näet vain eräissä poikkeustapauksissa.

4. Direktiivin ja asetuksen ero lyhyesti

Kaikki mitä EU tekee, perustuu perussopimuksiin [6]. Direktiivin ja asetuksen erona on tiivistetysti se, että direktiivi tulee saattaa osaksi kansallista lainsäädäntöä, se velvoittaa saavuttamaan tavoitteet ja EU-maa saa päättää itse keinoista. Asetus taasen astuu voimaan heti, sitä ei tarvitse erikseen saattaa osaksi kansallista lainsäädäntöä. Lukijan on ensin hyvä ymmärtää kaksi eri EU:n säädösten tyyppiä. Määräyksen tyyppejä on yhteensä 8, mutta tässä esseessä käsitellään direktiiviä ja asetusta [7]. Direktiivi on EU-maita velvoittava, mutta joustavuutta direktiivin käsittelyyn tuo se, että maat saavat päättää itse keinoista miten tavoitteisiin päästään; lopulta kuitenkin EU-maiden pitää saavuttaa direktiivissä säädetyt tavoitteet [5]. Direktiivi on saatettava osaksi EU-maiden kansallista lainsäädäntöä. Kansallisten viranomaisten on myös ilmoitettava näistä kansallisista laeista Euroopan komissiolle.
Toinen EU:n säädösten tyyppi on asetus. Asetukset ovat säädöksiä ja niitä sovelletaan yhtälaisesti ja automaattisesti kaikissa Euroopan Unionin jäsenmaissa heti niiden tultua voimaan. Asetukset sitovat kaikkia EU-maita koko laajuudessaan ja niitä ei tarvitse erikseen saattaa osaksi kansallista lainsäädäntöä.

Voit lukea lisää EU:n tietosuoja-asetuksesta täältä: EU:n tietosuoja-asetus - usein kysyttyjä kysymyksiä | Tietosuojavaltuutetun toimisto

Näkökulmia ChatGPT:n käytön kannalta

EU:n tietosuoja-asetus sitoo OpenAI:ta, joka ChatGPT:n on tuottanut. Toisaalta jos käytät ChatGPT:tä esim. työkäytössä, tulee tällöin myös sinun ja mahdollisesti työnantajasi huomioida EU:n tietosuoja-asetus. 

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.

Henkilötietoja ovat esimerkiksi

nimi
kotiosoite
sähköpostiosoite, kuten etunimi.sukunimi@yritys.com
puhelinnumero
henkilökortin numero
auton rekisterinumero
paikannustiedot
IP-osoite
potilastiedot
isovanhempien perinnöllisiä sairauksia koskevat tiedot.

Käytännön soveltamisohjeita ChatGPT:n käytössä

• Keskustele työnantajasi kanssa ChatGPT:n käytöstä ja sen eduista
• Tärkeintä on, ettei tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja päädy ChatGPT:lle (kts yllä listatut "Henkilötietoja ovat esimerkiksi...")
• Tulkintani mukaan jos ChatGPT:lle syötetyistä tiedoista ei voida tunnistaa henkilöä, voidaan niitä tällöin käyttää. Mahdollisesti voit esim. editoida pois henkilötiedot ja korvata ne omalla tunnistetiedolla ja ajaa tehtävän läpi ChatGPT:ssä, tällöin varsinainen henkilötieto pysyisi yrityksen hallussa, johon henkilötiedon antaja onkin antanut luvan.
• Jos esim. haluat analysoida työnhakijan CV:n ChatGPT:llä, tällöin tulkintani mukaan riittäisi, että poistat siitä henkilötiedot. Esimerkiksi harvoin ihmistä voi tunnistaa tekstidatasta sen perusteella, että vuonna 2000 työskennellyt Burger Inissä 5 vuotta ja 3 vuotta Alepassa, sen lisäksi avoimen yliopiston opintoja 4 vuotta.
• "Maalaisjärjen" käyttö on mielestäni hyvä nyrkkisääntö. Samoin kuin empatia: haluaisitko itse, että nimesi pyörisi hetken aikaa palvelussa X?

Tässä moduulissa tai kurssilla esitetyt ohjeet eivät kuitenkaan ole juridisia ohjeita, keskustele tarvittaessa työpaikan lakimiehen kanssa ChatGPT:n soveltamisesta.