Tietosuoja on jotakin kummallista. Kaikki ymmärrämme mitä on tieto, ja useimmilla on mielessä joku konsepti siitä mitä on suoja. Yhdessä sanat kuitenkin muuttuvat abstraktiksi, merkityksettömäksi ja monitulkintaiseksi mössöksi. Jopa kokeneilla ja fiksuilla juristeilla (mitä, eivätkö ne kaikki olekaan fiksuja?) tuntuu säännönmukaisesti menevän sekaisin esim. mitä eroa on tietosuojalla ja tietoturvalla.  Mitä siis ihan oikeasti tarkoittaa tietosuoja?

Tässä esittelemäni määritelmä perustuu ensinnäkin puhtaasti EU:n lainsäädännössä auki kirjoitettuun sisältöön, joten jos et pidä EU:n lainsäädäntöä auktoriteettinasi, joudut valitettavasti etsimään määritelmää muualta.

Tietosuoja viittaa käytännössä pelkästään henkilötietoon. Pitäisikin siis puhua henkilötietosuojasta. Kysymys on pohjimmiltaan henkilön oikeudesta itseään koskevaan tietoon. Tietoa voidaan pitää tässä suhteessa siis kuin minä tahansa immateriaalisena oikeutena. Sinä omistat itseesi liittyvät tiedot ja voit myös päättää kuka niitä pitää hallussaan tai hyväksikäyttää. Näin siis pääsääntöisesti, lainsäädäntö tietenkin luo lukuisia poikkeuksia tähän.

Mitä sitten on henkilötieto? Kopioin tähän uuden tietosuoja-asetuksen määritelmän. Henkilötiedolla (tarkoitetaan)kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä "rekisteröity", liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Joku on asetuksen luettuaan osuvasti sanonut, että nykyään kaikki tieto on siis henkilötietoa. Itse kaventaisin tätä luonnehdintaa hieman, mutta jokaisen on hyvä pitää mielessä, että henkilötietoa löytyy yllättävistä paikoista. Tulitko esimerkiksi tätä lukiessasi miettineeksi, että tämä blogi on itse asiassa myös allekirjoittanutta koskevaa henkilötietoa?

No entä mitä on suoja? Kysymys on vaikea, koska suoja tarkoittaa niin monen tasoisia asioita. Perinteinen tietoturva, siis saatavuuden, eheyden ja luottamuksellisuuden takaaminen on tietenkin yksi keskeinen osa myös tietosuojaa. Itse näen tietoturvan kuitenkin vain yhtenä keinona luoda tietosuojaa. Ja toisaalta tietoturva liittyy muihinkin asioihin kuin vain (henkilö)tietosuojaan.  Suojan sisältö voidaan ilmaista laajassa merkityksessä oikeastaan vain käyttämällä tietosuoja-asetuksen esittelemiä periaatteita, joita on iso joukko. Nämä periaatteet voidaan kuvata seuraavina tiedon käsittelyyn liittyvinä tavoitteina ja edellytyksinä: 1) lainmukaisuus, kohtuullisuus, läpinäkyvyys 2) käyttötarkoitussidonnaisuus 3) tietojen minimointi 4) täsmällisyys 5) säilytyksen rajoittaminen sekä 6) eheys ja luottamuksellisuus.

Lopulta (henkilö)tietosuojan sisältö tyhjenee henkilörekisterin pitäjän yksiselitteiseksi velvollisuudeksi. Henkilörekisterin pitäjän on kyettävä osoittamaan (siis todistamaan), että edellä mainittuja periaatteita myös noudatetaan rekisteritietojen käsittelyssä. Tietosuojassa onkin siis rekisterinpitäjän näkökulmasta kyse velvollisuudesta huolehtia siitä, että hänen huomaansa uskottuja tietoja käsitellään ainoastaan lain mukaisesti!

Tietosuoja on siis yhtäältä henkilön oikeutta omiin tietoihinsa, ja toisaalta kaikkien muiden tahojen velvollisuutta toimia siten, että tämä oikeus myös toteutuu. Käytännön liike-elämässä tämä kiteytyy helpoksi ohjeeksi: 1) Mieti säännöllisesti mitä tietoa yritykselläsi on 2) mieti onko yritykselläsi oikeus säilyttää tuota tietoa ja 3) huolehdi siitä, ettei kukaan pääse oikeudettomasti käsittelemään näitä tietoja. Lopultakin melko yksinkertaista, mutta tietosuoja ei tietenkään tapahdu itsestään.

 

[Kimmo Kajander]
Kimmo Kajander
 @KajanderKimmo