Ohita navigaatio

Voihan !@&*%:n GDPR

GDPR, taas tuo viheliäinen kirjainyhdistelmä! Eikö siitä millään jo pääsisi eroon?

Eurooppalainen yleinen tietosuoja-asetus on henkilötietojen käsittelyä säätelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018. Tietosuoja-asetus antaa paremman suojan henkilötiedoille ja enemmän keinoja hallita niitä. Suomessa lainsäädäntö oli jo valmiiksi hyvin GDPR-yhteensopiva, mutta uuden yleiseurooppalaisen asetuksen myötä tietosuojaan alettiin kiinnittää entistä enemmän huomiota. Siksi GDPR:ään tuntuu nykyään törmäävän kaikkialla.

Tietosuoja on erinomainen asia. Kukapa meistä haluaisi tietojemme päätyvän vääriin käsiin. Tietosuojan eteen pitää kuitenkin nähdä vaivaa ja toimia koko ajan huolellisella tavalla kaiken tiedon käsittelyssä. Henkilötietojen käsittelyn pitää aina perustua lakiin, lupaan tai merkittävään yksilön etuun. Kun työtehtävissä käsitellään tietoja työnantajan antamien ohjeiden mukaisesti, ollaan yleensä selvillä vesillä: laki antaa valtuuksia ja luvat ovat kunnossa.

Työnantajasi vastaa tietojen käsittelyn turvallisuudesta ja tarvittavista tietosuojaselosteista, joiden perusteella tietoja on työtehtävissä lupa hankkia ja käsitellä. Työntekijän on silti hyvä olla perillä yleisistä tietosuojaperiaatteista. Useimmat työnantajat perehdyttävät työntekijänsä koulutuspaketeilla, joita löytyy hyviä ilmaisia myös verkosta.

”Omien muistiinpanojen tekeminen ei vaadi lupia, mutta huolellisuutta kylläkin”

Tietosuoja-asiat voivat välillä tuntua hyvinkin vaikeilta ja joskus tulee mieleen voiko oikein mitään tehdä, tallentaa tai ainakaan julkaista. Varovaisuus on hyvä, mutta hysterian puolelle ei kannata luiskahtaa. Yleisimpiä väärinkäsityksiä on esimerkiksi omat muistiinpanot. Ne eivät muodosta laissa tarkoitettua henkilörekisteriä. Siksi esimerkiksi opettaja saa tehdä hyvin vapaasti mitä tahansa merkintöjä itselleen esimerkiksi opiskelijoistaan. Mutta huolellinen pitää olla! Ne eivät saa missään nimessä päätyä muiden nähtäville, sillä yksityiselämän suoja on turvattu toki muilla laeilla.

Toinen yleinen väärinkäsitys liittyy tietojen julkaisemiseen. Pääsääntöisesti jo julkaistua tietoa saa olla näkyvissä erilaisissa listauksissa. Asiayhteyden kanssa ja muiden tietojen yhdistämisessä niihin pitää olla silti joka kerralla varovainen, ettei niiden vuoksi listauksesta muodostu uutta rekisteriä. Valitettavasti tietosuoja-asioissa yleisiä saa/ei saa -ohjeita on yleensä vaikea antaa, koska jokaisessa tapauksessa voi olla niin monta erilaista muuttujaa. Joudumme siis välillä painiskelemaan ongelmien kanssa, kuten voinko laittaa sähköpostiviestin vastaanottajat näkymään kaikille ja meneekö ne osallistujat nyt varmasti piiloon Teams-kutsussa.

GDPR:n tarkoituksena ei ole ärsyttää eikä rangaista ketään. Sen tarkoituksena on, että tietosuoja-asioihin kiinnitetään huomiota. Kun huomiota kiinnitetään, silloin löydetään mahdolliset pikkupuutteet helposti ennen kuin isompia ja vakavampia pääsee edes syntymään. Eroon GDPR:stä ei päästä, mutta sen kanssa kyllä oppii elämään.

Konsta Ojanen

Digitaalisten oppimisympäristöjen asiantuntija ja tietosuojavastaava

Suosittelen lämpimästi seuraavaa verkkokoulutusta kaikille:

Tietosuojan ABC julkishallinnon henkilöstölle

Tapahtumat

Yhdistyksemme

SKOn tarkoituksena on valvoa jäsenistön ammatillisia etuja ja tukea jäsenten yleistä hyvinvointia.