GDPR tietosuoja-asetus, mitä vaikuttaa kuvaajiin?

[jaava]

Yksityishenkilö on yksityishenkilö. Yrityksillä, kunnilla, valtioilla, säätiöillä, julkisyhteisöillä ja muilla yhteisöillä voidaan sanoa olevan organisaatioita. Vaikka organisaatio on käsitteenä hieman laajempi, GDPR-asetuksessa organisaatiolla viitataan tällaisiin entiteetteihin, ei yksityishenkilöihin.

Filosofisesti asiaa miettien meidän kielen sanat on maailmaa kaksiarvoistavia ilman että edes mietimme asiaa: Sana tuoli tarkoittaa tietynlaista objektia ja kaikki muut entiteetit ovat ei_tuoleja. On kuitenkin suuri joukko "tuoleja", joista ihmiset ei ole samaa mieltä: toiset pitää tuolina, toiset ei_tuolina. Siis jonkinlaisia harmaan alueen tuoleja. Myös voi sanoa reaalimaailman sanoissa olevan oikeasti sumeutta, vaikka puheessamme oletamme (alitajuisesti) niiden olevan selkeitä.

Verottaja päättää yksityishenkilön kohdalla onko hän yksityishenkilö verotuksellisesti vai jokin muu (vaikka organisaatio, jos se on verotajan käyttämä termi). Poliisi saattaa päättää moottoripyöräkerhon kohdalla, onko se kaveriporukka vai (rikollis-)organisaatio huolimatta sen Yhdistysrekisterimerkinnöistä. Tällaisiahan piisaa. Tovottavasti GDPR ei poi'i lisää esimerkkejä.

Mä en ole tutustunut ollenkaan GDPR-asetukseen, enkä tiedä sen määritelmistä. Onko tässä yksi ankeuttaja lisää EU-byrokratiaan, vai selkeyttääkö se tilannetta turvallisempaan suuntaan.

[mremonen]

Mä en usko, että GDPR ottaa kantaa tuoleihin... tai edes ei-tuoleihin. Jos ne eivät ole siis organisaatioita.

[jaava]

Mä en usko, että GDPR ottaa kantaa tuoleihin... tai edes ei-tuoleihin. Jos ne eivät ole siis organisaatioita.

Mun filofisesti asiaa syventävä pohdinta tais mennä harakoille.
Niinpä "Yksityishenkilö on yksityishenkilö". Ainakin jos kysytään yksityishenkilöiltä ... tai onhan niitä organisaatioiksikin itsensä mieltäviä ja itseään teititteleviä.

Mua epäilyttää tällaiset GDPR tuotokset, koska EU:n asetuksiin, direktiiveihin ja muihin säädöksiin vaikuttaa niin paljon vahvat lobbarijoukot, että jos ne eivät saa rampautettua, niin ainakin niihin saadaan aukkoja joiden avulla päästään hyötymään. Jos ei muut, niin ainakin eteläinen eurooppa.

[olli R]

GDPR on loppujen lopuksi (ainakin minun mielestäni) ihan hyvä säännöstö.

Jo aiemmin Suomen henkilötietolaki on sisältänyt aika laillla ne rajoitukset, joita sähköiseen henkilötietojen käsittelyyn on. Henkilötietolaki ei rajoitu pelkästään yrityksiin, vaan myös yksityishenkilöihin, joilla rekisteri on jossain tavanomaisesta poikkeavassa käytössä:

2 pykälässä: "Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa."

Esimerkiksi, jos keräät tietoa kamerainnostuneista ihmisistä ja käytät sitä omiin jatkuviin massapostituksiin, vaikkakin hyväntahtoisiin, niin se on jo lain piirissä. Jos vaan pidät omaa osoitelistaasi, yksittäisiä viestejä varten, niin se ei ole.


GDPR tuo oikeastaan vain pari tärkeää asiaa lisää henkilötietolakiin. Yritysten on pidettävä yllä toimintatapaa sitä tilannetta varten, jos henkilötietosuoja pettää. Tällöin on muun muassa pakko ilmoittaa niille, joiden henkilötietoja on kadotettu.

Toinen tärkeä asia (mutta todella vaikea toteuttaa) on se, että pitää olla selvitettävissä, ketkä ovat henkilön yksityisiä tietoja nähneet (lokitus). Samalla tulee myös velvoite siitä, että tietoja ei saa nähdä ilman selkeää tarvetta. Näitä ei todellakaan ole kovin hyvin toteutettu oikein missään asiakasrekisterissä julkista terveydenhoitoa lukuunottamatta. Tällä saa hyvää paniikkia aikaan jatkossa missä tahansa yrityksessä menemällä kysymään listaa omia tietoja katselleista henkilöistä.

Ja muistuttaisin, että siis sakot olivat:

"hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi"

Eli siis 20 miljoonaa euroa tai 4% liikevaihdosta, valiten suurempi. Tosin tämä on siis enimmäissakko, riippuen tuottamuksen vakavuudesta ja tahallisuudesta sekä syntyneistä vahingoista. Pikkufirmalla 20 milliä on aika paljon.

[mremonen]

Kolmas tärkeä asia on se, että yrityksen on poistettava hallussaan olevat henkilötiedot henkilön näin pyytäessä (vaatiessa?), jollei säilytys perustu lakiin. Toki joissain tapauksissa henkilötietojen poistovaade voi aiheuttaa myös ostetun palvelun päättymisen (tyyliin sähkösopimus).

Neljäs tärkeä asia on, että GDPR määrittää, että henkilötietoja voi käyttää vain siihen tarkoitukseen mihin ne on aikanaan kerätty. Eli jos olet hankkinut firmalta sähkösopimuksen, sen tietojen perusteella sinulle ei voi kohdistaa markkinointia, vaan siihen on pyydettävä erikseen lupa. Ja lupa täytyy pyytää explisiittisesti sitä tarkoitusta varten, eikä myöskään "vaikeneminen ole myöntymisen merkki" tässä tapauksessa. Eli ei voi olla rastia "en halua suoramarkkinointia", vaan "haluan suoramarkkinointia".

Sitten onkin nämä lakiin perustuvat säilytyssäännökset. Esimerkiksi liikennevahinkojen osalta 100 vuotta... Jos olet joskus kolautttanut autoasi, niin aika kauan on tiedot jossain :)