Uusi EU:n tietosuoja-asetus: henkilötiedoille suojaa, käsittelystä avoimempaa

Tänä keväänä aletaan soveltaa EU:n uutta tietosuoja-asetusta. Mitä asetus merkitsee kirjastoille ja kirjastojen asiakkaille?

EU:n uusi tietosuoja-asetus (General Data Protection Regulation, GDPR) on tarkoitettu tekemään henkilötietojen käsittelystä entistä avoimempaa ja läpinäkyvämpää.

Asetuksella myös yhdenmukaistetaan EU:n jäsenvaltioiden tietosuojaa. Yhtenä tavoitteena on lisätä ihmisten tietoisuutta henkilötietojen käsittelystä.

Asetus edellyttää, että tietoja käsitellään vain asiayhteyden vaatimassa laajuudessa. Lisäksi tarvittavat tekniset ja hallinnolliset muutokset pitää tehdä työkäytäntöihin ja järjestelmiin. 

Kuva voi olla henkilötieto

Miten tietosuoja-asetus vaikuttaa kirjastoon? Kirjastossa on selvitettävä käsitteitä ja vastuutahoja sekä organisaation tietosuojaa ja henkilötietojen käsittelyä. 

Henkilötietojen käsittelystä vastaa rekisterinpitäjä. Rekisterinpitäjällä on velvollisuus osoittaa, että tietoja on kerätty asianmukaisella tavalla ja että tietoturvasta huolehditaan.

Kunta on rekisterinpitäjä. Se voi jakaa vastuuta rekisterinpidosta esimerkiksi lautakunnalle. Rekisterinpitäjä voi kirjastojen osalta olla kunta, lautakunta tai kirjasto. Esimerkiksi Turussa rekisterinpitäjä on kirjasto. Pääkaupunkiseudun Helmet-kirjastoilla rekisterinpitäjänä on vastaava lautakunta. 

Henkilötietoja voidaan kerätä kuten tähänkin asti vain lakiin kirjatuilla perusteilla.

Henkilötiedoksi määritellään muun muassa kaikki tunnistettavissa oleva tieto, kuten nimi, henkilötunnus, osoite, sähköpostiosoite, syntymäaika, sukupuoli tai ammatti.

Henkilötietoja voivat myös olla esimerkiksi sijaintitieto, verkkotunnistetieto tai IP-osoite, kuva videohaastattelusta tai valvontakameran tallenteet.

Kirjastoissa pohditaan, ovatko kuvat tai kameratallenteet henkilötietoja. Jos tietty henkilö voidaan tunnistaa ja sen perusteella saadaan selville, kenestä on kyse, on kyseessä henkilötieto.

Valvontakameratallenteiden säilyttämisestä ei ole suosituksia. Rekisterinpitäjä määrittelee säilyttämisen keston. Tallenteet on hävitettävä, kun niitä ei enää tarvita. Valvontaan on oltava asiallinen syy ja siitä on tiedotettava näkyvästi.

Tietojen keruu minimoitava

Uuden asetuksen hengen mukaan tietoja pitää kerätä vain tarvittava määrä. Henkilötietojen käsittelyn elinkaari tarkoittaa, että selvitetään, mitä henkilötietoja kerätään ja miten niitä käsitellään, säilytetään ja poistetaan. Käytännöt täytyy olla määritelty ja dokumentoitu ja ne täytyy pystyä tarvittaessa esittämään.

Henkilötietoihin rekisteröidyn ihmisen oikeudet säilyvät monilta osin ennallaan. Säädökset ovat kuitenkin aiempaa yksityiskohtaisempia ja mukana on myös uusia oikeuksia. Rekisteröidyllä on esimerkiksi oikeus saada läpinäkyvää ja helposti ymmärrettävää tietoa ja oikeus saada tietoa tietoturvaloukkauksista.

Kirjastoon ei tarvitse erikseen nimetä tietosuojavastaavaa, mutta kunnassa sellainen on oltava. Helsingissä tehtävä on päätoiminen ja sitä hoitaa lakimies. 

Mitä naapuri lukee?

Voiko naapurin tai kollegan asiakasrekisteri- tai lainaustietoja katsella tai antaa eteenpäin? Ehdottomasti ei saa katsella uteliaisuuttaan. Rekisterinkäytölle on oltava asiallinen, kirjaston käyttöön liittyvä syy. Rekisteriselosteessa tai vastaavassa olisi hyvä mainita, kauanko tietoja säilytetään.  Esimerkiksi Helmet-kirjastoissa on jo lyhennetty asiakastietojen säilyttämisaikaa viidestä kolmeen vuoteen. 

Lainaustietoja ei yleensä säilytetä, jos lainat on palautettu. Palauttamatta jääneistä tiedot jäävät pidemmäksi aikaa rekisteriin ja nämä lainat voivat siirtyä perintätoimiston perittäväksi. Uuden tietosuoja-asetuksen mukaan palveluja ulkoistettaessa täytyy jatkossa tehdä kirjallinen tietojenkäsittelysopimus.  

Pitääkö henkilötiedon käsittelystä jäädä järjestelmään jälki? Lokitietojen tallentamisesta on eri tulkintoja, mutta asetus ei sitä vaadi. Kirjastojärjestelmien toimittajat ovat jo toteuttaneet tai toteuttamassa lokitietojen keruun edellyttämiä muutoksia. 

Esimerkiksi Kohan lokitietojen keräys- ja säilytysjärjestelmän muutokset on aloitettu ja toukokuuhun mennessä järjestelmästä pitäisi saada tarvittavat tiedot. 

Axiellin kirjastojärjestelmiin on toteutettu erilaiset käyttöoikeustasot. Niillä säädellään järjestelmän käyttäjien mahdollisuutta nähdä tai käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja. 

Axiellin järjestelmissä on jo nyt myös käyttäjien toimenpiteiden seuranta, jonka avulla pystytään valvomaan ketkä ovat tarkastelleet järjestelmään rekisteröityjen tietoja. Raportointiin on tehty parannuksia, jotta rekisteröidyille voidaan toimittaa henkilötietoja helposti ymmärrettävässä muodossa. Lisäksi ohjelmaan on tehty tarkennuksia, jotka liittyvät henkilötietojen poistamiseen kirjastojärjestelmästä. 

Kirjasto ei voi kerätä asiakaskohtaista lainaushistoriaa. Kirjaston asiakkaat voivat säilyttää omia lainaustietojaan. Esimerkiksi Helmet-kirjastoissa lainatuista teoksista voi tehdä muistilistoja omien tietojen osioon. Kotipalveluasiakkaiden lainaushistorian tallentamisesta on pyydettävä asiakkaan suostumus, kuten ennenkin. 

Lisää perehtymistä tarvitaan

Rekisterinpitäjä päättää, mikä on paras tapa tiedottaa tietosuojasta, rekisteröidyn oikeuksista ja kirjaston päätöksistä. Kirjasto voi tehdä rekistereistään tietosuojaselosteen. Entisenlaisia rekisteriselosteita ei tarvita, mutta vanha seloste on mahdollista päivittää ja käyttää sitä tietosuojaselosteen sijasta.  

Kaikista asetuksen soveltamiseen liittyvistä yksityiskohdista eivät vielä asiantuntijatkaan ole yksimielisiä. Kirjastoissa on perehtymisen ja perehdyttämisen paikka.

Lisätietoja:

  • EU:n tietosuojauudistus, tietosuojavaltuutetun toimisto: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html
  • Minna Hanninen, Elli Laine, Kati Rantala, Mari Rusi, Markku Varhela: Henkilötietojen käsittely. Kauppakamari 2017
  • https://www.kuntaliitto.fi/asiantuntijapalvelut/laki/julkisuus-ja-tietosuoja/tietosuoja-asetus

Suomeen tulossa uusi tietosuojalaki

Lisäksi Suomessa on valmisteilla uusi tietosuojalaki, jonka pitäisi astua voimaan toukokuussa samaan aikaan kun EU:n tietosuoja-asetusta aletaan soveltaa. Nykyinen henkilötietolaki on tarkoitus kumota. Myös asiakastietolakia ollaan uudistamassa.

Kaikki EU:n tietosuoja-asetuksessa ei ole uutta. Aiemminkin henkilötietojen käsittelystä on säädetty useissa laissa, kuten henkilötietolaissa ja julkisuuslaissa.

Kirjoitusta varten on pyydetty tietoja muun muassa Kansalliskirjaston lakimieheltä Pekka Heikkiseltä ja oikeustieteen kandidaatilta Ulla Virranniemeltä.