lakipuntari

1. Suomen perustuslaki

Vuonna 1995 tuli voimaan perusoikeussäännöksiä koskeva hallitusmuodon uudis­tus (969/1995), jota perusteltiin aiemmin voimassa olleen perusoikeusjärjes­telmän vanhentuneisuudella verrattuna kansainvälisiin ihmisoikeussopi­muksiin ja toisen maail­mansodan jälkeiseen eurooppalaiseen valtiosääntökehi­tykseen. Euroopan yhdentymiskehitys lisäsi myös tarvetta uudistaa kansallista perusoikeussäännöstöä. Toisaalta kansallisen identiteetin kannalta pidettiin tärkeänä, että suomalaisen yhteiskunnan perustavanlaatuiset arvot kirjataan näky­viin perustuslakiin. Suomen silloisen hallitusmuodon 8 §:n 1 momentissa tämä huomioitiin, ja 1.8.1995 alkaen oikeus yksityiselämän suojaan määriteltiin perusoikeudeksi. Säännöksen mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Yksityiselämän suoja perusoikeutena merkitsee siis myös yksilön itsemääräämisoikeutta. Yksilön itsemääräämisoikeus on muiden perusoikeuksien olemassaolon edellytys länsimaisessa demokratiassa.

Perusoikeudet sisältyvät nyt 1.3.2000 voimaan tulleen Suomen perustuslain (731/1999, PL) 2 lukuun. Yksityiselämän suojasta perusoikeutena sekä siitä, että henki­lötietojen käsittelystä tulee säätää lain tasoisesti, on säännökset perustuslain 10 §:ssä. Uusi perustuslaki ei muuttanut aiemmin hallitusmuodossa säädettyjä ­perusoikeuksia eikä siis myöskään yksityiselämän suojan ja sitä turvaavien muiden perusoikeuksien (mm. oikeus ihmisarvoiseen kohteluun, yksilön itsemääräämis­oikeus, ­oikeus kunniaan, yhdenvertaisuus ja syrjintäkielto) perusteita ja sisältöä. Perusoikeussäännöksillä on pyritty siihen, että niitä sovellettaisiin tavallisten lakien ohella suoraan tuomioistuimissa ja muissa viranomaisissa sekä siihen, että yksityiset ihmiset voisivat vedota oikeuksiensa tueksi välittömästi perusoikeussäännöksiin (PL 106 §). Perusoikeussäännöksillä on myös haluttu luoda yksityisille ihmisille aiempaa paremmat edellytykset vaikuttaa itseään koskeviin asioihin. Julkisen vallan on perustuslain 22 §:n mukaan turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Vaikka käsitettä ”yksityisyys” ei sinänsä ole lainsäädännössä määritelty, voidaan sen oikeudellista sisältöä kuvata edellä esitetyn lisäksi seuraavasti: jokaisella on

  • oikeus järjestää yksityiselämänsä ilman perusteetonta ulkopuolisten puut­tumista
  • oikeus tietää itseään koskevien tietojen käsittelystä ja käsittelyn tarkoituksesta '
  • oikeus tulla arvioiduksi oikeiden ja tarpeellisten tietojen perusteella
  • oikeus vaikuttaa ja päättää itseään koskevien tietojen käsittelystä, ellei tätä ole lainsäädännöllä rajoitettu
  • oikeus viestinnän luottamuksellisuuteen mm. potilas–lääkäri-suhteessa.

Oikeuskirjallisuudessa (Saarenpää, 1999) mukaan yksityisyyden voidaan katsoa merkitsevän ainakin seuraavia kahdeksaa itsemääräämisoikeuteemme kuuluvaa seikkaa:

  1. oikeus olla fyysisesti yksin kotirauhan piirissä ja erilaisen valvonnan ulottumattomissa
  2. oikeus olla ihmissuhteissa, elämäntavoissa ja harrastuksissa yksin kotirauhan piirissä erilaisen valvonnan ja tiedonvälityksen ulottumattomissa eli sosiaalinen yksityisyys
  3. oikeus pysyä tuntemattomana yhteiskunnassa eli oikeus anonymiteettiin
  4. oikeus pidättyä julkisuudesta eli oikeus mediayksityisyyteen
  5. oikeus päättää itseään koskevan informaation tarkastamisesta, tallentamisesta, käytöstä ja luovuttamisesta eli oikeus tietosuojaan
  6. oikeus tulla arvioiduksi oikeassa valossa eli oikeus kunniaan
  7. oikeus omaan nimeen, kuvaan ja hahmoon eli tiedollinen omistusoikeus
  8. oikeus potilasyksityisyyteen.

Yksityisyyden suojassa henkilötietojen käsittelyssä ei ole kyse ensisijaisesti tiedon konkreettisesta suojaamisesta, vaan suojelukohteena esimerkiksi terveydenhuollossa ovat luottamuksellinen hoitosuhde ja potilaan itsemääräämisoikeus sekä potilaan minäkuva ja sosiaaliset suhteet. Suojelun kohteena on aina ihminen eli ei konkreettisesti tieto sinänsä. Sivullisia potilaan tietoihin nähden ovat kaikki ne terveydenhuollon toimintayksikössäkin työskentelevät, jotka eivät osallistu kyseisen potilaan hoitoon tai siihen liittyviin tehtäviin. Perustuslakivaliokunnan perusoikeusuudistusta koskevan mietinnön (PeVM 25/1994 s. 5) mukaan yleiset vaatimukset yksityiselämän rajoittamiselle ovat seuraavat:

  • rajoitukset ovat laintasoisia, tarkkarajaisia, riittävän täsmällisesti määriteltyjä, tarkoitusperiltään hyväksyttäviä ja oikeasuhteisia rajoitusperusteeseen nähden.
  • oikeusturvajärjestelyt ovat riittäviä.
  • rajoitukset ovat sopusoinnussa Suomen kansainvälisten ihmisoikeusvel­voit­teiden kanssa.

Perustuslakivaliokunta on lausunnossaan (PeVL 14/1998 vp.) todennut mm., että henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelyn kohteita ovat ainakin

  • rekisteröinnin tavoite
  • rekisteröitävien henkilötietojen sisältö
  • tietojen sallitut käyttötarkoitukset
  • tietojen luovutettavuus
  • tietojen säilytysaika
  • rekisteröidyn oikeusturva

samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla.

Edellä mainitut seikat henkilötietojen käsittelystä tulee ottaa huomioon lakeja valmisteltaessa, säädettäessä ja tulkittaessa. Myös Euroopan ihmisoikeussopimuksen valvontaviranomaiset ovat kiinnittäneet toiminnassaan huomiota rajoituksia merkitsevien säännösten laatuun. Normia ei voida pitää ihmisoikeussopi­muksen edellyttämänä lakina, ellei sitä ole muotoiltu tietyn ennustettavuuden takaavalla täsmällisyydellä.

2. EU:n yleinen tietosuoja-asetus, tietosuojalaki ja erityislait

Euroopan unionin tietosuojalainsäädäntö uudistui, kun Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU 2016/679, EU:n yleinen tietosuoja-asetus) astui voimaan 24.5.2016. Sitä alettiin soveltaa kansallisesti 25.5.2018. EU:n tietosuoja-asetus on suoraan sovellettavaa oikeutta. Se pätee yleisesti, on kaikilta osiltaan velvoittava ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa, ellei kansallisesti ole säädetty asetuksen sallimista poikkeamista (kansallinen liikkumavara).

Asetuksen taustalla vaikuttavat kansainväliset ihmisoikeussopimukset ja EU:n perusoikeuskirja. Perusoikeuskirjan yksityisyyden suojaa koskevan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan ja viestejään kunnioitetaan. Perusoikeusasiakirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. EU:n tietosuoja-asetuksen mukaan tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten. Käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai laissa säädetyllä perusteella. Asetus sisältää säännökset muun muassa henkilötietojen käsittelyä koskevista periaatteista (5 art), käsittelyn lainmukaisuudesta (6 art) ja arkaluonteisten tietojen käsittelystä (9 art). Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty ja vaatia niiden oikaisua.

Tietosuojalaki – yleinen kansallinen tietosuojasäännöstö

Tietosuojalailla (astui voimaan 1.1.2019) täydennetään ja täsmennetään Euroopan unionin yleistä tietosuoja-asetusta. Tietosuojalailla kumottiin henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Tietosuojalaki on henkilötietojen käsittelyyn sovellettava yleislaki. EU:n yleistä tietosuoja-asetusta täydentävänä ja täsmentävänä kansallinen tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan rinnakkain EU:n yleisen tietosuoja-asetuksen kanssa. Tietosuojalain sääntelystä voidaan kansallisessa erityislainsäädännössä poiketa, jos poikkeaminen on mahdollista EU:n yleisen tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa.

Tietosuojalaissa säädetään henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta (13 vuotta), valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista. Kuten edellä on jo todettu EU:n yleinen tietosuoja-asetus on asetuksena siinä mielessä poikkeuksellinen, että se jättää eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Kansallisen liikkumavaran käyttäminen on monelta osin jätetty kansallisen lainsäätäjän harkintaan. Tietosuojalaissa liikkumavara käytetään tilanteissa, joissa henkilötietolain (523/1999) kumoamisesta seurasi tarve kansalliseen sääntelyyn, esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa tai tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle entisen kaltaisina. Kansallista liikkumavaraa on mahdollista käyttää myös myöhemmin esimerkiksi säädettäessä kansallista erityislainsäädäntöä.

Erityislainsäädäntö

Suomessa on lisäksi voimassa runsaasti henkilötietojen käsittelyä koskevaa erityislainsäädäntöä. Erityislainsäädäntö jakautuu säädöksiin, jotka käsittelevät yhteiskunnan toiminnan kannalta merkityksellisiä henkilörekistereitä sekä säädöksiin, joissa säädetään tiettyyn toimialaan liittyvästä henkilötietojen käsittelystä (esimerkiksi työelämän tietosuojalaki, luottotietolaki).

Lisätietoja tietosuojalainsäädännöstä saat tietosuojavaltuutetun toimiston kotisivulta: https://tietosuoja.fi/lainsaadanto

Lisäksi tietosuojalainsäädäntöä on koottu kattavasti kirjaan Uusi tietosuojalainsäädäntö

Alakategoriat

Tietosuojavaltuutetun toimisto
10.02.2020
:
Korkein hallinto-oikeus: Verohallinnon pyyntö saada listaus kaikista pankin asiakkaista ei ollut lainmukainen
Tietosuojavaltuutetun toimisto
31.01.2020
:
Euroopan tietosuojaneuvoston täysistunnon aiheena ohjeet verkkoon liitettyjen ajoneuvojen tietosuojasta ja videolaitteiden välityksellä tapahtuvasta henkilötietojen käsittelystä
Tietosuojavaltuutetun toimisto
31.01.2020
:
Henkilötietojen siirrot Britanniaan jatkuvat samoilla säännöillä siirtymäkauden ajan
Tietosuojavaltuutetun toimisto
30.01.2020
:
Tietosuojavaltuutetun toimisto julkaisi ohjeita henkilötietojen käsittelystä tieteellisessä tutkimuksessa
Tietosuojavaltuutetun toimisto
30.01.2020
:
Tietosuojavaltuutetun toimisto julkaisi suunnitelman rikosasioiden tietosuojalain mukaisten toimivaltaisten viranomaisten henkilötietojen käsittelyyn liittyvistä tarkastuksista
Kyberturvallisuuskeskus
14.02.2020
:
Väärennettyjä puheluita teknisen tuen nimissä

Suomalaisille organisaatioille ja yksityisille henkilöille on tullut tällä viikolla runsaasti puheluita, jossa soittaja esiintyy Microsoftin teknisenä tukena. Soittaja väittää että uhrin tietokoneella on tietoturvaongelma ja pyytää avaamaan tietokoneen korjatakseen sen. Puhelut näyttävät tulevan suomalaisesta puhelinnumerosta. Huijarit ovat puhuneet englantia tai suomea. Soitot ovat huijauksia ja on aihetta olettaa, että ne on soitettu väärennetyistä puhelinnumeroista.

Kyberturvallisuuskeskus
13.02.2020
:
Tammikuussa päivitimme kybersään ulkoasua ja pureudumme kyberturvallisuuden ilmiöihin

Tammikuun kybersää oli harmaa ja sateinen. Erilaisia huijauksia ja kalasteluviestejä raportoitiin useita. Lisäksi VPN ja Citrix etäkäyttö- ja virtuaalipalveluista löytyneitä haavoittuvuuksia käytettiin aktiivisesti tietomurtoihin. Pieniä auringon pilkahduksia oli myös havaittavissa. Verkkojen toimivuus oli tammikuussa hyvä ja vain yksi merkittävä toimivuushäiriö. Tammikuussa raportoiduilla hyökkäyksillä ei ollut vaikutusta palveluiden toimivuuteen hyvän varautumisen vuoksi ja tämä toi myös auringon säteitä harmaaseen kybersäähän.

Kyberturvallisuuskeskus
10.02.2020
:
Mediataitoviikolla huomio lasten ja vanhempien tietoturvataitoihin

Tietoturvaosaaminen on nykyarkemme kansalaistaitoja. Tietojen ja taitojen omaksuminen alkaa älylaitteen ensikosketuksesta, ja kehitys ja jatkuu läpi elämän. Haluamme olla tukemassa niin lasten kuin aikuistenkin tietoturvataitojen kehittymistä. Tervetuloa mukaamme Mediataitoviikolle 10.-16.2.2020!

Kyberturvallisuuskeskus
07.02.2020
:
Useita haavoittuvuuksia Cisco Discovery Protocol (CDP) toteutuksissa

Cisco julkaisi useita haavatiedotteita 4.2.2020 CDP -protokollan (Cisco Discovery Protocol) toteutuksista löydetyistä haavoittuvuuksista tuotteissaan. Armis Securityn tutkijat olivat löytäneet viisi nollapäivähaavoittuvuutta, joiden avulla hyökkääjä pystyy suorittamaan mielivaltaista ohjelmakoodia tai aiheuttamaan palvelunestotilan haavoittuvissa CDP -protokollaa käyttävissä Ciscon tuotteissa. Tutkijat kutsuvat haavoittuvuuksia nimellä CDPwn.

Kyberturvallisuuskeskus
06.02.2020
:
Firebase-palvelun tietokantoja avoimena Internetiin

Kyberturvallisuuskeskukseen on saapunut useita ilmoituksia pilvipalveluna toteutetun Firebase-ympäristön internetiin avoinna olevista tietokannoista. Osa julkisesti saatavilla olevista tiedoista vaikuttaa sisältävän asiakas- ja henkilötietoja.

previous arrow
next arrow
Slider