Siirry pääsisältöön
Myytti 11

Tietosuoja-asetus takaa suojan henkilötiedoille

Marja Alastalo, Kamrul Faisal, Marjut Salokannel, Karoliina Snell, Aaro Tupasela, Petri Ylikoski

EU:n yleisen tietosuoja-asetuksen (GDPR) tarjoama täydellinen tietosuoja on myytti. Todellisuudessa asetuksella pyritään parantamaan tietosuojaa ja antamaan ihmisille enemmän mahdollisuuksia hallita omia henkilötietojaan, mutta GDPR ei takaa ehdotonta henkilötietojen suojaa. Tämän ymmärtäminen on olennaista, sillä suojan laajuuden virheellinen tulkinta voi johtaa virheellisiin ja epärealistisiin odotuksiin sekä henkilötietojen väärinkäyttöön.

Tiukoista vaatimuksistaan huolimatta tietosuoja-asetuksella on rajoituksensa. Haasteena on erityisesti tietosuojan valvonta EU:n ulkopuolisissa maissa, joissa tietosuojavaatimukset ovat EU:n vaatimuksia matalammat. Kansainvälisiä tiedonsiirtoja koskevista rajoituksista huolimatta henkilötiedoille ei voida taata täyttä suojaa niiden siirtyessä EU-alueen ulkopuolelle. Esimerkiksi Yhdysvallat on toistuvasti osoittanut, ettei se tarjoa EU-kansalaisten henkilötiedoille GDPR:n mukaista suojaa, vaan antaa usein viranomaisilleen tarpeettoman laajat oikeudet päästä käsiksi ihmisten tietoihin.

Yleisen tietosuoja-asetuksen toimivuus perustuu pitkälti siihen, että ihmiset tuntevat oikeutensa ja valvovat niitä aktiivisesti. Tämä ei kuitenkaan aina toteudu. Monet eivät joko tiedä tietosuojaoikeuksistaan tai heillä ei ole resursseja toimia niiden mukaisesti. Tietosuoja-asetusta ei myöskään sovelleta täysin anonymisoituihin tietoihin. Jos anonymisointi sen sijaan toteutetaan virheellisesti, tietoja voidaan käyttää GDPR:n suojausten kiertämiseen.

GDPR:n tavoitteena on tarjota korkeatasoista suojaa henkilötiedoille. Tätä pyrkimystä toteutetaan asettamalla velvoitteita keskeisille toimijoille, kuten rekisterinpitäjille (tahoille, jotka päättävät, miten ja miksi tietoja käsitellään), rekisteröidyille (yksilöille, joiden henkilötietoja käsitellään) ja valvontaviranomaisille (itsenäisille tahoille, jotka vastaavat GDPR noudattamisen valvonnasta). GDPR ohjaa EU:n alueella toimivien rekisterinpitäjien lisäksi EU:n ulkopuolisten rekisterinpitäjien toimintaa silloin, kun ne käsittelevät EU:n alueella olevien ihmisten henkilötietoja. GDPR ohjaa rekisterinpitäjiä määrittelemällä käsittelyperiaatteita, kuten läpinäkyvyyttä, lainmukaisuutta ja käyttötarkoitussidonnaisuutta. Sääntely velvoittaa organisaatiot kertomaan käyttäjille, miten heidän tietojaan käsitellään, hankkimaan lailliset perusteet tietojen käsittelylle ja varmistamaan, että henkilötietoja käytetään vain niiden alkuperäiseen tarkoitukseen.

Jotta ihmiset voivat hallita omia henkilötietojaan, tietosuoja-asetus antaa yksilöille tiettyjä oikeuksia, kuten oikeuden päästä käsiksi omiin tietoihinsa, vastustaa henkilötietojen käsittelyä sekä vaatia tietojen poistamista tai oikaisemista. Tietosuojaviranomaisten tehtävänä taas on varmistaa, että rekisterinpitäjät kunnioittavat yksilön oikeuksia, ja tarvittaessa määrätä sanktioita velvollisuuksien rikkomuksista.

Globaalin suojan varmistamiseksi GDPR sisältää myös suojatoimia sellaisten tilanteiden varalle, joissa henkilötietoja siirretään EU:n ulkopuolisiin maihin. Siirrot esimerkiksi sallitaan vain alueille, jotka tarjoavat “riittävän suojan tason” – usein viitataan GDPR:n kaltaiseen suojaan – kuten Euroopan komissio on määrittänyt. Tämä riittävyyteen perustuva mekanismi varmistaa, että Euroopan talousalueen ulkopuolisiin maihin siirretyt henkilötiedot saavat samanlaisen suojan kuin EU:ssa.

Henkilötietojen suoja vaarantuu erityisesti tekoälyjärjestelmissä, joissa dataa siirretään valtioiden rajojen yli. Lisäksi yksilöiden puutteelliset tiedot oikeuksistaan sekä anonymisoitua dataa ja julkisia tai liiketaloudellisia intressejä koskevat poikkeukset voivat vaarantaa henkilötietojen suojan tekoälypohjaisessa datankäsittelyssä.14

Sini Davies, Kamrul Faisal, Tommi Gröhn, Antti Honkela, Megumi Iwata, Kaiju Kangas, Jari Laru, Sanna Merikanto-Tolonen, Marianne Mäkelin, Kati Mäkitalo, Teemu Roos, Karoliina Snell, Kati Sormunen, Matti Tedre & Petri Ylikoski

Hankkeen sovellukset gen‑ai.fi

Kokeile ilmaisia tekoälytyökaluja oppitunneilla ja kotona.

Avaa gen-ai.fi (avautuu uudessa välilehdessä)