Maiju Seppänen
TIETOSUOJALAKI JA HENKILÖTIETOJEN KÄSITTELY
Puhuttaessa digitalisaatiosta ja toimitusketjusta ensimmäisenä ja ehkäpä tärkeimpänä asiana nousee esille tietoturvallisuus. Varsinkin nykypäivänä, kun jokainen asia kirjataan jonkin näköiseen tietokantaan, tulee mietittyä, ketkä kaikki pääsevät lukemaan kirjattua tietoa. Siksi jos tallennetaan sähköisiin ohjelmiin yrityksen tietoja, liikesalaisuuksia tai henkilötietoja, on jokaisen organisaation vastattava siitä, että tietojenkäsittelyssä noudatetaan tietosuojalakia (1050/2018). Jos ajatellaan vaikka sairaalamaailmaa ja esimerkiksi laboratorionäytteiden kuljetusta paikasta toiseen, on äärimmäisen tärkeää, että henkilön, jonka näytteitä käsitellään, henkilötiedot eivät päädy vääriin käsiin. Tämän vuoksi tässä artikkelissa perehdytään yleisellä tasolla tietosuojalakiin ja sen vaatimuksiin varsinkin henkilötietojen käsittelyssä.
Henkilötietosuoja Suomen perustuslain mukaisesti jokaisella ihmisellä on oikeus henkilötietojensa suojaan. Tietosuojan tarkoituksena on se, että milloin ja millä edellytyksillä jonkun henkilötietoja voidaan käsitellä. (Tietosuojavaltuutetun toimisto 2020a.) Henkilötiedoiksi luetaan kaikki tiedot, joiden perusteella yksittäinen henkilö voidaan tunnistaa suoraan tai yhdistämällä jokin tieto toiseen tietoon, mikä mahdollistaa henkilön tunnistamisen. Henkilötiedoiksi luetaan siis nimi, kotiosoite, sähköpostiosoite, puhelinnumero, henkilökortin numero, auton rekisteriote, paikannustiedot, IP-osoite, potilastiedot, lemmikin eläinlääkäritiedot, isoisoisovanhempien perinnöllisiä sairauksia koskevat tiedot ja monet muut vastaavat. Siksipä tietosuoja-asetusten päällimmäisenä tarkoituksena on suojata ihmisen henkilötietoja päätymästä vääriin käsiin. (Tietosuojavaltuutetun toimisto 2020b.)
46
Jos siis menet töihin uuteen työpaikaan tai vaikka asioit sairaalassa potilaana, sinultahan kysytään juurikin kaikki perustietosi eli nimi, ikä, osoite ja niin edelleen. Siksi yrityksellä on oltava lainmukainen ohjelmisto, mihin nämä tiedot kirjataan, jotta tarvittaessa nähdään, kuka on käynyt tarkastelemassa tietoja, miksi ja milloin. Tällä tavalla pyritään välttämään sitä, että esimerkiksi naapurisi, joka työskentelee sairaalassa, ei mene vain uteliaisuuttaan lukemaan potilastietojasi. Jos epäilyjä tällaisista väärinkäytöksistä tulisi, on potilaalla oikeus vaatia ja saada kirjalliset dokumentit siitä, kuka on hänen tietojaan käsitellyt, milloin ja miksi. Yritys on myöskin velvollinen toimittamaan tällaiset dokumentit potilaalle niitä pyydettäessä. Henkilötietojen käsittely vaati aina jonkin perustelun sille, miksi ja kuka niitä käsittelee. Tietosuojalaissa on mainittu kuusi perusteltua syytä henkilötietojen käsittelyyn, ja tärkeim-
