Tietosuoja nuorille suunnatussa verkkotyössä

Yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 lähtien sekä julkisella että yksityisellä sektorilla. Asetus koskee kaikkia henkilötietoja käsitteleviä organisaatioita ja henkilötietojärjestelmien toimittajia. (Valtiovarainministeriö 2016.) Uusi asetus tuo mukanaan lisää vaatimuksia, jotka myös nuorille suunnattujen verkkopalveluiden tulee täyttää. Asetukseen liittyy aiemmasta poiketen raskaat sanktiot, jotka voivat koskettaa jopa yksittäistä työntekijää. (Talus, Autio, Hänninen, Pihamaa & Kantonen 2017, 32–33.)

Toimintatapojen uudelleen tarkastelu ja muutosten toteuttaminen vie aikaa, joten toimeen kannattaa tarttua heti. Tässä artikkelissa tarkastelen sitä, mitä nuorille suunnatussa verkkotyössä kannattaa ottaa huomioon uuteen tietosuoja-asetukseen valmistautuessa.

Lapsilla ja nuorilla on oikeus tietosuojaan, yksityisyyteen ja suojeluun

Nuorille suunnatuissa verkkopalveluissa nuorella on oikeus saada tietoa palvelusta ja sen järjestäjästä, tietosuojasta ja tietojen käsittelystä sekä antaa palautetta palvelusta. Henkilötietolaissa (523/1999) määrätään, että rekisterinpitäjän on toteutettava tarpeelliset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä sekä vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja lapsen ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. (Tietosuojavaltuutetun toimisto 2017, 3–4.)

Lapsen oikeuksien sopimuksen tavoite on, että jokaisella lapsella on turvallinen kasvuympäristö. Lapsella on oikeus yksityisyyteen eikä hänen kunniaansa tai mainettansa saa laittomasti halventaa ja lain on suojattava lasta tällaiselta halventamiselta (YK:n yleissopimus lapsen oikeuksista 1989, artikla 16). On tunnustettava, että digitaalisesta ympäristöstä on tullut merkittävä kasvuympäristö.

Henkilötietolain lisäksi myös monet muut lait ohjaavat nuorille suunnatun verkkotyön tekemistä. Esimerkiksi viranomaisen ilmoitusvelvollisuus säilyy lastensuojelutapauksissa: ilmoitusvelvollisuus henkeen ja terveyteen kohdistuvista ja seksuaalirikoksista (LsL 25 d § 3 mom), lastensuojeluilmoituksen tekovelvollisuus (LsL 25–25 c §) ja lastensuojelun oikeus antaa ja saada tietoja (SaL 16–18 §, 20 §).

Tietosuoja-asetuksen vaatimukset

Uuden tietosuoja-asetuksen vaatimuksiin valmistautuessa tulee ensimmäisenä selvittää, mihin tarkoitukseen henkilötietoja kerätään. Henkilötiedot ovat tietoja, joista palvelun käyttäjä voidaan tunnistaa, esimerkiksi nimi, syntymäaika tai yhteystiedot, kuten sähköpostiosoite. Henkilötietoja ei ole lupa kerätä tarpeettomasti. Jos käyttäjältä pyydetään henkilötietoja palveluun rekisteröityessä, on kyse rekisteröidystä käyttäjästä. (Tietosuojavaltuutetun toimisto 2017, 4–5.)

Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot. Jos tiedot ovat virheellisiä, on rekisterinpitäjän oikaistava ne. Tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi. Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjällä on jatkossa velvollisuus antaa entistä enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin niiden käsittely perustuu. (Tietosuojavaltuutetun toimisto 2017, 7–8; Talus ym. 2017, 23–25.)

Lasten henkilötietojen käsittelyyn tarvitaan huoltajien lupa. Alle 16-vuotiaat eivät voi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman huoltajiensa lupaa. EU:n jäsenmaat voivat halutessaan asettaa alemman ikärajan, joka voi alimmillaan olla 13 vuotta. Verkkotyötä tekevien on hyvä huomioida tämä käyttäessään sosiaalisen median palveluita nuorille suunnatussa työssä. (Oikeusministeriö 2015; Tietosuojavaltuutetun toimisto 2016; Talus ym. 2017, 20.)

Jos verkkotyötä tekevä organisaatio on ulkoistanut henkilötietojen käsittelyn ulkopuoliselle taholle, uusi tietosuoja-asetus velvoittaa tekemään siitä kirjallisen sopimuksen. Sopimuksen tulee täyttää sisällölliset vaatimukset, jotka käyvät ilmi asetuksesta. Lisäksi henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus, mikä tarkoittaa, että tietosuojaa koskevilta toimilta edellytetään suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut eli kuka vastaa tietosuojasta, ja etukäteen määritellyt tavat, miten henkilötietoja käsitellään. Henkilötietoja käsittelevän tahon tulee pystyä osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu asianmukaisesti huomioon. (Tietosuojavaltuutetun toimisto 2017, 10–11; Talus ym. 2017, 34.)

Tietoturvaloukkaukset eli tietomurrot ja henkilörekisteririkokset ovat yhä tavallisempia. Jokainen henkilötietoja keräävä taho on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta valvovalle viranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä ja vahinkoa. Tietosuojaa koskevassa asetuksessa määrätään uusista hallinnollisista sanktioista. Uudet säännökset tulevat kiristämään tietosuojan osalta merkittävästi oikeustilaa Suomessa. (Talus ym. 2017, 32–33.)

Tietosuoja-asetukseen valmistautuminen

Uusi asetus sisältää verkkotyötä tekeville tahoille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin ja arvioida henkilötietojen käsittelyn nykytila. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voidaan puuttua. Henkilötietojen käsittelyä koskevia riskejä tulee arvioida sisäisten ja ulkoisten riskien näkökulmista. (Tietosuojavaltuutetun toimisto 2017, 10–11; Talus ym. 2017, 11, 17.)

Vaikutusarviointi voidaan toteuttaa esimerkiksi perustamalla työryhmä, johon osallistuvat verkkotyötä tekevät ammattilaiset. Eräs menetelmä, jonka avulla voidaan kartoittaa henkilötietojen käsittelyn riskejä, on suomalainen Potentiaalisten ongelmien analyysi eli POA. Lisätietoja esimerkiksi valtiovarainministeriön esitysmateriaalista (pdf) ja valtionhallinnon tieto- ja kyberturvallisuuden ohjausryhmän (VAHTI) uhkien määrittelyä ja tunnistamista koskevasta ohjeistuksesta.

On erittäin tärkeä ymmärtää, millainen merkitys on yksittäisen työntekijän vastuullisella toiminnalla ja sillä, että työyhteisö on laatinut kattavan tietoturvaohjeistuksen sekä antanut tarvittavan perehdytyksen henkilöstölleen. Nuorille suunnatut verkkopalvelut perustuvat luottamukseen. Turvallinen ja vastuullinen verkkotyö on lasten ja nuorten oikeus.

Tarkistuslista keskeisistä periaatteista

Koordinaatti on Nuorille suunnatun verkkotyön foorumin eli Nusuvefon jäsen ja työskentelee aktiivisesti Nusuvefon työrukkasessa. Nusuvefo on perustettu yhteistyöverkostoksi niille yleishyödyllisille organisaatioille, jotka työskentelevät verkossa nuorten parissa. Koordinaatti on laatinut tietosuojan keskeisistä periaatteista tarkistuslistan ja on vastuussa Nusuvefon tietosuoja-asetusta käsittelevän työryhmän ohjaamisesta. Tämä artikkeli on kirjoitettu keskeisten periaatteiden ja työryhmässä esiin nousseiden huomioiden pohjalta. Vuoden 2017 aikana tulemme yhteistyössä laatimaan laajemman tietosuojaohjeistuksen, joka on tarkoitettu nuorille suunnatun verkkotyön ammattilaisille.

Suunnittelija Sanni Saglamer
Koordinaatti - Nuorten tieto- ja neuvontatyön kehittämiskeskus
etunimi.sukunimi@ouka.fi, p. 044 703 8303

Lähteet: