Mikä on henkilötieto GDPR?

Henkilötiedot GDPR:n valossa – mitä ne ovat ja miksi ne ovat tärkeitä?

Euroopan unionin yleinen tietosuoja-asetus (GDPR) on mullistanut tavan, jolla käsittelemme henkilötietoja. Ymmärtäminen, mitä GDPR:n mukaan henkilötiedoksi lasketaan, on avainasemassa niin yksityishenkilöille kuin organisaatioillekin. Yksinkertaistetusti, GDPR:n mukaan henkilötiedot ovat kaikkia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tämä määritelmä on laaja ja kattaa paljon enemmän kuin pelkät nimi ja osoite.

Mutta miten tunnistettavuus määritellään? Henkilö on tunnistettavissa, jos hänet voidaan tunnistaa suoraan tai epäsuorasti, esimerkiksi:

• Nimen tai tunnuksen avulla (esimerkiksi käyttäjätunnus, asiakasnumero)
• Paikannustiedon perusteella
• Online-tunnisteen (esimerkiksi IP-osoite, evästeet) kautta
• Yksilöivien ominaisuuksien (esimerkiksi biometrinen data, geneettinen data) avulla
• Yhdistelemällä useita tietoja, jotka yhdessä tekevät henkilön tunnistettavaksi. Esimerkiksi syntymäaika ja ammatti voivat yhdessä riittää tunnistamaan henkilön, vaikka kumpikaan ei itsenäisesti sitä tekisi.

GDPR ei pelkästään määrittele henkilötietoja, vaan se myös asettaa tiukat säännöt niiden käsittelylle. Tämä tarkoittaa, että henkilötietojen keräämiseen, käsittelyyn ja säilyttämiseen liittyy vastuuta ja velvollisuuksia. Organisaatioilla on velvollisuus varmistaa tietojen turvallisuus ja yksityisyyden suoja. Lisäksi henkilöillä on oikeus tietää, mitä tietoja heistä on kerätty, oikeus tietojen oikaisuun, poistamiseen ja käsittelyn rajoittamiseen.

Esimerkkejä henkilötiedoista:

Luettelon laatiminen kaikista GDPR:n kattavista henkilötiedoista on haastavaa, mutta tässä muutamia esimerkkejä:

• Nimi, osoite, sähköpostiosoite, puhelinnumero
• Syntymäaika, kansalaisuus, henkilötunnus
• Koulutus, ammatti, työhistoria
• Terveystiedot, geneettinen informaatio
• Ostohistoria, verkkoselailuhistoria
• Sosiaalisen median profiilit
• Biometriset tiedot (sormenjäljet, kasvojentunnistus)
• IP-osoite

Mitä GDPR ei pidä henkilötietona?

GDPR:n mukaan anonymisoitu data ei ole henkilötietoa. Anonymisoinnin tulee kuitenkin olla pysyvää ja peruuttamatonta. Jos dataa voidaan jäljittää takaisin henkilöön, se on edelleen henkilötietoa.

GDPR:n mukainen henkilötietojen käsittely vaatii tarkkuutta ja huolellisuutta. On tärkeää olla tietoinen siitä, mitä tietoja kerätään ja miten niitä käytetään, sekä varmistaa, että tietojen käsittely on lainmukaista ja läpinäkyvää. Tarvittaessa on syytä konsultoida asiantuntijaa GDPR:n soveltamisesta.