Mitä henkilötietoja GDPR koskee?

Mitä tietoja GDPR todella koskee? Yksityiskohtainen katsaus henkilötietojen laajuuteen

GDPR-asetus eli yleinen tietosuoja-asetus on laaja ja monimutkainen, mutta sen ydin on yksinkertainen: se suojaa henkilötietoja. Mutta mitä tämä tarkoittaa käytännössä? Mitä tietoja GDPR oikeastaan koskee? Yleinen väärinkäsitys on, että se koskee vain nimiä ja osoitteita, mutta todellisuus on huomattavasti laajempi.

GDPR suojaa kaikkia tietoja, joiden avulla yksittäinen henkilö voidaan tunnistaa, joko suoraan tai epäsuorasti. Tämä “tunnistettavuus” on avainkäsite. Tietoa ei tarvitse olla tunnistettavissa välittömästi, vaan riittää, että se voidaan yhdistää muihin tietoihin, jotka yhdessä paljastavat henkilöllisyydestä.

GDPR:n piiriin kuuluvat esimerkiksi seuraavat tiedot:

• Selkeät tunnistetiedot: Nimi, osoite, puhelinnumero, sähköpostiosoite, syntymäaika, kansalaisuus, henkilötunnus.
• Verkko-tunnistetiedot: IP-osoite, evästeet, laite-tunnisteet (esim. IMEI), sijaintitiedot (GPS-koordinaatit).
• Biometriset tiedot: Sormenjäljet, kasvonkuvat, DNA-tiedot, äänitunnistus.
• Terveyteen liittyvät tiedot: Sairaustiedot, lääketieteelliset tutkimustulokset.
• Rimaisuuteen liittyvät tiedot: Sukupuoli, uskonto, poliittiset mielipiteet, seksuaalinen suuntautuminen, ammattiyhdistystoiminta.
• Taloudelliset tiedot: Pankkitiedot, tulot, velat.
• Koulutustiedot: Opintosuoritukset, tutkintotodistukset.
• Sosiaalinen media: Julkaisut, tykkäykset, kommentit, ystäväpyynnöt.

Epäsuora tunnistettavuus: On tärkeää huomata, että GDPR koskee myös tietoja, jotka eivät itsessään ole tunnistettavia, mutta jotka yhdistettynä muihin tietoihin voivat paljastaa henkilöllisyydestä. Esimerkiksi ostokäyttäytyminen itsessään ei välttämättä paljasta ostajan henkilöllisyyttä, mutta yhdistettynä esimerkiksi IP-osoitteeseen tai jäsenkorttinumeroon se voi tehdä sen. Samoin anonymisoitu tieto voi menettää anonyymbeytensä, jos sitä yhdistetään muihin tietoihin.

Kenet GDPR koskee?

GDPR koskee kaikkia organisaatioita, jotka käsittelevät EU:n kansalaisten henkilötietoja, riippumatta siitä, missä organisaatio on rekisteröity. Tämä tarkoittaa, että sen piiriin kuuluvat yritykset, julkishallinnon toimijat ja muut organisaatiot, jotka keräävät, tallentavat ja käyttävät EU:n kansalaisten henkilötietoja. Tämä koskee sekä asiakastietoja että työntekijöiden, kumppanien ja muiden sidosryhmien tietoja.

GDPR:n ymmärtäminen vaatii huolellista tarkastelua siitä, millaisia tietoja organisaatio käsittelee ja miten se varmistaa henkilötietojen suojan. Tämä edellyttää usein perehtymistä GDPR:n monimutkaisiin säännöksiin ja niiden soveltamiseen omaan toimintaan. Epäselvissä tilanteissa on tärkeää hakea asiantuntijoiden apua.