Ads 468x60px

torstai 27. helmikuuta 2014

Big Data ja tietosuoja: yhteensovitettavissa?

Viime vuoden NSA-paljastukset nostivat esiin valtioiden välisen epäluottamuksen sekä hallinnon alaisten organisaatioiden järjestelmällisen tiedonkeruun, joka koskettaa suurta joukkoa sähköisiä viestintävälineitä käyttäviä maapallon asukkaita. Jos asiaa tarkastelee hieman neutraalimmasta näkökulmasta, voi NSA:n toiminnan nähdä valtaisana Big Data-hankkeena, jossa ihmisiä pyritään eri tietolähteistä tietoja yhdistelemällä mm. profiloimaan ja sitä kautta mahdollisesti ennakoimaan heidän käytöstään. Tiedon yhdistelyyn ja profilointiin liittyy tietosuojahaasteita, jotka em. esimerkki tuo tehokkaasti päivänvaloon.

Tulevan tietosuoja-asetuksen valossa henkilötietoja sisältävää Big Dataa keräävien ja yhdistelevien organisaatioiden tulee EU:ssa huomioida mm. seuraavat seikat/vaatimukset:


1.    Järjestelmät (ja prosessit) tulee rakentaa Privacy by design –periaatteen mukaan, mikä tarkoittaa sitä, että tietosuoja-aspektit tulee ottaa huomioon jo suunnitteluvaiheessa

2.    Ennen profiloinnin aloittamista tulee suorittaa nk. tietosuojavaikuttavuusarviointi

3.    Henkilötietojen käsittely tulee minimoida ehdottoman tarpeelliseen --> mahdollisuuksien mukaan tiedot kannattaa anonymisoida tai pseudonymisoida.

4.    Alkuperäinen henkilötiedon käsittelytarkoitus rajoittaa tietojen käsittelyä – tietoja ei tule käsitellä muihin tarkoituksiin, jotka eivät ole yhteensovitettavissa alkuperäisen käsittelytarkoituksen kanssa

5.    Muualta kuin rekisteröidyltä itseltään kerättyjen henkilötietojen yhdistelyä arvioidaan tiukemmin kuin organisaation itse suoraan rekisteröidyiltä keräämien henkilötietojen käsittelyä

6.    Tapauksissa, joissa profiloinnilla on rekisteröidylle oikeudellisia tai niihin verrattavissa olevia vaikutuksia, tarvitaan yleensä rekisteröidyn suostumus profilointiin

7.    Tiedon laatuun ja oikeellisuuteen tulee kiinnittää erityistä huomiota, tarpeettomat tiedot tulee tuhota turvallisesti tai anonymisoida tehokkaasti

8.    Rekisteröityjä tulee informoida profiloinnista; rekisteröidyillä on oikeus kieltää heitä koskeva profilointi

9.    Tietojen suojaamiseen ja tietovuodoista tiedottamiseen tulee kiinnittää erityistä huomiota

10.  Tunnistamistietojen yhdistelyä muihin henkilötietoihin koskee erityiset rajoitukset

11.  Tiedonsiirtoja esim. alihankkijoille EU:n ulkopuolelle koskee erityiset rajoitukset

Vaatimukset ovat siis melkoiset! 


Vaatimusten soveltuvuus määräytyy sen mukaan, voidaanko käsiteltävät tiedot jäljittää luonnollisiin henkilöihin suoraan tai tietoja yhdistelemällä, tai voidaanko anonymisoiduille tiedoille suorittaa nk. re-identifikaatio. Jos näin ei ole, käsissänne on anonymidataa, jonka käsittelyä tietosuojalainsäädäntö ei juurikaan rajoita.

Ei kommentteja:

Lähetä kommentti