EU:n yleinen tietosuoja-asetus (GDPR) koskee kaikkea toimintaa, jossa käsitellään luonnollisia henkilöitä eli rekisteröityjä koskevia tietoja. Tämä tarkoittaa, että myös digitaaliset palvelut, jotka mahdollistavat käyttäjien laitteiden – kuten polkupyörien, puhelinten tai muiden sarjanumeroitujen esineiden – rekisteröinnin omistajaluetteloon, ovat tietosuojasääntelyn piirissä. Tällaisessa palvelussa käyttäjän henkilötiedot kytkeytyvät esineisiin, ja rekisterinpitäjällä on velvollisuus käsitellä näitä tietoja lainmukaisesti ja läpinäkyvästi.
Henkilötietoja saa käsitellä vain jonkin GDPR 6 artiklassa säädetyn oikeusperusteen, kuten rekisteröidyn suostumuksen tai hänen kanssaan tehdyn sopimuksen nojalla. Rekisterinpitäjän on GDPR 5 artiklassa säädettyjen henkilötietojen käsittelyperusteiden osalta muun muassa myös varmistettava, että tietoja kerätään vain siltä osin kuin se on ennalta määritetyn käyttötarkoituksen kannalta tarpeen, esimerkiksi omistajuuden toteamiseksi tai mahdollisten väärinkäytösten ehkäisemiseksi. Säilytyksen rajoittamista koskevan periaatteen mukaan tiedot on säilytettävä vain niin kauan kuin se on perusteltua alkuperäisen käyttötarkoituksen kannalta.
GDPR 25 artiklassa säädetyn sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten mukaisesti tietosuoja on otettava huomioon jo palvelun ja siinä suoritettavan henkilötietojen käsittelyn suunnitteluvaiheessa. Turvallisuustasoa määritettäessä huomioon on otettava uusin tekniikka ja toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Henkilötiedot on suojattava esimerkiksi väärinkäytöksiltä, tietomurroilta ja muulta luvattomalta pääsyltä tietoihin.
Henkilötietojen käsittelyn läpinäkyvyyden nimissä rekisteröidyillä on oikeus saada tietää, mitä tietoja heistä on kerätty, ja tarkistaa nämä tiedot. He voivat muun ohella myös pyytää virheellisten tietojen korjaamista tai tietojensa poistamista palvelusta. Henkilötietojen käsittelystä on informoitava rekisteröityjä esimerkiksi tietosuojaselosteella.
Sarjanumeroituihin esineisiin perustuvat omistajarekisterit voivat tarjota merkittävää hyötyä yksityishenkilöille, rahoituslaitoksille ja muille toimijoille. Samalla on kuitenkin varmistettava, että henkilötietojen käsittely täyttää sovellettavan tietosuojalainsäädännön vaatimukset. Tietosuoja ei ole vain lakisääteinen velvoite, vaan olennainen osa käyttäjäluottamuksen rakentamista.
Kirjoittaja Ville Vainio on asianajaja ja osakas Applex Asianajotoimisto Oy:ssä. Ville johtaa Applexin Teknologia & Tietosuoja -praktiikkaa ja hän on sertifioitunut tietosuoja-asiantuntija (CIPP/E).
