TIETOSUOJAVALTUUTETUN TOIMISTOTIETOSUOJAVALTUUTETUN TOIMISTO

EU:n tietosuoja-asetus:

Mitä uusi yleinen tietosuoja-asetus edellyttää organisaatiolta?

Toimistopäällikkö Heljä-Tuulia

Pihamaa, TietosuojavaltuutetunTeknologiateollisuus ry 13.2.2017

Ylitarkastaja Anna Hänninen

TIETOSUOJAVALTUUTETUN TOIMISTO

Esityksen sisältö

I. Tietosuoja-asetus

I. Tietosuoja-asetuksen tausta ja sen tuomat muutokset

II. Riskiperusteinen lähestymistapa, tietosuojaperiaatteet ja osoitusvelvollisuus

III. Tietosuojavastaavat

2

TIETOSUOJAVALTUUTETUN TOIMISTO

I. Tietosuoja-asetuksen tausta ja sen tuomat muutokset

3

TIETOSUOJAVALTUUTETUN TOIMISTO

Tausta ja tavoitteet

• Tietosuojadirektiivi 1995 95/46/EY

• 28 jäsenvaltion hajanaiset tietosuojasäännökset

• Sosiaalinen ja taloudellinen yhdentyminen

• Teknologian nopea kehitys ja globalisaatio

• Luottamus on toiminnan elinehto sekä digitaalimarkkinoiden kehityksen ehto

”Vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla.”

4

TIETOSUOJAVALTUUTETUN TOIMISTO

Tausta ja tavoitteet

• Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus

• Henkilötietojen suojan yhteensovittaminen muiden oikeuksien ja vapauksien kanssa

• Asetuksen punaisena lankana on havaittavissa riskiperusteinen tietojen käsittely ja rekisteröityjen itsemääräämisoikeuden vahvistaminen

• Teknologianeutraliteetti

5

TIETOSUOJAVALTUUTETUN TOIMISTO

Tausta ja tavoitteet

• Rekisteröityjen itsemääräämisoikeuden vahvistaminen

– Rekisteröidyn oikeuksien ja rekisterinpitäjän velvollisuuksien kautta

• Tehokas valvontaviranomainen

– Hallinnolliset sanktiot

6

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuoja-asetus

• Kaikissa jäsenvaltioissa suoraan sovellettavaa oikeutta

– Kansallista liikkumavaraa

• Arvioidaan OM asettamassa TATTI-työryhmässä

• Sovelletaan 25.5.2018 alkaen niin yksityisellä kuin julkisella sektorilla

7

TIETOSUOJAVALTUUTETUN TOIMISTO

Vanhaa ja uutta

• Vanhojen käsitteiden rinnalle uusia

– Esim. pseudonymisointi, geneettiset tiedot, biometriset tiedot, profilointi

• Käsittelyn oikeusperusteiden, periaatteiden, rekisterinpitäjän velvoitteiden ja rekisteröityjen oikeuksien osalta uutta ja täsmennyksiä

• Aineellinen soveltamisala lähtökohtaisesti sama kuin direktiivissä

• Alueellinen soveltamisala laajenee

8

TIETOSUOJAVALTUUTETUN TOIMISTO

Henkilötietojen käsittelyn oikeusperusteet

• Tietosuoja-asetuksen 6 artikla

– Oikeutettu etu

• Tietosuoja-asetuksen 9 artikla (erityisiä henkilötietoryhmiä koskeva käsittely)

• Tietosuoja-asetuksen 10 artikla rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot

• Tietosuoja-asetuksen 5 luku henkilötietojen siirto kolmansiin maihin

• Käsittelyn oikeusperusteen lisäksi on täyttyvä muut tietosuoja-asetuksen velvoitteet ja periaatteet !

9

TIETOSUOJAVALTUUTETUN TOIMISTO

Muutoksia

• Tietosuojaa koskeva vaikutusten arviointi

• Tietosuojavastaavat

• Osoitusvelvollisuus

• Velvollisuus ilmoittaa tietoturvaloukkauksesta

– Tietosuojaviranomaisille

– Rekisteröidyille

• Sanktiot

• Rajat ylittävä valvonta

10

- DPIA

- PRIOR

CONSULTING

RISKIPERUSTEINEN

LÄHESTYMISTAPA

Henkilötietolaki ja TIETOSUOJA-

ASETUS

Arvioi oma toiminta

5-6 §

Aloitus

2§Suunnittelu

huolellisuus

5-6§

Nimeä vastuu-

henkilö

5§

Henkilötiedot

3§ 1 k, 9, 12-20 §

Tietoturvallisuus

32§

Mistä henkilötiedot

kerätään

8, 9, 12-20 §

Käyttötarkoitus-

sidonnaisuus

7§

Ulkoistaminen

8.1§ 7-k

Oikeus käsitellä

8, 12, 13, 14-20§

Käsittelyn tarkoitus

3 § 3-k & 6 §

Käytön hallinnointi

5§

Rekisteröidyn

oikeudet

24-29§

Kouluta, ohjeista

5§

Viranomais-

ilmoitukset

36-37§

Informointi-

velvollisuus

24§

Hävitä, arkistoi

12.2 §, 21 §,

19.1 § 1k

34-35 §

Luovutukset

8, 12-20 § (6§)

Sisäänrakennettu ja oletusarvoinen tietosuoja 25 art.

Ulkomaille

siirrot

22-23§

Rekisteriseloste

10§HE

NK

ILÖ

RE

KIS

TE

RI

3§

3k

Vaitiolovelvollisuus

33 §

JulkL

JulkA 2 §

11

PROFILOINTI OSS

PRIVACY

BY

DEFAULT

- PSEUDONYYMIT

- GENEETTISET, BIOMETR.

- KIRJANPITOTIETOSUOJAVASTAAVA

- RAJOITUS

- PORTABILITY

- VASTUSTUS

ACCOUNTABILITY

YHDENMUKAISUUS-

MEKANISMIEDPB

- SERTIFIKAATIT

- AUDITOINNIT

PIA

DBN

PRIVACY

SHIELD

TIETOSUOJAVALTUUTETUN TOIMISTO

II Riskiperusteinen lähestymistapa, tietosuojaperiaatteet ja osoitusvelvollisuus

12

TIETOSUOJAVALTUUTETUN TOIMISTO

Riskiperusteinen lähestymistapa

• Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa

• Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.

13

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojaperiaatteet• Käsittelyn lainmukaisuus, kohtuullisuus ja

läpinäkyvyys

• Käyttötarkoitussidonnaisuus

• Tietojen minimointi

• Tietojen täsmällisyys

• Tietojen säilytyksen rajoittaminen

• Tietojen eheys ja luottamuksellisuus

• Osoitusvelvollisuus

14

TIETOSUOJAVALTUUTETUN TOIMISTO

Osoitusvelvollisuus

• Uudenlainen suhtautuminen tietosuojaa koskeviin kysymyksiin

• Edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia

• Eri tasoilla:

– Miten periaatteet toteutuvat? Asetuksen noudattamisen osoittaminen?

• Sertifikaatit ja käytännesäännöt

15

TIETOSUOJAVALTUUTETUN TOIMISTO

Sisäänrakennettu ja oletusarvoinen tietosuoja

• Tietosuojaperiaatteet otetaan tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa – toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset

tekniset ja organisatoriset toimenpiteet

• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja

• Tietosuojaa koskevat kysymykset tunnistetaan ja otetaan huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä

16

TIETOSUOJAVALTUUTETUN TOIMISTO

Roolit

• Rekisteröity

• Rekisterinpitäjä tai yhteisrekisterinpitäjät

• Henkilötietojen käsittelijä

• Valvontaviranomainen

• Euroopan tietosuojaneuvosto

17

TIETOSUOJAVALTUUTETUN TOIMISTO

Vastuut asetuksen mukaan

• Rekisterinpitäjän vastuu säilyy

• Ei voi ulkoistaa vastuuta tietosuojavastaavalle

• Yhteisrekisterinpitäjät (art. 26)

• Määriteltävä läpinäkyvällä tavalla vastuualueet

• Henkilötietojen käsittelijä (28 art.)• Asetuksen vaatimusten täyttäminen

• Ketjutukseen valtuutus

• Sopimus tai muu oikeudellinen asiakirja

• Komission vakiosopimuslausekkeet

• Valvontaviranomaisen hyväksymismenettely vak.sop. lausekkeille

• Kirjallinen

18

TIETOSUOJAVALTUUTETUN TOIMISTO

III Tietosuojavastaavat

19

TIETOSUOJAVALTUUTETUN TOIMISTO

• Tietosuojatyöryhmä WP 29 ohje ”tietosuojavastaavista” http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/tiedotteet/WC2W0GhSR/Guidelines_on_Data_Protection_Officers.pdf.

20

TIETOSUOJAVALTUUTETUN TOIMISTO

Milloin on nimitettävä

- Viranomainen tai julkishallinnon elin

- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittely toimista, jotka luonteensa, laajuutensa ja/tai tarkoitusten vuoksi edellyttävät laajamittaistarekisteröityjen säännöllistä ja järjestelmällistä seurantaa

- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 art. tai 10 art. mukaisiin tietoihin.

- Myös vapaaehtoisesti tietosuojavastaava tai muu henkilö?

21

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojavastaavan asema

• Otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn

• Osoitetaan tarpeelliset resurssit tehtävien hoitamiselle

• Itsenäinen asema

• ”Irtisanomissuoja”

• Eturistiriidat

22

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojavastaavan tehtävät

• Neuvot rekisterinpitäjälle tai käsittelijälle sekä työntekijöille

• Valvoa tietosuoja-asetuksen noudattamista

• Rooli tietosuojaa koskevan vaikutusten arvioinnin tekemisessä ja ennakkokuulemisessa

• Valvontaviranomaisen ja rekisteröityjen yhteyspiste

23

TIETOSUOJAVALTUUTETUN TOIMISTO

Huoneentaulu rekisterinpitäjille 1) Kartoita tietojen käsittelyn nykytila ja ota tietosuoja osaksi toimintojen

suunnittelua

2) Arvio henkilötietojen käsittelyyn liittyvät riskit ja toimenpiteet niiden minimoimiseksi

3) Tee tarvittaessa tietosuojaa koskeva vaikutustenarviointi ja kuule valvontaviranomaista

4) Selvitä, millä perusteella käsittelet henkilötietoja

5) Tunnista tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle

6) Selvitä, mitä rekisteröidyn oikeuksia toimintaasi liittyy ja, miten toteutat niitä

7) Jos organisaatiosi toimii usean jäsenvaltion alueella, selvitä johtava valvontaviranomainen

8) Arvio asianmukaiset suojatoimenpiteet ja suojaa koko elinkaari

9) Valmistaudu ilmoittamaan tietoturvaloukkauksista

10) Nimitä tarvittaessa tietosuojavastaava

24

TIETOSUOJAVALTUUTETUN TOIMISTO

Lisätietoja

Tietosuojavaltuutetun verkkosivut:

www.tietosuoja.fi

Tietosuoja-asetus teksti:

http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT

25