Upload
others
View
15
Download
0
Embed Size (px)
Citation preview
TIETOSUOJAVALTUUTETUN TOIMISTOTIETOSUOJAVALTUUTETUN TOIMISTO
EU:n tietosuoja-asetus:
Mitä uusi yleinen tietosuoja-asetus edellyttää organisaatiolta?
Toimistopäällikkö Heljä-Tuulia
Pihamaa, TietosuojavaltuutetunTeknologiateollisuus ry 13.2.2017
Ylitarkastaja Anna Hänninen
TIETOSUOJAVALTUUTETUN TOIMISTO
Esityksen sisältö
I. Tietosuoja-asetus
I. Tietosuoja-asetuksen tausta ja sen tuomat muutokset
II. Riskiperusteinen lähestymistapa, tietosuojaperiaatteet ja osoitusvelvollisuus
III. Tietosuojavastaavat
2
TIETOSUOJAVALTUUTETUN TOIMISTO
I. Tietosuoja-asetuksen tausta ja sen tuomat muutokset
3
TIETOSUOJAVALTUUTETUN TOIMISTO
Tausta ja tavoitteet
• Tietosuojadirektiivi 1995 95/46/EY
• 28 jäsenvaltion hajanaiset tietosuojasäännökset
• Sosiaalinen ja taloudellinen yhdentyminen
• Teknologian nopea kehitys ja globalisaatio
• Luottamus on toiminnan elinehto sekä digitaalimarkkinoiden kehityksen ehto
”Vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla.”
4
TIETOSUOJAVALTUUTETUN TOIMISTO
Tausta ja tavoitteet
• Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus
• Henkilötietojen suojan yhteensovittaminen muiden oikeuksien ja vapauksien kanssa
• Asetuksen punaisena lankana on havaittavissa riskiperusteinen tietojen käsittely ja rekisteröityjen itsemääräämisoikeuden vahvistaminen
• Teknologianeutraliteetti
5
TIETOSUOJAVALTUUTETUN TOIMISTO
Tausta ja tavoitteet
• Rekisteröityjen itsemääräämisoikeuden vahvistaminen
– Rekisteröidyn oikeuksien ja rekisterinpitäjän velvollisuuksien kautta
• Tehokas valvontaviranomainen
– Hallinnolliset sanktiot
6
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuoja-asetus
• Kaikissa jäsenvaltioissa suoraan sovellettavaa oikeutta
– Kansallista liikkumavaraa
• Arvioidaan OM asettamassa TATTI-työryhmässä
• Sovelletaan 25.5.2018 alkaen niin yksityisellä kuin julkisella sektorilla
7
TIETOSUOJAVALTUUTETUN TOIMISTO
Vanhaa ja uutta
• Vanhojen käsitteiden rinnalle uusia
– Esim. pseudonymisointi, geneettiset tiedot, biometriset tiedot, profilointi
• Käsittelyn oikeusperusteiden, periaatteiden, rekisterinpitäjän velvoitteiden ja rekisteröityjen oikeuksien osalta uutta ja täsmennyksiä
• Aineellinen soveltamisala lähtökohtaisesti sama kuin direktiivissä
• Alueellinen soveltamisala laajenee
8
TIETOSUOJAVALTUUTETUN TOIMISTO
Henkilötietojen käsittelyn oikeusperusteet
• Tietosuoja-asetuksen 6 artikla
– Oikeutettu etu
• Tietosuoja-asetuksen 9 artikla (erityisiä henkilötietoryhmiä koskeva käsittely)
• Tietosuoja-asetuksen 10 artikla rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot
• Tietosuoja-asetuksen 5 luku henkilötietojen siirto kolmansiin maihin
• Käsittelyn oikeusperusteen lisäksi on täyttyvä muut tietosuoja-asetuksen velvoitteet ja periaatteet !
9
TIETOSUOJAVALTUUTETUN TOIMISTO
Muutoksia
• Tietosuojaa koskeva vaikutusten arviointi
• Tietosuojavastaavat
• Osoitusvelvollisuus
• Velvollisuus ilmoittaa tietoturvaloukkauksesta
– Tietosuojaviranomaisille
– Rekisteröidyille
• Sanktiot
• Rajat ylittävä valvonta
10
- DPIA
- PRIOR
CONSULTING
RISKIPERUSTEINEN
LÄHESTYMISTAPA
Henkilötietolaki ja TIETOSUOJA-
ASETUS
Arvioi oma toiminta
5-6 §
Aloitus
2§Suunnittelu
huolellisuus
5-6§
Nimeä vastuu-
henkilö
5§
Henkilötiedot
3§ 1 k, 9, 12-20 §
Tietoturvallisuus
32§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Käyttötarkoitus-
sidonnaisuus
7§
Ulkoistaminen
8.1§ 7-k
Oikeus käsitellä
8, 12, 13, 14-20§
Käsittelyn tarkoitus
3 § 3-k & 6 §
Käytön hallinnointi
5§
Rekisteröidyn
oikeudet
24-29§
Kouluta, ohjeista
5§
Viranomais-
ilmoitukset
36-37§
Informointi-
velvollisuus
24§
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Luovutukset
8, 12-20 § (6§)
Sisäänrakennettu ja oletusarvoinen tietosuoja 25 art.
Ulkomaille
siirrot
22-23§
Rekisteriseloste
10§HE
NK
ILÖ
RE
KIS
TE
RI
3§
3k
Vaitiolovelvollisuus
33 §
JulkL
JulkA 2 §
11
PROFILOINTI OSS
PRIVACY
BY
DEFAULT
- PSEUDONYYMIT
- GENEETTISET, BIOMETR.
- KIRJANPITOTIETOSUOJAVASTAAVA
- RAJOITUS
- PORTABILITY
- VASTUSTUS
ACCOUNTABILITY
YHDENMUKAISUUS-
MEKANISMIEDPB
- SERTIFIKAATIT
- AUDITOINNIT
PIA
DBN
PRIVACY
SHIELD
TIETOSUOJAVALTUUTETUN TOIMISTO
II Riskiperusteinen lähestymistapa, tietosuojaperiaatteet ja osoitusvelvollisuus
12
TIETOSUOJAVALTUUTETUN TOIMISTO
Riskiperusteinen lähestymistapa
• Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa
• Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.
13
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojaperiaatteet• Käsittelyn lainmukaisuus, kohtuullisuus ja
läpinäkyvyys
• Käyttötarkoitussidonnaisuus
• Tietojen minimointi
• Tietojen täsmällisyys
• Tietojen säilytyksen rajoittaminen
• Tietojen eheys ja luottamuksellisuus
• Osoitusvelvollisuus
14
TIETOSUOJAVALTUUTETUN TOIMISTO
Osoitusvelvollisuus
• Uudenlainen suhtautuminen tietosuojaa koskeviin kysymyksiin
• Edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia
• Eri tasoilla:
– Miten periaatteet toteutuvat? Asetuksen noudattamisen osoittaminen?
• Sertifikaatit ja käytännesäännöt
15
TIETOSUOJAVALTUUTETUN TOIMISTO
Sisäänrakennettu ja oletusarvoinen tietosuoja
• Tietosuojaperiaatteet otetaan tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa – toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset
tekniset ja organisatoriset toimenpiteet
• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja
• Tietosuojaa koskevat kysymykset tunnistetaan ja otetaan huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä
16
TIETOSUOJAVALTUUTETUN TOIMISTO
Roolit
• Rekisteröity
• Rekisterinpitäjä tai yhteisrekisterinpitäjät
• Henkilötietojen käsittelijä
• Valvontaviranomainen
• Euroopan tietosuojaneuvosto
17
TIETOSUOJAVALTUUTETUN TOIMISTO
Vastuut asetuksen mukaan
• Rekisterinpitäjän vastuu säilyy
• Ei voi ulkoistaa vastuuta tietosuojavastaavalle
• Yhteisrekisterinpitäjät (art. 26)
• Määriteltävä läpinäkyvällä tavalla vastuualueet
• Henkilötietojen käsittelijä (28 art.)• Asetuksen vaatimusten täyttäminen
• Ketjutukseen valtuutus
• Sopimus tai muu oikeudellinen asiakirja
• Komission vakiosopimuslausekkeet
• Valvontaviranomaisen hyväksymismenettely vak.sop. lausekkeille
• Kirjallinen
18
TIETOSUOJAVALTUUTETUN TOIMISTO
III Tietosuojavastaavat
19
TIETOSUOJAVALTUUTETUN TOIMISTO
• Tietosuojatyöryhmä WP 29 ohje ”tietosuojavastaavista” http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/tiedotteet/WC2W0GhSR/Guidelines_on_Data_Protection_Officers.pdf.
20
TIETOSUOJAVALTUUTETUN TOIMISTO
Milloin on nimitettävä
- Viranomainen tai julkishallinnon elin
- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittely toimista, jotka luonteensa, laajuutensa ja/tai tarkoitusten vuoksi edellyttävät laajamittaistarekisteröityjen säännöllistä ja järjestelmällistä seurantaa
- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 art. tai 10 art. mukaisiin tietoihin.
- Myös vapaaehtoisesti tietosuojavastaava tai muu henkilö?
21
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojavastaavan asema
• Otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn
• Osoitetaan tarpeelliset resurssit tehtävien hoitamiselle
• Itsenäinen asema
• ”Irtisanomissuoja”
• Eturistiriidat
22
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojavastaavan tehtävät
• Neuvot rekisterinpitäjälle tai käsittelijälle sekä työntekijöille
• Valvoa tietosuoja-asetuksen noudattamista
• Rooli tietosuojaa koskevan vaikutusten arvioinnin tekemisessä ja ennakkokuulemisessa
• Valvontaviranomaisen ja rekisteröityjen yhteyspiste
23
TIETOSUOJAVALTUUTETUN TOIMISTO
Huoneentaulu rekisterinpitäjille 1) Kartoita tietojen käsittelyn nykytila ja ota tietosuoja osaksi toimintojen
suunnittelua
2) Arvio henkilötietojen käsittelyyn liittyvät riskit ja toimenpiteet niiden minimoimiseksi
3) Tee tarvittaessa tietosuojaa koskeva vaikutustenarviointi ja kuule valvontaviranomaista
4) Selvitä, millä perusteella käsittelet henkilötietoja
5) Tunnista tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle
6) Selvitä, mitä rekisteröidyn oikeuksia toimintaasi liittyy ja, miten toteutat niitä
7) Jos organisaatiosi toimii usean jäsenvaltion alueella, selvitä johtava valvontaviranomainen
8) Arvio asianmukaiset suojatoimenpiteet ja suojaa koko elinkaari
9) Valmistaudu ilmoittamaan tietoturvaloukkauksista
10) Nimitä tarvittaessa tietosuojavastaava
24
TIETOSUOJAVALTUUTETUN TOIMISTO
Lisätietoja
Tietosuojavaltuutetun verkkosivut:
www.tietosuoja.fi
Tietosuoja-asetus teksti:
http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT
25