Eeva Jokineva EU:n tietosuojasääntelyn uudistaminen

EU:n tietosuojasääntelyn
uudistaminen
Vakuutuslakimiesten Eurooppapäivä 8. toukokuuta 2012
Eeva Jokineva
EU:n tietosuojasääntelyn uudistaminen
Esityksen sisältö
Voimassaoleva tietosuojasääntely
Uudistamishankkeen taustaa
Komission sääntelyehdotukset
Asetusehdotuksen keskeinen sisältö
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
2
EU:n tietosuojasääntelyn uudistaminen
Voimassaoleva tietosuojasääntely
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
3
Voimassaoleva tietosuojasääntely
>
>
>
>
>
>
Kansainväliset sopimukset ja suositukset
- Esimerkiksi Euroopan neuvoston ns. tietosuojasopimus sekä OECD:n
tietosuojasuositus
EU:n perusoikeuskirjan 8 artikla sekä Euroopan unionin toiminnasta tehdyn
sopimuksen 16 artikla henkilötietojen suojasta
- Jokaisella on oikeus henkilötietojensa suojaan
Tietosuojadirektiivi 95/46/EY
Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY (muutettu direktiivillä
2009/136/EY)
Suomessa implementointi henkilötietolakiin (22.4.1999/523) sekä sähköisen
viestinnän tietosuojalakiin (16.6.2004/516)
Erityislainsäädäntö
- Esimerkiksi kansallinen ja toimialakohtainen erityissääntely
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
4
EU:n tietosuojasääntelyn uudistaminen
Uudistamishankkeen tausta ja
tavoitteet
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
5
Uudistamishankkeen taustaa
>
>
>
EU:n nykyisen tietosuojasääntelyn uudistamishanke alkoi vuonna 2009
- Eurooppa-neuvoston 11. helmikuuta 2009 hyväksymä Tukholman
ohjelma, jonka mukaan unionilla on oltava kattava strategia
tietojen suojaamiseksi EU:n sisällä ja sen suhteessa muihin maihin
Komission järjesti henkilötietojen suojaa koskevasta lainsäädännöstä
laajan julkisen kuulemisen vuonna 2010
Komissio julkaisi hankkeeseen liittyvän tiedonantonsa Kattava
lähestymistapa henkilötietojen suojaan Euroopan unionissa
(KOM(2010) 609) marraskuussa 2010
- Sisälsi komission näkemyksiä sääntelyn uudistustarpeista
- Neuvoston päätelmät helmikuussa 2011 ja Euroopan parlamentin
mietintö heinäkuussa 2011
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
6
Uudistamisen tavoitteista
>
>
Tavoitteena on EU:n henkilötietojen suojaa koskevan lainsäädännön
yhdenmukaistaminen sekä ajanmukaisen, vahvan ja kattavan tietosuojakehyksen
luominen EU:lle
Komission lehdistötiedote 25.1.2012 EU:n tietosuojasääntöjen kattavasta
uudistuksesta:
Tarkoituksena on vahvistaa yksityisyydensuojaa verkkoympäristössä ja antaa
lisäpotkua Euroopan digitaalitaloudelle. Teknologian kehitys ja globalisoituminen ovat perin
pohjin mullistaneet tavan, jolla henkilötietoja kerätään ja käytetään. Lisäksi vuoden 1995
tietosuojasäännöt on pantu täytäntöön EU:n 27 jäsenvaltiossa eri tavoin, mikä on johtanut
eroavuuksiin niiden käytännön soveltamisessa. Uusi yhtenäinen lainsäädäntö poistaa
nykytilanteen pirstaleisuuden ja siitä johtuvan raskaan hallintorasituksen, niin
että yrityksille kertyy säästöä 2,3 miljardia euroa vuodessa. Uudistus lujittaa osaltaan
kuluttajien luottamusta verkkoympäristöön ja tukee siten Euroopassa kipeästi
kaivattua talouskasvua, työllisyyttä ja innovaatiota.
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
7
EU:n tietosuojasääntelyn uudistaminen
Komission sääntelyehdotukset
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
8
Komission sääntelyehdotukset
>
Komissio julkaisi ehdotuksensa EU:n tietosuojasääntelyn
uudistamiseksi 25.1.2012
- Yleinen tietosuoja-asetus (KOM (2012) 11 lopullinen),
joka korvaa nykyisen tietosuojadirektiivin
- Poliisi- ja oikeudelliseen yhteistyöhön liittyvä direktiivi, joka
korvaa nykyisen neuvoston puitepäätöksen 2008/977/YOS
>
Hankkeen käsittely neuvoston ja parlamentin
yhteispäätösmenettelyssä kestää todennäköisesti useita vuosia
- Epävirallisena tavoitteena neuvotteluiden loppuunkäyminen vielä
nykyisen parlamentin toimikaudella vuoteen 2014 mennessä
- Lisäksi mahdolliset kansalliset täytäntöönpanotoimet
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
9
EU:n tietosuojasääntelyn uudistaminen
Asetusehdotuksen keskeinen
sisältö
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
10
Asetusehdotuksen sisältö (1/2)
>
>
>
>
I luku Yleiset säännökset
II luku Periaatteet
III luku Rekisteröidyn oikeudet
Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt
Ilmoittaminen ja tiedonsaanti
Tietojen oikaiseminen ja poistaminen
Oikeus vastustaa henkilötietojen käsittelyä ja profilointi
Rajoitukset
IV luku Rekisterinpitäjä ja henkilötietojen käsittelijä
Yleiset velvollisuudet
Tietoturvallisuus
Tietosuojaa koskeva vaikutusten arviointi ja ennakkohyväksyntä
Tietosuojavastaava
Käytännesäännöt ja sertifiointi
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
11
Asetusehdotuksen sisältö (2/2)
>
>
>
>
>
>
>
V luku Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille
VI luku Riippumattomat valvontaviranomaiset
- Riippumaton asema
- Toimivalta ja tehtävät
VII luku Yhteistyö ja yhdenmukaisuus
- Yhteistyö
- Yhdenmukaisuus
- Euroopan tietosuojaneuvosto
VIII luku Oikeussuojakeinot, vastuu ja seuraamukset
IX luku Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset
X luku Delegoidut säädökset ja täytäntöönpanosäädökset
XI luku Loppusäännökset
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
12
Asetusehdotuksen keskeiset muutokset
nykysääntelyyn
>
Vaikka keskeiset henkilötietojen käsittelyä koskevat perusperiaatteet
asetusehdotuksessa pääosin ennallaan, muutoksia aiheutuu erityisesti
läpinäkyvyyden, käsiteltävien tietojen minimoinnin sekä rekisterinpitäjän kattavan
vastuun periaatteista (5 artikla)
>
Muutokset liittyvät erityisesti
- rekisteröidyn oikeuksien vahvistamiseen,
- rekisterinpitäjien velvollisuuksien lisäämiseen sekä
- tietosuojaviranomaisten roolin vahvistamiseen ja toimivaltaan
>
Komission ehdotus yleiseksi tietosuoja-asetukseksi on nykyistä direktiiviä
huomattavasti yksityiskohtaisempi
- Yhteensä 91 artiklaa
- Lisäksi useita valtuutussäännöksiä, joiden nojalla komissiolla on valta antaa
täydentävää, yksityiskohtaisempaa sääntelyä
- Näiltä osin uudistettavan tietosuojasääntelyn sisältö tässä vaiheessa vielä avoin
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
13
Asetuksen vaikutukset kansalliseen
lainsäädäntöön
>
Jäsenvaltioissa suoraan sovellettavaa asetusta sovellettaisiin soveltamisalallaan
kansallisen yleis- ja erityislainsäädännön sijaan
>
Lähtökohtaisesti asetuksen kanssa ristiriitainen kansallinen lainsäädäntö olisi
kumottava
- Osittain asetus perustuu kansalliseen sääntelyyn ja siinä asetetaan
jäsenvaltioille myös lainsäädäntövelvoitteita (6 artiklan mukaiset
henkilötietojen lainmukaisen käsittelyn edellytykset sekä 46 ja 49 artiklat)
- Mahdollisuus poiketa asetuksen säännöksistä kansallisella lailla (esimerkiksi
21 artiklan mukaan jäsenvaltion lainsäädännössä voidaan
lainsäädäntötoimenpiteellä rajoittaa tiettyjen velvollisuuksien ja oikeuksien
soveltamisalaa)
>
Edellyttää kansallisen ja toimialakohtaisen erityissääntelyn läpikäyntiä
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
14
Rekisteröityjen oikeuksien vahvistaminen
(1/3)
>
Rekisteröidyille nykyistä laajemmat oikeudet saada tietoa henkilötietojen käsittelystä (11-12
sekä 14-15 artiklat)
Läpinäkyvyys edellyttää, että rekisterinpitäjän toimittavat rekisteröidyille läpinäkyvää,
helposti saatavaa ja ymmärrettävää tietoa henkilötietojensa käsittelystä
Rekisterinpitäjän vahvistettava menettelyt ja mekanismit rekisteröidyn oikeuksien
käyttämistä varten
Informointivelvollisuus edellyttää, että tietoja kerättäessä rekisteröidylle annetaan tietoa
mm. tietosuojavastaavasta, tietojen säilytysajasta sekä oikeudesta tehdä valitus
Rekisteröidyn tiedonsaantioikeutta on laajennettu nykyisestä tarkastusoikeudesta
Rekisteröidyllä on oikeus saada vahvistus henkilötietojen käsittelystä sekä tutustua
henkilötietoihinsa, mutta annettavan informaation määrää on laajennettu
Lähtökohtaisesti maksutta, mutta maksun periminen mahdollista tilanteessa, jossa
tarkastuspyynnöt ovat ilmeisen kohtuuttomia ja etenkin, jos pyyntöjä esitetään
jatkuvasti
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
15
Rekisteröityjen oikeuksien vahvistaminen
(2/3)
>
Rekisteröidyn oikeuksia tietojen oikaisemiseen ja poistamiseen sekä käsittelyn vastustamiseen
liittyen tarkennettu (16-20 artiklat)
Oikeus vaatia, että virheelliset henkilötiedot oikaistaan ja puutteelliset tiedot täydennetään
Oikeus vaatia rekisterinpitäjää poistamaan henkilötiedot ja pidättäytymään niiden
luovuttamisesta eteenpäin (ns. right to be forgotten)
Pääsääntönä ensisijaisesti henkilötietojen poistaminen viipymättä tai toissijaisesti
tietojen käsittelyn rajoittaminen
Oikeus siirtää tiedot järjestelmästä toiseen (ns. right to data portability)
Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu
suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää ko. henkilötiedot ja
kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään
Yleisesti käytetty sähköinen muoto
Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä koskee tiettyjä käsittelyperusteita
Oikeus kieltäytyä profiloinnista
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
16
Rekisteröityjen oikeuksien vahvistaminen
(3/3)
>
Rekisteröidyn suostumukselle lisäedellytyksiä (4 artiklan 8-kohta ja 7 artikla)
- Suostumus edellyttää nimenomaista tahdonilmaisua, jolla hän hyväksyy
henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai
toteuttamalla selkeästi suostumusta ilmaisevan toimen
- Suostumus ei esimerkiksi muodosta oikeusperustaa henkilötietojen käsittelylle, jos
rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta
>
Tarkennuksia edellytyksiin käsitellä arkaluonteisia tietoja (9 artikla)
- Terveystietojen käsittely terveyteen liittyvistä syistä noudattaen 81 artiklan
edellytyksiä
- Rikostuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely joko
viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai
asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan
tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion
lainsäädännössä, jossa säädetään asianmukaisista takeista
- Vaikutukset esimerkiksi väärinkäytösrekisterin ylläpitämiseen sekä
terveydentilatietojen käsittelyyn vakuutustoiminnassa
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
17
Rekisterinpitäjien velvollisuuksien
lisääminen (1/4)
>
>
Accountability-periaate (22 artikla)
- Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja
toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja
osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan
ehdotettua asetusta
- Tietosuojatyöryhmä on antanut tilivelvollisuuden periaatteesta
lausunnon vuonna 2010 (lausunto 3/2010)
Rekisterinpitäjän huolehdittava sisäänrakennetun ja oletusarvoisen
tietosuojan periaatteiden toteutumisesta (23 artikla)
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
18
Rekisterinpitäjien velvollisuuksien
lisääminen (2/4)
>
>
Velvollisuus ylläpitää henkilötietojen käsittelyä koskevaa dokumentaatiota (28
artikla)
- Rekisterinpitäjän on säilytettävä niiden vastuulla toteutettavia käsittelytoimia
koskevat asiakirjat
- Yksityiskohtaista sääntelyä dokumentaation sisällöstä
Tietoturvallisuutta koskevat velvoitteet
- Velvollisuus huolehtia käsittelyn turvallisuudesta ja toteuttaa tietojenkäsittelyn
turvallisuuden varmistamiseksi tarvittavat toimenpiteet (30 artikla )
- Uutuutena tietoturvaloukkauksia koskeva ilmoitusvelvollisuus (31 ja 32 artiklat)
- Tietoturvaloukkaus on loukkaus, jonka seurauksena on vahingossa
-
tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten
käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen,
luvaton luovuttaminen taikka saanti (4 artikla)
Ilmoitus tehtävä sekä viranomaiselle että tietyissä tilanteissa rekisteröidylle
itselleen
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
19
Rekisterinpitäjien velvollisuuksien
lisääminen (3/4)
>
Asetusehdotus sisältää yksityiskohtaiset säännökset henkilötietojen
käsittelyä koskevasta vaikutusten arvioinnista sekä
ennakkohyväksynnästä
- Rekisterinpitäjille velvollisuus toteuttaa vaikutustenarviointi, jos
käsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten
vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä
riskejä (33 artikla)
- Tietyissä tilanteissa velvollisuus hakea valvontaviranomaisen
ennakkohyväksyntä tai kuulla valvontaviranomaista ennen
tietojenkäsittelyn aloittamista (34 artikla)
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
20
Rekisterinpitäjien velvollisuuksien
lisääminen (4/4)
>
>
Velvollisuus nimittää organisaatioon riippumaton tietosuojavastaava (35 artikla)
- Säännös koskee yli 250 henkilöä työllistäviä yrityksiä sekä yrityksiä, joissa
rekisterinpitäjän keskeiset tehtävät muodostuvat säännöllistä ja
järjestelmällistä seurantaa edellyttävistä käsittelytoimista
- Toimikautena vähintään 2 vuotta
- Edellytyksenä tietosuojavastaavana toimimiselle on ammattipätevyys sekä
tietosuoja-asioiden erityisasiantuntemus
Tietosuojavastaavan asemasta ja tehtävistä säädetty yksityiskohtaisesti (36 ja
37 artiklat)
- Mukana kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyssä
- Tehtävänä mm. rekisterinpitäjän neuvonta asetuksen mukaisista
velvollisuuksista sekä henkilötietojen suojaan liittyvien toimintamenetelmien
sekä asetuksen täytäntöönpanon ja soveltamisen seuraaminen
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
21
Muutokset tietosuojaviranomaisten rooliin ja
toimivaltaan
>
>
>
Useassa jäsenvaltiossa toimivalle rekisterinpitäjälle yksi toimivaltainen valvova
tietosuojaviranomainen eli ns. one-stop-shop (51 artikla)
Eurooppalaisten valvontaviranomaisten yhteistyöstä entistä tarkempaa
sääntelyä
- Esimerkiksi yhdenmukaisuusmekanismin avulla varmistetaan
tietosuojasäännösten yhdenmukainen soveltaminen eri jäsenvaltioissa (57
artikla)
Viranomaisten roolin ja toimivallan vahvistaminen mm. valtuuksilla määrätä
hallinnollisia sanktioita (79 artikla)
- Säännös velvoittaa valvontaviranomaista määräämään hallinnollisia sakkoja
artiklassa luetelluista teoista tiettyyn enimmäismäärään asti (enimmillään 1
000 000 euroa tai 2 % vuotuisesta maailmanlaajuisesta liikevaihdosta)
- Sakon määrää vahvistettaessa huomioitava kuhunkin tapaukseen liittyvät
olosuhteet
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
22
FK:n kantoja ehdotettuun asetukseen sekä
arvio vaikutuksista
>
>
Finanssialan toiminta perustuu oleellisilta osin henkilötietojen käsittelyyn
EU:n tietosuojasääntelyn uudistamisella merkittävät vaikutukset toimialaan
Ehdotuksen tavoitteet sääntelyn yksinkertaistamisesta sekä harmonisaation vahvistamisesta ovat
kannatettavia, mutta
Huomioitava finanssialaa koskeva erityissääntely ja varmistuttava velvoittavan sääntelyn
johdonmukaisuudesta
Päällekkäistä sääntelyä esimerkiksi finanssialan sisäisen toiminnan organisoinnin suhteen
tulisi välttää
Huolenaiheena se, että ehdotettu sääntely kieltäisi tai vaikeuttaisi sellaista henkilötietojen
käsittelyä, joka on toimijoille esimerkiksi riskienhallinnan tai asiakastietojen käsittelyn
näkökulmasta tärkeää
Huomioitava, että ehdotettu sääntely lisää rekisterinpitäjien hallinnollista taakkaa
merkittävästi eikä esimerkiksi kaikkien ehdotettujen säännösten vaikutus henkilötietojen
suojan parantamisessa ei ole selkeä
Lukuisat valtuutussäännökset vähentävät sääntelyn ennakoitavuutta, mikä on ongelmallista
esimerkiksi tietojärjestelmämuutosten näkökulmasta
Määrättävien sanktioiden oltava oikeasuhtaisia
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
23
Lisätietoja
>
>
>
>
Komission ehdotus tietosuoja-asetukseksi
http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:F
I:PDF
Komission tietosuoja-aiheinen sivusto
http://ec.europa.eu/justice/data-protection/index_fi.htm
Oikeusministeriön tietosuojalainsäädännön uudistamista käsittelevä
hankesivusto
http://www.om.fi/Etusivu/Valmisteilla/Lakihankkeet/Informaatiooik
eus/1290610002784
Tietosuojavaltuutetun internet-sivut
http://www.tietosuoja.fi
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
24
Kiitos!
Lakimies Eeva Jokineva
[email protected]
020 793 4288
© Finanssialan Keskusliitto | Finansbranschens Centralförbund
8.5.2012
25