1. No category

Sessio 9.9.2015
Tietosuojan uudet tuulet puhaltavat, pysyykö
purtesi pystyssä?
EU-TIETOSUOJA-ASETUS
JA
SEN VAIKUTUKSET TOIMINTAAN
Reijo Aarnio
tietosuojavaltuutettu
Tietosuojavaltuutetun toimisto
1
EKOSYSTEEMI
VERKKO (WEB) PALVELUT
Prop.
apps
3rd party
apps
Operating apps
(Laite) hardware
Verkko infra
2
TIETOSUOJAVALTUUTETUN TOIMISTO
”MAISEMA”
1. KULUTTAJANSUOJAN HARMONISOINTI
2. EU:N KAUPPALAIN HARMONISOINTI
3. TIETOSUOJAN HARMONISOINTI
► DIGITAALISTEN SISÄMARKKINOINTIEN
”BUUSTAAMINEN”
TIETOSUOJAVALTUUTETUN TOIMISTO
3
Mitä ?
1. Entiset tietosuojaperiaatteet säilyvät
2. Asetuksessa joitakin ”uusia” asioita:
-
COMPLIANCE; (”sääntöjen noudattaminen”)
- Asetuksessa mennään pitemmälle
ACCOUNTABILITY;  TIETOTILINPÄÄTÖS
- Tilintekokykyisyys eli osoita että noudatat lakeja
PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)
- Henkilötietolain 6 §
PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu)
- Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman spostin tietoturvasta.
- Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen
suojattu palvelu (nyt jo esim. pankit)
TIETOSUOJAVALTUUTETUN TOIMISTO
4
ACCOUNTABILITY
• WP29; LAUSUNTO 3/2010
TILIVELVOLLISUUDEN PERIAATTEESTA
(13.7.2010)
”passiivisesta” compliancesta
”aktiiviseksi” accountabilityksi
(i) soveltuvia ja tehokkaita toimia tietosuojaperiaatteiden toteuttamiseksi
(ii) soveltuvien ja tehokkaiden toimien
toteuttaminen on (pyynnöstä) todistettava
TIETOSUOJAVALTUUTETUN TOIMISTO
5
TOIMENPITEET; esimerkkejä
1)
2)
Sisäisen tarkastuksen menetelmät
(jo ennakolta)
Ohjeistukset, ”policyt” & valvonta
3)
Tietojen kartoitus
4)
Tietosuojavastaavan nimeäminen
5)
6)
Koulutus
Valitusten ja oikeuksien käytön mekanismit
7)
8)
9)
10)
Tietoturvailmoitukset
PIA
Standardit ja sertifikaatit
Edellä mainittujen valvonta  KUKA VALVOO?
TIETOSUOJAVALTUUTETUN TOIMISTO 6
TIETOTILINPÄÄTÖS
Tietosuojavaltuutetun toimisto on julkaissut oppaan
tietotilinpäätöksen tekemisestä. Tietotilinpäätös on
raportti, joka syntyy organisaation sisäisen tarkastelun
tuloksena ja antaa kokonaiskuvan organisaation
tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa
myös henkilötietolain mukaisen hyvän
tietojenkäsittelytavan noudattamista.
Tietotilinpäätöksen tarkoituksena on toimia dynaamisena
työkaluna, joka palvelee organisaation johdon tarpeita ja
lisää asiakkaiden ja sidosryhmien luottamusta
organisaation menettelytapoihin.
TIETOSUOJAVALTUUTETUN TOIMISTO
7
”PRIVACY BY DESIGN”
Henkilötietolaki (523/1999)
6 § Henkilötietojen käsittelyn suunnittelu
Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua
rekisterinpitäjän toiminnan kannalta. Henkilötietojen
käsittelyn tarkoitukset sekä se, mistä henkilötiedot
säännönmukaisesti hankitaan ja mihin niitä
säännönmukaisesti luovutetaan , on määriteltävä ennen
henkilötietojen keräämistä tai muodostamista
henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus
tulee määritellä siten, että siitä ilmenee, minkälaisten
rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja
käsitellään.
TIETOSUOJAVALTUUTETUN TOIMISTO
8
”PRIVACY BY DESIGN”
HENKILÖTIETOLAKI
Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja
lainmukaisuuden arviointi
JulkL
JulkA 2 §
HENKILÖREKISTERI 3§ 3k
Arvioi oma toiminta
5-6 §
Käsittelyn tarkoitus Oikeus käsitellä
3 § 3-k & 6 §
8, 12, 13, 14-20§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Henkilötiedot
3§ 1 k, 9, 12-20 §
Aloitus
2§
Suunnittelu
huolellisuus
5-6§
Käyttötarkoitussidonnaisuus
7§
Rekisteröidyn
oikeudet
24-29§
Rekisteriseloste
10§
Tietoturvallisuus
32§
Luovutukset
8, 12-20 § (6§)
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Informointivelvollisuus
24§
Ulkoistaminen
8.1§ 7-k
Käytön hallinnointi
5§
Vaitiolovelvollisuus
33 §
Ulkomaille
siirrot
22-23§
Nimeä vastuuhenkilö
5§
Kouluta, ohjeista
5§
Viranomaisilmoitukset
36-37§
9
TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DEFAULT””
”OLETUSARVOINEN JA
SISÄÄNRAKENNETTU
TIETOSUOJA”
•
vastuu ”mökin mummolta”
palvelun toimittajalle
TIETOSUOJAVALTUUTETUN TOIMISTO
10
Tietosuojavastaavan
toimenkuva
Tietosuojavastaavan tehtävänä on
organisaation erityisasiantuntijana auttaa
rekisterinpitäjää saavuttamaan hyvän
henkilötietojen käsittelytavan2 ja mahdollisten
erityislakien edellyttämä korkea tietosuojan
taso, jonka avulla voidaan rakentaa ja
säilyttää luottamus rekisteröidyn ja
rekisterinpitäjän välille. Näin ollen
tietosuojavastaavan tehtävänä on antaa
asiantuntija-apua sekä organisaation
henkilöstölle että ennen kaikkea johdolle, jolla
on viimekätinen vastuu rekisterinpitäjänä
henkilötietojen käsittelystä.
TIETOSUOJAVALTUUTETUN TOIMISTO
11
Mitä ?
- DATA BREACH NOTIFICATION; (tietoturvaloukkauksista
ilmoittaminen)
- Rekisterinpitäjän ilmoitusvelvollisuus
valvontaviranomaiselle ja asiakkaalle
- mm. tietomurto ja henkilörekisteririkos
- VALVONTAVIRANOMAISTEN ROOLIN
VAHVISTAMINEN; (viranomaisten toimivalta muuttuu)
- TSV:lle mahdollisesti sakottamisoikeus, josta valitustie
ensin kansallisesti ja aina EY-tuomioistuimeen asti
- RIGHT TO BE FORGOTTEN; (oikeus unohtaa)
- Esim. Facebook –tyyppiset palvelut; oikeus itse
myötävaikuttaa, että tiedot poistetaan
- Voi olla haasteellista toteuttaa
- RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon)
- Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta
toiselle (esim. kanta-asiakasjärjestelmät)
TIETOSUOJAVALTUUTETUN TOIMISTO
12
SEURAAMUKSET
• SAKOTUSTOIMIVALTA  velvollisuus
• kts. Artikla 79
• 100 000 000 euroa tai 7 % liikevaihdosta
• KUKA MÄÄRÄÄ?
TIETOSUOJAVALTUUTETUN TOIMISTO 13
TIETOSUOJAVALTUUTETTU JA ACCOUNTABILITY:
Tietosuojaviranomaisten suorittama
lainvalvonta
YHDENMUKAISUUSMENETTELY
VALITUKSET
ETUKÄTEISVALVONTA
TARKASTUKSET
TILIVELVOLLISUUS /
TIETOTILINPÄÄTÖS
OHJEISTUSJA
NEUVONTAPYYNNÖT
PIA
TOIMIVALLAT ?
TIETOSUOJAVALTUUTETUN TOIMISTO 14
- digitaalisen talouden edistäminen EU:n tasolla
- kansalaisoikeuksien vahvistaminen
- MAGNA CHARTA 800 v.
- ”Hyvät kansalaisoikeudet = hyvä liiketoiminta”
HAVAINTO:
TIETOSUOJA ON MENESTYSTEKIJÄ !
TIETOSUOJAVALTUUTETUN TOIMISTO
15
TOIMENPITEET REKISTERINPITÄJILLE:
1) Määrää tietosuojan isäntä; Tietosuojavastaava
2) Analysoi henkilötietovarastosi ja –prosessit 
eliminoi turhat
3) Tee riskiarvio; arvioi myös sopimuksesi
4) Laadi toimintaohjeet ja –ohjelmat eri tilanteiden varalta;
esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne.
5) Huolehdi tietoturvasta, käytä salauksia
6) Huolehdi henkilöstön osaamisesta
7) Valvo henkilötietojen käyttöä
8) Käytä henkilötietolakia apunasi
9) Tunnista muu lainsäädäntö
10) Luo sisäinen ja ulkoinen raportointijärjestelmä;
LAADI ”TIETOTILINPÄÄTÖS”
TIETOSUOJAVALTUUTETUN TOIMISTO
16
Neuvottelutilanne
KESKEISIÄ NEUVOSTOSSA PÄÄTÖKSEEN SAATETTUJA KYSYMYKSIÄ
• mm. asiakirjajulkisuus, tieteellinen tutkimus, tilastollinen tutkimus,
työelämän tietosuoja, EDPB:n status
TRILOGIT
• Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi
kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan
parlamentin ja neuvoston asetukseksi yksilöiden suojelusta
henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta (yleinen tietosuoja-asetus).
• EP:n ja neuvoston tekstit poikkeavat joiltain osin huomattavastikin
toisistaan
TIETOSUOJAVALTUUTETUN TOIMISTO
17
Neuvottelutilanne
KOMISSIO
• Tavoite oli hyväksyä tietosuojapaketti EP:n viime vaalikaudella
• Uusi komissaari / Vera Jourová  korkea prioriteetti
EUROOPAN PARLAMENTTI
• Täysistunto hyväksyi LIBE:n mietinnön sellaisenaan maaliskuussa
2014
NEUVOSTO
• Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi
kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan
parlamentin ja neuvoston asetukseksi yksilöiden suojelusta
henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta (yleinen tietosuoja-asetus).
TIETOSUOJAVALTUUTETUN TOIMISTO
18
U-JATKOKIRJE 24.9.2014/ 1
SUOMEN KANTA
1) SUOMI KANNATTAA UUDISTUSTA
2) ”OIKEUTETUN EDUN” –KÄSITE TÄSMENNETTÄVÄ
3) RISKIPOHJAINEN LÄHESTYMISTAPA OK !
- pseudonymisointi
- Data Protection by Default
- DPIA & ennakkohyväksyntä
- tietosuojavastaavat  vapaaehtoista,
ellei kansallinen laki
- sertifiointi  ei vapauta vastuusta
TIETOSUOJAVALTUUTETUN TOIMISTO
19
U-JATKOKIRJE 24.9.2014 / 2
4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA
5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJAVIRASTOA
- asiakirjajulkisuus = 80 a ARTIKLA
- ERITYISET KÄSITTELYTILANTEET
* työelämä (82)
* sosiaaliturva (82 (a))
* henkilötunnus (80 (b))
* terveys (81)
* historian tutkimus, tilastot, tiede, arkistointi
- ”Kolmannen maan tuomioistuimen tuomiota…
luovutettava…, ei tunnusteta…täytäntöönpanokelpoiseksi…Unionissa”
TIETOSUOJAVALTUUTETUN TOIMISTO
20
U-JATKOKIRJE 24.11.2014
1) KANSALLINEN LIIKKUMAVARA
 kansallisen lainsäädännön ja
asetuksen suhde
2) YHDEN LUUKUN MEKANISMI
3) RESURSSIT
TIETOSUOJAVALTUUTETUN TOIMISTO
21
www.tietosuoja.fi/
EU:n tietosuojauudistus
22
23
KIITOS KUUNTELUSTA!
Tiedon laatu
= Toiminnan laatu
LISÄTIETOJA:
www.tietosuoja.fi
Reijo Aarnio
tietosuojavaltuutettu
Tietosuojavaltuutetun toimisto
24