Download   Report
  1. No category

EU:n tietosuoja

Terveydenhuollon Atk-päivät 2015
13.5.2015, Tampere-talo
EU-TIETOSUOJA-ASETUS
JA
TIETOSUOJAN
VASTUUKYSYMYKSET
Reijo Aarnio
Tietosuojavaltuutettu
TIETOSUOJAVALTUUTETUN TOIMISTO
1
EKOSYSTEEMI
VERKKO (WEB) PALVELUT
Prop.
apps
3rd party
apps
Operating apps
(Laite) hardware
Verkko infra
2
TIETOSUOJAVALTUUTETUN TOIMISTO
”MAISEMA”
1. KULUTTAJANSUOJAN HARMONISOINTI
2. EU:N KAUPPALAIN HARMONISOINTI
3. TIETOSUOJAN HARMONISOINTI
► DIGITAALISTEN SISÄMARKKINOINTIEN
”BUUSTAAMINEN”
TIETOSUOJAVALTUUTETUN TOIMISTO
3
Mitä ?
1. Entiset tietosuojaperiaatteet säilyvät
2. Asetuksessa joitakin ”uusia” asioita:
-
COMPLIANCE; (”sääntöjen noudattaminen”)
- Asetuksessa mennään pitemmälle
ACCOUNTABILITY;  TIETOTILINPÄÄTÖS
- Tilintekokykyisyys eli osoita että noudatat lakeja
PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)
- Henkilötietolain 6 §
PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu)
- Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman spostin tietoturvasta.
- Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen
suojattu palvelu (nyt jo esim. pankit)
TIETOSUOJAVALTUUTETUN TOIMISTO
4
TOIMENPITEET; esimerkkejä
1)
Sisäisen tarkastuksen menetelmät
(jo ennakolta)
2) Ohjeistukset, ”policyt” & valvonta
3) Tietojen kartoitus
4) Tietosuojavastaavan nimeäminen
5) Koulutus
6) Valitusten ja oikeuksien käytön mekanismit
7) Tietoturvailmoitukset
8) PIA
9) Standardit ja sertifikaatit
10) Edellä mainittujen valvonta  KUKA VALVOO?
TIETOSUOJAVALTUUTETUN TOIMISTO
5
”PRIVACY BY DESIGN”
Henkilötietolaki (523/1999)
6 § Henkilötietojen käsittelyn suunnittelu
Henkilötietojen käsittelyn tulee olla asiallisesti
perusteltua rekisterinpitäjän toiminnan kannalta.
Henkilötietojen käsittelyn tarkoitukset sekä se, mistä
henkilötiedot säännönmukaisesti hankitaan ja mihin niitä
säännönmukaisesti luovutetaan , on määriteltävä ennen
henkilötietojen keräämistä tai muodostamista
henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus
tulee määritellä siten, että siitä ilmenee, minkälaisten
rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja
käsitellään.
TIETOSUOJAVALTUUTETUN TOIMISTO
6
”PRIVACY BY DESIGN”
HENKILÖTIETOLAKI
Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja
lainmukaisuuden arviointi
JulkL
JulkA 2 §
HENKILÖREKISTERI 3§ 3k
Arvioi oma toiminta
5-6 §
Käsittelyn tarkoitus
3 § 3-k & 6 §
Oikeus käsitellä
8, 12, 13, 14-20§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Henkilötiedot
3§ 1 k, 9, 12-20 §
Aloitus
2§
Suunnittelu
huolellisuus
5-6§
Käyttötarkoitussidonnaisuus
7§
Rekisteriseloste
10§
Tietoturvallisuus
32§
Ulkoistaminen
8.1§ 7-k
Vaitiolovelvollisuus
33 §
Rekisteröidyn
oikeudet
24-29§
Ulkomaille
siirrot
22-23§
Luovutukset
8, 12-20 § (6§)
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Informointivelvollisuus
24§
Käytön hallinnointi
5§
Nimeä vastuuhenkilö
5§
Kouluta, ohjeista
5§
Viranomaisilmoitukset
36-37§
7
TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DEFAULT””
”OLETUSARVOINEN JA
SISÄÄNRAKENNETTU
TIETOSUOJA”
•
vastuu ”mökin mummolta”
palvelun toimittajalle
TIETOSUOJAVALTUUTETUN TOIMISTO
8
Mitä ?
- DATA BREACH NOTIFICATION; (tietoturvaloukkauksista
ilmoittaminen)
- Rekisterinpitäjän ilmoitusvelvollisuus
valvontaviranomaiselle ja asiakkaalle
- mm. tietomurto ja henkilörekisteririkos
- VALVONTAVIRANOMAISTEN ROOLIN
VAHVISTAMINEN; (viranomaisten toimivalta muuttuu)
- TSV:lle mahdollisesti sakottamisoikeus, josta valitustie
ensin kansallisesti ja aina EY-tuomioistuimeen asti
- RIGHT TO BE FORGOTTEN; (oikeus unohtaa)
- Esim. Facebook –tyyppiset palvelut; oikeus itse
myötävaikuttaa, että tiedot poistetaan
- Voi olla haasteellista toteuttaa
- RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon)
- Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta
toiselle (esim. kanta-asiakasjärjestelmät)
TIETOSUOJAVALTUUTETUN TOIMISTO
9
SEURAAMUKSET
• SAKOTUSTOIMIVALTA  velvollisuus
• kts. Artikla 79
• 100 000 000 euroa tai 7 % liikevaihdosta
• KUKA MÄÄRÄÄ?
TIETOSUOJAVALTUUTETUN TOIMISTO
10
TIETOSUOJAVALTUUTETTU JA ACCOUNTABILITY:
Tietosuojaviranomaisten suorittama
lainvalvonta
YHDENMUKAISUUSMENETTELY
VALITUKSET
ETUKÄTEISVALVONTA
TARKASTUKSET
TILIVELVOLLISUUS /
TIETOTILINPÄÄTÖS
OHJEISTUSJA
NEUVONTAPYYNNÖT
PIA
TOIMIVALLAT ?
TIETOSUOJAVALTUUTETUN TOIMISTO
11
- digitaalisen talouden edistäminen EU:n tasolla
- kansalaisoikeuksien vahvistaminen
- MAGNA CHARTA 800 v.
- ”Hyvät kansalaisoikeudet = hyvä liiketoiminta”
HAVAINTO:
TIETOSUOJA ON MENESTYSTEKIJÄ !
TIETOSUOJAVALTUUTETUN TOIMISTO
12
VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN
pyyntö / luovutus
Oma-aloitteinen ilmoitusoikeus tai -velvollisuus
Tiedon luovuttaja
(rekisterinpitäjä A)
EI
SOVELLETA,
koska:
LUOVUTUKSEEN SOVELLETAAN
Tiedon pyytäjä
(rekisterinpitäjä B)
13
TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA
POLIISI
PÄIVÄKOTI
KOULU
TERVEYDENHUOLTO
MUUT
TAHOT…
SIJOITUSKUNTA
LsL 78 §
LS-ilmoitukset
Tiedot
LASTENSUOJELU
UUDEN
KOTIKUNNAN
LASTENSUOJELU
SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki
14
TOIMENPITEET REKISTERINPITÄJILLE:
1) Määrää tietosuojan isäntä; Tietosuojavastaava
2) Analysoi henkilötietovarastosi ja –prosessit 
eliminoi turhat
3) Tee riskiarvio; arvioi myös sopimuksesi
4) Laadi toimintaohjeet ja –ohjelmat eri tilanteiden varalta;
esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne.
5) Huolehdi tietoturvasta, käytä salauksia
6) Huolehdi henkilöstön osaamisesta
7) Valvo henkilötietojen käyttöä
8) Käytä henkilötietolakia apunasi
9) Tunnista muu lainsäädäntö
10) Luo sisäinen ja ulkoinen raportointijärjestelmä;
LAADI ”TIETOTILINPÄÄTÖS”
TIETOSUOJAVALTUUTETUN TOIMISTO
15
Tulevaisuus:
- EU-asetus ja direktiivi
- miten pääsemme irti taantumisen
noidankehästä menestykseen?
- rapautuuko suomalaisen
verkkoyhteiskunnan infrastruktuuri jo ennen
kuin se on syntynyt?
- miksi
- mitä siitä seuraa?
TIETOSUOJAVALTUUTETUN TOIMISTO
16
VAHVUUDET
•
•
•
•
Homogeeniset sisämarkkinat
Yleinen hyöty ja tehokkuus
Helpompi toimia kansainvälisesti
Tietosuojan merkitys toiminnoissa
lisääntyy
• Minkä tahansa maan viranomaisesta
One-stop-shop
MAHDOLLISUUDET
• Arvovalta ja (toimi)valta
• Virtuaaliset resurssit, ulkoistaminen,
asiantuntijoiden jakaminen, yhteiskäyttö
• Tärkeiden casien jakaminen,
yhteiskäsittely
• lisäresurssit
•
•
•
•
HEIKKOUDET
Kansallinen lainsäädäntö voi häiritä
toimintaa
Vieraat hallintokulttuurit. - toimitavat
Mahdolliset konfliktit kansallisen
lainsäädännön ja
tietosuojalainsäädännön välillä
Minkä tahansa maan viranomaisesta
One-stop-shop
UHKATEKIJÄT
• Vähentynyt itsenäisyys
• Tietosuojaviranomaisten välinen
kilpailu
• toimivaltapuutokset
• resurssipuutokset
• Johtamisen osaamattomuus
HELSINGISSÄ, POHJOISMAISESSA TIETOSUOJAKOKOUKSESSA 6.5.2015 LAADITTU
SWOT-ANALYYSI POHJOISMAISTEN TIETOSUOJAVIRANOMAISTEN ATK-YKSIKÖIDEN
TOIMINNASTA EU-ASETUKSEN NÄKÖKULMASTA
17
Henkilötietojen käsittelyn
lainmukaisuus 6 artikla
Yksiselitteinen suostumus
Sopimus
Rekisterinpitäjän lakisääteiset velvoitteet
Rekisteröidyn elintärkeä etu
Yleistä etua koskeva tehtävä / rekisterinpitäjälle
kuuluva julkinen valta
• Rekisterinpitäjän oikeutettu etu
• Henkilötietojen käsittely historiallisia, tilastollisia
ja tutkimustarkoituksia varten,
arkistointitarkoitukset
• Henkilötietojen jatkokäsittely
•
•
•
•
•
18
U-JATKOKIRJE 24.9.2014/ 1
SUOMEN KANTA
1) SUOMI KANNATTAA UUDISTUSTA
2) ”OIKEUTETUN EDUN” –KÄSITE TÄSMENNETTÄVÄ
3) RISKIPOHJAINEN LÄHESTYMISTAPA OK !
- pseudonymisointi
- Data Protection by Default
- DPIA & ennakkohyväksyntä
- tietosuojavastaavat  vapaaehtoista,
ellei kansallinen laki
- sertifiointi  ei vapauta vastuusta
TIETOSUOJAVALTUUTETUN TOIMISTO
19
U-JATKOKIRJE 24.9.2014 / 2
4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA
5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJAVIRASTOA
- asiakirjajulkisuus = 80 a ARTIKLA
- ERITYISET KÄSITTELYTILANTEET
* työelämä (82)
* sosiaaliturva (82 (a))
* henkilötunnus (80 (b))
* terveys (81)
* historian tutkimus, tilastot, tiede, arkistointi
- ”Kolmannen maan tuomioistuimen tuomiota…
luovutettava…, ei tunnusteta…täytäntöönpanokelpoiseksi…Unionissa”
20
TIETOSUOJAVALTUUTETUN TOIMISTO
U-JATKOKIRJE 24.11.2014
1) KANSALLINEN LIIKKUMAVARA
2) YHDEN LUUKUN MEKANISMI
3) RESURSSIT
21
TIETOSUOJAVALTUUTETUN TOIMISTO
KIITOS KUUNTELUSTA!
Tiedon laatu
= Toiminnan laatu
LISÄTIETOJA:
www.tietosuoja.fi
Reijo Aarnio
tietosuojavaltuutettu
Tietosuojavaltuutetun toimisto
22
Tietosuoja-asetus ja vaikutukset toimintaan

Tietosuoja-asetus ja vaikutukset toimintaan

Linkki - Cantina West

Linkki - Cantina West

Google-päätös ja oikeus tulla unohdetuksi

Google-päätös ja oikeus tulla unohdetuksi

Tietosuojavaltuutettu

Tietosuojavaltuutettu

Koulutusohjelma

Koulutusohjelma

Henkilörekisterien tietosuoja uudistuu

Henkilörekisterien tietosuoja uudistuu

Reijo Aarnio MIKÄ ON TIETOSUOJAVASTAAVA [Compatibility Mode]

Reijo Aarnio MIKÄ ON TIETOSUOJAVASTAAVA [Compatibility Mode]

36 §:ään perustuva biopankin ilmoitusvelvollisuus Henkilötietolain

36 §:ään perustuva biopankin ilmoitusvelvollisuus Henkilötietolain

verkossa

verkossa

Pyydän saada tietää, kuka on käyttänyt minua koskevia

Pyydän saada tietää, kuka on käyttänyt minua koskevia

Seuratason käyttöoikeudet näet tästä

Seuratason käyttöoikeudet näet tästä

HENKILÖREKISTERISELOSTE Henkilötietolaki (523/99) 10 § Sivu 1

HENKILÖREKISTERISELOSTE Henkilötietolaki (523/99) 10 § Sivu 1

verkossa

verkossa

Helsingin Väestönsuojeluyhdistys rekisteriseloste

Helsingin Väestönsuojeluyhdistys rekisteriseloste

TIETOSUOJASELOSTE Henkilötietolaki - Kortteli

TIETOSUOJASELOSTE Henkilötietolaki - Kortteli

Tietosuojaseloste Kerabit

Tietosuojaseloste Kerabit

Lapin AMK opinnäytetyön malli

Lapin AMK opinnäytetyön malli

Tietosuojaseloste KerabitPro

Tietosuojaseloste KerabitPro

EU-tietosuojan kokonaisuudistus - Vahti

EU-tietosuojan kokonaisuudistus - Vahti

Avaa tiedosto

Avaa tiedosto

Theseus.fi Bitstream Handle Opinnaytetyo Heidi Isoniemi Kevat 2015

Theseus.fi Bitstream Handle Opinnaytetyo Heidi Isoniemi Kevat 2015

Anna Johansson Turku_esitys1_2015_11_4

Anna Johansson Turku_esitys1_2015_11_4

abcdocz.com

© Copyright 2024