Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Transkriptio

1 Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet Työpaja # Tietosuojavastaavan tehtävät GDPR-itsearviointityökalun soveltaminen sekä käyttökokemukset Tietoturva Henkilötietojen siirrot ja luovutukset Palvelujen kriittisyysluokittelutyökalun luonnoksen esittely

2 Tilaisuuden ohjelma (Työpaja # ) Kahvi Tilaisuuden avaus / Tuula Seppo ja Kimmo Rousku Tietosuojavastaavana julkisella sektorilla / tietosuojavastaava Helena Eronen, Itä- Suomen yliopisto GDPR-itsearviointityökalun soveltaminen käytännössä / Timo Laakso, KPMG Bio- ja jaloittelutauko Tietoturva ja ryhmätyö / Timo Laakso, KPMG Lounastauko (omakustanne) Henkilötietojen luovuttaminen / Lainsäädäntöneuvos Maarit Huotari, valtiovarainministeriö Kahvi Henkilötietojen luovuttaminen - jatkoa, ryhmätyö / Kira Ahveninen-Kuha, KPMG Kriittisyysluokittelutyökalun luonnoksen esittely / Kimmo Rousku, Karri Tomula, KPMG

3 GDPR:n itsearviointityökalu

4 Esitellään työkalua Excelissä

5 RYHMÄTEHTÄVÄ Henkilötietojen tietoturvaloukkausten hallinnan toteuttaminen

6

7

8

9 Ryhmätehtävä Miten henkilötietojen tietoturvaloukkausten hallinta tulee toteuttaa nyt (perustuen siihen, mitä asiasta on jo puhuttu aiemmissa työpajoissa)? Mikä on keskeistä ja tärkeää? Millaisia vaiheita tietosuojapoikkeamienhallinnan prosessissa tulisi olla? Miten asiat olisi hyvä vastuuttaa? Ks. tueksi mm. itsearviointi Excelin kohta 11 Henkilötietoihin kohdistuvien tietoturva-loukkausten hallinta ja sen osalta sarakkeet H-K

10 Bio- ja jaloittelutauko 15 min

11 Ryhmätehtävä Miten henkilötietojen tietoturvaloukkausten hallinta tulee toteuttaa nyt (perustuen siihen, mitä asiasta on jo puhuttu aiemmissa työpajoissa)? Mikä on keskeistä ja tärkeää? Millaisia vaiheita tietosuojapoikkeamienhallinnan prosessissa tulisi olla? Miten asiat olisi hyvä vastuuttaa? Ks. tueksi mm. itsearviointi Excelin kohta 11 Henkilötietoihin kohdistuvien tietoturva-loukkausten hallinta ja sen osalta sarakkeet H-K

12 Tietosuojan ja tietoturvan suhde; tietoturva tietosuojan tukena

13 Tietosuoja mitä se on ja mitä se vaatii? JURIDIIKKA Tietosuojan hallinnoinnissa on hyvä ymmärtää, että lainsäädännön vaatimuksia tulee lähestyä niin toiminnallisesta kuin teknisestäkin näkökulmasta. TIETOSUOJA HALLINNOINTI JA PROSESSIT ICT & TIETOTURVA

14 Tietosuoja vs. tietoturva Tietosuoja keskittyy siihen kuinka henkilötietoja käsitellään ja suojataan sekä kuinka tietosuojaa hallinnoidaan. Tietoturvallisuus turvaa luottamuksellista tietoa sekä varmistaa sen eheyttä ja saatavuutta läpi tiedon elinkaaren.

15 Tietoturvallisuus ei yksin takaa tietosuojaa! TIETOSUOJA TIETOTURVA MUTTA NE USEIN SEKOITETAAN TIETOTURVALLISUUS ON KESKEISESSÄ ROOLISSA OSANA TIETOSUOJAA, MUTTA EI YKSIN TAKAA VAATIMUSTENMUKAISUUTTA! TIETOSUOJA HENKILÖITÄ KOSKEVA TIETO TIETOTURVALLISUUS KAIKKI TOIMINNAN KANNALTA KESKEINEN TIETO

16 Rekisterinpitäjän vastuu (24 artikla) Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. (24 artikla) [henkilötietoja] on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia ( eheys ja luottamuksellisuus ). (5 artikla)

17 Käsittelyn turvallisuus (32 artikla) 1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

18 Käsittelyn turvallisuus (32 artikla) a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

19 Käsittelyn turvallisuus (32 artikla) 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. 4. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

20 Seloste käsittelytoimista (30 artikla) 1. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. g) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista

21 Riskilähtöisyys kertauksena Osa asetuksen vaatimuksista jää mm. tietoturvan luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelyyn Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys Vaatii tulkintaa, mutta tuo myös joustavuutta ja mahdollisuuksia Valittavien toimenpiteiden ja suojauksen perustuttava riskiarvioon, käsiteltävien henkilötietojen luonteeseen, käytettävissä oleviin resursseihin ja teknologian tasoon Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti Riskianalyysit välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen Päätösten perusteet ja dokumentointi osa osoitusvelvollisuuden toteuttamista.

22 Tietoturvallisuus ja kyberturvallisuus tiivistettynä Hyvä tietoturvallisuus tarkoittaa tilannetta, jossa sekä tietoihin, järjestelmiin, palveluihin että tietoliikenteeseen kohdistuvat uhkat eivät aiheuta merkittävää riskiä. Cyber security is the desired objective of the IT security situation, in which the risks of global cyberspace have been reduced to an acceptable minimum - Saksan kyberturvallisuusstrategia Ainoa turvallinen tietokone on sellainen, joka on lukittu kassakaappiin ja haudattu maan alle salaiseen paikkaan. Tästäkään en menisi takuuseen. - Dennis Hughes (FBI)

23 Tietoturvallisuus ja kyberturvallisuus tiivistettynä Tietoturvallisuus ei ole binääri joko-tai -ilmiö, vaan kyseessä on enemmänkin jana, jonka eri kohdissa on enemmän tai vähemmän tietoturvaa

24 Uhkaympäristö muuttuu jatkuvasti ICS Industrial Control Systems

25 Palvelu-/toimitusketjut muuttuvat Toimittaja Teidän organisaationne Loppuasiakas kuluttaja/ kansalainen Supplying party in Chain Organisation Using Party in Chain Ml. 18 IT firmaa

26 Julkinen Luottamuksellinen Tiedon elinkaari Sisäinen Erittäin luottamuksellinen Oikeudellinen peruste Käyttötarkoitus Säilytysaikojen määrittely Minimointi Luokittelu Keruu Käyttö Käyttötarkoitussidonnaisuus Tarpeellisuusvaatimus Tiedon laatu Jalostaminen Käyttäjienhallinta Säilytysaikojen noudattaminen Turvallinen hävittäminen Siivousoperaatiot Hävittäminen Säilytys Pseudonymisointi Anonymisointi Kryptaus Siirto Siirtoperusteet Sopimukset Tiedonsiirtojen turvallisuus

27 Tietosuojariskit IT:ssä Storage Companies store sensitive data in many locations, each with its own pros and cons. It s important to have policies which cover each of the storage mechanisms to minimize the risk of improper access to data, a data breach or the placement of a malware Client Side The client side can represent a significant threat to a company s systems as well as sensitive data that may be on the client computers. Employees often download customer files, corporate s and legal documents to their computer for processing Network Server Side The network is connected to client machines, servers, routers, hubs, load balancers, etc. Anyone of these which have a legitimate reason to be on the network, could cause a breach Various application are generally installed on a company s servers and each application increases the surface area which can be vulnerable to an attack. Application The more applications that exist on a user s computer, the more opportunities for one of them to carry a malware. Office productivity software is probably the most commonly used type of application. But even these applications can harbor viruses, key loggers, data gatherers etc Security Policy and Personnel Privacy cannot be assured unless practical security measures have been established. Each company should have a security policy in place along with compliance and security personnel to enforce it.

28 Kyvykkyys ja osaaminen Tietoturvallisuuden kypsyystaso Kaikki on hyvin, ei kosketa meitä Meillä on hyvät politiikat ja suojaukset Miten tämä murto saattoi tapahtua Vai Tähän? Pelottaa, mutta mitä tehdä? ja vahva vaatimusten mukaisuuden seuranta Tähän? Uhkiin pitää varautua joustavasti ja nopeasti Tähän? 100% turvallisuutta ei ole, pitää hallita riskejä Ei tätä yksin voi tehdä olemme osa yhteiskuntaa Epäkypsä Kehittyvä Investoiva Kehittynyt Alan johtava Miten prioriteetit muuttuvat Vähäinen ymmärrys Mietitään, mitä tämä tarkoittaa meille Investoidaan, jotta ollaan parempia Hallitus kiinnostuu ja vaatii raportointia ja mittareita Osallistuu yhtenä kärkinimenä alan kehitykseen Luotetaan perussuojausratkaisuihin (kuten virustorjunta) Pyydetään apua ja neuvoja Kuitenkin vieläkin yksitäisiä teknisiä ratkaisuita Aloitetaan määrämuotoisia turvallisuushankkeita Ekosysteemi kumppaneiden ja asiantuntijaorganisaatioi-den kanssa Ei kontrolleja tai vaatimuksenmukaisuutta Perusasioille on politiikat ja ohjeet Parannetaan politiikkoja ja vaatimustenmukaisuutta Kehittynyt tietoturvallisuudenhallinta Havainnointikyky olemassa ja tukee liiketoimintaa Pidetään teknologia asiana Tehdään, koska regulaatio Alustava tietoturvaarkkitehtuuri Testaustoiminta ja auditoinnit käynnissä Kyberkyvykäs organisaatio Koulutus ja tietoisuuden lisääminen alkaa Mietitään myös arvoketjua ja kumppaneita Määrämuotoinen ja toimiva riskienhallinta Teknologia tukee ja on osa ratkaisua

29 Tietoturvallisuus tiivistettynä 1. Tunnistetaan suojattavat kohteet 2. Arvioidaan riskit 3. Valitaan ja asetetaan suojaavat kontrollit

30 Mitkä ja missä ovat kruununjalokivenne? On tiedettävä omat kruununjalokivet mitä suojata

31 Henkilötietoinventaario ja IT-ympäristö Kokemus on osittanut, että kysymys henkilötietojen sijainnista ei ole triviaali. Organisaatioilla on merkittäviä ongelmia: tiedostaa mikä osa tiedoista on henkilötietoa selvittää kuka tiedot omistaa tunnistaa mistä henkilötiedot tulevat, mihin niitä tallentuu, miten niitä käsitellään, mitä järjestelmiä käsittelyyn liittyy, mitkä kumppanit pääsevät mihinkin tietoihin, miten kumppanit suojaavat tietoa, mitä tietoja on varmistuksilla yms miten tiedot saadaan tarkastettua tai poistettua, kun niitä ei enää tarvita (säilyttäen samalla tiedot, jotka jokin muu säännös edellyttää säilyttämään Tyypillinen suuren organisaation IT-ympäristö Tietosuojaprojektista tulee helposti records management projekti tai IT arkkitehtuuriin liittyvä projekti ja ne eivät yleensä ole pieniä projekteja. Jos organisaatiossasi on tulossa merkittäviä IT hankkeita, mieti tietosuoja-asioiden vaikutukset niihin ennen, kuin teet hankkeen.

32 Riskilähtöisyys 1. Tunnistetaan suojattaviin kohteisiin kohdistuvat uhkat 2. Analysoidaan riski rekisteröidyille henkilöille (vahingot ja todennäköisyys) 3. Arvioidaan riskin merkittävyys

33 Estetään eskaloituminen kruununjalokiville asti!

34 Suojaavien kontrollien kohdentaminen Suojaustoimenpiteillä pyritään saamaan jäännösriski hyväksyttävälle tasolle Kontrolleja ja resursseja kohdennetaan kruununjalokivien suojaamiseen OPERATIONS TECHNOLOGY HUMAN FACTORS Sipulimalli älä luota vain yhteen turvatasoon

35 Ennaltaehkäisy Havaitseminen Reagointi Kehittäminen Ole valmiina puolustautumaan vanha vs. moderni Moderni näkökulma Vanha näkökulma Vältetään vahinko Havaitaan kun se tapahtuu Reagoidaan nopeasti Opitaan ja vahvistetaan puolustusta Resilienssi

36 Lounastauko 1 h

37 Tietosuoja henkilötietojen luovutuksessa ja siirroissa

38 Tunnista käsitteet Luovutus (disclosure) Henkilötietojen luovutus Rekisterinpitäjän ja luovutuksensaajana olevan rekisterinpitäjän tai sivullisen välinen toimenpide Henkilötiedot paljastuvat alkuperäisen piirin ulkopuolelle Käyttötarkoitus Siirto (transfer) Henkilötietojen siirto Rekisterinpitäjän ja tämän lukuun toimivan henkilötietojen käsittelijän välinen toimenpide Henkilötiedot pysyvät alkuperäisen piirin sisällä Hankinta/ulkoistus Sopimusvelvoite

39 Julkisuuslaki ja tietosuoja Julkisuuslaki ohjaa myös henkilötietojen luovuttamisesta henkilörekisteristä Edellyttää, että rekisterinpitäjä on tunnistanut ne henkilörekisterinsä joita sillä on, ja mitä tehtävää (käyttötarkoitusta) varten ne on perustettu Erotettava järjestelmäkohtaisesta kuvauksesta Julkisen puolen keskeisiä rekistereitä Asiakasrekisterit kunnan ja valtion viranomaisten tai laitosten palvelutoiminnassa Eri tehtävien hoitamiseksi (eri käyttötarkoituksissa) muodostettavia asiakasrekistereitä voi olla useampia

40 Järjestelmäkuvaukset ja selosteet Tietojärjestelmään voi sisältyä erilaisia ja eri käyttötarkoituksessa henkilötietoja JulkL:n hyvän tietohallintotavan mukaan tietojärjestelmän käyttötarkoitus tulee määritellä ja siitä tulee laatia kuvaus Säännös tietoaineistojen tuottamisesta Kuvauksessa tieto siitä, mitä eri käyttötarkoituksiin perustettuja henkilörekistereitä tai rekisterien tietoja tietojärjestelmään mahdollisesti sisältyy Tiedonhallintalain vaikutus Tietosuoja-oikeuden näkökulmasta keskeistä ymmärtää järjestelmien suhde henkilörekistereihin

41 Julkisuuslain merkitys henkilötietojen luovuttamiselle Oikeus yksityiselämään vs. oikeus saada tieto julkisesta asiakirjasta ja tallenteesta Julkisuuslain soveltamisalaan liittyvät kysymykset sekä salassapidettävyyteen liittyvät kysymykset huomioitava henkilötietojen luovuttamisessa Muissa laeissa (erityislaeissa) olevia luovuttamista koskevia säännöksiä sovelletaan ensisijaisina JulkL:n säännöksiin nähden Henkilörekisteristä luovuttamisen perusteet ja antamistavat määräytyvät viime kädessä kyseisen rekisterin tarkoituksen ja säännöksen sanamuodon mukaan

42 Suostumus tai lakisääteinen luovutus Luovuttaminen on henkilötietolain mukaan tyypillisesti ollut mahdollista rekisteröidyn henkilön antamalla suostumuksella, jolla hän nimenomaisesti antaa suostumuksensa tietojensa edelleen luovuttamiseen, tai nimenomaisesti lainsäädännössä säädetyllä henkilötietojen luovutuksen oikeuttavalla perusteella Laki viranomaisten toiminnan julkisuudesta: Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja jollei laissa ole toisin erikseen säädetty Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.

43 Hyviä käsikirjamateriaaleja Tietosuojavaltuutetun toimiston ohje koskien henkilötietojen luovuttamista viranomaisen rekistereistä Tietosuojavaltuutetun toimiston ohje koskien Salassapidettävien henkilötietojen luovuttaminen viranomaisen henkilörekistereistä viranomaisen luvalla

44 Julkisia henkilötietoja sisältävä rekisteri - erottelu henkilörekisteristä tapahtuvan henkilötietojen nähtäväksi antamisen ja henkilötietojen luovuttamisen välillä

45 Julkisuuslaki - asiakirjajulkisuus Pääsääntö Julkisuuslain 16 :n 1 momentin mukaan viranomaisen asiakirjan sisällöstä annetaan tieto 1. Suullisesti, tai 2. antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi, tai kuultavaksi, tai 3. antamalla siitä kopio tai tuloste.

46 Julkisuuslaki Julkisuuslain 16 :n 3 momentti sisältää henkilötietojen luovuttamista koskevan erityissäännöksen. Henkilötietojen suoja ja julkisuusperiaate on pyritty sovittamaan yhteen niin kutsulla luovutusrajoituksella. Pykälän mukaan henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei toisin säädetä, jos luovutuksensaajalla on oikeus henkilötietojen suojaa koskevien säännösten mukaan tallettaa ja käyttää sellaisia tietoja ja jos tietojen luovuttaminen ei muutoin vaaranna rekisteröityjen yksityisyyden suojaa tai valtion turvallisuutta. MUTTA: Viranomaisen henkilörekisteristä voi siis saada tiedon ilman edellä mainittua rajoitusta suullisesti tai siten, että tietoja pyytänyt tekee itse muistinpanoja julkisista henkilörekisteriin merkityistä tiedoista

47 Keskeiset määritelmät Julkisuuslaissa Julkisuuslaki erottelee henkilörekisteristä tapahtuvan julkisten henkilötietojen nähtäväksi antamisen ja henkilötietojen luovuttamisen Tietosuoja-asetuksen näkökulmasta kummassakin tapauksessa kyse on henkilötietojen luovuttamisesta

48 Henkilötietojen julkisuus Julkisuusperiaatteen mukaisesti viranomaisten asiakirjat ovat julkisia, ellei julkisuuslaissa tai muussa laissa ole toisin säädetty Tietosuojan näkökulmasta henkilötiedot ovat lähtökohtaisesti luottamuksellisia tietoja ja niiden käyttämisestä säätää tietosuojaasetus Tilannetta arvioitaessa on otettava huomioon myös julkisuuslaissa olevat tietojen salassapitoa koskevat säännökset Näin ollen henkilötiedot eivät ole julkisia esimerkiksi siinä mielessä, että niitä voitaisiin käsitellä ja esimerkiksi luovuttaa ilman tietosuojalainsäädännön reunaehtojen noudattamista

49 Yhteisymmärrystä vailla (TATTI) Viranomaisten toiminnan julkisuudesta annetun lain muutostarpeet (Julkisuuslaki) Erimielisyyttä siitä, millä tavalla yleisen tietosuoja-asetuksen mukainen henkilötietojen suoja ja yleisten asiakirjojen julkisuus tulisi sovittaa yhteen Osa työryhmän jäsenistä kuitenkin katsoi (ml. pj), että julkisuuslain muuttaminen on tarpeen yhteensovittamisen asianmukaiseksi toteuttamiseksi, mihin liittyy tarve uudistaa säännöksiä tiedon antamisesta asiakirjasta Tiedonhallintalain vaikutukset myös huomattava

50 Julkisia henkilötietoja sisältävä rekisteri Julkisesta henkilörekisteristä voidaan JulkL:n 16.3 :n mukaan luovuttaa pyytäjälle henkilötietoja esim. otteina, kopioina, tai sähköisessä muodossa jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää tällaisia tietoja Viranomainen vastaa luovutusten laillisuudesta Henkilötietojen pyytäjältä voidaan ja on syytä JulkL:n 13.2 :n mukaisesti aina pyytää asianmukainen selvitys luovutettavaksi pyydettävien henkilötietojen käyttötarkoituksesta sekä muista tietojen luovuttamisen edellytysten selvittämiseksi tarpeellisista seikoista (ts. tiedot tallettamisen ja käytön edellytyksistä ja laillisuudesta) Myös kun toinen pyytäjä on viranomainen Vastaanottajan käyttötarkoitukseen ymmärtäminen

51 Ei luovuttamista? Pyyntö saada tieto viranomaisen asiakirjasta - yksilöitävä riittävästi jotta viranomainen voi selvittää asiakirjan (16.1 ) TSV on mainitsee, että nähtäväksi, jäljennettäväksi tai kuultavaksi antaminen ei usein ole henkilötietojen luovuttamista Julkisia henkilötietoja sisältävistä henkilörekistereistä voidaan antaa tietoja em. tavoilla pääsääntöisesti ilman henkilöllisyyden varmistamista ja pyytämättä selvitystä siitä, missä tarkoituksessa tietoja pyydetään Pitää kuitenkin huomioida Suurien henkilötietomäärien pyytäminen informoi vastaanottajaa henkilötietojen käsittelyn edellytyksistä Tällaisten asiakirjojen hallinnointi ei merkitä turhaa tietoa

52 Luovuttamisen erityispiirteitä Julkisuuslain perusteella Seuraavat määräytyvät lain perusteella oikeus tietojen luovutukseen ja luovutuksen perusteet; tietojen salassapito ja poikkeukset salassapidosta ( 24, 26 ) menettelyt henkilötietoja henkilörekisteristä pyydettäessä (13.2 ) asiakirjojen antamistavat (16.1 ja 3 ) edellytykset teknisen käyttöyhteyden avulla tapahtuvalle tietojen luovuttamiselle/ teknisen käyttöyhteyden avaamiselle (29.3 ) luovuttamiseen liittyvät hyvän tiedonhallintatavan vaatimukset (18 ) salassapitoa ja luokitusmerkintää koskevat vaatimukset (25 )

53 Salassapidettävä henkilötieto 1. Voidaan luovuttaa rekisteröidyn suostumuksella, tai jos tietojen luovuttamisesta on laissa säädetty. 2. Yksittäistapauksessa JulkL 28 :n mukaan ja siinä mainituin edellytyksin antaa yksittäistapauksessa viranomainen voi antaa luvan tietojen saamiseen viranomaisen salassapidettävästä asiakirjasta tieteellistä tutkimusta, tilastointia, viranomaisen lakisääteisiä suunnittelu- ja selvitystehtäviä varten.

54 Luovutuksen arviointia

55 Henkilötietojen luovuttaminen Yleisesti henkilötietojen luovuttamisesta voidaan todeta, että se on sinänsä erityinen henkilötietojen käsittelytoimenpide, koska kyseisessä tilanteessa luovuttaja-rekisterinpitäjä luovuttaa hallinnoimiaan henkilötietoja toiselle, luovutuksensaaja-rekisterinpitäjälle Keskeinen indikaattori: henkilötiedot siirtyvät alkuperäisen rekisterinpitäjän kontrolli- ja vastuupiiristä toisen rekisterinpitäjän kontrolli- ja vastuupiiriin Tällaiselle toimenpiteelle ei yleensä yksityispuolen toimijoilla/yrityksillä ole muuta oikeusperustetta kuin rekisteröidyn henkilön antama suostumus Sekä julkisella että yksityisellä puolella on erilaisia lakiin perustuvia velvollisuuksia luovuttaa henkilötietoja esim. HR:n osalta työterveyshuoltoon, Kelaan, ym. Luovuttamista ei voida pätevästi perustaa esimerkiksi ainoastaan yhtiöiden väliseen sopimukseen, eli sopimuksella ei voida luoda sellaista luovuttamisoikeutta, jota tietosuojalainsäädännön mukaan ei ole. Luovuttamisen oikeusperusteen olemassaolo tulisi aina arvioida huolellisesti tapauskohtaisesti

56 Henkilötietojen luovuttaminen Luovuttaminen on tietosuoja-oikeudessa mukaan tyypillisesti ollut mahdollista ainoastaan rekisteröidyn henkilön antamalla suostumuksella, jolla hän nimenomaisesti antaa suostumuksensa tietojensa edelleen luovuttamiseen, tai sitten nimenomaisesti lainsäädännössä säädetyllä henkilötietojen luovutuksen oikeuttavalla perusteella Esim. vrt. laki viranomaisten toiminnan julkisuudesta (621/1999) 16.3 : Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja.

57 Luovuttaminen käsittelytoimena Henkilötietojen käsittely tulee ymmärtää laajasti ja käytännössä se kattaa kaikki henkilötietojen käsittelyyn liittyvät toiminnot Käsittely sisältää myös tietojen luovuttamisen ja luovuttamiseksi katsotaan tietojen siirtäminen käytettäväksi toiseen käyttötarkoitukseen, levittäminen tai asettaminen muutoin saataville Henkilötietojen käsittelyn on perustuttava lailliseen perusteeseen

58 erotuksena siirtoon Henkilötietojen siirto Siirto alihankkijalle, huom siirtoihin liittyvä erityisvelvoitteet Henkilötietojen siirto on sallittu noudattamalla tietosuojaasetuksen mukaisia edellytyksiä Henkilötietojen siirtona pidetään myös tilanteita, joissa kyse on vain tietojen katselusta tai pääsyn tarjoamisesta muualla sijaitseviin henkilötietoihin

59 Henkilötietojen luovuttaminen Huomioitavaa: Millä oikeusperusteella henkilötietoja luovutettaisiin? Millä oikeusperusteella tietojen vastaanottaja käsittelisi ko. henkilötietoja; mikä olisi sen laillinen käsittelyperuste? Työnantajan osalta otettava myös huomioon laki yksityisyyden suojasta työelämässä (759/2004), jossa on määritelty edellytykset työnantajan suorittamalle työntekijöitä koskevien henkilötietojen keräämiselle ja käsittelylle

60 Keskeiset tietosuojavelvoitteet luovuttamisessa Sama lähtökohta kuin aina: yleiset ja erityiset käsittelyn edellytyksiä koskevat säännökset Oikeus luovuttaa henkilötietoja vastinparinaan Henkilötietoja pyytävän henkilön oikeus tallettaa ja käyttää pyydettyjä henkilötietoja (ellei erityislaista muuta johdu) Yleisvelvoitteet aina tietosuojan perusperiaatteista turvallisen käsittelyn velvoitteisiin, ml. Osoitusvelvollisuus Informointivelvoite koskien säännönmukaisia tietojen luovutuksia Hallinnollisesti keskeistä määritellä ja kuvata säännönmukaiset luovutukset

61 Sallittuuden rajojen määrittäminen Varmista, että käsittelylle on olemassa selkeä peruste Luovutusten hallinta osana tietosuojaohjelmaa Prosessi ja seuranta osoitusvelvollisuuden osana Poliisi, vakuutusyhtiö, sairaala tunnista erityislainsäädäntö taustalla Eri käyttötarkoitus Lakisääteisen tehtävän hoitaminen

62 Soveltamisalarajauksia Tietosuoja-asetuksen soveltamisala Henkilökohtainen käsittely sekä taiteellinen, toimituksellinen ym. käyttötarkoitus luovuttamisen jälkeen Tarkoituksen varmistaminen Henkilökohtaisen tarkoituksen elementit Asiallinen yhteys Luovutettavien tietojen määrä Jos epäselvä, asiallista pyytää selvitystä Toisaalta huomioitava henkilötietojen käsittelyn tietyt perusvelvoitteet ja tiedon suojaaminen

63 Suositeltavia menettelyitä

64 Luovutuksen arvioinnin lähtökohdat JulkL 13.2 oikeuttaa viranomaisen pyytämään aina selvitystä henkilörekisteristä pyydettyjen tietojen käyttötarkoituksesta ja muista laillisuuden varmistamiseksi tarpeellisista seikoista siltä, joka pyytää tietoja luovutettavaksi eli otteina, kopiona tai sähköisessä muodossa JulkL 16.3 sekä tietosuojan yleisvelvoitteet edellyttävät viranomaisen varmistuvan siitä, että tietoja luovutetaan vain lailliseen tarkoitukseen

65 Kuinka monta henkilöä koskee? Käyttötarkoitus tulee aina selvittää Kun luovutettavaksi pyydetään vain yhtä henkilörekisteriin sisältyvää tietoa tai asiakirjaa, ei välttämättä tarvitse nojata kirjalliseen prosessiin, ellei jokin käsillä oleva olosuhde ohjaa toisin Jos useampia tietoja tai asiakirjoja, enemmän syitä ohjata pyyntö kirjalliseen prosessiin Kirjallisen prosessin sisältö Pyynnön perustiedot Mahdollinen tietosuojaselosteen edellyttäminen?

66 Luovutuksen arvioinnin lähtökohdat Mitä henkilörekistereitä on? Mikä on tietojen julkisuus: Ovatko henkilörekisterin henkilötiedot salassapidettäviä tai sisältyykö niihin salassapidettäviä tietoja tai asiakirjoja Ovatko tiedot ns. harkinnanvaraisesti julkisia (keskeneräiset asiakirjat, ei vielä julkiset asiakirjat) Jäävätkö asiakirjat ja tiedot julkl:n soveltamisen ulkopuolelle (sisäiseenkäyttöön laaditut asiakirjat, yksityiset kirjeet) Mitä tietoja hakija pyytää Mihin tarkoitukseen pyydettyjä henkilötietoja aiotaan käyttää Millä tavoin tiedot suojataan Tarvittaessa muita luovutuksen lainmukaisuuden varmistamiseksi tarpeellisia tietoja

67 Hallinnolliset edellytykset Jokaisen viraston ja laitoksen on henkilötietojen luovuttamisen edellytysten lisäksi tarpeen selvittää ja määritellä mm. Henkilötietojen luovuttamiseen liittyvät vastuut sekä päätösvalta; Menettelyt tietojen luovuttamisessa Viranomainen joutuu siten joka kerta, kun henkilörekisteriin sisältyviä henkilötietoja pyydetään luovutettavaksi, selvittämään luovutettavien henkilötietojen käsittelyn lainmukaisuuden myös Tietosuoja-asetuksen perusteella Henkilöstöllä tulee olla asianmukainen tieto luovutuksessa noudatettavista menettelyistä Asianmukainen tieto = mm. ohjeistus, koulutus, tiedon saatavuus organisaation sisällä varmistettava Erityiskysymyksiä Voidaanko tietoa luovuttaa ilman tunnistamiseen liittyvää tietoa? Puhelin erityiskanavana Kieltäytymisen perustelu (JulkL 14 )

68 Pähkinänkuoressa Tunnistetaan luovutusten ja siirtojen raja Toimintamallin määrittely ja ohjeistus kaikkiin tilanteisiin Seuranta ja toteutuminen

69 Kuinka arvioida luovutuksen käyttötarkoitussidoinnaisuutta

70 Roolit ja Vastuut luovutuksissa ja siirroissa Rekisterinpitäjä Lopulta vastuussa kaikista tietojen käsittelytoimista Henkilötietojen käsittelijä Tekee konkreettisia käsittelytoimia rekisterinpitäjän mandaatilla Käsittelijän käsittelijä Alihankintaketjussa toimiva henkilötietojen käsittelijä Rekisteröity Luonnollinen henkilö jonka henkilötietoja luovutetaan tai siirretään Sivullinen Luovutuksensaajana oleva muu kolmas taho (ei mikään yllä mainituista)

71 Luovutuksensaaja Onko kyseessä: Käsittelijä-luovutuksensaaja (vaaratilanne) Rekisterinpitäjä-luovutuksensaaja Sivullinen-luovutuksensaaja

72 Määrittele reunaehdot Reunaehdot Siirron/luovutuksen oikeusperuste Käyttötarkoitussidonnaisuus Vasta-argumentit Tietoturvaluokitus ja salassapitovelvollisuus Luovutuksensaajan intentio

73 Alkuperäinen tarkoitus Myöhempi tarkoitus Yhteensopivuuden selkeys Arvioinnin kriteeristö Toimintavaatimukset

74 Ryhmätehtävä

75 Hyvän luovutustenhallinnan järjestäminen Keskustelkaa ryhmissä, millainen luovutustenhallinnan ohjelman tulisi olla teidän organisaatiossanne Millainen lähtökartoitus/koulutus luovutustenhallinnassa tulisi olla? Mitä elementtejä sisältyy dokumentointiin? Miten, millä aikavälillä ja kuka seuraa dokumentaatiota joka luovutuksista syntyy? Pitäisikö tarjota joku tukiorganisaatio luovutuspyyntöjä käsitteleville henkilöille?

76 Henkilötietojen siirrot ja ulkoistaminen erotuksena luovutuksiin

77 Siirrosta tarkemmin Rekisterinpitäjällä täytyy aina olla laillinen henkilötietojen käsittelyn oikeusperuste Jos henkilötietojen käsittelyyn osallistuu useita toimijoita ja esimerkiksi vain yhdellä niistä on laillinen käsittelyn oikeusperuste, johon muiden tahojen käsittelyoikeuden voidaan katsoa perustuvan, laillisen oikeusperusteen haltija on rekisterinpitäjä, jolta muut toimijat henkilötietojen käsittelijöinä johtavat käsittelyoikeutensa

78 Ulkoistaminen Lähtökohta: rekisterinpitäjänä toimiva viranomaistaho (hankintayksikkö, tilaaja) ulkoistaa henkilötietojen käsittelytehtäviä ulkoisille palveluntarjoajille Henkilötietojen käsittelijä toimii rekisterinpitäjän lukuun, eikä palveluntarjoajalla ole itsenäistä päätösvaltaa käsittelyn suhteen Rekisterinpitäjä vastaa henkilötietojen lainmukaisesta käsittelystä myös tämän lukuun toimivien palveluntarjoajien osalta Rekisterinpitäjän on huolehdittava siitä, että käsittelyä koskevat ehdot on sopimuksin saatettu palveluntarjoajan tietoisuuteen

79 Lähtökohdat Riskiarvio Omat linjanvedot ja tietosuojalta edellytettävä taso Tiedon elinkaari Sopimusten arviointi Tilanteiden ennakointi Hankinnan tekijän vastuu? Pyrkimys kohti toiminnan helposti ja joustavasti mahdollistavaa tietosuojaa ja tietoturvaa Tietosuojan toteutuminen ja ihmisten oikeuksien ja vapauksien optimaalinen varmistaminen

80 Tietosuoja-asetus edellyttää siirtoa varten sopimusoikeudellista minimisisältöä

81 Ennen hankintamenettelyä Tietojen käsittelyn suunnitteleminen ennen kilpailutuksen aloittamista Tietosuojalta ja tietoturvalta edellytettävän tason määritteleminen Palveluntuottajan roolin ja velvoitteiden määritteleminen hankinnassa Hankintasopimuksella voidaan pyrkiä vaikuttamaan eri osapuolten asemiin ja velvollisuuksiin

82 Tarjouspyynnön sisältö Tarjouspyynnössä on kerrottava kaikki tiedot, joilla on olennaista merkitystä tarjouksen tekemiselle, jotta saadaan vertailukelpoisia tarjouksia käytännössä tietosuoja- ja tietoturvavaatimusten huomioiminen Kattavan suunnittelun merkitys korostuu! Laki julkisista hankinnoista: Hankinnan kohteen määrittely tai hankekuvaus sekä hankinnan kohteeseen liittyvät muut laatuvaatimukset keskeiset sopimusehdot muut tiedot, joilla on olennaista merkitystä hankintamenettelyssä ja tarjousten tekemisessä.

83 Sopimusoikeudellinen näkökulma Edellyttää osaamista koskien omia tietosuojavaatimuksia Vastuunjako Palvelutaso Säilytysaikavaatimukset Tietoturvavaatimukset Sopimuskokonaisuuden tietosuojaliitte Käytettävät ehtokokonaisuudet usein riittämättömiä suhteessa Tietosuojaasetuksen edellyttämään minimisisältöön Oletetaan hankintaan ryhtyvän tietoisuus tietosuojan asettamista vaatimuksista

84 Muutosprosessi sopimusoikeudellisesti Historialliset sopimusversiot ja ehdot sekä tietoturvan ja tietosuojan osalta Vanhat liitteet ja sitoomukset palvelusuhdetta koskien Vahti 2/2010, Vahti 3/2011, viittaukset henkilötietolakiin, JIT Tietosuoja-asetuksen täsmentävät uudet vaatimukset Hankintalain puitteissa olennaiset muutokset lähtökohtaisesti kiellettyjä oleellisuuden arviointi

85 KOTITEHTÄVÄ

86 Kotitehtävä Pohtikaa organisaatioissanne seuraavia kysymyksiä: 1. Tietoturva: Onko tietoturvallisuustyö resursoitu, vastuutettu ja sisällytetty osaksi vastuullisten toimenkuvaa? Onko tietosuoja- ja tietoturvatoimintojen välillä toimiva ja henkilötietojen tehokkaan suojaamisen edellyttämä yhteistyö? Onko henkilötietojen suojaamiseksi otettu käyttöön riittävät hallinnolliset, tekniset ja fyysiset turvatoimet, ja onko nämä dokumentoitu? 2. Siirrot ja luovutukset: Onko kaikki henkilötietojen siirrot ja luovutukset tunnistettu esimerkiksi osana henkilötietoinventaariota? Onko siirtojen ja luovutusten lainmukaisuudesta varmistuttu asianmukaisesti?

87 Kysymykset materiaaliin liittyen voi osoittaa: Timo Laakso KPMG Cyber Security Services