EU:n tietosuoja-asetus ja sen vaikutukset tietojärjestelmien suunnitteluun ja kehittämiseen

Transkriptio

1 EU:n tietosuoja-asetus ja sen vaikutukset tietojärjestelmien suunnitteluun ja kehittämiseen itsmf:n aamiaisseminaari Jukka Lång, asianajaja, CIPP/E

2 Sisältö EU:n tietosuojauudistus Viisi keskeisintä muutosta suunnittelun ja kehittämisen kannalta Valvonta ja sanktiot Tietosuojan toimeenpaneminen omassa organisaatiossa

3 IT:N JA TIETOTURVAN JURIDISOITUMINEN

4 Lainsäädäntö murroksessa Uusi lainsäädäntö vaikuttaa olennaisesti tietoturva-ammattilaisten toimintakenttään EU:n yleinen tietosuoja-asetus NIS-direktiivi (Ehdotus direktiiviksi toimenpiteistä korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko EU:ssa)

5 Muita trendejä Digitalisoituminen Verkottuneet tietojärjestelmät Teknologian käytön ja työn tekemisen uudet tavat Kyberuhat Datalähtöiset uudet liiketoimintamallit

6 Lähde: Maailman talousfoorumi, 2015 projektit

7 Käytännön havaintoja Tietosuojan ja tietoturvan merkityksen kasvuun ollaan vasta monissa organisaatioissa heräämässä Usein epäselvää kenen vastuulle tietosuojavelvoitteista huolehtiminen kuuluu Erityisesti kansainvälisille yrityksille haastava toimintakenttä Suomen työelämän tietosuojasääntelyssä monia merkittäviä kansallisia erityispiirteitä

8 TIETOSUOJA-ASETUS

9 Tietosuoja-asetuksen pitkä taival Komission ehdotus tammikuu 2012 Neuvoston versio kesäkuu 2015 Lopullinen hyväksyminen alkuvuosi 2016 (arvio) Parlamentin versio maaliskuu 2014 HaV:n lausunto joulukuu 2015 Trilogineuvotteluiden ratkaisu joulukuu 2015

10 Uuden sääntelyn voimaantulo Kahden vuoden siirtymäaika lopullisesta hyväksymisestä Tietosuoja-asetuksen voimaantuloaika toukokuu 2018 Siirtymäaikana muun kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön

11 Mikä muuttuu? Yksilöiden oikeudet laajenevat Yksilöille tehokkaampi kontrolli omiin tietoihinsa Yritysten velvollisuudet lisääntyvät Riskit kasvavat Valvonta tehostuu Viranomaisille keinot tulla otetuksi vakavasti Kansainvälisen liiketoiminnan edellytykset parantuvat Unioninlaajuiset sisämarkkinat ja viranomaisbyrokratian väheneminen

12 Harmonisaatio Digital Single Market Kansallisten erojen poistaminen Ei kuitenkaan johda täydelliseen yhdenmukaisuuteen Erityissääntelyn alainen toiminta Suomen työelämän tietosuojasääntely säilynee erityispiirteenä Asetuksen sallima jousto

13 Asetuksen kustannusvaikutukset = välittömät kustannukset = välilliset kustannukset

14 Viisi keskeisintä muutosta suunnittelun ja kehittämisen kannalta 1. Hallinnollisen tietoturvan rakentaminen 2. Vaatimus sisäänrakennetusta tietosuojasta 3. Toimijoiden tilivelvollisuus 4. Data Portability -velvoite 5. Sopimusriskit

15 Hallinnolliseen tietoturvaan boostia tietosuoja-asetuksesta Asetuksen velvoitteet tukevat tietoturvallisuuden rakentamista Esimerkkilista tietoturvan toteuttamisessa tarpeellisista toimista Henkilötietojen pseudonyymisointi Toimenpiteiden säännöllinen testaaminen Auditoinnit Tietosuojaa koskevat vaikutustenarvioinnit (PIAs) Velvollisuus nimittää, tietyin kriteerein, tietosuojavastaava

16 1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja käsittelijän on tarvittaessa toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten: a) henkilötietojen julkaiseminen salanimellä ja salaus; b) kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti tietojenkäsittelyn aiheuttamiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. 3. Jäljempänä 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisen hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan. 4. Rekisterinpitäjän ja käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, saa käsitellä niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai kansallisessa lainsäädännössä toisin vaadita. Artikla 32, Käsittelyn turvallisuus

17 Vaatimus sisäänrakennetusta tietosuojasta (privacy by design) Velvollisuus järjestää tietojenkäsittely tavalla, jonka avulla asetus, tietosuojaperiaatteet ja rekisteröidyn oikeudet tulevat tehokkaasti huomioiduiksi kaikessa tietojenkäsittelyssä Kohdistuu myös ohjelmistokehitykseen Velvoittaa laaja-alaisen suunnitteluun Saattaa johtaa lakiperusteisen riskin siirtymiseen ITpalveluntarjoajille Vaatimuksen täyttymisestä vastaa rekisterinpitäjän roolissa oleva yritys (eli asiakas) Velvoite voidaan sopimusehdoilla siirtää käsittelijän (eli toimittajan) kannettavaksi

18 Osoitusvelvollisuus tietoturvan toteuttamisesta Compliance Vaatimustenmukaisuus Lainsäädännön noudattamisen varmistaminen Do it Accountability Tilivelvollisuus Lainsäädännön noudattamisen osoittaminen Prove it

19 Osoitusvelvollisuus käytännössä Kannustin dokumentointiin ( paper trail ) Käännetty näyttötaakka Toimintojen sertifiointi

20 Oikeus siirtää tiedot järjestelmästä toiseen (data portability) Yksilön oikeus viedä mukanaan omat tietonsa Mahdollistaa tietojen siirrettävyyden yritysten välillä Tietojen jälleenkäyttöarvo kasvaa Kilpailuedellytykset ja markkinoille pääsy parantuvat Oikeus rajautuu vain osaan tiedoista Rekisteröidyn suostumukseen tai sopimukseen perustuva käsittely Rekisteröidyn itsensä antama tai tuottama tieto Tiedot annettava sähköisessä jatkokäytön mahdollistavassa muodossa Mikä tahansa sähköinen muoto käy

21 Sopimusvelvoitteet Tietosuojasta ja tietoturvasta tulossa IT-alan sopimusten kipupiste Uusi sääntely muuttaa riskiasetelmia ja sopimusperusteista riskienjakoa Nimenomainen velvollisuus sopia seikoista, jotka nykyään jätetty avoimiksi, eli käytännössä rekisterinpitäjän vastuulle Vahinkojen todennäköisyys ja suuruus kasvavat, markkinakäytännöt murroksessa Yksityiskohtaisempia sopimusehtoja ja vastuunrajoituksia Hintavaikutukset IT-palveluihin

22 [ ] governed by a contract [ ] binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects, the obligations and rights of the controller and stipulating in particular that the processor shall: a) process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, [ ]; b) ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; c) take all measures required pursuant to Article 30 [data security]; d) respect the conditions referred to in paragraphs 1a and 2a for enlisting another processor [sub-processing]; e) taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller s obligation to respond to requests for exercising the data subject s rights laid down in Chapter III; f) assist the controller in ensuring compliance with the obligations pursuant to Articles 30 to 34 [prior consultation] taking into account the nature of processing and the information available to the processor; g) at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of data processing services, and delete existing copies unless Union or Member State law requires storage of the data; h) make available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. The processor shall immediately inform the controller if, in his opinion, an instruction breaches this Regulation or Union or Member State data protection provisions. Artikle 28(3), Processor

23 VALVONTA JA SANKTIOT

24 Enimmäissanktiot 4 % globaalista liikevaihdosta* Kumpi enemmän *edellinen tilikausi

25 Sanktion suuruuden määräytyminen - huomioon otettavia tekijöitä - action to mitigate the damage suffered by data subjects; - the degree of co-operation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; - the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; - adherence to approved codes of conduct or approved certification mechanisms - the nature, gravity and duration of the infringement having regard to the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; - the intentional or negligent character of the infringement; - any relevant previous infringements by; - Compliance with the measures previously ordered against the controller or processor; - the categories of personal data affected by the infringement

26 TOIMEENPANEMINEN

27 Organisaatiolle tietosuojavastaava? Velvollisuus nimittää tietosuojavastaava vain: 1) julkisella sektorilla; 2) jos organisaation ydintoimintoihin liittyvä käsittely edellyttää säännönmukaista ja laajamittaista rekisteröityjen tarkkailua; tai 3) jos organisaation ydintoiminnot muodostuvat arkaluonteisten henkilötietojen käsittelystä

28 Deployment of enterprise security governance practices moderates the cost of cyber crime. Companies that employ expert staff have cyber crime costs save an average of $1.5 [million] and those that appoint a high-level security leader reduce costs by an average of $1.3 million. Ponemon Institute: Cost of Cyber Crime Study 2015

29 Asetuksen haltuunoton askelmerkit 1. Tietosuojafunktion perustaminen Tehtävien ja vastuiden määritteleminen Implementation Plan Data Flow -analyysi 2. Tietosuojan compliance-ohjelma ( Privacy Program ) Sisäinen ohjeistus (Policy/Rule/Principles) sekä prosessit Johdon omistajuus ja systemaattinen raportointi ja valvonta Riskienhallinta (velvoitteiden huomioiminen toiminnassa) 3. Auditointi

30 Kiitos Jukka Lång Head of Data Protection, Marketing & Consumers Partner, LL.M., M.A., CIPP/E Tel