EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Transkriptio

1 EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

2 Esityksen sisältö Esittäytyminen Johdanto Tietosuojavastaava Tietosuoja-asetuksen periaatteita Rekisteröidyn oikeuksia Käytännössä havaittuja haasteita Lähteitä Kari Kataja 2

3 Kari Kataja Tietojärjestelmäpäällikkö, tietosuojavastaava (50% työajasta) HAMKissa vuodesta 2008 alkaen, aikaisemmin mm. elektroniikan sopimusvalmistuksessa Diplomi-insinööri, kauppatieteiden maisteri, Filosofian maisteri ja kasvatustieteiden maisteri Ei siis erityistä juridista taustaa opinnoista Kari Kataja 3

4 Disclaimer En ole taustaltani juristi. Tässä esityksessä olevat asiat perustuvat siihen, millainen käsitys minulle on erinäisten koulutusten ja asetustekstin lukemisen perusteella syntynyt. Myös Suomen paikallinen lainsääntö vielä puuttuu. Tarkemmat käytännöt ja rajaukset selviävät osittain vasta myöhemmin oikeuskäytännön myötä Kari Kataja 4

5 (Salon seudun sanomat , (Karjalainen , ) Kari Kataja 5

6 EU-tietosuoja-asetus (GDPR, General Data Protection Regulation) Henkilötietojen käsittelyn yhtenäistäminen koko EU:ssa Siirtymäaika päättyy Merkittäviä tarkennuksia ja tiukennuksia henkilötietojen käsittelyssä sekä rekisteröidyille henkilöille uusia oikeuksia: Esim. oikeus saada pääsy tietoihinsa ja oikeus tulla unohdetuksi Tietojen minimointi ja käyttötarkoitussidonnaisuus Rekisterinpitäjällä on osoitusvelvollisuus siitä, että asiat on hoidettu lain mukaisesti Kari Kataja 6

7 Tietosuoja-asetuksen taustaa EU-tietosuoja-asetus tunnetaan myös lyhenteellä GDPR (General Data Protection Regulation). Asetuksen voimaantulossa on kahden vuoden siirtymäaika, joka päättyy Asetusta voidaan jossain määrin tarkentaa kansallisella lainsäädännöllä, tätä lainsäädäntöä ei kuitenkaan vielä ole. Korvannee nykyisen henkilötietolain Tavoitteena on yhtenäistää henkilötietojen käsittelyä EUalueella. Alkuperäinen asetus löytyy osoitteesta: Kari Kataja 7

8 Asetuksesta keskustellaan tällä hetkellä paljon, koska Se tuo mukanaan joukon uusia oikeuksia rekisteröidyille Osa voi olla hankalia toteuttaa Rekisterinpitäjälle on määritelty osoitusvelvollisuus Asetukseen kirjatut maksimisanktiot ovat huomattavan korkeita Tarkastellaan em. kohdista ensin sanktiot, sitten osoitusvelvollisuus ja muut velvollisuudet ja lopuksi rekisteröidyn oikeuksia Kari Kataja 8

9 Sanktiot Asetuksen noudattamatta jättämisestä voi seurata esimerkiksi varoitus, huomautus, tietojen käsittelykielto tai sakko, joka on euron tai 4% maailmanlaajuisesta liikevaihdosta (näistä suurempi otetaan huomioon). Isoilla kansainvälisillä yrityksillä summa voi siis olla jopa miljardeja euroja. Haluan kuitenkin korostaa, että tietosuoja-asetus kannattaa ajatella positiivisena asiana. Sanktiopykälä tarkoittaa sitä, että asetuksen noudattamiseen on vahva intressi myös globaaleille yrityksille (esim. Microsoft, Google, Facebook) Kari Kataja 9

10 Periaate: rekisterinpitäjän osoitusvelvollisuus Ei riitä, että me noudatetaan asetuksen määräyksi, vaan tämä pitää kyetä osoittamaan (eli meillä on osoitusvelvollisuus). Toimenpiteiden dokumentointi Tietotilinpäätös Tähän liittyy esimerkiksi kaikkien henkilötietoja käsittelevien henkilöiden perehdyttäminen asiaan. Tietosuoja pitää ottaa huomioon varmistaa jo suunnitteluvaiheessa Yms. Sisäänrakennettu ja oletusarvoinen tietosuoja Kari Kataja 10

11 Riskipohjainen lähestymistapa Asetuksen perustana on riskipohjainen lähestymistapa. Eli eritilanteissa henkilötietojen käsittelyyn liittyvät riskit analysoidaan ja sen perusteella suunnitellaan toimenpiteet Kari Kataja 11

12 Henkilötieto Tietosuoja-asetus koskettaa kaikkea henkilötietojen käsittelyä. Henkilötieto on asetuksessa määritelty kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella, Kari Kataja 12

13 Mitkä sitten käytännössä voivat esimerkiksi olla henkilötietoja? Nimi Sähköpostiosoite Sormenjälki Auton rekisterinumero Tietokoneen IP-osoite Taiteilijanimi Puhelimen gps-koordinaatit Video Valokuva Yms Kari Kataja 13

14 Erityiset henkilötiedot Henkilötietolain arkaluontoinen henkilötieto Rotu, etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen tai suuntautuminen, terveyttä koskevat tiedot sekä geneettistä tai biometriaa koskevat tiedot. Oletuksena käsittelykielto, johon asetuksessa ja kansallisessa lainsäädännössä poikkeukset. Myös erityislainsäädännöstä tarkennuksia tähän Kari Kataja 14

15 Tietosuojavastaava, nimitettävä jos: Kyseessä viranomainen tai julkishallinnon elin (pl. Lainkäyttöä tekevä tuomioistuin) Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin Kari Kataja 15

16 Tietosuoja-asetuksen periaatteet Rekisterinpitäjän osoitusvelvollisuus Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus Kari Kataja 16

17 Periaate: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Rekisteröidylle pitää informoida tietojen käytöstä Kari Kataja 17

18 Periaate: käyttötarkoitussidonnaisuus Kerättyjä henkilötietoja saa käyttää vain siihen tarkoitukseen, mihin ne on alun perin kerätty (tähän on tiettyjä poikkeuksia) Esimerkki: kerätään henkilötietojen tilaisuuteen ilmoittautumista varten. Tietoja ei saa käyttää esimerkiksi muuhun markkinointiin, mikäli tähän ei ole erikseen lupaa kysytty Kari Kataja 18

19 Periaate: tietojen minimointi Vain tarpeelliset tiedot kerätään Ei siis saada kerätä varmuuden vuoksi henkilö tietoja. Tietoja säilytetään vain niin kauan, kun se on tarpeellista Kari Kataja 19

20 Periaate: tietojen täsmällisyys Tiedot pitää olla oikein. Epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä Kari Kataja 20

21 Periaate: tietojen säilytyksen rajoittaminen Henkilötietoja säilytetään vain niin kauan, kuin se on tarpeen Kari Kataja 21

22 Periaate: tietojen eheys ja luottamuksellisuus Henkilötietoja käsiteltävä tavalla, jolla varmistetaan asianmukainen turvallisuus, sisältäen suojaamisen luvattomalta ja lainvastaiselta käsittelyltä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta Kari Kataja 22

23 Ilmoitusvelvollisuus tietoturvaloukkauksissa Pääsääntöisesti tietoturvaloukkauksista tulee ilmoittaa valvovalle viranomaiselle 72 tunnin kuluessa sen ilmitulosta. Kyse siis ei ole arkipäivistä, vaan 72 tunnista! Tietyissä tilanteissa ilmoitus pitää tehdä myös niille henkilöille, joita tietoturvaloukkaus on koskenut. Tähän liittyvät toimintaprosessit ja vastuut kannattaa suunnitella etukäteen Kari Kataja 23

24 Henkilön (rekisteröidyn) oikeuksia Henkilölle tulee laajempia oikeuksia: Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Oikeus saada pääsy tietoihinsa Oikeus tietojen oikaisuun Oikeus tulla unohdetuksi Oikeus tietyissä tilanteissa käsittelyn rajoittamiseen Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle Oikeus tietyissä tilanteissa vastustaa henkilötietojen käsittelyä Automatisoitu päätöksenteko ja profilointi kielto Jos tietojen kerääminen edellyttää henkilön suostumusta, henkilöllä on oikeus peruuttaa suostumuksensa milloin tahansa ja sen tulee olla yhtä helppoa kuin suostumuksen antaminen Kari Kataja 24

25 Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Nykyisiä rekisteri / tietosuojaselosteita kattavampi. Esimerkiksi henkilötietoja kerättäessä tulee ilmoittaa: henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste henkilötietojen vastaanottajat tai vastaanottajaryhmät henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot Kari Kataja 25

26 Oikeus saada pääsy tietoihinsa Rekisteröidylle pitää hänen niin vaatiessa toimittaa kaikki häntä koskevat tiedot Tämä sisältää myös lokitiedot. Mikäli rekisteröityjä on suuri määrä, olisi syytä automatisoida tietojen kerääminen Käytännössä esimerkiksi Excel-tiedostot ovat hankalia erityisesti isoissa organisaatioissa Kari Kataja 26

27 Oikeus tulla unohdetuksi Rekisteröidyn on oikeus pyytää poistamaan kaikki itseään koskevat tiedot. Tämä on toteutettava viivytyksettä, mikäli: Tietojen keräämisen perustana on ollut suostumus tai Henkilötietojen käsittelyn peruste ei enää ole olemassa tai Henkilötietoja on käsitelty laittomasta (+ muutama erityistapaus) Tiedot pitäisi poistaa myös varmuuskopioilta (tyypillisesti mahdotonta => varmistusnauhojen kierto) Voi olla joissakin vanhoissa järjestelmissä haastavaa, koska niistä voi poistotoiminnallisuus puuttua kokonaan Kari Kataja 27

28 Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle Esimerkki: henkilö on yksityisen terveysaseman asiakas. Hän haluaa vaihtaa toiselle terveysasemalle. Hänellä on oikeus saada kaikki tietonsa sähköisessä koneluettavassa muodossa Kari Kataja 28

29 Rekisterinpitäjä vs. henkilötiedon käsittelijä Esimerkki: yritys X käyttää palkalaskentajärjestelmää, joka on pilvipalvelun yrityksen Y ylläpitämä. Tällöin yritys X on rekisterinpitäjä ja Yritys Y on käsittelijä Tällöin X:n ja Y:n pitää sopia tietyistä seikoista. Esim. käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti (tarkempi lista löytyy artiklasta 28) Kari Kataja 29

30 Tunnistettuja haasteita: markkinointi Markkinointiviestintä. Syytä tarkastella, millaisia rekistereitä on ja miten asetuksen vaatimukset vaikuttavat niihin. Mihin on lupa pyydetty? Miten henkilö saadaan kaikista rekistereistä niin halutessa pois? Miten pystytään kaikki henkilön tiedot kokoamaan ja toimittamaan hänelle hänen niin pyytäessä? Mukaan lukien järjestelmän lokitiedot Miten henkilö pääsee rekisteristä helposti pois? Yms Kari Kataja 30

31 Dokumentointia Esimerkiksi HAMKissa tehdään tai päivitetään seuraavia: Henkilötietojen inventaari Varmuuskopioinnin periaatteet Lokien hallinnan periaatteet Henkilökunnan ohjeistaminen oikeaan henkilötietojen käsittelyyn Alihankkijoiden ohjeistaminen oikeaan henkilötietojen käsittelyyn Tietotilinpäätös Arkistonmuodostussuunnitelma / tiedonohjaussuunnitelma Prosessikaavioita Tietosuojan vuosikello Informointimateriaalia rekisteröidyille Jne Kari Kataja 31

32 Mitä esimerkiksi kannattaisi esimerkiksi tehdä? Varmista, tarvitseeko organisaatio tietosuojavastaavan Kartoita kaikki henkilörekisterit ja perustele niiden käyttö (tarpeettomat poistetaan) sekä varmista missä tallennettu (EU/ETA alue?) Varmista, millä perusteella tiedot on kerätty. Jos on kerätty suostumuksella, niin miten tämä on pyydetty? Käy läpi rekistereiden tietoturvallinen käsittely Tee suunnitelma siitä, miten rekisteröidyn pyynnöt ja ilmoitusvelvollisuus Kouluta henkilökunnalle perusasiat Jne ja dokumentoi asiat, jotta osoitusvelvollisuus toteutuu Kari Kataja 32

33 Lisätietoja Tietosuojavaltuutetun opas "Miten valmistautua EU:n tietosuoja-asetukseen (pdftiedosto): ents/tietosuojavaltuutettu/tietosuojavaltuutetuntoi misto/oppaat/1em8rt7if/miten_valmistautua_eun_ tietosuoja-asetukseen.pdf Asetukset teksti: VM:n materiaalia (esim. henkilökunnan koulutusvideo ja testi, suunnattu julkiselle sektorille): Kari Kataja 33