TIETOSUOJAN PERUSTEET STANDARDIN SUOMENNOKSEN JULKAISUTILAISUUS 7.6.2013 SFS Tietosuojavaltuutetun esittelypuheenvuoro Reijo Aarnio tietosuojavaltuutettu
Henkilötietolaki (523/1999) 1 Lain tarkoitus Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista itseohjautuvuuden periaate
HENKILÖREKISTERI 3 3k PRIVACY BY DESIGN HENKILÖTIETOLAKI JulkL JulkA 2 Arvioi oma toiminta 5-6 Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Oikeus käsitellä 8, 12, 13, 14-20 Mistä henkilötiedot kerätään 8, 9, 12-20 Luovutukset 8, 12-20 (6 ) Ulkomaille siirrot 22-23 Aloitus 2 Suunnittelu huolellisuus 5-6 Käyttötarkoitussidonnaisuus 7 Henkilötiedot 3 1 k, 9, 12-20 Rekisteröidyn oikeudet 24-29 Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Tietoturvallisuus 32 Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 Rekisteriseloste 10 Informointivelvollisuus 24 Käytön hallinnointi 5 Nimeä vastuuhenkilö 5 Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37
PERUSKYSYMYS juridinen kiista PIDÄ HAUSKAA POIKIEN KANSSA, KULTA!??
EKOSYSTEEMI Prop. apps VERKKO (WEB) PALVELUT 3rd party apps Operating apps (Laite) hardware Verkko infra
LUOTI -ohjelma TIETO- YHTEISKUNTA KANSALLINEN KILPAILUKYKY LUOTTAMUS ICT-KÄYTTÖ
TIETOSUOJADIREKTIIVI 95/46/EY Resitaalin 2) -kohta: Tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseeen sekä yksilöiden hyvinvoinnin lisäämiseen.
MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI 2. EU:N KAUPPALAIN HARMONISOINTI 3. TIETOSUOJAN HARMONISOINTI
uudistuva tietosuoja TIETOSUOJADIREKTIIVI 95/46/EY KUMOTAAN JA KORVATAAN: 1. NEUVOSTON ASETUKSELLA 2. III-PILARIN DIREKTIIVILLÄ 1. KOMISSIO ANTOI ESITYKSENSÄ 25.1.2012 2. KÄSITTELYAIKA-ARVIO 12-24 KK 3. VOIMAAN HETI + 2 V SIIRTYMÄAIKA 1. HARMONISOINNIN PARANTAMINEN, DIGITAALISEN TALOUDEN EDISTÄMINEN 2. TEKNOLOGIAN JA UUSIEN PALVELUIDEN HAASTEET 3. HALLINNOLLISEN TAAKAN KEVENTÄMINEN 4. TIETOJEN LIIKKUVUUDEN EDISTÄMINEN
uudistuva tietosuoja UUSIA ASIOITA: - COMPLIANCE - ACCOUNTABILITY TIETOTILINPÄÄTÖS - PRIVACY BY DESIGN - PRIVACY BY DEFAULT - DATA BREACH NOTIFICATION * EU KOM (2010) 245 A DIGITAL AGENDA FOR EUROPE - VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN, VIRANOMAISTEN TOIMIVALTA MUUTTUU YHDENMUKAISUUSMENETTELY, HALLINNOLLISET SANKTIOT (JOHTAVA VALVONTAVIRANOMAINEN, ONE STOP SHOP ) - EUROOPAN TIETOSUOJANEUVOSTO
uudistuva tietosuoja UUSIA ASIOITA (jatk.) - TIETOTURVALAKI? - IDENTITEETTIVARKAUKSIEN KRIMINALISOINTI? - RIGHT TO BE FORGOTTEN - RIGHT TO DATA PORTABILITY - IT-JÄRJESTELMIEN AUKTORISOINTI - KOMISSION ROOLI KASVAA - HALLINNOLLISEN TAAKAN KEVENTÄMINEN - TIETOSUOJAVASTAAVAT PAKOLLISIKSI
ACCOUNTABILITY WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA (13.7.2010) passiivisesta compliancesta aktiiviseksi accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuojaperiaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava
SFS-ISO/IEC 29100 INFORMAATIOTEKNOLOGIA. TURVALLISUUS. TIETOSUOJAN PERUSTEET Information technology. Security techniques. Privacy framework
SFS-ISO/IEC 29100 / johdannon mukaan: Tässä kansainvälisessä standardissa esitetään tietojärjestelmiin syötettävien henkilötietojen suojaamisen pääpiirteet. Standardi on yleisluontoinen, ja siinä esitetään organisaatiota, teknisiä ratkaisuja ja menettelytapoja koskevat yleiset tietosuojan perusteet.
Jatkuu: Tietosuojamallin tarkoitus on auttaa organisaatioita määrittelemään niiden tietojärjestelmissä käsiteltäviin henkilötietoihin liittyvät yksityisyyden suojaamisen vaatimukset - määrittelemällä tietosuojan yleinen termistö - määrittelemällä henkilötietoja käsittelevät toimijat ja näiden toimijoiden roolit - määrittelemällä yksityisyyden suojaamista koskevat vaatimukset - viittaamalla tunnettuihin tietosuojaperiaatteisiin.
Jatkuu: Joillain lainkäyttöalueilla saatetaan katsoa, että tässä kansainvälisessä standardissa esitetyt yksityisyyden suojaamisen vaatimukset täydentävät henkilötietojen suojaamista koskevia lakisääteisiä vaatimuksia. Henkilötietoja käsittelevien tietojärjestelmien määrä kasvaa jatkuvasti, joten on tärkeää laatia kansainvälisiä tietoturvastandardeja, joissa esitetään yhteinen näkemys henkilötietojen suojaamisesta. Tämän kansainvälisen standardin tarkoitus on tehostaa jo olemassa olevien turvallisuusstandardien soveltamista painottamalla henkilötietojen käsittelyn näkökulmaa.
Jatkuu: Henkilötietojen kaupallinen käyttö ja arvo sekä näiden tietojen jakaminen eri lainkäyttöalueiden välillä on kasvussa, minkä lisäksi tietojärjestelmät muuttuvat yhä laajemmiksi. Niinpä organisaatioiden on entistä vaikeampi varmistaa, että yksityisyyden suoja säilyy ja että kaikkia asiaankuuluvia lakeja noudatetaan. Tietosuojatoimijat voivat välttää epävarmuutta ja epäluottamusta käsittelemällä tietosuoja-asioita asianmukaisesti ja ehkäisemällä henkilötietojen väärinkäyttöä.
Jatkuu: Tämä kansainvälinen standardi - on avuksi henkilötietoja käsittelevien ja suojaavien tietojärjestelmien suunnittelussa, toteuttamisessa, hoitamisessa ja ylläpitämisessä - kannustaa kehittämään innovatiivisia ratkaisuja henkilötietojen suojaamiseen tietojärjestelmissä - tehostaa organisaation tietosuojaohjelmia parhaiden käytäntöjen avulla.
Jatkuu: Tässä kansainvälisessä standardissa esitetty tietosuojamalli voi toimia perustana uusille tietosuojastandardialoitteille, jotka voivat koskea esim. - teknisen toteuttamisen mallia - yksittäisten määriteltyjen tietosuojatekniikoiden ja yleisen tietosuojan hallinnan toteuttamista ja käyttöä - ulkoistettujen tietoprosessien tietosuojan hallintakeinoja - tietosuojariskien arviointia - yksittäisiä määriteltyjä teknisiä ratkaisuja.
WP 29 Tietosuojavaltuutettu osallistuu säännöllisesti tietosuojadirektiivin 29 artiklan mukaisen kansallisista tietosuojavaltuutetuista muodostetun työryhmän kokouksiin Brysselissä. Työryhmä on luonteeltaan neuvoa-antava ja toiminnassaan itsenäinen. Sen tavoitteena on mm. tutkia ja esittää tietosuojadirektiivin soveltamiseen ja tulkintaan liittyviä kysymyksiä. Työryhmä antaa tietosuojaan liittyviä lausuntoja ja suosituksia komissiolle sekä julkaisee vuosittain toimintakertomuksen. Tarvittaessa ryhmä voi asettaa toimintaansa varten erilaisia alaryhmiä. esim. Technology Subgroup
Tietosuojaviranomaisten suorittama lainvalvonta YHDENMUKAISUUSMENETTELY VALITUKSET ETUKÄTEIS- VALVONTA TARKASTUKSET TILIVELVOLLISUUS / TIETOTILINPÄÄTÖS OHJEISTUS- JA NEUVONTA- PYYNNÖT PIA TOIMIVALLAT?
KIITOS KUUNTELUSTA! Tiedon laatu = Toiminnan laatu LISÄTIETOJA: www.tietosuoja.fi Tietosuojavaltuutetun toimisto