Tietosuoja-asetus ja tieteellinen tutkimus mikä muuttuu?

Samankaltaiset tiedostot
Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja tutkimuksissa

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus (GDPR)

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Tietosuoja-asetus Immo Aakkula Arkistointi

Pihamaa, Tietosuojavaltuutetun

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetus ja sen kansallinen implementointi

Tietoturva yhdistyksessä

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Organisaatioluvan hakeminen

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Vaikutustenarviointi GDPR:n mukaan

EU TIETOSUOJA- ASETUS

Teknologia avusteiset palvelutverkostopalaveri

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Tietosuoja-asetus ja -laki

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tutkittavan informointi ja suostumus

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Tietosuoja-asetus (GDPR)

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

4. Tutkimuksen vastuullinen johtaja tai siitä vastaava ryhmä

Usein kysyttyjä kysymyksiä tietosuojasta

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

EU:n tietosuoja-asetus (GDPR)

Haminan tietosuojapolitiikka

EU:n tietosuoja-asetus Matti Sarmela

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Ajankohtaista tietosuoja-asetuksesta

Eu:n uusi tietosuojaasetus

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU:n yleisen tietosuoja-asetuksen vaikutus ammattiyhdistyksen toimintaan

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

1. Yleiset Periaatteet

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Eläketurvakeskuksen tietosuojapolitiikka

Mikä GDPR? General Data Protection Regulation

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuoja-asetuksen sudenkuopat

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

EU:N YLEINEN TIETOSUOJ ASETUS JA KLIININEN TU TKIMUS

EU:N TIETOSUOJA-ASETUKSET WALMU

Kolarin kunnan tietosuojapolitiikka

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n tietosuoja-asetus 2016

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojauudistus - Välityömarkkinat. Sanni Harju

EU:n tietosuoja-asetus

GDPR. Timo Kokkonen Webinaari

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

MITÄ OPETTAJAN TULEE TIETÄÄ TIETOSUOJA-ASETUKSESTA?

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Karelia-ammattikorkeakoulun tietosuojapolitiikka

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Tämä ohje on sovellettavissa SAMKin henkilöstön tekemään Tutkimus- ja kehittämistoimintaan ja SAMKin opiskelijoiden opinnäytetöihin

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

IF-INFO MEKLAREILLE

Henkilötietojen käsittelyn ehdot palveluntuottajille

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietosuoja ja aineiston avaaminen. Anne Kärki

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

VAT:n tietosuoja, tietoturva ja uuteen henkilötietolakiin liittyvät tarkennukset.

5. Yhteistyöhankkeena tehtävän tutkimuksen osapuolet ja vastuunjako

1 Tietosuojapolitiikka

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

1. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

Tieteellisen tutkimuksen tietosuojaseloste

Ajankohtaista tietosuojasta. Stadin nuorisoseurat ry Maarit Päivike

LAUSUNTO Dnro 5935/96/2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

EU:n tietosuoja-asetus (2016/679)

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Transkriptio:

Tietosuoja-asetus ja tieteellinen tutkimus mikä muuttuu? Ylitarkastaja Raisa Leivonen Tietosuoja tutkijan arjessa-seminaari 16.5.2018 1

Alkusanat Peruslähtökohdat pysyvät samana Keskeisiä muutoksia Lopuksi 2

Alkusanat Peruslähtökohdat pysyvät samana Keskeisiä muutoksia Lopuksi 3

Tietosuoja-asetus Ryhdytään soveltamaan 25.5.2018 Kaikissa jäsenvaltioissa suoraan sovellettavaa oikeutta, sisältää kuitenkin kansallista liikkumavaraa Tietosuojalaki (HE 9/2018) Kansallinen erityislainsäädäntö Sovelletaan niin yksityisellä kuin julkisella sektorilla kattaa siis koko tutkimuskentän! This is evolution, not revolution! 4

Tutkimustoiminnan lainsäädäntökehikko.. On kokonaisuudessaan murroksessa.. Tietosuoja-asetus Kansallinen tietosuojalaki Tiedonhallintalaki Laki sosiaali- ja terveystietojen toissijaisesta käytöstä Laki kliinisestä lääketutkimuksesta Laki lääketieteellisestä tutkimuksesta Biopankkilaki Genomikeskus jne 5

Alkusanat Peruslähtökohdat pysyvät samana Keskeisiä muutoksia Lopuksi 6

Tietosuoja-asetus ja tieteellinen tutkimus Tieteellinen ja historiallinen tutkimus tunnistetaan yhä erityisen tärkeänä toimintana tietosuoja-asetuksessa Poikkeuksia mm. tietosuojaperiaatteista ja rekisteröidyn oikeuksista Tieteellisen ja historiallisen tutkimuksen tarkoituksia varten voi yhä käsitellä henkilötietoja tietosuoja-asetuksen perusteella (6 art. ja 9 art.) tai kansallisen tietosuojalain perusteella (4, 6 ) Käsittelyn tulee kuitenkin tapahtua tietosuojasäännöksiä noudattaen 7

Henkilötiedon käsite Henkilötietoja ovat kaikki tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen Myös pseudonymisoidut tiedot ovat henkilötietoja! Esimerkkejä henkilötiedoista Nimi Kotiosoite Sähköpostiosoite, kuten etunimi.sukunimi@yritys.com Puhelinnumero IP-osoite Potilastiedot Valokuva 8

Tietojen anonymisointi Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi. Arvioissa huomioitava mm. saatavilla oleva tiedot ja muiden rekisterinpitäjien rekisterit Anonymisoinnissa on otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joiden avulla tiedot voitaisiin muuttaa takaisin tunnisteellisiksi tunnistamisesta aiheutuvat kulut, tunnistamiseen tarvittava aika sekä käytettävissä oleva teknologia 9

Rekisterinpitäjä Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; Toiminnallinen käsite: jaetaan vastuuta sinne, missä todellinen vaikutus on! Käsittelyn laillisuuden kannalta olennaiset kysymykset kuuluvat rekisterinpitäjälle 10

Rekisterinpitäjä määrittää Tarkoitukset=miksi tietoja käsitellään? Ennakoitu tulos, johon pyritään Keinot=miten henkilötietoja käsitellään? Toimintatavat tuloksen saavuttamiseksi Tekniset ja organisatoriset toimenpiteet Mitä tietoja käsitellään? Kenellä pääsy tietoihin? Kuinka kauan tietoja käsitellään? Jne. 11

Vastuut asetuksen mukaan Rekisterinpitäjän vastuu säilyy Ei voi ulkoistaa vastuuta tietosuojavastaavalle Osoitusvelvollisuus Käytännesäännöt Sertifioinnit Tietotilinpäätös Yhteisrekisterinpitäjät (art. 26) Määriteltävä läpinäkyvällä tavalla vastuualueet Muutos: henkilötietojen käsittelijä (28 art.) 12

Alkusanat Peruslähtökohdat pysyvät samana Keskeisiä muutoksia Lopuksi 13

Eräitä keskeisiä muutoksia.. Osoitusvelvollisuus Periaatteiden kautta asetukseen Käsittelyperusteet Rekisteröidyn oikeudet Riskiperusteinen lähestymistapa Velvollisuus ilmoittaa tietoturvaloukkauksesta Tietosuojaviranomaisille Rekisteröidyille 14

Tietosuojaperiaatteet OSOITUSVELVOLLISUUS Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus 15

Muutos? Vaatimustenmukaisuudesta Compliance - lainsäädännön noudattaminen Osoitusvelvollisuuteen Accountability lainsäädännön noudattamisen osoittaminen 16

Tieteellisen tutkimuksen käsittelyperusteita Suostumus (6 1 a) Kansallisen lainsäädännön nojalla, kun käsittely on tarpeen yleistä etua koskevan tehtävän vuoksi (6 1 e) Kansallinen tietosuojalaki 4 :n 3 kohta (HE 9/2018) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden Rekisterinpitäjän oikeutettu etu (6 1 f) 17

Erityiset henkilötiedot (TSA 9 art. 1 kohta) rotu tai etninen alkuperä poliittiset mielipiteet uskonnollinen tai filosofinen vakaumus ammattiliiton jäsenyys geneettinen tieto tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten terveyttä koskevat tiedot seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot 18

Erityisten henkilötietojen käsittelyperusteita Nimenomainen suostumus (9 2 a) Käsittely koskee tietoja, jotka rekisteröity saattanut nimenomaisesti julkisiksi (9 2 e) Kansallinen lainsäädäntö kun käsittely tarpeen tärkeää yleistä etua koskevasta syystä (9 2 g) Käsittely tarpeen yleisen edun mukaisia tieteellisiä ja historiallisia tutkimustarkoituksia varten (9 2 j) Tietosuojalaki 6 7 kohta: tieteellinen ja historiallinen tutkimus ja tilastointi 19

Onko tutkimus jo käynnissä ja käsittelyperusteena suostumus? Tarkista, että suostumus on tietosuoja-asetuksen mukainen!! (TSA res. 171) Suostumus on oltava YKSILÖITY (käyttötarkoituksen on oltava ennalta määritelty, nimenomainen ja laillinen) TIETOINEN (informaation oltavaa erillään, helposti ymmärrettävissä ja saatavilla olevassa muodossa ja yksinkertaisella kielellä + 13 art. informointivelvoite) aidosti VAPAAEHTOINEN (heikommassa asemassa olevat) ja YKSISELITTEINEN tahdonilmaisu (edellyttää aktiivista toimea) NIMENOMAINEN erityisten henkilötietoryhmien osalta DOKUMENTOITU osoitusvelvollisuuden osoittamiseksi PERUUTETTAVISSA yhtä helposti, kuin annettukin (tästä informoitava jo suostumusta pyydettäessä) Hallinnointia koskevien käytänteiden oltava TIETOSUOJA-ASETUKSEN MUKAISIA.. 20

Onko tutkimus jo käynnissä ja käsittelyperusteena suostumus? Jos suostumus ei ole tietosuoja-asetuksen mukainen Pyydä uusi, tietosuoja-asetuksen mukainen suostumus Arvioi, voiko käsittely perustua johonkin muuhun käsittelyperusteeseen Varmista, että lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskevat periaatteet toteutuvat Jos käsittely peruste muuttuu, informoitava rekisteröityjä Käsittelyperusteen vaihtaminen toiseen ei mahdollista, kun tietosuojaasetusta ryhdytään soveltamaan Jos et voi perustaa käsittelyä toiseen oikeusperusteeseen tai pyytää uutta tietosuoja-asetuksen vaatimukset täyttävää suostumusta, henkilötietojen käsittely on lopetettava. 21

Rekisteröidyn oikeudet Lähtökohta: rekisteröidyllä on myös tutkimustoiminnassa käytössään tietosuoja-asetuksen mukaiset oikeudet (riippuvaisia käsittelyperusteesta) Jos käsitellään samanaikaisesti myös muihin tarkoituksiin, poikkeuksia sovelletaan ainoastaan historiallisessa ja tieteellisessä tutkimuksessa Tieteellisessä tutkimuksessa oikeuksia voidaan rajoittaa tapauskohtaisen harkinnan perusteella, joka on kaksiportainen Tietosuoja-asetuksen 89 art. 2 kohta mahdollistaa kansallisten poikkeuksien säätämisen, vain SILTÄ OSIN, 1) kun tällaiset oikeudet estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti JA 2) tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi 22

Tietosuojalaki 31 rajoitusten edellytykset Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että: 1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan; 2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja 3) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille Vaikutustenarviointi tulee toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle 30 päivää ennen käsittelyyn ryhtymistä 23

24

Riskiperusteinen lähestymistapa Henkilötietojen käsittelyyn liittyvä riski on arvioitava AINA, ennen kuin henkilötietoja ryhdytään käsittelemään Osoitusvelvollisuus Riskien todennäköisyys ja vakavuus vaihtelee Objektiivinen arvio Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä Tekniset ja organisatoriset toimenpiteet Riskiarviointi on jatkuvaa toimintaa: toimenpiteiden riittävyyttä on arvioita jatkuvasti ja päivitettävä tarvittaessa 25

Riskit fyysisiä, aineellisia tai aineettomia vahinkoja, käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa 26

Riskiarvio tehdään tutkittavan (rekisteröidyn) näkökulmasta Luonne Erityiset henkilötiedot, Rekisteröidyn vaikea käyttää oikeuksiaan ennakoimattomuus, läpinäkyvyyden puute ja periaatteiden toteutumisen epävarmuus Uusi teknologia ja innovaatiot Rekisteröity heikommassa asemassa Vapauksiin ja oikeuksiin kohdistuva RISKI Laajuus Rekisteröityjen lukumäärä (numeroina/ %), Tiedon määrä Varastointi aika (lyhyt, määräaikainen, pysyvä) Maantieteellinen soveltamisala (paikallinen, alueellinen, kansallinen, kansainvälinen, globaali) Tarkoitukset Rekisteröityjen tarkkailu, seuranta ja valvonta Henkilöiden arviointi tai pisteytys Automaattinen päätöksenteko, jolla oikeusvaikutuksia rekisteröityyn Asiayhteys Luottamuksellisuus (erityiset tai muuten erityisen henkilökohtaiset henkilötiedot) Yksityisyyden turvaaminen (kotirauha..) Eri yhteyksistä kerättyjen henkilötietojen yhdistely 27

89 artikla yleisen edun mukainen arkistoin taikka tieteellinen tai historiallinen tutkimus tai tilastointi Sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet Erityisesti varmistettava tietojen minimoinnin periaatteen toteutuminen voidaanko anonymisoida? voidaanko pseudonymisoida? 28

Tietosuojaa koskeva vaikutustenarviointi on tehtävä silloin, kun käsittelyyn kohdistuu korkea riski (35 art.) 1. Tietosuoja-asetus 35 art. Kohta 3 Systemaattinen ja kattava profilointi Laajamittainen erityisten henkilötietoryhmien käsittely Laajamittainen ja järjestelmällinen yleisölle avoimen paikan valvonta 2. WP 29 Ohje 248 liite 2. 3. Valvontaviranomaisen lista korkean riskin käsittelytoimista 4. Kansallinen lainsäädäntö edellyttää vaikutustenarviointia suojatoimena 29

Vaikutustenarviointi JÄRJESTELMÄL LINEN KUVAUS KÄSITTELYSTÄ art. 24 art. 25 art. 30 art. 32 art. 40, 42 TARPEELLISUU S JA OIKEASUHTAIS UUS art. 5 art. 6 ja 9 Art. 12-22 REKISTERÖIDY N OIKEUKSIA JA VAPAUKSIA KOSKEVAT RISKIT Tietosuojaan liittyvät oikeudet Muut vapaudet ja oikeudet TUNNISTETUT RISKIT JA KEINOT NIIDEN HALLITSEMISE KSI Käsittelyyn, Luvattomaan käsittelyyn ja Laittomaan käsittelyyn liittyvät riskit Tietotekniset faktat Järjestelmä, välineet ja ohjelmat Oikeudelliset faktat Mistä kysymys, käsittelyperusta ja sen riittävyys? Käyttötarkoituksen määrittäminen Asianmukaisuus, käsittelyn tarkoitus ja käyttötarkoitussidonnais uus Tarpeellisuus ja oikeasuhtaisuus Laajuus, tarpeellisuus ja rajoittaminen Läpinäkyvyys (13 & 14 art.) ja vaikuttamismahdollisuudet (15 ja 20 art) Muut oikeudet Kotirauha Luottamuksellinen viestintä jne. Esim. tiedon virheellisyys, sisäinen väärinkäyttö, oikeudeton tunkeutuminen 30

Käsittelytoimien systemaattinen kuvaus Luodaan käsittelystä kokonaiskuva Huomioidaan luonne, laajuus, asiayhteys, tarkoitukset ja näistä seuraavat Tunnistetaan vastaanottajat, tietovirrat ja säilytysaika Toiminnallinen kuvaus käsittelytoimenpiteistä Käsittelytoiminpiteet ja niihin liittyvät päätöksenteko dokumentoidaan Luodaan tarkistus ja päivityskäytännöt 31

Tarpeellisuus ja oikeasuhtaisuus Käsittelyperuste Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus Rekisteröidyn oikeudet Yksilön vapaudet 32

Riskin arviointi ja suunnitellut toimenpiteet Riskiarvio Arvioi mahdolliset seuraukset Arvioi riskin vakavuus Tunnista uhat Arvioi riskin todennäköisyys Valitse toimenpiteet riskien hallitsemiseksi Esimerkkejä toimenpiteistä: päätös olla käsittelemättä tietyn tyyppisiä tietoja käsittelyn kohteen täsmentäminen tai rajaaminen säilytysaikojen lyhentäminen lisäsuojaustoimenpiteiden käyttöönotto henkilötietojen anonymisointi tai pseudonymisointi kirjallisten käsittelyohjeiden käyttöönotto järjestely tai menettelytapa, joka tukee rekisteröityjen oikeuksien käyttöä 33

Vaikutustenarvioinnin validointi Jos käsittely voi johtaa suureen riskiin yksilön oikeuksien ja vapauksien näkökulmasta, vaikutustenarviointi on pakollinen Ymmärrä vaikutustenarvioinnin tarkoitus; 1. Tunnista riskit, 2. Arvioi tarpeelliset toimenpiteet ja 3. Pienennä käsittelyyn liittyvä riski! Kun vaikutustenarviointia edellytetään, sen laiminlyönti on tietosuoja-asetuksen mukainen rikkomus Laadi asianmukainen dokumentaatio tehdystä arvioista, ja hanki tarvittaessa johdon katselmus, päätös ja hyväksyntä 34

Henkilötietojen tietoturvaloukkaus Tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin 35

Tietoturvaloukkauksista ilmoittaminen Tietosuojarikkomuksesta seuraa todennäköinen riski yksilön oikeuksille ja vapauksille ILMOITUS TIETOSUOJAVIRANOMAISELLE Ilmoitus on tehtävä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta (tietoiseksi tulemisesta) Tietosuojarikkomuksesta seuraa todennäköisesti korkea riski yksilön oikeuksille ja vapauksille ILMOITUS REKISTERÖIDYLLE RISKIARVIOINNISSA HUOMIOITAVA SEIKAT 1) Tietoturvarikkomuksen tyyppi 2) Henkilötietojen luonne, arkaluonteisuus ja määrä 3) Tunnistamisen helppous 4) Tietovuodon seurauksien vakavuus 5) Rekisteröidyn erityiset ominaisuudet 6) Rekisterinpitäjän erityiset ominaisuudet 7) Yleiset huomiot 36

Alkusanat Peruslähtökohdat pysyvät samana Keskeisiä muutoksia Lopuksi 37

Tietosuojatyökaluja tutkijalle (1/2) 1. Määritä tutkimussuunnitelmassa tutkimustehtävä ja henkilötietojen käyttötarkoitus mahdollisimman täsmällisesti. 2. Analysoi, mitkä henkilötiedot ovat tarpeellisia tutkimuksesi toteuttamiseksi (tietojen määrä ja luonne). Arvioi henkilötietojen tarpeellisuutta myös tutkimuksen aikana ja pyri minimoimaan käsiteltävien henkilötietojen määrä mahdollisimman nopeasti. 3. Tee riskiarvio käsittelytoimistasi ja suhteuta suojaustoimenpiteet sen mukaisesti koko käsittelyn elinkaaren ajaksi. 4. Suunnittele etukäteen menettelytavat eri tilanteiden, kuten tietoturvaloukkausten varalle. 5. Tunnista käsittelyperuste ja päivitä se tarvittaessa tietosuojaasetuksen mukaiseksi (esim. suostumus). 38

Tietosuojatyökaluja tutkijalle (2/2) 6. Kartoita käsittelyperusteeseen liittyvät rekisteröidyn oikeudet ja varmista niiden toteutuminen. 7. Varaudu osoittamaan, että tietosuojasäännökset on huomioitu tutkimuksessasi: dokumentoi tietosuojaperiaatteiden toteutuminen ja muut tietosuoja-asetuksen mukaiset menettelytavat. 8. Tunnista roolisi ja vastuusi! Rekisterinpitäjänä vastaat henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan tee käsittelijöiden kanssa kirjallinen sopimus ja laadi selkeät ohjeet käsittelylle. 9. Vaali luottamusta ja varmista tulevaisuuden tutkimuksen edellytykset noudattamalla tietosuojasäännöksiä sekä huolehtimalla läpinäkyvyydestä ja avoimuudesta. 10. Tietosuojatyökalut ovat välttämätön osa tutkijan työkalupakkia! Päivitä osaamistasi ja seuraa verkkosivuja: www.tietosuoja.fi 39

Lisätietoja Tietosuojavaltuutetun verkkosivut: www.tietosuoja.fi Tietosuoja-asetus teksti: http://eur-lex.europa.eu/legalcontent/en/txt/?uri=consil:st_5419_2016_init 40

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute