EU:n tietosuoja-asetus 2016 Miten varautua siirtymäajan päättymiseen 25.5.2018
Henkilötietojen jin ja jang Yksilön perusoikeudet ja vapaudet Digitaalitalouden edistäminen ja tietojen vapaa liikkuvuus EU:n sisällä
Tietosuoja-asetuksen soveltaminen Elävien luonnollisten henkilöiden tietojen käsittely
Merkittävimmät muutokset aiempaan suomalaiseen lainsäädäntöön Tietojen käsittelyn ja säilyttämisen laillisuus ja tietoturvallisuus pitää pystyä osoittamaan (rekisterinpitäjän osoitusvelvollisuus) Aikaisemmin riitti, että noudatti lakia Tietoturvan pettäminen tai laittomien tietojen käsittely johtaa hallinnollisen sakon määräämiseen Sakot huomattavia, enimmillään 20 milj. euroa tai 4 % globaalista liikevaihdosta Koskeeko sakko Suomessa myös julkishallintoa on päättämättä (uutta tietosuojalakia ei ole vielä säädetty) Tietoturvan pettämisestä on ilmoitettava valvontaviranomaiselle ja rekisteröidyille Tietosuojavastaavan nimittäminen Julkisyhteisöille pakollista, mutta koskee myös yrityksiä, joissa ydintehtäviin kuuluu rekisteröityjen säännöllinen ja järjestelmällinen seuranta.
Henkilötiedot Kaikki tiedot, joista luonnollinen henkilö on suoraan tai välillisesti tunnistettavissa, ovat henkilötietoja: Nimi Henkilötunnus Sijaintitieto Verkkotunnistetieto (puhelinnumero, IP-osoite) Fyysiset, fysiologiset, geneettiset, psyykkiset, taloudelliset, kulttuuriset ja sosiaaliset tekijät
Henkilötietoryhmät Henkilötietoryhmä viittaa tiedon käyttötarkoitukseen Esim. nimi-, osoite-, varallisuustiedot Voidaan pääsääntöisesti käsitellä rekisteröidyn suostumuksella tai oikeutetun edun perusteella Erityiset henkilötietoryhmät Esim. rotu, etninen alkuperä, sukupuolinen suuntautuminen, poliittinen kanta tai ammattiliiton jäsenyys Geneettiset tai biometriset tiedot henkilön tunnistamiseksi Terveyttä koskevat tiedot Pääsääntöisesti käsittely on kiellettyä, asetuksessa kuitenkin useita mahdollisuuksia säätää kansallisella lainsäädännöllä toisin. Esim. Suomessa ammattiliitot ja puolueet voivat edelleen pitää jäsenrekistereitä ja työnantaja suorittaa ammattiliiton jäsenmaksujen perinnän palkanmaksun yhteydessä. Työantaja voi käsitellä terveystietoja entiseen tapaan. Vakuutusyhtiöiden oikeudesta terveystietojen käsittelyyn on esitetty määräyksiä Tietosuojalain luonnoksessa.
Profilointi Henkilötietojen käsittelyä, jolla pyritään arvioimaan ja analysoimaan Työsuoritusta Taloudellista tilannetta Luotettavuutta Terveyttä Käyttäytymistä Henkilökohtaisia mieltymyksiä tai kiinnostuksen kohteita Liikkumista tai sijaintia Täysin automatisoitua profilointia on rajoitettu, esim. luottopäätöksiä ei saa tehdä pelkästään koneellisesti.
Henkilötietojen käsittelyn oikeusperusteet Suostumus Rekisteröity on antanut suostumuksensa tietojen tallentamiseen ja käsittelyyn Nimenomainen suostumus Erityiset henkilötietoryhmät (aiemmissa säädöksissä arkaluonteiset tiedot) Rekisterinpitäjän oikeutettu etu Palvelussuhde ja asiakassuhde Viranomaisen lakiin perustuva velvollisuus tai oikeus Kolmannen osapuolen oikeutettu etu Viranomaisen oikeutettu etu (rekisterinpitäjänä ei ole viranomainen) Toisen luonnollisen henkilön elintärkeä etu Juridisen henkilön elintärkeä etu Rekisteröidyn perusoikeudet ja vapaudet voivat syrjäyttää Kerrottava oikeusperuste ja oikeus suostumuksen peruuttamiseen Osoitettava, että suostumus tai nimenomainen suostumus on saatu
Sisäänrakennettu oletusarvoinen tietosuoja Käsittely on lainmukaista, läpinäkyvää ja kohtuullista Tietoja käytetään vain ilmoitettuun tarkoitukseen (käyttötarkoitussidonnaisuus) Kerätään vain tarpeellisia tietoja (tietojen minimointi) Kerätyt tiedot ovat täsmällisiä Ne pitävät paikkansa ja ovat ajantasaisia (eheys) Ne pidetään luottamuksellisina Niitä säilytetään vain tarvittava aika (tietojen elinkaari) Rekisterinpitäjän osoitusvelvollisuus
Mitä sisäänrakennettu oletusarvoinen tietosuoja edellyttää Käsiteltävät henkilötiedot (henkilötietoryhmät) on dokumentoitava. Käsittely on suunniteltava etukäteen ja dokumentoitava suunnitelmat. Henkilöstö on koulutettava ja laadittava ohjeistus tai määräykset henkilötietojen käsittelyyn. Salassapitosopimukset henkilöstön ja alihankkijoiden kanssa on tehtävä uuden lainsäädännön mukaisesti Otetaan käyttöön tarvittavat tekniset suojausmekanismit (pääsynvalvonta, käytön valvonta, salaus, tietojen pseudonymisointi tai anonymisointi jne.)
Oikeus tietojen oikaisemiseen Rekisterin pitäjän oikaistava ilman aiheetonta viivästystä Virheelliset tiedot Epätarkat tiedot Puutteelliset tiedot Oikeudesta on kerrottava selkeästi ja yksinkertaisesti
Tarpeettomat tiedot, suostumuksen peruuttaminen, käsittelyn rajoittaminen ja vastustaminen OIKEUS TULLA UNOHDETUKSI
Oikeus tietojen poistamiseen Rekisterinpitäjän on poistettava henkilötiedot ilman aiheetonta viivästystä Kun tietoja ei enää tarvita Rekisteröity peruuttaa suostumuksensa, eikä muuta laillista perustetta ole Rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksiin (21 artiklan vastustamisoikeus) Henkilötietoja on käsitelty lainvastaisesti EU:n tai jäsenvaltion laki sitä vaatii Henkilötiedot on kerätty lapsille tarjotun tietoyhteiskunnan palvelun yhteydessä Oikeudesta on kerrottava selkeästi ja yksinketaisesti
Vastustamisoikeus Rekisteröity voi vastustaa henkilötietojen käsittelyä suoramarkkinointia varten Tietoja ei saa tämän jälkeen käyttää suoramarkkinointiin Koskee myös profilointia Oikeus on tuotava selkeästi esille ja esitettävä muusta tiedotuksesta erillään
Internet-sivustoilla tapahtuva tietojenkeruu Oikeusperuste on kerrottava Rekisteröidyn asetuksen mukaiset oikeudet kerrottava Suostumus ei saa perustua tekemättä jättämiseen Rekisterinpitäjän yhteystiedot oltava sivustolla Kerrottava valvontavirnanomaisesta
Ilmoitusvelvollisuus tietoturvaloukkauksista viranomaisille ja rekisteröidyille TIETOMURTOJA EI VOI ENÄÄ SALAILLA
Lopuksi Asetuksen sisältö on monilta osin ympäripyöreää Valvontaviranomaisten (Suomi ja EU) ja oikeusistuimien ratkaisut siirtymäajan jälkeen täsmentävät toimintamalleja ja lain yksityiskohtien tulkintaa. Ohjeistus EU-tasolla on kesken ja saatavissa vain englanniksi Ohjeistus Suomessa on puutteellista, koska kansallinen lainvalmistelu on kesken tai sitä ei ole edes aloitettu (erityislait). Keskeisin kansallinen yleislaki Tietosuojalaki on valmisteilla, mutta se ei ole ollut eduskunnan käsittelyssä. Kansallista valvontaviranomaista ei ole vielä olemassa. Lakiesityksessä on ehdotettu tietosuojaviraston perustamista. Se jatkaisi nykyisen tietosuojavaltuutetun toimiston tehtäviä ja saisi myös uusia tietosuoja-asetukseen liittyviä tehtäviä. Asteus mahdollistaisi ryhmäkanteet, jos ne otettaisiin kansalliseen lainsäädäntöön
Linkkejä lisätietoihin Tietosuojavaltuutetun toimisto http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetunto imisto/oppaat/1em8rt7if/miten_valmistautua_eun_tietosuoja-asetukseen.pdf Kauppakamari https://kauppakamari.fi/2016/03/31/eun-tietosuoja-asetus-tulee-valmistaudu-ajoissa/ Suomen yrittäjät https://www.yrittajat.fi/asiasanat/tietosuoja-asetus Asetus http://eur-lex.europa.eu/legal-content/fi/txt/pdf/?uri=celex:32016r0679&from=fi Ehdotus tietosuojalaiksi https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/omml_35_2017_eu n_yleinen_tietosuoja.pdf?sequence=1
Turvalliset maat http://ec.europa.eu/justice/data-protection/internationaltransfers/adequacy/index_en.htm