Tietosuojauudistus - Välityömarkkinat Sanni Harju 1
EU:n yleinen tietosuoja-asetus GDPR= General Data Protection Regulation (EU) 2016/679 Tuli voimaan 24.5.2016. 2 vuoden siirtymäaika päättyy 25.5.2018, jolloin asetus astuu sovellettavana voimaan. Korvaa vuoden 1995 henkilötietodirektiivin (95/46/EY) Korvaa direktiivin kansalliseksi täytäntöön panemiseksi annetun henkilötietolain (523/1999) Tarve yhdistää eri EU:n jäsenmaiden hajanaiset tietosuojasäännökset Tärkeimpänä: ajantasainen sääntely jossa huomioidaan teknologian nopea kehitys, globalisaatio ja edistää digitalisaatiota. Huomioitavaa: asetus kansallista liikkumavaraa > uusi tietosuojalaki 25.5. voimaan? 2
Kuinka asetus vaikuttaa käytännössä? Asetusta sovelletaan kaikkeen toimintaan, mikä pitää sisällään henkilötietojen käsittelyä ->huomioi henkilötiedon laaja käsite Henkilölistaukset ovat rekistereitä ->huomioi seloste, muu informointi, säilytysajat, perusteet.. Tietojen luovutuksissa tulee miettiä: tarvitaanko lupa, kuinka asiakasta informoitu.. Myös viestintä heidän kanssaan: mihin on esimerkiksi lupa annettu s-postios. käyttää? Huomioitavaa on, että asetus tuo mukanaan rekisteröidylle laajemmat oikeudet tietojen käsittelyn tarkastelulle Toimijoille se tuo mukanaan pakkoa perustella mitä tietoa kerätään ja mihin käyttötarkoitukseen: Käsittelyperuste: lakisääteinen tehtävä, suostumukseen perustuva, muu oikeutus Osoitusvelvollisuus-> lisääntyvä dokumentaation tarve Tietojen minimointi ja säilytysajat (säilytyksen rajoittaminen/tiedon elinkaari) Käyttötarkoitussidonnaisuus Tietojen eheys, täsmällisyys ja luottamuksellisuus Oikeus tietopyyntöön, tiedon korjaus ja tiedon poisto Sanktioitavuus (max.20 000 000 tai 4% edellisen tilikauden kokonaisliikevaihdosta mikäli tämä summa on suurempi) 3
Kuinka asetus vaikuttaa käytännössä? Huomioidaan asetuksesta tulevat vaatimukset sopimuksissa ja tiedostetaan roolit: rekisterinpitäjä/henkilötiedon käsittelijä Henkilöstö on ohjeistettu henkilötiedon käsittelyyn Erityishuomio erityiset henkilötietoryhmät Vain henkilöillä joilla oikeus käsitellä tietoja pääsee niitä käsittelemään Läpinäkyvyys tietojen käsittelyssä: mistä tietoa kerätään ja mitä käyttötarkoitusta varten Tarvittavat tekniset ja fyysiset suojat tietojen suojaamiselle luvattomalta pääsyltä niihin Huomioitavaksi tulee myös tietoa välitettäessä asiakkaasta toiselle taholle Mahdollinen tarve nimittää tietosuojavastaava 4
Seuraavissa kalvoissa lisätietoa asetuksesta ja vaikutuksesta henkilötietojen käsittelyyn. 5
Tietosuoja Tietosuoja on perusoikeus, jolla turvataan henkilön yksityisyyttä. Tietosuojaa ei tule nähdä ainoastaan tiedon panttaamisena, kätkemisenä tai salaamisena, vaan se tulee ymmärtää laajempana kokonaisuutena. Tietosuojasta ei pitäisi enää puhua esteenä, vaan mm. digitalisaation onnistumisen välttämättömyytenä ja mahdollistajana. Tietosuoja on käsitteellisesti laajempi kuin yksityisyydensuoja, sillä se pitää sisällään myös yksityisyydensuojan ja oikeusturvan huomioon ottamisen mm. tietojen rekisteröinnissä ja tiedostojen suojaamisen luvattomalta ulkopuoliselta käsittelyltä. Tietosuojalla tarkoitetaan lähtökohtaisesti yksilön (rekisteröity) yksityisyyden, oikeuksien ja oikeusturvan varmistamista. Se on henkilötietojen oikeaoppista käsittelyä ja niiden suojaamista luvattomalta käytöltä. 6
Tietosuoja vs. Tietoturva Tietosuoja <->Tietoturva Tietoturvalla mahdollistetaan tietosuojan toteutumista (palomuurit, virustorjunta, tietojen kryptaus..) Henkilötietojen suojattu ja turvattu käsittely perustuu pitkälti tietoturvan eriosa-alueiden toteutumiseen. Toiminnan jatkuvuudesta tietojen ja palveluiden saatavuudesta, eheydestä ja luottamuksellisuudesta huolehtiminen on perusedellytys myös tietosuojan toteutumiselle. Tietosuojaloukkauksen kohdatessa on pystyttävä osoittamaan, että organisaatiolla on toimivat prosessit tietoturvallisuuden ja tietoturvallisuuden toteuttamiseksi. Ei siis riitä, että meiltä löytyy tarvittavat prosessit, vaan ne tulee olla dokumentoitu jotta voidaan täyttää EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuus. 7
Henkilötieto ja henkilötiedon käsittely (4 artikla) Henkilötiedolla tarkoitetaan kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Henkilötiedon määritelmä kattaa myös henkilön itsensä lisäksi myös hänen perheen jäsenet tai hänen kanssaan yhteisessä taloudessa elävät henkilöt. Toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. 8
Erityiset henkilötietoryhmät (9 artikla) Sellainen tieto, josta ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Näiden käsittely on pääsääntöisesti kiellettyä, ellei sitä ole erikseen sallittu. Näitä tietoja koskee lakisääteinen salassapitovelvoite. Vastaa lähestulkoon identtisesti tämän hetkisessä henkilötietolaissa arkaluonteiset henkilötiedot määritelmää. 9
Yleistä asetuksesta Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Sovelletaan niin yksityisellä kuin julkisella sektorilla. Ei sovelleta luonnollisten henkilöiden yksinomaan henkilökohtaiseen tai kotitaloutta koskevaan toimintaan. Sanktioitavaa (hallinnollinen sakko max. 20 000 000 tai yrityksissä 4% edeltävän tilikauden kokonaisliikevaihdosta sen mukaan kumpi näistä on suurempi) 10
Termien määritelmät (4 artikla) Rekisterinpitäjä: Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Henkilötietojen käsittelijä: Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Rekisteri: Mikä tahansa jäsenneltyjä henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Rekisteröity: Henkilö, jonka tietoja rekisteriin on tallennettu. Pseudonymisointi: pseudonymisoimisella henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu. Anonymisointi: anonyymit tiedot, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. 11
Accountability - Osoitusvelvollisuus Edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. Ei riitä, että noudatamme lakia, vaan se on myös pystyttävä näyttämään toteen! Osana osoitusvelvollisuutta on huolehdittava henkilöstön koulutuksesta, jotta voidaan varmistua henkilötietojen oikeaoppisesta ja turvallisesta käsittelystä. Edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia Dokumentaatio, dokumentaatio, dokumentaatio! 12
Käsittelyn oikeusperusteet Käsittelyn lainmukaisuus 6 artikla Yksiselitteinen suostumus yhtä tai useampaa käyttötarkoitusta varten selkeästi suostumusta ilmaiseva toimi suostumuksen peruuttamisen oltava yhtä helppoa kuin antamisen Sopimus Rekisterinpitäjän lakisääteiset velvoitteet Rekisteröidyn elintärkeä etu Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta Rekisterinpitäjän tai sivullisen oikeutettu etu 13
Henkilötietojen käsittelyä koskevat periaatteet (5 artikla) Käsittelyn oltava lainmukaista, asianmukaista ja rekisteröidyn kannalta läpinäkyvää (lainmukaisuus, kohtuullisuus ja läpinäkyvyys) Henkilötietoja kerättävä vain tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käyttää myöhemmin muihin käyttötarkoituksiin (käyttötarkoitussidonnaisuus) Henkilötietojen oltava täsmällisiä ja tarvittaessa päivitettyjä (täsmällisyys) Ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojen käsittelyn tarkoituksen toteuttamista varten (säilytyksen rajoittaminen) Niitä on käsiteltävä tavalla, jolla varmistetaan tietojen asianmukainen turvallisuus, suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta hävittämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen teknisiä ja organisatorisia toimia (eheys ja luottamuksellisuus) 14
Rekisteröidyn oikeudet Oikeus tulla informoiduksi Oikeus tietää mitä tietoa kerätään, miten kerään ja mitä käyttötarkoitusta varten Oikeus tulla informoiduksi tietoturvaloukkauksesta jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin Tarkastusoikeus Rekisteröidyllä on oikeus saada tietoonsa mitä tietoja hänestä on tallennettu Rekisteröidyn mahdollisuus valvoa ja vaikuttaa omien henkilötietojen käsittelyyn paranee asetuksen myötä. Jotta rekisteröity voi käyttää oikeuksiaan, hänen tulee tietää, kuka ja mitä tietoja hänestä käsitellään. Oikeus saada tiedot selkeässä ja helposti ymmärrettävässä muodossa Oikeus tietojen oikaisemiseen Rekisteröidyllä on oikeus saada virheelliset tiedot korjatuksi pyynnöstä Oikeus tietojen poistamiseen Right to be forgotten Huomioitava erityislainsäädäntö ja lakisääteisten tehtävien erityisasema! Oikeus siirtää tiedot järjestelmästä toiseen Sovelletaan, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti Oikeus olla joutumatta automatisoidusti tehdyn päätöksen kohteeksi Sovelletaan päätökseen, jolla on rekisteröityä koskevia oikeusvaikutuksia tai vaikuttaa häneen vastaavalla tavalla merkittävästi Oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö sekä oikeus esittää kantansa ja riitauttaa päätös Vastustamisoikeus Käsittelyn oikeusperusteena on yleistä etua koskevan tehtävän suorittamiseksi/rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen oikeutetun etujen toteuttaminen Suoramarkkinoinnin osalta on absoluuttinen vastustamisoikeus (kuten tälläkin hetkellä) Oikeuden toteuttaminen ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin 15
Rekisterinpitäjän velvollisuudet Riskipohjainen lähestymistapa Pitää pystyä määrittelemään ja kartoittamaan henkilötietojen käsittelyyn kohdistuvat riskit Osoitusvelvollisuus Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet Dokumentaation merkitys suuri Sisäänrakennettu ja oletusarvoinen tietosuoja varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja Seloste käsittelytoimista, tietosuojaselosteet ja asiakkaan informointi Yhteistyö valvontaviranomaisen kanssa Velvollisuus ilmoittaa tietoturvaloukkauksesta Organisaation sisäinen tiedonkulun organisointi tietoturvaloukkausten ilmoittamiseksi Tietosuojaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Rekisteröidylle ilman aiheetonta viivytystä Vahingosta tulee uskaltaa kertoa organisaatiossa!-> Avoimuuden ilmapiiri Tietosuojavastaavan nimittäminen julkisella sektorilla aina pakollinen, yksityisellä tietyin osin on poikkeuksia. Vastuuta ei voi ulkoistaa, vaikka tietojen käsittelyn voi. 16
Mikä muuttuu? Vaatimuksenmukaisuudesta (Lainsäädännön noudattaminen) -> Osoitusvelvollisuuteen (lainsäädännön noudattamisen osoittaminen) Henkilötietojen käsittelyyn liittyvät oikeudet päivitetty digitaaliselle aikakaudelle Näkökulma asiakaslähtöiseksi Laajemmat oikeudet rekisteröidyille Läpinäkyvyyden ja avoimuuden lisääminen Rekisteröityjen mahdollisuudet valvoa ja vaikuttaa omienhenkilötietojen käsittelyyn paranevat. Jotta rekisteröity voi käyttää oikeuksiaan, hänen tulee tietää, kuka ja mitä tietoja hänestä käsitellään Riskiperusteinen lähestymistapa Nimettävä tietosuojavastaava Velvollisuus ilmoittaa tietoturvaloukkauksista Tietosuojaviranomaisille Rekisteröidylle Sanktioitavaa 17
Kuinka tietosuoja tulisi ottaa huomioon työskentelyssä? Suurin osa tietosuojapoikkeamista tapahtuu inhimillisen virheen seurauksena, joten: Tunnista mitkä työtehtäväsi sisältävät henkilötietojen käsittelyä Ole aina huolellinen käsitellessäsi henkilötietoja Kysy ellet tiedä! Ilmoita epäilyttävistä asioista Älä lörpöttele! 18
MMKT -malli M Mitä tietoja käsittelet? Luokittele käsittelemäsi tiedot, esimerkiksi julkinen/salassa pidettävä tieto tai jos ovat henkilötietoja, henkilötieto/arkaluonteinen henkilötieto. M Millä välineillä ja missä tietoja käsittelet. Varmista oikeat työkalut ja palvelut sekä työskentely-ympäristön turvallisuus. Tähän vaikuttaa edellinen käsiteltävien tietojen luokittelu. Henkilötiedot ja salassa pidettävät tiedot edellyttävät suurempaa huolellisuutta ja työkaluja kuin julkinen tieto. K Kenelle tietoja luovutetaan tai näytetään? Onhan vastaanottajalla oikeus saada tiedot? T Tarkista, että olet huomioinut edellä olevat seikat ennen kuin toimit esimerkiksi lähetät sähköpostia, jaat tietoa nettiin tai tallennat tiedostoja verkkopalveluun. (JUHTA-yhteishanke) 19
Toimintatavat ja käytännöt Tiloissa, joissa asiakkailla mahdollisuus päästä kulkemaan ei keskustella asiakkaiden tilanteesta. Kiinnitettävä huomiota asiakkaasta tehtyjen kirjausten asiallisuuteen, informatiivisuuteen ja tietojen oikeellisuuteen. Yhteisiltä tulostimilta haettava heti omat tulosteet pois. Henkilötietoja sisältävät ns. omat työlistat Säilytettävä asiallisesti ja turvallisuus huomioiden Hävitettävä kun ei ole enää tarpeen työnkannalta (ei saa jättää lojumaan koneelle/mappeihin/pöydille) Kiinnitettävä huomiota mitä asiakirjoja työpöydällä on. Asiakas saattaa kuvata/nauhoittaa salaa tapaamisella tilannetta ja esillä olevat tiedot vuotaa helposti tätäkin kautta eteenpäin. Näytön asetteluun kiinnitettävä huomiota, jottei asiakkaat näe toisten tietoja näytöltä (suojakalvot suositeltavia). Huomioitavaa on, että te olette merkittävässä roolissa turvaamassa tietosuojan toteutumista! 20
Linkit Tietosuojaa henkilötietoja käsitteleville: https://vimeo.com/250133179/9dc258be2e Johdon ja esimiesten tietosuojakoulutusvideo: https://vimeo.com/234313084/f874f6b947 Tietosuoja julkisissa hankinnoissa (tietosuojaliite): https://www.hansel.fi/media/filer_public/1d/2c/1d2c32ab-bb9a-49c0-b75c-da64871d1df9/tietosuojaohje.pdf http://vm.fi/documents/10623/4914009/tietoturvan_ja_tietosuojan_tarkastuslista_2510_2017.pdf/bd61765 c-42e7-489f-a7a1-9549fe5ebde2/tietoturvan_ja_tietosuojan_tarkastuslista_2510_2017.pdf.pdf Asetus: http://eur-lex.europa.eu/legalcontent/fi/txt/?uri=uriserv:oj.l_.2016.119.01.0001.01.fin&toc=oj:l:2016:119:full Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ 1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf JUHTA -työpajamateriaalit: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit Tietosuojavaltuutetun toimiston ohjeistusta: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle.html 21
KIITOS! Yhteydenotot tietosuojakysymyksissä: sanni.harju@ely-keskus.fi 22