EU:n tietosuoja-asetus (GDPR) Autoliiton liittokokous 19.5.2018 Aleksi Nieminen HR Legal Services Oy
Sisältö Tietosuoja-asetus taustat ja vaikutukset Keskeiset käsitteet ja roolit Henkilötietojen käsittely tietosuoja-asetuksen mukaisesti Rekisteröityjen oikeudet Tietoturvaloukkaukset ja yleisimmät tietosuojariskit
Tietosuoja-asetuksen taustasta EU:n yleinen tietosuoja-asetus on tullut. Tietosuoja-asetus on jo voimassa. Sitä sovelletaan 25.5.2018 alkaen. Ensisijaisena tavoitteena tietosuojalakien harmonisointi koko EU:ssa. Tavoitteena sähköisten palveluiden luottamuksen parantaminen, oma data palveluiden (easiointi, My Car My Data palvelut) yleistyminen sekä digitaalitalouden kehittäminen.
Tietosuoja-asetus lyhyesti Asetus koskee luonnollisten henkilöiden henkilötietojen (esim. nimi, puhelinnumero, jäsennumero, sähköpostiosoite, ajoneuvon rekisterinumero) suojaa. Se asettaa velvollisuuksia tahoille, jotka keräävät, tallentavat tai muutoin käsittelevät henkilötietoja. Asetuksen velvoitteiden noudattamatta jättäminen on sanktioitu. Tietosuoja-asetuksessa jonkin verran liikkumavaraa jäsenvaltiot voivat tiettyjä kohtia täsmentää erityislainsäädännöllä. Esim. työelämän tietosuojalaki.
Tietosuoja-asetus lyhyesti Asetus koskee henkilötietojen käsittelyä eli kaikkea toimintaa, jota kohdistetaan henkilötietoihin (tallentaminen, kerääminen, luovuttaminen, siirtäminen, ym.). Tietosuoja-asetus ei koske tietoja jotka koskevat pelkästään oikeushenkilöiden (yritykset, säätiöt, yhdistykset) tietoja (Esim. Autoliitto ry, y-tunnus, Hämeentie 105 A Helsinki, autoliitto@autoliitto.fi). Tietosuoja-asetus ei koske yksityishenkilön henkilökohtaista tai kotitaloutta koskevaa toimintaa.
Tietosuoja-asetuksen vaikutukset Korostettu vastuu henkilötietojen käsittelyssä sanktioiden uhalla Lainsäädäntö teknologiariippumatonta Henkilötietojen käsittelyn nykyiset periaatteet säilyvät valtaosin Tunnettava omat prosessit, joissa henkilötietoja käsitellään Huomioitava roolit (rekisterinpitäjä/käsittelijä) Arvioitava henkilötietojen käsittelyyn liittyviä riskejä ja niiden vaikutuksia Dokumentoitava toimintaa ja sen lainmukaisuutta Tiedotettava rekisteröidyille tarkemmin Oltava valmiudet rekisteröityjen oikeuksista huolehtimiseen Resursoitava, ohjeistettava, valmennettava Henkilötietojen käsittelyn ulkoistamistilanteet hoidettava asetuksen mukaisesti (tietoturva, toimeksiantosopimus jne.) Tietosuojatyö on jatkuvaa toimintaa!
Tietosuojaa koskevat käsitteet ja roolit
Keskeiset käsitteet: Mikä on henkilötieto? Mitä henkilörekistereitä Autoliitolla on? Kuka on rekisteröity? Roolit Rekisterinpitäjä? Käsittelijä? Yhteisrekisterinpitäjät?
Henkilötiedon käsite Jos pystyt yhdistämään tiedon henkilöön nähtyäsi hieman vaivaa asian eteen se on henkilötietoa
Mikä on henkilötieto? Yhdistäminen Suorat henkilötiedot Epäsuorat henkilötiedot 19.5.2018 - Aleksi Nieminen - Kuvat:
Mikä on henkilörekisteri? Kuka on rekisterinpitäjä? Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn: Joka on automaattista tai manuaalista kun henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa Tietojoukon käyttötarkoitus yksilöi henkilörekisterin. Kun on olemassa henkilörekisteri, on aina olemassa rekisterinpitäjä. Rekisterinpitäjä on se joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
Esimerkkejä Autoliiton henkilörekistereistä Jäsenrekisterit Yhdistyksenjäsenrekisteri Moottorilehden tilausrekisteri + muu jäsenmarkkinointi Tapahtuma- ja koulutusosallistumiset Tie- ja matkanjatkamispalvelut Asiakasrekisteri Kumppani / palveluntuottajarekisteri AL-kauppa Työsuhde- ja palkanlaskentarekisterit Jaottelun merkitys on lähinnä työnjaollinen. Käyttötarkoitus yksilöi rekisterin.
Roolit 1/2 Rekisterinpitäjä Määrittelee sen miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään. Kerää ja käsittelee henkilötietoja jäsenluettelon ylläpitämiseksi. Kerää ja käsittelee henkilötietoja tiepalveluiden toteuttamiseksi. Määräsisältöinen tietojenkäsittelysopimus. Rekisterinpitäjän oikeudet / velvollisuudet. Käsittelijän oikeudet / velvollisuudet. Käsittelyn tietoturva. Rekisteröidyt: Jäsenet Autoliiton ulkoinen palvelun tarjoaja (Käsittelijä) Toimii Autoliiton lukuun ja toimeksiannosta käsitellessään jäsenten henkilötietoja. Esim. Jäsenrekisterin hallinnassa käytettävän tietojärjestelmän toimittaja. Esim. hinauspalveluyrittäjät kun toteuttavat tiepalveluita jäsenille.
Roolit 2/2 Autoliitto ry (Rekisterinpitäjä) Rekisteröidyt: Jäsenet Yhteisrekisterinpitäjät Autoliiton X osasto ry (Rekisterinpitäjä) Yhteisrekisterinpitäjät: Molemmat määrittelevät miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään. Molemmat vastaavat jäsenten henkilötietojen käsittelystä omassa toiminnassaan.
Rekisterinpitäjän vastuut ja velvollisuudet henkilötietojen käsittelyssä? Osoitusvelvollisuus
Käsittelyn yleisperiaatteet Huolellisuus Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla Tarpeellisuus Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi) Virheettömyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys) Säilytysaika Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen) Tietoturvallisuus Tietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys ja luottamuksellisuus)
Henkilötietojen elinkaari sekä käsittelyn periaatteet ja velvollisuudet Käsittelyn lainmukaisuus (oikeusperusteet) Riskiarvioit (+ vaikutustenarvioinnit tietyissä tilanteissa) Suunnittelu Tietojen poistaminen/arkistointi Käsittelyn päättyminen Rekisteröidyn oikeudet Kerääminen Käyttötarkoitussidonnaisuus Informointivelvollisuus Tarpeellisuusvaatimus (tietojen minimointi) Henkilötietojen käsittelijän velvollisuudet Toimeksiantosopimus Tietoturvallisuus Siirrot ja luovutukset Ylläpito ja säilytys Virheettömyysvaatimus (täsmällisyys) Tietoturvallisuus Säilytysaika (säilytyksen rajoittaminen)
Rekisterinpitäjän vastuut pähkinänkuoressa Autoliitto ja Autoliiton osastot rekisterinpitäjinä vastaavat: Henkilötietojen käsittelyn lainmukaisuudesta ja osoitusvelvollisuuden täyttämisestä. Rekisteröidyn oikeuksien toteuttamisesta. Tietoturvallisesta henkilötietojen käsittelystä. Siitä, että käytetyt palveluntarjoajat (käsittelijät) käsittelevät henkilötietoja turvallisesti.
Ajankohtaista: Sopimus yhteisrekisterinpidosta + tietosuojaselostemalli Autoliitto ja Autoliiton osastot yhteisrekisterinpitäjiä suhteessa yhteisiin jäseniinsä (tietosuoja-asetuksen 26 artikla) Yhteisrekisterinpitäjien syytä sopia erityisesti seuraavista seikoista: Mitä tietoja yhteisrekisterinpito koskee Tietoturvallisesta henkilötietojen käsittelystä Rekisteröityjen oikeuksien toteuttamisesta (mukaan lukien informoinnista) Autoliiton ja osastojen molempien huolehdittava rekisteröityjen informoinnista oman toimintansa osalta Tietosuojaselostemalli
Rekisteröityjen oikeudet vahvistuvat
Rekisteröityjen oikeudet Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä (mm. tietosuojaseloste) Huom! Informointi toteutettava kun henkilötiedot kerätään Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen / korjaamiseen Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ). Oikeus käsittelyn rajoittamiseen. Oikeus siirtää tiedot järjestelmästä toiseen. Kun käsittely perustuu suostumukseen tai sopimukseen Jäsennelty ja koneluettava muoto Vastustamisoikeus Automatisoidut päätökset, profilointi mukaan luettuna + suoramarkkinointi Oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa. Rekisteröidyn omiin oikeuksiinsa liittyvään pyyntöön reagoitava 1 kk kuluessa
Tietoturvaloukkaukset ja yleisimmät tietosuojariskit
Yleisten tietosuojariskien osalta huomioitava: Kenellä on pääsy tietoihin? Lukitaanko työpisteet ja toimitilat kun niitä ei valvota? Missä tietoja säilytetään? (tietojärjestelmät / manuaali arkistot) Osataanko tuhota tiedot kaikista mahdollisista paikoista säilytysajan päättymisen jälkeen? Onko tietojärjestelmien käyttöoikeuksia voimassa, vaikka ei pitäisi? Jos tietoja säilytetään tietojärjestelmissä, onko tietojen käytettävyys varmistettu vikojen tai hyökkäysten varalta? (esim. varmuuskopiointi) Säilytetäänkö manuaali arkistoja lukituissa tiloissa? Säilytetäänkö tietoja muistitikuilla? Onko muistitikkujen tiedostot muistettu lukita? Onko pääsy järjestelmiin suojattu salasanoilla? Onko salasanojen ja käyttäjätunnusten käsittelystä muodostettu ohjeistukset? Eihän tietoja säilytetä pilvipalveluissa joiden kanssa ei ole virallista sopimusta (esim. dropbox tai trello)?
Tietoturvaloukkauksista Tietoturvaloukkaus tarkoittaa henkilötietojen vahingossa tapahtuvaa tai lainvastaista tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka pääsyä henkilötietoihin. Esim. inhimillinen erehdys, tekninen vika, haittaohjelma tai palvelunestohyökkäys. Seuraukset: Taloudelliset tai sosiaaliset vahingot rekisteröidyille, mainevahinko, tietosuoja sanktiot (viranomainen, rekisteröidyt)
Tietoturvaloukkauksista Rekisterinpitäjän tulee ilmoittaa valvontaviranomaiselle (ja rekisteröidylle) tietoturvaloukkauksesta: Viranomaiselle ilman aiheetonta viivytystä (heti kun tiedossa) väh. 72 tunnin sisällä. Rekisteröidyille viipymättä, jos tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle (aineettomat ja aineelliset riskit). Ilmoituksessa kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia haittavaikutusten lieventämiselle