Miten tietosuoja-asetus vaikuttaa käytännössä?

Samankaltaiset tiedostot
Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Haminan tietosuojapolitiikka

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietoturva yhdistyksessä

Kolarin kunnan tietosuojapolitiikka

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojavaltuutetun toimiston tietoisku

Teknologia avusteiset palvelutverkostopalaveri

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU:n tietosuoja-asetus (GDPR)

Tietosuoja-asetus (GDPR)

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tutkittavan informointi ja suostumus

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

1. Yleiset Periaatteet

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

EU:N TIETOSUOJA-ASETUKSET WALMU

Eläketurvakeskuksen tietosuojapolitiikka

EU:n tietosuoja-asetus Matti Sarmela

Organisaatioluvan hakeminen

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Salon kaupunki , 1820/ /2018

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Mikä GDPR? General Data Protection Regulation

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Työelämän tietosuojalaki Johanna Ylitepsa

Varustekorttirekisteri - Tietosuojaseloste

TIETOSUOJAPOLITIIKKA

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

EU:n tietosuoja-asetus 2016

Ulvilan kaupungin tietosuojapolitiikka

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietosuoja-asetus ja sen kansallinen implementointi

EU TIETOSUOJA- ASETUS

GDPR Tietosuoja-asetus

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Politiikka: Tietosuoja Sivu 1/5

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Informaatiovelvoite ja tietosuojaperiaate

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Termit. Tietosuojaseloste

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

MITÄ OPETTAJAN TULEE TIETÄÄ TIETOSUOJA-ASETUKSESTA?

Tietosuojaseloste Espoon kaupunki

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Henkilötietolain uudistus

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Vaikutustenarviointi GDPR:n mukaan

Tiedon elinkaaren hallinta Henkilötietojen suoja

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Itsemääräämisoikeus ja yksityisyydensuoja

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Tietosuojaseloste 1 (6)

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

EU:n tietosuoja-asetus

EU:n tietosuoja-asetus palokuntien kannalta

Transkriptio:

Miten tietosuoja-asetus vaikuttaa käytännössä? Erityisasiantuntijat Ulla Tirronen ja Tuuli Tarukannel, Hallintoakatemia Ulla.tirronen@hallintoakatemia.fi ja tuuli.tarukannel@hallintoakatemia.fi

Ohjelma Miten tietosuoja-asetus vaikuttaa käytännössä? Koulutuksessa perehdytään tietosuoja-asetuksen tuomiin uudistuksiin kunnissa ja miten uudistukseen olisi hyvä varautua ennen kuin asetus tulee voimaan toukokuussa 2018. 9.30 Julkisuusasiat muutoksessa ja EU:n tietosuoja-asetus Aikataulu ja suurimmat muutokset Rekisteröidyn oikeudet sekä rekisterinpitäjien ja käsittelijöiden velvollisuudet Ulla Tirronen 10.15 Tietojen käsittelyn periaatteet Henkilötiedot ja niiden käsittely Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely Miten kunnassa pitää varautua EU:n tietosuoja-asetukseen toukokuuhun mennessä? Tuuli Tarukannel 11.00 Koulutus päättyy 2

Julkisuusasiat muutoksessa ja EU:n tietosuoja-asetus Aikataulu, suurimmat muutokset

Mitä EU:n tietosuoja-asetus koskee? EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä ja yhdenmukaistaa eurooppalaista tietosuojasääntelyä. Koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Asetuksella laaja soveltamisala sekä julkisella että yksityisellä sektorilla. Asetuksen tavoitteena on selkeyttää ja täydentää nykyisiä tietosuojalainsäädäntöä sekä tuoda myös kokonaan uusia elementtejä tietosuojakäytäntöihin. 4

Aikataulu 5 Tietosuoja-asetus tulee voimaan kahden vuoden siirtymäajan jälkeen (toukokuussa 2016 asetus voimaan, sovelletaan kansallisesti 25.5.2018). Asetus sisältää erityisesti julkisen sektorinosalta paljon kansallista liikkumavaraa. Asetuksen puitteissa on mahdollista antaa kansallista lainsa a da nto a, jolla tarkennetaan asetuksen sa a nno ksia. Lisa ksi kansallisella lainsa a da nno lla on jossain ma a rin mahdollista myo s poiketa asetuksen velvoitteista. Tilanne kansallisesti: - henkilötietolaki kumotaan ja säädetään uusi henkilötietojen suojaa koskeva yleislaki, tietosuojalaki, jolla täsmennetään ja täydennetään yleistä tietosuojaasetusta. - Tietosuojalaki ja muut lainmuutokset ehdotetaan tuleviksi voimaan 25.5.2018 sen jälkeen muutettavaa muussa lainsäädännössä - Yksityiskohdat hioutuvat tulevassa oikeuskäytännössä HE tietosuojalaiksi tullut nyt maaliskuussa: https://www.eduskunta.fi/fi/vaski/hallituksenesitys/sivut/he_9+2018.aspx sen

Mikä tietosuoja-ajattelussa muuttuu? Tietosuoja-asetus: - päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan - vahvistaa ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoittaa henkilötietojen kansainvälisiä siirtoja - antaa ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan - helpottaa tiedonsaantia omien henkilötietojen käsittelystä - siirrytään rekisterinpidosta henkilötietojen käsittelyyn - otetaan aidosti toimijoiden vastuut prosessin eri vaiheista - integroidaan henkilötietojen suoja kaikkeen toimintaan Tarkoituksena varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään - myös EU:n ulkopuolella, kuten internetissä 6

Suurimmat muutokset Monet asetukseen sisältyvät velvoitteet sisältyvät jo nykyisin Suomen henkilötietolakiin. Henkilötietojen käsittelyyn tulee uusia vaatimuksia kunnissa, yrityksissä ja muissa organisaatioissa. Rekisteröidyille uusia oikeuksia ja rekisterinpitäjille sekä myös henkilötietoja käsitteleville uusia velvollisuuksia. Rekisterinpitäjän näkökulmasta teknisten vaatimusten toteutus voi aiheuttaa kustannuksia. Tietosuojan tasoa pitää nostaa ja tietosuojaan kiinnittää entistä enemmän huomiota johtamisessa (vastuunäkökulma), resursoinnissa ja organisaatiotason ratkaisuissa. Mahdollisuus sakkoihin/sanktioihin: huom. ei todennäköisesti tule koskemaan kuntia (HE) 7

Uusi käsite: käsittelijä Uusi tietosuoja-asetus tuo myös uuden käsitteen: henkilötietojen käsittelijä. Henkilötietojen käsittelijä = Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Velvollisuuksia myös suoraan henkilötietojen käsittelijälle-> selkiyttää rekisterinpitäjän ja käsittelijän välistä sääntelyä sekä osoittaa velvollisuuksia myössuoraan käsittelijälle. Rekisterinpitäjä on oikeutettu ulkoistamaan valitsemansa osan henkilötietojen käsittelystä toimeksisaajalle, henkilötietojen käsittelijälle. Rekisterinpitäjän velvollisuuksiin kuuluu valita vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Rekisterinpitäjän ja henkilötietojen käsittelijän välillä on oltava sopimus (mieluiten kirjallinen) Sopimuksessa tulee määritellä henkilötietojen käsittelyn kohde, tarkoitus ja kesto sekä sopia käsiteltävät henkilötiedot. 8

Muutoksessa Asetuksessa on periaatteita henkilötietojen käsittelystä sekä siitä, milloin henkilötietojen käsittely on sallittu. Henkilötietojen käsittely on sallittu mm. rekisteröidyn suostumuksella, laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkista valtaa käytettäessä. Myös erityisiin tietoryhmiin kuuluvien tietojen käsittelystä on omia säännöksiä (esim. vaikutusten arviointi tehtävä tietyissä tilanteissa) Suostumukselle on asetettu asetuksessa osittain tiukemmat edellytykset Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti 9

Suurimmat muutokset Periaatetason muutos: Toimitaan lainmukaisesti MUUTTUU Voidaan osoittaa ja todentaa, etta on toimittu lainmukaisesti jokaisen ka sittelytoimen osalta Ns. osoittamisvelvollisuus 10

Rekisteröidyn oikeudet sekä rekisterinpitäjien ja käsittelijöiden velvollisuudet

12 Suurimmat muutokset

Rekisteröidyn oikeudet: henkilötietojen käsittelystä ilmoittaminen Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Asetuksen mukaan tieto toimenpiteistä, joihin rekisteröidyn pyynnön johdosta on ryhdytty, tulee antaa ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tietyin edellytyksin jatkaa. Kuukauden määräaika on myös rekisterinpitäjän velvollisuudessa ilmoittaa rekisteröidylle syy siihen, miksi rekisterinpitäjä ei aio toteuttaa rekisteröidyn pyytämiä toimenpiteitä. -> rekisterinpitäjän on kerrottava rekisteröidylle tämän käytettävissä olevista oikeussuojakeinoista, kuten oikeudesta tehdä valitus valvontaviranomaiselle. Rekisteröidyn pyynnön perusteella toimitetut tiedot ja rekisterinpitäjän toimet rekisterinpitäjän oikeuksien toteuttamiseksi ovat lähtökohtaisesti maksuttomia. 13

Suurimmat muutokset Vain tietyissä tilanteissa! 14

Rekisterinpitäjän velvollisuudet Rekisterinpitäjän velvollisuuksiin kuuluu helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidyille antamia oikeuksia. --> Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista. Esimerkiksi: Ongelmatilanteissa rekisterinpitäjällä on velvoite viivytyksettä ilmoittaa ongelmista sekä rekisteröidyille että viranomaisille. Rekisterinpitäjällä on myös tietyissä tilanteissa velvollisuus dokumentoida henkilötietojen käsittelyyn liittyvät toimet, laatia tietosuojan vaikutustenarviointeja tai pyytää ennakkolupa henkilötietojen käsittelylle. 15

Riskienhallinta ja tietoturva mikä on rekisterinpitäjän vastuulla? Mitä on rekisterinpitäjän vastuulla? Velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä riskienhallinnan ja tietoturvan näkökulmasta. Pitää pystyä osoittamaan, että käsittelytoimet ovat asetuksen mukaisia. Aina viime kädessä vastuussa. Käsittelijöistä: Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilo tietojen ka sittelijo ita, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää asetuksen vaatimukset. 16

EU tietosuoja-asetus Tuuli Tarukannel

Huomioitavaa miksi tähän kiinnitetään niin paljon huomiota? Yksityisyydensuoja ja henkilötietojen suoja on jokaisen perusoikeus Henkilötietojen käsittelyn tulee perustua lakiin, henkilön suostumukseen, asiakkuuteen Henkilötietoja ei voi käsitellä turhaan, huvikseen, huolettomasti Tietosuoja saattaa pettää eri syistä: vahingossa, huolimattomuutta, tietomurron takia Mitä nämä tapaukset ovat: laiton henkilötietojen käsittely, tietoja on kerätty väärin, tietoihin on päässyt käsiksi väärä henkilö, tietoja on käsitelty huolimattomasti, tietoja on luovutettu väärin Johdolla on vastuu asetuksen asettumisesta organisaatioon oikein, mutta jokaisella on vastuu omasta toiminnastaan Käsittelemme henkilötietoja jatkuvasti! 18

Henkilötietojen käsittely Nykyinen henkilötietolaki: - Tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä. - Edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. henkilötieto tarkoittaa kaikenlaisia luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi henkilötietojen käsittely tarkoittaa henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista ja tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä 19

Tiedon elinkaaren hallinta Henkilötietojen elinkaaren määrittäminen kuuluu myös olennaisena osana uuden EUtietosuoja-asetuksen käytäntöön viemiseen... Elinkaarella tarkoitetaan kaikkea henkilötietojen käsittelyä suunnittelusta ja keräämisestä niiden anonymisointiin tai poistoon. Asetus velvoittaa rekisterinpitäjää huolehtimaan tietoturvallisuudesta koko henkilötietojen elinkaaren ajan. Esimerkki henkilötiedon elinkaaresta: Suunnittelu - Suostumus Kerääminen Käsittely Luovutus Arkistointi Anonymisointi/poisto 20

Arkaluonteinen henkilötieto? Arkaluonteinen henkilötieto = erityisiin henkilötietoryhmiin kuuluva tieto Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, jos asetuksessa erikseen mainittu peruste täyttyy. Erityisiä tietoja saa käsitellä mm. nimenomaisen suostumuksen perusteella, henkilön elintärkeiden etujen suojaamiseksi tai jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä lainsäädännön nojalla. Tuleekin olla erityisen huolellinen. Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat: rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset tai biometriset tiedot, jotka on kerätty henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot, seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot 21

Esimerkkiä näistä tiedoista antaa Tietosuojavaltuutetun oppaan mukaan seuraavat ovat tietoja, joista mm. voi joutua tekemään riskiarvioinnin: Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot: niihin kuuluvat 9 artiklassa määritellyt erityiset henkilötietoryhmät - esimerkiksi tiedot henkilöiden poliittisista mielipiteistä - rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot, jotka määritellään 10 artiklassa - potilastiedostoja ylläpitävä yleinen sairaala - Näiden yleisen tietosuoja-asetuksen säännösten kattamien tietoryhmien lisäksi eräiden muiden tietoryhmien voidaan katsoa lisäävän mahdollista luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvää riskiä: - kotitaloutta koskevaan ja yksityiseen toimintaan: esimerkiksi sähköinen viestintä, jonka luottamuksellisuus olisi suojattava tai koska ne vaikuttavat perusoikeuden käyttämiseen - esimerkiksi paikannustiedot, joiden kerääminen kyseenalaistaa vapaan liikkuvuuden tai koska niiden loukkaamiseen liittyy selvästi rekisteröidyn arkeen kohdistuvia vakavia vaikutuksia (esimerkiksi taloudelliset tiedot, joita saatetaan käyttää maksuvälinepetoksiin). - Tässä yhteydessä voi olla merkitystä sillä, onko rekisteröity itse tai jokin kolmas osapuoli jo saattanut tiedot yleisesti saataville. Se, että henkilötiedot ovat yleisesti saatavilla, voidaan katsoa arvioinnin kannalta olennaiseksi, jos tietoja on odotettu käytettävän jatkossa tiettyihin tarkoituksiin. Tähän kriteeriin voi kuulua myös henkilökohtaisia asiakirjoja, kuten sähköposteja, päiväkirjoja, muistiinpanotoiminnolla varustetun e-kirjan lukulaitteen muistiinpanoja ja henkilökohtaisen elämän tallentamiseen tarkoitettujen lifeloggingsovellusten hyvin henkilökohtaisia tietoja. 22 Lähde. Tietosuojavaltuutetun opas vaikutusarvioinnista 4/2017)

Muut henkilötiedot On myös suuri määrä muita tietoja, jotka ovat tietoina henkilötietoja, mutta eivät kuitenkaan arkaluonteisia/erityisiin henkilötietoryhmiin kuuluvia eli sinällään julkisia. Henkilötietoja ovat esimerkiksi nimi, ikä, sukupuoli, ammatti, koulutus, henkilötunnus, tiettyä henkilöä koskevat kuvat, sähköpostiosoite, asuinpaikka jne. Henkilötiedon nykyinen määritelmä on: henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Jos käytettävissä olevat tunnisteet eivät lähtökohtaisesti mahdollista henkilön tunnistamista, henkilö saattaa silti olla tunnistettavissa, koska tieto yhdistettynä muihin tietoihin mahdollistaa henkilön erottamisen muista. Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. 23

Mitä meidän tulee suojata? Jokaisella on oikeus lakisääteiseen yksilönsuojaan tietojenkäsittelyssä: jokaisella on oikeus saada henkilötiedoilleen riittävä suoja. Perustuslakia koskeva hallituksen esitys kuvaa tätä näin: Yksilo lla on oikeus ela a omaa ela ma a nsa ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista ha nen yksityisela ma a nsa. Yksityisela ma n piirin tarkka ma a ritteleminen on vaikeaa. Siihen kuuluu muun muassa yksilo n oikeus vapaasti solmia ja ylla pita a suhteita muihin ihmisiin ja ympa risto o n seka oikeus ma a ra ta itsesta a n ja ruumiistaan. -> henkilo tietojen suojasta sa a deta a n lailla. Lailla pita a turvata yksilo n oikeusturva ja yksityisyyden suoja henkilo tietojen ka sittelyssa, rekistero innissa ja ka ytta misessa. Yksityiselämän piiriin ja käsitteeseen kuuluvat myös henkilötietojen suoja ja tietosuoja. 24

Mikä merkitys henkilötietojen käsittelyn periaatteilla on? Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan henkilötietojen käsittelyssä kaikissa henkilötietojen käsittelyn vaiheissa. Jatkossa rekisterinpitäjän on pystyttävä myös selkeästi osoittamaan, että periaatteita noudatetaan. Henkilötietojen käsittelyä koskevat periaatteet ohjaavat rekisterinpitäjää, jotta henkilötietojen käsittelyssä otetaan huomioon rekisteröidyn oikeudet ja vapaudet. NYT: tulee arvioida, mitä periaatteet käytännössä omassa organisaatiossa tarkoittavat, miten ne toteutuvat omassa toiminnassa. Tulee myös suunnitella ja dokumentoida aiempaa tarkemmin. Tietosuojaperiaatteita ovat: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi tietojen täsmällisyys tietojen säilytyksen rajoittaminen tietojen eheys ja luottamuksellisuus rekisterinpitäjän osoitusvelvollisuus

Yleiset periaatteet ja velvollisuudet Oletusarvoisen tietosuojan periaate: Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei saateta rajoittamattoman henkilömäärän saataville ilman niiden arviointia ym. Tietosuojaa koskevat kysymykset tunnistetaan ja otetaan huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä. Käytännössä tätä toteutetaan esimerkiksi tekemällä suojatoimenpiteitä, kuten henkilöstön koulutusta ja heille tehtyjä ohjeita, määräyksiä, salassapitositoumuksia, tilavalvontaa, käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta, teknisiä rajoituksia, tarkastus- ja valvontajärjestelmiä, tietotilinpäätösprosessia, käytännesääntöjen käyttöönottoa 26

TUULI TARUKANNEL Yleiset periaatteet ja velvollisuudet Rekisterinpitäjän osoitusvelvollisuus = Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan. Rekisterinpitäjän on arvioitava, mitä periaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Periaatteiden noudattamisen osoittaminen edellyttää rekisterinpitäjältä muun muassa henkilötietojen käsittelyn aiempaa tarkempaa suunnittelua ja dokumentointia. Organisaatiolla on oltava kyky osoittaa noudattavansa asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä. Henkilötietolain aikana on riittänyt, että säännöksiä noudatetaan. (= on siis iso muutos) Oikeusministeriö ohjaa: KARTOITA TIETOJEN KÄSITTELYN NYKYTILA JA OTA TIETOSUOJA OSAKSI TOIMINTOJEN SUUNNITTELUA JA MALLINNUSTA! 27

TUULI TARUKANNEL Yleiset periaatteet ja velvollisuudet Käsittelyn lainmukaisuus = käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta, määriteltävä rekisterin käyttötarkoitus. Henkilötietojen käsittelylle on aina oltava laissa säädetty syy käsittelyyn. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kielletty. Nämä erityiset henkilötietoryhmän tiedot vastaavat pitkälti henkilötietolain arkaluonteisia tietoja. Rekisterinpitäjän tiettyyn tarkoitukseen kerättyjä tietoja ei saa käyttää muussa tarkoituksessa Tietojen säilytyksen rajoittaminen = Henkilötietojen tallennusaika pitää määritellä ja tiedot on säilytettävä sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten. Kunnassa kuitenkin on monia tilanteita, joissa tietoja voi joutua säilyttämään pitkään. Tällöin tietoa voi säilyttää mm., esim. jos henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Kohtuullisuus ja läpinäkyvyys = Tietosuoja-asetuksessa korostetaan henkilötietojen käsittelyn avoimuutta ja annetaan henkilötietolakia yksityiskohtaisempia määräyksiä rekisterinpitäjän informointivelvollisuuden ja rekisteröidyn oikeuksien toteuttamisesta. 28

TUULI TARUKANNEL Yleiset periaatteet ja velvollisuudet Tietojen eheys ja luottamuksellisuus = Henkilötietoja on käsiteltävä niin, että varmistetaan henkilötietojen asianmukainen turvallisuus. On huolehdittava, että tiedot suojataan luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. On käytettävä asianmukaisia teknisiä tai organisatorisia toimia. Tietojen minimointi = käsiteltävien tietojen tulee olla rekisterin tarkoituksen kannalta tarpeellisia, olennaisia ja asianmukaisia. Tiedot eivät saa olla liian laajoja niihin tarkoituksiin, joihin ne kerätään. Eli tietojen keräämistä arvioidaan aina siitä näkökulmasta, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Tietojen täsmällisyys = virheettömyysvaatimus eli tietojen tulee olla virheettömiä ja virheellisiä, vanhentuneita tietoja ei saa käsitellä. Kerättyjen henkilötietojen on oltava täsmällisiä ja tarvittaessa huolehditaan niiden päivittämisestä. Lisäksi on toteutettava tasrvittavat kohtuulliset toimenpiteet, jotta käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot pystytään poistaa/oikaista viipymättä. 29

Sisäänrakennettu tietosuoja 30 Rekisterinpitäjän täytyy sisällyttää tietosuojaperiaatteet ja -vaatimukset aikaisessa vaiheessa osaksi henkilötietojen käsittelyä, jotta varmistetaan, että käsittely vastaa tietosuoja-asetuksen vaatimuksia. Tietosuoja pitää sisällyttää jatkossa esimerkiksi järjestelmä- ja sovelluskehitykseen, hankintoihin ja projektinhallintaan. Käytännössä tarvitsee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt: - kerätään vain henkilötietoja, jotka ovat välttämättömiä käsittelytarkoituksen kannalta - tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä juuri siihen käsittelytarkoitukseen - henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville - taataan rekisteröityjen oikeuksien toteutuminen - taataan henkilötietojen suoja tarvittavin tietoturvakeinoin.

Henkilötietojen käsittelyn lainmukaisuus Henkilötietojen käsittely on lainmukaista ainoastaan asetuksessa määritellyin edellytyksin. Henkilötietoja ei saa käsitellä ilman asianmukaista oikeusperustaa. Rekisterinpitäjän tulee huolehtia, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja että tämä huomioidaan myös aina, kun mietitään uusia käsittelytapoja. Henkilötietojen käsittelyn pitää aina olla tarkoitussidonnaista, jolloin määritellä ne tarkoitukset, miksi henkilötietoja käsitellään sekä varmistutaan, että tietoja ei käsitellä muihin tarkoituksiin. Lainmukaisia käsittelyn edellytyksiä ovat muun muassa: rekistero idyn vapaaehtoinen ja informoitu suostumus. Rekisterinpita ja n velvollisuuksiin kuuluu pystya osoittamaan ja lkika teen, etta suostumus on annettu sellaisen sopimuksen ta yta nto o n paneminen, jossa rekistero ity on osapuolena rekisterinpita ja n lakisa a teinen velvoite. Asetus sallii kansallista liikkumavaraa lakisa a teisten velvoitteiden toteuttamisessa rekistero idyn tai toisen luonnollisen henkilo n elinta rkeiden etujen suojaaminen rekisterinpita ja lle kuuluvan julkisen vallan ka ytta minen, jonka soveltamiseen myo s sallitaan kansallista liikkumavaraa. 31

Tietosuoja käytäntöjen tarkistaminen Rekisterinpitäjillä on velvollisuus tarkistaa tietosuojakäytäntönsä uudelleen: varmistaa tietoturvansa riittävyys ja varautua ongelmatilanteisiin. Jatkossa pitäisi ottaa tietosuoja-asiat kokonaisvaltaisesti huomioon toiminnan suunnittelussa. Henkilötietojen käsittely liittyy kaikkeen. Tietosuoja-asetuksen vaikutuksia arvioidessa onkin luotava kokonaiskuva henkilötietojen käsittelyn nykytilasta. Käytännössä tämä voidaan toteuttaa esimerkiksi kuvaamalla: - mita henkilo tietovarantoja hallussa on - miten tietosuojaperiaatteet on otettu huomioon - toimintaan liittyva t henkilo tietovirrat - minka laiset perusteet henkilo tietojen ka sittelylle on (ka sittelyn pita a perustua lakiin) - miten tietoturvasta on huolehdittu - miten henkilo tietojen ka sittelyyn liittyva riskienhallinta on toteutettu -> Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, joka on raportti tietojen käsittelyä koskevista keskeisistä asioista. 32

Riskiperustainen käsittelytapa Tietosuoja-asetuksessa rekisterinpitäjän velvoitteet määräytyy riskiperusteisen lähestymistavan kautta. Mitä se oikein tarkoittaa? - Tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Tällä pyritään suhteuttamaan tarpeelliset toimenpiteet kulloinkin henkilötietojen käsittelyyn liittyvän riskin mukaisesti. Eli: Tehty perusteellinen kartoitus suurimmista riskeistä liittyen henkilötietojen käsittelyyn (eri kanteilta: fyysiset riskit, aineelliset riskit, aineettomat vahingoriskit) ja Varauduttu eri toteutussuunnitelmiin riskien mahdollisesti toteutuessa Sekä päivitetään riskejä ja niihin varautumista 33

Milloin riski on suuri? 34 Riskejä analysoidaan erityisesti rekisteröidyn näkökulmasta: esimerkiksi milloin saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin tai sosiaaliseen vahinkoon. Riski voi olla korkeampi silloin, kun käsitellään esimerkiksi erityisiä henkilötietoryhmiin kuuluvia tietoja, heikossa asemassa olevien (esimerkiksi lasten) tietoja tai kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää. Riski voi olla korkeampi myös, kun arvioidaan henkilökohtaisia ominaisuuksia esimerkiksi silloin, kun kyseessä on henkilön arviointi (mm soveltuvuuskokeet, testit jne.). Mikä nostaa riskiä (WP29): Rekisteröityjen suuri määrä Henkilötietojen suuri määrä Arkaluonteisten tietoryhmien käsittely Heikossa asemassa olevat rekisteröidyt (esim. lapset) Automaattinen päätöksenteko (esim. luottopäätös) Rekisteröityjen järjestelmällinen valvonta

Mitä tehdä käytännössä? 1.Tee tilannekartoitus henkilötietojen tilanteesta Mitä henkilötietoja käsittelette ja miksi, mistä henkilötietoja kerääntyy, minkälaisia henkilörekistereitä muodostuu, onko kaikelle käsittelylle varmasti laillinen peruste? Onko tietojenkäsittely turvallista, miten tietoturva on huomioitu? Miten olette valmistautuneet mahdollisiin riskitilanteisiin tiedätkö miten toimit, jos tapahtuu tietoturvaloukkaus? 2.Tee tarvittavat toimenpiteet kartoituksen perusteella Lopeta sellaisten tietojen keräys, joihin ei ole laillista perustetta tai hanki henkilötietojen käsittelylle suostumus. Paranna tarvittaessa tietoturvan tasoa. Varaudu riskitilanteisiin. 35

Mitä tehdä käytännössä? 3.Pidä huolta, että rekisteröity pääsee käyttämään oikeuksiaan Hoida informointi kuntoon: kerro rekiströidylle selkeästi ja riittävästi henkilötietojen keräämisestä ja käytöstä, Varmista, että rekisteröity pystyy käyttämään kaikkia oikeuksiaan: tarkastamaan ja poistamaan tietojaan henkilörekistereistä, saamaan tiedot ja niin edelleen. Päivitä rekisteri- ja tietosuojaselosteet. 4.Huolehdi, että kaikki käsittelevät henkilötietoja oikein Päivitä ohjeet, kerro yksittäisille käsittelijöille, miten henkilötietoja tulee käsitellä, huolehdi koulutuksesta tarvittaessa. Kun tekee päätöksiä liittyen henkilötietojen käsittelyyn, kannattaa nämä dokumentoida kirjallisesti (=kirjoittaa ylös), että pystyt osoittamaan jälkikäteen, että olet huolehtinut tietosuoja-asetuksen noudattamisesta. Hyvä hetki: aktivoitua, kouluttaa organisaatiota ja kehittää toimintaa! - Isossa osassa kuntia ollaan jo pitkällä -> eteenpäin vain 36

Kiitos! Hallintoakatemian löydät: Twitteristä @Hallinto Facebookista www.facebook.fi/hallintoakatemia SlideSharesta https://www.slideshare.net/hallintoakatemia Blogi: www.hallintoakatemia.fi 37

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute