Tietosuoja fi-välitystoiminnassa Välittäjäinfo 13.12.2017
Fi-verkkotunnusten välitystoiminta Viestintävirastolle ilmoittautuneet välittäjät
Yleistä tietosuoja-asetuksesta Tietosuoja-asetus (2016/679) korvaa vuoden 1995 direktiivin (46/95/EY) ja kansallisen henkilötietolain (523/1999) Suoraan sovellettavaa lainsäädäntöä 25.5.2018 alkaen Tietosuoja-asetusta täydennetään ja täsmennetään kansallisella lainsäädännöllä (tietosuojalaki) Uudistuksen tavoitteena toteuttaa henkilötietosäädännön yhtenäinen soveltaminen EU:ssa Tietosuojatyö osaksi organisaation operatiivista toimintaa
Henkilötietojen käsittelyä koskevat yleiset periaatteet Lainmukaisuus, kohtuullisuus, läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Luottamuksellisuus, eheys Osoitusvelvollisuus
Henkilötiedon käsite tietosuoja-asetuksessa kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (=rekisteröity) liittyvät tiedot tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen perustella, kuten esim.» nimi» henkilötunnus» sijaintitieto» verkkotunnistetiedot
Viestintävirasto = rekisterinpitäjä Verkkotunnusvälittäjä = henkilötiedon käsittelijä Verkkotunnuksen käyttäjä = rekisteröity
Rekisteröity = verkkotunnuksen käyttäjä = välittäjän asiakas Henkilötiedon käsittelijä = Fi-verkkotunnusvälittäjä Rekisterinpitäjä = Viestintävirasto.fi Tunnistettu/tunnustettavissa oleva henkilö, johon tieto liittyy Tiedollinen itsemääräämisoikeus Henkilötietoa, henkilötietoa, henkilötietoa, henkilötietoa Käsittele henkilötietoja rekisterinpitäjän lukuun (ulkoistus) Viestintäviraston.FIverkkotunnusrekisteri Käsittelyn luonne, tarkoitus ja keinot, kohde ja kesto Kirjallinen ohjeistus Sisäänrakennettu ja oletusarvoinen tietosuoja tiedon elinkaaren aikana taataan rekisteröityjen oikeudet ja tietojen suoja tietoturvan keinoin
Käsittelyn lainmukaisuus Tietoyhteiskuntakaari, 21 luku Verkkotunnusmääräys 68/2014M» Määräyksen 68 perustelut ja soveltaminen (tarkentava ohje)
Rekisterinpitäjän velvollisuudet Silloin kun käsittely suoritetaan rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tiesuoja-asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. Velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta» rekisteröidylle, jos korkea riski (media avuksi)» valvontaviranomaiselle 72 h Hallinnollinen sanktio virheellisestä toiminnasta» varoitus, huomautus, velvoittava määräys, rajoitus/kielto käsitellä, sakko
Suostumuksesta TYK on oikeudellinen perusta välittäjälle käsitellä henkilötietoja verkkotunnusten rekisteröimiseksi ja hallinnoimiseksi.» Muulle käsittelylle eli tarjottaessa muita palveluita on käsittelyn peruste löydettävä tietosuojaasetuksesta. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.
Henkilötietojen käsittelijä (fi-verkkotunnusvälittäjä) Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä [...] jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn: 1. kohde ja kesto, 2. käsittelyn luonne ja tarkoitus, 3. henkilötietojen tyyppi ja rekisteröityjen ryhmät, 4. rekisterinpitäjän velvollisuudet ja oikeudet. Henkilötietojen käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti.» Tällä hetkellä TYK ja M68
Verkkotunnusten välittäminen ja hallinnointi (käsittelyn luonne ja tarkoitus) Verkkotunnusten välittäminen on toimintaa, jolla tarkoitetaan merkintöjen tekemistä verkkotunnusrekisteriin. Merkintöjä verkkotunnusrekisterin voi tehdä vain verkkotunnusvälitysilmoituksen tehnyt toiminnan harjoittaja eli verkkotunnusvälittäjä. Verkkotunnus on merkittävä käyttäjän nimiin ja verkkotunnusvälittäjän on merkittävä verkkotunnusrekisteriin verkkotunnuksen käyttäjää koskevat oikeat, ajantasaiset ja yksilöivät tiedot sekä kuulemisiin ja tiedoksiantoihin käytettävä sähköpostiosoite. Verkkotunnuksen hallinnointiin kuuluvat kaikki ne toimenpiteet, joita verkkotunnusvälittäjä tekee ylläpitääkseen verkkotunnusrekisteriin merkityn verkkotunnuksen tietoja. Verkkotunnuksen hallinnointi tarkoittaa myös kykyä merkitä tietoja verkkotunnusrekisteriin Viestintäviraston määrittelemällä teknisellä järjestelyllä sekä kykyä huolehtia toimintansa tietoturvasta.
Henkilötietojen käsittelyn luonne ja tarkoitus 164 : Merkintöjä verkkotunnusrekisteriin voi tehdä vain 165 :ssä tarkoitetun verkkotunnusvälitysilmoituksen tehnyt toiminnanharjoittaja (verkkotunnusvälittäjä) 165 : Ennen toiminnan aloittamista tehtävä ilmoitus, ilmoitettava muutoksista ViVille, ilmoitettava toiminnan lopettamisesta Viville ja asiakkaille, kieltopäätöksestä ilmoitettava asiakkaille 167 : Verkkotunnusvälittäjän on merkittävä verkkotunnusrekisteriin verkkotunnuksen käyttäjää koskevat oikeat, ajantasaiset ja yksilöivät tiedot 167 : Verkkotunnusvälittäjä voi uudistaa verkkotunnusta koskevan merkinnän 168 : Verkkotunnusvälittäjän on suoritettava verkkotunnuksen siirto, verkkotunnusvälittäjän on suoritettava (välittäjän) vaihtamisen edellytyksenä olevat toimenpiteet 170 : Verkkotunnusvälittäjän muut velvollisuudet: 1. tarjottava ennen verkkotunnuksen merkitsemistä tämän lain mukaiset tarvittavat tiedot verkkotunnuksen sisältöön ja muotoon liittyvistä edellytyksistä; 2. pidettävä verkkotunnusrekisteriin merkityt tiedot ajantasaisina; 3. kyettävä merkitsemään tietoja verkkotunnusrekisteriin Viestintäviraston määrittelemällä teknisellä järjestelyllä; 4. tiedotettava verkkotunnuksen käyttäjää riittävästi ja tehokkaasti verkkotunnuksen voimassaoloajan päättymisestä; 5. poistettava verkkotunnus verkkotunnusrekisteristä verkkotunnuksen käyttäjän pyynnöstä ennen voimassaoloajan päättymistä; 6. huolehdittava toimintansa tietoturvasta; 7. ilmoitettava viipymättä Viestintävirastolle, jos sen verkkotunnusten välitystoimintaan kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää tai häiritsee sitä olennaisesti;
Käsittelyn kohde ja kesto Välittäjä käsittelee Viestintäviraston lukuun niitä henkilötietoja, mitä tietoyhteiskuntakaaressa ja Viestintäviraston määräyksessä säädetään ilmoitettavaksi Viestintäviraston verkkotunnusrekisteriin. Lisäksi välittäjä käsittelee Viestintäviraston lukuun niitä henkilötietoja, mitkä ovat verkkotunnusten välitystoiminnan ja verkkotunnusten hallinnoinnin osalta tarkoituksenmukaisia käsitellä. Henkilötietoja saa käsitellä vain sen ajan kuin verkkotunnus on ko. välittäjän ylläpidossa ja/tai verkkotunnus on voimassa + suoja-aika
Välitystoiminnassa lain perusteella kerättävät henkilötiedot (henkilötietojen tyyppi ja rekisteröityjen ryhmät) Verkkotunnuksen käyttäjästä annetut tiedot (167.1 )» Nimi» Henkilötunnus / y-tunnus / yhdistysrekisterinumero / muu yksilöivä tunnus» Postiosoite» Puhelinnumero» Yhteyshenkilö ja yht.hlön puhelinnumero (oikeushenkilöiltä)» Sähköpostiosoite (prosessiosoite) Välittäjän vastuulla on pitää tiedot ajan tasalla (165.2, 170.1,2 )
Rekisteröidyn oikeudet informointioikeus, oikeus saada tieto tietosuojaloukkauksesta tarkastusoikeus (maksuton pääsy määräajassa, 1-2 kk) oikeus tietojen» oikaisuun» poistamiseen» siirtoon
Käsittelijän velvollisuudet / vastuut Käsitellä tietoja rekisterinpitäjän kirjallisten ohjeiden mukaisesti Hävittää tiedot, kun ei enää käyttötarkoitussidonnaisuutta Pitää tiedot täsmällisinä ja pyrkiä oikaisemaan väärät tiedot Tietojen suojaustoimet (käsittelyn turvallisuus) Ei lähtökohtaisesti oikeutta luovuttaa henkilötietoja ilman perustetta Henkilöt, joilla on oikeus käsitellä henkilötietoja noudattavat salassapitovelvollisuutta Jos käyttää toisen henkilötietojen käsittelijän palveluksia, alkuperäinen henkilötietojen käsittelijä on täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään Tehtävä yhteistyötä valvontaviranomaisen kanssa Ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.
Käsittelyn turvallisuus Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten esimerkiksi» a) henkilötietojen pseudonymisointi ja salaus;» b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;» c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;» d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
Lisätietoa tietosuoja-asetuksesta ja uudistuksesta http://www.tietosuoja.fi/fi/ http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle.html http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#mitenvalmistautuatietosuoja-asetukseen http://tietosuoja.vahtiohje.fi/fi/#/front https://www.vahtiohje.fi/c/document_library/get_file?uuid=ddb05959-40d1-435f-af23- fd20fc21d63f&groupid=10229
sanna.sahlman@ficora.fi www.viestintävirasto.fi