EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Samankaltaiset tiedostot
Tietosuojavaltuutetun toimiston tietoisku

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Teknologia avusteiset palvelutverkostopalaveri

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tietoturva yhdistyksessä


Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

EU:n tietosuoja-asetus Matti Sarmela

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Kolarin kunnan tietosuojapolitiikka

Varustekorttirekisteri - Tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetus

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

EU:n tietosuoja-asetus (GDPR)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5)

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

Ajankohtaista tietosuoja-asetuksesta

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Termit. Tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietosuoja-asetus (GDPR)

Tietosuojaseloste Espoon kaupunki

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tampereen Aikidoseura Nozomi ry

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Haminan tietosuojapolitiikka

Salon kaupunki , 1820/ /2018

Henkilötietojen käsittelyn ehdot. 1. Yleistä

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Salon kaupunki , 1820/ /2018

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste Espoon kaupunki

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Salon kaupunki / /2018

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU TIETOSUOJA- ASETUS

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Tietosuojailmoitus Tapahtumat

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Tietosuojaseloste 1 (6)

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Mikä GDPR? General Data Protection Regulation

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Rekisteriseloste, Espoon kaupunki

Transkriptio:

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO Kaisa Haaksiluoto Tietosuojavastaava Maanmittauspäivät 22.3.2018 1

LAINSÄÄDÄNTÖTAUSTA Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta ( EU:n yleinen tietosuoja-asetus ) EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan 25.5.2018 lukien kaikissa EU:n jäsenvaltioissa. Asetus on suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa. Oikeusministeriön asettama työryhmä (ns. TATTI-työryhmä) luovutti 21.6.2017 mietinnön kansalliseen tietosuojalainsäädäntöön tehtävistä muutoksista. Mietintöön sisältyy ehdotus hallituksen esitykseksi uudeksi tietosuojalaiksi. Uusi tietosuojalaki täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta. Tarkoitus on, että uusi tietosuojalaki tulee voimaan 25.5.2018. Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annettiin eduskunnalle 1.3.2018. EU:n yleinen tietosuoja-asetus ja uusi tietosuojalaki korvaavat nykyisen henkilötietolain (523/1999) henkilötietojen käsittelystä ja tietosuojasta. Henkilötietojen käsittelystä on myös säännöksiä erityislainsäädännössä, kuten esimerkiksi maakaaressa (540/1995) ja kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetussa laissa (453/2002). 2

HENKILÖTIETOJEN KÄSITTELYN PERUSTEET JA PERIAATTEET Rekisterinpitäjä ja henkilötietojen käsittelijä saa käsitellä henkilötietoja vain tietosuojaasetuksessa yksilöidyllä perusteella (TSA 6 artikla). Muussa tapauksessa henkilötietojen käsittely on laitonta. Tietosuoja-asetuksessa säädetään yhteensä seitsemästä oikeusperusteesta: rekisteröidyn suostumus, sopimuksen tai sitä edeltävien toimien täytäntöönpano, rekisterinpitäjän lakisääteinen velvoite, rekisteröidyn tai muun henkilön elintärkeiden etujen suojaaminen, yleistä etua koskevan tehtävän hoitaminen, rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen, rekisterinpitäjän tai sivullisen oikeutettujen etujen toteuttaminen Henkilötietojen käsittelyn oikeusperuste vaikuttaa muun muassa rekisteröidyn oikeuksien käyttämiseen. Tämän takia on tärkeää tunnistaa relevantti oikeusperuste jo ennen henkilötietojen käsittelyn aloittamista. Tietosuoja-asetuksessa säädetään myös muista henkilötietojen käsittelyn lainmukaisuuden edellytyksistä, kuten muun muassa suostumuksen edellytyksistä ja arkaluonteisten henkilötietojen käsittelyn edellytyksistä (TSA 7-11 artikla) 3

HENKILÖTIETOJEN KÄSITTELYN PERUSTEET JA PERIAATTEET MUUTOS? 4

HENKILÖTIETOJEN KÄSITTELYN PERUSTEET JA PERIAATTEET MUUTOS? Rekisterinpitäjän pitää tietosuoja-asetuksen nojalla pystyä osoittamaan, että asetukseen sisältyviä henkilötietojen käsittelyn periaatteita (TSA 5 artikla) on noudatettu rekisterinpitäjän toiminnassa (ns. osoitusvelvollisuus eli accountability). Rekisterinpitäjä ei voi ulkoistaa osoitusvelvollisuutta kolmannelle osapuolelle Toimenpiteitä: Tietovirtakuvaukset Tietosuojariskien kartoitukset Sopimusmuutokset Tietosuojavastaavan ja tietosuojaorganisaation nimeäminen Vuoden 2018 tietotilinpäätöksen valmistelutoimenpiteet Ohjeistukset ja koulutukset henkilöstölle Politiikkojen ja suunnitelmien päivitykset Kuvausten ja selosteiden päivitykset Lokituksen ja tietosuojan varmistaminen järjestelmäkehityksessä Tarvittavien lainsäädäntömuutosten toteuttamiseen osallistuminen 5

REKISTERINPITÄJÄN VELVOLLISUUDET Rekisterinpitäjä on vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja käytännössä myös osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia (TSA 24 artikla). Toimenpiteet mitoitetaan riskiarvioinnin perusteella, jossa otetaan huomioon muun muassa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Rekisterinpitäjän on varmistettava, että henkilötietojen käsittelyyn käytettävä järjestelmä täyttää sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset (TSA 25 artikla). Rekisterinpitäjä voi arvioida ja määritellä näiden vaatimusten noudattamiseksi tarvittavat toimenpiteet itse tai yhdessä esimerkiksi palveluntarjoajan kanssa. 6

TIETOSUOJAPERIAATTEET (5 ARTIKLA) Tietosuoja-asetuksessa säädetään yhteensä kuudesta periaatekokonaisuudesta: 7

TIETOSUOJAPERIAATTEET (5 ARTIKLA) Lainmukaisuus, kohtuullisuus, läpinäkyvyys Henkilötiedon käsittelylle on oltava peruste ja käsittelyn on oltava lainmukaista - myös muiden lakien kuin tietosuoja-asetuksen ja kansallisen tietosuojalain mukaista. Käyttötarkoitussidonnaisuus Henkilötietojen käsittelyn tarkoitus pitää olla suunniteltu ennen käsittelyn aloittamista. Henkilötietoa saadaan kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötietoa saadaan käyttää vain siihen tarkoitukseen, mihin sitä kerätään. Tietojen minimointi: Henkilötietojen tulee olla asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista käsittelyn tarkoituksen kannalta. Täsmällisyys Henkilötietojen laadun on oltava kunnossa eli epätarkat, virheelliset henkilötiedot on poistettava tai oikaistava viipymättä. Säilytyksen rajoittaminen Henkilötietojen säilytysaikojen tulee olla määritelty. Tietojen poistamiseksi on oltava tekniikka ja prosessi. Eheys ja luottamuksellisuus Henkilötietoja on käsiteltävä turvallisesti, ne on suojattava luvattomalta ja lainvastaiselta käsittelyltä, vahingossa tai laittomasti tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. 8

REKISTERÖIDYN OIKEUDET Rekisterinpitäjän on suunniteltava toimintansa siten, että se voi pyynnöstä toimittaa rekisteröidylle henkilötietojen käsittelyä koskevat tiedot (TSA 12 artikla). Tietosuoja-asetuksessa on yksityiskohtaisesti kuvattu ne henkilötiedon käsittelyyn liittyvät tiedot, jotka rekisterinpitäjän tulee toimittaa rekisteröidylle henkilötiedot saatuaan (TSA 13 ja 14 artikla). Käytännössä kyse on tietosuojaselosteesta tai sitä vastaavasta dokumentaatiosta. Lisäksi rekisteröidyllä on tietosuoja-asetuksen perusteella oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty (TSA 15 artikla). Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee tai poistaa rekisteröityä koskevia henkilötietoja tai rajoittaa henkilötietojen käsittelyä (TSA16-18 artikla). Oikeus vaatia tietojen poistamista ei koske lakisääteisen velvoitteen hoitamiseen tai julkisen vallan käyttämiseen perustuvaa henkilötietojen käsittelyä. Suomessa on esiintynyt erilaisia tulkintoja siitä, voiko rekisteröity vaatia henkilötietojen käsittelyn rajoittamista myös silloin, kun käsittely perustuu lakisääteisen velvoitteen hoitamiseen. 9

REKISTERÖIDYN OIKEUDET Rekisterinpitäjä on lähtökohtaisesti velvollinen ilmoittamaan tehdyistä oikaisu-, poisto- tai rajoitustoimenpiteistä jokaiselle, jolle henkilötietoja on luovutettu. Rekisterinpitäjän on myös pyynnöstä ilmoitettava rekisteröidylle, kenelle tietoja on luovutettu (TSA 19 artikla). Rekisteröidyllä on tietyissä tietosuoja-asetuksessa säännellyissä tilanteissa oikeus saada itseään koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu (TSA 20 artikla). Kyseessä oleva oikeus koskee kuitenkin vain sellaista henkilötietojen käsittelyä, joka perustuu suostumukseen tai sopimukseen, ja joka suoritetaan automaattisesti, eli se ei koske lakisääteisen tehtävän hoitamiseksi suoritettavaa henkilötietojen käsittelyä. 10

REKISTERÖIDYN OIKEUDET Rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointitarkoituksiin ja eräisiin muihin tietosuoja-asetuksessa mainittuihin tarkoituksiin (TSA 21 artikla). Yleinen vastustamisoikeus koskee vain käsittelyä, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseen. Yleistä vastustamisoikeutta ei näin ollen sovelleta lakisääteisen tehtävän hoitamiseen perustuvaan henkilötietojen käsittelyyn. Viranomaisten toiminnan julkisuudesta annetun lain 16 :n 3 momentin perusteella viranomaisen henkilörekisteristä saa luovuttaa tietoja suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. Tämän takia suoramarkkinointia koskeva vastustamisoikeus ei tule kysymykseen viranomaisen henkilörekisterin osalta. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai muuta merkittävää vaikutusta (TSA 22 artikla) Tämä oikeus ei kuitenkaan koske muun muassa lakisääteistä automaattista päätöksentekoa. 11

REKISTERINPITÄJÄN VELVOLLISUUDET Tietosuoja-asetuksen perusteella henkilötietojen käsittely on suunniteltava siten, että tiedot suojataan asianmukaisesti ja että tietojen käsittelyssä noudatetaan tietosuoja-asetusta (ns. sisäänrakennettu tietosuoja eli privacy by design) Rekisterinpitäjän on myös toteutettava tarvittavat toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käyttötarkoituksen kannalta tarpeellisia tietoja ja että tietoja ei saateta rajoittamattoman piirin käyttöön ilman rekisteröidyn myötävaikutusta (ns. oletusarvoinen tietosuoja eli privacy by default) Joissakin organisaatioissa, kuten muussa viranomaisessa tai julkishallinnon elimessä kuin lainkäyttötehtäviään hoitavassa tuomioistuimessa, on nimitettävä tietosuojavastaava. Tietosuojavastaava on riippumaton ja raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle (TSA 37-39 artikla). Ainakin hankintasopimuksissa on varmistettava, että osapuolet toimittavat toisilleen mahdollisten tietosuojavastaavien nimet ja yhteystiedot. 12

HENKILÖTIETOJEN KÄSITTELIJÄ Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset (TSA 28 artikla). Henkilötietojen käsittelijän vastuu on määriteltävä sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa on määriteltävä vähintään käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Henkilötietojen käsittelijä tai rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö saa käsitellä henkilötietoja vain rekisterinpitäjän ohjeiden mukaisesti, ellei lainsäädännöstä muuta johdu (TSA 29 artikla). 13

TIETOTURVALLISUUS Tietosuoja-asetuksessa on omaksuttu riskiperusteinen lähestymistapa arvioitaessa henkilötietojen käsittelyyn liittyviä turvallisuustoimenpiteitä. Tietosuoja-asetuksen perustella rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit (turvallisuustaso) ja toteutettava tarvittavat toimenpiteet näiden riskien pienentämiseksi (TSA 32 artikla). Koko käsittelyn ja henkilötietojen elinkaaren aikana on arvioitava prosessien, käsittelyn ja järjestelmien turvallisuustaso. Arvioinnissa kiinnitetään huomiota muun muassa käsittelyn luonteeseen ja laajuuteen. Tietosuoja-asetuksen perusteella sekä rekisterinpitäjä että mahdollinen henkilötietojen käsittelijä arvioivat turvallisuustason riittävyyttä. Rekisterinpitäjän on jo ennen henkilötietojen käsittelyn aloittamista määriteltävä henkilötietojen käsittelylle asianmukainen turvallisuustaso ja asetettava teknisiä ja organisatorisia vaatimuksia kysymyksessä olevan turvallisuustason saavuttamiseksi. Tietosuoja-asetus määrittelee toimet turvallisuustason arvioimiseksi sekä ohjeistaa vaatimustenasettelua. Tukena vaatimusten asettamisessa voidaan myös käyttää VAHTItietoturvavaatimuksia. Vaatimukset on syytä ottaa mahdollisen turvallisuussopimuksen liitteeksi sekä tarvittavilta osin sisällyttää suoraan sopimukseen. 14

TIETOTURVALOUKKAUKSET Rekisterinpitäjän on lähtökohtaisesti ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta (TSA 33 artikla). Tietosuoja-asetuksessa on säädetty valvontaviranomaiselle tehtävän ilmoituksen sisällöstä. Tietoturvaloukkauksella tarkoitetaan tietosuoja-asetuksessa loukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin Rekisterinpitäjän on lähtökohtaisesti ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilön oikeuksille ja vapauksille. Loukkauksesta on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä. Tämä ilmoitus vastaa keskeiseltä sisällöltään valvontaviranomaiselle annettavaa ilmoitusta. Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset. 15

TIETOTURVALOUKKAUKSET Henkilötiedon tietoturvaloukkauksen seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tai lainvastaisesti tapahtuva Tuhoaminen Henkilötietoja ei ole rekisterinpitäjän käytettävissä Häviäminen Rekisterinpitäjällä ei ole pääsyä henkilötietoihin tai ne eivät ole rekisterinpitäjän hallussa Muuttaminen Henkilötieto on epätäydellinen tai vahingoittunut Luvaton luovuttaminen taikka pääsy tietoihin Henkilötietoa on luovutettu tahoille, joilla ei ole tiedon käsittelyoikeutta Taho, jolla ei ole tiedon käsittelyoikeutta saa pääsyn tietoihin Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että jokainen niiden alaisuudessa toimiva luonnollinen henkilö jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti. 16

VAIKUTUSTENARVIOINTI Jos tulevaan henkilötietojen käsittelyyn, esimerkiksi uutta teknologiaa käytettäessä, kohdistuu todennäköisesti rekisteröityjen kannalta korkea riski, on rekisterinpitäjän tietosuoja-asetuksen nojalla tehtävä tietosuojaa koskeva vaikutustenarviointi (TSA 35 artikla) Asetuksen perusteella vaikutustenarviointi on tehtävä esimerkiksi silloin, kun on tarkoitus ottaa käyttöön automaattista päätöksentekoa, jossa arvioidaan henkilöiden ominaisuuksia kattavasti ja järjestelmällisesti, tai kun on tarkoitus ottaa käyttöön laajamittaista ja järjestelmällistä valvontaa yleisölle avoimella alueella. Vaikutustenarviointi soveltuu myös muihin laajoihin käsittelytoimiin, esimerkiksi suunniteltaessa tietojärjestelmiä tai palveluita, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja tai jotka voivat vaikuttaa suureen määrään rekisteröityjä Jos suoritettu vaikutustenarviointi osoittaa, että tuleva henkilötietojen käsittely aiheuttaa korkean riskin, eikä rekisterinpitäjä ole suorittanut toimenpiteitä riskin pienentämiseksi, rekisterinpitäjän on ennen käsittelyn aloittamista kuultava kansallista valvontaviranomaista Valvontaviranomainen voi esimerkiksi antaa rekisterinpitäjälle kirjalliset ohjeet käsittelylle 17

HENKILÖTIETOJEN SIIRTO EU:N JA ETA:N ULKOPUOLELLE Henkilötietojen siirto Euroopan unionin ja Euroopan talousalueen ulkopuolelle voidaan toteuttaa vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tietosuojaasetuksessa vahvistettuja edellytyksiä (TSA 44 artikla). Siirrot tällaisiin kolmansiin maihin voivat aktualisoitua esimerkiksi pilvipalvelun käytön yhteydessä. Tilanne voi esimerkiksi olla se, että pilvipalvelut käyttävät kolmansissa maissa olevia palvelimia. Tällaisessa tapauksessa henkilötietojen siirto pilvipalveluun voi tapahtua vain asetuksen kolmansia maita koskevien säännösten mukaisesti. Hankintasopimuksessa tai tietopalvelusopimuksessa on syytä sopia siitä, voiko sopimuksen toinen osapuoli käsitellä sopimuksen kohteena olevia henkilötietoja Euroopan unionin ja Euroopan talousalueen ulkopuolella. Jos henkilötietoja voidaan käsitellä näissä ns. kolmansissa maissa, sopimuksessa on todettava, mikä on lainmukainen peruste tietojen siirtoon sekä velvoitettava sopimuksen toinen osapuoli sitoutumaan tietosuoja-asetuksen noudattamiseen komission mallilausekkein, vakiosopimusehdoin tai muilla asetuksessa määritellyillä suojatoimilla. 18

VAHINGONKORVAUKSET JA MUUT SANKTIOT Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada täysi korvaus vahingosta joko rekisterinpitäjältä tai henkilötietojen käsittelijältä (TSA 82 artikla). Rekisterinpitäjä ja kaikki henkilötietojen käsittelijät ovat yhteisvastuussa käsittelyn lainmukaisuudesta suhteessa rekisteröityyn. Rekisterinpitäjä on aina vastuussa vahingosta, joka on aiheutunut sellaisesta henkilötietojen käsittelystä, joka ei ole ollut tietosuoja-asetuksen mukaista. Henkilötietojen käsittelijä on vastuussa vahingosta vain, jos se ei ole noudattanut tietosuojaasetuksessa käsittelijälle nimenomaisesti asetettuja velvoitteita tai rekisterinpitäjän lainmukaista ohjeistusta. Rekisteröidylle suoritettavan vahingonkorvauksen lisäksi rekisterinpitäjä ja henkilötietojen käsittelijä voivat joutua maksamaan tietosuoja-asetuksessa tarkoitettuja hallinnollisia sakkoja tietosuoja-asetuksen rikkomisen perusteella (TSA 83 artikla). Hallinnollisen sakon määrä voi olla enintään 20 miljoonaa euroa tai 4 % organisaation vuotuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Eduskunnalle annettuun hallitukseen esitykseen yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi sisältyy ehdotus, jonka perusteella sakkoa ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle (tietosuojalaki 25 2 mom.). 19

VAHINGONKORVAUKSET JA MUUT SANKTIOT Hallinnollisten sakkojen ohella tai niiden sijasta valvontaviranomaisella on käytettävissään muita tietosuoja-asetuksessa yksilöityjä keinoja rekisterinpitäjän ohjaamiseen ja lainvastaisen käsittelyn lopettamiseen, kuten esimerkiksi rekisterinpitäjälle annettava huomautus tai varoitus tai määräys saattaa käsittely asetuksen ja lain mukaiseksi annetussa määräajassa. Hallituksen esitys kansalliseksi tietosuojalaiksi: Rekisteröidyllä oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi (21 ) Tietosuojavaltuutettu voi asettaa uhkasakon (22 ) Rangaistus tietosuojarikoksesta, viestintäsalaisuuden loukkauksesta, törkeästä viestintäsalaisuuden loukkauksesta, rangaistus tietomurrosta ja törkeästä tietomurrosta, rangaistus vaitiolovelvollisuuden rikkomisesta (Rikoslaki 38 luku) 20

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute