TIETOSUOJAVALTUUTETUN PUHEENVUORO

Samankaltaiset tiedostot
EU:n tietosuoja-asetus ja tieteellinen tutkimus

EU-TIETOSUOJA-ASETUS. Sosiaali- ja terveydenhuollon atk-päivät Avaussessio Jyväskylän Paviljonki Reijo Aarnio tietosuojavaltuutettu

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

10 Yksityiselämän suoja

Tietosuojavaltuutetun esittelypuheenvuoro

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

KILOMETRIVERO JA TIETOSUOJA

TIETOSUOJA MENESTYSTEKIJÄNÄ

SESSIO 8. Tietoturvallista terveydenhuoltoa. Kansalaisten luottamus tietoturvaan ja tietosuojaan

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

TIETOSUOJA SÄÄDÖKSISSÄ

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

Maailma ja tietosuoja muutoksessa - Mitä tietosuojasta pitäisi osata

EU-TIETOSUOJA-ASETUS JA TIETOSUOJAN VASTUUKYSYMYKSET

PERUSKYSYMYS juridinen kiista. Sosiaali-ja terveydenhuollon tietosuojaseminaari -SohviTellu 2016 LAHTI, SIBELIUS-TALO

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

MITÄ TIETOSUOJA TARKOITTAA?

AJANKOHTAISTA TIETOSUOJASTA

Ohjeet 4/2018 sertifiointielinten akkreditoinnista yleisen tietosuoja-asetuksen (2016/679) 43 artiklan mukaisesti Hyväksytty 4.

TIETOSUOJAA DIGITALISOITUVASSA YHTEISKUNNASSA

ASETUS TULEE, OLE VALMIS! MIKÄ MUUTTUU? MILLOIN?

Rekisteritutkimuksen tulevaisuuden näkymät ja tietosuoja, ml. EU:n tietosuoja-asetus

AJANKOHTAISTA TIETOSUOJASTA

Google-päätös ja oikeus tulla unohdetuksi

SAFE HARBOR muutokset ja sen vaikutukset suomalaisille yrityksille

EU:n tietosuoja-asetus

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

KANTAAKO UUDISTUVA TIETOSUOJADIREKTIIVI 2020-LUVULLE?

EU:n tietosuoja-asetus Matti Sarmela

EU TIETOSUOJA- ASETUS

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

L 127. virallinen lehti. Euroopan unionin. Lainsäädäntö. 61. vuosikerta 23. toukokuuta Suomenkielinen laitos. Sisältö.

Tietosuojavaltuutetun toimiston tietoisku

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

TIEDON VASTUUT ja VALTUUDET

Vaikutustenarviointi GDPR:n mukaan

AJANKOHTAISTA TIETOSUOJASSA

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

Ajankohtaista tietosuoja-asetuksesta

Tietosuojayritysten foorumi

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuoja-asetus Immo Aakkula Arkistointi

Mikä GDPR? General Data Protection Regulation

EU:n yleisen tietosuoja-asetuksen vaikutus ammattiyhdistyksen toimintaan

IF-INFO MEKLAREILLE

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

T E R H O N E V A S A L O

EU:N YLEINEN TIETOSUOJ ASETUS JA KLIININEN TU TKIMUS

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietojen saamisesta ja luovuttamisesta eri organisaatioiden välisessä moniammatillisessa yhteistyössä Tietosuojavaltuutettu Reijo Aarnio

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Euroopan unionin neuvosto Bryssel, 12. huhtikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Tietosuojanäkökulma biopankkilainsäädäntöön

Ehdotus NEUVOSTON PÄÄTÖS

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

GDPR-pikaopas. Demand more. Puh

Karelia-ammattikorkeakoulun tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

EU:N UUSI TIETOSUOJA- ASETUS

Miten valmistautua EU:n tietosuoja-asetukseen?

Teknologia avusteiset palvelutverkostopalaveri

Pihamaa, Tietosuojavaltuutetun

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Haminan tietosuojapolitiikka

Pilvipalvelut ja henkilötiedot

Terveydenhuollon Atk-päivät 2011 Sibeliustalo, Lahti. Keskiviikko Sessio 6: Tietosuoja ja varmennepalvelut

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietoturva yhdistyksessä

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

EU:n tietosuojasääntelyn uudistaminen. Vakuutuslakimiesten Eurooppapäivä 8. toukokuuta 2012 Eeva Jokineva

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Oletusarvoinen ja sisäänrakennettu tietosuoja. Pyry Heikkinen

EU tietosuoja-asetus 2016/679

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Valtuuskunnille toimitetaan oheisena asiakirja COM(2018) 249 final LIITTEET 1 ja 2.

Organisaatioluvan hakeminen

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Transkriptio:

Kyberturvallisuuskeskus Viestintävirasto Tietoturvallisuuden standardisointiverkoston kokous 13.2.2018 TIETOSUOJAVALTUUTETUN PUHEENVUORO Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 1

MIKSI UUDISTUS? 2

EKOSYSTEEMI Prop. apps VERKKO (WEB) PALVELUT 3rd party apps Operating apps (Laite) hardware Verkko infra 3 TIETOSUOJAVALTUUTETUN TOIMISTO

KILPAILUN EDISTÄMINEN LÄHTÖKOHTANA: 1) 28 MS 28 erilaista lainsäädäntöä 2) EU:n investointivaje erityisesti ICT:hen tuottavuusvaje 3) Digitaalinen kaupankäynti on kasvanut hitaammin EU:ssa 4) EU:n uudistukset: - pääomamarkkina-unioni turvaamaan START UP:n rahoitusta - digitaalistrategia - sisämarkkinastrategia - tietosuojauudistus - yhdistetty työllisyyden ja teollisuuden DG:t DG kasvuksi (DG GROWTH) 4

KILPAILUA TUKEVAT ELEMENTIT: - Riskiperusteisuus - Digitaaliset sisämarkkinat - hallinnollisen taakan keventäminen KILPAILUN VÄÄRISTYMISTÄ ESTÄVÄT ELEMENTIT: - NO FORUM SHOPPING - DBN Data Breach Notification - Privacy by Design - OSS One stop shop - Consistency mechanism - täytäntöönpanon vahvistaminen KILPAILUKYKYÄ VAARANTAVAT SEIKAT: - LUOTI-OHJELMA - Mistä DPO:t (tietosuojavastaavat) - Asenne (digikysely) 5

MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI - COM (2015) 634 Final Ehdotus digitaalinen sisältö 2. EU:N KAUPPALAIN HARMONISOINTI - COM (2015) 635 Final Ehdotus etämyyntisopimukset 3. TIETOSUOJAN HARMONISOINTI DIGITAALISTEN SISÄMARKKINOIDEN BUUSTAAMINEN 6

TIETOSUOJAN SUKUPOLVET TIETOSUOJADIREKTIIVI 46/95/EY Resitaali nro 2: Tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseeen sekä yksilöiden hyvinvoinnin lisäämiseen. 1. SUKUPOLVI - perusoikeudet - EN-tietosuojasopimus - henkilörekisterilaki 2. SUKUPOLVI - tietojärjestelmät - tietosuojadirektiivi 46/95/EY - henkilötietolaki 3. SUKUPOLVI - digitaaliset sisämarkkinat - tietosuoja-asetus - TATTi-toimikunta? (Kts. Asetuksen resitaali 2) 7

TECHNOLOGY SUBGROUP FOP BORDERS, TRAVEL AND LAW ENFORCEMENT SUBGROUP WP 29 / EDPB FINANCIAL MATTERS SUBGROUP INTERNATIONAL TRANSFERS SUBGROUP CO-OPERATION E-GOVERNMENT SUBGROUP 8

(hyväksytty 24.1.2018 mennessä) Tietosuojatyöryhmä WP 29 ohjeet tietosuojaasetuksen soveltamisesta: - Tietosuojavastaavat - Tietojen siirto järjestelmästä toiseen - Johtavan valvontaviranomaisen määrittäminen - Tietosuojaa koskeva vaikutustenarviointi - Hallinnolliset sakot (sisäinen asiakirja) - Profilointi & automatisoidut yksittäispäätökset - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen - Kiireellinen menettely (sisäinen asiakirja) - MOU:t - Tietosuojan taso - BCR:t - Suostumus - Tiedotus & läpinäkyvyys 9

TIETOSUOJA-ASETUS: II LUKU Periaatteet 5 artikla Henkilötietojen käsittelyä koskevat periaatteet 2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu ( osoitusvelvollisuus ). 10

TIETOSUOJA-ASETUS: IV LUKU Rekisterinpitäjä ja henkilötietojen käsittelijä 1 Jakso Yleiset velvollisuudet 24 artikla Rekisterinpitäjän vastuu 1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. 2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet. 3. Jäljempänä 40 artiklassa tarkoitettujen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan. 11

TIETOSUOJA-ASETUS: 25 artikla Sisäänrakennettu ja oletusarvoinen tietosuoja PRIVACY BY DEFAULT 1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. 2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. 3. Hyväksyttyä 42 artiklan mukaista sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan. 12

TIETOSUOJAVALTUUTETUN TOIMISTO PERUSKYSYMYS juridinen kiista PIDÄ HAUSKAA POIKIEN KANSSA, KULTA! - Teknologianeutraalisuus - Liikkumisvapaus - Yksityiselämän suoja - Omaisuuden suoja?? - Perusoikeuksien turvaaminen - Kokoontumis- ja yhdistymisvapaus - Sananvapaus ja julkisuusperiaate - Itsemääräämisoikeus - Oikeus henkilökohtaiseen vapauteen ja koskemattomuuteen 13

HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 RISKIPERUSTEINEN LÄHESTYMISTAPA Aloitus 2 Tietoturvallisuus 32 PRIVACY BY DESIGN HENKILÖTIETOLAKI Käsittelyn tarkoitus 3 3-k & 6 Suunnittelu huolellisuus 5-6 - DPIA - PRIOR CONSULTING Ulkoistaminen 8.1 7-k PRIVACY BY Vaitiolovelvollisuus DEFAULT 33 TIETOSUOJAVALTUUTETUN TOIMISTO Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi PROFILOINTI OSS Oikeus käsitellä 8, 12, 13, 14-20 Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Käytön hallinnointi 5 - KIRJANPITO - PSEUDONYYMIT - GENEETTISET, BIOMETR. Rekisteröidyn oikeudet 24-29 Informointivelvollisuus 24 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 TIETOSUOJAVASTAAVA YHDENMUKAISUUS- MEKANISMI Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 - RTBF - PORTABILITY - VASTUSTUS ACCOUNTABILITY Ulkomaille siirrot 22-23 + 10 art. Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37 Päiv. 11.3.2016 EDPB - SERTIFIKAATIT - AUDITOINNIT 14 PRIVACY SHIELD PIA DBN 14

TIETOSUOJA-ASETUS: 42 artikla Sertifiointi 1. Jäsenvaltiot, valvontaviranomaiset, tietosuojaneuvosto ja komissio kannustavat ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä erityisesti unionin tasolla, minkä tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat käsittelytoimia suorittaessaan tätä asetusta. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon. 5. Tämän artiklan mukaisen sertifioinnin myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan nojalla tai tietosuojaneuvoston 63 artiklan nojalla hyväksymien kriteerien perusteella. Jos tietosuojaneuvosto on hyväksynyt kriteerit, voidaan tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti. 15

TIETOSUOJA-ASETUS: 43 artikla Sertifiointielimet 1. Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista: a) 55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen; b) Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 - standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia. 16

TIETOSUOJA-ASETUS: 43 artikla Sertifiointielimet 2. Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos a) se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla; b) se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä; c) se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten; d) se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja e) se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja. 17

TIETOSUOJA-ASETUS: 43 artikla Sertifiointielimet 3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä. 18

19

Tietosuoja-asetuksen vaikutukset kansalliseen lainsäädäntöön: OM:n TATTI-työryhmä 20 20

KIITOS KUUNTELUSTA Lisätietoja: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 21

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute