EU:n yleinen tietosuoja-asetus Muuttuiko mikään? Kito ry:n teemapäivät 28.9.2018 Tampere-talo Mikko Tähkänen Lakimies, Kirkon keskusrahaston tietosuojavastaava
Tietosuojaa koskevaa lainsäädäntö
Tietosuojaa koskevaa lainsäädäntöä EU:n yleinen tietosuoja-asetus (General Data Protection Regulation GDPR) 25.5.2018 alkaen Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain Perustuslaki Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne. 3
Tietosuojaa koskevaa lainsäädäntöä EU:n yleinen tietosuoja-asetus (General Data Protection Regulation GDPR) 25.5.2018 alkaen Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain Perustuslaki Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne. 4
Näinkö vai miten? Before and after reading GDPR 5
Mikä ei muuttunut?
Mikä ei muutu? Perusasiat pitkälti entisellään - Käsitteet - Tietosuojaperiaatteet - Millä perusteella saa käsitellä henkilötietoja (oikeusperusteet) - Soveltamisala - Poikkeussäännökset koskien viranomaistoiminnan julkisuusperiaatetta, sananvapautta, tieteellistä tutkimusta ja arkistointia 7
Mikä muuttui?
Mikä muuttuu? Rekisteröidyn oikeuksia lisätty ja täsmennetty, mm. Informointi tietojen käsittelystä Oikeus siirtää tiedot, tulla unohdetuksi, vastustaa käsittelyä Suostumuksen käsittely Rekisterinpitäjän asema ja velvollisuudet, mm. Sisäänrakennettu ja oletusarvoinen tietosuoja Vaikutusten arviointi Henkilötietojen käsittelypalveluja koskevat sopimukset (ulkoistukset palveluntarjoajille) Tietoturvaloukkauksista ilmoittaminen Osoitusvelvollisuus Tietosuojavastaavan nimittäminen Hallinnolliset sakot Koskeeko kirkkoa? 9
Tietosuojaa vai tietoturvaa?
Tietosuojaa vai tietoturvaa Tietosuoja Perusoikeus Henkilötietojen suoja Oikeudet ja velvollisuudet Miten henkilötietoja tulee ja saa käsitellä; oikeaoppinen käsittely Kuka kenenkäkin mitäkin tietoja saa käsitellä Tietosuojaperiaatteissa tiivistyy tietosuojan ydin 11 Tietoturva Millä keinoin ja mitä tehden tietosuoja toteutuisi riittävän hyvin Vaatimuksia henkilötietojen suojaukselle Suojatoimia, turvatoimia (teknisiä, organisatorisia) Eheys, luottamuksellisuus
Mikä on henkilötieto?
Mikä on henkilötieto? Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä informaatio Jotta kyse olisi henkilötiedosta, tiedon tulee liittyä tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi 13
Mitä on henkilötiedon käsittely?
Mitä on henkilötiedon käsittely? Toiminto, joka kohdistetaan henkilötietoihin Kerääminen, tallentaminen, muuttaminen, järjestäminen, säilyttäminen, luovuttaminen, tuhoaminen jne. Kaikki ajateltavissa olevat toimet, joiden kohteena henkilötieto 15
Soveltamisalasta
Soveltamisalasta Automaattinen käsittely Muu käsittely, jos tiedot muodostavat tai on tarkoitus muodostaa rekisterin osan TSA: Tieto tallennettu jollekin alustalle TSL 35 :Vaitiolovelvollisuus TSL 5 luku: Tietojenkäsittelyn erityistilanteet ja poikkeukset TSA:n soveltamisesta sananvapaus, tutkimus, arkistointi, julkisuuslaki 17
Rekisterinpitäjä vai henkilötietojen käsittelijä?
Rekisterinpitäjä vai henkilötietojen käsittelijä? Rekisterinpitäjä määrittelee käsittelyn tarkoitukset ja keinot Henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun Yhteisrekisterinpitäjät: määrittelevät yhdessä käsittelyn tarkoitukset ja keinot Vastuualueet määritelty (sopimuksessa tai lainsäädännössä) Jehovan todistajat (C-25/17), Wirtschaftsakademie Schleswig-Holstein (210/16) 19 Roolit Kirjurissa ja Kipan toiminnoissa?
Tietosuojaperiaatteet
Lainmukaisuus, kohtuullisuus, läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Henkilötietojen käsittelyä kaitsevat tietosuojaperiaatteet Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus 21
Oikeusperusteet
Oikeusperusteet (6 art.) A) Suostumus B) Sopimus C) Lakisääteinen velvoite D) Elintärkeä etu E) Julkiseen tehtävään liittyvä yleinen etu F) Oikeutettu etu (pohjimmiltaan on kaksi oikeusperustetta: oikeutettu etu ja suostumus) Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä. 23
Oikeusperusteet (6 art.) Missä järjestyksessä arvioida, mikä oikeusperuste käsillä? 0. Onko säädetty poikkeusta tietosuojalaissa tai muussa laissa 6 artiklan soveltamisesta? Jos ei niin: 1. c) Lakisääteinen velvoite 2. e) Julkiseen tehtävään liittyvä yleinen etu 3. b) Sopimus 4. d) Elintärkeä etu 5. f) Oikeutettu etu 6. a) Suostumus Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä. 24
Erityiset henkilötietoryhmät
Erityiset henkilötietoryhmät (9 art.) Rotu tai etninen alkuperä Poliittiset mielipiteet Uskonnollinen tai filosofinen vakaumus Ammattiliiton jäsenyys Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten Terveyttä koskevat tiedot Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot Mitä olivat henkilötietolain arkaluonteiset tiedot? 26
Erityiset henkilötietoryhmät (9 art.) millä perusteella saa käsitellä? 9 artiklassa määritelty 10 tilannetta/perustetta, jolloin sallittu, mm. seuraavat: Poliittinen, filosofinen, uskonnollinen yhteisö sekä ammattiliitto oman laillisen toimintansa yhteydessä Kyse tiedoista, jotka rekisteröity nimenomaisesti saattanut julkisiksi Terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi, jos käsittelevää henkilöä sitoo lakisääteinen salassapitovelvollisuus Rekisteröity antanut nimenomaisen suostumuksensa 27
Oikeusperustetta koskevia esimerkkejä Hammasröntgenkuvaus hammaslääkäriasemalla Rekrytointifirma hoitaa srk:n työntekijän rekrytointia Srk kutsuu 30-vuotiaita jäseniään tiettyyn tapahtumaan Ilmoittautuminen retkelle 28
Rekisterinpitäjän osoitusvelvollisuus
Rekisterinpitäjän osoitusvelvollisuus Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuojaperiaatteita on noudatettu Organisointi Vastuuttaminen Osaaminen Dokumentaatio 30
Tietosuojatyön dokumentaatio
Tietosuojatyön dokumentaatio 1 Tietosuojapolitiikka 2 Tietoturvapolitiikka ja määräykset 3 Seloste käsittelytoimista 4 Tietosuojaselosteet 5 Henkilötietojen käsittelyohjeet 6 Prosessikaaviot rekisteröidyn oikeuksien käyttämisestä 7 Tietosuojatyön tiekartta 8 Tietosuojavastaavan päiväkirja 9 Tietotilinpäätös 32
Tietosuojaseloste
Tietosuojaseloste 13 ja 14 artiklassa määritelty, mistä asioista rekisteröityä on informoitava Tietosuojaseloste on asiakirja, johon koottu tiettyä toimintoa/rekisteriä koskevat informoitavat tiedot Toimii yhtenä välineenä informoinnin toteuttamisessa 34
Rekisteröidyn informointi
Rekisteröidyn informointi (13 ja 14 art.) Toimitettava rekisteröidylle tietyt tiedot Toimittava läpinäkyvästi ja reilusti Tiiviisti esitettynä Helposti saatavilla Ymmärrettävä 36
Seloste käsittelytoimista
Seloste käsittelytoimista (30 art.) Records of processing activities Ylläpidettävä rekisteriä rekisterinpitäjän vastuulla olevista henkilötietoja koskevista käsittelytoimista Apuväline henkilötietojen käsittelyn hahmottamiseen Oltava sähköisessä muodossa Rekisterinpitäjän sisäinen asiakirja Pyydettäessä esitettävä tietosuojavaltuutetulle Selosteen malli tietosuojasivustolla 38
Henkilötietojen käsittelyohje
Henkilötietojen käsittelyohje (29, 32 art.) Jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti Eli ne perusasiat, jotka ko. työntekijä tietää tai jotka hänen tulisi tietää, on oltava kirjallisina ohjeina olemassa Henkilötietojen käsittelyohjeen malli tietosuojasivustolla 40
Rekisterinpitäjä - Miten edetä?
Miten edetä? Johdon vastuulla olla aktiivinen Tahtotila (tietosuojapolitiikka ks. Malli: Tietosuoja Kirkonkylän seurakunnassa) Organisoi Kartoita ja arvioi Tarkista sopimustilanne Dokumentoi Nimitä tietosuojavastaava Seloste käsittelytoimista Tietosuojaselosteet ja informointi Henkilötietojen käsittelyohjeet Koulutus 42
Sovellus- ja rekisterisalkku Mikä se on?
Sovellussalkku Mikä se on? Mitä sovelluksia? Mitä rekisterejä? Avaintiedot Myös tietosuojan ja tietoturvan perustiedot mahdollista tallettaa Maksutta ja vapaaehtoisesti seurakuntien käytössä Uutiskirjeessä ensi tai seuraavalla viikolla Skype-tilaisuudet lokakuun puolivälissä ajankohdat uutiskirjeessä eli mistä kyse 44
Tietosuojavastaava Mikä se on?
Asiantuntija Neuvonantaja Kouluttaja Valvoja Yhdyshenkilö Tietosuojavastaava Mikä se on? Ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu edelleenkin kuuluu rekisterinpitäjälle ja erityisesti sen johdolle Mitä EI kuulu tehtäviin? 46
Tietosuojavastaavan ilmoittaminen tietosuojavaltuutetun toimistoon Tietosuoja.fi Ilmoituslomake verkossa Seurakunta täyttää itse 47
Muistakaamme, että VÄLTTÄMÄTTÖMYYDESTÄ KANNATTAA TEHDÄ HYVE 48
Kirkon tietosuojasivusto Sakastin pääsivulla linkki tietosuojasivustolle Nuotta.evl.fi/tietosuoja Nuotta.evl.fi/dataskydd https://nuotta.evl.fi/tietosuoja/sitepages/kotisivu.aspx 49