Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

Samankaltaiset tiedostot
Vaikutustenarviointi GDPR:n mukaan

DLP ratkaisut vs. työelämän tietosuoja

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Google-päätös ja oikeus tulla unohdetuksi

Kertausta lähtökohtiin liittyen

Imatran Mansikkalassa

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja-asetus ja sen kansallinen implementointi

EU TIETOSUOJA- ASETUS

LAUSUNTO Dnro 5935/96/2018

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Haminan tietosuojapolitiikka

Teknologia avusteiset palvelutverkostopalaveri

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Kokemuksia ja näkemyksiä tietosuojaasetuksen

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

TIETOSUOJATYÖN ORGANISOINTI

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Organisaatioluvan hakeminen

Johdon ja tietosuojavastaavan yhteistyö

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

GDPR Tietosuoja-asetus

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

OHJELMA TIETOSUOJAVASTAAVAN KOULUTUSOHJEMA

Tietosuoja-asetus (GDPR)

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuoja-asetus Immo Aakkula Arkistointi

Mikä GDPR? General Data Protection Regulation

Tietosuojavastaavan nimittäminen, asema ja tehtävät

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Ulvilan kaupungin tietosuojapolitiikka

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojaseloste 1 (6)

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

OHJELMA TIETOSUOJAVASTAAVAN KOULUTUSOHJEMA

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Julkisen vallan oikeudelliset perusteet

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

Tietosuoja ja aineiston avaaminen. Anne Kärki

Osaava tietosuojavastaava - Käytännön kokemuksia ja havaintoja tietosuojavastaavan elämässä

IF-INFO MEKLAREILLE

Tietosuojaseloste Espoon kaupunki

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojaseloste Espoon kaupunki

MITÄ TIETOSUOJA TARKOITTAA?

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaasiat. yhdistysten näkökulmasta

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

EU:N YLEINEN TIETOSUOJ ASETUS JA KLIININEN TU TKIMUS

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Annettu 4. huhtikuuta Viimeksi tarkistettu ja hyväksytty 4. lokakuuta 2017

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

INHUNT LAW OY:N TIETOSUOJAILMOITUS

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuojaseloste Espoon kaupunki

KILOMETRIVERO JA TIETOSUOJA

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

TIETOSUOJAVALTUUTETUN PUHEENVUORO

Tietosuojaseloste 1 (5)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tiedon elinkaaren hallinta Henkilötietojen suoja

Esityksen aihe: Digitaalinen turvallisuus terveydenhuollossa

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

MIKÄ ON TIETOSUOJAVASTAAVA?

AJANKOHTAISTA TIETOSUOJASSA

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetus Matti Sarmela

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Transkriptio:

Tietosuojan etukäteinen vaikutustenarviointi (DPIA) JUDO, Digiturvayhteishanke ARI ANDREASSON, TIETOSUOJAVASTAAVA

TIETOSUOJAVASTAAVA ARI ANDREASSON Nykyisiä rooleja: Tampereen kaupungin o työpaikkana: Tietohallintoyksikön digiturvallisuus ja riskienhallinta-tiimi o peruskunnan tietosuojavastaava (kunta liikelaitoksineen) o tietoturva- ja tietosuojaryhmän sihteeri o Pegasos-kehittämis- ja ylläpitoryhmän jäsen Tampereen kaupungin ja seudun (yhteensä 9 kuntaa) o Tampereen seudun tietoturvaryhmän jäsen Kansallisia rooleja o Kuntaliiton tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja o Pirkanmaan tietosuojavastaavien verkoston jäsen o Terveydenhuollon tietosuojan yhteistyöryhmän jäsen Sivutoiminen tietokirjailija o uusin kirja ilmestyi 1.3.2019: Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus 2

Tietosuojavastaavan tehtävät (EU:n yleinen tietosuoja-asetus, 39 artikla) mm. seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista, DPIA:sta (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen 3

Rekisterinpitäjän vastuu mm. osoitusvelvollisuus Enää ei riitä, että kertoo noudattavansa lakeja, vaan se pitää pystyä myös dokumentein osoittamaan Osoitusvelvollisuus on yleisluontoinen velvoite, eikä sitä koskevien artiklojen yhteydessä ole säädetty tarkoista keinoista, joilla rekisterinpitäjät voivat täyttää velvoitteen Keinoina ja työkaluina voivat minusta toimia esim. Käytännesäännöt ja sertifioinnit Tietosuojan etukäteiset vaikutustenarvioinnit (DPIA) Tietoturva- ja tietosuoja-auditoinnit Tietoturvan ja tietosuojan omavalvontasuunnitelma ja sen valvonta Tietotilinpäätös-raportointi Tarkkaan laaditut kuvaukset/selosteet henkilötietojen käsittelyprosesseista sekä käsittelyyn liittyvät sopimukset Henkilötietojen käytönvalvonta Rekisteröidyn oikeuksien toteuttaminen 4

Lähtökohta: Termeissä oltava tarkkana (tuntuvat menevän sekaisin) DPIA, Data Protection Impact Assessment Yleisen tietosuoja-asetuksen käyttämä termi WP 248 (WP29 työryhmän ohje) PIA, Privacy Impact Assessment ISO 29134 Guidelines for Privacy Impact Assessment Yhdysvalloissa pitkään laadittuja arvioita BIA, Business Impact Analysis liiketoimintavaikutukset (arvio siitä, millaisia häiriöitä organisaation toimintaan kohdistuvat riskit voivat toteutuessaan aiheuttaa) 5

Mikä on DPIA ja milloin se pitää tehdä? Kyseessä on yhdistelmä vaatimuksien mukaisuuden arviointia, tietosuojariskien tunnistamista ja lieventämistä Menettelyllä parannetaan vaatimusten noudattamista ja osoitetaan niiden noudattaminen. On tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille Vaikutuksia on arvioitava esimerkiksi silloin, kun käsitellään suuria määriä arkaluonteisia tietoja tai käytetään uutta teknologiaa DPIA-menettelystä saa parhaimman hyödyn, kun sitä ei nähdä pakollisena dokumentointivelvoitteena, vaan hyödyllisenä työkaluna käsittelytoimien analysoinnissa ja riskien ymmärtämisessä 6

Erityisesti tehtävä: mikäli kyseessä luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi laajamittainen käsittely, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti 7

DPIA:n sisällön vähimmäisvaatimukset 1) kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista 2) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3) arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4) suunnitellut toimenpiteet riskeihin puuttumiseksi ja sen osoittamiseksi, että EU:n yleistä tietosuoja-asetusta on noudatettu Huom! Tietosuojaa koskeva vaikutustenarviointi on kokonaisuudessaan toimitettava valvontaviranomaiselle ennakkokuulemisen tapauksessa tai jos tietosuojaviranomainen sitä pyytää 8

Ennakkokuuleminen Ennakkokuulemisella tarkoitetaan tilannetta, jossa rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava tietosuojaviranomaista Ennakkokuuleminen on toteutettava, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi. Ennakkokuulemista ei voida toimittaa ennen kuin rekisterinpitäjä on tehnyt tietosuojaa koskevan vaikutustenarvioinnin Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan Esimerkiksi: laiton tietoihin pääsy, joka johtaisi rekisteröityjen henkeä uhkaavaan vaaraan, irtisanomiseen tai taloudelliseen uhkaan riskin ilmeneminen näyttää selvältä ei ole keinoja esimerkiksi vähentää sellaisten henkilöiden lukumäärää, joilla on pääsy tietoihin jakamis-, käyttö- tai levitystapojen vuoksi tai tiedossa olevaa haavoittuvuutta ei pystytä korjaamaan 9

Henkilön oikeudet ja vapaudet??? Vaikuttaa siltä, että usein miten tähän otsikon kategoriaan ymmärretään (virheellisesti) kuuluvaksi vain oikeus yksityisyyteen, kun puhutaan DPIA:sta Tässä kuitenkin lista Suomen Perustuslaista ja siellä listatuista perusoikeuksista. 6. Yhdenvertaisuus 7. Oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen. 8. Rikosoikeudellinen laillisuusperiaate 9. Liikkumisvapaus 10. Yksityiselämän suoja 11. Uskonnon ja omantunnon vapaus 12. Sananvapaus ja julkisuus 13. Kokoontumis- ja yhdistymisvapaus 14. Vaali- ja osallistumisoikeudet 15. Omaisuuden suoja 16. Sivistykselliset oikeudet 17. Oikeus omaan kieleen ja kulttuuriin 18. Oikeus työhön ja elinkeinovapaus 19. Oikeus sosiaaliturvaan 20. Vastuu ympäristöstä 21. Oikeusturva 22. Perusoikeuksien turvaaminen 23. Perusoikeudet poikkeusoloissa 10

DPIA-työstäminen esim. työpajojen avulla Tärkeää on kuvata tarkasti käsittelytoimet Sen jälkeen voidaan arvioida toimintaa Pyrkikää lieventämään riskit ja sitä kautta pienentämään myös vaikutuksia Jäännösriskien hyväksyminen ja vastuuttaminen Laatikaa muistiot työpajoista Dokumentoikaa DPIA esim. loppuraportin muotoon suositukset jatkotoimenpiteistä sekä niiden toteutumisen valvonta Vinkki 1: Jostain kannattaa lähteä liikkeelle. Esim. päärekisterit tai organisaation ydinprosessit Vinkki 2: kannattaa listata valmiiksi tietosuojariskejä ja niiden toteutuessa mahdollisia vaikutuksia rekisteröidyn oikeuksiin/vapauksiin, joista työpajoissa voi valita tilanteeseen sopivia ja täten päästään helpommin alkuun! 11

Havaintojani kansallisesti Toiminnoissa on melkoisia kypsyystasoeroja ylipäätään tietosuojaasioiden ja niihin liittyvien riskien ymmärryksessä Osa toiminnoista on nyt tilanteessa, että siellä pystytään käsittelemään ja käsittämään vain rekisterinpitäjälle/organisaatiolle koituvia vaikutuksia Suurin osa ei vielä pysty pohtimaan juurikin rekisteröidylle (on se sitten työntekijä tai asiakas) koituvia riskejä ja niiden vaikutuksia Palaute Tampereen kaupungin sisällä on ollut positiivista, kunhan esimerkit työpajoissa ovat hyvin toimintaläheisiä ja kansantajuisia 12

Loppusanat On tärkeää ymmärtää, että tietosuojaa koskevan vaikutustenarvioinnin tekeminen on jatkuva prosessi, ei kertaluonteinen tehtävä. Hyvin toteutettuna prosessi auttaa organisaatiota kehittymään tietosuojatyössä sekä henkilötietojen käsittelyyn liittyvien riskien ymmärtämisessä. Kun riskit on lievennetty, kansalaiset haluavat ja uskaltavat käyttää organisaationne palveluita. Tämä on tärkeää mm. digitalisaation edistämisessä. 13

Lisätietoa Hyvä linkki EU:n yleiseen tietosuoja-asetukseen: http://www.privacy-regulation.eu/fi/ Tietosuojavaltuutetun toimisto: https://tietosuoja.fi/vaikutustenarviointi Tietosuojavaltuutetun päätös luetteloksi käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi: https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavistakasittelytoimista Paula Himanka: Opinnäytetyö vaikutustenarvioinnista http://www.theseus.fi/bitstream/handle/10024/151902/himanka_paula.pdf?sequence=1&i sallowed=y Sonja Vainio: Pro Gradu, Rekisterinpitäjän osoitusvelvollisuus EU:n yleisessä tietosuojaasetuksessa https://helda.helsinki.fi/bitstream/handle/10138/232856/vainio%20sonja%20pro%20gradu %20Rekisterinpit%C3%A4j%C3%A4n%20osoitusvelvollisuus%20EUn%20yleisess%C3%A4%20 tietosuoja-asetuksessa.pdf?sequence=2 14

KIITOS