Tietosuojan etukäteinen vaikutustenarviointi (DPIA) JUDO, Digiturvayhteishanke ARI ANDREASSON, TIETOSUOJAVASTAAVA
TIETOSUOJAVASTAAVA ARI ANDREASSON Nykyisiä rooleja: Tampereen kaupungin o työpaikkana: Tietohallintoyksikön digiturvallisuus ja riskienhallinta-tiimi o peruskunnan tietosuojavastaava (kunta liikelaitoksineen) o tietoturva- ja tietosuojaryhmän sihteeri o Pegasos-kehittämis- ja ylläpitoryhmän jäsen Tampereen kaupungin ja seudun (yhteensä 9 kuntaa) o Tampereen seudun tietoturvaryhmän jäsen Kansallisia rooleja o Kuntaliiton tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja o Pirkanmaan tietosuojavastaavien verkoston jäsen o Terveydenhuollon tietosuojan yhteistyöryhmän jäsen Sivutoiminen tietokirjailija o uusin kirja ilmestyi 1.3.2019: Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus 2
Tietosuojavastaavan tehtävät (EU:n yleinen tietosuoja-asetus, 39 artikla) mm. seuraavat : Seurata asetuksen ja muun tietosuojalainsäädännön noudattamista, kouluttaa, neuvoa ja antaa tietoa Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista, DPIA:sta (35 art) ja valvoa sen toteutusta Tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä mukaan luettuna 36 art. ennakkokuuleminen 3
Rekisterinpitäjän vastuu mm. osoitusvelvollisuus Enää ei riitä, että kertoo noudattavansa lakeja, vaan se pitää pystyä myös dokumentein osoittamaan Osoitusvelvollisuus on yleisluontoinen velvoite, eikä sitä koskevien artiklojen yhteydessä ole säädetty tarkoista keinoista, joilla rekisterinpitäjät voivat täyttää velvoitteen Keinoina ja työkaluina voivat minusta toimia esim. Käytännesäännöt ja sertifioinnit Tietosuojan etukäteiset vaikutustenarvioinnit (DPIA) Tietoturva- ja tietosuoja-auditoinnit Tietoturvan ja tietosuojan omavalvontasuunnitelma ja sen valvonta Tietotilinpäätös-raportointi Tarkkaan laaditut kuvaukset/selosteet henkilötietojen käsittelyprosesseista sekä käsittelyyn liittyvät sopimukset Henkilötietojen käytönvalvonta Rekisteröidyn oikeuksien toteuttaminen 4
Lähtökohta: Termeissä oltava tarkkana (tuntuvat menevän sekaisin) DPIA, Data Protection Impact Assessment Yleisen tietosuoja-asetuksen käyttämä termi WP 248 (WP29 työryhmän ohje) PIA, Privacy Impact Assessment ISO 29134 Guidelines for Privacy Impact Assessment Yhdysvalloissa pitkään laadittuja arvioita BIA, Business Impact Analysis liiketoimintavaikutukset (arvio siitä, millaisia häiriöitä organisaation toimintaan kohdistuvat riskit voivat toteutuessaan aiheuttaa) 5
Mikä on DPIA ja milloin se pitää tehdä? Kyseessä on yhdistelmä vaatimuksien mukaisuuden arviointia, tietosuojariskien tunnistamista ja lieventämistä Menettelyllä parannetaan vaatimusten noudattamista ja osoitetaan niiden noudattaminen. On tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille Vaikutuksia on arvioitava esimerkiksi silloin, kun käsitellään suuria määriä arkaluonteisia tietoja tai käytetään uutta teknologiaa DPIA-menettelystä saa parhaimman hyödyn, kun sitä ei nähdä pakollisena dokumentointivelvoitteena, vaan hyödyllisenä työkaluna käsittelytoimien analysoinnissa ja riskien ymmärtämisessä 6
Erityisesti tehtävä: mikäli kyseessä luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi laajamittainen käsittely, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti 7
DPIA:n sisällön vähimmäisvaatimukset 1) kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista 2) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3) arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4) suunnitellut toimenpiteet riskeihin puuttumiseksi ja sen osoittamiseksi, että EU:n yleistä tietosuoja-asetusta on noudatettu Huom! Tietosuojaa koskeva vaikutustenarviointi on kokonaisuudessaan toimitettava valvontaviranomaiselle ennakkokuulemisen tapauksessa tai jos tietosuojaviranomainen sitä pyytää 8
Ennakkokuuleminen Ennakkokuulemisella tarkoitetaan tilannetta, jossa rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava tietosuojaviranomaista Ennakkokuuleminen on toteutettava, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi. Ennakkokuulemista ei voida toimittaa ennen kuin rekisterinpitäjä on tehnyt tietosuojaa koskevan vaikutustenarvioinnin Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan Esimerkiksi: laiton tietoihin pääsy, joka johtaisi rekisteröityjen henkeä uhkaavaan vaaraan, irtisanomiseen tai taloudelliseen uhkaan riskin ilmeneminen näyttää selvältä ei ole keinoja esimerkiksi vähentää sellaisten henkilöiden lukumäärää, joilla on pääsy tietoihin jakamis-, käyttö- tai levitystapojen vuoksi tai tiedossa olevaa haavoittuvuutta ei pystytä korjaamaan 9
Henkilön oikeudet ja vapaudet??? Vaikuttaa siltä, että usein miten tähän otsikon kategoriaan ymmärretään (virheellisesti) kuuluvaksi vain oikeus yksityisyyteen, kun puhutaan DPIA:sta Tässä kuitenkin lista Suomen Perustuslaista ja siellä listatuista perusoikeuksista. 6. Yhdenvertaisuus 7. Oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen. 8. Rikosoikeudellinen laillisuusperiaate 9. Liikkumisvapaus 10. Yksityiselämän suoja 11. Uskonnon ja omantunnon vapaus 12. Sananvapaus ja julkisuus 13. Kokoontumis- ja yhdistymisvapaus 14. Vaali- ja osallistumisoikeudet 15. Omaisuuden suoja 16. Sivistykselliset oikeudet 17. Oikeus omaan kieleen ja kulttuuriin 18. Oikeus työhön ja elinkeinovapaus 19. Oikeus sosiaaliturvaan 20. Vastuu ympäristöstä 21. Oikeusturva 22. Perusoikeuksien turvaaminen 23. Perusoikeudet poikkeusoloissa 10
DPIA-työstäminen esim. työpajojen avulla Tärkeää on kuvata tarkasti käsittelytoimet Sen jälkeen voidaan arvioida toimintaa Pyrkikää lieventämään riskit ja sitä kautta pienentämään myös vaikutuksia Jäännösriskien hyväksyminen ja vastuuttaminen Laatikaa muistiot työpajoista Dokumentoikaa DPIA esim. loppuraportin muotoon suositukset jatkotoimenpiteistä sekä niiden toteutumisen valvonta Vinkki 1: Jostain kannattaa lähteä liikkeelle. Esim. päärekisterit tai organisaation ydinprosessit Vinkki 2: kannattaa listata valmiiksi tietosuojariskejä ja niiden toteutuessa mahdollisia vaikutuksia rekisteröidyn oikeuksiin/vapauksiin, joista työpajoissa voi valita tilanteeseen sopivia ja täten päästään helpommin alkuun! 11
Havaintojani kansallisesti Toiminnoissa on melkoisia kypsyystasoeroja ylipäätään tietosuojaasioiden ja niihin liittyvien riskien ymmärryksessä Osa toiminnoista on nyt tilanteessa, että siellä pystytään käsittelemään ja käsittämään vain rekisterinpitäjälle/organisaatiolle koituvia vaikutuksia Suurin osa ei vielä pysty pohtimaan juurikin rekisteröidylle (on se sitten työntekijä tai asiakas) koituvia riskejä ja niiden vaikutuksia Palaute Tampereen kaupungin sisällä on ollut positiivista, kunhan esimerkit työpajoissa ovat hyvin toimintaläheisiä ja kansantajuisia 12
Loppusanat On tärkeää ymmärtää, että tietosuojaa koskevan vaikutustenarvioinnin tekeminen on jatkuva prosessi, ei kertaluonteinen tehtävä. Hyvin toteutettuna prosessi auttaa organisaatiota kehittymään tietosuojatyössä sekä henkilötietojen käsittelyyn liittyvien riskien ymmärtämisessä. Kun riskit on lievennetty, kansalaiset haluavat ja uskaltavat käyttää organisaationne palveluita. Tämä on tärkeää mm. digitalisaation edistämisessä. 13
Lisätietoa Hyvä linkki EU:n yleiseen tietosuoja-asetukseen: http://www.privacy-regulation.eu/fi/ Tietosuojavaltuutetun toimisto: https://tietosuoja.fi/vaikutustenarviointi Tietosuojavaltuutetun päätös luetteloksi käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi: https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavistakasittelytoimista Paula Himanka: Opinnäytetyö vaikutustenarvioinnista http://www.theseus.fi/bitstream/handle/10024/151902/himanka_paula.pdf?sequence=1&i sallowed=y Sonja Vainio: Pro Gradu, Rekisterinpitäjän osoitusvelvollisuus EU:n yleisessä tietosuojaasetuksessa https://helda.helsinki.fi/bitstream/handle/10138/232856/vainio%20sonja%20pro%20gradu %20Rekisterinpit%C3%A4j%C3%A4n%20osoitusvelvollisuus%20EUn%20yleisess%C3%A4%20 tietosuoja-asetuksessa.pdf?sequence=2 14
KIITOS