KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA 17.9.2018 Kuva- ja keilausaineistojen kerääminen, tietosuoja ja tietoturvallisuus 17.9.2018, Pasila 1
KMTK-UTEK LYHYESTI Viistoilmakuviin ja 360-mobiilikuviin pohjautuva esiselvitysprojekti Vahvasti tutkimuspainotteinen Projektin tavoitteet Käyttötapausten selvittäminen Suositusten antaminen Käyttömahdollisuudet Kuvausten tilaaminen Kustannustehokkuuden ja automatisointiasteen arviointi Tutkimusjulkaisu Teknologiakatsaus Inkoo valikoitui testikentäksi -> hankinnat -> tietoturva-asiat 17.9.2018 2
GDPR: VIISTOILMAKUVAUS & 360- MOBIILIKUVAUS Henkilötietojen määritelmä Artikla 4 kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön - liittyviä tietoja - voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella Asetuksen mukaan anonymisoitu tieto ei ole asetuksen alaista Perustelukappale (26) Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä.... Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. 17.9.2018 3
VIISTOILMAKUVAUS- JA 360- MOBIILIKUVAUSSOPIMUKSET Henkilötietojen käsittelyä koskevat ehdot projektin hankintojen sopimuksissa Maanmittauslaitos toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä, silloin kun se määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Osapuolet ymmärtävät, että rekisterinpitäjänä Maanmittauslaitos saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää EU:n yleisen tietosuoja-asetuksen vaatimukset, ja että sillä varmistetaan rekisteröidyn oikeuksien suojelu. -> Turvallisuussopimus & Vaitiolo ja salassapitositoumus 17.9.2018 4
TURVALLISUUS / TIETOSUOJA: VIISTOILMAKUVAUS & 360-MOBIILIKUVAUS Turvallisuus ja tietosuoja Perustelukappale (83) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. MML:lla on oma riskien luokittelu riskien vaikutuksen (vakavuus) perusteella Henkilötietoasioissa jo vähäinen riskin vakavuus pitää ottaa huomioon -> Turvallisuussopimuksen turvallisuustaso 17.9.2018 5
TURVALLISUUS / TIETOSUOJA: VIISTOILMAKUVAUS & 360-MOBIILIKUVAUS Henkilötietojen käsittelyä koskevat ehdot projektin hankintojen sopimuksissa Osapuolet ymmärtävät, että Sopimusta ja tätä liitettä tehtäessä tietosuojaa koskeva lainsäädäntö on muutostilassa. Jos kyseiseen lainsäädäntöön tai sitä tai sen tulkintaa koskeviin suosituksiin, ohjeistuksiin tai määräyksiin tulee muutoksia, jotka vaikuttavat Maanmittauslaitoksen asemaan tai velvollisuuksiin tai tässä liitteessä määriteltyihin velvollisuuksiin tai vastuisiin, tätä liitettä voidaan Maanmittauslaitoksen vaatimuksesta niiltä osin tarkistaa. 17.9.2018 6
360-MOBIILIKUVAUS JA TIETOTURVA 32 Artikla (Käsittelyn turvallisuus) Käsittelee asianmukaiset tekniset ja organisatoriset toimenpiteet, joita henkilötietojen käsittelijän on toteutettava riskejä vastaavan turvallisuustason varmistamiseksi Anonymisointi tarpeellinen Käytännön tasolla vähintään henkilöiden kasvojen ja ajoneuvojen rekisteriotteiden maskaus tarvitaan Muiden kohteiden, josta henkilön voisi suorasti tai epäsuorasti tunnistaa, anonymisointiin ei ole suositusta (käsitellään tapauskohtaisesti) Tietoturva vain asianosaiset pääset käsittelemään henkilötietoja sisältävää aineistoja vain asianosaiset pääsevät tiloihin hyvä tietojenkäsittelytapa ja tietojenhallintatapa 17.9.2018 7
VIISTOILMAKUVAUS JA TIETOTURVA Henkilön tunnistaminen suoraan tai epäsuorasti viistoilmakuvilta riippuu viistokuvan tarkkuudesta Tarkkuudelle, jolla henkilön voi tunnistaa / olla tunnistamatta, ei ole määritelty yksiselitteistä rajaa (toleransseineen) Esimerkiksi maastopikselin koko Jos viistoilmakuvilta ei pysty suoraan tai epäsuoraan tunnistamaan henkilöä, henkilötietojen käsittelyä koskevia ehtoja ei sovelleta 17.9.2018 8