EU:n yleinen tietosuoja-asetus mikä muuttuu Niina Harjunheimo 17.5.2016
Yleinen tietosuoja-asetus sovellettavaksi toukokuussa 2018 Yleistä tietosuoja-asetusta sovellettava sellaisenaan kaikissa EU-maissa kahden vuoden siirtymäajan jälkeen 25.5.2018 alkaen korvaa henkilötietodirektiivin ja direktiivin täytäntöön panemiseksi annetun henkilötietolain niiltä osin, kun henkilötietojen käsittely kuuluu asetuksen soveltamisalaan Asetus 2016/679 EU:n virallisessa lehdessä: http://eur-lex.europa.eu/legalcontent/fi/txt/pdf/?uri=celex:32016r0679&from=en 2
Muutokset kansallisiin lakeihin edelleen arvioitavana Kansallinen sääntely henkilötietojen suojasta arvioitava yleisen tietosuojaasetuksen valossa ja sääntely saatettava asetuksen mukaiseksi ns. kansallisen liikkumavaran puitteissa Oikeusministeriön työryhmä valmistelee ehdotukset kansallisiksi lakimuutoksiksi toukokuun 2017 loppuun mennessä; arvioitavana mm. sääntely tietosuojaviranomaisista ja yksityisyyden suojasta työelämässä 3
Mikä säilyy, mikä muuttuu? Keskeisiä elementtejä yleisessä tietosuoja-asetuksessa
Sääntelyn laaja soveltamisala säilyy Sovelletaan henkilötietojen käsittelyyn, joka osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden tarkoitus muodostaa rekisterin osa (art. 2) Henkilötieto (art. 4): kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä 'rekisteröity', liittyvä tieto; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella 5
Käsittelylle oltava myös jatkossa sääntelyssä määritetty peruste Perusteet lainmukaiselle käsittelylle (art. 6): - a) rekisteröidyn suostumus yhtä tai useampaa tarkoitusta varten - b) sopimuksen täytäntöönpano tai sopimusta edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä - c) lakisääteisen velvoitteen noudattaminen - d) rekisteröidyn tai muun henkilön elintärkeän edun suojaaminen - e) yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen - f) rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttaminen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet, erityisesti jos rekisteröity on lapsi Huom. kohta f korvaa mm. henkilötietolain yhteysvaatimuksen 6
Käsittely oikeutetun edun perusteella Oikeutettu etu Rekisteröidyn edut tai perusoikeudet ja -vapaudet Tasapainotesti Käsittely Rekisterinpitäjä Rekisteröity Informaatio rekisteröidylle Kohtuulliset odotukset Oikeutettu etu Rekisteröidyn edut, perusoikeudet ja -vapaudet 7
Käsittely suostumuksen perusteella Suostumus (art. 4): mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen Rekisteröity voi peruuttaa suostumuksensa milloin tahansa; rekisteröidylle ilmoitettava tästä oikeudesta ennen kuin rekisteröity antaa suostumuksen (art.7) Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä (art. 7) Rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen 8
Yleiset periaatteet ohjaavat käsittelyä myös jatkossa Henkilötietojen käsittelyssä noudatettava seuraavia periaatteita (art. 5): - tietoja käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi - tiedot kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla - tietojen oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään - tietojen oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viipymättä - tiedot säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten - tietoja käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä tai vahingossa tapahtuvalta häviämiseltä Huom. rekisterinpitäjä vastaa periaatteiden noudattamisesta ja sen kyettävä osoittamaan, että periaatteita on noudatettu ( osoitusvelvollisuus ) (art. 5) 9
Rekisteröidyn oikeudet vahvistuvat Oikeus informaatioon (art. 13 ja 14) Oikeus saada nykyistä enemmän informaatiota henkilötietoja kerättäessä (mm. tieto rekisterinpitäjän oikeutetusta edusta, jos käsittely perustuu tähän, ja tieto oikeudesta vastustaa henkilötietojen käsittelyä) Informaatio annettava tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä Jos henkilötietoja ei kerätä rekisteröidyltä, rekisteröidyllä oikeus saada informaatio kohtuullisessa ajassa tietojen keräämisestä (viimeistään 1 kk sisällä) tai viestittäessä rekisteröidylle ensimmäisen kerran (ks. poikkeukset art. 14) Tarkastusoikeus (art. 15) Oikeus saada rekisterinpitäjältä vahvistus, että rekisteröityä koskevia henkilötietoja käsitellään tai ei käsitellä Jos henkilötietoja käsitellään, oikeus saada tieto mm. käsittelyn tarkoituksista ja kyseessä olevista henkilötietojen ryhmistä sekä jäljennös käsiteltävistä henkilötiedoista yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity tekee tarkastuspyynnön sähköisesti eikä toisin pyydä Oikeus tietojen oikaisemiseen (art. 16) Oikeus tietojen oikaisemiseen (art. 16) Oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ja täydentää puutteelliset henkilötiedot 10
Rekisteröidyn oikeudet vahvistuvat Oikeus tietojen poistamiseen (art. 17) Oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot mm. jos tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai rekisteröity peruuttaa suostumuksen eikä käsittelyyn ole muuta laillista perustetta Jos rekisterinpitäjä on julkistanut tiedot ja velvollinen poistamaan ne, sen toteutettava kohtuulliset toimenpiteet ilmoittaakseen tietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan henkilötietoihin liittyvät linkit ja jäljennökset Oikeus siirtää tiedot (art. 20) Oikeus saada henkilötiedot, jotka rekisteröity toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja siirtää tiedot toiselle rekisterinpitäjälle, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti Em. tilanteissa oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se teknisesti mahdollista Vastustamisoikeus (art. 21) Oikeus henkilökohtaiseen erityiseen tilanteeseen liittyvällä perusteella vastustaa henkilötietojen käsittelyä, ml. profilointia, joka perustuu rekisterinpitäjän oikeutettuun etuun tai yleistä etua koskevan tehtävän suorittamiseen tai julkisen vallan käyttämiseen Jos henkilötietoja käsitellään suoramarkkinointia varten, oikeus vastustaa käsittelyä milloin tahansa 11
Velvollisuudet määrittyvät jatkossa riskiperusteisesti Rekisterinpitäjä (art. 4): luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan yleistä tietosuoja-asetusta (art. 24) 12
Riskin käsite asetuksessa Resitaali 75: Luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti: - jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoitumisen luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa - kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan - kun käsitellään sellaisia henkilötietoja, jotka koskevat erityisiä henkilötietoryhmiä (arkaluonteisia henkilötietoja) - kun arvioidaan henkilökohtaisia ominaisuuksia (mm. luodaan henkilöprofiileja) - kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden henkilötietoja - kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää Eurooppalaiset tietosuojaviranomaiset laativat v. 2016 loppuun mennessä ohjeistusta korkean riskin käsitteestä 13
Rekisterinpitäjän velvollisuuksien kokonaisuus Periaatteet, lainmukaisen käsittelyn perusteet Rekisterinpitäjän vastuu (riskiperusteisuus) (art. 24) Tietosuojavastaava Sisäänrakennettu ja oletusarvoinen tietosuoja Tietosuojaa koskeva vaikutusarviointi Tietoturvaloukkausten notifiointi, käsittelyn turvallisuus Seloste käsittelytoimista Sopimukset henkilötietojen käsittelijöiden kanssa Ennakkokuuleminen Osoitusvelvollisuus 14 17.5.2016 Niina Harjunheimo
Sisäänrakennettu ja oletusarvoinen tietosuoja Sisäänrakennettu tietosuoja (art. 25): Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin Oletusarvoinen tietosuoja (art. 25): Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta 15
Seloste käsittelytoimista laadittava myös jatkossa Rekisterinpitäjän laadittava ja säilytettävä seloste vastuullaan tapahtuvista käsittelytoimenpiteistä; selosteeseen sisällytettävä nykyistä enemmän informaatiota (mm. arvioidut määräajat eri tietoluokkien poistamiselle) ja selosteen oltava kirjallisessa, ml. sähköisessä, muodossa (art. 30) Myös henkilötietojen käsittelijän laadittava ja säilytettävä seloste rekisterinpitäjän lukuun tapahtuvista käsittelytoimenpiteistä Poikkeus: selostetta ei tarvitse laatia yritysten, joilla vähemmän kuin 250 työntekijää, paitsi jos käsittely todennäköisesti johtaa riskiin rekisteröityjen oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely koskee erityisiä henkilötietoryhmiä 16
Velvollisuus huolehtia tietoturvallisuudesta säilyy Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet (art. 32) Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi (art. 32) 17
Velvollisuus ilmoittaa tietoturvaloukkauksista Henkilötietojen tietoturvaloukkaus (art. 4): tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin Rekisterinpitäjän ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä, viimeistään 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu yksilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä (ilmoituksen sisältö, ks. art. 33) Jos loukkaus todennäköisesti aiheuttaa korkean riskin yksilöiden oikeuksille ja vapauksille, rekisterinpitäjän ilmoitettava loukkauksesta rekisteröidylle ilman aiheetonta viivytystä; ilmoitusvelvollisuutta ei kuitenkaan ole mm. jos rekisterinpitäjä toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja ko. toimenpiteitä sovellettu loukkauksen kohteena oleviin tietoihin tai jos ilmoittaminen aiheuttaisi kohtuutonta vaivaa (tällöin toteutettava julkinen viestintä tai vastaava toimenpide) (art. 34) 18
Velvollisuus tietosuojavaikutustenarvioinnista Jos käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle (arvioinnin sisältö, ks. art. 35) Arviointi tehtävä etenkin seuraavissa tapauksissa: - luonnollisen henkilön ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, ml. profilointiin, ja johtaa päätöksiin, joilla on oikeusvaikutuksia rekisteröidyille tai vaikuttavat rekisteröityihin vastaavalla tavalla merkittävästi - laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin - yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti Valvontaviranomainen laatii luettelon käsittelytyypeistä, joista vaaditaan vaikutustenarviointi 19
Velvollisuus nimittää tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän nimitettävä tietosuojavastaava, kun: - käsittelyä tekee viranomainen tai julkishallinnon elin (pl. tuomioistuimet) - rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa - rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin. Tietosuojavastaava nimitettävä ammattipätevyyden perusteella sekä etenkin tietosuojalainsäädännön ja -käytäntöjen erikoistuntemuksen sekä tehtävistä suoriutumiseksi tarvittavien valmiuksien perusteella (vastaavan tehtävät, ks. art. 39) Vastaava voi olla rekisterinpitäjän tai käsittelijän palveluksessa tai toteuttaa tehtävänsä sopimuksen perusteella (art. 37) 20
Uutta sääntelyä hallinnollisista sakoista Riippuen kunkin tapauksen olosuhteista hallinnollinen sakko määrättävä joko valvontaviranomaisen muiden toimenpiteiden lisäksi tai sijaan; päätettäessä sakon määräämisestä ja määrästä otettava huomioon mm. rikkomuksen luonne, vakavuus ja kesto sekä rekisteröityjen kärsimä vahinko, rikkomuksen tahallisuus tai tuottamuksellisuus (ks. kriteerit art. 83) Sakon määrä enintään 10 000 000 euroa tai 2 % maailmanlaajuisesta vuosittaisesta kokonaisliikevaihdosta: mm. rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksien laiminlyönti (mm. art. 25, 30, 32, 33, 34, 35, 36) Sakon määrä enintään 20 000 000 euroa tai 4 % maailmanlaajuisesta vuosittaisesta kokonaisliikevaihdosta: mm. periaatteita koskevien säännösten rikkominen, rekisteröidyn oikeuksia koskevien säännösten rikkominen, kv. henkilötietojen siirtoa koskevien säännösten rikkominen, valvontaviranomaisen määräyksen noudattamisen laiminlyönti (mm. art. 5, 6, 12-22, 44-49) 21
Kiitos! Niina Harjunheimo Elinkeinoelämän keskusliitto EK niina.harjunheimo@ek.fi @NHarjunheimo