EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Samankaltaiset tiedostot
Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetuksen sudenkuopat

Tietoturva yhdistyksessä

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n tietosuoja-asetus ja sähköposti

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuojavaltuutetun toimiston tietoisku

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Ajankohtaista tietosuoja-asetuksesta

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Varustekorttirekisteri - Tietosuojaseloste

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Tietosuojaseloste 1 (5)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Termit. Tietosuojaseloste

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tietosuojaseloste 1 (6)

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen


KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Henkilötietojen käsittelyn ehdot. 1. Yleistä

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tietosuojaseloste Espoon kaupunki

EU:n tietosuoja-asetus Matti Sarmela

Tietosuojaseloste 1 (5)

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Tietosuojaseloste: Markkinointirekisteri

Teknologia avusteiset palvelutverkostopalaveri

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Informaatiovelvoite ja tietosuojaperiaate

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

Rekisteriseloste, Espoon kaupunki

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Espoon kaupunki

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Vaikutustenarviointi GDPR:n mukaan

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Espoon kaupunki

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

EU:n tietosuoja-asetus

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Tietosuojaseloste Espoon kaupunki

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

1. Yleiset Periaatteet

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n tietosuoja-asetus 2016

Tietosuojaseloste 1 (6)

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Tietosuojaseloste Espoon kaupunki

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojaseloste 1 (6)

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Tietosuoja-asetus Immo Aakkula Arkistointi

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Kolarin kunnan tietosuojapolitiikka

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Transkriptio:

EU:n yleinen tietosuoja-asetus mikä muuttuu Niina Harjunheimo 17.5.2016

Yleinen tietosuoja-asetus sovellettavaksi toukokuussa 2018 Yleistä tietosuoja-asetusta sovellettava sellaisenaan kaikissa EU-maissa kahden vuoden siirtymäajan jälkeen 25.5.2018 alkaen korvaa henkilötietodirektiivin ja direktiivin täytäntöön panemiseksi annetun henkilötietolain niiltä osin, kun henkilötietojen käsittely kuuluu asetuksen soveltamisalaan Asetus 2016/679 EU:n virallisessa lehdessä: http://eur-lex.europa.eu/legalcontent/fi/txt/pdf/?uri=celex:32016r0679&from=en 2

Muutokset kansallisiin lakeihin edelleen arvioitavana Kansallinen sääntely henkilötietojen suojasta arvioitava yleisen tietosuojaasetuksen valossa ja sääntely saatettava asetuksen mukaiseksi ns. kansallisen liikkumavaran puitteissa Oikeusministeriön työryhmä valmistelee ehdotukset kansallisiksi lakimuutoksiksi toukokuun 2017 loppuun mennessä; arvioitavana mm. sääntely tietosuojaviranomaisista ja yksityisyyden suojasta työelämässä 3

Mikä säilyy, mikä muuttuu? Keskeisiä elementtejä yleisessä tietosuoja-asetuksessa

Sääntelyn laaja soveltamisala säilyy Sovelletaan henkilötietojen käsittelyyn, joka osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden tarkoitus muodostaa rekisterin osa (art. 2) Henkilötieto (art. 4): kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä 'rekisteröity', liittyvä tieto; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella 5

Käsittelylle oltava myös jatkossa sääntelyssä määritetty peruste Perusteet lainmukaiselle käsittelylle (art. 6): - a) rekisteröidyn suostumus yhtä tai useampaa tarkoitusta varten - b) sopimuksen täytäntöönpano tai sopimusta edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä - c) lakisääteisen velvoitteen noudattaminen - d) rekisteröidyn tai muun henkilön elintärkeän edun suojaaminen - e) yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen - f) rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttaminen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet, erityisesti jos rekisteröity on lapsi Huom. kohta f korvaa mm. henkilötietolain yhteysvaatimuksen 6

Käsittely oikeutetun edun perusteella Oikeutettu etu Rekisteröidyn edut tai perusoikeudet ja -vapaudet Tasapainotesti Käsittely Rekisterinpitäjä Rekisteröity Informaatio rekisteröidylle Kohtuulliset odotukset Oikeutettu etu Rekisteröidyn edut, perusoikeudet ja -vapaudet 7

Käsittely suostumuksen perusteella Suostumus (art. 4): mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen Rekisteröity voi peruuttaa suostumuksensa milloin tahansa; rekisteröidylle ilmoitettava tästä oikeudesta ennen kuin rekisteröity antaa suostumuksen (art.7) Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä (art. 7) Rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen 8

Yleiset periaatteet ohjaavat käsittelyä myös jatkossa Henkilötietojen käsittelyssä noudatettava seuraavia periaatteita (art. 5): - tietoja käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi - tiedot kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla - tietojen oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään - tietojen oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viipymättä - tiedot säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten - tietoja käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä tai vahingossa tapahtuvalta häviämiseltä Huom. rekisterinpitäjä vastaa periaatteiden noudattamisesta ja sen kyettävä osoittamaan, että periaatteita on noudatettu ( osoitusvelvollisuus ) (art. 5) 9

Rekisteröidyn oikeudet vahvistuvat Oikeus informaatioon (art. 13 ja 14) Oikeus saada nykyistä enemmän informaatiota henkilötietoja kerättäessä (mm. tieto rekisterinpitäjän oikeutetusta edusta, jos käsittely perustuu tähän, ja tieto oikeudesta vastustaa henkilötietojen käsittelyä) Informaatio annettava tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä Jos henkilötietoja ei kerätä rekisteröidyltä, rekisteröidyllä oikeus saada informaatio kohtuullisessa ajassa tietojen keräämisestä (viimeistään 1 kk sisällä) tai viestittäessä rekisteröidylle ensimmäisen kerran (ks. poikkeukset art. 14) Tarkastusoikeus (art. 15) Oikeus saada rekisterinpitäjältä vahvistus, että rekisteröityä koskevia henkilötietoja käsitellään tai ei käsitellä Jos henkilötietoja käsitellään, oikeus saada tieto mm. käsittelyn tarkoituksista ja kyseessä olevista henkilötietojen ryhmistä sekä jäljennös käsiteltävistä henkilötiedoista yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity tekee tarkastuspyynnön sähköisesti eikä toisin pyydä Oikeus tietojen oikaisemiseen (art. 16) Oikeus tietojen oikaisemiseen (art. 16) Oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ja täydentää puutteelliset henkilötiedot 10

Rekisteröidyn oikeudet vahvistuvat Oikeus tietojen poistamiseen (art. 17) Oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot mm. jos tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai rekisteröity peruuttaa suostumuksen eikä käsittelyyn ole muuta laillista perustetta Jos rekisterinpitäjä on julkistanut tiedot ja velvollinen poistamaan ne, sen toteutettava kohtuulliset toimenpiteet ilmoittaakseen tietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan henkilötietoihin liittyvät linkit ja jäljennökset Oikeus siirtää tiedot (art. 20) Oikeus saada henkilötiedot, jotka rekisteröity toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja siirtää tiedot toiselle rekisterinpitäjälle, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti Em. tilanteissa oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se teknisesti mahdollista Vastustamisoikeus (art. 21) Oikeus henkilökohtaiseen erityiseen tilanteeseen liittyvällä perusteella vastustaa henkilötietojen käsittelyä, ml. profilointia, joka perustuu rekisterinpitäjän oikeutettuun etuun tai yleistä etua koskevan tehtävän suorittamiseen tai julkisen vallan käyttämiseen Jos henkilötietoja käsitellään suoramarkkinointia varten, oikeus vastustaa käsittelyä milloin tahansa 11

Velvollisuudet määrittyvät jatkossa riskiperusteisesti Rekisterinpitäjä (art. 4): luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan yleistä tietosuoja-asetusta (art. 24) 12

Riskin käsite asetuksessa Resitaali 75: Luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti: - jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoitumisen luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa - kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan - kun käsitellään sellaisia henkilötietoja, jotka koskevat erityisiä henkilötietoryhmiä (arkaluonteisia henkilötietoja) - kun arvioidaan henkilökohtaisia ominaisuuksia (mm. luodaan henkilöprofiileja) - kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden henkilötietoja - kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää Eurooppalaiset tietosuojaviranomaiset laativat v. 2016 loppuun mennessä ohjeistusta korkean riskin käsitteestä 13

Rekisterinpitäjän velvollisuuksien kokonaisuus Periaatteet, lainmukaisen käsittelyn perusteet Rekisterinpitäjän vastuu (riskiperusteisuus) (art. 24) Tietosuojavastaava Sisäänrakennettu ja oletusarvoinen tietosuoja Tietosuojaa koskeva vaikutusarviointi Tietoturvaloukkausten notifiointi, käsittelyn turvallisuus Seloste käsittelytoimista Sopimukset henkilötietojen käsittelijöiden kanssa Ennakkokuuleminen Osoitusvelvollisuus 14 17.5.2016 Niina Harjunheimo

Sisäänrakennettu ja oletusarvoinen tietosuoja Sisäänrakennettu tietosuoja (art. 25): Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin Oletusarvoinen tietosuoja (art. 25): Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta 15

Seloste käsittelytoimista laadittava myös jatkossa Rekisterinpitäjän laadittava ja säilytettävä seloste vastuullaan tapahtuvista käsittelytoimenpiteistä; selosteeseen sisällytettävä nykyistä enemmän informaatiota (mm. arvioidut määräajat eri tietoluokkien poistamiselle) ja selosteen oltava kirjallisessa, ml. sähköisessä, muodossa (art. 30) Myös henkilötietojen käsittelijän laadittava ja säilytettävä seloste rekisterinpitäjän lukuun tapahtuvista käsittelytoimenpiteistä Poikkeus: selostetta ei tarvitse laatia yritysten, joilla vähemmän kuin 250 työntekijää, paitsi jos käsittely todennäköisesti johtaa riskiin rekisteröityjen oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely koskee erityisiä henkilötietoryhmiä 16

Velvollisuus huolehtia tietoturvallisuudesta säilyy Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet (art. 32) Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi (art. 32) 17

Velvollisuus ilmoittaa tietoturvaloukkauksista Henkilötietojen tietoturvaloukkaus (art. 4): tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin Rekisterinpitäjän ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä, viimeistään 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu yksilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä (ilmoituksen sisältö, ks. art. 33) Jos loukkaus todennäköisesti aiheuttaa korkean riskin yksilöiden oikeuksille ja vapauksille, rekisterinpitäjän ilmoitettava loukkauksesta rekisteröidylle ilman aiheetonta viivytystä; ilmoitusvelvollisuutta ei kuitenkaan ole mm. jos rekisterinpitäjä toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja ko. toimenpiteitä sovellettu loukkauksen kohteena oleviin tietoihin tai jos ilmoittaminen aiheuttaisi kohtuutonta vaivaa (tällöin toteutettava julkinen viestintä tai vastaava toimenpide) (art. 34) 18

Velvollisuus tietosuojavaikutustenarvioinnista Jos käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle (arvioinnin sisältö, ks. art. 35) Arviointi tehtävä etenkin seuraavissa tapauksissa: - luonnollisen henkilön ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, ml. profilointiin, ja johtaa päätöksiin, joilla on oikeusvaikutuksia rekisteröidyille tai vaikuttavat rekisteröityihin vastaavalla tavalla merkittävästi - laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin - yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti Valvontaviranomainen laatii luettelon käsittelytyypeistä, joista vaaditaan vaikutustenarviointi 19

Velvollisuus nimittää tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän nimitettävä tietosuojavastaava, kun: - käsittelyä tekee viranomainen tai julkishallinnon elin (pl. tuomioistuimet) - rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa - rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin. Tietosuojavastaava nimitettävä ammattipätevyyden perusteella sekä etenkin tietosuojalainsäädännön ja -käytäntöjen erikoistuntemuksen sekä tehtävistä suoriutumiseksi tarvittavien valmiuksien perusteella (vastaavan tehtävät, ks. art. 39) Vastaava voi olla rekisterinpitäjän tai käsittelijän palveluksessa tai toteuttaa tehtävänsä sopimuksen perusteella (art. 37) 20

Uutta sääntelyä hallinnollisista sakoista Riippuen kunkin tapauksen olosuhteista hallinnollinen sakko määrättävä joko valvontaviranomaisen muiden toimenpiteiden lisäksi tai sijaan; päätettäessä sakon määräämisestä ja määrästä otettava huomioon mm. rikkomuksen luonne, vakavuus ja kesto sekä rekisteröityjen kärsimä vahinko, rikkomuksen tahallisuus tai tuottamuksellisuus (ks. kriteerit art. 83) Sakon määrä enintään 10 000 000 euroa tai 2 % maailmanlaajuisesta vuosittaisesta kokonaisliikevaihdosta: mm. rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksien laiminlyönti (mm. art. 25, 30, 32, 33, 34, 35, 36) Sakon määrä enintään 20 000 000 euroa tai 4 % maailmanlaajuisesta vuosittaisesta kokonaisliikevaihdosta: mm. periaatteita koskevien säännösten rikkominen, rekisteröidyn oikeuksia koskevien säännösten rikkominen, kv. henkilötietojen siirtoa koskevien säännösten rikkominen, valvontaviranomaisen määräyksen noudattamisen laiminlyönti (mm. art. 5, 6, 12-22, 44-49) 21

Kiitos! Niina Harjunheimo Elinkeinoelämän keskusliitto EK niina.harjunheimo@ek.fi @NHarjunheimo

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute