EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään? TDWI Finland 11.11.2014 Eija Warma, Counsel Data Protection & Privacy 1
Data privacy is a consequence of data protection measures taken 2
Henkilötiedon käsittelyn elinkaari Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja - käytännöt Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet Huolehdi ilmoitukset viranomaiselle Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kielto-oikeuden käyttö Ylläpidä tietosuojaohjeistukset ja rekisteriselosteet - Huolehdi saatavuudesta tietoja kerättäessä Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (komission mallisopimuslaus ekkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 3
Uusi tietosuoja-asetus - aikataulu Data Protection Directive 95/46/EC 25 January 2012 European Commission s proposal for new data protection rules 17 December 2012 The Albrecht Report 31 May 2013 The European Council s compromise proposal: Key issues Chapters 1-4 21 October 2013 The Committee on Civil Liberties, Justice and Home Affairs (LIBE) voting on the proposal 12 March 2014 The European Parliament voted for the proposal The final decision is postponed over the elections to end of the year 2014 June 2014 The European Council voted on the proposal 4
Mikä käytännössä muuttuu vai muuttuuko mikään? 5
Soveltamisala 2/3 art. Aineellinen soveltamisala: Osittain tai kokonaan automatisoitu henkilötietojen käsittely Manuaalinen käsittely, joka muodostaa rekisterin osan Alueellinen soveltamisala: Käsittely suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai käsittelijän toimipaikassa Unionissa asuvia rekisteröityjä koskevien tietojen käsittely, jossa rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittely liittyy: Tavaroiden tai palvelujen tarjoamiseen, tai Rekisteröityjen käyttäytymisen seurantaan 6
Henkilötietojen käsittelijä 26/27 art. Käsittelijän annettava takeet, että riittävä tietoturva huomioidaan ja käsittely täyttää asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun Sovittava kirjallisesti henkilötietojen käsittelystä Käsittelijän tallennettava kirjallisesti rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet 7
Asiakirjat ( rekisteriseloste ) 28 art. Jokaisen rekisterinpitäjän ja käsittelijän säilytettävä asiakirjat kaikista käsittelytoimista Ei koske rekisterinpitäjiä/käsittelijöitä: jos luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista tarkoitusta, tai yritys (henkilöstö alle 250) ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona Asiakirjoissa oltava seuraavat tiedot: rekisterinpitäjä, tietosuojavastaava, käsittelyn tarkoitus, kuvaus rekisterin tietoryhmistä, kenelle tietoja luovutetaan/siirretään, milloin tiedot tuhotaan ja kuvaus art. 22.3 tarkoitetuista mekanismeista 8
Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle 31 art. Jos tapahtuu tietoturvaloukkaus, ilmoitettava viranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 72 tunnin kuluessa sen ilmitulosta Käsittelijän ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle heti kun se on tullut ilmi Ilmoituksessa: kuvattava tietoturvaloukkaus, tietosuojavastaavan yhteystiedot, suositeltavat toimenpiteet joilla lievennetään loukkauksen mahdollisia haittavaikutuksia, kuvattava tietoturvaloukkauksen seurauksia, kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut/toteuttanut loukkauksen johdosta Rekisterinpitäjän dokumentoitava KAIKKI henkilötietojen tietoturvaloukkaukset; ml. vaikutukset ja toteutetut korjaavat toimenpiteet 9
Tietoturvaloukkauksista ilmoittaminen rekisteröidylle 32 art. Kun tietoturvaloukkauksella todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle/yksityisyydelle, ilmoitettava myös rekisteröidylle ilman aiheetonta viivytystä Tässä ilmoituksessa annettava ainakin tietosuojavastaavan yhteystiedot ja suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkausten mahdollisia haittavaikutuksia Ei tarvitse ilmoittaa rekisteröidylle, jos osoittaa valvontaviranomaisia tyydyttävällä tavalla, että toteuttanut asianmukaiset tekniset suojatoimenpiteet JA ko. toimenpiteitä sovellettu loukkauksen kohteena oleviin tietoihin. Tällaisten toimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole kolmansille osapuolille ymmärrettävässä muodossa 10
Tietosuojaa koskeva vaikutustenarviointi 33/34 art. Jos henkilötietojen käsittelyyn liittyy riskejä, laadittava arvio suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle Erityisiä riskejä liittyy seuraaviin käsittelytoimiin: profilointi, terveyteen/seksuaaliseen suuntautumiseen liittyvät tiedot, videovalvonta suuressa mittakaavassa, lapsia tai geneettisiä/biometrisiä tietoja koskevat suuren mittakaavan rekisteröintijärjestelmät, jos valvontaviranomainen katsoo tarpeelliseksi Arvio pitää sisällään: yleiskuvaus käsittelytoimista ja arvio riskeistä toimet, joilla riskeihin on tarkoitus puuttua takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja vaatimusten noudattaminen 11
Tietosuojavastaavan nimeäminen 35 art. Rekisterinpitäjän/käsittelijän nimitettävä tietosuojavastaava aina kun: käsittelyä suorittaa viranomainen tai julkishallinnon elin käsittelyä suorittaa yritys, jossa vähintään 250 henkilöä rekisterinpitäjän/käsittelijän tehtävät muodostuvat sellaisista toimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Yritysryhmä voi nimittää vain yhden tietosuojavastaavan määräajaksi voi olla myös ulkopuolinen taho Otettava huomioon henkilön ammattipätevyys, erit. tietosuojalainsäädäntöä ja alan käytäntöjä koskeva asiantuntemus sekä valmius suorittaa hänelle määrätyt tehtävät 12
Siirrot kolmansiin maihin 40-45 art. Mekanismit pysyvät ennallaan Riittävän tietosuojatason omaavat maat Siirto asianmukaisten takeiden perusteella Siirto yritystä koskevien sitovien sääntöjen perusteella Binding Corporate Rules Poikkeukset 13
Hallinnolliset seuraamukset 79 art. 250.000 tai 0,5% globaalista liikevaihdosta Asetuksen edellyttämien prosessien laatimatta jättäminen rekisteröityjen esittämiä pyyntöjä varten Rekisteröidyn tarkastus-, korjaamis-, kielto-, yms. pyyntöihin vastaamatta jättäminen Maksun periminen tarkastusoikeuden käyttämisestä LIBE KOMITEA JA PARLAMENTTI: EUR 100 000 000 tai 5 % globaalista vuotuisesta liikevaihdosta, kumpi on suurempi 14
Hallinnolliset seuraamukset 79 art. 500.000 tai 1% globaalista liikevaihdosta Rekisteröidyn informointi ei ole selkeää Tarkastusoikeuden kieltäytymiselle ei esitetä (selkeitä) perusteita Oikeutta tulla unohdetuksi laiminlyödään Data portability -velvoite laiminlyödään Yhteisrekisterinpitäjyyden vastuita ei ole määritelty Sananvapautta, työntekijän henkilötietojen käsittelyä, historiantutkimusta, tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytysten laiminlyönti 15
Hallinnolliset seuraamukset 79 art. 1.000.000 tai 2% globaalista liikevaihdosta Käsittelyperusteen laiminlyönti Vaatimukset täyttävän tietosuojavastaavan nimittämättä jättäminen Rekisteröidyn kielto-oikeuksien laiminlyönti Sertifikaatin väärinkäyttö Profilointia koskevien säännösten laiminlyönti Kansainvälisten siirtojen velvoitteiden laiminlyönti Suunnittelu- ja tietoturvavelvoitteiden laiminlyönti Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Edustajan nimittämättä jättäminen Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Tietoturvaloukkausta koskevan ilmoitusvelvollisuuden laiminlyönti Vaikutusarvioinnin laiminlyönti Salassapitovelvollisuuden takaamista koskevien sääntöjen laiminlyönti Tietojen käsittely ilman viranomaisen ennakkolupaatai kuulemista 16
Miten valmistautua tulevaan? 17
Henkilötiedon käsittelyn elinkaari Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja - käytännöt Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet Huolehdi ilmoitukset viranomaiselle Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kielto-oikeuden käyttö Ylläpidä tietosuojaohjeistukset ja rekisteriselosteet - Huolehdi saatavuudesta tietoja kerättäessä Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (komission mallisopimuslaus ekkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 18
Kiitos! Eija Warma, Counsel, Data Protection & Privacy Asianajotoimisto Castrén & Snellman Oy eija.warma@castren.fi 19