EU:n tietosuoja-asetus - vaikutukset kuntiin Lakiklinikka Kuntamarkkinat 14.9.2016 OTT, VT lakimies
Sisältö Instrumentti, aikataulu ja kansallinen täytäntöönpano Keskeiset elementit paradigman muutos Miten valmistautua? 2
Asetuksen lähtökohdat ja aikataulu.
Lähtökohdat ja aikataulu Komission ehdotus 1/2012» Yleinen tietosuoja-asetus (KOM (2012) 11 lopullinen)» Direktiivi henkilötietojen käsittelystä rikosten torjumiseksi, tutkimiseksi (KOM (2012) 10 lop) Kolmikantaneuvottelut päätökseen 12/15» Kuluttajansuojaa, kilpailulainsäädäntöä jne Voimaan 5/2016, sovelletaan kansallisesti 25.5.2018 Virallinen suomennos:» http://eur-lex.europa.eu/legalcontent/fi/txt/pdf/?uri=consil:st_5419_2016_ini T 4
Menetelmät Asetus, eli kansallisesti suoraan sovellettava» Korvaa henkilötietodirektiivin vuodesta 1995 ja sen täytäntöön panemiseksi annetun henkilötietolain (523/1999)» Uusi henkilötietolainsäädäntö Suomessa: Asetus Yleislaki Muutettu erityislainsäädäntö Laaja soveltamisala, julkisella ja yksityisellä sektorilla» Ei uskonnonharjoitus tai yksityiselämä» Yleislailla laajennetaan soveltamisalaa EU:n toimivallan ulkopuolelle 5
Kansallinen täytäntöönpano Kansallinen jatkovalmistelu aloitettu 1/2016 / työryhmä asetettu» Ministeriöt, TSV, Kuntaliitto, EK, SAK, Akava ja STTK, Kuluttajaliitto» Oikeusministeriö koordinoi» Tehtävät Yleislaki (HE 5/2017) Viranomaisorganisaatio (päätökset syksyllä 2016?) Selvittää liikkumavaraa Erityislainsäädännön tarkistamisen koordinoiminen (ministeriöt 5/2016 ja alustavat päätökset syksyllä 2016) VAHTI (Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä): Tieto- ja kyberturvallisuuden hallintarakenteen päivittämisen hankeryhmä, asetettu 2/16 6/16.» Raportti julkaistu 2.6.2016» https://www.vahtiohje.fi/c/document_library/get_file?uuid=c97ee41 4-1fc0-4a91-969c-2ef0657605d1&groupId=10128 6
Keskeiset elementit paradigman muutos.
Muutoksia Selkeyttää nykyistä Peruskäsitteet Yleisperiaatteet Käsittelyn oikeutus Suostumus Tarkastus- ja korjausoikeus Oikeus tulla unohdetuksi Riskiarviot korostuvat Täydentää nykyistä Tietosuojavastaavan asema Oikeus käsitellä oikeutettu etu Informointivelvollisuus Käsittelijän roolin määrittely Lapsen asema Suoramarkkinointiin muutokset Henkilötietojen siirrot kolmansiin maihin Profilointi Kokonaan uutta Sisäänrakennettu ja oletusarvoinen tietosuoja Tilintekovelvollisuus Käsittelytoimintojen kuvaaminen Tietojen siirrettävyys Vaikutusten arviointi Ilmoitus loukkauksesta Ennakkohyväksyntä ja ennakkokuuleminen Sanktiot, hallinnolliset seuraamukset Viranomaisorganisaatio - One Stop Shop Ryhmäkanne oikeus Korvausperusteet, ml. vahingonkorvaus 8
Periaatetason muutoksia Compliance -> Osoittamisvelvollisuus» Sääntöjen noudattamisesta aktiiviseen ennaltaehkäisyyn ja suunnitteluun, myös tietoteknisesti Hankinnat Dokumentaatio Osaaminen» Pitää pystyä todentamaan, että toimii lainmukaisesti jokaisen käsittelytoimen osalta» Asetus itse antaa välineitä, esim. vaikutusten arviointi, riskianalyysi jne. Privacy by design -> Oletusarvoinen ja sisäänrakennettu tietosuoja» Tietosuoja muuttuu palveluntuottajan ongelmaksi» Tietotekniset vaatimukset Oletusarvoiset kommunikaatiokanavat, pseudonymisointi, elinkaari, jne.» Organisaatiovaatimukset, koulutus jne. Käsittelijän rooli erotettu rekisterinpitäjän roolista» Sopimusten sisältö määritetty» Vastuunjako» JIT ja JYSE 9
Miten valmistautua.
Tietosuoja-asioiden painoarvo kasvaa Tilintekovelvollisuus korostuu ja riskiarvo nousee Huomioitava systemaattisesti liiketoiminnan, palveluiden ja tuotteiden sekä tietojärjestelmien kehittämisessä» Hankinnat ja sopimukset» Toiminnan organisointi, johtaminen» Tietosuojan dokumentointi, raportointi ja turvajärjestelmä Hyöty-riskianalyysien merkitys tietosuojanäkökulmasta korostuu 11
Rekisterinpitäjän to do -lista 2016-2017 / Tietosuojavaltuutettu 1. Määrää tietosuojan isäntä (tietosuojavastaava) 2. Analysoi henkilötietovarastosi, ota tietosuoja osaksi suunnittelua ja mallinnusta. 3. Tee riskiarvio, ml. sopimukset ja sanktiot. 4. Laadi toimintaohjeet ja ohjeet eri tilanteita varten. 5. Huolehti tietoturvasta, koko elinkaari huomioon. 6. Huolehdi henkilöstön osaamisesta. 7. Valvo henkilötietojen käyttöä (lokitiedot ja tehtävät). 8. Toimi ennakoivasti. 9. Rakenna luottamus huolehtimalla läpinäkyvyydestä ja avoimuudesta. 10.Seuraa tiedottamista: OM ja TSV (+ Kuntaliitto): 12
Kuntaliiton lakiyksikön palvelut Palvelemme kuntakonsernin viranhaltijoita, työntekijöitä ja luottamushenkilöitä julkisoikeuden, yksityisoikeuden ja julkisten hankintojen lakiasioissa
Kysy neuvoa, seuraa ammatillisia asioita tai perehdy oppaisiin Palvelemme ensisijaisesti palvelusähköpostien kautta:» hallintoa ja päätöksentekoa koskevat kysymykset osoitteeseen hallintolakimiehet@kuntaliitto.fi» yksityisoikeutta, esim. sopimus-, vahingonkorvaus- ja yhtiöoikeutta koskevat kysymykset osoitteeseen siviililakimiehet@kuntaliitto.fi» julkisia hankintoja koskevat kysymykset hankinnat@kuntaliitto.fi Tilaa sähköpostiisi maksuttomia uutiskirjeitä» Laki-info» Hankintainfo, osin kaksikielinen» Juridikinfo, Laki-infon ruotsinkielinen vastine Kaikki ilmestyvät noin 8 krt/v. Oppaat ja e-julkaisut» Tutustu Kuntaliiton verkkokaupassa edullisiin oppaisiimme: lakiasiat» Osa oppaista ja julkaisuista on ladattavissa maksutta.