Tietosuoja-asetus Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry 20.10.2016 1
If your shop assistant was an app? Kuvasitaatti: https://www.theguardian.com/technology/2015/jan/12/shopkeeperspermissions-apps-smartphone-privacy 2
Uusi tietosuoja-asetus Sitovasti voimaan touko-kesäkuussa 2018 Peruskäsitteet pysyvät: Henkilötieto Rekisterinpitäjä Käsittelijä Uusia velvoitteita rekisterinpitäjälle ja käsittelijälle vs. uusia oikeuksia data subjektille 3
Käsiteltävät asiat I. Yleiset periaatteet II. Rekisteröidyn oikeudet III. Rekisterinpitäjä ja käsittelijä IV. Oikeussuojakeinot, vastuut ja sanktiot 4
OSA I Yleiset periaatteet 5
Yleiset periaatteet Nykyiset periaatteet säilyvät, velvoitteet täsmentyvät Käyttötarkoitussidonnaisuus Tietojen minimointiperiaatteet Todistustaakan siirtyminen selkeämmin rekisterinpitäjälle 6
OSA II Rekisteröidyn oikeudet 7
Special Eurobarometer 431, June 2015 Kuvasitaatti: Special Eurobarometer 431 Data Protection http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf 8
Perusteet käsittelylle Legitiimi intressi Lakisääteinen velvoite (kansallinen oikeus) Suostumus Erotuttava muista sopimusehdoista Peruutusoikeus Alaikäiset 9
Rekisteröidyn oikeudet Informointi Pääsy henkilötietoon Korjausoikeus Oikeus vastustaa käsittelyä > Oikeuksien käytön mahdollisuus tarjottava selkeästi, helposti, läpinäkyvästi jne. 10
Informointivelvoite Informointi hetki; keräyshetki, jos data subjektilta itseltään, muutoin kohtuullisen ajan kuluessa Kuten tietosuojaseloste sekä Säilytysaika (tai sen määräytymisperuste), valitusoikeus, suostumuksen peruutusoikeus, profilointi 11
Pääsyoikeus (access) Pääsyoikeuden yhteydessä ilmoitettava samat seikat, jotka koskevat informointivelvoitetta Lisäksi: oikeus saada kopio henkilötiedoista (lisäkopiosta oikeus laskuttaa) Tiedot annettava pääsääntöisesti sähköisesti (yleisesti käytetyssä muodossa) Vrt. muutos nykyiseen 12
Korjaus, poistaminen ja siirto Ilmoitettava myös muille tiedon vastaanottajille Oikeus siirtää tiedot suoraan rekisterinpitäjältä toiselle strukturoidusti ja konekielisesti, kun käsittely perustuu suostumukseen tai sopimukseen 13
OSA III Rekisterinpitäjä ja käsittelijä 14
Sakkouhka(?) MEUR 10 / 2% MEUR 20 / 4% 15
Rekisterinpitäjän vastuu Tulee pystyä osoittamaan asetuksen noudattaminen (tilivelvollisuus, accountability) Tietosuojakäytäntöjen käyttöönotto Hyväksyttyjen käytännesääntöjen noudattaminen Sertifikaatit 16
Rekisterinpitäjän vastuu Oletusarvoinen ja suunnitteluun perustava tietosuoja (data protection by design and by default) Asetuksen vaatimukset tulee huomioida jo suunnitteluvaiheessa Vain tarpeellisia tietoja voidaan käsitellä Huomio tietojen määrään, käsittelyn laajuuteen säilytysaikoihin ja tietoihin pääsyyn Velvoite voidaan todentaa sertifikaateilla 17
Rekisterinpitäjän vastuu Dokumentointivelvoitteet Rekisterinpitäjän tulee pitää kirjaa käsittelystä Kuka käsittelee Mitä käsitellään Käsittelyn tarkoitukset Siirrot EU/ETA alueen ulkopuolelle Säilytysajat Tietoturva Tietoturvaloukkaukset Käsittelijöillä omat velvoitteensa 18
Käsittelijät Ulkoistuksesta tulee sopia rekisterinpitäjän ja käsittelijän kesken Sisältövaatimuksia sopimukselle: Tietojenkäsittelyn kohde, kesto, luonne ja tarkoitukset, käsiteltävät tiedot ja rekisterinpitäjän oikeudet Käsittely vain rekisterinpitäjän ohjeiden perusteella Luottamuksellisuus ja tietoturva Rekisterinpitäjän avustaminen sen lakisääteisissä velvollisuuksissa 19
Käsittelijät Sopimusten sisältövaatimukset soveltuvat myös käsittelijöiden keskinäisessä suhteessa. Ei voi ulkoistaa (siirtää) käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän etukäteistä suostumusta. Rekisterinpitäjän tulee tietää käsittelijän vaihtumisesta ja voida vastustaa tätä. Sopimuksina voidaan käyttää myös viranomaisen mallisopimuslausekkeita 20
Tietoturva, yleistä Velvoitteet koskevat sekä rekisterinpitäjää että käsittelijää Peitenimien (pseudonymisointi) ja salauksen käyttö Noudattaminen voidaan osoittaa käytännesäännöillä ja sertifikaateilla 21
Tietoturva, ilmoitusvelvoitteet Viranomaisille Rekisterinpitäjä 72 h Käsittelijä: ilmoitus rekisterinpitäjälle ilman kohtuutonta viivytystä Ilmoituksessa kuvataan loukkauksen luonne, todennäköiset seuraukset ja toimenpiteet Data subjekteille Korkea riski oikeuksille tai viranomainen edellyttää 22
Tietosuojan vaikutusten arviointi Kuvaus suunnitelluista toimenpiteistä ja tietojen käsittelyn tarkoituksesta Arvio käsittelyn tarpeellisuudesta ja suhteellisuudesta Arvio riskeistä Data subjektein konsultointi Viranomaisen konsultointi, jos käsittely aiheuttaa merkittäviä riskejä 23
Tietosuojavastaava Rekisterinpitäjän ja käsittelijän tulee nimetä, jos: Julkinen viranomainen Data subjektien systemaattinen ja laaja valvonta Erityiseen henkilötietoryhmään kuuluvan tiedon käsittely (esim. biometrinen tieto)laajassa mittakaavassa Erityislainsäädäntö 24
Biometristen tietojen käsittely = kasvokuvat, sormenjäljet jne. joiden perusteella henkilö voidaan tunnistaa tai tunnistaminen varmistaa = erityinen henkilötietoryhmä, käsittelyperusteet rajattuja Tietosuojavastaava nimettävä, jos rekisterinpitäjän tai käsittelijän ydintehtävät muodostuvat näiden tietojen laajamittaisesta käsittelystä 25
Kaisa Keski-Vähälä kaisa.keski-vahala@castren.fi 26