1. Yleiset Periaatteet 1
Esityksen runko Asetuksen soveltamisala Periaatteet Käsittelyn lainmukaisuus Käsittelyn lailliset perusteet 2
Soveltamisala 3
Soveltamisala Henkilötieto = tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto Myös ns. pseudonymisoitu tieto eli jos henkilö kohtuullisen helposti tunnistettavissa lisätietoja käyttämällä Automaattinen henkilötietojen käsittely Muu henkilötietojen käsittely kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa Rekisteri = jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein Voi olla keskitetty, hajautettu sekä toiminnallisin tai maantieteellisin perustein jaettu Soveltamisalaan ei sisälly asiakirjat tai asiakirjakokoelmat, joita ei ole järjestetty tiettyjen perusteiden mukaisesti 4
Soveltamisala Alueellinen soveltamisala mm.: Unionissa sijaitseva rekisterinpitäjä ja käsittelijä Unionin alueella olevien henkilöiden tietojen käsittely aina kun käsittely liittyy palveluiden tai tavaroiden tarjoamiseen taikka käyttäytymisen monitorointiin Ei sovelleta kuolleita henkilöitä koskeviin tietoihin Ei sovelleta yksityisen henkilön käsittelyyn > käsittely ei yhteyksissä mihinkään ammatilliseen tai kaupalliseen toimintaan Esim. osoitteiston pitäminen, sosiaalinen verkostoituminen 5
Periaatteet 6
Laillisuus, oikeudenmukaisuus ja läpinäkyvyys Henkilötietoja käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi Henkilölle tulee olla läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään, miten henkilötietoihin tutustutaan tai käsitellään muulla tavoin Missä määrin henkilötietoja käsitellään tai on tarkoitus käsitellä Informoinnin merkitys 7
Käyttötarkoitussidonnaisuus Henkilötietoja kerättävä vain ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen Ei saa käsitellä myöhemmin ristiriidassa alkuperäisten tarkoitusten kanssa 8
Datan minimointi Tietojen oltava asianmukaisia, oleellisia ja rajoituttava siihen, mikä on välttämätöntä suhteessa tarkoitukseen, jota varten niitä käsitellään Tietoja käsiteltävä vain jos käsittelyn tarkoitusta ei voida toteuttaa kohtuullisesti muin keinoin Pystytäänkö tehtävä hoitamaan ilman henkilötiedon käsittelyä? Mikäli kyllä, älä käsittele. 9
Virheettömyys Tietojen oltava täsmällisiä ja niitä on tarpeen mukaan päivitettävä Kaikki mahdolliset kohtuulliset toimet tehtävä sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset tiedot poistetaan tai korjataan ilman viivytystä Mitä oleellisempi vaikutus täsmällisellä henkilötiedolla on rekisteröidylle, sitä korostuneempi merkitys on sen virheettömyydellä Rekisterinpitäjän ei ole katsottu olevan velvollinen korjaamaan henkilörekisterissä olevaa tietoa, jos tieto ei rekisterinpitäjän käsityksen mukaan ole virheellinen, tarpeeton, puutteellinen tai vanhentunut käsittelyn tarkoituksen kannalta 10
Säilytyksen rajoittaminen Tietoja säilytettävä muodossa, josta henkilö on tunnistettavissa, ainoastaan niin kauan kuin se on tarpeen käsittelyn tarkoituksen kannalta Henkilötietojen säilytysaika tulisi olla mahdollisimman lyhyt Asetettava määräaika henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten 11
Eheys ja luottamuksellisuus Tietoja käsiteltävä tavalla joka turvaa asianmukaisen henkilötietojen turvallisuuden Mm. suojattava henkilötietojen luvatonta ja lainvastaista käsittelyä sekä vahingossa tapahtuvaa häviämistä, tuhoutumista tai vahingoittumista vastaan Asianmukaisin teknisin ja organisatorisin toimin 12
-> Osoitusvelvollisuus Rekisterinpitäjä velvollinen ja sen kyettävä osoittamaan, että asetuksen periaatteita on noudatettu Dokumentointi. 13
Käsittelyn lainmukaisuus 14
Käsittelyn peruste Käsittelyn lailliset perusteet: 1. Rekisteröidyn suostumus 2. käsittely on tarpeen sellaisen sopimuksen täytäntöönpanon kannalta, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä 3. käsittely on tarpeen lakiperusteisen velvollisuuden noudattamiseksi 4. käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi tai toisen henkilön elintärkeän edun suojaamiseksi 5. käsittely on tarpeen julkiseen etuun liittyvän tehtävän hoitamiseksi tai julkisen vallan käytössä 6. käsittely on tarpeen rekisterinpitäjän tai kolmannen oikeutetun edun vuoksi paitsi jos rekisteröidyn perusoikeudet vaativat henkilötietojen suojaa ja menevät rekisterinpitäjän tai kolmannen oikeutetun edun edelle. 15
Suostumus 1/5 rekisteröidyn suostumus : vapaaehtoisesti annettu, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen Esim. rasti ruutuun Ei vaikeneminen, valmiiksi rastitettu ruutu tai jättämällä jokin toimi toteuttamatta Rekisterinpitäjän pystyttävä osoittamaan suostumus Asetuksen vastaisesti pyydetty suostumus ei ole sitova. 16
Suostumus 2/5 pyydettävä selvästi erillään muista mahdollisista samaan aikaan esitettävistä tai sovittavista asioista. Esim. pelkkä maininta yleisissä sopimusehdoissa ei riitä ja/tai sopimuksen allekirjoitus ei ole suostumus varmistettava että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta kyse Selkeä ja ymmärrettävä kieli Rekisteröidyn ymmärrettävä mihin suostuu Rekisterinpitäjän henkilöllisyys Tarkoitukset, joita varten henkilötietoja on tarkoitus käsitellä 17
Suostumus 3/5 Jos käsittelyllä on useita käyttötarkoituksia, suostumus annettava kaikkia käsittelytarkoituksia varten Suostumusta ei katsota vapaaehtoisesti annetuksi jos ei ole mahdollista antaa erillistä suostumusta eri käsittelytoimille Rekisteröidyllä oikeus peruuttaa antamansa suostumus koska vaan. Rekisteröityä informoitava mahdollisuudesta peruuttaa suostumus. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. 18
Suostumus 4/5 Suostumuksen vapaaehtoisuus? Suostumusta ei katsota todennäköisesti vapaaehtoisesti annetuksi jos se on palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehto, vaikka suostumus ei ole tarpeellista sopimuksen täytäntöönpanemiseksi rekisteröidyllä ei ole todellista valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu haittaa Rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta 19
Suostumus 5/5 (Lapsen suostumus) kun tarjotaan tietoyhteiskuntapalveluja suoraan lapselle ja kun henkilötietojen käsittely perustuu suostumukseen, alle 16 vuotiaan lapsen henkilötietojen käyttö on sallittua vain huoltajan suostumuksella tai sitä nuoremman jos jäsenvaltion lainsäädäntö vaatii, minimissään kuitenkin 13 v. Tietoyhteiskunnan palvelu sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavaa palvelua rekisterinpitäjän tehtävä kohtuulliset toimenpiteet sen varmistamiseksi että suostumuksen antaja on lapsen oikea huoltaja 20
Oikeutettu etu Rekisterinpitäjän oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen Vs. rekisteröidyn oikeutetut edut tai perusoikeudet Otettava huomioon rekisteröidyn kohtuulliset odotukset Voiko rekisteröity kohtuudella odottaa tietojen keräämisen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten? Oikeutettu etu voi olla olemassa mm. jos rekisterinpitäjän ja rekisteröidyn välillä on asiakas tai palvelussuhde Henkilötietojen käsittely esim. petosten estämistarkoituksessa suoramarkkinointitarkoituksissa Ilmoitettaessa mahdollisista rikollisista teoista tai yleiseen turvallisuuteen kohdistuvista uhkista 21
Pari muuta asiaa 22
Jatkokäsittely Jatkokäsittely = tietoja käytetään tarkoitukseen johon niitä ei alun perin ole kerätty Sallittua vain jos käsittely sopii yhteen alkuperäisen käyttötarkoituksen kanssa Ei edellytä erillistä käsittelyn oikeusperustetta Suostumuksella ja lainsäännöksen nojalla mahdollista muuhun tarkoitukseen kuin alkuperäisen käyttötarkoituksen kanssa yhteensopivaan Jatko käsittely ilman suostumusta tai lain säännöstä: Varmistettava että käsittely yhteneväinen alkuperäisen käsittelytarkoituksen kanssa onko alkuperäisen ja uuden suunnitellun käsittelyn tarkoituksen välillä yhteyttä mitkä ovat olleet olosuhteet kun tietoja on kerätty ja erityisesti rekisteröidyn ja rekisterinpitäjän (voima)suhde henkilötietojen luonne, ovatko esim. arkaluonteisia tietoja suunnitellun jatkokäsittelyn mahdolliset seuraukset rekisteröidyille Asianmukaiset turvatoimien olemassaolo (salaaminen tai pseudonymisointi) Jatkokäsittelyä koskee samat säännöt kuin aiempaakin käsittelyä Periaatteet, rekisteröidyn informointi jne. 23
Käsittely, joka ei edellytä tunnistamista jos käyttötarkoitus jonka vuoksi rekisterinpitäjä käsittelee henkilötietoja ei (enää) edellytä henkilön tunnistamista, rekisterinpitäjä ei ole velvollinen ylläpitämään, hankkimaan tai käsittelemään lisätietoja tunnistaakseen henkilön (yksiselitteisesti) vain sen vuoksi, että se pystyisi noudattamaan asetuksen velvoitteita rekisteröityä on informoitava tästä mikäli mahdollista. Tällöin rekisteröidyn tarkastusoikeus tai oikeus siirtää tiedot rekisterinpitäjältä toiselle ei päde, ellei rekisteröity tarjoa tarvittavia lisätietoja, joita tarvitaan hänen tunnistamiseensa. Rekisterinpitäjän ei tule kieltäytyä ottamaan kyseisiä tietoja vastaan rekisteröidyn oikeuksien käyttämisen tukemiseksi 24
(Arkaluontoisten tietojen käsittely) käsittely on lähtökohtaisesti kiellettyä. Poikkeuksia mm: rekisteröity on antanut siihen suostumuksensa. Kansallinen laki voi kieltää käsittelyn myös tässä tapauksessa. käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvollisuuksien ja erityisten oikeuksien noudattamiseksi liittyen työsuhteeseen tai sosiaaliturvaan ja käsittelyyn on annettu valtuus lailla. käsittelyä tehdään yhdistyksen tai muun vastaavan voittoa tavoittelemattoman organisaation toimesta, jolla on poliittinen, uskonnollinen tai ammattiyhdistyksellinen tarkoitus ja käsittely liittyy ainoastaan sen nykyisiin tai vanhoihin jäseniin tai henkilöihin jotka ovat säännöllisesti tekemisissä kyseisen organisaation kanssa ja kyseisiä tietoja ei luovuteta organisaation ulkopuolelle. rekisteröity on itse tehnyt kyseisistä tiedoista julkisia 25
KIITOS! 26