LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA Heljä-Tuulia Pihamaa Toimistopäällikkö 2.6.2016 1
25.5.2018 Onko tietosuojaviranomainen valmiina? 2
TSV:N SIIRTYMÄAJAN PROJEKTI 2016-2017 TSAU 1 LAIN- SÄÄDÄNTÖ- PROJEKTI 2 VIESTINTÄ- PROJEKTI 3 ORGANI- SAATIO- PROJEKTI 4 KV- PROJEKTI 5 IT- PROJEKTI 6 VAIKUT- TAVUUS- PROJEKTI 7 UUDET PROSESSIT -PROJEKTI 3
MUUTOKSIA VIRANOMAISELLE : 1. Uusi lainsäädäntökehikko 2. Uusia tehtäviä ja toimivaltuuksia 3. Uusia sidosryhmiä 4. Uusia asiakkaita 5. Uusia työskentelymenetelmiä ja tapoja 6. Uusia työkaluja 7. Uusi päätöksentekojärjestelmä 8. Uusi organisaatio ja uusia toimenkuvia 9. Kokonaan uusi viranomainen? = Uutta opiskeltavaa, tiedotettavaa ja opetettavaa! 4
Asetus vahvistaa tietosuojaviranomaisten roolia monella tapaa. 5
1. UUSI LAINSÄÄDÄNTÖKEHIKKO Asetus korvaa henkilötietolain säätämisohjeena olleen tietosuojadirektiivin (95/46/EY). Asetus on kaikissa jäsenvaltioissa suoraan sovellettava, joten se edellyttää mm. henkilötietolain ja kansallisia valvontaviranomaisia koskevan lain uudelleen arviointia. Tietosuoja-asetus edellyttää lainsäädäntötoimenpiteitä, sillä jäsenvaltiot voivat antaa asetusta tarkentavaa lainsäädäntöä erityisesti julkisella sektorilla. Jossain määrin lainsäädännöllä on myös mahdollista poiketa asetuksen velvoitteista (kansallinen liikkumavara). Tietosuojapakettiin kuuluu myös direktiivi henkilötietojen käsittelystä poliisi- ja rikosoikeudellisen yhteistyön alalla (entisen III-pilarin asiat). 6
2. UUSIA TEHTÄVIÄ JA TOIMIVALTUUKSIA Nykyisten tehtävien päälle tulee yhdeksän uutta tehtävää/prosessia: YHDENLUUKUN PERIAATE JA YHDENMUKAISUUSMEKANISMI - jäsenyys EDPB:ssä HALLINNOLLISTEN TOIMIVALTOJEN KÄYTTÖ - huomautuksen, varoituksen antaminen käsittelijälle - määräykset käsittelijälle - velvoite-toimivalta - hallinnolliset prosessit ml. sakotustoimivalta ENNAKKOHYVÄKSYMISTEHTÄVÄT (AUDITOINTI) - vakiosopimusten hyväksyminen - PIA:n hallinnointi - ennakkoneuvonta & konsultointi - käytännesäännöt, sertifiointien hallinnointi 7
ULKOMAILLE SIIRROT - sopimuslausekkeiden hyväksyminen - BCR:t TIETOTURVA-PROSESSI - tietoturvaloukkauksista ilmoittaminen TARKASTUKSET - laajemmat tarkastukset & tutkimukset 8
3. UUDET SIDOSRYHMÄT Tietosuoja-asetuksen tuomia uusia sidosryhmiä mm: - Euroopan tietosuojaneuvosto (EDPB) - Lakisääteiset tietosuojavastaavat - Muiden EU-maiden tietosuojaviranomaiset 9
4. UUDET ASIAKKAAT Tietosuoja-asetuksen myötä viranomaisen asiakaskunta kasvaa. Jokainen noin 500 miljoonasta rekisteröidystä voi valita viranomaisen jonka kanssa haluaa asioida. Ylikansalliset yritykset ja eurooppalaistuvat suomalaiset yritykset Tietojen käsittelijät 10
5. UUDET TYÖMENETELMÄT JA TAVAT Tietosuoja-asetus tuo tullessaan uusia opeteltavia työmenetelmiä ja tapoja mm. - eri viranomaisten yhteiset operaatiot ja avustustehtävät, - yhdenluukun periaate (OSS) ja yhdenmukaisuusmekanismi, - kielikysymykset ja vaatimukset. 11
6. UUDET TYÖKALUT Tietosuoja-asetuksen edellyttämien tehtävien hoitaminen edellyttää uusia työkaluja ja muutoksia tietojärjestelmiin, mm. - sähköinen e-asiointialusta, - kv-yhteistyön edellyttämä tekniikka tietojen vaihdolle, yhteisille operaatioille, valitusasioiden käsittelemiseen ja yhdenmukaisuusmekanismiin, - asianhallintajärjestelmä tulee päivittää mm. uusien prosessien edellyttämällä tavalla. 12
7. UUSI PÄÄTÖKSENTEKOJÄRJESTELMÄ Ylikansalliset tietosuojaongelmat ratkaistaan yhdenmukaisuusmekanismissa Euroopan tietosuojaneuvostossa (EDPB). EDPB ON: Unionin toimielin, oikeushenkilö jonka tehtävänä on mm. Varmistaa, että asetusta sovelletaan yhdenmukaisesti. Se on monissa suhteissa kansallista viranomaista ylempi taho, joka voi antaa oikeudellisesti sitovia päätöksiä asioissa, joissa kansallisten viranomaisilla on eriävät näkemykset. 13
8. UUSI ORGANISAATIO JA UUDET TOIMENKUVAT Uudet tehtävät, toimivaltuudet ja toimintatavat edellyttävät: - organisaatiorakenteen uudistamista, - henkilöstön tehtävänkuvien arviointia ja tehtävien vaativuustason luokittelua, - johdon uudelleen arviointia, esim. tarvitaanko apulaistietosuojavaltuutettua? 14
9. VAI KOKONAAN UUSI VIRANOMAINEN? OM:n työryhmän tehtävänä on selvittää kansallisia tietosuojaviranomaisia koskevan lainsäädännön muutostarve ja valmistella tarvittaessa uusi laki. Asetuksen VI lukuun sisältyvät säännökset riippumattomista kansallisista lainvalvontaviranomaisista ja niiden toimivallasta, tehtävistä ja valtuutuksista. Jokaisella jäsenvaltion on varmistettava, että valvontaviranomaiselle osoitetaan riittävät tekniset, taloudelliset-,henkilö-,tila- ja infrastruktuuriresurssit jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen EDPB:n työhön. 15
Asetuksen tavoitteiden toteutuminen edellyttää vahvaa valvontaviranomaista. 16
Tietosuojavaltuutetun toimisto tiedottaa ja julkaisee ohjeita osoitteessa www.tietosuoja.fi 17