Sosiaali-ja terveydenhuollon tietosuojaseminaari -SohviTellu 2016 LAHTI, SIBELIUS-TALO 15.11.2016 EU-TIETOSUOJA-ASETUS JA AJANKOHTAISTA TIETOSUOJASTA Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 1 TIETOSUOJAVALTUUTETUN TOIMISTO PERUSKYSYMYS juridinen kiista PIDÄ HAUSKAA POIKIEN KANSSA, KULTA! - Teknologianeutraalisuus - Liikkumisvapaus - Yksityiselämän suoja - Omaisuuden suoja?? - Perusoikeuksien turvaaminen - Kokoontumis- ja yhdistymisvapaus - Sananvapaus ja julkisuusperiaate - Itsemääräämisoikeus - Oikeus henkilökohtaiseen vapauteen ja koskemattomuuteen 2 1
UUDEN AIKAKAUDEN KYNNYKSELLÄ 3 MITÄ YKSITYISYYS ON? MITÄ TIETOSUOJA TARKOITTAA? * Perustuslaki 10 => perusoikeus; poikkeuksista on säädettävä lailla * Oikeus vaikuttaa ja päättää itseään koskevien tietojen käsittelystä * Oikeus tietää tietojensa käsittelystä * Oikeus järjestää yksityiselämänsä ilman perusteetonta ulkopuolisten puuttumista; viestinnän luottamuksellisuus * Oikeus tulla arvioiduksi virheettömien ja tarpeellisten tietojen perusteella * Oikeus tulla kohdelluksi muiden perusoikeuksien mukaisesti (demokratia) * Oikeus saada tietoonsa perusteet, joihin automaattiset päätökset perustuvat * Oikeus luottaa tietoturvallisuuteen => turvaa muita oikeuksia * Oikeus saada apua ja neuvontaa itsenäisiltä viranomaisilta * Oikeus saada tieto viranomaisten asiakirjoista * Tahtotila: toisen herkkyystilaa on vaikea arvioida 4! 2
MITÄ YKSITYISYYS ON? MITÄ TIETOSUOJA TARKOITTAA? UUSIA OIKEUKSIA: - Oikeus mm. keskeyttää, vastustaa - Oikeus siirtää tiedot - Oikeus tunnistaa turvalliset verkkosivut - Oikeus luottaa tietoturvaan - Oikeus saada asia vireille, myös viranomaista vastaan - Oikeus tietää tietoturvaloukkauksista - Viranomaisten toimivalta paranee! 5 DATA PORTABILITY Oikeus siirtää tiedot järjestelmästä toiseen. Rekisteröidyllä on oikeus saada henkilötietonsa rekisterinpitäjältä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus toimittaa tietonsa toiselle rekisterinpitäjälle alkuperäisen rekisterinpitäjän estämättä. Tavoitteena on lisätä kilpailua palvelutarjoajien kesken (esim. kanta-asiakasjärjestelmät) 6 3
DBN: DATA BREACH NOTIFICATION Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille (tietoturvaloukkauksista ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle - mm. tietomurto ja henkilörekisteririkos - Jos tapahtuu henkilötietojen tietoturvaloukkaus (esim. tietovuoto), rekisterinpitäjän on ilmoitettava siitä mahdollisuuksien mukaan 72 tunnissa valvontaviranomaiselle. Samoin ilmoitus pitää tehdä rekisteröidyille. 7 TIETOSUOJAN SUKUPOLVET TIETOSUOJADIREKTIIVI 46/95/EY Resitaali nro 2: Tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseeen sekä yksilöiden hyvinvoinnin lisäämiseen. (Kts. Asetuksen resitaali 2) 1. SUKUPOLVI - perusoikeudet - EN-tietosuojasopimus - henkilörekisterilaki 2. SUKUPOLVI - tietojärjestelmät - tietosuojadirektiivi 46/95/EY - henkilötietolaki 3. SUKUPOLVI - digitaaliset sisämarkkinat - tietosuoja-asetus - TATTi-toimikunta? 8 4
KILPAILUN EDISTÄMINEN LÄHTÖKOHTANA: 1) 28 MS 28 erilaista lainsäädäntöä 2) EU:n investointivaje erityisesti ITC:hen tuottavuusvaje 3) Digitaalinen kaupankäynti on kasvanut hitaammin EU:ssa 4) EU:n uudistukset: - pääomamarkkina-unioni turvaamaan START UP:n rahoitusta - digitaalistrategia - sisämarkkinastrategia - tietosuojauudistus - yhdistetty työllisyyden ja teollisuuden DG:t DG kasvuksi (DG GROWTH) 9 MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI - COM (2015) 634 Final Ehdotus digitaalinen sisältö 2. EU:N KAUPPALAIN HARMONISOINTI - COM (2015) 635 Final Ehdotus etämyyntisopimukset 3. TIETOSUOJAN HARMONISOINTI DIGITAALISTEN SISÄMARKKINOIDEN BUUSTAAMINEN 10 5
KILPAILUA TUKEVAT ELEMENTIT: - Riskiperusteisuus - Digitaaliset sisämarkkinat - hallinnollisen taakan keventäminen 11 KILPAILUN VÄÄRISTYMISTÄ ESTÄVÄT ELEMENTIT: - NO FORUM SHOPPING - DBN Data Breach Notification - Privacy by Design - OSS One stop shop - Consistency mechanism - täytäntöönpanon vahvistaminen 12 6
TIETOSUOJA-ASETUS Hallinnolliset seuraamukset 83 artikla Seuraamukset (muut) 84 artikla Hallinnollisten sanktioiden on oltava tehokkaita, oikeasuhteisia ja varoittavia: 1. Porras 10.000.000 euroa tai jos kyseessä on yritys, 2 % vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi määrä näistä on suurempi: 2. Porras 20.000.000 tai jos..4 % (tätä sovelletaan myös, jos ei noudata valvontaviranomaisten määräyksiä.) Kriminalisointimääräys jäsenvaltioille 13 Henkilötietojen käsittelyn lainmukaisuus, 6 artikla Yksiselitteinen suostumus Sopimus Rekisterinpitäjän lakisääteiset velvoitteet Rekisteröidyn elintärkeä etu Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta Rekisterinpitäjän oikeutettu etu Henkilötietojen käsittely historiallisia, tilastollisia ja tutkimustarkoituksia varten, arkistointitarkoitukset Henkilötietojen jatkokäsittely 14 7
TOIMENPITEET REKISTERINPITÄJILLE: 1) Määrää tietosuojan isäntä; Tietosuojavastaava 2) Analysoi henkilötietovarastosi ja prosessit eliminoi turhat 3) Tee riskiarvio; arvioi myös sopimuksesi (sopimustenhallinta) 4) Laadi toimintaohjeet ja ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, käytä salauksia 6) Huolehdi henkilöstön osaamisesta 7) Valvo henkilötietojen käyttöä 8) Käytä henkilötietolakia apunasi 9) Tunnista muu lainsäädäntö 10) Luo sisäinen ja ulkoinen raportointijärjestelmä; LAADI TIETOTILINPÄÄTÖS 15 Viranomaisten muuttuvat toimivaltuudet 16 8
EU-TASO KANSALLINEN TASO N TASO 17 CONSISTENCY MECHANISM Yhdenmukaisuusmekanismi Mekanismi, jolla pyritään huolehtimaan lähinnä rajat ylittävässä henkilötietojen käsittelyssä harmonisoinnin saavuttaminen EDPB Euroopan tietosuojaneuvosto Puheenjohtajansa johtama itsenäinen oikeushenkilö, joka käyttää harmonisointiin liittyvissä asioissa ylintä päätösvaltaa. Neuvoston jäseninä ovat kansalliset tietosuojaviranomaiset. korvaa direktiivin 95/46/EY 29 artiklalla perustetun tietosuojatyöryhmän. 18 9
Oikeushenkilö Euroopan tietosuojaneuvosto EDPB Puheenjohtaja johtaa. Palvelut ja henkilöstön toimittaa EDPS Jäseninä jäsenmaiden tietosuojavaltuutetut Komissio voi osallistua ilman äänioikeutta Täysin riippumaton elin Huom! Uudistuksen yksi keskeisimmistä asioista on 65 artiklan Euroopan tietosuojaneuvoston kiistanratkaisumenettely : Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen: Jos siis kukaan muiden maiden tietosuojaviranomaisista ei valita tsv:n päätöksistä tämän asetuksen asioista, on toimintasi perusta betonoitu 19 YHDEN LUUKUN PERIAATE ; VII luku Yhteistyö ja yhdenmukaisuus (OSS ja consistency mechanism) Jaksossa kuvataan, miten tietosuojaviranomaiset ovat velvollisia tekemään yhteistyötä lähinnä rajat ylittävissä tilanteissa. Periaatteen noudattamisella pyritään varmistamaan tietosuojasääntöjen yhdenmukainen tulkinta ja soveltaminen kaikissa jäsenmaissa. Rajusti pelkistäen; Rekisteröidyillä on vapaus valita minkä maan tietosuojaviranomaisille he valittavat. Sen maan viranomainen ( johtava valvontaviranomainen ), jonka alueella rekisterinpitäjän päätoimipaikka on, huolehtii valituksen yms. käsittelystä asetuksessa tarkemmin säädetyllä tavalla. Jos muut eivät hyväksy ratkaisua + eräissä asetuksessa säädetyissä muissa tilanteissa asian ratkaisee Euroopan tietosuojaneuvosto EDPB 20 10
EU-TASO 1) Ylikansalliset -caset 2) Määritelmät (kts. kansallinen liikkumavara) 3) Prosessit 4) EDPB:n perustaminen 5) IT-alusta 21 EU-TASO: 5 KOKOUSTA JÄLJELLÄ! WP 29: * DPO * DATA PORTABILITY * SERTIFIKAATIT * DPIA OHJEET VALMISTEILLA EDPB * KÄSIKIRJA VALMISTEILLA * KIELI = ENGLANTI * HALLINNOLLISET SANKTIOT * IT-JÄRJESTELMÄ * TYÖJÄRJESTYS VALMISTEILLA 22 11
SISÄLTÖ: * OSA MUTUAL ASSISTANCE TULKINNOISTA VALMIINA * OSA OSS-TULKINNOISTA VALMIINA * JOHTAVAN VIRANOMAISEN TUNNISTAMISEN KRITEERIT LÄHES VALMIIT TYÖRYHMIÄ: - FOP - KEY PROVISIONS - CO-OPERATION - TECHNOLOGY - EDPB 23 KANSALLINEN TASO 24 12
Tietosuoja-asetuksen vaikutukset kansalliseen lainsäädäntöön: OM:n työryhmä 25 25 KOTIMAAN TASOLLA: - KANSALLINEN LIIKKUMAVARA - INSTRUMENTTI YLEISLAKI? - VIRANOMAISTOIMINNAN ORGANISOINTI - JULKISUUSPERIAATE JA SALASSAPITOSÄÄNTELY - MINISTERIÖIDEN OHJAUS & NORMINPURKUTALKOOT 26 13
1) SANANVAPAUS alatyöryhmä 2) VIRANOMAISTOIMINTA- alatyöryhmä 3) TIETEELLINEN TUTKIMUS YM. alatyöryhmä 4) HENKILÖTUNNUS-alatyöryhmä 5) TYÖELÄMÄN TIETOSUOJA alatyöryhmä 6) KIRKON TIETOSUOJA alatyöryhmä 7) LAINSÄÄDÄNNÖN KARTOITUS tutkimus 8) YRITYSVAIKUTUSTEN ARVIOINTI 27 SUOMALAISIA PELAAJIA TIETOSUOJA- KENTÄLLÄ TIETOSUOJA- LAUTAKUNTA VIESTINTÄVIRASTO (Ficora) SOSIAALI- JA TERVEYSALAN LUPA- JA VALVONTAVIRASTO (Valvira) TIETOSUOJAVALTUUTETUN TOIMISTO KILPAILU- JA KULUTTAJA- VIRASTO KANSALLIS- ARKISTO TYÖSUOJELUPIIRIT KUKA? 28 14
Vai ainoastaan Tai jokin muu itsenäinen viranomainen 29 TSV:N TASO 30 15
N NYKYISET PERUSPROSESSIT 1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija 8) Kansainvälinen lähettiläs. UUDET PROSESSIT: 1) Yhdenmukaisuusmekanismi 2) Hallinnolliset sanktiot 3) Ennakkohyväksymistehtävät (Auditointi) 4) Ulkomaille siirrot 5) Data Breach Notifications ilmoitusprosessi 6) Tarkastukset 7) Sähköinen asiointialusta 8) Kansallinen lainsäädäntö 9) Tietosuojavastaavat 31 ASETUS JA DIREKTIIVI * issä: - Tilanne - Päivitystarve - Toteutumat - Riskianalyysi - kirjanpito, arvioidut kulut - sisäinen tiedotus / hlöstö - Miten asetuksen vaikutukset on huomioitu kansallisesti ja EUtasolla Projektille annettiin nimi TSAU Projekti- ALOI- suunni- telman TUS 18.11. hyväksyntä 2015 - Esittely - Nimitykset - Tehtäväjako A. Osaamisen hallinta B. Organisaatio C. Vaikuttavuus * Maalis 2016 1 A.1.a Sisäinen A.2.a Ulkoinen B.1.a Resurssit C.1.a Projektisuunnitelma A.1.b - Henkilöstösuunnitelma 2016-2019 - Koulutussuunnitelma 2016-2019 - Help desk-toiminta A.2.b Yhteistyökumppanin valinta B.1.b C.1.b Pohjoismainen kokous,islanti * Touko 2016 2 ( kans.väl.) A.2.c -Kotisivut -SOME -Koulutus B.1.c Organisaatiosuunnitelma * Syys 2016 3 A.1.c Asianhallintajärjestelmän laatu A.2.d Tietosuojavastaavat B.1.d -Toimenkuvat -Palkat * Joulu 2016 4 A.1.d Toteutus ja raportointi A.2.e B.1.e - Nimitykset A.1.e B.1.f * Kesä 2017 5 SEURANTA PÄÄT TYY 2018 Riskianalyysi **** ** NYKYISET PERUSPROSESSIT: 1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija 8) Kansainvälinen lähettiläs. *** UUDET PROSESSIT: 1. Yhdenmukaisuusmekanismi 2. Hallinnolliset sanktiot 3. Ennakkohyväksymistehtävät (Auditointi) 4. Ulkomaille siirrot 5. Data Breach Notifications ilmoitusprosessi 6. Tarkastukset 7. Sähköinen asiointialusta 8. Kansallinen lainsäädäntö Versio 27.11.2015 Sisäinen tiedotus D. Uudet prosessit E. Muut projektit F. Kansainvälinen yhteistyö G. IT-alusta D.1.a Lainsäädäntökehikko E.1.a Oikeusministeriö - toimikunta F.1.a. Euroopan tietosuojaneuvosto F.2.a. Substanssiasiat F.3.a. Hallinnolliset asiat G.1.a. Kansainväliset valitusasiat G.2.a. Kansalliset konvertiot D.1.a.a Nykyprosessien päivitystarve ** D.1.a.b Työmetodit (8 uutta prosessia ***) E.1.b Alatyöryhmät F.1.b F.2.b. WP 29 ohjeistus F.3.b. WP 29 ohjeistus D.1.b.1 Testaus E.1.c G.1.b. Yhteiset operaatiot G.2.b. - Vaikuttavuus -Osaamisen hallinta - Laadun tarkkailu D.1.b.2 Käyttöönotto F.2.c F.3.c G.1.c. Yhdenmukaisuusmekanismi G.2.c D.1.b.3 G.1.d H. Yleistarkistus piste I. SAUNA- ILTA J. KÄYTTÖÖN- OTTO 32 16
HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 RISKIPERUSTEINEN LÄHESTYMISTAPA Aloitus 2 Tietoturvallisuus 32 PRIVACY BY DEFAULT PRIVACY BY DESIGN HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus Oikeus käsitellä 3 3-k & 6 8, 12, 13, 14-20 Suunnittelu huolellisuus 5-6 - DPIA - PRIOR CONSULTING Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 PROFILOINTI OSS Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Käytön hallinnointi 5 - KIRJANPITO - PSEUDONYYMIT - GENEETTISET, BIOMETR. Rekisteröidyn oikeudet 24-29 Viranomaisilmoitukset 36-37 Informointivelvollisuus 24 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 YHDENMUKAISUUS- MEKANISMI Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 - RTBF - PORTABILITY - VASTUSTUS ACCOUNTABILITY Ulkomaille siirrot 22-23 + 10 art. Kouluta, ohjeista 5 Päiv. 11.3.2016 EDPB PRIVACY SHIELD - SERTIFIKAATIT - AUDITOINNIT PIA TIETOSUOJAVASTAAVA DBN33 33 Tietosuojaviranomaisten suorittama lainvalvonta YHDENMUKAISUUSMENETTELY VALITUKSET ETUKÄTEIS- VALVONTA TARKASTUKSET TILIVELVOLLISUUS / TIETOTILINPÄÄTÖS OHJEISTUS- JA NEUVONTA- PYYNNÖT PIA Privacy Impact Assessment TOIMIVALLAT? 34 17
KYSYMYKSIÄ KUULIJOILLE 1) Miten vastaatte kilpailuun? 2) Miten otatte alihankintaketjunne haltuun & sopimukset? 3) Miten varmistatte osaamisenne? 4) Tietoturva? 5) Miten saavutatte tilintekokykyisyyden? 6) Toimintasuunnitelmanne DBN:n (Data Breach Notification) varalle? 7) Miten arvioitte teknologiaa? 8) Hyödyt - Haitat -analyysi 35 TIETOSUOJA-ASETUS: KÄYTÄNNÖN SEURAAMUKSIA VIRANOMAISILLE EI SEN VÄHEMPÄÄ KUIN: 1) UUSI LAINSÄÄDÄNTÖKEHIKKO JA TOIMINTAYMPÄRISTÖ 2) UUSIA TEHTÄVIÄ 3) UUSIA TOIMIVALTUUKSIA 4) UUSI VERKOSTOYHTEISTYÖ MUIDEN MAIDEN TIETOSUOJAVIRANOMAISET 5) UUSIA ASIAKKAITA (+ 500 MILJOONAA) 6) UUSIA TYÖSTENTELYTAPOJA 7) UUSI IT-ALUSTA 8) UUSI PÄÄTÖKSENTEKOSYSTEEMI 9) UUSIA ORGANISAATIOITA (?!) 10) UUSIA TOIMENKUVIA 11) UUSI VIRANOMAINEN? JA KAIKKI TÄMÄ SAMALLA KUN ON HUOLEHDITTAVA MYÖS NYKYISISTÄ PÄIVITTÄISISTÄ TEHTÄVISTÄ 36 18
KIITOS KUUNTELUSTA Lisätietoja: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 37 19