EU:n tietosuoja-asetus (2016/679) Valtakunnalliset tutkimushoitaja- ja tutkimuskoordinaattoripäivät 17.3.2017 Helsinki Jaana Riikonen, tietosuojavastaava
Puhummeko yhteistä kieltä? Tietosuojalla tarkoitetaan henkilötietolain mukaan asiakastietojen asiallisesti perusteltua käsittelyä; keräämistä, tallentamista, käyttöä, yhdistämistä, siirtoa, luovuttamista, arkistointia, hävittämistä sekä muita asiakastietoihin kohdistettavia toimenpiteitä Kun on puutteita tietosuojaosaamisessa (tietojen käsittely): Seurauksena on tehottomuutta, ei saavuteta kustannussäästöjä, potilasturvallisuus vaarantuu, työntekijän oikeusturva vaarantuu, yksityisyyden suoja on liian heikko tai liian tiukka. 2 17.3.2017
Euroopan parlamentin ja neuvoston asetus (2016/679, yleinen tietosuoja-asetus) 3 17.3.2017
EU:n yleinen tietosuoja-asetus (taustaa) Tietosuoja-asetus julkaistiin 4.5.2016 Euroopan unionin virallisessa lehdessä L 119. Asetus tuli voimaan kahdentenakymmenentenä päivänä julkaisemisen jälkeen, ja sitä sovelletaan 25. päivästä toukokuuta 2018. Tavoitteena tietosuoja-asioiden harmonisointi kaikissa EU-maissa ja asetusta tulee soveltaa yhdenmukaisesti kaikissa EU:n jäsenvaltioissa. rekisterinpitäjällä korkea vastuu tilintekokykyisyys korostuu ilmoitusvelvollisuus tietosuojapoikkeamissa tietosuojaviranomaisille ja asiakkaille mahdollisia suuria rahallisia sakkoja tietosuojapuutteista 4 17.3.2017
Miksi? Tietosuojavaltuutettu 5.4.2016: Tarvitaan vankka säännöstö, joka varmistaa, että ihmisten oikeus henkilötietojen suojaan joka tunnistetaan EU:n perusoikeuskirjan 8 artiklassa pysyy voimassa myös digitaaliaikana. Tämä hyödyttää samalla digitaalisen talouden kehittämistä. 5 17.3.2017
Tietosuojan merkityksen kasvu Uusi digitalisoituva toimintaympäristö Informaatioteknologian vallankumous Tietoliikenneyhteyksien kehitys Tallennuskapasiteetin kehitys Verkottuneet tietojärjestelmät Pilvipalvelut Offshoring-ulkoistukset Teknologian käytön ja työn tekemisen uudet tavat Mobiiliratkaisut ja etätyö 6 17.3.2017
Yksityisyyden suojaan kohdistuvat uhat Yksilön digitaalinen jalanjälki kasvaa Yli 90% kaikesta koskaan syntyneestä tiedosta on tallennettu 2010-luvulla Mooren laki: tietokoneiden suorituskyvyn kasvu tuo kaiken tiedon käsiteltäväksi Kiinnostus tietosuojaan kasvaa Tiedon käyttö- ja väärinkäyttömahdollisuudet ennalta arvaamattomia Yksilöt tietoisempia uhista ja oikeuksistaan Median kiinnostus voimakasta Kyberturvallisuusriskeistä tullut todellisia 7 17.3.2017
Uusi asennoituminen tietosuojaan Tietosuojan rooli muuttunut Yrityksille osa vastuullista liiketoimintaa ja riskienhallintaa Tietosuoja ei ole uhka vaan mahdollistaja Haettaessa uudesta teknologiasta hyötyjä ja tehokkuutta, ymmärretään tietosuojan olevan välttämätön osatekijä EU:n tietosuoja-asetus tarjoaa porkkanaa mm. Organisaatioille lisää tuottavuutta + tehokkuutta Oikeusturvaa työntekijälle + tietosuojaa asiakkaalle 8 17.3.2017
Asetuksen sisältö ja tavoite 9 17.3.2017
Lainmukainen henkilötietojen käsittely (art 6) Henkilötietoja saa käsitellä Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi 10 17.3.2017
Lainmukainen henkilötietojen käsittely Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi 11 17.3.2017
Henkilötietojen käsittelyn perusperiaatteet (5 art) Niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi ("lainmukaisuus, kohtuullisuus ja läpinäkyvyys") Ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla ( käyttötarkoitussidonnaisuus ) Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään ("tietojen minimointi") 12 17.3.2017
Henkilötietojen käsittelyn perusperiaatteet Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä ("täsmällisyys") Ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten ( säilytyksen rajoittaminen ) 13 17.3.2017
Henkilötietojen käsittelyn perusperiaatteet Niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia ("eheys ja luottamuksellisuus") Tietosuoja-asetuksen lisäys: Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että periaatteita on noudatettu ("osoitusvelvollisuus") 14 17.3.2017
Suostumus Käsittelyn perusta, paitsi jos käsittely perustuu rekisterinpitäjän lakisääteisen velvoitteen noudattamiseen Määritelmä: Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu Aktiivinen toimi, joka osoittaa selkeästi rekisteröidyn hyväksyvän henkilötietojensa käsittelyä koskevan ehdotuksen hiljainen suostumus ei enää mahdollinen Rekisterinpitäjän informointivelvoite mihin suostumus on annettu Selkeällä ja yksinkertaisella kielellä, helposti ymmärrettävissä ja saatavilla olevassa muodossa 15 17.3.2017
Suostumus Rekisterinpitäjän kyettävä osoittamaan suostumuksen olemassaolo Suostumus tulee olla peruutettavissa yhtä helposti kuin on annettu 16 17.3.2017
Rekisteröidyn oikeudet Rekisterinpitäjän informointivelvollisuus Oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus poistaa tiedot ( oikeus tulla unohdetuksi ) Oikeus siirtää tiedot järjestelmästä toiseen (uusi) Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia (uusi) Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta (uusi) 17 17.3.2017
Seloste käsittelytoimista Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot Käsittelyn tarkoitukset Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä Henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat 18 17.3.2017
Seloste käsittelytoimista Tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä Mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat Mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista 19 17.3.2017
Rekisteröidyn oikeudet Rekisterinpitäjän informointivelvollisuus Oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus poistaa tiedot ( oikeus tulla unohdetuksi ) Oikeus siirtää tiedot järjestelmästä toiseen (uusi) Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia (uusi) Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta (uusi) 20 17.3.2017
Rekisterinpitäjän velvollisuudet Käsittelyn oikeusperusta Tietosuojan hallinnointi, roolit ja vastuut Tietosuojariskienhallinta Tietosuojan vaikutustenarvioinnit Sisäänrakennettu- ja oletusarvoinen tietosuoja Tietoturvallisuuden toteuttaminen Poikkeamien hallinta ja ilmoitusvelvollisuus Dokumentaatio, politiikat ja ohjeistukset Rekisterinpitäjän ja käsittelijän väliset sopimukset Rekisterinpitäjän yhteistyövelvoite Hallinnolliset sakot ja seuraamukset 21 17.3.2017
Seuraukset Organisaatiotaso Suorat taloudelliset vahingot (Mikäli yrityksen todetaan rikkoneen asetuksen vaatimuksia, hallinnolliset sanktiot jopa 20 M tai 4 % globaalista liikevaihdosta, korkeamman mukaan) Menetetyn aineettoman omaisuuden aiheuttama vahinko Arkaluonteisen tiedon menettämisen aiheuttamat vahingot Kilpailuedun menetys Maineen menetys Luottamuksen menetys Asiakkuuksien ja yt-kumppaneiden menetys Toimintojen ja palveluiden pysähtyminen tai hidastuminen Aiheutuvat lisä-/vaihtoehtoiskustannukset Toiminnan kannattamattomuus Yksityinen taso Yksityisyyden menetys Henkilökohtaisen, perheen ja läheisten turvallisuuden vaarantuminen Omaisuuden vaarantuminen Suorat taloudelliset vahingot Henkilökohtaisen identiteetin ja immuniteetin vaarantuminen Arjen toimintojen hallinnan vaarantuminen Hyvinvoinnin heikentyminen Turvattomuuden lisääntyminen Aiheutuvat lisäkustannukset Maineen menetys 22 17.3.2017
Tietosuojan nykytila-analyysi Rekisteriseloste-, henkilötieto- ja sopimusinventaario Riskiarvio Tietosuojavastuut Rekisteröityjen oikeudet ja niiden toteuttamisen menettelyprosessit Henkilöstön koulutukset ja ohjeet Järjestelmähankkeet Meneillään olevat / uudet järjestelmähankkeet Viestintä Johdon raportointi Riskienhallinnan kehittäminen 23 17.3.2017
Tietosuojaa koskeva vaikutustenarviointi on tehtävä silloin, kun käsittelyyn kohdistuu korkea riski 24 17.3.2017
Accountability-periaate Rekisterinpitäjien pitää pystyä siirtymään tietosuoja-asioiden noudattamisessa do it ideologiasta prove it formaattiin. Eli enää ei riitä, että kertoo noudattavansa lakeja vaan se pitää pystyä myös osoittamaan se (mm. tietotilinpäätös ja soten tietoturvan ja tietosuojan omavalvontasuunnitelma) 25 17.3.2017
Erityisesti huomioitava Sisäänrakennettu- ja oletusarvoinen tietosuoja Ilmoitusvelvollisuus tietosuojapoikkeamissa Osoitusvelvollisuus - tilintekokykyisyys Riskienhallinta ja vaikutustenarviointi korostuu Riskiperustainen lähestymistapa 26 17.3.2017
Linkki EU:n tietosuoja-asetukseen: http://www.privacy-regulation.eu/fi/index.htm 27 17.3.2017
Lähteet EU:n tietosuoja-asetus EU-tietosuojan kokonaisuudistus, VAHTI-raportti 1/2016 Tietosuojakysely 2016, Tietosuojavaltuutetun toimisto ja Kela KIITOS! Tietosuojavaltuutetun toimiston Internet sivut Opi tietosuojaa Internet -sivut Johdon tuki tietosuojavastaavalle terveydenhuollon organisaatiossa, Pro gradu tutkielma, Jaana Riikonen, Itä-Suomen Jaana yliopisto Riikonen, tietosuojavastaava 2013 Tietosuojavastaavien Pirkanmaan sairaanhoitopiiri rooli ja asema sosiaali- ja jaana.riikonen (at) pshp.fi terveydenhuollossa, Pro gradu tutkielma, Mirja Vilpponen, Itä-Suomen yliopisto 2012 28 17.3.2017