Tiedon elinkaaren hallinnan kipupisteet ja kehittämistarpeet - miksi muutosta tarvitaan

Samankaltaiset tiedostot
Tiedon elinkaaren hallinnan kipupisteet ja kehittämistarpeet - miksi muutosta tarvitaan

Tiedonhallinnan lainsäädännön kehittäminen

Tiedonhallinnan lainsäädännön kehittäminen

Tiedonhallinnan lainsäädännön kehittäminen

Tiedonhallinnan lainsäädännön kehittäminen (Tietohallintolaki)

Tietosuoja-asetus Immo Aakkula Arkistointi

Informaatiovelvoite ja tietosuojaperiaate

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tiedollinen itsemääräämisoikeus ja MyData

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tiedonhallinnan lainsäädännön kehittäminen ja tietoturva

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tiedon elinkaaren hallinta Henkilötietojen suoja

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Salon kaupunki , 1820/ /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Salon kaupunki / /2018

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Varhaiskasvatuksen tietovaranto (Varda) tietosuojaseloste

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Salon kaupunki , 1820/ /2018

Informointiasiakirja varhaiskasvatuksen tietovaranto Vardaan tallennettavista varhaiskasvatus asiakkaiden tiedoista

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Salon kaupunki / /2018

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

LAUSUNTO Dnro 5935/96/2018

Tampereen Aikidoseura Nozomi ry

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietosuojavaltuutetun toimiston tietoisku

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus. 3. Yhteistyöhankkeena tehtävän tutkimuksen osapuolet ja vastuunjako

Tietosuoja-asetus ja sen kansallinen implementointi

TIETOSUOJAVALTUUTETUN TOIMISTO

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

TIETOSUOJAILMOITUS DIDIVE-HANKE

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Tietosuojaseloste 1 (6)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Tutkittavan informointi ja suostumus

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1. Arvionne lukuun 1 Johdanto

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

Kansallinen tietosuojalaki

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

OP Laatimis- tai muutosajankohta: v1.7

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

OP Laatimis- tai muutosajankohta: v1.7

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä


EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Organisaatioluvan hakeminen

Teknologia avusteiset palvelutverkostopalaveri

Tietoturva yhdistyksessä

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Transkriptio:

Tiedon elinkaaren hallinnan kipupisteet ja kehittämistarpeet - miksi muutosta tarvitaan 24.03.2017 Tomi Voutilainen JulkICT-osasto

Tiedonhallinnan yleislainsäädännön nykytila Laki sähköisestä asioinnista viranomaistoiminnassa Hallintolaki Kuntalaki Julkisuuslaki Arkistolaki Henkilötietolaki Rekisterilainsäädäntö Tietohallintolaki Yleinen tietosuojaasetus 2

Yhteentoimivuus 3

Lähtökohta tiedon elinkaaren sääntely Ennakkoon suunnittelu Tietojen kerääminen Tietojen käyttö ensisijaiseen käyttötarkoitukseen Tietojen säilyttäminen Tietojen arkistointi Käyttötarkoitus, tarpeellisuus elinkaaren määrittäminen Käyttötarkoitus, tarpeellisuus Käyttötarkoitus, tarpeellisuus, ajantasaisuus sekä käytön kontrolli ja rajoittaminen Tietojen hyödyntäminen Käyttötarkoitus, tarpeellisuus, ajantasaisuus sekä käytön kontrolli ja rajoittaminen sekä säilytysajat - Julkisuuslaki - Julkisuusasetus - Tietohallintolaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Julkisuuslaki - Julkisuusasetus - Hallintolaki - Kuntalaki - Laki sähköisestä asioinnista viranomaistoiminn assa (asiointilaki) - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Julkisuuslaki - Julkisuuslaki - Tietoturva-asetus - Julkisuusasetus - Hallintolaki - Tietoturva-asetus - Asiointilaki - Asiointilaki - Arkistolaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus - Henkilötietolaki/ tietosuoja-asetus - Erityislainsäädäntö - Erityislainsäädäntö - Julkisuuslaki - Julkisuusasetus - Tietoturva-asetus - Asiointilaki - Arkistolaki - Henkilötietolaki/ tietosuoja-asetus 4

Tiedonhallinta Prosessit Tuottavat Ohjaavat Tiedonhallinta Tietovarannot Tietojärjestelmät Hallinnoivat 5

Säädösvalmistelussa huomioitavaa Säädösvalmistelussa on huomioitava seuraavat pääministeri Sipilän hallitusohjelmasta lähtevät periaatteet: Julkisten asiakaslähtöisten palveluiden tiedonhallinnan tukeminen ja digitalisointi; Hallinnon sisäiset prosessit digitalisoidaan; Vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä, samalla varmistaen tietojen sujuva siirtyminen viranomaisten välillä; Sääntelyn nettomääräinen keventäminen; Säädöksille vaihtoehtoisten ohjauskeinojen lisääminen; Turhan sääntelyn purkaminen; Hallinnollisen taakan keventäminen; EU-säännösten toimeenpanossa pidättäydytään kansallisesta lisäsääntelystä; Kuntien lakisääteisten tehtävien karsiminen; 6

Sääntelyn kehittämisen liikkumatilaa rajoittavat Perustuslaki EU-oikeus EUT PeV Tiedonhallinnan sääntelykehikko EIT Kansainvälinen oikeus 7

Havaintoja kehittämistarpeista Julkisuuslaissa omaksutun viranomaisten erillisyysperiaate johtaa moninkertaiseen saman tietoaineiston hallintaan. Tiedonhallintaan liittyy runsaasti fraasimaista sääntelyä, jolla ei välttämättä ole varsinaista perusoikeuksiin ja muihin oikeuksiin vaikutusta tai asiasta on säädetty yleislaissa Teknisen käyttöyhteyden sääntely Salassapidon ja vaitiolovelvollisuuden sääntely erityislaeissa Viranomaisten tiedonsaanti rekistereistä, joiden tietoja ei ole säädetty salassa pidettäväksi Tietojen säilyttämistä koskeva sääntely ei ole yhtenäistä, vaan ne perustuvat Lain tai asetuksen tasoisiin säännöksiin Kansallisarkiston määräyksiin Viranomaisen omiin määräyksiin arkistonmuodostussuunnitelmassa PeV: henkilötietojen säilytysajoista on säädettävä laissa 8

Tietojen säilyttäminen vrt. tietojen arkistointi Perustuslakivaliokunta PeVL 14/1998 vp: Perustuslakivaliokunta on vakiintuneesti pitänyt muun muassa tietojen säilytysaikaa henkilörekisterissä perustuslain 10.1 :ssä turvatun henkilötietojen suojan kannalta tärkeänä sääntelykohteena. PeVL 20/2006 vp: Säilytysaikaa koskevan sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista. PeVL 54/2010 vp: Tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita. Pysyvää säilyttämistä puoltaa se, että tiedot ovat osin muuttumattomia tai hitaasti muuttuvia eikä niitä päivitetä pelkän ajan kulumisen vuoksi, ja niiden pysyvä säilyttäminen on tarpeellista tehtävien hoitamiseksi. Perustuslaki Arkistolaki Korkein hallinto-oikeus 2017:34 Arkistolaitos (Kansallisarkisto) oli määrännyt puolustusvoimien peruskoeaineistot pysyvästi säilytettäväksi. Arkistolaitoksen toimivalta tällaisen määräyksen antamiseen perustui arkistolain 8 :n 3 momenttiin. Aineistojen pysyvää säilyttämistä koskevassa asiassa ei ollut merkitystä asevelvollisuuslain 98 :n säännöksellä, joka koski tietojen poistamista asevelvollisrekisteristä, eikä silläkään, että pysyvästi säilytettäviin tietoihin sisältyi myös arkaluonteisia tietoja. Koska aineistot olivat tutkimuksellisesti arvokkaita, määräykselle niiden pysyvästä säilyttämisestä oli lainmukainen peruste. 9

Säilytysaikojen sääntely Laki Asetus TIETOVARANTO Määräys 10

Tietoaineistojen säilyttäminen ja tietosuoja-asetus TsA 5 artiklan 1 kohdan e) alakohta: Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi ( säilytyksen rajoittaminen ); TsA 5 artiklan 3 kohta: Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. TsA 13 artikla 2 kohdan a) alakohta: Informointivelvollisuus muun muassa: henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; 11

Tietoaineistojen säilyttäminen ja tietosuoja-asetus TsA 23 artiklan 1 kohta: jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12 22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12 22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja - vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide TsA 23 artiklan 2 kohta: lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin a) käsittelytarkoitusta tai käsittelyn ryhmiä; b) henkilötietoryhmiä; c) käyttöön otettujen rajoitusten soveltamisalaa; d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen; e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä; f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja h) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen. 12

Tietoaineistojen säilyttäminen ja tietosuoja-asetus TsA 25 artiklan 2 kohta (sisään rakennettu ja oletusarvoinen tietosuoja): Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. 13

Tietoaineistojen säilytys ja tietosuoja-asetus Resitaali 39: Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Resitaali 45: Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Lainsäädännössä voitaisiin täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely. Resitaali 65 Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. 14

Tietoaineistojen arkistointi ja tietosuoja-asetuksen 89 artikla Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisia toimenpiteitä voivat olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin. Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa tai kansallisessa lainsäädännössä voidaan säätää poikkeuksista 15, 16, 18, 19, 20 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin kyseiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. 15

Arkistointi ja tietosuoja-asetus Resitaali 158: Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin, ottaen huomioon, että tätä asetusta ei sovelleta kuolleiden henkilöiden henkilötietoihin. Viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, olisi unionin oikeuden tai jäsenvaltion lainsäädännön nojalla oltava palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntää pääsy niihin. Jäsenvaltiolla olisi lisäksi oltava mahdollisuus säätää, että henkilötietoja voidaan käsitellä myöhemmin arkistointitarkoituksiin, esimerkiksi erityistietojen hankkimiseksi poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, kansanmurhasta, rikoksista ihmisyyttä vastaan ja erityisesti holokaustista tai sotarikoksista. 16

Syötteitä kehittämistyöhön PeVL 38/2016 vp: Valiokunta pitää tärkeänä myös, että valtioneuvoston piirissä kartoitetaan myös erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä. Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla EOA 5374/4/15, 5.12.2016 EOA:n käsityksen mukaan viranomaisten asiakirjojen saatavuus ja sähköisen asioinnin myötä myös niiden kysyntä asiakirjapyyntöjen muodossa on sittemmin merkittävästi lisääntynyt. Arkistolain muutosesityksessä todettuja tosiasiallisia vaikeuksia toteuttaa asiakirjapyyntöjä lainmukaisessa määräajassa voi esiintyä muissakin viranomaisissa. Asiakirjapyyntöjen toteuttamisen työläyttä lisää erityisesti se Suomessa omaksuttu julkisuuslain 10 :stä ilmenevä peri-aate, että kun vain osa asiakirjasta on salassa pidettävä, tieto on annettava asiakirjan julkisesta osasta. Julkisuuslakia säädettäessä ei ehkä osattu täysin ennakoida asiakirjapyyntöjen käsittelyn enenevää työläyttä. Tämä koskee erityisesti sellaisia viranomaisia, joiden asiakirjoihin tyypillisesti sisältyy osittain salassa pidettäviä tietoja. Koska viranomaisen pitäisi voida toimia lainmukaisesti kaikissa tilanteissa, EOA:n mielestä määrä-aikasääntely voisi ääritapauksissa olla arkistolain muutoksessa ehdotettua väljempääkin. Vastaavasti ääritapauksissa ajateltavissa voisi olla viranomaisen mahdollisuus rajata tietopyynnön toteuttamista tietyillä edellytyksillä pyynnön laajuuteen vaikuttavassa, esimerkiksi ajallisessa suhteessa. Tämä tosin voi olla ongelmallista perustuslain 12 :n 2 momentin kannalta. Sen mukaan jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Koska viran-omainen voi saada tietopyyntöjä, joita ei voida käytännössä toteuttaa, mielestäni jonkinlaisen rajauksen mahdollisuutta voitaisiin kuitenkin harkita. Julkisuusperiaatteen asianmukaista toteuttamista voitaisiin määräajan pidentämistilanteissa ja mahdollisissa tietopyynnön rajoittamistilanteissa EOA:n näkemyksen mukaan turvata viranomaisen päätöksen valituskelpoisuudella. EOA esitti oikeusministeriön harkittavaksi, tulisiko julkisuuslakia tarkistaa niin, että viranomaisella on kaikissa tietopyyntöasioissa tosiasiallinen mahdollisuus toimia lain mukaisesti. EOA pyysi ministeriötä ilmoittamaan EOA:lle 28.2.2017 mennessä, mihin toimenpiteisiin esitykseni on mahdollisesti johtanut. 17

Tiedon elinkaaren hallinta Työpaja 24.3.2017 Scandic City, Hämeenkatu 1, TAMPERE JulkICT-osasto

TYÖPAJAN TAVOITE Tiedonhallinnan sääntelyn kehittyville silmuille ravinteita ja valoa.

Työpajan agenda 13.00-13.15 Avaus ja työpajan tavoite, Sami Kivivasara 13.15 13.50 Johdatus aiheeseen, Tomi Voutilainen tauko 14.00 14.45 Työryhmätyö 14.45 15.30 Ryhmätyön purku 20

Työryhmän tehtävät Toimikausi 17.11.2016-31.5.2017 Avoin valmistelu ja työpajat Tehtävät: selvittää julkisen hallinnon tiedonhallinnan ja tietojen luovuttamista koskevan sääntelyn ja tiedonhallintakäytäntöjen nykytila ja kehittämistarpeet selvittää, onko eri hallinnonaloille syntynyt julkisuuslain kanssa tarpeetonta tai päällekkäistä erityislainsäädäntöä salassapidosta selvittää julkisen hallinnon rekisterien laajemmista hyödyntämismahdollisuuksista ja rekisteröinnin tarpeista laatia ehdotus lainsäädännön kehittämiseksi 21

Tulevaisuuden hallinto on ihmislähtöinen Muutosvoimat ja hyvä hallinto Kansalainen Hallinto Hallintomenettely Valtiosääntö Asiakas, kuluttaja Vuorovaikutus ja yhteistyö Perusoikeudet Toiminta asiakaslähtöistä ei toimivaltalähtöistä Keskeisenä tehtävänä turvata perus- ja ihmisoikeuksien toteutuminen Kansalainen toimii yhdessä hallinnon kanssa ja saa palvelut toimijasta riippumatta Vastuu asiakkaasta on viranomaisella, yksin ja yhdessä 22

Tietojen hyödyntäminen: Tiedon hallinnan muutos 2: Hyödynnetään avointa, omaa ja yhteistä tietoa Toimijakohtainen rekisteröinti Yhteentoimivuus Tiedot vaihtuvat Yksityiskohtainen sääntely Tietoja kysytään vain kerran Luovutus ja/tai vastaanotto säännelty tai lupamenettelyn takana Tulevaisuudessa tieto liikkuu asiakkaan tarpeen ja hänen saaman palvelun mukana Henkilöllä on paremmat keinot ja kyvyt hallita omia tietojaan Yleissääntely ja käsittelyn yleiset edellytykset riittävät Palvelutehtävä = oikeus ja vastuu käsitellä tietoa

Kehittämisideointia työpajassa eivät ole työryhmän ehdotuksia eikä ideoita ole käsitelty työryhmässä Tomi Voutilainen JulkICT-osasto

Työpajan ryhmät Kuvaamisvelvollisuuksien selkeyttäminen ja tiivistäminen 1 työpajaryhmä Tietoaineistojen kerääminen ja asiatunnus 2 työpajaryhmää Tietoaineistojen säilyttämisen ja arkistoinnin erkaannuttaminen 2 työpajaryhmää 25

Kuvaamisvelvollisuudet

Päällekkäiset kuvaamisvelvollisuudet Henkilötietolain 10 : rekisteriseloste ja tämän korvaava tietosuojaasetuksen 13-14 artikloiden informointivelvollisuudet sekä 30 artiklan mukainen käsittelytoimien seloste Julkisuuslain 18.1 :n 2 kohdan mukainen tietojärjestelmien kuvaamisvelvollisuus (koskee viranomaisia) sekä julkisuusasetuksessa (koskee valtiota) tätä tarkentava tietojärjestelmäseloste Arkistolain 8.2 :n mukainen arkistonmuodostussuunnitelman laatimisja ylläpitovelvollisuus Tietohallintolain 7 : Julkisen hallinnon viranomaisen on julkisen hallinnon tietojärjestelmien yhteentoimivuuden mahdollistamiseksi ja varmistamiseksi suunniteltava ja kuvattava kokonaisarkkitehtuurinsa sekä noudatettava laadittua ja ylläpidettyä kokonaisarkkitehtuuria ja sen edellyttämiä yhteentoimivuuden kuvauksia ja määrityksiä sekä toimialakohtaisia tietojärjestelmien yhteentoimivuuden kuvauksia ja määrityksiä. 27

Ideointia: tavoitteena yksi tiedonhallintakuvaus Mitä kuvauksen pitäisi pitää sisällään, kun otetaan huomioon seuraavat käyttötarkoitukset: Tietosuojaan liittyvien oikeuksien turvaaminen ja valvonta (tämä on säädetty jo tietosuojaasetuksessa, joten kuvauksen lähtökohdan muodostavat asetuksessa mainitut tiedot) Tietojen säilytyksen käyttötarkoitus (sekä mahdollisesti arkistointi) Tiedon ja tietojärjestelmien yhteentoimivuuden edistäminen ja varmistaminen Julkisuusperiaatteen edistäminen Kuvaamiskohteet Prosessit Tietovarannot ja niissä olevat rekisterit Tietojärjestelmät Tiedonhallinnan kuvauksen käyttötarkoituksena on toimia viranomaisen sisäisenä määräyksenä siitä, miten tietoaineistoja käsitellään. Kuvaus ei ole siten suunnitelma. 28

Tietosuoja-asetuksen kuvausvelvollisuudet Rekisteröidylle toimitettavat tiedot (informointi), TsA 13 artikla rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot; tapauksen mukaan tietosuojavastaavan yhteystiedot; henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste; rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan; henkilötietojen vastaanottajat tai vastaanottajaryhmät; tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville. henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen; oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan; oikeus tehdä valitus valvontaviranomaiselle; onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset; automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. + rekisteröidylle toimitettavat tiedot TsA 14 artikla kyseessä olevat henkilötietoryhmät; mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä; 29

Tietosuoja-asetuksen kuvaamisvelvollisuudet, TSA 30 artikla Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot: a) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot; b) käsittelyn tarkoitukset; c) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä; d) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat; e) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto; f) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat; g) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista. 30

Kuvaukseen tarvittavat tiedot Kuvauksen nimi: Käyttötarkoitukset 31

Muut terveiset säädösvalmisteluun aiheesta Toivoisimme, että valmistelussa huomioidaan: 1. 2. 3. 4. 32

Rinnakkaisten tietoaineistojen vähentäminen ja asiatunnus

Ideointia tietoaineistojen keräämisestä Tällä hetkellä ei ole määritelty yleisesti tiedonhallinnasta vastuullisia viranomaisia, vaan jokainen vastaa tiedonhallinnastaan itse poikkihallinnollisissa prosesseissa johtaa moninkertaiseen tietojen hallintaan Tavoitteena on rinnakkaisen tietoaineistojen säilyttämisen vähentäminen ja tiedonhallinnan vastuiden selkeyttäminen sekä hallinnollisen taakan vähentäminen 34

Tarvitaanko yksikäsitteinen asiatunnus? Ideointia Asiatunnus voisi olla esimerkiksi seuraava, joka koostuisi Tiedonhallintayksikön numerosta (kansallisesti yksikäsitteinen) määrittää tiedonhallinnasta vastuussa olevan viranomaisen Asianumero osa vastaa tehtäväluokituksen mukaista numerosarjaa: järjestysnumero/prosessitunnus/vuosi Tieto säilytysajasta Kysymys olisi toisaalta asian yksilöivästä koodista ja toisaalta tietoaineistoa määrittävästä koodista Asiatunnus mahdollistaisi yksikäsitteisesti Vastuuyksikön määrittelyn vastaisia tietojen säilyttämisestä Määrittäisi prosessin, mihin tietoaineisto kuuluu Määrittäisi asiatunnukseen liittyvän tietoaineiston säilytysajan mahdollistaisi yksikäsitteisesti automaattisen tietojen tuhoamisen säilytysajan päättymisen jälkeen Asiatunnusavaruudesta pidetään yllä kansallista koodistopalvelua, jossa on kiinnitetty jotkin yhteiset prosessitunnukset. Muilta osin uusia prosessitunnuksia annetaan kunkin tiedonhallintayksikön tehtävien mukaan. Koodistopalvelusta ja uusien juuriprosessitunnusten myöntämisestä vastaa viranomainen. Jokainen tiedonhallintayksikkö on velvollinen ylläpitämään omaa asiatunnuskoodistoaan koodistopalvelussa. 35

Case lausuntojen tiedonhallinta Nykytila Potentiaalisia tiedonhallinnan yksikköjä yhdessä prosessissa noin 800 kappaletta Viranomainen Kirjaus- ja säilytysvastuu Lausuntopyyntö Lausunto 278 valtion virastoa ja laitosta 313 kuntaa 187 kuntayhtymää 21 yliopistoa Kirjaus- ja säilytysvastuu Mahdollinen tavoitetila Prosessin tiedonhallinnan vastuuyksikkö Lausuntopyyntö Lausunto 278 valtion virastoa ja laitosta 313 kuntaa 187 kuntayhtymää? 21 yliopistoa Kirjaus- ja säilytysvastuu Kirjausvastuu 36

Ideointia asiatunnuksesta? Ideamallin arviointi Mitä hyvää mallissa on? Mikä estää mallin käyttöönoton ja miksi? Miten mallia tulisi edelleen kehittää, jotta se toimisi? Mitä uhkia ja riskejä malliin sisältyy? 37

Asian vireilletulo ja asian rekisteröinti Asiankäsittelytiedot? Viranomaisaloitteinen Asian vireilletulo Asianosaisaloitteinen Käsittely Lopputulos 38

Ideointia asiankäsittelyn tietojen muodostumisesta Miten asiankäsittelyn tietojen muodostumisesta tulisi säätää laissa: Mistä tiedoista asiankäsittelyn vakioidut tiedot muodostuvat: 1. 2. 3. 4. 5. 6. 39

Muut terveiset säädösvalmisteluun aiheesta Toivoisimme, että valmistelussa huomioidaan: 1. 2. 3. 4. 40

Tietojen säilyttämisen ja arkistoinnin eriyttäminen

Ideointia: säilyttämisen ja arkistoinnin erkaantuminen? Tietoaineisto Kansallisarkisto Yliopistot AMK:t? Viranomaiset/tiedonhallintayksiköt Tietoaineistojen säilytys Säilytys yksilöiden ja yhteisöjen etujen, oikeuksien ja velvollisuuksien määrittämiseksi 1. Määräajan säilytettävät 5-10 vuotta 2. Pitkäaikaissäilytettävät: yksilön tai yhteisön elinkaari 3. Pysyvästi säilytettävät (lähinnä oikeuksien määrittäminen) - Säilytysajat säädetään yleislaissa tai erityislaissa - Säilytysajat arvioidaan lainsäädännöllisissä uudistuksissa Arkistoviranomaiset Tietoaineistojen arkistointi Säilytys tieteellistä, historiallista ja kulttuuriperinnön vaalimista varten 1. Määräajan arkistoitavat: tutkimusaineiston vanhentuminen 2. Pysyvästi arkistoitavat: historiallinen tutkimus ja kulttuuriperintö - Arkistoitavista aineistoista säädetään joko yleislaissa tai erityislaissa. - Säilytysaika määräytyy käyttötarkoituksen mukaan - Arkistointitarve analysoidaan lainsäädännöllisissä uudistuksissa 42

Tietojen säilyttämisen ja arkistoinnin määrittäminen Valtiovarainministeriö arvioi tietoaineiston säilytyspaikan ja hyödyntämisen Säädösvalmistelu Jatkovalmistelu Eduskuntakäsittely Kansallisarkiston arvioi ja antaa lausunnon arkistointitarpeesta 43

Ideointia säilyttämisen ja arkistoinnin erkaantuminen? Ideamallin arviointi Mitä hyvää mallissa on? Mikä estää mallin käyttöönoton ja miksi? Miten mallia tulisi edelleen kehittää, jotta se toimisi? Mitä uhkia ja riskejä malliin sisältyy? 44

Muut terveiset säädösvalmisteluun aiheesta Toivoisimme, että valmistelussa huomioidaan: 1. 2. 3. 4. 45

Tomi Voutilainen Erityisasiantuntija Puh. 0295 16001 (vaihde) Lisätieto: etunimi.sukunimi@vm.fi www.vm.fi Sami Kivivasara Lainsäädäntöneuvos, yksikön päällikkö Puh. 0295 16001 (vaihde) Lisätieto: etunimi.sukunimi@vm.fi @skivivasara Hankesivut: http://vm.fi/hanke?selectedprojectid=23314 Keskustelut: https://beta.suomidigi.fi/kehittajafoorumi/ LinkedIN: suomidigi keskusteluryhmä Seuraa myös Otakantaa.fi -sivustoa

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute