Kevätkokous, 11.5.2017 TIEDON VASTUUT ja VALTUUDET Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 1
SUOMEN PERUSTUSLAKI (731/1999) 10 Yksityiselämän suoja Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana. 2
TIETOSUOJAVALTUUTETUN TOIMISTO PERUSKYSYMYS juridinen kiista PIDÄ HAUSKAA POIKIEN KANSSA, KULTA! - Teknologianeutraalisuus - Liikkumisvapaus - Yksityiselämän suoja - Omaisuuden suoja?? - Perusoikeuksien turvaaminen - Kokoontumis- ja yhdistymisvapaus - Sananvapaus ja julkisuusperiaate - Itsemääräämisoikeus - Oikeus henkilökohtaiseen vapauteen ja koskemattomuuteen 3
MITÄ YKSITYISYYS ON? MITÄ TIETOSUOJA TARKOITTAA? * Perustuslaki 10 => perusoikeus; poikkeuksista on säädettävä lailla * Oikeus vaikuttaa ja päättää itseään koskevien tietojen käsittelystä * Oikeus tietää tietojensa käsittelystä * Oikeus järjestää yksityiselämänsä ilman perusteetonta ulkopuolisten puuttumista; viestinnän luottamuksellisuus * Oikeus tulla arvioiduksi virheettömien ja tarpeellisten tietojen perusteella * Oikeus tulla kohdelluksi muiden perusoikeuksien mukaisesti (demokratia) * Oikeus saada tietoonsa perusteet, joihin automaattiset päätökset perustuvat * Oikeus luottaa tietoturvallisuuteen => turvaa muita oikeuksia * Oikeus saada apua ja neuvontaa itsenäisiltä viranomaisilta * Oikeus saada tieto viranomaisten asiakirjoista * Tahtotila: toisen herkkyystilaa on vaikea arvioida 4!
TIEDOLLISTEN PERUSOIKEUKSIEN PERHE * Oikeus yksityiselämän suojaan Perustuslaki 10 * oikeus elää ilman ulkopuolisten tarpeetonta puuttumista * oikeus ihmisarvoiseen kohteluun * oikeus kunniaan * yksilön itsemääräämisoikeus * yhdenvertaisuuden periaate * syrjintäkielto * oikeus saada tieto viranomaisten asiakirjoista * sananvapaus 5
Mihin näitä oikeuksia tarvitaan? Nämä oikeudet turvaavat:? OIKEUKSIEMME PUOLUSTAMISEN perusoikeuksiemme toteutumisen ihmisarvoisen kohtelun yksilön itsemääräämisoikeuden kunnian syrjimättömyyden yhdenvertaisuuden kansalaisina sananvapauden osallistumisen yhteiskunnalliseen päätöksentekoon!!!!! Hyvän elämänlaadun! 6
EU:N PERUSOIKEUSKIRJA LISSABONIN SOPIMUS II LUKU: VAPAUDET 7 artikla Yksityis- ja perhe-elämän kunnioittaminen Jokaisella on oikeus siihen, että hänen yksityis- ja perheelämäänsä, kotiaan sekä viestejään kunnioitetaan. 8 artikla Henkilötietojen suoja 1. Jokaisella on oikeus henkilötietojensa suojaan. 2. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. 3. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. 7
EUROOPAN UNIONIN PERUSOIKEUSKIRJA (2000/C 364/01) VII LUKU YLEISET MÄÄRÄYKSET 54 artikla Oikeuksien väärinkäytön kielto Tämän perusoikeuskirjan määräysten ei saa tulkita antavan oikeutta ryhtyä sellaiseen toimintaan tai tehdä sellaista tekoa, jonka tarkoituksena on tehdä tyhjäksi jokin tässä perusoikeuskirjassa tunnustettu oikeus tai vapaus tai rajoittaa sitä laajemmalti kuin tässä perusoikeuskirjassa on sallittu. 8
EVA 2010 Säädösten muutoksia tarvitaan etenkin tietoon (tietosuojasäännökset) ja julkisen vallan suoritteisiin (maksuperustelaki) kohdistuvan lainsäädännön osalta. Eri ministeriöiden ja valtion virastojen autonomia tai kunnallinen itsehallinto ei saa nousta esteeksi. Keinot tietosuojan periaatteiden toteuttamiseksi on tarvittaessa mietittävä uudestaan. Ratkaisu tietosuojan toteuttamiseksi ei enää voi olla tiedon lokeroiminen lukemattomiin erillisiin rekistereihin. (EVA:n marraskuussa 2009 julkaisema raportti Nykyaikaa etsimässä - Suomen digitaalinen tulevaisuus ) VTV 1998 Automaattiseen tietojenkäsittelyyn liittyvän teknologisen kehityksen mukanaantuomia hyötyjä ei hallinnon sisällä ole kyetty ulosmittaamaan sillä teholla, mihin voimassaoleva lainsäädäntö antaisi mahdollisuudet. Yhtenä keskeisistä syistä tähän ovat vaikuttaneet eri hallinnonalojen sisäisen erityislainsäädännön puutteellisuudet. Tietosuojaa koskeva laki on yleinen, ns. puitelaki. Jos varsinaisessa asiakohtaisessa lainsäädännössä on tietojenluovutusta koskeva säädös laadittu silmälläpitäen yhteistyön mahdollisuutta, ei tietosuojalaki ole esteenä viranomaisten eri tarkoitusta varten keräämien tietojen hyödyntämiselle muussa tarkoituksessa. (VTV:n tarkastuskertomus 8/1998 Tietosuoja ja viranomaisyhteistyö ) 9
JULKISUUSLAKI 621/1999 2 momentti on kumottu L:lla 10.6.2011/635, joka tulee voimaan 1.9.2011. Aiempi sanamuoto kuuluu: Jos tämän lain nojalla annetussa valtioneuvoston asetuksessa niin säädetään, valtion hallinto- ja lainkäyttöviranomaisten on sen lisäksi, mitä 1 momentin 1 5 kohdassa säädetään, hyvän tiedonhallintatavan toteuttamiseksi velvollisuus: 1) turvata tietojärjestelmiä suunnitellessaan ja kehittäessään mahdollisuudet hyödyntää tietojärjestelmiä muiden viranomaisten toiminnassa sekä ottaa tässä tarkoituksessa huomioon yhteensopivuuden varmistamiseksi tämän lain nojalla säädetyt tekniset vaatimukset; 2) osallistua useammalle viranomaiselle yhteiseen yleisen tietoverkon avulla toteutettavaan asiakaspalvelujärjestelmään taikka yleisesti merkittävien asioiden valmistelun julkisuutta edistävien rekisterien ylläpitoon. TIETOHALLINTOLAKI (634/2011) Lain velvoitteet viranomaisille ja valtiovarainministeriön rooli: Lain voimaantulon myötä julkisen hallinnon viranomaiselle tulee kolme keskeistä velvoitetta: 1) Suunnitella ja kuvata tietohallintonsa julkisen hallinnon tietohallinnon kokonaisarkkitehtuurin mukaisesti. 2) Noudattaa tietojärjestelmien yhteentoimivuuden mahdollistamiseksi julkisen hallinnon kokonaisarkkitehtuuria ja sen edellyttämiä yhteentoimivuuden kuvauksia ja määrityksiä sekä toimialakohtaisia kuvauksia ja määrityksiä, joiden sisältö määritellään asetuksissa. 3) Ottaa käyttöön sellaisia sähköisen asioinnin ja hallinnon tukipalveluja, jotka luovat edellytykset yhteentoimivuudelle. Yhteiset tukipalvelut määritellään tulevassa ICT-strategiassa 10
VIRANOMAISTEN (SALASSAPIDETTÄVIEN) TIETOJEN LUOVUTTAMINEN pyyntö / luovutus Tiedon luovuttaja EI (rekisterinpitäjä A) SOVELLETA, koska: Henkilötietolaki 8 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) Oma-aloitteinen ilmoitusoikeus tai -velvollisuus LUOVUTUKSEEN SOVELLETAAN Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - - - 24 salassapitosäännös - salassapidettävien tietojen luovuttamisen edellytykset 26-30 * lainsäännös, suostumus, toimeksianto ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 - luovutus 16-18 - tiedonsaantioikeus 20 - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 - - - - - - - - - - - - - - - - - - - Sekä muut erityislait Tiedon pyytäjä (rekisterinpitäjä B) Henkilötietolaki 8 ja 12 + 6 - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) 11, 3.4.2014 11
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA POLIISI PÄIVÄKOTI KOULU TERVEYDEN- HUOLTO MUUT TAHOT SIJOITUS- KUNTA LsL 78 LS-ilmoitukset Tiedot LASTENSUOJELU UUDEN KOTIKUNNAN LASTENSUOJELU SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki 12 päiv. 9.11.2015
UUDEN AIKAKAUDEN KYNNYKSELLÄ 13
MITÄ YKSITYISYYS ON? MITÄ TIETOSUOJA TARKOITTAA? UUSIA OIKEUKSIA: - Oikeus mm. keskeyttää, vastustaa - Oikeus siirtää tiedot - Oikeus tunnistaa turvalliset verkkosivut - Oikeus luottaa tietoturvaan - Oikeus saada asia vireille, myös viranomaista vastaan - Oikeus tietää tietoturvaloukkauksista - Viranomaisten toimivalta paranee! 14
DATA PORTABILITY Oikeus siirtää tiedot järjestelmästä toiseen. Rekisteröidyllä on oikeus saada henkilötietonsa rekisterinpitäjältä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus toimittaa tietonsa toiselle rekisterinpitäjälle alkuperäisen rekisterinpitäjän estämättä. Tavoitteena on lisätä kilpailua palvelutarjoajien kesken (esim. kanta-asiakasjärjestelmät) 15
DBN: DATA BREACH NOTIFICATION Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle ja rekisteröidyille (tietoturvaloukkauksista ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle - mm. tietomurto ja henkilörekisteririkos - Jos tapahtuu henkilötietojen tietoturvaloukkaus (esim. tietovuoto), rekisterinpitäjän on ilmoitettava siitä mahdollisuuksien mukaan 72 tunnissa valvontaviranomaiselle. Samoin ilmoitus pitää tehdä rekisteröidyille. 16
TIETOSUOJAN SUKUPOLVET TIETOSUOJADIREKTIIVI 46/95/EY Resitaali nro 2: Tietojenkäsittelyjärjestelmät on tehty palvelemaan ihmistä; järjestelmiä käytettäessä on kunnioitettava yksilöiden perusoikeuksia ja vapauksia heidän kansalaisuudestaan tai asuinpaikastaan riippumatta, erityisesti oikeutta yksityisyyteen, ja osallistuttava taloudelliseen ja sosiaaliseen kehitykseen, kaupan kehittämiseeen sekä yksilöiden hyvinvoinnin lisäämiseen. (Kts. Asetuksen resitaali 2) 1. SUKUPOLVI - perusoikeudet - EN-tietosuojasopimus - henkilörekisterilaki 2. SUKUPOLVI - tietojärjestelmät - tietosuojadirektiivi 46/95/EY - henkilötietolaki 3. SUKUPOLVI - digitaaliset sisämarkkinat - tietosuoja-asetus - TATTi-toimikunta? 17
KILPAILUN EDISTÄMINEN LÄHTÖKOHTANA: 1) 28 MS 28 erilaista lainsäädäntöä 2) EU:n investointivaje erityisesti ITC:hen tuottavuusvaje 3) Digitaalinen kaupankäynti on kasvanut hitaammin EU:ssa 4) EU:n uudistukset: - pääomamarkkina-unioni turvaamaan START UP:n rahoitusta - digitaalistrategia - sisämarkkinastrategia - tietosuojauudistus - yhdistetty työllisyyden ja teollisuuden DG:t DG kasvuksi (DG GROWTH) 18
MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI - COM (2015) 634 Final Ehdotus digitaalinen sisältö 2. EU:N KAUPPALAIN HARMONISOINTI - COM (2015) 635 Final Ehdotus etämyyntisopimukset 3. TIETOSUOJAN HARMONISOINTI DIGITAALISTEN SISÄMARKKINOIDEN BUUSTAAMINEN 19
KILPAILUA TUKEVAT ELEMENTIT: - Riskiperusteisuus - Digitaaliset sisämarkkinat - hallinnollisen taakan keventäminen - ACCOUNTABILITY, osoitusvelvollisuus 20
KILPAILUN VÄÄRISTYMISTÄ ESTÄVÄT ELEMENTIT: - NO FORUM SHOPPING - DBN Data Breach Notification - Privacy by Design - OSS One stop shop - Consistency mechanism - täytäntöönpanon vahvistaminen 21
TIETOSUOJA-ASETUS Hallinnolliset seuraamukset 83 artikla Seuraamukset (muut) 84 artikla Hallinnollisten sanktioiden on oltava tehokkaita, oikeasuhteisia ja varoittavia: 1. Porras 10.000.000 euroa tai jos kyseessä on yritys, 2 % vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi määrä näistä on suurempi: 2. Porras 20.000.000 tai jos..4 % (tätä sovelletaan myös, jos ei noudata valvontaviranomaisten määräyksiä.) Kriminalisointimääräys jäsenvaltioille 22
KILPAILUKYKYÄ VAARANTAVAT SEIKAT: - LUOTI-OHJELMA - Mistä DPO:t (tietosuojavastaavat) - Asenne (digikysely) 23
24
Finnish companies are not taking advantage of the full potential of the EU s Single Market 25
julkaistu 2/2016 26
27
28
Henkilötietojen käsittelyn lainmukaisuus, 6 artikla Yksiselitteinen suostumus Sopimus Rekisterinpitäjän lakisääteiset velvoitteet Rekisteröidyn elintärkeä etu Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta Rekisterinpitäjän oikeutettu etu Henkilötietojen käsittely historiallisia, tilastollisia ja tutkimustarkoituksia varten, arkistointitarkoitukset Henkilötietojen jatkokäsittely 29
TOIMENPITEET REKISTERINPITÄJILLE: 1) Määrää tietosuojan isäntä; Tietosuojavastaava 2) Analysoi henkilötietovarastosi ja prosessit eliminoi turhat 3) Tee riskiarvio; arvioi myös sopimuksesi (sopimustenhallinta) 4) Laadi toimintaohjeet ja ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, käytä salauksia 6) Huolehdi henkilöstön osaamisesta 7) Valvo henkilötietojen käyttöä 8) Käytä henkilötietolakia apunasi 9) Tunnista muu lainsäädäntö 10) Luo sisäinen ja ulkoinen raportointijärjestelmä; LAADI TIETOTILINPÄÄTÖS 30
ACCOUNTABILITY WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA (13.7.2010) passiivisesta compliancesta aktiiviseksi accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuojaperiaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava
Evoluutio Tietotilinpäätös 1) TALOUDELLINEN TILINPÄÄTÖS 2) HENKILÖSTÖ- TILINPÄÄTÖS 3) YMPÄRISTÖ- JA YHTEISKUNTA- TILINPÄÄTÖS INFORMATION MANAGEMENT - tiedot - käyttöoikeudet, hallinta ja valvonta - tietoturva - tietosuoja - tietovirrat - tyk:n infrastruktuuri 4) TIETOYHTEISKUNTA
TIETOTILINPÄÄTÖS Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista. Tietotilinpäätöksen tarkoituksena on toimia dynaamisena työkaluna, joka palvelee organisaation johdon tarpeita ja lisää asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin.
Viranomaisten muuttuvat toimivaltuudet 34
EU-TASO KANSALLINEN TASO N TASO 35
CONSISTENCY MECHANISM Yhdenmukaisuusmekanismi Mekanismi, jolla pyritään huolehtimaan lähinnä rajat ylittävässä henkilötietojen käsittelyssä harmonisoinnin saavuttaminen EDPB Euroopan tietosuojaneuvosto Puheenjohtajansa johtama itsenäinen oikeushenkilö, joka käyttää harmonisointiin liittyvissä asioissa ylintä päätösvaltaa. Neuvoston jäseninä ovat kansalliset tietosuojaviranomaiset. korvaa direktiivin 95/46/EY 29 artiklalla perustetun tietosuojatyöryhmän. 36
Oikeushenkilö Euroopan tietosuojaneuvosto EDPB Puheenjohtaja johtaa. Palvelut ja henkilöstön toimittaa EDPS Jäseninä jäsenmaiden tietosuojavaltuutetut Komissio voi osallistua ilman äänioikeutta Täysin riippumaton elin Huom! Uudistuksen yksi keskeisimmistä asioista on 65 artiklan Euroopan tietosuojaneuvoston kiistanratkaisumenettely : Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen: Jos siis kukaan muiden maiden tietosuojaviranomaisista ei valita tsv:n päätöksistä tämän asetuksen asioista, on toimintasi perusta betonoitu 37
YHDEN LUUKUN PERIAATE ; VII luku Yhteistyö ja yhdenmukaisuus (OSS ja consistency mechanism) Jaksossa kuvataan, miten tietosuojaviranomaiset ovat velvollisia tekemään yhteistyötä lähinnä rajat ylittävissä tilanteissa. Periaatteen noudattamisella pyritään varmistamaan tietosuojasääntöjen yhdenmukainen tulkinta ja soveltaminen kaikissa jäsenmaissa. Rajusti pelkistäen; Rekisteröidyillä on vapaus valita minkä maan tietosuojaviranomaisille he valittavat. Sen maan viranomainen ( johtava valvontaviranomainen ), jonka alueella rekisterinpitäjän päätoimipaikka on, huolehtii valituksen yms. käsittelystä asetuksessa tarkemmin säädetyllä tavalla. Jos muut eivät hyväksy ratkaisua + eräissä asetuksessa säädetyissä muissa tilanteissa asian ratkaisee Euroopan tietosuojaneuvosto EDPB 38
KANSALLINEN TASO 39
Tietosuoja-asetuksen vaikutukset kansalliseen lainsäädäntöön: OM:n työryhmä 40 40
KOTIMAAN TASOLLA: - KANSALLINEN LIIKKUMAVARA - INSTRUMENTTI YLEISLAKI? - VIRANOMAISTOIMINNAN ORGANISOINTI - JULKISUUSPERIAATE JA SALASSAPITOSÄÄNTELY - MINISTERIÖIDEN OHJAUS & NORMINPURKUTALKOOT 41
1) SANANVAPAUS alatyöryhmä 2) VIRANOMAISTOIMINTA- alatyöryhmä 3) TIETEELLINEN TUTKIMUS YM. alatyöryhmä 4) HENKILÖTUNNUS-alatyöryhmä 5) TYÖELÄMÄN TIETOSUOJA alatyöryhmä 6) KIRKON TIETOSUOJA alatyöryhmä 7) LAINSÄÄDÄNNÖN KARTOITUS tutkimus 8) YRITYSVAIKUTUSTEN ARVIOINTI 42
SUOMALAISIA PELAAJIA TIETOSUOJA- KENTÄLLÄ TIETOSUOJA- LAUTAKUNTA VIESTINTÄVIRASTO (Ficora) SOSIAALI- JA TERVEYSALAN LUPA- JA VALVONTAVIRASTO (Valvira) TIETOSUOJAVALTUUTETUN TOIMISTO KILPAILU- JA KULUTTAJA- VIRASTO KANSALLIS- ARKISTO TYÖSUOJELUPIIRIT KUKA? 43
Vai ainoastaan Tai jokin muu itsenäinen viranomainen 44
Tietosuojavaltuutetun toimisto julkaisi 24. tammikuuta rekisterinpitäjille suunnatun oppaan EU:n tietosuojaasetukseen valmistautumisesta. Oppaassa kerrotaan muun muassa henkilötietojen käsittelyn arvioinnista ja oikeusperusteista, tietosuojaperiaatteiden toteuttamisesta sekä tietoturvaloukkauksiin valmistautumisesta. Oppaassa selvitetään myös esimerkiksi riskiperustaisen lähestymistavan merkitystä rekisterinpitäjille ja rekisteröidyn oikeuksiin tulevia muutoksia. Opas on kirjoitettu yhteistyössä oikeusministeriön kanssa ja se julkaistaan myöhemmin myös oikeusministeriön julkaisusarjassa. 45
TSV:N TASO 46
N NYKYISET PERUSPROSESSIT 1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija 8) Kansainvälinen lähettiläs. UUDET PROSESSIT: 1) Yhdenmukaisuusmekanismi 2) Hallinnolliset sanktiot 3) Ennakkohyväksymistehtävät (Auditointi) 4) Ulkomaille siirrot 5) Data Breach Notifications ilmoitusprosessi 6) Tarkastukset 7) Sähköinen asiointialusta 8) Kansallinen lainsäädäntö 9) Tietosuojavastaavat 47
ASETUS JA DIREKTIIVI ALOI- TUS 18.11. 2015 * Tarkistuspisteissä: - Tilanne - Päivitystarve - Toteutumat - Riskianalyysi - kirjanpito, arvioidut kulut - sisäinen tiedotus / hlöstö - Miten asetuksen vaikutukset on huomioitu kansallisesti ja EUtasolla Projektille annettiin nimi TSAU Projektisuunnitelman hyväksyntä - Esittely - Nimitykset - Tehtäväjako A. Osaamisen hallinta B. Organisaatio C. Vaikuttavuus * Maalis 2016 Tarkistuspiste 1 A.1.a Sisäinen A.2.a Ulkoinen B.1.a Resurssit C.1.a Projektisuunnitelma A.1.b - Henkilöstösuunnitelma 2016-2019 - Koulutussuunnitelma 2016-2019 - Help desk -toiminta A.2.b Yhteistyökumppanin valinta B.1.b Tarkistuspiste C.1.b Tarkistuspiste Pohjoismainen kokous,islanti * Touko 2016 Tarkistuspiste 2 ( kans.väl.) A.2.c - Kotisivut - SOME - Koulutus B.1.c Organisaatiosuunnitelma * Syys 2016 Tarkistuspiste 3 A.1.c Asianhallintajärjestelmän laatu A.2.d Tietosuojavastaavat B.1.d - Toimenkuvat - Palkat * Joulu 2016 Tarkistuspiste 4 A.1.d Toteutus ja raportointi A.2.e Tarkistuspiste B.1.e - Nimitykset A.1.e Tarkistuspiste B.1.f Tarkistuspiste * Kesä 2017 Tarkistuspiste 5 SEURANTA PÄÄT TYY 2018 Riskianalyysi **** ** NYKYISET PERUSPROSESSIT: 1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija 8) Kansainvälinen lähettiläs. *** UUDET PROSESSIT: 1. Yhdenmukaisuusmekanismi 2. Hallinnolliset sanktiot 3. Ennakkohyväksymistehtävät (Auditointi) 4. Ulkomaille siirrot 5. Data Breach Notifications ilmoitusprosessi 6. Tarkastukset 7. Sähköinen asiointialusta 8. Kansallinen lainsäädäntö Versio 27.11.2015 Sisäinen tiedotus D. Uudet prosessit E. Muut projektit F. Kansainvälinen yhteistyö G. IT-alusta D.1.a Lainsäädäntökehikko E.1.a Oikeusministeriö - toimikunta F.1.a. Euroopan tietosuojaneuvosto F.2.a. Substanssiasiat F.3.a. Hallinnolliset asiat G.1.a. Kansainväliset valitusasiat G.2.a. Kansalliset konvertiot D.1.a.a Nykyprosessien päivitystarve ** D.1.a.b Työmetodit (8 uutta prosessia ***) E.1.b Alatyöryhmät F.1.b Tarkistuspiste F.2.b. WP 29 ohjeistus F.3.b. WP 29 ohjeistus D.1.b.1 Testaus E.1.c Tarkistuspiste G.1.b. Yhteiset operaatiot G.2.b. - Vaikuttavuus - Osaamisen hallinta - Laadun tarkkailu D.1.b.2 Käyttöönotto F.2.c Tarkistuspiste F.3.c Tarkistuspiste G.1.c. Yhdenmukaisuusmekanismi G.2.c Tarkistuspiste D.1.b.3 Tarkistuspiste G.1.d Tarkistuspiste 48 H. Yleistarkistus piste I. SAUNA- ILTA J. KÄYTTÖÖN- OTTO
HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 RISKIPERUSTEINEN LÄHESTYMISTAPA Aloitus 2 Tietoturvallisuus 32 PRIVACY BY DEFAULT PRIVACY BY DESIGN HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Suunnittelu huolellisuus 5-6 - DPIA - PRIOR CONSULTING Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 PROFILOINTI OSS Oikeus käsitellä 8, 12, 13, 14-20 Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Käytön hallinnointi 5 - KIRJANPITO - PSEUDONYYMIT - GENEETTISET, BIOMETR. Rekisteröidyn oikeudet 24-29 Viranomaisilmoitukset 36-37 Informointivelvollisuus 24 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 YHDENMUKAISUUS- MEKANISMI Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 - RTBF - PORTABILITY - VASTUSTUS ACCOUNTABILITY Ulkomaille siirrot 22-23 + 10 art. Kouluta, ohjeista 5 Päiv. 11.3.2016 EDPB PRIVACY SHIELD - SERTIFIKAATIT - AUDITOINNIT PIA TIETOSUOJAVASTAAVA DBN49 49
Tietosuojaviranomaisten suorittama lainvalvonta YHDENMUKAISUUSMENETTELY VALITUKSET ETUKÄTEIS- VALVONTA TARKASTUKSET TILIVELVOLLISUUS / TIETOTILINPÄÄTÖS OHJEISTUS- JA NEUVONTA- PYYNNÖT PIA Privacy Impact Assessment TOIMIVALLAT? 50
KYSYMYKSIÄ KUULIJOILLE 1) Miten vastaatte kilpailuun? 2) Miten otatte alihankintaketjunne haltuun & sopimukset? 3) Miten varmistatte osaamisenne? 4) Tietoturva? 5) Miten saavutatte tilintekokykyisyyden? 6) Toimintasuunnitelmanne DBN:n (Data Breach Notification) varalle? 7) Miten arvioitte teknologiaa? 8) Hyödyt - Haitat -analyysi 51
TIETOSUOJA-ASETUS: KÄYTÄNNÖN SEURAAMUKSIA VIRANOMAISILLE EI SEN VÄHEMPÄÄ KUIN: 1) UUSI LAINSÄÄDÄNTÖKEHIKKO JA TOIMINTAYMPÄRISTÖ 2) UUSIA TEHTÄVIÄ 3) UUSIA TOIMIVALTUUKSIA 4) UUSI VERKOSTOYHTEISTYÖ MUIDEN MAIDEN TIETOSUOJAVIRANOMAISET 5) UUSIA ASIAKKAITA (+ 500 MILJOONAA) 6) UUSIA TYÖSTENTELYTAPOJA 7) UUSI IT-ALUSTA 8) UUSI PÄÄTÖKSENTEKOSYSTEEMI 9) UUSIA ORGANISAATIOITA (?!) 10) UUSIA TOIMENKUVIA 11) UUSI VIRANOMAINEN? JA KAIKKI TÄMÄ SAMALLA KUN ON HUOLEHDITTAVA MYÖS NYKYISISTÄ PÄIVITTÄISISTÄ TEHTÄVISTÄ 52
KIITOS KUUNTELUSTA Lisätietoja: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 53