Sessio 9.9.2015 Tietosuojan uudet tuulet puhaltavat, pysyykö purtesi pystyssä? EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN Reijo Aarnio tietosuojavaltuutettu 1 Tietosuojavaltuutetun toimisto
EKOSYSTEEMI Prop. apps VERKKO (WEB) PALVELUT 3rd party apps Operating apps (Laite) hardware Verkko infra 2
MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI 2. EU:N KAUPPALAIN HARMONISOINTI 3. TIETOSUOJAN HARMONISOINTI DIGITAALISTEN SISÄMARKKINOINTIEN BUUSTAAMINEN 3
Mitä? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin uusia asioita: - COMPLIANCE; ( sääntöjen noudattaminen ) - Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS - Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen) - Henkilötietolain 6 - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu) - Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s- postin tietoturvasta. - Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit) 4
ACCOUNTABILITY WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA (13.7.2010) passiivisesta compliancesta aktiiviseksi accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuojaperiaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava 5
TOIMENPITEET; esimerkkejä 1) Sisäisen tarkastuksen menetelmät (jo ennakolta) 2) Ohjeistukset, policyt & valvonta 3) Tietojen kartoitus 4) Tietosuojavastaavan nimeäminen 5) Koulutus 6) Valitusten ja oikeuksien käytön mekanismit 7) Tietoturvailmoitukset 8) PIA 9) Standardit ja sertifikaatit 10) Edellä mainittujen valvonta KUKA VALVOO? 6
TIETOTILINPÄÄTÖS Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista. Tietotilinpäätöksen tarkoituksena on toimia dynaamisena työkaluna, joka palvelee organisaation johdon tarpeita ja lisää asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin. 7
PRIVACY BY DESIGN Henkilötietolaki (523/1999) 6 Henkilötietojen käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. 8
HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 PRIVACY BY DESIGN HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Oikeus käsitellä 8, 12, 13, 14-20 Mistä henkilötiedot kerätään 8, 9, 12-20 Luovutukset 8, 12-20 (6 ) Ulkomaille siirrot 22-23 Aloitus 2 Suunnittelu huolellisuus 5-6 Käyttötarkoitussidonnaisuus 7 Henkilötiedot 3 1 k, 9, 12-20 Rekisteröidyn oikeudet 24-29 Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Tietoturvallisuus 32 Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 Rekisteriseloste 10 Informointivelvollisuus 24 Käytön hallinnointi 5 Nimeä vastuuhenkilö 5 Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37 9
PRIVACY BY DEFAULT OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA vastuu mökin mummolta palvelun toimittajalle 10
Tietosuojavastaavan toimenkuva Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan2 ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Näin ollen tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. 11
Mitä? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle - mm. tietomurto ja henkilörekisteririkos - VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN; (viranomaisten toimivalta muuttuu) - TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti - RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot poistetaan - Voi olla haasteellista toteuttaa - RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta-asiakasjärjestelmät) 12
SEURAAMUKSET SAKOTUSTOIMIVALTA velvollisuus kts. Artikla 79 100 000 000 euroa tai 7 % liikevaihdosta KUKA MÄÄRÄÄ? 13
TIETOSUOJAVALTUUTETTU JA ACCOUNTABILITY: Tietosuojaviranomaisten suorittama lainvalvonta YHDENMUKAISUUSMENETTELY VALITUKSET ETUKÄTEIS- VALVONTA TARKASTUKSET TILIVELVOLLISUUS / TIETOTILINPÄÄTÖS OHJEISTUS- JA NEUVONTA- PYYNNÖT PIA TOIMIVALLAT? 14
- digitaalisen talouden edistäminen EU:n tasolla - kansalaisoikeuksien vahvistaminen - MAGNA CHARTA 800 v. - Hyvät kansalaisoikeudet = hyvä liiketoiminta HAVAINTO: TIETOSUOJA ON MENESTYSTEKIJÄ! 15
TOIMENPITEET REKISTERINPITÄJILLE: 1) Määrää tietosuojan isäntä; Tietosuojavastaava 2) Analysoi henkilötietovarastosi ja prosessit eliminoi turhat 3) Tee riskiarvio; arvioi myös sopimuksesi 4) Laadi toimintaohjeet ja ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, käytä salauksia 6) Huolehdi henkilöstön osaamisesta 7) Valvo henkilötietojen käyttöä 8) Käytä henkilötietolakia apunasi 9) Tunnista muu lainsäädäntö 10) Luo sisäinen ja ulkoinen raportointijärjestelmä; LAADI TIETOTILINPÄÄTÖS 16
Neuvottelutilanne KESKEISIÄ NEUVOSTOSSA PÄÄTÖKSEEN SAATETTUJA KYSYMYKSIÄ mm. asiakirjajulkisuus, tieteellinen tutkimus, tilastollinen tutkimus, työelämän tietosuoja, EDPB:n status TRILOGIT Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). EP:n ja neuvoston tekstit poikkeavat joiltain osin huomattavastikin toisistaan 17
Neuvottelutilanne KOMISSIO Tavoite oli hyväksyä tietosuojapaketti EP:n viime vaalikaudella Uusi komissaari / Vera Jourová korkea prioriteetti EUROOPAN PARLAMENTTI Täysistunto hyväksyi LIBE:n mietinnön sellaisenaan maaliskuussa 2014 NEUVOSTO Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). 18
U-JATKOKIRJE 24.9.2014/ 1 SUOMEN KANTA 1) SUOMI KANNATTAA UUDISTUSTA 2) OIKEUTETUN EDUN KÄSITE TÄSMENNETTÄVÄ 3) RISKIPOHJAINEN LÄHESTYMISTAPA OK! - pseudonymisointi - Data Protection by Default - DPIA & ennakkohyväksyntä - tietosuojavastaavat vapaaehtoista, ellei kansallinen laki - sertifiointi ei vapauta vastuusta 19
U-JATKOKIRJE 24.9.2014 / 2 4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA 5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJA- VIRASTOA - asiakirjajulkisuus = 80 a ARTIKLA - ERITYISET KÄSITTELYTILANTEET * työelämä (82) * sosiaaliturva (82 (a)) * henkilötunnus (80 (b)) * terveys (81) * historian tutkimus, tilastot, tiede, arkistointi - Kolmannen maan tuomioistuimen tuomiota luovutettava, ei tunnusteta täytäntöönpanokelpoiseksi Unionissa 20
U-JATKOKIRJE 24.11.2014 1) KANSALLINEN LIIKKUMAVARA kansallisen lainsäädännön ja asetuksen suhde 2) YHDEN LUUKUN MEKANISMI 3) RESURSSIT 21
www.tietosuoja.fi/ EU:n tietosuojauudistus 22
23
KIITOS KUUNTELUSTA! Tiedon laatu = Toiminnan laatu LISÄTIETOJA: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 24