Terveydenhuollon Atk-päivät 2015 13.5.2015, Tampere-talo EU-TIETOSUOJA-ASETUS JA TIETOSUOJAN VASTUUKYSYMYKSET Reijo Aarnio Tietosuojavaltuutettu 1
EKOSYSTEEMI Prop. apps VERKKO (WEB) PALVELUT 3rd party apps Operating apps (Laite) hardware Verkko infra 2
MAISEMA 1. KULUTTAJANSUOJAN HARMONISOINTI 2. EU:N KAUPPALAIN HARMONISOINTI 3. TIETOSUOJAN HARMONISOINTI DIGITAALISTEN SISÄMARKKINOINTIEN BUUSTAAMINEN 3
Mitä? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin uusia asioita: - COMPLIANCE; ( sääntöjen noudattaminen ) - Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS - Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen) - Henkilötietolain 6 - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu) - Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s- postin tietoturvasta. - Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit) 4
TOIMENPITEET; esimerkkejä 1) Sisäisen tarkastuksen menetelmät (jo ennakolta) 2) Ohjeistukset, policyt & valvonta 3) Tietojen kartoitus 4) Tietosuojavastaavan nimeäminen 5) Koulutus 6) Valitusten ja oikeuksien käytön mekanismit 7) Tietoturvailmoitukset 8) PIA 9) Standardit ja sertifikaatit 10) Edellä mainittujen valvonta KUKA VALVOO? 5
PRIVACY BY DESIGN Henkilötietolaki (523/1999) 6 Henkilötietojen käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. 6
HENKILÖREKISTERI 3 3k PRIVACY BY DESIGN HENKILÖTIETOLAKI JulkL JulkA 2 Arvioi oma toiminta 5-6 Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Oikeus käsitellä 8, 12, 13, 14-20 Mistä henkilötiedot kerätään 8, 9, 12-20 Luovutukset 8, 12-20 (6 ) Ulkomaille siirrot 22-23 Aloitus 2 Suunnittelu huolellisuus 5-6 Käyttötarkoitussidonnaisuus 7 Henkilötiedot 3 1 k, 9, 12-20 Rekisteröidyn oikeudet 24-29 Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Tietoturvallisuus 32 Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 Rekisteriseloste 10 Informointivelvollisuus 24 Käytön hallinnointi 5 Nimeä vastuuhenkilö 5 Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37 7
PRIVACY BY DEFAULT OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA vastuu mökin mummolta palvelun toimittajalle 8
Mitä? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle - mm. tietomurto ja henkilörekisteririkos - VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN; (viranomaisten toimivalta muuttuu) - TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti - RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot poistetaan - Voi olla haasteellista toteuttaa - RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta-asiakasjärjestelmät) 9
SEURAAMUKSET SAKOTUSTOIMIVALTA velvollisuus kts. Artikla 79 100 000 000 euroa tai 7 % liikevaihdosta KUKA MÄÄRÄÄ? 10
TIETOSUOJAVALTUUTETTU JA ACCOUNTABILITY: Tietosuojaviranomaisten suorittama lainvalvonta YHDENMUKAISUUSMENETTELY VALITUKSET ETUKÄTEIS- VALVONTA TARKASTUKSET TILIVELVOLLISUUS / TIETOTILINPÄÄTÖS OHJEISTUS- JA NEUVONTA- PYYNNÖT PIA TOIMIVALLAT? 11
- digitaalisen talouden edistäminen EU:n tasolla - kansalaisoikeuksien vahvistaminen - MAGNA CHARTA 800 v. - Hyvät kansalaisoikeudet = hyvä liiketoiminta HAVAINTO: TIETOSUOJA ON MENESTYSTEKIJÄ! 12
VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN pyyntö / luovutus Tiedon luovuttaja (rekisterinpitäjä A) EI SOVELLETA, koska: Oma-aloitteinen ilmoitusoikeus tai -velvollisuus LUOVUTUKSEEN SOVELLETAAN Tiedon pyytäjä (rekisterinpitäjä B) 13, 3.4.2014
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA POLIISI PÄIVÄKOTI KOULU TERVEYDEN- HUOLTO MUUT TAHOT SIJOITUS- KUNTA LsL 78 LS-ilmoitukset Tiedot LASTENSUOJELU UUDEN KOTIKUNNAN LASTENSUOJELU SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki 14
TOIMENPITEET REKISTERINPITÄJILLE: 1) Määrää tietosuojan isäntä; Tietosuojavastaava 2) Analysoi henkilötietovarastosi ja prosessit eliminoi turhat 3) Tee riskiarvio; arvioi myös sopimuksesi 4) Laadi toimintaohjeet ja ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, käytä salauksia 6) Huolehdi henkilöstön osaamisesta 7) Valvo henkilötietojen käyttöä 8) Käytä henkilötietolakia apunasi 9) Tunnista muu lainsäädäntö 10) Luo sisäinen ja ulkoinen raportointijärjestelmä; LAADI TIETOTILINPÄÄTÖS 15
Tulevaisuus: - EU-asetus ja direktiivi - miten pääsemme irti taantumisen noidankehästä menestykseen? - rapautuuko suomalaisen verkkoyhteiskunnan infrastruktuuri jo ennen kuin se on syntynyt? - miksi - mitä siitä seuraa? 16
VAHVUUDET Homogeeniset sisämarkkinat Yleinen hyöty ja tehokkuus Helpompi toimia kansainvälisesti Tietosuojan merkitys toiminnoissa lisääntyy Minkä tahansa maan viranomaisesta One-stop-shop HEIKKOUDET Kansallinen lainsäädäntö voi häiritä toimintaa Vieraat hallintokulttuurit. - toimitavat Mahdolliset konfliktit kansallisen lainsäädännön ja tietosuojalainsäädännön välillä Minkä tahansa maan viranomaisesta One-stop-shop MAHDOLLISUUDET Arvovalta ja (toimi)valta Virtuaaliset resurssit, ulkoistaminen, asiantuntijoiden jakaminen, yhteiskäyttö Tärkeiden casien jakaminen, yhteiskäsittely lisäresurssit UHKATEKIJÄT Vähentynyt itsenäisyys Tietosuojaviranomaisten välinen kilpailu toimivaltapuutokset resurssipuutokset Johtamisen osaamattomuus HELSINGISSÄ, POHJOISMAISESSA TIETOSUOJAKOKOUKSESSA 6.5.2015 LAADITTU SWOT-ANALYYSI POHJOISMAISTEN TIETOSUOJAVIRANOMAISTEN ATK-YKSIKÖIDEN TOIMINNASTA EU-ASETUKSEN NÄKÖKULMASTA 17
Henkilötietojen käsittelyn lainmukaisuus 6 artikla Yksiselitteinen suostumus Sopimus Rekisterinpitäjän lakisääteiset velvoitteet Rekisteröidyn elintärkeä etu Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta Rekisterinpitäjän oikeutettu etu Henkilötietojen käsittely historiallisia, tilastollisia ja tutkimustarkoituksia varten, arkistointitarkoitukset Henkilötietojen jatkokäsittely 18
U-JATKOKIRJE 24.9.2014/ 1 SUOMEN KANTA 1) SUOMI KANNATTAA UUDISTUSTA 2) OIKEUTETUN EDUN KÄSITE TÄSMENNETTÄVÄ 3) RISKIPOHJAINEN LÄHESTYMISTAPA OK! - pseudonymisointi - Data Protection by Default - DPIA & ennakkohyväksyntä - tietosuojavastaavat vapaaehtoista, ellei kansallinen laki - sertifiointi ei vapauta vastuusta 19
U-JATKOKIRJE 24.9.2014 / 2 4) SUOMI KANNATTAA YHDENMUKAISUUSMEKANISMIA 5) SUOMI KANNATTAA (VARAUKSIN) EU:N TIETOSUOJA- VIRASTOA - asiakirjajulkisuus = 80 a ARTIKLA - ERITYISET KÄSITTELYTILANTEET * työelämä (82) * sosiaaliturva (82 (a)) * henkilötunnus (80 (b)) * terveys (81) * historian tutkimus, tilastot, tiede, arkistointi - Kolmannen maan tuomioistuimen tuomiota luovutettava, ei tunnusteta täytäntöönpanokelpoiseksi Unionissa 20
U-JATKOKIRJE 24.11.2014 1) KANSALLINEN LIIKKUMAVARA 2) YHDEN LUUKUN MEKANISMI 3) RESURSSIT 21
KIITOS KUUNTELUSTA! Tiedon laatu = Toiminnan laatu LISÄTIETOJA: www.tietosuoja.fi Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 22