EU-tietosuoja-asetus 26.10.2017 Kari Kataja, HAMKin tietosuojavastaava
Esityksen sisältö Esittäytyminen Johdanto Tietosuojavastaava Tietosuoja-asetuksen periaatteita Rekisteröidyn oikeuksia Käytännössä havaittuja haasteita Lähteitä 26.10.2017 Kari Kataja 2
Kari Kataja Tietojärjestelmäpäällikkö, tietosuojavastaava (50% työajasta) HAMKissa vuodesta 2008 alkaen, aikaisemmin mm. elektroniikan sopimusvalmistuksessa Diplomi-insinööri, kauppatieteiden maisteri, Filosofian maisteri ja kasvatustieteiden maisteri Ei siis erityistä juridista taustaa opinnoista https://www.linkedin.com/in/karikataja/ 26.10.2017 Kari Kataja 3
Disclaimer En ole taustaltani juristi. Tässä esityksessä olevat asiat perustuvat siihen, millainen käsitys minulle on erinäisten koulutusten ja asetustekstin lukemisen perusteella syntynyt. Myös Suomen paikallinen lainsääntö vielä puuttuu. Tarkemmat käytännöt ja rajaukset selviävät osittain vasta myöhemmin oikeuskäytännön myötä 26.10.2017 Kari Kataja 4
(Salon seudun sanomat 22.7.2017, http://www.sss.fi/2017/07/potilastietoja-lojui-keskella-korvenmakea/ (Karjalainen 22.6.2017, https://www.karjalainen.fi/uutiset/uutis-alueet/kotimaa/item/146600-kaksikko-tehtailipetoksia-yli-40-000-eurolla-taustalla-tietomurto-itae-suomen-yliopiston-jaerjestelmiin ) 26.10.2017 Kari Kataja 5
EU-tietosuoja-asetus (GDPR, General Data Protection Regulation) Henkilötietojen käsittelyn yhtenäistäminen koko EU:ssa Siirtymäaika päättyy 25.5.2018 Merkittäviä tarkennuksia ja tiukennuksia henkilötietojen käsittelyssä sekä rekisteröidyille henkilöille uusia oikeuksia: Esim. oikeus saada pääsy tietoihinsa ja oikeus tulla unohdetuksi Tietojen minimointi ja käyttötarkoitussidonnaisuus Rekisterinpitäjällä on osoitusvelvollisuus siitä, että asiat on hoidettu lain mukaisesti 26.10.2017 Kari Kataja 6
Tietosuoja-asetuksen taustaa EU-tietosuoja-asetus tunnetaan myös lyhenteellä GDPR (General Data Protection Regulation). Asetuksen voimaantulossa on kahden vuoden siirtymäaika, joka päättyy 25.5.2018. Asetusta voidaan jossain määrin tarkentaa kansallisella lainsäädännöllä, tätä lainsäädäntöä ei kuitenkaan vielä ole. Korvannee nykyisen henkilötietolain Tavoitteena on yhtenäistää henkilötietojen käsittelyä EUalueella. Alkuperäinen asetus löytyy osoitteesta: http://eurlex.europa.eu/legalcontent/fi/txt/?uri=oj%3al%3a2016%3a119%3atoc 26.10.2017 Kari Kataja 7
Asetuksesta keskustellaan tällä hetkellä paljon, koska Se tuo mukanaan joukon uusia oikeuksia rekisteröidyille Osa voi olla hankalia toteuttaa Rekisterinpitäjälle on määritelty osoitusvelvollisuus Asetukseen kirjatut maksimisanktiot ovat huomattavan korkeita Tarkastellaan em. kohdista ensin sanktiot, sitten osoitusvelvollisuus ja muut velvollisuudet ja lopuksi rekisteröidyn oikeuksia 26.10.2017 Kari Kataja 8
Sanktiot Asetuksen noudattamatta jättämisestä voi seurata esimerkiksi varoitus, huomautus, tietojen käsittelykielto tai sakko, joka on 20 000 000 euron tai 4% maailmanlaajuisesta liikevaihdosta (näistä suurempi otetaan huomioon). Isoilla kansainvälisillä yrityksillä summa voi siis olla jopa miljardeja euroja. Haluan kuitenkin korostaa, että tietosuoja-asetus kannattaa ajatella positiivisena asiana. Sanktiopykälä tarkoittaa sitä, että asetuksen noudattamiseen on vahva intressi myös globaaleille yrityksille (esim. Microsoft, Google, Facebook). 26.10.2017 Kari Kataja 9
Periaate: rekisterinpitäjän osoitusvelvollisuus Ei riitä, että me noudatetaan asetuksen määräyksi, vaan tämä pitää kyetä osoittamaan (eli meillä on osoitusvelvollisuus). Toimenpiteiden dokumentointi Tietotilinpäätös Tähän liittyy esimerkiksi kaikkien henkilötietoja käsittelevien henkilöiden perehdyttäminen asiaan. Tietosuoja pitää ottaa huomioon varmistaa jo suunnitteluvaiheessa Yms. Sisäänrakennettu ja oletusarvoinen tietosuoja. 26.10.2017 Kari Kataja 10
Riskipohjainen lähestymistapa Asetuksen perustana on riskipohjainen lähestymistapa. Eli eritilanteissa henkilötietojen käsittelyyn liittyvät riskit analysoidaan ja sen perusteella suunnitellaan toimenpiteet. 26.10.2017 Kari Kataja 11
Henkilötieto Tietosuoja-asetus koskettaa kaikkea henkilötietojen käsittelyä. Henkilötieto on asetuksessa määritelty kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella, 26.10.2017 Kari Kataja 12
Mitkä sitten käytännössä voivat esimerkiksi olla henkilötietoja? Nimi Sähköpostiosoite Sormenjälki Auton rekisterinumero Tietokoneen IP-osoite Taiteilijanimi Puhelimen gps-koordinaatit Video Valokuva Yms. 26.10.2017 Kari Kataja 13
Erityiset henkilötiedot Henkilötietolain arkaluontoinen henkilötieto Rotu, etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen tai suuntautuminen, terveyttä koskevat tiedot sekä geneettistä tai biometriaa koskevat tiedot. Oletuksena käsittelykielto, johon asetuksessa ja kansallisessa lainsäädännössä poikkeukset. Myös erityislainsäädännöstä tarkennuksia tähän. 26.10.2017 Kari Kataja 14
Tietosuojavastaava, nimitettävä jos: Kyseessä viranomainen tai julkishallinnon elin (pl. Lainkäyttöä tekevä tuomioistuin) Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin 26.10.2017 Kari Kataja 15
Tietosuoja-asetuksen periaatteet Rekisterinpitäjän osoitusvelvollisuus Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus 26.10.2017 Kari Kataja 16
Periaate: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Rekisteröidylle pitää informoida tietojen käytöstä. 26.10.2017 Kari Kataja 17
Periaate: käyttötarkoitussidonnaisuus Kerättyjä henkilötietoja saa käyttää vain siihen tarkoitukseen, mihin ne on alun perin kerätty (tähän on tiettyjä poikkeuksia) Esimerkki: kerätään henkilötietojen tilaisuuteen ilmoittautumista varten. Tietoja ei saa käyttää esimerkiksi muuhun markkinointiin, mikäli tähän ei ole erikseen lupaa kysytty 26.10.2017 Kari Kataja 18
Periaate: tietojen minimointi Vain tarpeelliset tiedot kerätään Ei siis saada kerätä varmuuden vuoksi henkilö tietoja. Tietoja säilytetään vain niin kauan, kun se on tarpeellista. 26.10.2017 Kari Kataja 19
Periaate: tietojen täsmällisyys Tiedot pitää olla oikein. Epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä 26.10.2017 Kari Kataja 20
Periaate: tietojen säilytyksen rajoittaminen Henkilötietoja säilytetään vain niin kauan, kuin se on tarpeen 26.10.2017 Kari Kataja 21
Periaate: tietojen eheys ja luottamuksellisuus Henkilötietoja käsiteltävä tavalla, jolla varmistetaan asianmukainen turvallisuus, sisältäen suojaamisen luvattomalta ja lainvastaiselta käsittelyltä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta 26.10.2017 Kari Kataja 22
Ilmoitusvelvollisuus tietoturvaloukkauksissa Pääsääntöisesti tietoturvaloukkauksista tulee ilmoittaa valvovalle viranomaiselle 72 tunnin kuluessa sen ilmitulosta. Kyse siis ei ole arkipäivistä, vaan 72 tunnista! Tietyissä tilanteissa ilmoitus pitää tehdä myös niille henkilöille, joita tietoturvaloukkaus on koskenut. Tähän liittyvät toimintaprosessit ja vastuut kannattaa suunnitella etukäteen. 26.10.2017 Kari Kataja 23
Henkilön (rekisteröidyn) oikeuksia Henkilölle tulee laajempia oikeuksia: Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Oikeus saada pääsy tietoihinsa Oikeus tietojen oikaisuun Oikeus tulla unohdetuksi Oikeus tietyissä tilanteissa käsittelyn rajoittamiseen Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle Oikeus tietyissä tilanteissa vastustaa henkilötietojen käsittelyä Automatisoitu päätöksenteko ja profilointi kielto Jos tietojen kerääminen edellyttää henkilön suostumusta, henkilöllä on oikeus peruuttaa suostumuksensa milloin tahansa ja sen tulee olla yhtä helppoa kuin suostumuksen antaminen. 26.10.2017 Kari Kataja 24
Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Nykyisiä rekisteri / tietosuojaselosteita kattavampi. Esimerkiksi henkilötietoja kerättäessä tulee ilmoittaa: henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste henkilötietojen vastaanottajat tai vastaanottajaryhmät henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot 26.10.2017 Kari Kataja 25
Oikeus saada pääsy tietoihinsa Rekisteröidylle pitää hänen niin vaatiessa toimittaa kaikki häntä koskevat tiedot Tämä sisältää myös lokitiedot. Mikäli rekisteröityjä on suuri määrä, olisi syytä automatisoida tietojen kerääminen Käytännössä esimerkiksi Excel-tiedostot ovat hankalia erityisesti isoissa organisaatioissa. 26.10.2017 Kari Kataja 26
Oikeus tulla unohdetuksi Rekisteröidyn on oikeus pyytää poistamaan kaikki itseään koskevat tiedot. Tämä on toteutettava viivytyksettä, mikäli: Tietojen keräämisen perustana on ollut suostumus tai Henkilötietojen käsittelyn peruste ei enää ole olemassa tai Henkilötietoja on käsitelty laittomasta (+ muutama erityistapaus) Tiedot pitäisi poistaa myös varmuuskopioilta (tyypillisesti mahdotonta => varmistusnauhojen kierto) Voi olla joissakin vanhoissa järjestelmissä haastavaa, koska niistä voi poistotoiminnallisuus puuttua kokonaan. 26.10.2017 Kari Kataja 27
Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle Esimerkki: henkilö on yksityisen terveysaseman asiakas. Hän haluaa vaihtaa toiselle terveysasemalle. Hänellä on oikeus saada kaikki tietonsa sähköisessä koneluettavassa muodossa. 26.10.2017 Kari Kataja 28
Rekisterinpitäjä vs. henkilötiedon käsittelijä Esimerkki: yritys X käyttää palkalaskentajärjestelmää, joka on pilvipalvelun yrityksen Y ylläpitämä. Tällöin yritys X on rekisterinpitäjä ja Yritys Y on käsittelijä Tällöin X:n ja Y:n pitää sopia tietyistä seikoista. Esim. käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti (tarkempi lista löytyy artiklasta 28) 26.10.2017 Kari Kataja 29
Tunnistettuja haasteita: markkinointi Markkinointiviestintä. Syytä tarkastella, millaisia rekistereitä on ja miten asetuksen vaatimukset vaikuttavat niihin. Mihin on lupa pyydetty? Miten henkilö saadaan kaikista rekistereistä niin halutessa pois? Miten pystytään kaikki henkilön tiedot kokoamaan ja toimittamaan hänelle hänen niin pyytäessä? Mukaan lukien järjestelmän lokitiedot Miten henkilö pääsee rekisteristä helposti pois? Yms. 26.10.2017 Kari Kataja 30
Dokumentointia Esimerkiksi HAMKissa tehdään tai päivitetään seuraavia: Henkilötietojen inventaari Varmuuskopioinnin periaatteet Lokien hallinnan periaatteet Henkilökunnan ohjeistaminen oikeaan henkilötietojen käsittelyyn Alihankkijoiden ohjeistaminen oikeaan henkilötietojen käsittelyyn Tietotilinpäätös Arkistonmuodostussuunnitelma / tiedonohjaussuunnitelma Prosessikaavioita Tietosuojan vuosikello Informointimateriaalia rekisteröidyille Jne. 26.10.2017 Kari Kataja 31
Mitä esimerkiksi kannattaisi esimerkiksi tehdä? Varmista, tarvitseeko organisaatio tietosuojavastaavan Kartoita kaikki henkilörekisterit ja perustele niiden käyttö (tarpeettomat poistetaan) sekä varmista missä tallennettu (EU/ETA alue?) Varmista, millä perusteella tiedot on kerätty. Jos on kerätty suostumuksella, niin miten tämä on pyydetty? Käy läpi rekistereiden tietoturvallinen käsittely Tee suunnitelma siitä, miten rekisteröidyn pyynnöt ja ilmoitusvelvollisuus Kouluta henkilökunnalle perusasiat Jne ja dokumentoi asiat, jotta osoitusvelvollisuus toteutuu 26.10.2017 Kari Kataja 32
Lisätietoja Tietosuojavaltuutetun opas "Miten valmistautua EU:n tietosuoja-asetukseen (pdftiedosto): http://www.tietosuoja.fi/material/attachm ents/tietosuojavaltuutettu/tietosuojavaltuutetuntoi misto/oppaat/1em8rt7if/miten_valmistautua_eun_ tietosuoja-asetukseen.pdf Asetukset teksti: http://eur-lex.europa.eu/legalcontent/fi/txt/?uri=celex%3a32016r0679 VM:n materiaalia (esim. henkilökunnan koulutusvideo ja testi, suunnattu julkiselle sektorille): http://arjentietosuoja.fi/ 26.10.2017 Kari Kataja 33