E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuojalainsäädännön kokonaisuudistus Ensimmäinen EU:n tasoinen tietosuojaa koskeva normisto oli tietosuojadirektiivi (95/46/EY) Asetuksen valmistelutyötä vauhdittanut Snowden ym. tietosuoja - ja tietoturvaskandaalit Asetus on suoraan sovellettavaa lainsäädäntöä, ei enää kansallista lakia direktiivin pohjalta Korvaa voimassa olevan henkilötietolain, yhtenäinen paketti Tällä hetkellä olemassa kolme eri versiota ( Nothing is agreed ) Merkittävästi lisää vastuita ja velvoitteita rekisterinpitäjille ja henkilötietojen käsittelijöille Koskee kaikkia liiketoiminta-aloja Hyväksytään todennäköisesti vuoden 2016 alussa ja voimaan siirtymäajan jälkeen 2018 Tämä esitys perustuu pääosin komission tekstiin

T i e t o s u o j a l a i n s ä ä d ä n n ö n k o k o n a i s u u d i s t u s T e r m i t? Henkilötieto kaikkea tunnistettua ja tunnistettavissa olevaa luonnollisista henkilöä koskevaa tietoa (henkilö voidaan suoraan tai epäsuoraa tunnistaa erilaisten tunnisteiden avulla) Rekisteröity Luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa erilaisten tunnisteiden avulla Rekisterinpitäjä Esim. yritys, joka yksin tai yhdessä toisen tahon kanssa määrää henkilötietojen käsittelyn tarkoitukset ja keinot Henkilötietojen käsittelijä Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun

M i k ä m u u t t u u j a m i t ä h y ö t y ä? V a n h a v s. u u s i Mikä ja miten muuttuu merkitys yrityksen kannalta Direktiivi Asetus Yritys velvollinen noudattamaan jokaisen jäsenvaltion lakia Erinäisiä irrallisia toimenpiteitä lain noudattamisen varmistamiseksi Pitänyt ilmoittaa tietosuojavaltuutetulle henkilötietojen käsittelystä Pääkonttorin sijaintipaikan tietosuojavaltuutettu valvoo Tilivelvollisuus organisatoriset ja tekniset toimet asetuksen vaatimusten täyttämiseksi Ei ilmoitusvelvollisuutta - Rekisterinpitäjien ja käsittelijöiden dokumentoitava käsittelytoimet - Käsittelyn periaatteet ja perusteet - Säilytysajat ja tietojen laatu

M i k ä m u u t t u u j a m i t ä h y ö t y ä? V a n h a v s. u u s i Mikä ja miten muuttuu merkitys yrityksen kannalta Direktiivi Privacy by default vaatimusta ei sellaisenaan direktiivissä Asetus Tietojärjestelmän suunnitteluvaiheesta lähtien varmistettava tietosuojavelvoitteiden toteutuminen elinkaarimalli Direktiivi ei tunne profilointia kieltää automaattisten henkilöä koskevien päätösten tekemisen (voi tehdä sopimuksen) Direktiiviä sovelletaan pääasiassa vain rekisterinpitäjään Lähtökohtaisesti profilointikielto Sallittua jos esim. perustuu sopimukseen, suostumukseen tai lakiin Henkilötietojen käsittelijälle itsenäinen vastuuasema - Sopimuspakko/vastuut - Dokumentointivelvollisuus - Tietoturvavelvoitteet - Informointivelvollisuus (murrot) - Vaikutusten- ja riskienarv.

M i k ä m u u t t u u j a m i t ä h y ö t y ä? V a n h a v s. u u s i Mikä ja miten muuttuu merkitys rekisteröidyn kannalta Direktiivi Rekisteröidyn suostumus vapaaehtoinen ja tietoinen suostumus käsittelylle Pseudonyymi ja anonyymi tieto Direktiivi ei tunne käsitteitä Suostumuksen Asetus kohdistuttava nimenomaiseen käsittelyperusteeseen (informointivelv.) - Näyttötaakka rekisterinpitäjällä Merkitys esim. Big Datan käsittelyssä - Anonyymin tiedon käsittely sallittua - Pseudonyymin tiedon käsittely sallittua tietyin edellytyksin(?) Rekisteröidyllä oikeus saada virheelliset tiedot oikaistua ja poistettua - Oikeus tulla unohdetuksi - Oikeus saada tiedot poistettua (erasure) Tiedot vanhentuneita, käsittelyn perustetta ei ole, oikeuden päätös

M i k ä m u u t t u u j a m i t ä h y ö t y ä? V a n h a v s. u u s i Mikä ja miten muuttuu merkitys rekisteröidyn kannalta Direktiivi Tietojen siirrettävyys Direktiivi ei tunne käsitettä Asetus Oikeus saada henkilötiedot siirrettyä rekisterinpitäjältä toiselle (esim. pilvipalvelusta toiseen) Rekisteröidyllä yleinen oikeus tarkistaa tietonsa ja saada tietoa käsittelystä Valitus kansalliselle tietosuojavaltuutetulle Rekisterinpitäjän tiedotusvelvollisuutta laajennettu - Tietosuojavastaavan tiedot - Tietojen säilytysaika - Tietojen poisto- ja siirtooikeus - Rekisteröity voi osoittaa valituksen minkä tahansa jäsenvaltion tietosuojavaltuutetulle - Mikä tahansa yleisen hyvän eduksi toimiva yhteisö voi tehdä valituksen rekisteröidyn puolesta ryhmävalitus

Seuraukset rikkomuksista Tietosuojavaltuutettu voisi määrätä hallinnollisia seuraamuksia rikkomustapauksissa Ensimmäisellä kerralla varoitus jos jätetty noudattamatta säännöksiä (tahaton tilanne) Säännölliset tarkastukset Tarkastetaan henkilötietojen käsittelyn lainmukaisuus Sakko max. 100 miljoonaa euroa tai 5 % yrityksen globaalista liikevaihdosta(?)

T i e t o s u o j a l a i n s ä ä d ä n n ö n k o k o n a i s u u d i s t u s R e k i s t e r i n p i t ä j ä j a k ä s i t t e l i j ä Rekisterinpitäjän ja käsittelijän väliselle sopimussuhteelle nimenomaisia sisältövaatimuksia toisaalta sopimusvapaus tehtävien jakamisessa Sopimussuhteessa määriteltävä mm., miten rekisteröityjen oikeudet käytännössä toteutetaan siis mm.: rekisteröidyn oikeus tarkastaa sekä saada oikaistuksi ja poistetuksi tietoja Rekisteröity voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään että käsittelijään (huom. kuitenkin: ei vastuuta, jos rekisterinpitäjä/käsittelijä voi osoittaa, ettei ole vastuussa ko. virheestä); myös valvontaviranomainen voi lähtökohtaisesti kohdistaa hallinnolliset seuraamukset kumpaan tahansa Olennaista jatkossa: sopimuksissa syytä määritellä tarkasti, mistä kumpikin osapuoli vastaa; lisäksi huolehdittava siitä, että sopimukset kattavat kaikki pakolliset lausekkeet

ERIKOISTUNUT OLENNAISEEN Terho Nevasalo Partner, LL.M Tel +358 9 474 2224 Mobile +358 40 5587581 terho.nevasalo@hpplaw.fi ASIANAJOTOIMISTO HAMMARSTRÖM PUHAKKA PARTNERS OY BULEVARDI 1 A 00100 HELSINKI +358 9 47421 www.hpplaw.fi