aarnio johdon tietosuojaseminaari

Tietosuojavaltuutetun toimisto

Johdon vastuu ja velvollisuudet

tietosuoja-asioissa

Reijo Aarnio

tietosuojavaltuutettu

Johdon tietosuojaseminaari

Paasitorni

1

Euroopan neuvoston tietosuojapäivä

28.1.2016

”YLIKOROSTETUSTA TIETOSUOJASTA ON TULLUT

TIETOTEKNIIKAN LIITO-ORAVA”

- Esko Aho, SITRAN yliasiamies

(Tekniikka ja talous, 2.4.2005)

TIETOSUOJAVALTUUTETUN TOIMISTO

SITRA 2005

Image:

CC0 Public Domain

https://pixabay.com/fi

TIETOTEKNIIKAN

KEHITTÄMINEN

2

VTV/TARKASTUSKERTOMUS 8/98

”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ” / luku 7

TIETOSUOJA JA TIEDON KÄSITTELYN KEHITYS -

ESTÄÄKÖ YKSILÖNSUOJA JULKISEN VALLAN

ATK-RESURSSIEN HYÖDYNTÄMISEN?

”tietosuojamääräykset, jotka lähtökohtaisesti on luotu turvaamaan

yksilön oikeuksia, ovat käyttötarkoitusperiaatteen generoimana

vahvistaneet rekisterien syntyä lähinnä vain omaa käyttötarkoitustaan

vastaavalle toiminnolle. Pelkistetysti on hahmoteltavissa tilanne, jossa

yksilöstä on tallennettuna tietoja yhä useampaan rekisteriin, yksilön

tietojen yhdistely eri hallinnonalojen alaisten rekisterien välillä on

vaikeaa, ja vaatii viranomaisilta harvaan esiintynyttä aktiivisuutta”

TIETOSUOJAVALTUUTETUN TOIMISTO 3

VIRANOMAISNÄKEMYKSIÄ TIETOSUOJALAINSÄÄDÄNNÖN

HAITOISTA


”kokonaisuudessaan tulos oli sellainen, että kyselyn kohteena olleesta 10

ministeriöstä ja kahdesta laitoksesta puolet ilmoitti jollakin toiminta-

lohkollaan havaitun tietosuojalainsäädännöstä aiheutuneen ongelmia”


”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ”/ luku 8

KTM:

”Kauppa- ja teollisuusministeriön hallintoyksikkö näkee tietosuoja-

lainsäädännän yleisesti ottaen rajoittavana tekijänä. Tietosuojasäännökset

nähdään hajanaisina ja usein tulkintamahdollisuuksia sisältävinä”

LM / Telehallintokeskus:

”Tietosuojalaki ja sen tiukka tulkinta ovat haitanneet luvattoman television-

käytön vähentämistä”

VM:

”Näin ollen joissakin tapauksissa välillisesti ilman selviä lainsäädännön

esteitä tietosuojalainsäädäntö on jarruttanut tiedonkeruun rationalisointia

ja rekistereiden yhteiskäytön kehittämistä” 4


”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ” / luku 9

JOHTOPÄÄTELMÄT JA TARKASTUSVIRASTON KANNANOTOT

”Automaattiseen tietojenkäsittelyyn liittyvän teknologisen kehityksen

mukanaantuomia hyötyjä ei hallinnon sisällä ole kyetty ulosmittaamaan

sillä teholla, mihin voimassaoleva lainsäädäntö antaisi mahdollisuudet.

Yhtenä keskeisistä syistä tähän ovat vaikuttaneet eri hallinnonalojen

sisäisen erityislainsäädännön puutteellisuudet”

”Tietosuojaa koskeva laki on yleinen, ns. puitelaki. Jos varsinaisessa

asiakohtaisessa lainsäädännössä on tietojenluovutusta koskeva säädös

laadittu silmälläpitäen yhteistyön mahdollisuutta, ei tietosuojalaki ole

esteenä viranomaisten eri tarkoitusta varten keräämien tietojen

hyödyntämiselle muussa tarkoituksessa. Tarkastusvirasto toteaa, että

rekisteriyhteistyön edellytysten luominen lähtee lainsäädännölliseltä

pohjalta; mahdollisuus kitkattomampaan rekisterin käyttöön luodaan tällä

tavalla” TIETOSUOJAVALTUUTETUN TOIMISTO

5

Laki potilaan asemasta ja oikeuksista (785/1992)

12 § (30.6.2000/653)

Potilasasiakirjat ja hoitoon liittyvä muu materiaali

12.1 Terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee säilyttää potilasasiakirjat sekä tutkimuksessa ja hoidossa syntyvät biologista materiaalia sisältävät näytteet ja elinmallit potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Potilasasiakirjat, näytteet ja mallit tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole edellä tarkoitettua perustetta.

6 TIETOSUOJAVALTUUTETUN TOIMISTO

4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali

http://www.finlex.fi/fi/laki/ajantasa/1992/19920785?search%5Btype%5D=pika&search%5Bpika%5D=%E2%80%A2laki%20potilaan%20asemasta%20ja%20oikeuksista%20a30.6.2000-653

Laki potilaan asemasta ja oikeuksista (785/1992)

13 § (30.6.2000/653)

Potilasasiakirjoihin sisältyvien tietojen salassapito

13.1 Potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. 13.2 Terveydenhuollon ammattihenkilö tai muu terveydenhuollon

toimintayksikössä työskentelevä taikka sen tehtäviä suorittava

henkilö ei saa ilman potilaan kirjallista suostumusta antaa

sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan

tässä laissa muita kuin asianomaisessa toimintayksikössä tai

sen toimeksiannosta potilaan hoitoon tai siihen liittyviin

tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen.


4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali

http://www.finlex.fi/fi/laki/ajantasa/1992/19920785?search%5Btype%5D=pika&search%5Bpika%5D=%E2%80%A2laki%20potilaan%20asemasta%20ja%20oikeuksista%20a30.6.2000-653

Euroopan parlamentin ja neuvoston direktiivi 95/46/EY

annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

8


II LUKU YLEISET SÄÄNNÖT HENKILÖTIETOJEN KÄSITTELYN LAILLISUUDESTA

III JAKSO TIETOJENKÄSITTELYN ERITYISET RYHMÄT

8 artikla

Erityisiä tietoryhmiä koskeva tietojenkäsittely

8.1 Jäsenvaltioiden on kiellettävä …. terveyteen ja seksuaaliseen käyttäytymiseen

liittyvien tietojen käsittely.

8.3 Sitä, mitä 1 kohdassa säädetään, ei sovelleta, jos tietojenkäsittely on

tarpeen ennaltaehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja

koskevia tarkoituksia varten, hoidon tai käsittelyn suorittamista varten

taikka terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja

käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota

kansallinen lainsäädäntö tai toimivaltaisten kansallisten viranomaisten

asettama salassapitovelvollisuus koskee, tai jos tietoja käsittelee muu henkilö,

jolla on vastaava velvoite.

Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

10 § Potilastietojen luovuttaminen

9


3 luku Potilastietojen sähköinen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla

Potilastietoja saa luovuttaa 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 §:n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. (21.12.2010/1227)

http://www.finlex.fi/fi/laki/ajantasa/1999/19990523#a523-1999


http://www.finlex.fi/fi/laki/ajantasa/2007/20070159?search%5Btype%5D=pika&search%5Bpika%5D=laki%20sosiaali-%20ja%20terveydenhuollon%20asiakastietojen%20s%C3%A4hk%C3%B6%2Aa21.12.2010-1227

Henkilötietolaki (523/1999)

3 §

Määritelmät

10


1 luku Yleiset säännökset

Tässä laissa tarkoitetaan: 2) henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä;




3 §

Määritelmät

11


1 luku Yleiset säännökset

Tässä laissa tarkoitetaan: 6) sivullisella muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää




8 §

Käsittelyn yleiset edellytykset

12


2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet

Henkilötietoja saa käsitellä ainoastaan:

8.1.4 Jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta 8.1.5 jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus)




12 §

Poikkeukset arkaluonteisten tietojen käsittelykiellosta

13


3 luku Arkaluonteiset tiedot ja henkilötunnus

12.1.5 On sallittua …. …. tietojen käsittely, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;




8 §

Käsittelyn yleiset edellytykset


2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet

8.4 Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.



VIRANOMAISTEN (SALASSAPIDETTÄVIEN) TIETOJEN LUOVUTTAMINEN

Henkilötietolaki

8 § 4 mom

- - - - - - - - - - - - -

viranomaisten

tietojen

luovuttaminen

julkisuuslain mukaan

(laki viranomaisten

toiminnan

julkisuudesta)

- - - - - - - - - - - - -

henkilötietojen

käsittely

suunniteltava ja

määriteltävä

käyttötarkoitus

(6 §)

Laki viranomaisten

toiminnan

julkisuudesta

- - - - - - - - - - - - - - -

- 24 § salassapito-

säännös

- salassapidettävien

tietojen

luovuttamisen

edellytykset

26 § - 30 §

* lainsäännös,

suostumus,

toimeksianto

ERITYISLAKIEN

SALASSAPITO- JA

LUOVUTUS-

SÄÄNNÖKSET esim.

- - - - - - - - - - - - - - - - - - -

L sosiaalihuollon

asiakkaan asemasta ja

oikeuksista

- salassapito 14 §

- luovutus 16 § - 18 §

- tiedonsaantioikeus

20 §

- - - - - - - - - - - - - - - - - - -

L potilaan asemasta ja

oikeuksista

- salassapito ja

luovutus 13 §

- - - - - - - - - - - - - - - - - - -

Sekä muut erityislait

TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014

EI

SOVELLETA,

koska:

LUOVUTUKSEEN SOVELLETAAN

Henkilötietolaki

8 § ja 12 § + 6 §

- - - - - - - - - - - - - -

- tietojen

vastaanottajalla

tulee olla oikeus

käsitellä saamiaan

tietoja

Esim. lakisääteinen

tehtävä tai

asiakassuhde

- - - - - - - - - - - - - - -

henkilötietojen

käsittely

suunniteltava ja

määriteltävä

käyttötarkoitus

(6 §)

Tiedon pyytäjä

(rekisterinpitäjä B)

Tiedon luovuttaja

(rekisterinpitäjä A)

Oma-aloitteinen ilmoitusoikeus tai -velvollisuus

pyyntö / luovutus

15

UUDEN AIKAKAUDEN KYNNYKSELLÄ

Reijo Aarnio

tietosuojavaltuutettu Tietosuojavaltuutetun toimisto

16

EKOSYSTEEMI

VERKKO (WEB) PALVELUT

Prop.

apps

Operating apps

(Laite) hardware

Verkko infra

3rd party

apps


”MAISEMA”

1. KULUTTAJANSUOJAN HARMONISOINTI

2. EU:N KAUPPALAIN HARMONISOINTI

3. TIETOSUOJAN HARMONISOINTI

► DIGITAALISTEN SISÄMARKKINOINTIEN

”BUUSTAAMINEN”


Mitä ? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin ”uusia” asioita: - COMPLIANCE; (”sääntöjen noudattaminen”)

- Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS

- Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)

- Henkilötietolain 6 § - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu)

- Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s-postin tietoturvasta.

- Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit)


”PRIVACY BY DEFAULT””

”OLETUSARVOINEN JA SISÄÄNRAKENNETTU

TIETOSUOJA”

• vastuu ”mökin mummolta”

palvelun toimittajalle


ACCOUNTABILITY

• WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA (13.7.2010) ”passiivisesta” compliancesta ”aktiiviseksi” accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuoja- periaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava



22

6 § Henkilötietojen käsittelyn suunnittelu

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua

rekisterinpitäjän toiminnan kannalta. Henkilötietojen

käsittelyn tarkoitukset sekä se, mistä henkilötiedot

säännönmukaisesti hankitaan ja mihin niitä

säännönmukaisesti luovutetaan , on määriteltävä ennen

henkilötietojen keräämistä tai muodostamista

henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus

tulee määritellä siten, että siitä ilmenee, minkälaisten

rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja

käsitellään. TIETOSUOJAVALTUUTETUN TOIMISTO

”PRIVACY BY DESIGN”

HENKILÖTIETOLAKI

Arvioi oma toiminta

5-6 §

Aloitus

2§

Suunnittelu

huolellisuus

5-6§

Nimeä vastuu-

henkilö

5§

Henkilötiedot

3§ 1 k, 9, 12-20 §

Tietoturvallisuus

32§

Mistä henkilötiedot

kerätään

8, 9, 12-20 §

Käyttötarkoitus-

sidonnaisuus

7§

Ulkoistaminen

8.1§ 7-k

Oikeus käsitellä

8, 12, 13, 14-20§

Käsittelyn tarkoitus

3 § 3-k & 6 §

Käytön hallinnointi

5§

Rekisteröidyn

oikeudet

24-29§

Kouluta, ohjeista

5§

Viranomaisilmoitukset

36-37§

Informointi-

velvollisuus

24§

Hävitä, arkistoi

12.2 §, 21 §,

19.1 § 1k

34-35 §

Luovutukset

8, 12-20 § (6§)

Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja

lainmukaisuuden arviointi

Ulkomaille

siirrot

22-23§

Rekisteriseloste

10§ HE

NK

ILÖ

RE

KIS

TE

RI 3§

3k

Vaitiolovelvollisuus

33 §

JulkL

JulkA 2 §



23 23

TOIMENPITEET REKISTERINPITÄJILLE:

1) Määrää tietosuojan isäntä; Tietosuojavastaava

2) Analysoi henkilötietovarastosi ja –prosessit

eliminoi turhat

3) Tee riskiarvio; arvioi myös sopimuksesi

4) Laadi toimintaohjeet ja –ohjelmat eri tilanteiden varalta;

esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne.

5) Huolehdi tietoturvasta, käytä salauksia

6) Huolehdi henkilöstön osaamisesta

7) Valvo henkilötietojen käyttöä

8) Käytä henkilötietolakia apunasi

9) Tunnista muu lainsäädäntö

10) Luo sisäinen ja ulkoinen raportointijärjestelmä;

LAADI ”TIETOTILINPÄÄTÖS”


Tietosuojavastaavan

toimenkuva

Tietosuojavastaavan tehtävänä on organisaation

erityisasiantuntijana auttaa rekisterinpitäjää

saavuttamaan hyvän henkilötietojen

käsittelytavan2 ja mahdollisten erityislakien

edellyttämä korkea tietosuojan taso, jonka avulla

voidaan rakentaa ja säilyttää luottamus

rekisteröidyn ja rekisterinpitäjän välille. Näin ollen

tietosuojavastaavan tehtävänä on antaa

asiantuntija-apua sekä organisaation

henkilöstölle että ennen kaikkea johdolle, jolla on

viimekätinen vastuu rekisterinpitäjänä

henkilötietojen käsittelystä.


Tietosuojavastaavan tehtävät ja asema

• Tehtävien laajuus sovitaan erikseen työsopimuksessa ja tehtäväkuvauksessa

– Lähtökohtaisesti tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa

– Päätökset tekee hallinnollinen johto

– Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita tietosuojavastaavalle

• Tietosuojavastaavan tehtävän voi ulkoistaa

• Tietosuojavastaavan nimi ilmoitettava valvovalle viranomaiselle


TIETOTILINPÄÄTÖS

Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista.

Tietotilinpäätöksen tarkoituksena on toimia dynaamisena työkaluna, joka palvelee organisaation johdon tarpeita ja lisää asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin.


Mitä ? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista

ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle

- mm. tietomurto ja henkilörekisteririkos

- VALVONTAVIRANOMAISTEN ROOLIN

VAHVISTAMINEN; (viranomaisten toimivalta muuttuu) - TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja

aina EY-tuomioistuimeen asti

- RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot

poistetaan

-

RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta-

asiakasjärjestelmät)


SEURAAMUKSET

• SAKOTUSTOIMIVALTA velvollisuus

• kts. Artikla 79

• 20 000 000 euroa tai 4 % liikevaihdosta

• KUKA MÄÄRÄÄ?


30

EU-lainsäädännön soveltamisen valvonta

EU-lainsäädäntö jakaantuu ns. primaari- ja

sekundaarilainsäädäntöön. Primaarilainsäädännöllä tarkoitetaan

ennen muuta perussopimuksia, jotka ovat EU:n kaiken toiminnan

perusta.

Sekundaarilainsäädäntöä kutsutaan myös johdetuksi

lainsäädännöksi, sillä se johdetaan perussopimuksissa määritellyistä

periaatteista ja tavoitteista. Sekundaarilainsäädäntöön kuuluu

asetuksia, direktiivejä ja päätöksiä.

Jäsenmailla on ensisijainen vastuu EU:n perussopimusten ja

lainsäädännön asianmukaisesta ja oikea-aikaisesta

soveltamisesta, ja Euroopan komissio valvoo tätä toimintaa.

► sellaisenaan voimassa TIETOSUOJAVALTUUTETUN TOIMISTO

Henkilötietojen käsittelyn lainmukaisuus 6 artikla

• Yksiselitteinen suostumus

• Sopimus

• Rekisterinpitäjän lakisääteiset velvoitteet

• Rekisteröidyn elintärkeä etu

• Yleistä etua koskeva tehtävä / rekisterinpitäjälle

kuuluva julkinen valta

• Rekisterinpitäjän oikeutettu etu

• Henkilötietojen käsittely historiallisia, tilastollisia

ja tutkimustarkoituksia varten,

arkistointitarkoitukset

• Henkilötietojen jatkokäsittely


Luonnos/9 artikla

Article 9

Processing of special categories of personal data

(h) processing is necessary for the purposes of preventive or

occupational medicine, for the assessment of the working

capacity of the employee, medical diagnosis, the provision of

health or social care or treatment or the management of health or

social care systems and services on the basis of Union law or

Member State law or pursuant to contract with a health

professional and subject to the conditions and safeguards

referred to in paragraph 4; or

(hb) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union law or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;


HALLITUSOHJELMAN KÄRKIHANKKEITA

- Digitalisaatio on hallituksen strategian läpileikkaava teema luottamus, vuorovaikutus,

kokemusasiantuntemus/kokeilukulttuuri, digitaalinen liiketoiminta ja palvelut,

omatoimisuus

- perustetaan Esineiden internet – ohjelma koordinoi eri ministeriöiden toimet

- vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä,

sujuva tietojen siirtyminen viranomaisten välillä

- Julkisten palvelujen avaaminen kilpailu, verkkotoiminta

- Verot ja verotustiedot

- sosiaali- ja terveyspalvelujen uudistus; tietojärjestelmät, tietojen siirto ja luovutus,

alihankinta, kokonaisarkkitehtuurin kehitys ja valvonta

- sähköiset palvelut omahoidossa ja neuvonnassa, terveysteknologia

- kuntauudistus; tietojärjestelmät, tietojen siirto ja luovutus

- työvoimahallinnon toimivuus; tietojärjestelmät, tietojen siirto ja luovutus

- palveluiden asiakaslähtöisyys, palveluketjuja yli hallinnonrajojen, innovatiivisuus

- kustannus karsiminen joustavilla palveluprosesseilla ja lainsäädännöllä

- palveluväylähankkeet

- yhteistyö, yhteispalvelupisteet viranomaisten ja kuntien kanssa

- tietojen siirto hallitusti, prosessien nopeutus digitalisaation avulla ja viranomaisten välistä

tiedonvaihtoa vahvistamalla


UUSI ULJAS TIETOSUOJA

- SEITSEMÄN OHJETTA

LIIKETOIMINTAJOHDOLLE

Reijo Aarnio

tietosuojavaltuutettu Tietosuojavaltuutetun toimisto

Tietosuoja-asetus paketissa, yrityksesi solmussa?

34

35

1. ARVIOI NYKYTILANNE



36

6 § Henkilötietojen käsittelyn suunnittelu

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua

rekisterinpitäjän toiminnan kannalta. Henkilötietojen

käsittelyn tarkoitukset sekä se, mistä henkilötiedot

säännönmukaisesti hankitaan ja mihin niitä

säännönmukaisesti luovutetaan, on määriteltävä ennen

henkilötietojen keräämistä tai muodostamista

henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus

tulee määritellä siten, että siitä ilmenee, minkälaisten

rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja

käsitellään. TIETOSUOJAVALTUUTETUN TOIMISTO


2. OTA OPPAAKSI HENKILÖTIETOLAKI

HENKILÖTIETOLAKI

Arvioi oma toiminta

5-6 §

Aloitus

2§

Suunnittelu

huolellisuus

5-6§

Nimeä vastuu-

henkilö

5§

Henkilötiedot

3§ 1 k, 9, 12-20 §

Tietoturvallisuus

32§

Mistä henkilötiedot

kerätään

8, 9, 12-20 §

Käyttötarkoitus-

sidonnaisuus

7§

Ulkoistaminen

8.1§ 7-k

Oikeus käsitellä

8, 12, 13, 14-20§

Käsittelyn tarkoitus

3 § 3-k & 6 §

Käytön hallinnointi

5§

Rekisteröidyn

oikeudet

24-29§

Kouluta, ohjeista

5§

Viranomaisilmoitukset

36-37§

Informointi-

velvollisuus

24§

Hävitä, arkistoi

12.2 §, 21 §,

19.1 § 1k

34-35 §

Luovutukset

8, 12-20 § (6§)

Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja

lainmukaisuuden arviointi

Ulkomaille

siirrot

22-23§

Rekisteriseloste

10§ HE

NK

ILÖ

RE

KIS

TE

RI 3§

3k

Vaitiolovelvollisuus

33 §

JulkL

JulkA 2 §



37

38

3. VARMISTA ORGANISAATIOSI

OSAAMINEN

►TIETOSUOJAVASTAAVAT

- oikeusvarmuus

- investoinnit

- hallinnolliset sanktiot


39

4.

MUISTA, ETTÄ ET VOI ULKOISTAA

VASTUUTASI

► DBN = Data Breach Notification

► varaudu poikkeustilanteisiin

► tietosuojavastaavan nimeäminen

ei poista vastuuta


40

5. RAKENNA LUOTTAMUS

► Accountability

► Privacy by Default

► tietotilinpäätös

► sertifikaatit

► auditoinnit


41

6. OLE EUROOPPALAINEN

► EU-USA

► SAFE HARBOR

► soveltamisala

► Privacy Bridges

► EUCJ:n tuomiot: - WELTIMMO

- GOOGLE


TIETOSUOJA ON MENESTYSTEKIJÄ !


= TIETOSUOJAVALTUUTETUN

TOIMISTON VISIO

7. MUUTA PARADIGMASI

POSITIIVISEKSI

42

Vaakakupin toinen puoli / tasapaino ;

eReseptiL (61/2007) 24 §; AsiakastietoL (159/2007) 19 § ja 20 §

1) Tietosuojatyön organisointivelvollisuus johdolla • Tietosuojavastaava nimettävä organisaatioon sekä • tietosuojatyön tekemiseen tietosuojavastaavan tehtävät,

toimenkuva ja resurssit määriteltävä (tarvittaessa tietosuojaryhmä)

2) Vastaavan johtajan velvollisuus • Johdon annettava kirjalliset ohjeet työntekijöille asiakastietojen

käsittelystä + varmistuttava henkilöstön tietosuojaosaamisesta

3) Rekisterinpitäjän velvollisuus käytönvalvontaan • lokitietojen kerääminen ja pitkäaikaissäilytys sekä asiakastietojen

käytön seuranta ja valvonta jälkikäteen • Viimekätinen vastuu johdolla, että lokivalvontaa tehdään, ja se on

ulospäin uskottavaa

4) Kansalaisen omien asiakastietojen lokimerkintöjen eKatselu 5) Tietojärjestelmien ja organisaation auditoinnit sekä

omavalvontasuunnitelma

43



Vuoden 2014 sähköisen reseptin tietosuojakysely

Tietosuojavastaaville tehty kysely osoittaa, että tietosuoja-asiat ovat

suhteellisen hyvin hoidossa terveydenhuollossa ja apteekeissa.

Vastaukset kuitenkin kertovat, että esimerkiksi tietosuojavastaavan

toimenkuvan määrittelemisessä ja tietojen käsittelyn valvonnassa on

kehitettävää.

Positiivista on se, että suurimmassa osassa apteekkeja ja julkista ja

yksityistä terveydenhuoltoa on työntekijöiltä vaadittu kirjallinen

salassapito- ja käyttäjäsitoumus. Tietosuojaa myös pidetään erittäin

tärkeänä kaikkien vastaajien keskuudessa. Vastaajat toivovat

toimenkuvansa selkeyttämistä, selkeitä ohjeita ja koulutusta

tehtävänsä hoitamiseen. 44

ESTEESTÄ -

MENESTYSTEKIJÄKSI

Mahdollisuutena SOTE-sektorilla ja apteekeissa, kun organisaation johto

1. organisoi tuottavalla ja tehokkaalla tavalla tietosuojatyön

2. hyödyntää tietosuojavastaavan riittävillä resursseilla

3. laatii kirjalliset ohjeet ja kouluttaa henkilöstön sekä varmistuu työntekijöiden tietosuojaosaamisesta:

a. Henkilöstön osaaminen ja oikeusturva paranevat sekä b. potilasturvallisuus paranee, c. organisaation tuottavuus ja tehokkuus kasvaa sekä

saadaan aikaan kustannussäästöjä, d. samalla potilaan/asiakkaan tietosuoja ja oikeusturva

ovat riittävällä tasolla, e. organisaatio näyttää ulospäin luotettavalta palvelujen

antajalta ja yhteistyökumppanilta.


Tietosuojan Jyväskylän julistus

Julkaistu 26.11.2015

Tietosuojavaltuutetun toimisto, kuultuaan Jyväskylään 11.-12.11. 2015 kokoontuneen sosiaali- ja terveydenhuoltoalan Tellu-Sohvi -seminaarin asiantuntevaa yleisöä, on antanut seuraavan julistuksen;

Julistus

Sosiaali- ja terveystoimi on edelleen kiihtyvässä murroksessa. Tehtyjen merkittävien kansallisten ratkaisujen lisäksi näköpiirissä on uuden eurooppalaisen tietosuojasääntelyn huomioiminen. Sen avulla pyritään harmonisoimaan eurooppalaista sääntelyä ja edesauttamaan luottamuksen rakentamisessa. Suomessa luottamuspääoma on edelleen säilynyt korkeana. Se on uudistusten osalta erinomainen ponnahduslauta uuteen järjestelmään siirtymisessä. ►



Seminaari korostaa, että;

- myös asiakkaan hyvinvoinnin, mukaanlukien oikeudellisen hyvinvoinnin on oltava muutoksen moottorina

- tietosuojaa on hyödynnetty riittämättömästi voimavarana ja menestystekijänä

- hallinnon, organisaatioiden ja teknologian hyödyntämisen muutoksessa on luottamuspääoma turvattava

- toimijoiden on saatava riittävästi selkeää, mahdollistavaa ohjausta, joka annetaan kaikille yhteisellä ja ymmärrettävällä kielellä. Ohjauksen mahdollistavuudella on pyrittävä osoittamaan oikeat toimintatavat eri tilanteissa

- digitalisaatio voi myös parantaa asiakkaiden tietosuojaa ja sen perusteena olevaa itsemääräämisoikeutta. Tietoturvallisten teknologioiden suunnittelua ja käyttöä pitäisi edistää ja toimijoiden käyttöön pitäisi saada esimerkiksi omavalvontaa tukevia sovelluksia



- esimerkiksi EU:n tietosuojauudistuksen yhteydessä, oikeusvaltion periaatteita noudattaen on huolehdittava, että hallinnonrajat ylittävälle yhteistyölle on vahva lainsäädännöllinen pohja. Salassapitosäännösten ja palveluita antavien tahojen velvoittavia tehtäviä ja toimivaltaa koskevien säännösten on oltava asiakkaita palvelevasti tasapainossa

- lainvalmisteluun on varattava riittävät resurssit,

- tietosuojavastaavat ovat merkittävä osa kansallista osaamispääomaa. Huono osaaminen puolestaan aiheuttaa epävarmuutta ja toimimattomuutta, josta aiheutuu tarpeettomia kustannuksia ja tuottavuuden alenemista,

- se, joka osallistuu palvelun antamiseen ei ole sivullinen.



Jyväskylässä pidettyyn Sote -tietosuojaseminaariin osallistui jälleen lähes kolmesataa henkilöä. Seminaari järjestettiin yhteistyössä Suomen Kuntaliiton, Jyväskylän kaupungin, Keski-Suomen sairaanhoitopiirin ja FCG Koulutus Oy:n kanssa Seminaarin ohjelman suuunnittelusta vastasivat tietosuojavaltuutetun toimiston koollekutsumat Sohvi- ja Tellu -ohjausryhmät.


51

SITRA 2016

Sitra on käynnistänyt uuden hankekokonaisuuden, jonka avulla valmistellaan

hyvinvointidatan kokoamiseen ja koordinointiin keskittyvän toimijan perustamista.

Toimijan työnimenä on Isaacus – hyvinvoinnin palveluoperaattori.

Palveluoperaattorin tehtävänä on tarjota eri tietolähteistä ja -rekistereistä saatavaa

hyvinvointiin vaikuttavaa tietoa, (esim. potilastiedot, demografiset tiedot,

elintapatiedot) ja avointa dataa yhden luukun kautta. Tiedon kokoamisessa ja

käsittelyssä korostetaan tietosuojaa, tietoturvaa ja yksilön asemaa

keskeisenä päättäjänä, mihin hänen tietojaan käytetään ja kuka niitä käyttää.

Ratkaisun etuna on, että hyvinvointiin vaikuttava kaikki data

yksilön oikeudet huomioiden saadaan hyötykäyttöön

Suomessa.

TIETOSUOJA ON

MENESTYSTEKIJÄ! TIETOSUOJAVALTUUTETUN TOIMISTO

Image:

CC0 Public Domain

https://pixabay.com/fi

Reijo Aarnio

tietosuojavaltuutettu

Tiedon laatu

= Toiminnan laatu

KIITOS KUUNTELUSTA!

LISÄTIETOJA:

www.tietosuoja.fi

Tietosuojavaltuutetun toimisto 52

aarnio johdon tietosuojaseminaari

Health & Medicine