EU:n yleinen tietosuoja-asetus
Muuttuiko mikään?
Kito ry:n teemapäivät 28.9.2018 Tampere-talo
Mikko Tähkänen
Lakimies, Kirkon keskusrahaston tietosuojavastaava
Tietosuojaa koskevaa lainsäädäntö
Tietosuojaa koskevaa lainsäädäntöä
• EU:n yleinen tietosuoja-asetus (General Data ProtectionRegulation GDPR) 25.5.2018 alkaen
• Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain
• Perustuslaki
• Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne.
3
Tietosuojaa koskevaa lainsäädäntöä
• EU:n yleinen tietosuoja-asetus (General Data ProtectionRegulation GDPR) 25.5.2018 alkaen
• Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain
• Perustuslaki
• Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne.
4
Näinkö vai miten?
Before and after reading GDPR
5
Mikä ei muuttunut?
Mikä ei muutu?
Perusasiat pitkälti entisellään
- Käsitteet
- Tietosuojaperiaatteet
- Millä perusteella saa käsitellä henkilötietoja (oikeusperusteet)
- Soveltamisala
- Poikkeussäännökset koskien viranomaistoiminnan julkisuusperiaatetta, sananvapautta, tieteellistä tutkimusta ja arkistointia
7
Mikä muuttui?
Mikä muuttuu?
• Rekisteröidyn oikeuksia lisätty ja täsmennetty, mm.
– Informointi tietojen käsittelystä
– Oikeus siirtää tiedot, tulla unohdetuksi, vastustaa käsittelyä
– Suostumuksen käsittely
• Rekisterinpitäjän asema ja velvollisuudet, mm.
– Sisäänrakennettu ja oletusarvoinen tietosuoja
– Vaikutusten arviointi
– Henkilötietojen käsittelypalveluja koskevat sopimukset (ulkoistukset palveluntarjoajille)
– Tietoturvaloukkauksista ilmoittaminen
– Osoitusvelvollisuus
– Tietosuojavastaavan nimittäminen
– Hallinnolliset sakot – Koskeeko kirkkoa?
9
Tietosuojaa vai tietoturvaa?
Tietosuojaa vai tietoturvaa
Tietosuoja
• Perusoikeus
• Henkilötietojen suoja
• Oikeudet ja velvollisuudet
• Miten henkilötietoja tulee ja saa käsitellä; oikeaoppinen käsittely
• Kuka kenenkäkin mitäkin tietoja saa käsitellä
• Tietosuojaperiaatteissa tiivistyy tietosuojan ydin
Tietoturva
• Millä keinoin ja mitä tehden tietosuoja toteutuisi riittävän hyvin
• Vaatimuksia henkilötietojen suojaukselle
• Suojatoimia, turvatoimia (teknisiä, organisatorisia)
• Eheys, luottamuksellisuus
11
Mikä on henkilötieto?
Mikä on henkilötieto?
• Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä informaatio
• Jotta kyse olisi henkilötiedosta, tiedon tulee liittyä tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi
13
Mitä on henkilötiedon käsittely?
Mitä on henkilötiedon käsittely?
• Toiminto, joka kohdistetaan henkilötietoihin
– Kerääminen, tallentaminen, muuttaminen, järjestäminen, säilyttäminen, luovuttaminen, tuhoaminen jne.
• Kaikki ajateltavissa olevat toimet, joiden kohteena henkilötieto
15
Soveltamisalasta
Soveltamisalasta
• Automaattinen käsittely
• Muu käsittely, jos tiedot muodostavat tai on tarkoitus muodostaa rekisterin osan
• TSA: Tieto tallennettu jollekin alustalle
• TSL 35 §:Vaitiolovelvollisuus
• TSL 5 luku: Tietojenkäsittelyn erityistilanteet ja poikkeukset TSA:n soveltamisesta – sananvapaus, tutkimus, arkistointi, julkisuuslaki
17
Rekisterinpitäjä vai henkilötietojen käsittelijä?
Rekisterinpitäjä vai henkilötietojen käsittelijä?
• Rekisterinpitäjä määrittelee käsittelyn tarkoitukset ja keinot
• Henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun
• Yhteisrekisterinpitäjät: määrittelevät yhdessä käsittelyn tarkoitukset ja keinot
– Vastuualueet määritelty (sopimuksessa tai lainsäädännössä)
Jehovan todistajat (C-25/17), Wirtschaftsakademie Schleswig-Holstein (210/16)
• Roolit Kirjurissa ja Kipan toiminnoissa?19
Tietosuojaperiaatteet
21
Henkilötietojen käsittelyä kaitsevat tietosuojaperiaatteet
Lainmukaisuus, kohtuullisuus, läpinäkyvyys
Käyttötarkoitus-sidonnaisuus
Tietojen minimointi
Tietojen täsmälli-
syys
Tietojen säilytyksen rajoittaminen
Tietojen eheys ja luottamuksellisuus
Oikeusperusteet
Oikeusperusteet (6 art.)
A) Suostumus
B) Sopimus
C) Lakisääteinen velvoite
D) Elintärkeä etu
E) Julkiseen tehtävään liittyvä yleinen etu
F) Oikeutettu etu(pohjimmiltaan on kaksi oikeusperustetta: oikeutettu etu ja suostumus)
Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä.
23
Oikeusperusteet (6 art.)
Missä järjestyksessä arvioida, mikä oikeusperuste käsillä?
0. Onko säädetty poikkeusta tietosuojalaissa tai muussa laissa 6 artiklan soveltamisesta? Jos ei niin:
1. c) Lakisääteinen velvoite
2. e) Julkiseen tehtävään liittyvä yleinen etu
3. b) Sopimus
4. d) Elintärkeä etu
5. f) Oikeutettu etu
6. a) Suostumus
Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä.
24
Erityiset henkilötietoryhmät
Erityiset henkilötietoryhmät (9 art.)
• Rotu tai etninen alkuperä
• Poliittiset mielipiteet
• Uskonnollinen tai filosofinen vakaumus
• Ammattiliiton jäsenyys
• Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
• Terveyttä koskevat tiedot
• Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot
• Mitä olivat henkilötietolain arkaluonteiset tiedot?26
Erityiset henkilötietoryhmät (9 art.) – millä perusteella saa käsitellä?
• 9 artiklassa määritelty 10 tilannetta/perustetta, jolloin sallittu, mm. seuraavat:
– Poliittinen, filosofinen, uskonnollinen yhteisö sekä ammattiliitto oman laillisen toimintansa yhteydessä
– Kyse tiedoista, jotka rekisteröity nimenomaisesti saattanut julkisiksi
– Terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi, jos käsittelevää henkilöä sitoo lakisääteinen salassapitovelvollisuus
– Rekisteröity antanut nimenomaisen suostumuksensa
27
Oikeusperustetta koskevia esimerkkejä
• Hammasröntgenkuvaus hammaslääkäriasemalla
• Rekrytointifirma hoitaa srk:n työntekijän rekrytointia
• Srk kutsuu 30-vuotiaita jäseniään tiettyyn tapahtumaan
• Ilmoittautuminen retkelle
28
Rekisterinpitäjän osoitusvelvollisuus
Rekisterinpitäjän osoitusvelvollisuus
• Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuojaperiaatteita on noudatettu
• Organisointi
• Vastuuttaminen
• Osaaminen
• Dokumentaatio
30
Tietosuojatyön dokumentaatio
Tietosuojatyön dokumentaatio
1 Tietosuojapolitiikka
2 Tietoturvapolitiikka ja –määräykset
3 Seloste käsittelytoimista
4 Tietosuojaselosteet
5 Henkilötietojen käsittelyohjeet
6 Prosessikaaviot rekisteröidyn oikeuksien käyttämisestä
7 Tietosuojatyön tiekartta
8 Tietosuojavastaavan päiväkirja
9 Tietotilinpäätös
32
Tietosuojaseloste
Tietosuojaseloste
• 13 ja 14 artiklassa määritelty, mistä asioista rekisteröityä on informoitava
• Tietosuojaseloste on asiakirja, johon koottu tiettyä toimintoa/rekisteriä koskevat informoitavat tiedot
• Toimii yhtenä välineenä informoinnin toteuttamisessa
34
Rekisteröidyn informointi
Rekisteröidyn informointi (13 ja 14 art.)
• Toimitettava rekisteröidylle tietyt tiedot
• Toimittava läpinäkyvästi ja reilusti
• Tiiviisti esitettynä
• Helposti saatavilla
• Ymmärrettävä
36
Seloste käsittelytoimista
Seloste käsittelytoimista (30 art.) – Records of processing activities
• Ylläpidettävä rekisteriä rekisterinpitäjän vastuulla olevista henkilötietoja koskevista käsittelytoimista
• Apuväline henkilötietojen käsittelyn hahmottamiseen
• Oltava sähköisessä muodossa
• Rekisterinpitäjän sisäinen asiakirja
• Pyydettäessä esitettävä tietosuojavaltuutetulle
• Selosteen malli tietosuojasivustolla
38
Henkilötietojen käsittelyohje
Henkilötietojen käsittelyohje (29, 32 art.)
• Jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti
• Eli ne perusasiat, jotka ko. työntekijä tietää tai jotka hänen tulisi tietää, on oltava kirjallisina ohjeina olemassa
• Henkilötietojen käsittelyohjeen malli tietosuojasivustolla
40
Rekisterinpitäjä - Miten edetä?
Miten edetä? – Johdon vastuulla olla aktiivinen
• Tahtotila (tietosuojapolitiikka – ks. Malli: Tietosuoja Kirkonkylän seurakunnassa)
• Organisoi
• Kartoita ja arvioi
• Tarkista sopimustilanne
• Dokumentoi
• Nimitä tietosuojavastaava
• Seloste käsittelytoimista
• Tietosuojaselosteet ja informointi
• Henkilötietojen käsittelyohjeet
• Koulutus
42
Sovellus- ja rekisterisalkku – Mikä se on?
Sovellussalkku – Mikä se on?
• Mitä sovelluksia?
• Mitä rekisterejä?
• Avaintiedot
• Myös tietosuojan ja tietoturvan perustiedot mahdollista tallettaa
• Maksutta ja vapaaehtoisesti seurakuntien käytössä
• Uutiskirjeessä ensi tai seuraavalla viikolla
• Skype-tilaisuudet lokakuun puolivälissä – ajankohdat uutiskirjeessä – eli mistä kyse
44
Tietosuojavastaava – Mikä se on?
Tietosuojavastaava – Mikä se on?
• Asiantuntija
• Neuvonantaja
• Kouluttaja
• Valvoja
• Yhdyshenkilö
• Ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu edelleenkin kuuluu rekisterinpitäjälle ja erityisesti sen johdolle
• Mitä EI kuulu tehtäviin?
46
Tietosuojavastaavan ilmoittaminen tietosuojavaltuutetun toimistoon
• Tietosuoja.fi
• Ilmoituslomake verkossa
• Seurakunta täyttää itse
47
Muistakaamme, että
VÄLTTÄMÄTTÖMYYDESTÄ
KANNATTAA
TEHDÄ
HYVE
48
Kirkon tietosuojasivusto
• Sakastin pääsivulla linkki tietosuojasivustolle
• Nuotta.evl.fi/tietosuoja
• Nuotta.evl.fi/dataskydd
https://nuotta.evl.fi/tietosuoja/SitePages/Kotisivu.aspx
49