eu-tietosuoja-asetus - hämeen ammattikorkeakoulu · 2018-07-17 · tietosuoja-asetuksen taustaa...

EU-tietosuoja-asetus26.10.2017

Kari Kataja, HAMKin tietosuojavastaava

Esityksen sisältö

• Esittäytyminen

• Johdanto

• Tietosuojavastaava

• Tietosuoja-asetuksen periaatteita

• Rekisteröidyn oikeuksia

• Käytännössä havaittuja haasteita

• Lähteitä

26.10.2017 Kari Kataja 2

Kari Kataja

• Tietojärjestelmäpäällikkö, tietosuojavastaava (50% työajasta)

• HAMKissa vuodesta 2008 alkaen, aikaisemmin mm. elektroniikan sopimusvalmistuksessa

• Diplomi-insinööri, kauppatieteiden maisteri, Filosofian maisteri ja kasvatustieteiden maisteri• Ei siis erityistä juridista taustaa opinnoista

• https://www.linkedin.com/in/karikataja/


https://www.linkedin.com/in/karikataja/

Disclaimer

• En ole taustaltani juristi. Tässä esityksessä olevat asiat perustuvat siihen, millainen käsitys minulle on erinäisten koulutusten ja asetustekstin lukemisen perusteella syntynyt.

• Myös Suomen paikallinen lainsääntö vielä puuttuu.

• Tarkemmat käytännöt ja rajaukset selviävät osittain vasta myöhemmin oikeuskäytännön myötä


(Salon seudun sanomat 22.7.2017, http://www.sss.fi/2017/07/potilastietoja-lojui-keskella-korvenmakea/


(Karjalainen 22.6.2017, https://www.karjalainen.fi/uutiset/uutis-alueet/kotimaa/item/146600-kaksikko-tehtaili-petoksia-yli-40-000-eurolla-taustalla-tietomurto-itae-suomen-yliopiston-jaerjestelmiin )

http://www.sss.fi/2017/07/potilastietoja-lojui-keskella-korvenmakea/

https://www.karjalainen.fi/uutiset/uutis-alueet/kotimaa/item/146600-kaksikko-tehtaili-petoksia-yli-40-000-eurolla-taustalla-tietomurto-itae-suomen-yliopiston-jaerjestelmiin

EU-tietosuoja-asetus (GDPR, General Data Protection Regulation)

• Henkilötietojen käsittelyn yhtenäistäminen koko EU:ssa

• Siirtymäaika päättyy 25.5.2018

• Merkittäviä tarkennuksia ja tiukennuksia henkilötietojen käsittelyssä sekä rekisteröidyille henkilöille uusia oikeuksia: • Esim. oikeus saada pääsy tietoihinsa ja oikeus tulla

unohdetuksi• Tietojen minimointi ja käyttötarkoitussidonnaisuus

• Rekisterinpitäjällä on osoitusvelvollisuus siitä, että asiat on hoidettu lain mukaisesti

26.10.2017 6Kari Kataja

Tietosuoja-asetuksen taustaa

• EU-tietosuoja-asetus tunnetaan myös lyhenteellä GDPR (General Data Protection Regulation).

• Asetuksen voimaantulossa on kahden vuoden siirtymäaika, joka päättyy 25.5.2018.

• Asetusta voidaan jossain määrin tarkentaa kansallisella lainsäädännöllä, tätä lainsäädäntöä ei kuitenkaan vielä ole.• Korvannee nykyisen henkilötietolain

• Tavoitteena on yhtenäistää henkilötietojen käsittelyä EU-alueella.

• Alkuperäinen asetus löytyy osoitteesta: http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC


http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=OJ:L:2016:119:TOC

Asetuksesta keskustellaan tällä hetkellä paljon, koska…• Se tuo mukanaan joukon uusia oikeuksia

rekisteröidyille• Osa voi olla hankalia toteuttaa

• Rekisterinpitäjälle on määritelty osoitusvelvollisuus

• Asetukseen kirjatut maksimisanktiot ovat huomattavan korkeita

Tarkastellaan em. kohdista ensin sanktiot, sitten osoitusvelvollisuus ja muut velvollisuudet ja lopuksi rekisteröidyn oikeuksia


Sanktiot

• Asetuksen noudattamatta jättämisestä voi seurata esimerkiksi varoitus, huomautus, tietojen käsittelykielto tai sakko, joka on 20 000 000 euron tai 4% maailmanlaajuisesta liikevaihdosta (näistä suurempi otetaan huomioon).• Isoilla kansainvälisillä yrityksillä summa voi siis olla jopa

miljardeja euroja.

• Haluan kuitenkin korostaa, että tietosuoja-asetus kannattaa ajatella positiivisena asiana. Sanktiopykälä tarkoittaa sitä, että asetuksen noudattamiseen on vahva intressi myös globaaleille yrityksille (esim. Microsoft, Google, Facebook).


Periaate: rekisterinpitäjän osoitusvelvollisuus• Ei riitä, että me noudatetaan asetuksen

määräyksi, vaan tämä pitää kyetä osoittamaan(eli meillä on osoitusvelvollisuus). • Toimenpiteiden dokumentointi• Tietotilinpäätös• Tähän liittyy esimerkiksi kaikkien henkilötietoja

käsittelevien henkilöiden perehdyttäminen asiaan. • Tietosuoja pitää ottaa huomioon varmistaa jo

suunnitteluvaiheessa• Yms.

• Sisäänrakennettu ja oletusarvoinen tietosuoja.


Riskipohjainen lähestymistapa

• Asetuksen perustana on riskipohjainen lähestymistapa. Eli eritilanteissa henkilötietojen käsittelyyn liittyvät riskit analysoidaan ja sen perusteella suunnitellaan toimenpiteet.


Henkilötieto

• Tietosuoja-asetus koskettaa kaikkea henkilötietojen käsittelyä.

• Henkilötieto on asetuksessa määritelty ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,”


Mitkä sitten käytännössä voivat esimerkiksi olla henkilötietoja?• Nimi

• Sähköpostiosoite

• Sormenjälki

• Auton rekisterinumero

• Tietokoneen IP-osoite

• Taiteilijanimi

• Puhelimen gps-koordinaatit

• Video

• Valokuva

• Yms.


Erityiset henkilötiedot

• Henkilötietolain arkaluontoinen henkilötieto

• Rotu, etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen tai suuntautuminen, terveyttä koskevat tiedot sekä geneettistä tai biometriaa koskevat tiedot.

• Oletuksena käsittelykielto, johon asetuksessa ja kansallisessa lainsäädännössä poikkeukset.• Myös erityislainsäädännöstä tarkennuksia tähän.


Tietosuojavastaava, nimitettävä jos: • Kyseessä viranomainen tai julkishallinnon elin (pl.

Lainkäyttöä tekevä tuomioistuin)• Rekisterinpitäjän tai henkilötietojen käsittelijän

ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa

• Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin


Tietosuoja-asetuksen periaatteet

• Rekisterinpitäjän osoitusvelvollisuus

• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys

• Käyttötarkoitussidonnaisuus

• Tietojen minimointi

• Tietojen täsmällisyys

• Tietojen säilytyksen rajoittaminen

• Tietojen eheys ja luottamuksellisuus


Periaate: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys

• Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

• Rekisteröidylle pitää informoida tietojen käytöstä.


Periaate: käyttötarkoitussidonnaisuus • Kerättyjä henkilötietoja saa käyttää vain siihen

tarkoitukseen, mihin ne on alun perin kerätty (tähän on tiettyjä poikkeuksia)

• Esimerkki: kerätään henkilötietojen tilaisuuteen ilmoittautumista varten. Tietoja ei saa käyttää esimerkiksi muuhun markkinointiin, mikäli tähän ei ole erikseen lupaa kysytty


Periaate: tietojen minimointi

• Vain tarpeelliset tiedot kerätään

• Ei siis saada kerätä ”varmuuden vuoksi” henkilö tietoja.

• Tietoja säilytetään vain niin kauan, kun se on tarpeellista.


Periaate: tietojen täsmällisyys

• Tiedot pitää olla oikein.

• Epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä


Periaate: tietojen säilytyksen rajoittaminen• Henkilötietoja säilytetään vain niin kauan, kuin se

on tarpeen


Periaate: tietojen eheys ja luottamuksellisuus• Henkilötietoja käsiteltävä tavalla, jolla

varmistetaan asianmukainen turvallisuus, sisältäen suojaamisen• luvattomalta ja lainvastaiselta käsittelyltä

• vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta


Ilmoitusvelvollisuus tietoturvaloukkauksissa• Pääsääntöisesti tietoturvaloukkauksista tulee

ilmoittaa valvovalle viranomaiselle 72 tunnin kuluessa sen ilmitulosta. • Kyse siis ei ole arkipäivistä, vaan 72 tunnista!

• Tietyissä tilanteissa ilmoitus pitää tehdä myös niille henkilöille, joita tietoturvaloukkaus on koskenut.

• Tähän liittyvät toimintaprosessit ja vastuut kannattaa suunnitella etukäteen.


Henkilön (rekisteröidyn) oikeuksiaHenkilölle tulee laajempia oikeuksia:

• Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

• Oikeus saada pääsy tietoihinsa

• Oikeus tietojen oikaisuun

• Oikeus tulla unohdetuksi

• Oikeus tietyissä tilanteissa käsittelyn rajoittamiseen

• Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle

• Oikeus tietyissä tilanteissa vastustaa henkilötietojen käsittelyä

• Automatisoitu päätöksenteko ja profilointi kielto

• Jos tietojen kerääminen edellyttää henkilön suostumusta, henkilöllä on oikeus peruuttaa suostumuksensa milloin tahansa ja sen tulee olla yhtä helppoa kuin suostumuksen antaminen.


Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

• Nykyisiä rekisteri / tietosuojaselosteita kattavampi. Esimerkiksi henkilötietoja kerättäessä tulee ilmoittaa: • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn

oikeusperuste • henkilötietojen vastaanottajat tai

vastaanottajaryhmät • henkilötietojen säilytysaika tai jos se ei ole

mahdollista, tämän ajan määrittämiskriteerit • Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot


Oikeus saada pääsy tietoihinsa

• Rekisteröidylle pitää hänen niin vaatiessa toimittaa kaikki häntä koskevat tiedot• Tämä sisältää myös lokitiedot.

• Mikäli rekisteröityjä on suuri määrä, olisi syytä automatisoida tietojen kerääminen

• Käytännössä esimerkiksi Excel-tiedostot ovat hankalia erityisesti isoissa organisaatioissa.


Oikeus tulla unohdetuksi

• Rekisteröidyn on oikeus pyytää poistamaan kaikki itseään koskevat tiedot. Tämä on toteutettava viivytyksettä, mikäli:• Tietojen keräämisen perustana on ollut suostumus tai• Henkilötietojen käsittelyn peruste ei enää ole olemassa tai• Henkilötietoja on käsitelty laittomasta• (+ muutama erityistapaus)

• Tiedot pitäisi poistaa myös varmuuskopioilta (tyypillisesti mahdotonta => varmistusnauhojen kierto)

• Voi olla joissakin vanhoissa järjestelmissä haastavaa, koska niistä voi poistotoiminnallisuus puuttua kokonaan.


Oikeus siirtää tiedot järjestelmästä (palveluntarjoajalta) toiselle

• Esimerkki: henkilö on yksityisen terveysaseman asiakas. Hän haluaa vaihtaa toiselle terveysasemalle. Hänellä on oikeus saada kaikki tietonsa sähköisessä koneluettavassa muodossa.


Rekisterinpitäjä vs. henkilötiedon käsittelijä• Esimerkki: yritys X käyttää palkalaskentajärjestelmää,

joka on pilvipalvelun yrityksen Y ylläpitämä.

• Tällöin yritys X on rekisterinpitäjä ja

• Yritys Y on käsittelijä

• Tällöin X:n ja Y:n pitää sopia tietyistä seikoista. Esim. käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti (tarkempi lista löytyy artiklasta 28)


Tunnistettuja haasteita: markkinointi• Markkinointiviestintä. Syytä tarkastella, millaisia

rekistereitä on ja miten asetuksen vaatimukset vaikuttavat niihin.• Mihin on lupa pyydetty?

• Miten henkilö saadaan kaikista rekistereistä niin halutessa pois?

• Miten pystytään kaikki henkilön tiedot kokoamaan ja toimittamaan hänelle hänen niin pyytäessä?• Mukaan lukien järjestelmän lokitiedot

• Miten henkilö pääsee rekisteristä helposti pois?

• Yms.


Dokumentointia… Esimerkiksi HAMKissa tehdään tai päivitetään seuraavia:• Henkilötietojen inventaari

• Varmuuskopioinnin periaatteet

• Lokien hallinnan periaatteet

• Henkilökunnan ohjeistaminen oikeaan henkilötietojen käsittelyyn

• Alihankkijoiden ohjeistaminen oikeaan henkilötietojen käsittelyyn

• Tietotilinpäätös

• Arkistonmuodostussuunnitelma / tiedonohjaussuunnitelma

• Prosessikaavioita

• Tietosuojan vuosikello

• Informointimateriaalia rekisteröidyille

• Jne.


Mitä esimerkiksi kannattaisi esimerkiksi tehdä?• Varmista, tarvitseeko organisaatio tietosuojavastaavan

• Kartoita kaikki henkilörekisterit ja perustele niiden käyttö (tarpeettomat poistetaan) sekä varmista missä tallennettu (EU/ETA –alue?)

• Varmista, millä perusteella tiedot on kerätty. Jos on kerätty suostumuksella, niin miten tämä on pyydetty?

• Käy läpi rekistereiden tietoturvallinen käsittely

• Tee suunnitelma siitä, miten rekisteröidyn pyynnöt ja ilmoitusvelvollisuus

• Kouluta henkilökunnalle perusasiat

• Jne…

• … ja dokumentoi asiat, jotta osoitusvelvollisuus toteutuu


Lisätietoja

• Tietosuojavaltuutetun opas "Miten valmistautua EU:n tietosuoja-asetukseen (pdf-tiedosto): http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

• Asetukset teksti: http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679

• VM:n materiaalia (esim. henkilökunnan koulutusvideo ja testi, suunnattu julkiselle sektorille): http://arjentietosuoja.fi/


http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX:32016R0679

http://arjentietosuoja.fi/

eu-tietosuoja-asetus - hämeen ammattikorkeakoulu · 2018-07-17 · tietosuoja-asetuksen taustaa...

Documents