eu:n tietosuoja-asetus käytännössä
Upload: finanssialan-keskusliitto-federation-of-finnish-financial-services
Post on 16-Apr-2017
249 views
TRANSCRIPT
Tietosuoja-asetus käytännössä
Finva, 29.11.2016
finanssiala.fi
Agenda• Yleistä tietosuoja-asetuksesta• Käsittelyn perusteet• Sisäänrakennettu ja oletusarvoinen tietosuoja• Tietosuojaperiaatteita• Osoitusvelvollisuus• Hallinnolliset sakot• Rekisterinpitäjä ja henkilötietojen käsittelijä• Rekisteröityjen oikeuksia• Tietoturvallisuus• Tietosuojavastaava• Ohjeistus• Miten valmistautua haasteista huolimatta
finanssiala.fi
Tietosuoja-asetus• Asetus julkaistiin EUVL:ssa 4.5.2016, voimaantulo
25.5.2016• Siirtymäaika kaksi vuotta eli asetusta sovellettava
25.5.2018 lähtien• Siirtymäaikana kansallisen tietosuojalainsäädännön
uudelleenarviointi ja sovittaminen asetuksen sisältöön OM:n työryhmä 17.2.2016-16.2.2018 Selvitys kansallisesta liikkumavarasta ja
erityissääntelystä Selvitys tietosuojaviranomaisia koskevasta
sääntelystä Koordinoi ministeriöiden lainvalmistelutyötä Mietintö muutosehdotuksista 31.5.2017 mennessä
finanssiala.fi
Tietosuoja-asetus • Sama sääntely koko EU:n alueelle
• Direktiivinomainen asetus, sisältää kansallista liikkumavaraa
• Yrityksille ja rekisteröidyille yhden luukun periaate
• Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella toimivalta toimia johtavana valvontaviranomaisena ko. yrityksen rajat ylittävän käsittelyn osalta
• EU:n ulkopuoliset yritykset saman sääntelyn piiriin, jos tarjoavat tavaroita tai palveluja EU:n alueella
finanssiala.fi
Kansallista liikkumavaraa• Työelämän tietosuoja
• Jäsenvaltiot voivat lailla tai työehtosopimuksilla antaa yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä
• Oletuksena on, että asetus ei aiheuta muutoksia työelämän tietosuojalakiin
• Terveydenhuollon järjestäminen• Käsittelyn lainmukaisuuden perustasta voidaan tietyiltä osin
säätää kansallisesti• Selvitys kansallisesta lainsäädännöstä toteaa Suomen lainsäädännön
olevan varsin hyvin tietosuoja-asetuksen mukainen
finanssiala.fi
Mikä muuttuu?Lainsäädäntö yksityiskohtaisemmaksi• 99 artiklaa• Lisäksi paljon tarkennuksia johdantolausekkeissa (resitaalit)
Henkilötietojen käsittelyn edellytykset tiukkenevat• Rekisteröityjen oikeudet vahvistuvat, uusia oikeuksia
Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja kustannukset lisääntyvät• Suunnittelu-, dokumentointi- ja arviointivelvoitteet• Käsittelijän rooli muuttuu, myös vastuu rikkomuksista• Riskit kasvavat
Seuraamusjärjestelmä ankaroituu• Tietosuojaviranomaisille oikeus määrätä suuriakin sakkoja
finanssiala.fi
Positiiviset vaikutukset • Sisämarkkinoiden täysipainoisempi hyödyntäminen• Digitalisaation eteneminen ja sen mahdollistamat uudet
innovaatiot• Muutosten positiivinen vaikutus kuluttajien ja palveluiden
käyttäjien luottamukseen
finanssiala.fi
Vaikutukset yrityksille• Suurin merkitys yrityksille, joiden
liiketoimintaan liittyy laajamittaista yksityishenkilöasiakkaiden henkilötietojen käsittelyä
• Finanssiala• Terveydenhuolto• Media-ala• Vähittäiskauppa• IT-palveluyritykset• Teleoperaattorit
• Hallinnolliset velvollisuudet lisääntyvät merkittävästi -> kirjanpito henkilötietojen käsittelytoimista
finanssiala.fi
Käsittelyn lainmukaisuus • Selvitettävä mikä on käsittelyn oikeusperuste, soveltuvatko
aikaisemmat perusteet edelleen?• Käsittely voi perustua:
rekisteröidyn suostumukseen yhtä tai useampaa tarkoitusta varten
sopimuksen täytäntöönpanoon tai sopimusta edeltävien toimenpiteiden toteuttamiseeen rekisteröidyn pyynnöstä
lakisääteisen velvoitteen noudattamiseen rekisteröidyn tai muun henkilön elintärkeän edun suojaamiseen yleistä etua koskevan tehtävän suorittaminen tai
rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun
(punninta rekisteröidyn etujen kanssa)
finanssiala.fi
Suostumuksen edellytykset tiukkenevat• Rekisterinpitäjän pitää pystyä osoittamaan, että rekisteröity antanut suostumuksen, jos
tietojenkäsittely perustuu suostumukseen• Jos suostumus annettava asiakirjassa, joka koskee myös muita asioita, suostumuksen
antamista koskeva vaatimus on esitettävä selvästi erillään, helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä
• Rekisteröidyllä oikeus peruuttaa suostumus milloin tahansa. Peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen
• Suostumus annettava selkeästi suostumusta ilmaisevalla toimella• kirjallinen (Ml. Sähköinen) tai suullinen lausuma, josta köy ilmi vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen tahdonilmaisu• Voi olla ruudun rastitus internetisivulla, ei valmiiksi rastitettu ruutu tai vaikeneminen
Tarvittaessa päivitettävä suostumukseen liittyvät asiakirjat
finanssiala.fi
Lapset• Ensimmäistä kertaa erityistä huomiota
kiinnitetään lasten henkilötietojen suojaamiseen• Lapsen suostumuksessa 16 vuoden ikäraja
tietoyhteiskunnan palveluissa, kansallisesti voidaan asettaa ikä alemmaksi (ei kuitenkaan alle 13 vuotta), jolloin edellytetään huoltajan suostumusta
Edellyttää tietojärjestelmiä, jolla varmistetaan ikä ja saadaan huoltajan suostumus
finanssiala.fi
Milloin on oikeutettu etu käsitellä henkilötietoja?
• Suomessa tietosuoja-lautakunta arvioinut tämän ja antanut luvan käsittelyyn• Jatkossa yrityksen on itse tehtävä arviointi, tavoitteena hallinnollisten velvoitteiden keventäminen ja
käsittelyn aloittamisen nopeuttaminen• Tietosuoja-lautakunta lakkautetaan
• Oikeutettu etu voi syntyä, jos rekisterinpitäjän ja rekisteröidyn välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa
• Oikeutettua etua on arvioitava huolellisesti• Rekisteröidyn edut voi syrjäyttää rekisterinpitäjän edun • Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on oikeutetun edun
mukaista• Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun
toteuttamiseksi suoritettuna • Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen saattaa olla
sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää yritysryhmän sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna
finanssiala.fi
Sisäänrakennettu ja oletusarvoinen tietosuoja
• Rekisterinpitäjän toteutettava käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä asianmukaiset tekniset ja organisatoriset toimenpiteet, siten että toteutetaan tehokkaasti ja pannaan täytäntöön tietosuojaperiaatteet ja suojataan rekisteröityjen oikeudet
• Voidaan ottaa huomioon • Uusin tekniikka ja toteuttamiskustannukset• Käsittelyn luonne, laajuus, asiayhteys, tarkoitus sekä riskit
• Oletusarvoisesti käsitellään vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja
Sisäänrakennettu tietosuoja on uusi velvollisuus
finanssiala.fi
Tietosuojaperiaatteita • Henkilötietojen oltava täsmällisiä ja päivitettyjä• Tiukka henkilötietojen käyttötarkoitussidonnaisuus
• Henkilötiedot kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla
• Laajamittainen ja kontrolloimaton data-analytiikka mahdollista lähinnä vain anonymisoidun tiedon osalta
• Tietojen minimointi-periaate• Varmistettava, että tietojen säilytysaika mahdollisimman lyhyt, asetettava määräajat
henkilötietojen poistolle tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten
• Rekisterinpitäjä vastaa tietosuojaperiaatteiden noudattamisesta ja rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita on noudatettu (sanktioitu)
finanssiala.fi
Osoitusvelvollisuus• Organisaation tulee kyetä osoittamaan, että se on huolehtinut
tietosuoja-asetuksen mukaisista velvoitteista (“documented compliance”)
• Käytännössä osoitusvelvollisuus edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia
• Tunnistetaan tietosuoja-asetuksen asettamat velvoitteet omalle toiminnalle
• Dokumentoidaan tarvittaessa toimintaperiaatteet velvollisuuksien toteutumiselle
finanssiala.fi
Hallinnolliset sakot • Sanktioiden oltava tehokkaita, oikeasuhtaisia ja varoittavia• Valvontatoimien lisäksi tai tilalle• Sakon määräämisessä otettava lisäksi huomioon mm.
• Rikkomuksen luonne, vakavuus ja kesto• Rikkomisen tahallisuus tai tuottamuksellisuus• Rekisterinpitäjän tai henkilötietojen käsittelijän tekemät
toimet rekisteröidyille aiheutuneiden vahinkojen lieventämiseksi
• Rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän toteuttamansa tekniset ja organisatoriset toimenpiteet
• Aiemmat rikkomiset, yhteistyön aste viranomaisen kanssa jne…
finanssiala.fi
Hallinnolliset sakot
Sakot jaettu kahteen eri luokkaan
• Enintään 10 000 000 euroa tai 2% yrityksen edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta, kumpi johtaa suurempaan summaan
• Enintään 20 000 000 euroa tai 4% yrityksen edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta, kumpi johtaa suurempaan summaan
finanssiala.fi
Hallinnolliset sakot• Uudet hallinnolliset sakot tulevat
vaikuttamaan yritysten hyväksyttävänä pitämään compliance-kustannusten tasoon
• Sanktiotason kasvu lisää yritysten tietojenkäsittelyn yleisiä riskejä
• Suurempi sanktiouhka -> suuremmat panostukset ennaltaehkäisevään riskienhallintaan
• Sanktioriskejä todennäköisesti siirretään myös sopimusteitse
finanssiala.fi
Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet
• Henkilötietoja käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus
• Rekisterinpitäjän vastuu• Kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja
tarkoitukset sekä yksilöiden oikeuksille ja vapauksille aiheutuva riskin todennäköisyys ja ankaruus, on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet ja kyettävä osoittamaan, että henkilötietojen käsittely on toteutettu asetuksen mukaisesti
Velvollisuus toteuttaa riskinarviointi Näyttötaakkasäännös (dokumentoinnin
tärkeys!)
finanssiala.fi
Henkilötietojen käsittelijä• Käsittelee henkilötietoja rekisterinpitäjän lukuun• Rekisterinpitäjä saa käyttää vain sellaisia käsittelijöitä, jotka toteuttavat
riittävät suojatoimet niin, että käsittely täyttää asetuksen vaatimukset• Käsittelijä ei saa käyttää ”alihankkijaa” ilman rekisterinpitäjän kirjallista
ennakkolupaa• Henkilötietojen käsittelijän suorittama käsittely määritettävä sopimuksella • Sopimussuhteelle nimenomaisia sisältövaatimuksia
• Määritettävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan
• Sopimuksissa syytä määritellä tarkasti mistä kumpikin osapuoli vastaa• Rekisteröity voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään
että käsittelijään (myös hallinnolliset sanktiot kumpaan tahansa)
finanssiala.fi
Huomioitava rekisteröityjen oikeudet• Rakennettava luottamusta huolehtimalla läpinäkyvyydestä ja
avoimuudesta• Rekisteröidyn oikeudet tulisi ottaa huomioon henkilötietojen
käsittelyyn liittyviä prosesseja suunniteltaessa
• Miten rekisteröityjen oikeuksien toteuttaminen tapahtuu käytännössä?
• Miten nykyiset prosessit ja tietojärjestelmät taipuvat asetuksen tuomiin muutoksiin?
finanssiala.fi
Rekisteröityjen oikeudet• Läpinäkyvä informointi, toimitettava tietoa rekisteröidylle
• Rekisteriseloste vs. tietosuojaseloste• Ylläpidettävä käsittelyä koskevaa kuvausta
• Oikeus saada pääsy tietoihin• Rekisterinpitäjän vastattava tietopyyntöön viipymättä tai viimeistään kuukauden kuluessa• Viestintä ja rekisteröidyn pyyntöihin perustuvat toimenpiteet ovat maksuttomia
• Oikeus tietojen korjaamiseen• Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)• Oikeus käsittelyn rajoittamiseen• Oikeus vastustaa suoramarkkinointia • Oikeus vastustaa automaattista päätöksentekoa ja profilointia• Oikeus siirtää tiedot järjestelmästä toiseen
finanssiala.fi
Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) • Täsmälliset kriteerit tilanteisiin, joissa yksilö haluaa tietojensa käsittelyn loppuvan
• Tavoitteena itsemääräämisoikeuden ja yksityisyyden suojan toteutuminen erityisesti online-ympäristössä
• Pääsääntönä henkilötietojen poistaminen viipymättä, kun ei enää perustetta käsittelylle, kuten
• Henkilötiedot eivät enää ole tarpeellisia (voidaan säilyttää 10-20 vuotta, mutta pystyttävä perustelemaan!)
• Rekisteröity peruuttaa suostumuksensa• Rekisteröity vastustaa käsittelyä eikä ”ylimenevää” oikeusperustetta käsittelylle
ole • Ei sovelleta, jos henkilötietojen käsittely tarpeen esim.
• Lainsäädäntöön perustuvan, henkilötietojen käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten
• Yleisen edun mukaisia arkistointitarkoituksia tai tilastollisia tarkoituksia varten• Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
finanssiala.fi
Automatisoidut yksittäispäätökset ja profilointi • Rekisteröidyllä oikeus vastustaa sellaista päätöksentekoa, joka
perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi
• Esim. online-luottohakemuksen automaattinen epääminen ilman ihmisen osallistumista
• Edellä olevaa ei sovelleta, jos päätös a. on välttämätön sopimuksen tekemistä tai täytäntöönpanoa
vartenb. on hyväksytty EU:n tai kansallisessa lainsäädännössä
• Esim. nimenomainen lupa lainsäädännössä, mukaan lukien lainsäädäntö petosten- ja verovilpin valvomiseksi ja torjumiseksi
c. perustuu rekisteröidyn nimenomaiseen suostumukseen
finanssiala.fi
Profilointi• Sopimukseen ja suostumukseen liittyen tulee
toteuttaa tarvittavia suojatoimia joilla suojataan rekisteröidyn oikeuksia
• Käsittelystä ilmoittaminen rekisteröidylle• Rekisteröidyllä oikeus vaatia ihmisen
osallistumista tietojen käsittelemiseen• Ei pakkoa tarjota joka sopimukseen
• Oikeus esittää kantansa• Oikeus saada selvitys kyseisen arvioinnin jälkeen
tehdystä päätöksestä• Oikeus riitauttaa päätös
finanssiala.fi
Mikä on profilointia?• Profilointi = henkilötieto +
automaattinen käsittely + (arviointi/analysointi/ennakointi)
• Kaikenlaiset toimenpiteet, joilla pyritään:• Käyttäjä-, asiakas- tai palvelussuhteen
hoitamiseen tai kehittämiseen automaattisten arvioiden perustella
• Palvelujen tai markkinoinnin kohdentamiseen tai toteuttamiseen automatisoidun analytiikan pohjalta
• Toiminnan analysointiin ja ennakointiin IT:n tukemana
• Liityntä työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henk. koht. mieltymyksiin tai kiinnostuksen kohteisiin, sijaintiin, liikkeisiin…
finanssiala.fi
Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla)
• Tavoitteena lisätä tietojen jälleenkäyttöarvoa sekä parantaa kilpailuedellytyksiä ja markkinoille pääsyä
• Rekisteröidyllä oikeus saada tiedot jäsennellyssä ja yleisesti käytetyssä koneellisesti luettavassa muodossa
• Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti
• Kohdistuu vain rekisteröidyn itsensä toimittamaan tietoon• Rekisteröidyllä oikeus vaatia, että tiedot siirretään suoraan
rekisterinpitäjältä toiselle• Jos teknisesti mahdollista , ei edellytetä esim. yhteensopivia
järjestelmiä tai tiettyä muotoa• Ei sovelleta käsittelyyn, joka tarpeen yleistä etua koskevan
tehtävän suorittamista tai julkisen vallan käyttämistä varten
finanssiala.fi
Tietoturvallisuus
• Aiempaa laajempi velvollisuus huolehtia tietoturvasta• Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava
asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskeihin nähden asianmukainen turvallisuustaso
• Esimerkkilista toimenpiteistä, joilla turvallisuuteen voidaan vaikuttaaa. Henkilötietojen pseudonymisointi ja salausb. Kyky taata järjestelmien turvallisuusc. Kyky palauttaa nopeasti saatavuus ja pääsy tietoihin fyysisen
tai teknisen vian sattuessad. Säännöllisen testauksen prosessi, jolla arvioidaan teknisten
ja organisatoristen toimenpiteiden tehokkuutta
finanssiala.fi
Tietomurrot
• Velvollisuus ilmoittaa tietoturvaloukkauksista sekä viranomaisille että rekisteröidyille
• Tietomurtoilmoituksille hyvin alhainen kynnys• Lyhyt toteutusaika: pääsääntöisesti 72 tunnin kuluessa
tietoturvaloukkauksen ilmitulosta• Laaja tietosisältö
Ilmoitusvelvollisuudella kustannusvaikutuksia ja vaikutuksia maineeseen
finanssiala.fi
Tietosuojavastaava• Koskee sekä rekisterinpitäjiä että käsittelijöitä• Velvollisuus nimittää tietosuojavastaava seuraavilla
yrityksillä:• Liiketoiminnan keskeisenä osana on käsitellä
henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista valvontaa
• keskeisenä liiketoiminnan osana käsitellään laajoja määriä arkaluonteisia tai rikosoikeudellisiin sanktioihin liittyviä tietoja
• Konserni voi nimittää yhden tietosuojavastaavan• Mikä asema tietosuojavastaavalla organisaatiossa?
Voiko toiminnon ulkoistaa?
finanssiala.fi
Finanssialalla käytännesääntöjen päivitystyö • Päivitetään sekä vakuutusyhtiöiden että luottolaitosten henkilötietojen käsittelyä
koskevat käytännesäännöt asetuksen sisältöä vastaavaksi ohjeeksi• Ohjeet valmiit kesään 2017 mennessä• Eri tahojen edistettävä käytännesääntöjen laatimista, joiden avulla otetaan esim.
eri sektorien erityispiirteet huomioon• Tavoite: voidaan käyttää yhtenä tekijänä osoittamaan velvoitteiden
noudattamista• Asetuksen mukaiset käytännesäännöt raskas prosessi
• Vain tietyistä asetuksessa mainituista asioista • Luonnos toimitettava valvontaviranomaisen lausuttavaksi• Valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt• Hyväksyttyjen käytännesääntöjen noudattamista seurattava valvojan akkreditoiman
elimen toimesta
finanssiala.fi
EU-tason ohjeistus• Ohjeita valmistumassa
• Tietosuojavastaava (1/2017)• Tietojen siirto-oikeus (1/2017)• Korkea riski ja vaikutustenarviointi (1/2017)• Sertifiointi (1/2017)
• TSV Aarnio: kootaan eurooppalaisen tietosuojan käsikirja
• Avoimesti saatavilla, keino harmonisoinnin parantamiseen, ensimmäinen versio 2016/2017 vaihteessa
finanssiala.fi
Miten valmistautua?• Kannattaa aloittaa heti!• Ylimmän johdon sitouttaminen• Tietosuojavastaavan valinta: ”tietojen omistajan ja isännän”
määrittely• IT:n ja juridiikan yhteistyö: tietosuojan rakentaminen osaksi
palveluita ja prosesseja• Sopimuskannan läpikäyminen ja uusien sopimusten
neuvottelu• Dokumentaation laatiminen• Prosessien luominen
• Riskianalyysit ja vaikutustenarvioinnit• Rekisteröityjen oikeuksien toteuttaminen• Tietoturvaloukkaukset
• Viestintä ja työntekijöiden koulutus
finanssiala.fi
Haasteita• Täsmentymättömät toimintavelvoitteet aiheuttavat
epävarmuutta• Paljon tulkinnallisia termejä, joiden sisältö selviää myöhemmin
oikeuskäytännössä• Ohjeistuksella iso merkitys, mutta sen syntymiseen menee
aikaa• Kansallinen viranomainen ei anna neuvoja (ainakaan tässä vaiheessa),
viranomaisohjeistus tulee EU-tasolta
finanssiala.fi
Finanssiala – ihmisten arjessa!
Outi Aaltolakimies
020 793 4238
@OutiKt