Tietosuoja-asetus käytännössä

Finva, 29.11.2016

finanssiala.fi

Agenda• Yleistä tietosuoja-asetuksesta• Käsittelyn perusteet• Sisäänrakennettu ja oletusarvoinen tietosuoja• Tietosuojaperiaatteita• Osoitusvelvollisuus• Hallinnolliset sakot• Rekisterinpitäjä ja henkilötietojen käsittelijä• Rekisteröityjen oikeuksia• Tietoturvallisuus• Tietosuojavastaava• Ohjeistus• Miten valmistautua haasteista huolimatta

finanssiala.fi

Tietosuoja-asetus• Asetus julkaistiin EUVL:ssa 4.5.2016, voimaantulo

25.5.2016• Siirtymäaika kaksi vuotta eli asetusta sovellettava

25.5.2018 lähtien• Siirtymäaikana kansallisen tietosuojalainsäädännön

uudelleenarviointi ja sovittaminen asetuksen sisältöön OM:n työryhmä 17.2.2016-16.2.2018 Selvitys kansallisesta liikkumavarasta ja

erityissääntelystä Selvitys tietosuojaviranomaisia koskevasta

sääntelystä Koordinoi ministeriöiden lainvalmistelutyötä Mietintö muutosehdotuksista 31.5.2017 mennessä

finanssiala.fi

Tietosuoja-asetus • Sama sääntely koko EU:n alueelle

• Direktiivinomainen asetus, sisältää kansallista liikkumavaraa

• Yrityksille ja rekisteröidyille yhden luukun periaate

• Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella toimivalta toimia johtavana valvontaviranomaisena ko. yrityksen rajat ylittävän käsittelyn osalta

• EU:n ulkopuoliset yritykset saman sääntelyn piiriin, jos tarjoavat tavaroita tai palveluja EU:n alueella

finanssiala.fi

Kansallista liikkumavaraa• Työelämän tietosuoja

• Jäsenvaltiot voivat lailla tai työehtosopimuksilla antaa yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä

• Oletuksena on, että asetus ei aiheuta muutoksia työelämän tietosuojalakiin

• Terveydenhuollon järjestäminen• Käsittelyn lainmukaisuuden perustasta voidaan tietyiltä osin

säätää kansallisesti• Selvitys kansallisesta lainsäädännöstä toteaa Suomen lainsäädännön

olevan varsin hyvin tietosuoja-asetuksen mukainen

finanssiala.fi

Mikä muuttuu?Lainsäädäntö yksityiskohtaisemmaksi• 99 artiklaa• Lisäksi paljon tarkennuksia johdantolausekkeissa (resitaalit)

Henkilötietojen käsittelyn edellytykset tiukkenevat• Rekisteröityjen oikeudet vahvistuvat, uusia oikeuksia

Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja kustannukset lisääntyvät• Suunnittelu-, dokumentointi- ja arviointivelvoitteet• Käsittelijän rooli muuttuu, myös vastuu rikkomuksista• Riskit kasvavat

Seuraamusjärjestelmä ankaroituu• Tietosuojaviranomaisille oikeus määrätä suuriakin sakkoja

finanssiala.fi

Positiiviset vaikutukset • Sisämarkkinoiden täysipainoisempi hyödyntäminen• Digitalisaation eteneminen ja sen mahdollistamat uudet

innovaatiot• Muutosten positiivinen vaikutus kuluttajien ja palveluiden

käyttäjien luottamukseen

finanssiala.fi

Vaikutukset yrityksille• Suurin merkitys yrityksille, joiden

liiketoimintaan liittyy laajamittaista yksityishenkilöasiakkaiden henkilötietojen käsittelyä

• Finanssiala• Terveydenhuolto• Media-ala• Vähittäiskauppa• IT-palveluyritykset• Teleoperaattorit

• Hallinnolliset velvollisuudet lisääntyvät merkittävästi -> kirjanpito henkilötietojen käsittelytoimista

finanssiala.fi

Käsittelyn lainmukaisuus • Selvitettävä mikä on käsittelyn oikeusperuste, soveltuvatko

aikaisemmat perusteet edelleen?• Käsittely voi perustua:

rekisteröidyn suostumukseen yhtä tai useampaa tarkoitusta varten

sopimuksen täytäntöönpanoon tai sopimusta edeltävien toimenpiteiden toteuttamiseeen rekisteröidyn pyynnöstä

lakisääteisen velvoitteen noudattamiseen rekisteröidyn tai muun henkilön elintärkeän edun suojaamiseen yleistä etua koskevan tehtävän suorittaminen tai

rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun

(punninta rekisteröidyn etujen kanssa)

finanssiala.fi

Suostumuksen edellytykset tiukkenevat• Rekisterinpitäjän pitää pystyä osoittamaan, että rekisteröity antanut suostumuksen, jos

tietojenkäsittely perustuu suostumukseen• Jos suostumus annettava asiakirjassa, joka koskee myös muita asioita, suostumuksen

antamista koskeva vaatimus on esitettävä selvästi erillään, helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä

• Rekisteröidyllä oikeus peruuttaa suostumus milloin tahansa. Peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen

• Suostumus annettava selkeästi suostumusta ilmaisevalla toimella• kirjallinen (Ml. Sähköinen) tai suullinen lausuma, josta köy ilmi vapaaehtoinen, yksilöity,

tietoinen ja yksiselitteinen tahdonilmaisu• Voi olla ruudun rastitus internetisivulla, ei valmiiksi rastitettu ruutu tai vaikeneminen

Tarvittaessa päivitettävä suostumukseen liittyvät asiakirjat

finanssiala.fi

Lapset• Ensimmäistä kertaa erityistä huomiota

kiinnitetään lasten henkilötietojen suojaamiseen• Lapsen suostumuksessa 16 vuoden ikäraja

tietoyhteiskunnan palveluissa, kansallisesti voidaan asettaa ikä alemmaksi (ei kuitenkaan alle 13 vuotta), jolloin edellytetään huoltajan suostumusta

Edellyttää tietojärjestelmiä, jolla varmistetaan ikä ja saadaan huoltajan suostumus

finanssiala.fi

Milloin on oikeutettu etu käsitellä henkilötietoja?

• Suomessa tietosuoja-lautakunta arvioinut tämän ja antanut luvan käsittelyyn• Jatkossa yrityksen on itse tehtävä arviointi, tavoitteena hallinnollisten velvoitteiden keventäminen ja

käsittelyn aloittamisen nopeuttaminen• Tietosuoja-lautakunta lakkautetaan

• Oikeutettu etu voi syntyä, jos rekisterinpitäjän ja rekisteröidyn välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa

• Oikeutettua etua on arvioitava huolellisesti• Rekisteröidyn edut voi syrjäyttää rekisterinpitäjän edun • Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on oikeutetun edun

mukaista• Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun

toteuttamiseksi suoritettuna • Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen saattaa olla

sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää yritysryhmän sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna

finanssiala.fi

Sisäänrakennettu ja oletusarvoinen tietosuoja

• Rekisterinpitäjän toteutettava käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä asianmukaiset tekniset ja organisatoriset toimenpiteet, siten että toteutetaan tehokkaasti ja pannaan täytäntöön tietosuojaperiaatteet ja suojataan rekisteröityjen oikeudet

• Voidaan ottaa huomioon • Uusin tekniikka ja toteuttamiskustannukset• Käsittelyn luonne, laajuus, asiayhteys, tarkoitus sekä riskit

• Oletusarvoisesti käsitellään vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja

Sisäänrakennettu tietosuoja on uusi velvollisuus

finanssiala.fi

Tietosuojaperiaatteita • Henkilötietojen oltava täsmällisiä ja päivitettyjä• Tiukka henkilötietojen käyttötarkoitussidonnaisuus

• Henkilötiedot kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla

• Laajamittainen ja kontrolloimaton data-analytiikka mahdollista lähinnä vain anonymisoidun tiedon osalta

• Tietojen minimointi-periaate• Varmistettava, että tietojen säilytysaika mahdollisimman lyhyt, asetettava määräajat

henkilötietojen poistolle tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten

• Rekisterinpitäjä vastaa tietosuojaperiaatteiden noudattamisesta ja rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita on noudatettu (sanktioitu)

finanssiala.fi

Osoitusvelvollisuus• Organisaation tulee kyetä osoittamaan, että se on huolehtinut

tietosuoja-asetuksen mukaisista velvoitteista (“documented compliance”)

• Käytännössä osoitusvelvollisuus edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia

• Tunnistetaan tietosuoja-asetuksen asettamat velvoitteet omalle toiminnalle

• Dokumentoidaan tarvittaessa toimintaperiaatteet velvollisuuksien toteutumiselle

finanssiala.fi

Hallinnolliset sakot • Sanktioiden oltava tehokkaita, oikeasuhtaisia ja varoittavia• Valvontatoimien lisäksi tai tilalle• Sakon määräämisessä otettava lisäksi huomioon mm.

• Rikkomuksen luonne, vakavuus ja kesto• Rikkomisen tahallisuus tai tuottamuksellisuus• Rekisterinpitäjän tai henkilötietojen käsittelijän tekemät

toimet rekisteröidyille aiheutuneiden vahinkojen lieventämiseksi

• Rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän toteuttamansa tekniset ja organisatoriset toimenpiteet

• Aiemmat rikkomiset, yhteistyön aste viranomaisen kanssa jne…

finanssiala.fi

Hallinnolliset sakot

Sakot jaettu kahteen eri luokkaan

• Enintään 10 000 000 euroa tai 2% yrityksen edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta, kumpi johtaa suurempaan summaan

• Enintään 20 000 000 euroa tai 4% yrityksen edellisen vuoden maailmanlaajuisesta kokonaisliikevaihdosta, kumpi johtaa suurempaan summaan

finanssiala.fi

Hallinnolliset sakot• Uudet hallinnolliset sakot tulevat

vaikuttamaan yritysten hyväksyttävänä pitämään compliance-kustannusten tasoon

• Sanktiotason kasvu lisää yritysten tietojenkäsittelyn yleisiä riskejä

• Suurempi sanktiouhka -> suuremmat panostukset ennaltaehkäisevään riskienhallintaan

• Sanktioriskejä todennäköisesti siirretään myös sopimusteitse

finanssiala.fi

Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet

• Henkilötietoja käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus

• Rekisterinpitäjän vastuu• Kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja

tarkoitukset sekä yksilöiden oikeuksille ja vapauksille aiheutuva riskin todennäköisyys ja ankaruus, on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet ja kyettävä osoittamaan, että henkilötietojen käsittely on toteutettu asetuksen mukaisesti

Velvollisuus toteuttaa riskinarviointi Näyttötaakkasäännös (dokumentoinnin

tärkeys!)

finanssiala.fi

Henkilötietojen käsittelijä• Käsittelee henkilötietoja rekisterinpitäjän lukuun• Rekisterinpitäjä saa käyttää vain sellaisia käsittelijöitä, jotka toteuttavat

riittävät suojatoimet niin, että käsittely täyttää asetuksen vaatimukset• Käsittelijä ei saa käyttää ”alihankkijaa” ilman rekisterinpitäjän kirjallista

ennakkolupaa• Henkilötietojen käsittelijän suorittama käsittely määritettävä sopimuksella • Sopimussuhteelle nimenomaisia sisältövaatimuksia

• Määritettävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan

• Sopimuksissa syytä määritellä tarkasti mistä kumpikin osapuoli vastaa• Rekisteröity voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään

että käsittelijään (myös hallinnolliset sanktiot kumpaan tahansa)

finanssiala.fi

Huomioitava rekisteröityjen oikeudet• Rakennettava luottamusta huolehtimalla läpinäkyvyydestä ja

avoimuudesta• Rekisteröidyn oikeudet tulisi ottaa huomioon henkilötietojen

käsittelyyn liittyviä prosesseja suunniteltaessa

• Miten rekisteröityjen oikeuksien toteuttaminen tapahtuu käytännössä?

• Miten nykyiset prosessit ja tietojärjestelmät taipuvat asetuksen tuomiin muutoksiin?

finanssiala.fi

Rekisteröityjen oikeudet• Läpinäkyvä informointi, toimitettava tietoa rekisteröidylle

• Rekisteriseloste vs. tietosuojaseloste• Ylläpidettävä käsittelyä koskevaa kuvausta

• Oikeus saada pääsy tietoihin• Rekisterinpitäjän vastattava tietopyyntöön viipymättä tai viimeistään kuukauden kuluessa• Viestintä ja rekisteröidyn pyyntöihin perustuvat toimenpiteet ovat maksuttomia

• Oikeus tietojen korjaamiseen• Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)• Oikeus käsittelyn rajoittamiseen• Oikeus vastustaa suoramarkkinointia • Oikeus vastustaa automaattista päätöksentekoa ja profilointia• Oikeus siirtää tiedot järjestelmästä toiseen

finanssiala.fi

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) • Täsmälliset kriteerit tilanteisiin, joissa yksilö haluaa tietojensa käsittelyn loppuvan

• Tavoitteena itsemääräämisoikeuden ja yksityisyyden suojan toteutuminen erityisesti online-ympäristössä

• Pääsääntönä henkilötietojen poistaminen viipymättä, kun ei enää perustetta käsittelylle, kuten

• Henkilötiedot eivät enää ole tarpeellisia (voidaan säilyttää 10-20 vuotta, mutta pystyttävä perustelemaan!)

• Rekisteröity peruuttaa suostumuksensa• Rekisteröity vastustaa käsittelyä eikä ”ylimenevää” oikeusperustetta käsittelylle

ole • Ei sovelleta, jos henkilötietojen käsittely tarpeen esim.

• Lainsäädäntöön perustuvan, henkilötietojen käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten

• Yleisen edun mukaisia arkistointitarkoituksia tai tilastollisia tarkoituksia varten• Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi

finanssiala.fi

Automatisoidut yksittäispäätökset ja profilointi • Rekisteröidyllä oikeus vastustaa sellaista päätöksentekoa, joka

perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi

• Esim. online-luottohakemuksen automaattinen epääminen ilman ihmisen osallistumista

• Edellä olevaa ei sovelleta, jos päätös a. on välttämätön sopimuksen tekemistä tai täytäntöönpanoa

vartenb. on hyväksytty EU:n tai kansallisessa lainsäädännössä

• Esim. nimenomainen lupa lainsäädännössä, mukaan lukien lainsäädäntö petosten- ja verovilpin valvomiseksi ja torjumiseksi

c. perustuu rekisteröidyn nimenomaiseen suostumukseen

finanssiala.fi

Profilointi• Sopimukseen ja suostumukseen liittyen tulee

toteuttaa tarvittavia suojatoimia joilla suojataan rekisteröidyn oikeuksia

• Käsittelystä ilmoittaminen rekisteröidylle• Rekisteröidyllä oikeus vaatia ihmisen

osallistumista tietojen käsittelemiseen• Ei pakkoa tarjota joka sopimukseen

• Oikeus esittää kantansa• Oikeus saada selvitys kyseisen arvioinnin jälkeen

tehdystä päätöksestä• Oikeus riitauttaa päätös

finanssiala.fi

Mikä on profilointia?• Profilointi = henkilötieto +

automaattinen käsittely + (arviointi/analysointi/ennakointi)

• Kaikenlaiset toimenpiteet, joilla pyritään:• Käyttäjä-, asiakas- tai palvelussuhteen

hoitamiseen tai kehittämiseen automaattisten arvioiden perustella

• Palvelujen tai markkinoinnin kohdentamiseen tai toteuttamiseen automatisoidun analytiikan pohjalta

• Toiminnan analysointiin ja ennakointiin IT:n tukemana

• Liityntä työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henk. koht. mieltymyksiin tai kiinnostuksen kohteisiin, sijaintiin, liikkeisiin…

finanssiala.fi

Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla)

• Tavoitteena lisätä tietojen jälleenkäyttöarvoa sekä parantaa kilpailuedellytyksiä ja markkinoille pääsyä

• Rekisteröidyllä oikeus saada tiedot jäsennellyssä ja yleisesti käytetyssä koneellisesti luettavassa muodossa

• Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti

• Kohdistuu vain rekisteröidyn itsensä toimittamaan tietoon• Rekisteröidyllä oikeus vaatia, että tiedot siirretään suoraan

rekisterinpitäjältä toiselle• Jos teknisesti mahdollista , ei edellytetä esim. yhteensopivia

järjestelmiä tai tiettyä muotoa• Ei sovelleta käsittelyyn, joka tarpeen yleistä etua koskevan

tehtävän suorittamista tai julkisen vallan käyttämistä varten

finanssiala.fi

Tietoturvallisuus

• Aiempaa laajempi velvollisuus huolehtia tietoturvasta• Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava

asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskeihin nähden asianmukainen turvallisuustaso

• Esimerkkilista toimenpiteistä, joilla turvallisuuteen voidaan vaikuttaaa. Henkilötietojen pseudonymisointi ja salausb. Kyky taata järjestelmien turvallisuusc. Kyky palauttaa nopeasti saatavuus ja pääsy tietoihin fyysisen

tai teknisen vian sattuessad. Säännöllisen testauksen prosessi, jolla arvioidaan teknisten

ja organisatoristen toimenpiteiden tehokkuutta

finanssiala.fi

Tietomurrot

• Velvollisuus ilmoittaa tietoturvaloukkauksista sekä viranomaisille että rekisteröidyille

• Tietomurtoilmoituksille hyvin alhainen kynnys• Lyhyt toteutusaika: pääsääntöisesti 72 tunnin kuluessa

tietoturvaloukkauksen ilmitulosta• Laaja tietosisältö

Ilmoitusvelvollisuudella kustannusvaikutuksia ja vaikutuksia maineeseen

finanssiala.fi

Tietosuojavastaava• Koskee sekä rekisterinpitäjiä että käsittelijöitä• Velvollisuus nimittää tietosuojavastaava seuraavilla

yrityksillä:• Liiketoiminnan keskeisenä osana on käsitellä

henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista valvontaa

• keskeisenä liiketoiminnan osana käsitellään laajoja määriä arkaluonteisia tai rikosoikeudellisiin sanktioihin liittyviä tietoja

• Konserni voi nimittää yhden tietosuojavastaavan• Mikä asema tietosuojavastaavalla organisaatiossa?

Voiko toiminnon ulkoistaa?

finanssiala.fi

Finanssialalla käytännesääntöjen päivitystyö • Päivitetään sekä vakuutusyhtiöiden että luottolaitosten henkilötietojen käsittelyä

koskevat käytännesäännöt asetuksen sisältöä vastaavaksi ohjeeksi• Ohjeet valmiit kesään 2017 mennessä• Eri tahojen edistettävä käytännesääntöjen laatimista, joiden avulla otetaan esim.

eri sektorien erityispiirteet huomioon• Tavoite: voidaan käyttää yhtenä tekijänä osoittamaan velvoitteiden

noudattamista• Asetuksen mukaiset käytännesäännöt raskas prosessi

• Vain tietyistä asetuksessa mainituista asioista • Luonnos toimitettava valvontaviranomaisen lausuttavaksi• Valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt• Hyväksyttyjen käytännesääntöjen noudattamista seurattava valvojan akkreditoiman

elimen toimesta

finanssiala.fi

EU-tason ohjeistus• Ohjeita valmistumassa

• Tietosuojavastaava (1/2017)• Tietojen siirto-oikeus (1/2017)• Korkea riski ja vaikutustenarviointi (1/2017)• Sertifiointi (1/2017)

• TSV Aarnio: kootaan eurooppalaisen tietosuojan käsikirja

• Avoimesti saatavilla, keino harmonisoinnin parantamiseen, ensimmäinen versio 2016/2017 vaihteessa

finanssiala.fi

Miten valmistautua?• Kannattaa aloittaa heti!• Ylimmän johdon sitouttaminen• Tietosuojavastaavan valinta: ”tietojen omistajan ja isännän”

määrittely• IT:n ja juridiikan yhteistyö: tietosuojan rakentaminen osaksi

palveluita ja prosesseja• Sopimuskannan läpikäyminen ja uusien sopimusten

neuvottelu• Dokumentaation laatiminen• Prosessien luominen

• Riskianalyysit ja vaikutustenarvioinnit• Rekisteröityjen oikeuksien toteuttaminen• Tietoturvaloukkaukset

• Viestintä ja työntekijöiden koulutus

finanssiala.fi

Haasteita• Täsmentymättömät toimintavelvoitteet aiheuttavat

epävarmuutta• Paljon tulkinnallisia termejä, joiden sisältö selviää myöhemmin

oikeuskäytännössä• Ohjeistuksella iso merkitys, mutta sen syntymiseen menee

aikaa• Kansallinen viranomainen ei anna neuvoja (ainakaan tässä vaiheessa),

viranomaisohjeistus tulee EU-tasolta

finanssiala.fi

Finanssiala – ihmisten arjessa!

Outi Aaltolakimies

Outi.aalto@finanssiala.fi

020 793 4238

@OutiKt