EU:n yleinen tietosuoja-asetus

Muuttuiko mikään?

Kito ry:n teemapäivät 28.9.2018 Tampere-talo

Mikko Tähkänen

Lakimies, Kirkon keskusrahaston tietosuojavastaava

Tietosuojaa koskevaa lainsäädäntö

Tietosuojaa koskevaa lainsäädäntöä

• EU:n yleinen tietosuoja-asetus (General Data ProtectionRegulation GDPR) 25.5.2018 alkaen

• Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain

• Perustuslaki

• Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne.

3

Tietosuojaa koskevaa lainsäädäntöä

• EU:n yleinen tietosuoja-asetus (General Data ProtectionRegulation GDPR) 25.5.2018 alkaen

• Tietosuojalaki (HE 9/2018); eduskunnassa edelleenkin; täydentää ja täsmentää tietosuoja-asetusta; toivottavasti loppusyksyn aikana saadaan käsiteltyä, kumoaa vuoden 1999 henkilötietolain

• Perustuslaki

• Muuta henkilötietoja koskevaa lainsäädäntö: mm. laki yksityisyyden suojasta työelämässä, laki sähköisen viestinnän palveluista (ent. tietoyhteiskuntakaari), laki potilaan asemasta ja oikeuksista, väestötietolaki, julkisuuslaki jne.

4

Näinkö vai miten?

Before and after reading GDPR

5

Mikä ei muuttunut?

Mikä ei muutu?

Perusasiat pitkälti entisellään

- Käsitteet

- Tietosuojaperiaatteet

- Millä perusteella saa käsitellä henkilötietoja (oikeusperusteet)

- Soveltamisala

- Poikkeussäännökset koskien viranomaistoiminnan julkisuusperiaatetta, sananvapautta, tieteellistä tutkimusta ja arkistointia

7

Mikä muuttui?

Mikä muuttuu?

• Rekisteröidyn oikeuksia lisätty ja täsmennetty, mm.

– Informointi tietojen käsittelystä

– Oikeus siirtää tiedot, tulla unohdetuksi, vastustaa käsittelyä

– Suostumuksen käsittely

• Rekisterinpitäjän asema ja velvollisuudet, mm.

– Sisäänrakennettu ja oletusarvoinen tietosuoja

– Vaikutusten arviointi

– Henkilötietojen käsittelypalveluja koskevat sopimukset (ulkoistukset palveluntarjoajille)

– Tietoturvaloukkauksista ilmoittaminen

– Osoitusvelvollisuus

– Tietosuojavastaavan nimittäminen

– Hallinnolliset sakot – Koskeeko kirkkoa?

9

Tietosuojaa vai tietoturvaa?

Tietosuojaa vai tietoturvaa

Tietosuoja

• Perusoikeus

• Henkilötietojen suoja

• Oikeudet ja velvollisuudet

• Miten henkilötietoja tulee ja saa käsitellä; oikeaoppinen käsittely

• Kuka kenenkäkin mitäkin tietoja saa käsitellä

• Tietosuojaperiaatteissa tiivistyy tietosuojan ydin

Tietoturva

• Millä keinoin ja mitä tehden tietosuoja toteutuisi riittävän hyvin

• Vaatimuksia henkilötietojen suojaukselle

• Suojatoimia, turvatoimia (teknisiä, organisatorisia)

• Eheys, luottamuksellisuus

11

Mikä on henkilötieto?

Mikä on henkilötieto?

• Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä informaatio

• Jotta kyse olisi henkilötiedosta, tiedon tulee liittyä tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi

13

Mitä on henkilötiedon käsittely?

Mitä on henkilötiedon käsittely?

• Toiminto, joka kohdistetaan henkilötietoihin

– Kerääminen, tallentaminen, muuttaminen, järjestäminen, säilyttäminen, luovuttaminen, tuhoaminen jne.

• Kaikki ajateltavissa olevat toimet, joiden kohteena henkilötieto

15

Soveltamisalasta

Soveltamisalasta

• Automaattinen käsittely

• Muu käsittely, jos tiedot muodostavat tai on tarkoitus muodostaa rekisterin osan

• TSA: Tieto tallennettu jollekin alustalle

• TSL 35 §:Vaitiolovelvollisuus

• TSL 5 luku: Tietojenkäsittelyn erityistilanteet ja poikkeukset TSA:n soveltamisesta – sananvapaus, tutkimus, arkistointi, julkisuuslaki

17

Rekisterinpitäjä vai henkilötietojen käsittelijä?

Rekisterinpitäjä vai henkilötietojen käsittelijä?

• Rekisterinpitäjä määrittelee käsittelyn tarkoitukset ja keinot

• Henkilötietojen käsittelijä käsittelee rekisterinpitäjän lukuun

• Yhteisrekisterinpitäjät: määrittelevät yhdessä käsittelyn tarkoitukset ja keinot

– Vastuualueet määritelty (sopimuksessa tai lainsäädännössä)

Jehovan todistajat (C-25/17), Wirtschaftsakademie Schleswig-Holstein (210/16)

• Roolit Kirjurissa ja Kipan toiminnoissa?19

Tietosuojaperiaatteet

21

Henkilötietojen käsittelyä kaitsevat tietosuojaperiaatteet

Lainmukaisuus, kohtuullisuus, läpinäkyvyys

Käyttötarkoitus-sidonnaisuus

Tietojen minimointi

Tietojen täsmälli-

syys

Tietojen säilytyksen rajoittaminen

Tietojen eheys ja luottamuksellisuus

Oikeusperusteet

Oikeusperusteet (6 art.)

A) Suostumus

B) Sopimus

C) Lakisääteinen velvoite

D) Elintärkeä etu

E) Julkiseen tehtävään liittyvä yleinen etu

F) Oikeutettu etu(pohjimmiltaan on kaksi oikeusperustetta: oikeutettu etu ja suostumus)

Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä.

23

Oikeusperusteet (6 art.)

Missä järjestyksessä arvioida, mikä oikeusperuste käsillä?

0. Onko säädetty poikkeusta tietosuojalaissa tai muussa laissa 6 artiklan soveltamisesta? Jos ei niin:

1. c) Lakisääteinen velvoite

2. e) Julkiseen tehtävään liittyvä yleinen etu

3. b) Sopimus

4. d) Elintärkeä etu

5. f) Oikeutettu etu

6. a) Suostumus

Jos kyse erityisiin henkilötietoryhmiin kuuluvasta tiedosta (arkaluonteisesta tiedosta), lisäksi jokin 9 artiklan mukaisista edellytyksistä täytyttävä.

24

Erityiset henkilötietoryhmät

Erityiset henkilötietoryhmät (9 art.)

• Rotu tai etninen alkuperä

• Poliittiset mielipiteet

• Uskonnollinen tai filosofinen vakaumus

• Ammattiliiton jäsenyys

• Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten

• Terveyttä koskevat tiedot

• Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot

• Mitä olivat henkilötietolain arkaluonteiset tiedot?26

Erityiset henkilötietoryhmät (9 art.) – millä perusteella saa käsitellä?

• 9 artiklassa määritelty 10 tilannetta/perustetta, jolloin sallittu, mm. seuraavat:

– Poliittinen, filosofinen, uskonnollinen yhteisö sekä ammattiliitto oman laillisen toimintansa yhteydessä

– Kyse tiedoista, jotka rekisteröity nimenomaisesti saattanut julkisiksi

– Terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi, jos käsittelevää henkilöä sitoo lakisääteinen salassapitovelvollisuus

– Rekisteröity antanut nimenomaisen suostumuksensa

27

Oikeusperustetta koskevia esimerkkejä

• Hammasröntgenkuvaus hammaslääkäriasemalla

• Rekrytointifirma hoitaa srk:n työntekijän rekrytointia

• Srk kutsuu 30-vuotiaita jäseniään tiettyyn tapahtumaan

• Ilmoittautuminen retkelle

28

Rekisterinpitäjän osoitusvelvollisuus

Rekisterinpitäjän osoitusvelvollisuus

• Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuojaperiaatteita on noudatettu

• Organisointi

• Vastuuttaminen

• Osaaminen

• Dokumentaatio

30

Tietosuojatyön dokumentaatio

Tietosuojatyön dokumentaatio

1 Tietosuojapolitiikka

2 Tietoturvapolitiikka ja –määräykset

3 Seloste käsittelytoimista

4 Tietosuojaselosteet

5 Henkilötietojen käsittelyohjeet

6 Prosessikaaviot rekisteröidyn oikeuksien käyttämisestä

7 Tietosuojatyön tiekartta

8 Tietosuojavastaavan päiväkirja

9 Tietotilinpäätös

32

Tietosuojaseloste

Tietosuojaseloste

• 13 ja 14 artiklassa määritelty, mistä asioista rekisteröityä on informoitava

• Tietosuojaseloste on asiakirja, johon koottu tiettyä toimintoa/rekisteriä koskevat informoitavat tiedot

• Toimii yhtenä välineenä informoinnin toteuttamisessa

34

Rekisteröidyn informointi

Rekisteröidyn informointi (13 ja 14 art.)

• Toimitettava rekisteröidylle tietyt tiedot

• Toimittava läpinäkyvästi ja reilusti

• Tiiviisti esitettynä

• Helposti saatavilla

• Ymmärrettävä

36

Seloste käsittelytoimista

Seloste käsittelytoimista (30 art.) – Records of processing activities

• Ylläpidettävä rekisteriä rekisterinpitäjän vastuulla olevista henkilötietoja koskevista käsittelytoimista

• Apuväline henkilötietojen käsittelyn hahmottamiseen

• Oltava sähköisessä muodossa

• Rekisterinpitäjän sisäinen asiakirja

• Pyydettäessä esitettävä tietosuojavaltuutetulle

• Selosteen malli tietosuojasivustolla

38

Henkilötietojen käsittelyohje

Henkilötietojen käsittelyohje (29, 32 art.)

• Jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti

• Eli ne perusasiat, jotka ko. työntekijä tietää tai jotka hänen tulisi tietää, on oltava kirjallisina ohjeina olemassa

• Henkilötietojen käsittelyohjeen malli tietosuojasivustolla

40

Rekisterinpitäjä - Miten edetä?

Miten edetä? – Johdon vastuulla olla aktiivinen

• Tahtotila (tietosuojapolitiikka – ks. Malli: Tietosuoja Kirkonkylän seurakunnassa)

• Organisoi

• Kartoita ja arvioi

• Tarkista sopimustilanne

• Dokumentoi

• Nimitä tietosuojavastaava

• Seloste käsittelytoimista

• Tietosuojaselosteet ja informointi

• Henkilötietojen käsittelyohjeet

• Koulutus

42

Sovellus- ja rekisterisalkku – Mikä se on?

Sovellussalkku – Mikä se on?

• Mitä sovelluksia?

• Mitä rekisterejä?

• Avaintiedot

• Myös tietosuojan ja tietoturvan perustiedot mahdollista tallettaa

• Maksutta ja vapaaehtoisesti seurakuntien käytössä

• Uutiskirjeessä ensi tai seuraavalla viikolla

• Skype-tilaisuudet lokakuun puolivälissä – ajankohdat uutiskirjeessä – eli mistä kyse

44

Tietosuojavastaava – Mikä se on?

Tietosuojavastaava – Mikä se on?

• Asiantuntija

• Neuvonantaja

• Kouluttaja

• Valvoja

• Yhdyshenkilö

• Ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu edelleenkin kuuluu rekisterinpitäjälle ja erityisesti sen johdolle

• Mitä EI kuulu tehtäviin?

46

Tietosuojavastaavan ilmoittaminen tietosuojavaltuutetun toimistoon

• Tietosuoja.fi

• Ilmoituslomake verkossa

• Seurakunta täyttää itse

47

Muistakaamme, että

VÄLTTÄMÄTTÖMYYDESTÄ

KANNATTAA

TEHDÄ

HYVE

48

Kirkon tietosuojasivusto

• Sakastin pääsivulla linkki tietosuojasivustolle

• Nuotta.evl.fi/tietosuoja

• Nuotta.evl.fi/dataskydd

https://nuotta.evl.fi/tietosuoja/SitePages/Kotisivu.aspx

49