eu:n yleinen tietosuoja-asetus. keskeisimmät uudet asiat
TRANSCRIPT
EU:n yleinen tietosuoja-asetus
Keskeisimmät uudet asiat
Oskari Rovamo, Nokia Tietosuoja ja standardit 13.9.2016
14/09/2016 1 © Nokia 2016 PUBLIC
EU:n yleinen tietosuoja-asetus Keskeisimmät uudet asiat
Tietosuoja ja standardit – SFS ry:n tietosuojaseminaari • 13-09-2016 • Oskari Rovamo, Global Privacy Counsel
14/09/2016 2 © Nokia 2016
PUBLIC
Uusi EU:n yleinen tietosuoja-asetus tuli voimaan 25.05.2016
14/09/2016 © Nokia 2016 PUBLIC
General Data Protection Regulation GDPR
2
14/09/2016 3 © Nokia 2016 PUBLIC
25.1.2012
Komission luonnos
12.3.2014
Parlamentin revisioima
teksti
15.6.2015
Neuvoston revisioima
teksti
15.12.201
Neuvoston lopullinen
kompromissiteksti
14.4.2016
Parlamentti äänesti
lopullisesta tekstistä
4.5.2016
Julkaistiin Virallisessa lehdessä
25.05.201
Asetuksen soveltaminen
alkaa
Tietosuoja-asetuksen valmistelun vaiheet
2012 2016 2018
25.05.2018 asti aikaa • ymmärtää uusien sääntöjen sisältö • arvioida niiden vaikutus • laatia toteutussuunnitelma • toimeenpanna muutosohjelma
14/09/2016 4 © Nokia 2016 PUBLIC
14/09/2016 © Nokia 2016
Tavoite tietosuoja-asetuksen taustalla
päästä tästä…. …tähän!
14/09/2016 5 © Nokia 2016 PUBLIC
14/09/2016 © Nokia 2016
Jäsenvaltiot – liikkumavara
14/09/2016 © Nokia 2016 5
14/09/2016 6 © Nokia 2016 PUBLIC
14/09/2016
Tietosuoja-asetuksen tuoma muutos…
…osa kehityskulkua (”evolution”)? …isompi mullistus (”revolution”)?
14/09/2016 7 © Nokia 2016 PUBLIC
EU:n tietosuojadirektiivi
Principles relating to personal data
processing [DIR Art 6]
Information to be provided to individuals
[DIR Art 10 -11]
Individuals' right to know if data about them is processed
[DIR Art 12]
Individuals’ right to rectification of
inaccurate data [DIR Art 12]
Individuals right to object processing
of their data [DIR Art 14]
Processor - under the authority of the
controller [DIR Art 17 (2)]
Security of processing
[DIR Art 17 (1)]
Notify authorities + prior checking [DIR Art 18-21]
Transfer of personal data
[DIR Chapter IV]
Data Protection Official
[DIR Art 18-20]
Automated decisions
[DIR Art 15]
Principles relating to personal data
processing (Art 5)
Information to be provided to individuals (Art 13-14)
Individuals' right to know if data about them is processed
(Art 15)
Individuals’ right to rectification of
inaccurate data (Art 16)
Individuals right to object processing
of their data (Art 21)
Automated decisions + profiling (Art 22)
Processor - under the authority of the
controller (Art 29)
Security of processing
(Art 32)
Prior consultation with authorities
(Art 36)
Transfer of personal data (Chapter V)
Designation of a Data Protection
Officer (Art 37)
Notification to 3rd parties of rectifica-
tions [DIR Art 12]
Notification to 3rd parties of rectifica-tions & restrictions
(Art 19)
14/09/2016 8 © Nokia 2016 PUBLIC
Controller & Processor
Controller EU:n yleinen tietosuoja-asetus - tietosuojadirektiivi valossa
Principles relating to personal data
processing (Art 5)
Information to be provided to individuals (Art 13-14)
Individuals' right to know if data about them is processed
(Art 15)
Individuals’ right to rectification of
inaccurate data (Art 16)
Individuals right to object processing
of their data (Art 21)
Automated decisions + profiling (Art 22)
Processor - under the authority of the
controller (Art 29)
Security of processing
(Art 32)
Prior consultation with authorities
(Art 36)
Transfer of personal data (Chapter V)
Designation of a Data Protection
Officer (Art 37)
Notification to 3rd parties of rectifica-tions & restrictions
(Art 19)
14/09/2016 9 © Nokia 2016 PUBLIC
EU:n yleinen tietosuoja-asetus
Principles relating to personal data
processing (Art 5)
Transparent information,
communication to individuals (art 12)
Information to be provided to individuals (Art 13-14)
Individuals' right to know if data about them is processed
(Art 15)
Individuals’ right to rectification of
inaccurate data (Art 16)
Right to be forgotten (Art
17)
Right to restrict processing
personal data (Art 18)
Notification to 3rd parties of rectifica-tions & restrictions
(Art 19)
Individual’s right to data portability
(Art 20)
Individuals right to object processing
of their data (Art 21)
Automated decisions + profiling (Art 22)
Responsibility to demonstrate compliance (Art 5 & 24)
Privacy by design and default
(Art 25)
Processor – mandatory content
for agreements (Art 28)
Processor - under the authority of the
controller (Art 29)
Records of processing
activities (Art 30)
Security of processing
(Art 32)
Notification of a data breach (Art 33-34)
Privacy impact assessments
(Art 35)
Prior consultation with authorities
(Art 36)
Transfer of personal data (Chapter V)
Remedies, liabilities and
sanctions (Chapter VII)
Designation of a Data Protection
Officer (Art 37)
Controller & Processor
Controller
14/09/2016 10 © Nokia 2016 PUBLIC
1 Mitä on tilivelvollisuus?
2 Miten tilivelvollisuus osoitetaan ja mitataan?
Tilivelvollisuus /osoitusvelvollisuus - Accountability
14/09/2016 11 © Nokia 2016 PUBLIC
• Ei nimenomainsta vaatimusta
• Tietyt toimintatavat ja käytännöt tulleet osaksi
tietosuojaohjelmia parhaiden käytäntöjen kautta.
tiedot käsittelytoimenpiteistä vaikutusten arvioinnit (PIA) Tietosuojavastaavan nimitys Privacy by Design & Default
Tilivelvollisuus
99.9
• Ottettava käyttöö toimia ja menettelyjä
sekä osoitettava ne.
• Esimerkkeinä tiedot käsittelytoimenpiteistä vaikutusten arvioinnit (DPIA) tietosuojavastaavan nimitys Privacy by Design & Default
Direktiivi Asetus
Public
14/09/2016 12 © Nokia 2016 PUBLIC
1. Kirjalliset toimintatavat & niiden toteuttaminen käytännössä
2. Johdon sitoumus /johdon valvonta
3. Vastuuhenkilöt & delegointi
4. Koulutus
5. Jatkuva riskien arvioiti ja hallinta
6. Ohjelman arvoiminen ja vahvistaminen
7. Tapauksien hallinnointi & valitusten käsittely
8. Sisäinen valvonta
9. Oikaisukeinot
Public
Tilivelvollisuus - yleisiä toteuttamisen peruselemettejä
”Tilivelvollisuus” ei määritä toteutettavia toimia ja menettelyitä vaan ne vaihtelevat tietojenkäsittelyyn liittyvien riskien ja tietojen luonteen mukaan.
14/09/2016 13 © Nokia 2016 PUBLIC
EU:n yleinen tietosuoja-asetus – uudet asiat pähkinänkuoressa
1. Sakot – jopa 4% vuotuisesta globaalista liikevaihdosta 2. Henkilötieto – laajentunut määrtelmä – “pseudonymisoitu” henkilötieto. 3. Läpinäkyvyys, informointi, suostumus 4. Yhteisvastuu – rekisterinpitäjän ja käsittelijän yhteisvastuu 5. Käsittelijä – uusia velvotteita 6. Suurempi tarve “tietosuojaohjelma” tyyppiseen lähestymistapaan -
tilintekovelvollisuus, PIA, Privacy by Desing.
14/09/2016 14 © Nokia 2016 PUBLIC