eu:n yleinen tietosuoja-asetus - verkkoasema · eu:n yleinen tietosuoja-asetus •koskee kaikkea...
TRANSCRIPT
EU:n yleinen tietosuoja-asetus• Koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa• Siirtymäaika menossa
• Sovelletaan 25.5.2018 alkaen• Tavoitteena
• parantaa yksilön oikeuksia• parantaa luottamusta Online-palveluihin• edistää EU:n digitaalisten sisämarkkinoiden kehittymistä yhdenmukaistamalla
lainsäädäntöä• tehostetaan täytäntöönpanon valvontaa sekä • laajennetaan tietosuojavaltuutetun oikeuksia puuttua ongelmiin.
Mikä GDPR?General Data Protection Regulation
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
TietosuojaTietosuojaan kuuluvat
ihmisten yksityiselämän suoja ja muut sitä
turvaavat oikeudet henkilötietoja
käsiteltäessä
Tietosuoja ♥ Tietoturva
TietoturvaTietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Henkilötietoja ovat mm.• Nimi, hetu, osoite, sähköpostiosoite,
Sosiaalisen median profiilit yms. ”itsestäänselvyydet”
• Myös IP-osoite ja esim. auton rekisterinumero
• Esim. pelkästään IP-osoite ei kerro henkilöstä mitään, mutta muuhun tietoon liitettäessä, IP-osoite on mahdollista yksilöidä yksittäiseen henkilöön
• Kaikki, minkä avulla on mahdollista tunnistaa henkilö
Henkilötiedot ja arkaluonteiset tiedot
Arkaluonteiset tiedot kuvaavat• rotua tai etnistä alkuperää• yhteiskunnallista, poliittista tai uskonnollista
vakaumusta tai ammattiliittoon kuulumista• rikollista tekoa, rangaistusta tai muuta rikoksen
seuraamusta• terveydentilaa, sairautta tai vammaisuutta taikka
häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia
• henkilön seksuaalista suuntautumista tai käyttäytymistä
• henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
1 2 3Kartoita tietojen
käsittelyn nykytila ja ota
tietosuoja osaksi
toimintojen suunnittelua
ja mallinnusta
Arvioi henkilötietojen
käsittelyyn liittyvät riskit ja
toimenpiteet riskin
minimoimiseksi
Tee tarvittaessa
tietosuojaa koskeva
vaikutustenarviointi
ja kuule
valvontaviranomaista
4 5
Selvitä millä
perusteella käsittelet
henkilötietoja
Henkilötietojen käsittelijän
rooli; käytätkö toisen
organisaation
tietojenkäsittely-
palveluita?
Lähde: Oikeusministeriö, Tietosuojavaltuutetun toimisto, Helsinki 2017
6 7 8
Mitä rekisteröidyn
oikeuksia liittyy
toimintaasi ja miten
toteutat rekisteröidyn
oikeuksia?
Toimiiko organisaatiosi
usean jäsenvaltion
alueella? Selvitä kuka
on johtava valvonta-
viranomainen.
Arvioi asianmukaiset
suojatoimenpiteet
riskiperusteisesti, suojaa
koko henkilötiedon
elinkaari.
9 10
Valmistaudu
ilmoittamaan
tietoturva-
loukkauksista!
Selvitä tuleeko
organisaation nimittää
tietosuojavastaava.
11
Seuraa tietosuoja-
valtuutetun toimiston
julkaisemia tietosuoja-
asetukseen liittyviä
ohjeita
1Kartoita tietojen käsittelyn nykytila ja ota
tietosuoja osaksi toimintojen suunnittelua
• Organisaation on hahmotettava kokonaiskuvahenkilötietojen käsittelyn nykytilasta.
• mitä henkilötietovarantoja sen hallussa on, • miten tietosuojaperiaatteet on otettu huomioon,• toimintaan liittyvät henkilötietovirrat, • henkilötietojen käsittelyn oikeusperusteet,• miten tietoturvasta on huolehdittu ja • miten henkilötietojen käsittelyyn liittyvä
riskienhallinta on toteutettu. • Kartoituksen voi tehdä esimerkiksi laatimalla
tietotilinpäätöksen • organisaation sisäisen tarkastelun tuloksena
laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista.
Tietosuojaperiaatteita ovat:• käsittelyn lainmukaisuus, kohtuullisuus
ja läpinäkyvyys• käyttötarkoitussidonnaisuus• tietojen minimointi• tietojen täsmällisyys• tietojen säilytyksen rajoittaminen• tietojen eheys ja luottamuksellisuus• rekisterinpitäjän osoitusvelvollisuus
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Arvioi henkilötietojen käsittelyyn liittyvät riskit ja
toimenpiteet riskin minimoimiseksi
Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimeton suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.
2
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Tee tarvittaessa tietosuojaa koskeva
vaikutustenarviointi ja kuule valvontaviranomaista
• Kun todennäköisesti korkea riski rekisteröidyn näkökulmasta, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.
• Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
• Tehtävä erityisesti silloin, kun otetaan käyttöön uutta teknologiaa taikka, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja.
• tehtävä myös mikäli on kyse kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
• sekä tilanteissa, joissa on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Vaikutuksenarvioinnin tekeminen on suositeltavaa myös muulloin, koska se edesauttaa osoitusvelvollisuuden toteuttamista ja rekisterinpitäjän velvollisuuksien selvittämisessä
3
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Selvitä millä perusteella käsittelet henkilötietoja
• Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste.
• Suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, yleinen etu ja oikeutettu etu
• Rekisterinpitäjän on siirtymäajan aikana selvitettävä, vaikuttaako tietosuoja-asetus sen käyttämiin käsittelyn oikeusperusteisiin.
• Asetuksen mukaiset käsittelyn oikeusperusteet eroavat joiltakin osin henkilötietolain mukaisiin perusteisiin verrattuna.
• Tietosuoja-asetus antaa henkilötietolaista poiketen erityistä suojaa lasten henkilötiedoille.
• Lapsen henkilötietojen käsittely suostumuksen perusteella suoraan lapselle edellyttää vanhempainvastuunkantajan suostumusta tai valtuutusta.
• Asetuksessa lapseksi määritellään alle 16-vuotiaat.
4
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Henkilötietojen käsittelijän rooli; käytätkö toisen
organisaation tietojenkäsittelypalveluita?
• Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle
• käsittelijän roolia ja velvoitteita on terävöitetty henkilötietolakiin nähden.
• Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset.
• hyväksytyt käytännesäännöt tai sertifiointimekanismit.
• Säädetään myös muun muassa siitä, mistä seikoista rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa on erityisesti sovittava.
• Siirtymäaikana on syytä tarkastaa henkilötietojen käsittelyyn liittyvät sopimukset niin, että ne vastaavat asetuksessa säädettyjä ehtoja.
5
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
RekisterinpitäjäKäsittelijäRekisteröity
Mitä rekisteröidyn oikeuksia liittyy toimintaasi
ja miten toteutat rekisteröidyn oikeuksia?
• Rekisterinpitäjän yhtenä velvollisuutena on toteuttaa rekisteröidyn oikeuksia.
• otettava huomioon prosessien ja tietojärjestelmien suunnittelussa.
• On varmistuttava, että prosessit ja tietojärjestelmät taipuvat tietosuoja-asetuksen tuomiin muutoksiin myös rekisteröityjen oikeuksien osalta.
• Rekisterinpitäjän tulee selvittää rekisteröidyn oikeudet ja miten niiden toteuttaminen käytännössä toteutetaan.
Rekisteröidyn oikeudet:• Oikeus saada läpinäkyvää informaatiota
henkilötietojen käsittelystä• Rekisteröidyn oikeus saada pääsy tietoihin• Oikeus tietojen oikaisemiseen ja oikeus tulla
unohdetuksi• Oikeus käsittelyn rajoittamiseen ja
rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
• Oikeus siirtää tiedot järjestelmästä toiseen• Vastustamisoikeus • Automatisoidut yksittäispäätökset ja
profilointi
6
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Toimiiko organisaatiosi usean jäsenvaltion alueella?
Selvitä kuka on johtava valvontaviranomainen
• Tietosuoja-asetuksen myötä rekisterinpitäjän ei tarvitse asioida kuin yhden jäsenvaltion valvontaviranomaisen kanssa.
• Toimivaltainen valvontaviranomainen määräytyy one-stop-shop-mekanismin eli yhden luukun periaatteen mukaisesti rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan tai päätoimipaikan mukaan.
• Päätoimipaikan määrittyminen riippuu esimerkiksi siitä, millainen organisaation rakenne on ja miten sen henkilötietojen käsittelyyn liittyvät toiminnot on järjestetty.
• Lisäksi tulee huomioida, että asetuksessa annettu päätoimipaikan määritelmä eroaa rekisterinpitäjän ja henkilötietojen käsittelijän välillä.
7
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Arvioi asianmukaiset suojatoimenpiteet
riskiperusteisesti ja suojaa koko elinkaari8
• Siirtymäaikana rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetuksen sääntelyä.
• Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi.
• Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen.
• Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa Tietoturva
• Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamistaja valvontaa.
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Valmistaudu ilmoittamaan tietoturvaloukkauksista!9
• Rekisterinpitäjän on tehtävä ilmoitus valvontaviranomaiselle 72 tunninkuluessa loukkauksen ilmitulosta.
• Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan.
• Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta myös rekisteröidyille, jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet.
• Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan.
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Selvitä tuleeko organisaation nimittää
tietosuojavastaava10
• Tietosuojavastaavan tehtävänä on mm. seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet
• valvontaviranomaisen sekä rekisteröityjen yhteyspiste• Vastuu henkilötietojen käsittelyn lainmukaisuudesta kuuluu edelleen organisaation
johdolle.• Yrityksellä velvollisuus nimittää tietosuojavastaava jos ydintehtävät muodostuvat
• henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
• laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.
• Tietosuojavastaava voidaan nimittää, vaikkei asetus tähän nimenomaisesti velvoita.• Otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus
tietosuojalainsäädännöstä ja alan käytänteistä. • Tietosuojavastaavan on oltava riippumaton
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Seuraa tietosuoja-valtuutetun toimiston julkaisemia
tietosuoja-asetukseen liittyviä ohjeita11
• Moni asia täsmentyy vasta siirtymäajan kuluessa, joten on tärkeää seurata tiedottamista.
• Tietosuojatyöryhmän tulkintaohjeet ovat keskeisessä roolissa asetusta tulkittaessa.
• Ensimmäiset rekisterinpitäjille ja henkilötietojen käsittelijöille tehtävät ohjeet keskittyvät:
• oikeuteen siirtää tiedot järjestelmästä toiseen • korkean riskin käsitteeseen ja tietosuojaa
koskevaan vaikutustenarviointiin • sertifiointiin • Tietosuojavastaavaan
• Tietosuojavaltuutetun toimisto julkaisee tietosuoja-asetukseen liittyviä ohjeita verkkosivuillaan.
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Tietotilinpäätöksen ohjeistus:http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf
Tietoturvapolitiikan ohjeistus:https://www.viestintavirasto.fi/viestintavirasto/virastonesittelyjatehtavat/riskienhallinta/tietoturvapolitiikka.html
Seuraa myös #verkkiksen kirjoituksia aiheesta12
• Ladattava pikaopas GDPR:stä• Seuraamme myös jatkossa
ohjeistuksen kehittymistä ja julkaisemme tarvittaessa lisää opastusta
• Blogi-kirjoitus tietoturvasta yritysturvallisuuden näkökulmasta
• riskienhallintaa
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Ideointia Kartoitusta Selvitystä Toimintaa
Mihin tämä voisi
vaikuttaa sinun
työssäsi?
Muodostetaan
yksittäisten
ideoiden ja
ajatusten pohjalta
kokonaiskuva
Selvitetään,
miten pitää
toimia, jotta
olemme keväällä
valmiita
Kääritään hihat ja
aletaan hommiin!
MITEN ETEENPÄIN?
Outi Arontie | tietosuojavastaava | Verkkoasema Oy
Outi ArontietietosuojavastaavaVerkkoasema Oy+358 45 641 [email protected]