gdpr, gdpr, vaan mikä se on se gdpr

GDPR, GDPR, vaan mik se on se GDPR

Jyrki J.J. Kasvi

Mik on EU:n asetus?

Euroopan unionin asetus on EU:n vahvin lainsdntvline: Asetus tulee sellaisenaan voimaan kaikissa Unionin jsenmaissa heti kun se on

julkaistu EU:n virallisessa lehdess

GDPR hyvksyttiin 14.4.2016 ja astuu voimaan 25.5.2018

Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait Asetuksen kanssa ristiriitaisia lakeja ei saa st

Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa osaksi jsenmaiden omaa lainsdnt

GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman kansallista soveltamista Siirtymaikaa on ollut kaksi vuotta, ei tule ylltyksen kenellekn

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 2

Mik on EU:n yleinen tietosuoja-asetus?

GDPR (General Data Protection Regulation) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten

henkiliden suojelusta henkiltietojen ksittelyss sek niden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

Stelee kaikkea henkiltietojen ksittely EU:n jsenvaltioissa ei koske luonnollisen henkiln henkilkohtaista henkiltietojen ksittely, joka ei

liity ammatilliseen tai kaupalliseen toimintaan

ei koske kansallista turvallisuutta koskevaa henkiltietojen ksittely

Tavoitteena parantaa luottamusta shkisiin palveluihin ja edist EU:n digitaalista sismarkkinoiden kehittmist.

Tavoitteena varmistaa ihmisten omien henkiltietojen suojaa

Monet asetuksen velvoitteet sisltyvt jo nyt henkiltietolakiin

Miksi EU tarttunut tietoturvassa asetus-lekaan?

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 4

Mik on henkiltieto?

GDPR:n henkiltiedon mritelm vanhaa henkiltietolakia tsmllisempi

Henkiltiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkiln liittyvi tietoja Tunnistettavissa olevan henkiln henkilllisyys voidaan suoraan tai epsuorasti

tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot, valokuvat, potilastiedot, )

Kansallinen tietosuojaviranomainen on toimivaltainen rekisterinpitjn ptoimipaikan perusteella Kansallisten tietosuojaviranomaisten yhteistyt varten ns. yhdenmukaisuus-

mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.

Euroopan tietosuojaneuvosto voi antaa sitovia ptksi tietosuoja-asetuksen soveltamisesta

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 5

Henkiltietojen ksittelyn rajat

Henkiltietojen kerminen on sidonnainen kytttarkoitukseen Kertty tietoa ei saa kytt myhemmin tarkoitukseen, jolla ei ole

sidonnaisuutta niiden alkuperiseen kytttarkoitukseen.

Henkiltietoja saa ksitell vain kun Rekisterity henkil on antanut suostumuksensa henkiltietojensa ksittelyyn

tietty tarkoitusta varten tai se perustuu rekisteridyn kanssa tehtyyn sopimukseen

vlttmtnt rekisteridyn tai toisen henkiln elintrkeiden etujen suojaamiseksi

tarpeen rekisterinpitjn lakisteisen velvoitteen suorittamiseksi tai julkisen vallan kyttmiseksi tai yleist etua koskevan tehtvn suorittamiseksi

tarpeen rekisterinpitjn tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (rekisteridyn edut, perusoikeudet ja vapaudet huomioiden)

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 6

Lis rajoja

Henkiltiedot, joita ei saa ksitell ilman eri perustetta Rotu tai etninen alkuper, poliittiset mielipiteet, uskonnollinen tai filosofinen

vakaumus, ammattiliiton jsenyys, seksuaalinen kyttytyminen ja suuntautuminen

Geneettiset tai biometriset tiedot, joista henkil voidaan tunnistaa

Terveytt koskevat tiedot

Henkiltietoja voi siirt ETA-alueen ulkopuolelle vain asetuksessa vahvistetuin edellytyksin Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -

sopimuksen turvin.

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 7

Rekisteridyn henkiln oikeudet

Tiedonsaantioikeus omista henkiltiedoista Rekisteridyll oltava pyynnst psy hnest kerttyihin tietoihin

Tiedot shkisesti ksitellyist henkiltiedoista on toimitettava jsennellyss, yleisesti kytetyss ja koneellisesti luettavassa muodossa

Tiedonsaantioikeus omien henkiltietojen ksittelyst Tiedonsaantioikeus koskee mys henkiltietojen ksittely (helppotajuisesti ja

lpinkyvsti, kuka ksitellyt, mit tietoja, milloin, )

Rekisterinpitjn on mys pyynnst ilmoitettava, keille tietoja on luovutettu.

Oikeus saada itsen koskevat tiedot oikaistua

Oikeus siirt itsen koskevat tiedot toiselle rekisterinpitjlle Rekisterinpitj ei saa est kermiens henkiltietojen siirtmist esimerkiksi

kilpailijansa rekisteriin

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 8

Lis oikeuksia

Oikeus tietojenksittelyn vastustamiseen Esimerkiksi suoramarkkinointiin tai profilointiin

Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista

Oikeus tulla unohdetuksi Omien henkiltietojen kyttkielto

Omien henkiltietojen tuhoaminen rekisterist

Oikeus vahingonkorvauksiin Henkilll, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,

on oikeus saada rekisterinpitjlt tysi korvaus vahingosta

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 9

Rekisterinpitjn velvollisuudet

Henkiltietoja ksittelyss on varmistettava tietojen turvallisuus, eheys ja luottamuksellisuus Tiedot tulee suojata luvattomalta ja lainvastaiselta ksittelylt

Tiedot tulee suojata vahingossa tapahtuvalta hvimiselt, tuhoutumiselta tai vahingoittumiselta

Rekisterinpitjll todistustaakka ja nyttvelvollisuus tietosuoja-asetuksen velvoitteiden noudattamisesta Pelkk lain passiivinen noudattaminen ei en riit

Ilmoitusvelvollisuus tietoturvaloukkauksista sek tietosuoja-viranomaiselle ett kohteeksi joutuneille rekisteridyille

Tiedonantovelvollisuus rekisteridyist kertyist tiedoista ja niiden ksittelyst sek tietojen luovutuksista

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 10

Lis velvollisuuksia

Tietosuojavastaavien asettaminen Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)

Yksityiset yhteist, joiden tehtviin kuuluu laajamittaista henkiltietojen ksittely

Selosteen yllpito henkiltietojen ksittelyst Ei, jos alle 250 tyntekij, paitsi jos ksittely voi aiheuttaa riskin rekisteridyn

oikeuksille ja vapauksille, ksittely ei ole satunnaista tai ksitelln on erityisen arkaluonteisia tietoja.

Tietosuojaa koskevan vaikutusten arvioinnin laatiminen Jos henkiltietojen ksittelyyn kohdistuu todennkinen korkea riski

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 11

Sanktiot

Rekisterinpitj ja henkiltietojen ksittelij voidaan mrt maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta Hallinnollinen sakko voi olla enintn 20 000 000 tai 4% yrityksen edeltvn

tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi nist mrist on suurempi.

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 12

Haasteita

Datan toissijainen kytt Tietosuoja-asetus kielt henkiltietojen kytn muuhun, kuin mihin ne on kertty.

Julkishallinnon rekistereit haluttaisiin hydynt tutkimuksessa ja alustatalouden palveluiden kehityksess

Kyttehtosopimukset eli EULAt Tietosuoja-asetuksen ehdot huomioidaan shkisten palveluiden kyttehdoissa,

mutta kyttehtoja ei lueta eik niiden teksti ymmrret

Suomalaisten rekisterinpitjien hidas herminen Suuri osa henkilrekistereit pitvist julkisista ja yksityisist yhteisist on

hukanneet kahden vuoden valmistautumisaikansa

Odotettavissa ainakin nyttvelvollisuuden laiminlyntej ja mahdollisia hallinnollisia sakkoja

Tymarkkinoilla jatkuvasti paheneva tietosuojaosaajapula

Huonosti valmistautuneita yhteisj rahastetaan

17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 13

30.9.2010 www.kasvi.org 14

Sukupuolten vlinen digikuilu?

Keskustelua

U.S. Army Photo