gdpr, gdpr, vaan mikä se on se gdpr

Click here to load reader

Post on 23-Jan-2018

512 views

Embed Size (px)

TRANSCRIPT

  • GDPR, GDPR, vaan mik se on se GDPR

    Jyrki J.J. Kasvi

  • Mik on EU:n asetus?

    Euroopan unionin asetus on EU:n vahvin lainsdntvline: Asetus tulee sellaisenaan voimaan kaikissa Unionin jsenmaissa heti kun se on

    julkaistu EU:n virallisessa lehdess

    GDPR hyvksyttiin 14.4.2016 ja astuu voimaan 25.5.2018

    Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait Asetuksen kanssa ristiriitaisia lakeja ei saa st

    Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa osaksi jsenmaiden omaa lainsdnt

    GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman kansallista soveltamista Siirtymaikaa on ollut kaksi vuotta, ei tule ylltyksen kenellekn

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 2

  • Mik on EU:n yleinen tietosuoja-asetus?

    GDPR (General Data Protection Regulation) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten

    henkiliden suojelusta henkiltietojen ksittelyss sek niden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

    Stelee kaikkea henkiltietojen ksittely EU:n jsenvaltioissa ei koske luonnollisen henkiln henkilkohtaista henkiltietojen ksittely, joka ei

    liity ammatilliseen tai kaupalliseen toimintaan

    ei koske kansallista turvallisuutta koskevaa henkiltietojen ksittely

    Tavoitteena parantaa luottamusta shkisiin palveluihin ja edist EU:n digitaalista sismarkkinoiden kehittmist.

    Tavoitteena varmistaa ihmisten omien henkiltietojen suojaa

    Monet asetuksen velvoitteet sisltyvt jo nyt henkiltietolakiin

  • Miksi EU tarttunut tietoturvassa asetus-lekaan?

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 4

  • Mik on henkiltieto?

    GDPR:n henkiltiedon mritelm vanhaa henkiltietolakia tsmllisempi

    Henkiltiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkiln liittyvi tietoja Tunnistettavissa olevan henkiln henkilllisyys voidaan suoraan tai epsuorasti

    tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot, valokuvat, potilastiedot, )

    Kansallinen tietosuojaviranomainen on toimivaltainen rekisterinpitjn ptoimipaikan perusteella Kansallisten tietosuojaviranomaisten yhteistyt varten ns. yhdenmukaisuus-

    mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.

    Euroopan tietosuojaneuvosto voi antaa sitovia ptksi tietosuoja-asetuksen soveltamisesta

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 5

  • Henkiltietojen ksittelyn rajat

    Henkiltietojen kerminen on sidonnainen kytttarkoitukseen Kertty tietoa ei saa kytt myhemmin tarkoitukseen, jolla ei ole

    sidonnaisuutta niiden alkuperiseen kytttarkoitukseen.

    Henkiltietoja saa ksitell vain kun Rekisterity henkil on antanut suostumuksensa henkiltietojensa ksittelyyn

    tietty tarkoitusta varten tai se perustuu rekisteridyn kanssa tehtyyn sopimukseen

    vlttmtnt rekisteridyn tai toisen henkiln elintrkeiden etujen suojaamiseksi

    tarpeen rekisterinpitjn lakisteisen velvoitteen suorittamiseksi tai julkisen vallan kyttmiseksi tai yleist etua koskevan tehtvn suorittamiseksi

    tarpeen rekisterinpitjn tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (rekisteridyn edut, perusoikeudet ja vapaudet huomioiden)

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 6

  • Lis rajoja

    Henkiltiedot, joita ei saa ksitell ilman eri perustetta Rotu tai etninen alkuper, poliittiset mielipiteet, uskonnollinen tai filosofinen

    vakaumus, ammattiliiton jsenyys, seksuaalinen kyttytyminen ja suuntautuminen

    Geneettiset tai biometriset tiedot, joista henkil voidaan tunnistaa

    Terveytt koskevat tiedot

    Henkiltietoja voi siirt ETA-alueen ulkopuolelle vain asetuksessa vahvistetuin edellytyksin Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -

    sopimuksen turvin.

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 7

  • Rekisteridyn henkiln oikeudet

    Tiedonsaantioikeus omista henkiltiedoista Rekisteridyll oltava pyynnst psy hnest kerttyihin tietoihin

    Tiedot shkisesti ksitellyist henkiltiedoista on toimitettava jsennellyss, yleisesti kytetyss ja koneellisesti luettavassa muodossa

    Tiedonsaantioikeus omien henkiltietojen ksittelyst Tiedonsaantioikeus koskee mys henkiltietojen ksittely (helppotajuisesti ja

    lpinkyvsti, kuka ksitellyt, mit tietoja, milloin, )

    Rekisterinpitjn on mys pyynnst ilmoitettava, keille tietoja on luovutettu.

    Oikeus saada itsen koskevat tiedot oikaistua

    Oikeus siirt itsen koskevat tiedot toiselle rekisterinpitjlle Rekisterinpitj ei saa est kermiens henkiltietojen siirtmist esimerkiksi

    kilpailijansa rekisteriin

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 8

  • Lis oikeuksia

    Oikeus tietojenksittelyn vastustamiseen Esimerkiksi suoramarkkinointiin tai profilointiin

    Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista

    Oikeus tulla unohdetuksi Omien henkiltietojen kyttkielto

    Omien henkiltietojen tuhoaminen rekisterist

    Oikeus vahingonkorvauksiin Henkilll, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,

    on oikeus saada rekisterinpitjlt tysi korvaus vahingosta

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 9

  • Rekisterinpitjn velvollisuudet

    Henkiltietoja ksittelyss on varmistettava tietojen turvallisuus, eheys ja luottamuksellisuus Tiedot tulee suojata luvattomalta ja lainvastaiselta ksittelylt

    Tiedot tulee suojata vahingossa tapahtuvalta hvimiselt, tuhoutumiselta tai vahingoittumiselta

    Rekisterinpitjll todistustaakka ja nyttvelvollisuus tietosuoja-asetuksen velvoitteiden noudattamisesta Pelkk lain passiivinen noudattaminen ei en riit

    Ilmoitusvelvollisuus tietoturvaloukkauksista sek tietosuoja-viranomaiselle ett kohteeksi joutuneille rekisteridyille

    Tiedonantovelvollisuus rekisteridyist kertyist tiedoista ja niiden ksittelyst sek tietojen luovutuksista

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 10

  • Lis velvollisuuksia

    Tietosuojavastaavien asettaminen Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)

    Yksityiset yhteist, joiden tehtviin kuuluu laajamittaista henkiltietojen ksittely

    Selosteen yllpito henkiltietojen ksittelyst Ei, jos alle 250 tyntekij, paitsi jos ksittely voi aiheuttaa riskin rekisteridyn

    oikeuksille ja vapauksille, ksittely ei ole satunnaista tai ksitelln on erityisen arkaluonteisia tietoja.

    Tietosuojaa koskevan vaikutusten arvioinnin laatiminen Jos henkiltietojen ksittelyyn kohdistuu todennkinen korkea riski

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 11

  • Sanktiot

    Rekisterinpitj ja henkiltietojen ksittelij voidaan mrt maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta Hallinnollinen sakko voi olla enintn 20 000 000 tai 4% yrityksen edeltvn

    tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi nist mrist on suurempi.

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 12

  • Haasteita

    Datan toissijainen kytt Tietosuoja-asetus kielt henkiltietojen kytn muuhun, kuin mihin ne on kertty.

    Julkishallinnon rekistereit haluttaisiin hydynt tutkimuksessa ja alustatalouden palveluiden kehityksess

    Kyttehtosopimukset eli EULAt Tietosuoja-asetuksen ehdot huomioidaan shkisten palveluiden kyttehdoissa,

    mutta kyttehtoja ei lueta eik niiden teksti ymmrret

    Suomalaisten rekisterinpitjien hidas herminen Suuri osa henkilrekistereit pitvist julkisista ja yksityisist yhteisist on

    hukanneet kahden vuoden valmistautumisaikansa

    Odotettavissa ainakin nyttvelvollisuuden laiminlyntej ja mahdollisia hallinnollisia sakkoja

    Tymarkkinoilla jatkuvasti paheneva tietosuojaosaajapula

    Huonosti valmistautuneita yhteisj rahastetaan

    17.11.2017 TIEKE Tietoyhteiskunnan kehittmiskeskus ry 13

  • 30.9.2010 www.kasvi.org 14

    Sukupuolten vlinen digikuilu?

    Keskustelua

    U.S. Army Photo