käytännön kokemuksia tietosuoja-asetuksen soveltamisesta · 2019-12-02 · kun työnsä...
TRANSCRIPT
Käytännön kokemuksia tietosuoja-asetuksen
soveltamisesta
VRK JUDO-työpaja 20.11.2019
Lakimies Anni-Maria Taka
20.11.2019
Sisältö
Tietosuoja-asetuksen aikakausi – alun
tunnelmia
Valvontaviranomaisen rooli ja vireille
tulleiden asioiden määrän merkittävä kasvu
Johtotähtenä harmonisointi - Tavoitteena
eurooppalainen konsensus
GDPR:n vaikutukset organisaatioiden arjessa
20.11.2019
TIETOSUOJA-ASETUS – ENSIMMÄISET HAVAINNOT
MATKAN VARRELTA
PREPARE TO HEAR A LOT ABOUT
THE EUROPEAN UNION’S TOUGH
NEW DATA-PROTECTION LAW […]
Like it or not, the GDPR will come
and it will be one of the most
important pieces of legislation
brought into force in 2018. […]
’The first few years will be a mess’,
says Mr. Christopher Kuner, who
predicts a wave of lawsuits.”
“
The World in 2018/ Business: The Dodd-Frank of data
Ludwig Siegele, The Economist
Kuva: Family Guy/Seth MacFarlane
Kuva: Today’s Paper
Is Tomorrow’s Pile
Kun työnsä lopettelevilta mepeiltä kysyttiin EU:n suurimmista saavutuksista, aika moni nosti esille GDPR:n. […]
Rekisterinpitäjien osalta kokemukset varmasti vaihtelevat, mutta ilahduttavan usein kuulemme esimerkkejä siitä, miten yritykset ovat hyötyneet tietosuoja-asioiden kuntoon laittamisesta. Tietoarkkitehtuuri on tullut organisaatioiden johdolle tutummaksi, sillä GDPR pakotti kiinnittämään huomiota tietosuojaan. […]
Lumipallo on lähtenyt liikkeelle.
Tietosuojavaltuutettu Reijo Aarnio blogissaan 24.5.2019
20.11.2019
Soveltaminen alkoi 25.5.2018
Merkittävimmät vaikutukset:
1. Yksilöiden oikeudet laajentuivat
2. Yritysten velvollisuudet lisääntyivät
3. Viranomaisvalvonnan mahdollisuudet
tehostuivat
4. Suora sovellettavuus loi perustan
harmonisaatiolle
EU:n tietosuoja-asetus
(”GDPR”) tiivistettynä
20.11.2019
Osoitusvelvollisuus
ohjaajana
Tietosuoja-asetus velvoittaa organisaatiot todistamaan, että ne ovat noudattaneet lainsäädäntöä (”osoitusvelvollisuus”) Organisaatiolla on todistustaakka
toimistaan
Työnantaja on ”syyllinen kunnes toisin todistetaan”
Loi laajan dokumentointivelvoitteen Suomalainen sääntely rajoittaa
mahdollisuuksia ”kaivaa esiin” aineistoa jälkikäteen
Informointi & YT-
velvoitteet
Käsittely- ja käyttö-
oikeudet
Ulkoistukset ja sopimukset
Politiikat ja
ohjeistukset
Sisäinen koulutus
Tietojen poisto-
käytännöt
Valvonta- ja sisäinen tutkinta
Konsernin-laajuiset IT-järjestelmät
Tietoturva-loukkaus-
ilmoitukset
20.11.2019
GDPR-projektien kokemuksia
Oppimiskokemus organisaatioissa
Uuden tietosuojafunktion synty
Prosessi, ei projekti
Projekteissa häntiä jäljellä?
Tarve jatkoprojekteille?
Johdon raportointi kunnossa?
Mahdollisuus saavuttaa 100 %
compliance?
20.11.2019
Periaatelähtöisyys ja sen tuomat haasteet
Sääntelyn käytännön soveltaminen on haastavaa
GDPR on yksityiskohtainen, mutta samalla abstrakti
Sääntelyn abstrakti luonne ja monimutkaiset termit jättävät paljon
tulkinnanvaraa
Tarve viranomaiskäytännölle
GDPR:n jättämät aukot ja kysymykset on ratkaistava kansallisella tasolla
Suomen valvontaviranomainen, tietosuojavaltuutettu, ei ole vielä ottanut
aktiivista roolia
Riittävät resurssit on välttämätön edellytys valvontaviranomaisten
toiminnalle
20.11.2019
Eurooppalainen konsensus
Tavoitteena harmonisointi EU:ssa
EU:n sisämarkkinoiden vapaa
liikkuvuus edellyttää harmonisointia
EDPB:n keskeinen rooli
EU-maiden valvontaviranomaisten
tehtävä yhteistyötä
Kansalliset valvontaviranomaiset
odottavat eurooppalaisen
konsensuksen muodostumista
Tulkintaepäselvyydet ja
ohjeistuksen puute vaarantavat
oikeusvarmuuden
20.11.2019
Kuva: Unathi Mothiba
Kuva: Lehtikuva, Vesa Moilanen
Kansallisen lainsäädännön uudistustyö
Oikeusministeriön TATTI-työryhmä
Mietintö ja luonnos hallituksen esitykseksi 21.6.2017
Loppumietintö 8.3.2018
Tietosuojalain hallituksen esitys (HE 9/2018) 1.3.2018
Perustuslakivaliokunnan lausunto (PeVL 14/2018) 9.5.2018
Laki voimaan 1.1.2019
Ministeriökohtainen erityislainsäädännön muutostyö edelleen käynnissä
Laki yksityisyyden suojasta työelämässä (759/2004) muutettuna voimaan 1.4.2019
20.11.2019
Tilannekatsaus valvontatoimiin Suomessa
Tietosuojavaltuutetun toimistoon vireille tulleiden asioiden määrä on
moninkertaistunut edellisiin vuosiin verrattuna
Tietosuojavaltuutettu on ollut toimivaltainen vasta tietosuojalain voimaantulon
myötä 1.1.2019, seuraamuskollegio aloittanut toimintansa vasta elokuussa 2019
20.11.2019
Suomessa ilmoitetut tietoturvaloukkaukset
Tietosuojavaltuutetun toimistoon vireille tulleiden asioiden määrä on
moninkertaistunut edellisiin vuosiin verrattuna
Tietoturvaloukkausilmoituksia on tullut 1.1.-13.9.2019 yli 2 541 kpl
(vrt. 25.5. – 31.12.2018 yhteensä 2 221 kpl)
Vuoden 2019 ennuste on 3 600 kpl
Viikoittain lähes 70 uutta ilmoitusta
Ylivoimaisesti yleisin ilmoitusajankohta perjantai…
20.11.2019
IAPP: GDPR ONE YEAR
ANNIVERSARY
Hundreds of thousands of
cases — and the DPOs to
handle them (2019)
TIETOSUOJA-ASETUS – MISSÄ OLEMME NYT?
Valvontakäytäntöä
EU:ssaUK: Useita merkittäviä sakkoratkaisuja, (1) British
Airwaysin tietoturvaloukkaus ja huonot
tietoturvakäytännöt, 204.600.000 € (2) Marriot
Internationalin asiakastietojen päätyminen julkiseksi,
järjestelmän puutteellinen turvallisuus, 110.000.000 €
Itävalta:
(1) Valvonta-
kameroiden
lainvastainen käyttö,
5.000 €; (2) DPO:n
nimitysvelvollisuuden
laiminlyöminen,
50.000 €
Ruotsi:
Kasvojentunnistus-
teknologian käyttö
koulussa,
19.000 €
Ranska: (1) Googlen palveluiden läpinäkyvyyden
puutteet, 50.000.000 €; (2) tietojen
poistovelvoitteen laiminlyöminen, 400.000 €
Portugali: Sairaalahenkilöstön perusteeton
pääsyoikeus potilastietoihin, 400.000 €
Italia: Käsittelijän
tietoturvavelvoittei-
den laiminlyönti,
50.000 €
Saksa: (1) Asiakasdatan säilyttäminen ja
rekisteröidyn oikeuksien laiminlyönti, 195.000 €;
(2) pankin käytäntö säilyttää rahanpesusta
epäiltyjen entisten asiakkaiden tietoja
rekisterissä, 50.000 €
Kreikka: PwC:n
käsittelyperusteen
virheellinen
määrittäminen,
150.000 €
Johtopäätöksiä valvontatoimista
20.11.2019
Sattumanvaraisuus,
yhteismitallisuuden
puute
Keskeisimmät kohteet
1. Finanssisektori
2. Konsulttipalvelut
3. Julkinen sektori
Perusteena
useimmiten valitukset
Tyypillistä transparenssin puute
ja informoinnin laiminlyönnit
Käsittelyperusteen
puute tai heikkoudet
Toimenpiteiden
kohdistuminen käytännössä
myös käsittelijöihin
Lessons learned
Älä lykkää tai laiminlyö tunnettujen tietoturvapuutteiden
korjaamista – ainakaan, jos mahdollisia riskiä vähentäviä
toimenpidemahdollisuuksia on käytettävissä
Vastuuta tehtävät sisäisesti
Raportoi tietoturvaloukkaukset ja huolehdi, että
toimenpiteet dokumentoidaan
Rajoita sisäistä pääsyä järjestelmiin
Huolehdi, että käsittelyperusteet määritelty
20.11.2019
Saatiinko GDPR:stä boostia
tietoturvalle?
Asetuksen velvoitteet kannustavat kyberturvallisuuden
rakentamiseen
Art. 32 yleinen tietoturvavelvoite + esimerkkilista tietoturvan
toteuttamisessa tarpeellisista toimista
Datavarantojen hahmottaminen ja henkilötietojen pseudonymisointi
Tietoturvatoimenpiteiden säännöllinen testaaminen
Auditoinnit
Vaatimus sisäänrakennetusta tietosuojasta (privacy by design)
Tietosuojaa koskevat vaikutustenarvioinnit (DPIAs)
Velvollisuus nimittää, asetetuin kriteerein, tietosuojavastaava
20.11.2019
A data breach isn’t
always a disaster.
Mishandling it is.”
Beazley Group, 2014
Rekisteröidyn oikeudet (1/2)
20.11.2019
•”Oletteko luovuttaneet tietojani jollekin kolmannelle? Kenelle?”oikeus informointiin
•”Haluan kopion kaikista tiedoista, joita käsittelette minusta.”oikeus saada pääsy tietoihin (”tarkastusoikeus”)
•”Onko sukunimeni muutettu jo tietokantoihinne?”oikeus tietojen oikaisemiseen
•”Haluan tulla unohdetuksi, joten poistakaa kaikki tietoni.”oikeus tietojen poistamiseen
•”Olen peruuttanut suostumukseni, lopettakaa tietojeni käsittely.”oikeus peruuttaa suostumus
•”Haluan rajoittaa henkilötietojeni käsittelyä.”oikeus käsittelyn rajoittamiseen
•”Lopettakaa tietojeni käsittely.”oikeus vastustaa henkilötietojen käsittelyä
•”Haluan siirtää kaikki tietoni kilpailijallenne.”oikeus siirtää tiedot järjestelmästä toiseen
•”Teette automaattisia päätöksiä, joten kertokaa minulle päätöksenteon logiikasta.”automaattinen päätöksenteko (informointivelvollisuus ja kielto-oikeus)
•”Kuulin, että jouduitte tietomurron kohteeksi. Mitä tiedoilleni on tapahtunut?”tiedottamisvelvollisuus tietoturvaloukkauksista
Rekisteröidyn oikeudet (2/2)
Rekisterinpitäjän on rekisteröidyn oikeuksista informoimisen lisäksi mahdollistettava näiden oikeuksien toteuttaminen
Henkilötietojen käsittelytoimet tulee järjestää siten, että rekisteröityjen oikeuksien käyttämistä koskeviin pyyntöihin voidaan reagoida tehokkaasti
Rekisteröidyn oikeudet olisi suositeltavaa huomioida myös henkilörekisterien ja käsittelyjärjestelmien teknisessä suunnittelussa
Kaikki oikeudet eivät ole absoluuttisia Rekisteröidyn tunnistaminen
Pidä huoli henkilötietojen
ajantasaisuudesta, minimoinnista
sekä asianmukaisesta säilytyksestä
20.11.2019
TIETOSUOJA-ASETUS – TULEVAISUUDEN
NÄKYMÄT
RELEVANTTI REGULAATIO EI OLE
PÄÄTTYNYT GDPR:ÄÄN
Tietosuojakulttuurin rakentaminen =
organisaation kyvykkyyksien rakentaminen
20.11.2019
Structure & Training
People
Work Processes &
Tools
Auditing & Monitoring
Leadership
Culture
Build towards a
structured Privacy
Program, setting
expectations and
baseline including
training.
Ensure the right people
are engaged with
privacy. Align
incentives and
measures to desired
goals and strategy.
Engage Leadership
with Vision, Strategy
and Goals and drive
”Tone at the Top”.
Develop KPIs and
regular (self-)
assessments to review
trends, risks and
design next steps.
Design procedures,
guidance and build or
buy tools that will
enable work
processes.
Yhteystiedot
Anni-Maria Taka
20.11.2019
AssociatePuh. (09) 6817 0147
050 346 2215Sähköposti: [email protected]
Twitter: @AnniMariaTaka
Tel: +358 9 681 700
Email: [email protected]
www.dittmar.fi
Pohjoisesplanadi 25 A
FI–00100 Helsinki
Finland