eu:n tietosuoja-asetus

1

EU:N TIETOSUOJA-ASETUS Finvan koulutuspäivä12.2.2016

2

09:00 – 10:15 Uudistuksen tarkoitusMiksi uudistus on tehty?Rekisteröityjen oikeuksien vahvistaminen

10:15 – 10:30 Tauko

10:30 – 11:30 Tietosuoja-asetuksen mukaiset keskeiset velvoitteet

11:20 – 11:30 Yhteenveto vaikutuksista

AGENDA

3

TIETOSUOJA-ASETUKSEN PITKÄ MATKA

2012

Komission Ehdotus

KOM (2012) 11

2014

Parlamentti

2015

Neuvosto

Kompromissi

15.12.2015

2016

Asetus Voimaan

Q2 2016

2018

Sovelletaan

Q1-Q2 2018

4

Euroopan parlamentti ja neuvosto hyväksyivät tietosuoja-asetuksen joulukuussa 2015

asetuksen teksti (15039/15)Muodollinen prosessi kesken, mutta sisältö ei enää muutuEP täysistunto hyväksyy asetuksen 03-04/2016.Tämän jälkeen julkaisu EUVL:ssa, voimaantulo 20 päivän päästä julkaisemisestaSiirtymäaika kaksi vuotta eli asetusta sovellettava keväällä 2018Siirtymäaikana kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön

TIETOSUOJA-ASETUS HYVÄKSYTTY

http://static.ow.ly/docs/Regulation_consolidated_text_EN_47uW.pdf

5

HarmonisaatioKansallisten erojen poistaminenAsetus sallii kuitenkin kansallista liikkumavaraa, esim. julkisen sektorin ja työelämän sääntelyn osaltaDigitaaliset sisämarkkinat #DigitalSingleMarket

Yksilöiden Oikeuksien LaajentaminenYksilöille tehokkaampi kontrolli omiin tietoihinsa

Valvonnan Tehostaminen Valvonnan tehostaminen ja viranomaisten keinovalikoiman vahvistaminen

Kansainvälinen Liiketoiminta Kansainvälisen liiketoiminnan edellytysten parantaminen

MIKSI UUDISTUS TEHDÄÄN?

https://twitter.com/search?q=#DigitalSingleMarket

6

MIKÄ MUUTTUU?

Lainsäädäntö yksityiskohtaisemmaksi• 91 artiklaa, 209 sivua• Lisäksi paljon tarkennuksia johdantolausekkeissa (resitaalit)

Henkilötietojen käsittelyn edellytykset tiukkenee• Rekisteröityjen oikeudet vahvistuvat

Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja kustannukset lisääntyy• Suunnittelu-, dokumentointi- ja arviointivelvoitteet• Riskit kasvavat

Seuraamusjärjestelmä ankaroituu

7

Tietosuojasääntelyn radikalisoituminenDigitalisaation vahva painotusOletettua ankarammat sanktiot

One-stop-shop-mekanismin osittainen vesittyminenHarmonisaation toteutuminen

ARVIO LOPPUTULOKSESTA

8

• yleiset säännökset ml. soveltamisala ja määritelmät (I luku)• henkilötietojen käsittelyn periaatteet ja laillisen käsittelyn perusteet (II luku)• rekisteröidyn oikeudet (III luku)• rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet (IV luku)• henkilötietojen siirto kolmansiin maihin (V luku)• valvontaviranomaiset ja viranomaisten yhteistyö (luvut VI ja VII)• oikeussuojakeinot, vastuu ja seuraamukset (VIII luku)• tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännöt (IX luku)• delegoidut säädökset ja täytäntöönpanosäädökset (X luku)• loppusäännökset (XI luku)

EHDOTUKSEN SISÄLTÖ OTSIKKOTASOLLA

9

HenkilötietoHenkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, rekisteröityyn, liittyviä tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

ProfilointiProfiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa noita tietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti kun analysoidaan tai ennakoidaan näkökohtia, jotka liittyvät työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen tai käyttäytymiseen sekä sijaintiin tai liikkeisiin.

KESKEISIÄ MÄÄRITELMIÄ(4 ARTIKLA)

10

PseudonymisointiHenkilötietojen käsittelyä siten, että tietoa ei voida yhdistää tiettyyn rekisteröityyn

Rekisteröidyn suostumusMikä tahansa vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu

Henkilötietojen tietoturvaloukkausTietoturvaloukkaus, jonka seurauksena on vahingossa tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai saanti

Terveyttä koskeva tietoHenkilötietoja, jotka ovat yhteydessä yksilön fyysiseen tai psyykkiseen terveyteen, sisältäen terveydenhoitopalvelut, joista selviää tietoja henkilön terveydentilasta (huom. Res. 26)

YritysryhmäKontrolloiva yritys ja sen kontrolloimat yritykset (eli konsernirakenne)

LISÄÄ MÄÄRITELMIÄ

11

Yritysryhmän määritelmä kapea, mutta johdantolausekkeissa tiettyjä täsmennyksiä

Res. 28: A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exercise a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. A central undertaking which controls the processing of personal data in undertakings affiliated to it forms together with these undertakings an entity which may be treated as “group of undertakings”.

YRITYSRYHMÄSTÄ

12

Henkilötietojen käsittelyssä noudatettava seuraavia periaatteita:tietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi tiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavallatietojen on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava siihen, mikä on tarpeen suhteessa niihin tarkoituksiin, joita varten niitä käsitellääntietojen on oltava täsmällisiä ja, milloin tarpeen, päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättätiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista vartentietoja on käsiteltävä siten, että taataan asianmukainen henkilötietojen turvallisuustaso, mukaan lukien suoja laitonta tai luvatonta käsittelyä tai vahingossa tapahtuvaa häviämistä, tuhoamista tai vahingoittumista vastaan

PERIAATTEET (1/2) (5 ARTIKLA)

13

Rekisterinpitäjä vastaa em. periaatteiden noudattamisesta ja rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja käsitellään em. periaatteiden mukaisesti (sanktioitu)Huom: resitaali 30

Käsittelyn pitää olla läpinäkyvää.Läpinäkyvyyden periaate vaatii, että käsittelyä koskevan informaation on oltava helposti saatavilla ja helposti ymmärrettävää. Kansantajuinen kieli, sanottava suoraan, ei juridista jargonia!

• Henkilöiden tulisi olla tietoisia henkilötietojen käsittelyn riskeistä, säännöistä, turvatoimista ja oikeuksista ja siitä miten oikeuksia voidaan käyttää.

• Informoitava silloin kun henkilötietoja kerätään.• Kerättävän henkilötiedon tulisi olla tarkasti rajoitettua tarkoituksen mukaan.

Tiedon säilytysaika pitää rajata minimiin (pitää perustaa aikarajat).

PERIAATTEET (2/2) (5 ARTIKLA)

14

Henkilötietojen käsittely lainmukaista vain, jos vähintään yksi seuraavista edellytyksistä täyttyy:a) rekisteröidyn suostumus yhtä tai useampaa tarkoitusta vartenb) sopimuksen täytäntöönpano tai sopimusta edeltävien

toimenpiteiden toteuttaminen rekisteröidyn pyynnöstäc) lakisääteisen velvoitteen noudattaminend) rekisteröidyn tai muun henkilön elintärkeän edun suojaaminene) yleistä etua koskevan tehtävän suorittaminen tai

rekisterinpitäjälle kuuluvan julkisen vallan käyttäminenf) Rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun

(legitimate interest) toteuttaminen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja –vapaudet, erityisesti jos rekisteröity on lapsi

KÄSITTELYN LAINMUKAISUUS (6 ARTIKLA)

15

6 (f) artikla: oikeutettu etu käsittelyn perusteenaKäsittelyn oltava tarpeellista rekisterinpitäjän oikeutetun edun kannalta

Mikä voi olla oikeutettua etua?Resitaaleissa täsmennyksiä:

38: oikeutettu etu voi syntyä, jos rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen suhde, kuten asiakkuustietojenkäsittely petostentorjuntaa varten muodostaa oikeutetun edun, myös henkilötietojen käsittelyä suoramarkkinointitarkoituksiin voidaan katsoa tehtävän oikeutetun edun perusteella38a: tarkoituksena sisältää ns. konsernikäyttöperuste, mutta rajattu sisäisiin hallinnollisiin tarkoituksiin (onko tietojen käyttö riskienhallintaa varten yhteenliittymässä mahdollista?)

LEGITIIMI INTRESSI / OIKEUTETTU ETU

16

6(2a) artiklaJäsenvaltiot voivat säilyttää tai säätää erityislakeja

Henkilötietojen käsittelytilanteita varten, jotka perustuvat artiklan 6(1) c ja e-kohtiinMyös muista erityisistä IX luvussa säädetyistä tilanteista

6(3) artiklaPerusta 6(1) c- ja e-kohtiin täytyy olla EU:n tai kansallisessa lainsäädännössä ”The Union law or the Member State law must meet an objective of public interest and be proportionate to the legitimate aim pursued”.

KANSALLISTA LIIKKUMAVARAA

17

Vaatimukset alkuperäisen käyttötarkoituksen kanssa yhteensopivalle jatkokäsittelylle (jos ei perustu rekisteröidyn suostumukselle tai lakiin) Rekisterinpitäjän tulee ottaa huomioon arvioinnissa mm. a. Mikä tahansa yhteys alkuperäisen käyttötarkoituksen ja jatkokäsittelyn kanssab. Konteksti, jossa tietoa kerättyc. Henkilötietojen luonne (erityisesti jos arkaluonteisia tietoja)d. Mahdolliset jatkokäsittelyn seuraukset rekisteröidyillee. Tietojen käsittely turvallisesti (turvatoimenpiteet voi olla enkryptointi ja

pseudonymisointi)

HENKILÖTIETOJEN JATKOKÄSITTELY (6 (3A) ARTIKLA)

18

Rekisterinpitäjän pitää pystyä osoittamaan rekisteröidyn yksiselitteinen suostumusJos suostumus annettava asiakirjassa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erilläänRekisteröidyllä oikeus peruuttaa suostumus milloin tahansa. Peruutus ei vaikuta henkilötietojen käsittelyyn, joka perustuu ennen peruutusta annettuun suostumukseen Resitaaleissa (25, 32, 34) täsmennyksiä

Suostumuksen antamistapoja (esim. ticking a box)Todistustaakka suostumuksesta, sekä jos etukäteen muotoiltu rekisterinpitäjän puolesta, käytetyn kielen oltava selkeää ja yksinkertaistaJos selkeä epätasapaino, suostumus ei voi olla käsittelyn perusteena

Lapsen suostumukseen 16 vuoden ikäraja

SUOSTUMUS (7 ARTIKLA)

19

Pääsääntö: Arkaluonteisten henkilötietojen käsittely kiellettyPoikkeukset käsittelykieltoon, mm.

Rekisteröidyn nimenomainen suostumus yhtä tai useampaa tarkoitusta vartenkäsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alallaKäsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaanKäsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksiKäsittely on tarpeen tilastointitarkoituksia varten ottaen huomioon artiklan 83(1) ja perustuen lakiin

Huom: ”Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or health data.”

ARKALUONTEISTEN TIETOJEN KÄSITTELY(9 ARTIKLA)

20

Rekisteröidylle toimitettavat tiedot (12 artikla)Läpinäkyvästi, helposti ymmärrettävässä muodossa

Kirjallisesti ja jos mahdollista, niin sähköisessä muodossaErityshuomio informointiin, kun kohteena on lapsiVastattava tietopyyntöön viipymättä tai viimeistään kuukauden kuluessa tietopyynnön esittämisestä (mahd. 2 kk jatkoaikaan)

Kun pyyntö tehdään sähköisesti, vastaus sähköisestiPääsääntö: maksutta

Informaatio voidaan antaa standardoitujen koneluettavien ikonien yhteydessä

REKISTERÖITYJEN INFORMOIMINEN

Osittain uusia velvollisuuksia rekisterinpitäjälle, helpotettava rekisteröidyn oikeuksien toteuttamista

21

Informointivelvollisuus, kun tiedot kerätty rekisteröidyltä (14 artikla)

REKISTERÖIDYLLE TOIMITETTAVAT TIEDOT

3. Lisäksi, jos tarpeellista asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi mm:• Säilytysaika tai kriteerit sen

määrittämiseksi• Rekisteröidyn oikeus pyytää häntä itseään

koskevia henkilötietoja. Oikeus pyytää oikaisemista tai poistamista tai vastustaa käsittelyä, oikeudesta siirtää tiedot järjestelmästä toiseen

• Onko henkilötietojen antaminen pakollinen tai sopimukseen perustuva vaatimus, onko tiedot pakko toimittaa

• Automaattisen päätöksenteon, mm. profiloinnin olemassaolo sekä siihen liittyvää logiikkaa koskevat tiedot samoin kuin kyseisen käsittelyn merkittävyys tai mahdolliset seuraukset rekisteröidylle

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperusta

1. Rekisterinpitäjän ja tämän mahdollisen edustajan henkilöllisyys ja yhteystiedot (myös mahdollisen tietosuojavastaavan yhteystiedot)

22

Täsmälliset kriteerit tilanteisiin, joissa yksilö haluaa tietojensa käsittelyn loppuvan

Tavoitteena itsemääräämisoikeuden ja yksityisyyden suojan toteutuminen erityisesti online-ympäristössä

Pääsääntönä henkilötietojen poistaminen viipymättä, kun ei enää perustetta käsittelylle, kuten

Henkilötiedot eivät enää ole tarpeellisia (voidaan säilyttää 10-20 vuotta, mutta pystyttävä perustelemaan!)Rekisteröity peruuttaa suostumuksensaRekisteröity vastustaa käsittelyä eikä ”ylimenevää” oikeusperustetta käsittelylle ole

Ei sovelleta tilanteisiin, joissa henkilötietojen säilyttämiselle laillinen peruste, kuten

Julkista valtaa käytettäessähenkilötietoja tarvitaan mm. tilastointia vartenOikeusvaateen esittämiseksi tai siihen varautumiseksi

OIKEUS TULLA UNOHDETUKSI JA POISTAA TIEDOT (17 ARTIKLA)

23

Uusi oikeus omien tietojen tarkastusoikeuden rinnalle (15 artikla)Tavoitteena mahdollistaa tietojen siirtäminen palveluntarjoajien välillä

Tietojen jälleenkäyttöarvo kasvaaKilpailuedellytysten ja markkinoille pääsyn parantaminen

Rekisteröidyllä oikeus saada tiedot jäsennetyssä ja yleisesti käytetyssä sähköisessä muodossaKoskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään

Kohdistuu vain rekisteröidyn itsensä antamaan tietoon Rekisteröidyllä oikeus vaatia, että tiedot siirretään suoraan yritysten välillä

Jos teknisesti mahdollista , ei edellytetä esim. yhteensopivia järjestelmiä tai tiettyä muotoa

OIKEUS SIIRTÄÄ TIEDOT JÄRJESTELMÄSTÄ TOISEEN (18 ARTIKLA)

24

Yksityiskohtainen listaus tilanteista, joissa yksilöllä on oikeus kieltää tietojensa käsittely

Kiellosta ei välttämättä seuraa velvollisuutta poistaa tietojaOikeus vastustaa suoramarkkinointia, mukaan lukien profilointiKielto-oikeuden olemassaolosta velvollisuus informoida ensimmäisen yhteydenoton yhteydessä selvästi ja erillään muusta informaatiosta (vrt. laajat informointivelvoitteet 14, 14 a artiklat)

OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ (19 ARTIKLA)

Kaikki uudet oikeudet laajentavat rekisterinpitäjän velvollisuuksia.

Käytännössä kaikki nykyiset rekisteriselosteet sekä tietosuojaselosteet on tarkastettava ja täydennettävä.

25

Rekisteröidyllä oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyynSisältää profiloinnin, jolla häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi

esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista

Profilointi on sallittua mm. silloin, kun se on a. tarpeen sopimuksen toimeenpanemiseksi taib. jos se on nimenomaisesti sallittu EU- tai kansallisessa

lainsäädännössä tai c. perustuu rekisteröidyn eksplisiittiseen suostumukseen

AUTOMAATTINEN TIETOJENKÄSITTELY JA PROFILOINTI (20 ARTIKLA)

26

PROFILOINTI JATKUU

Kohtiin a ja c liittyen rekisterinpitäjän tulee toteuttaa tarvittavat toimet, joilla turvataan rekisteröidyn oikeudet

Ainakin oltava mahdollisuus manuaalikäsittelyyn, jotta rekisteröity voi ilmaista näkemyksensä Ei pakkoa tarjota joka sopimukseen

Profilointia täsmennetään johdantolausekkeissa: Sallittua mm. petosten- ja veronkierrontorjuntaa ja monitorointia varten

27

MIKÄ ON PROFILOINTIA?

Profilointi = henkilötieto+automaattinen käsittely+ (arviointi/analysointi/ennakointi)Kaikenlaiset toimenpiteet, joilla pyritään:

Käyttäjä-, asiakas- tai palvelussuhteen hoitamiseen tai kehittämiseen automaattisten arvioiden perustellaPalvelujen tai markkinoinnin kohdentamiseen tai toteuttamiseen automatisoidun analytiikan pohjaltaToiminnan ennakointi IT:n tukemana

28

Käsittely, joka ei liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöönManuaalinen käsittelyIT:n tukema käsittely, jossa ei pyritä arvioimaan, analysoimaan tai ennakoimaan henkilöiden toimintaa Profiloinnin perusteella tapahtuva toiminta (esim. markkinointi

MIKÄ EI OLE PROFILOINTIA?

29


10:15 – 10:30 Tauko

10:30 – 11:30 Tietosuoja-asetuksen mukaiset velvoitteet


AGENDA

30


10:15 – 10:30 Tauko



AGENDA

31

Henkilötietoja käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuusRekisterinpitäjän vastuu (22 artikla)

Ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset sekä yksilöiden oikeuksille ja vapauksille aiheutuva riskin todennäköisyys ja ankaruus, toteutettava asianmukaiset menettelytavat ja kyettävä osoittamaan, että henkilötietojen käsittely on toteutettu asetuksen mukaisesti

REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET

Velvollisuus toteuttaa riskinarviointi Näyttötaakkasäännös (dokumentoinnin tärkeys!)

32

Compliance”vaatimustenmukaisuus”Lainsäädännön noudattamisen varmistaminen

Accountability”tilivelvollisuus”Lainsäädännön noudattamisen osoittaminen

FROM COMPLIANCE TO ACCOUNTABILITY

Do It Prove It

33

Sisäänrakennettu ja oletusarvoinen tietosuoja (23 artikla)Rekisterinpitäjän toteutettava käsittelytoimiin ja –tarkoituksiin nähden asianmukaiset tekniset ja organisatoriset toimenpiteet, siten että käsittely vastaa asetuksen vaatimuksia ja suojaa rekisteröityjen oikeudet

Otettava huomioon saatavilla oleva teknologia ja toteuttamiskustannukset

Käsittelyn tulee koskea oletusarvoisesti vain niitä henkilötietoja, jotka ovat tarpeellisia jokaisen tietyn käsittelytarkoituksen kannalta

REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET

Sisäänrakennettu tietosuoja on uusi velvollisuus

34

Privacy by design & by defaultKannustaa dokumentointiinKäännetty näyttötaakkaTietojen käyttö suunniteltava jo valmistusvaiheessa, ei jälkikäteen päälle liimattunaSystemaattisuusVaikutusarviointiToimintojen sertifiointi

KÄYTÄNNÖSSÄ…

35

Henkilötietojen käsittelyn turvallisuus (30 artikla)Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskeihin nähden asianmukainen turvallisuustasoArtiklaan lisätty esimerkinomainen lista toimenpiteistä, joilla voidaan vaikuttaa henkilötietojen käsittelyn turvallisuuteena. Henkilötietojen enkryptointi ja pseudonymisointib. Järjestelmien kyky taata turvallisuusc. Kyky palauttaa pääsy ja saatavuus tietoihin fyysisen tai teknisen tapahtuman

johdostad. Säännöllisen testauksen prosessi, jolla arvioidaan teknisten ja organisatoristen

toimenpiteiden tehokkuutta

TIETOTURVALLISUUS (30-32 ARTIKLAT)

36

Tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselleIlman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tietoturvaloukkauksen ilmitulostaJos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän toimitettava valvontaviranomaiselle perusteltu selvitys (reasoned justification)Käsittelijän ilmoitettava rekisterinpitäjälle heti kun tietoturvaloukkaus tullut ilmiIlmoituksessa on vähintään:a. Kuvattava tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen

ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärätb. Ilmoitettava tietosuojavastaavan tai muun yhteyspisteen yhteystiedotc. Kuvattava henkilötietojen tietoturvaloukkauksen seurauksiad. Kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut tai toteuttanut

tietoturvaloukkauksen johdosta, sisältäen mahdollisuuksien mukaan haittavaikutusten lieventämisen

Jos tietoja ei voida toimittaa yhdellä kertaa, voidaan toimittaa jaksoissa Rekisterinpitäjän dokumentoitava kaikki henkilötietojen loukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet

Valvontaviranomaisen on voitava tarkistaa näiden asiakirjojen pohjalta, että artiklaa 31 on noudatettu

TIETOTURVALOUKKAUKSESTA ILMOITTAMINEN VIRANOMAISELLE (31 ARTIKLA)

37

Tietoturvaloukkauksesta ilmoittaminen rekisteröidylle• Ilman aiheetonta viivytystä, kun todennäköisesti aiheuttaa korkean

riskin yksityisten oikeuksille ja vapauksille• Selvällä kielellä sisältäen ainakin art. 31 (3) b, c, ja d-kohtien tiedot• Tietoturvaloukkauksesta ei tarvitse ilmoittaa jos:

a. Rekisterinpitäjä toteuttanut asianmukaiset tekniset suojatoimenpiteet ja soveltanut niitä loukkauksen kohteena oleviin henkilötietoihin, kuten tietojen muuttaminen sellaiseen muotoon, että ne eivät ole ymmärrettävissä (encryption)

b. Rekisterinpitäjä tehnyt sellaiset toimet, että korkeaa riskiä ei enää olec. Ilmoittaminen olisi suhteetonta, jolloin pitää tehdä julkinen tiedote

• Valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia

TIETOTURVALOUKKAUKSESTA ILMOITTAMINEN REKISTERÖIDYLLE(32 ARTIKLA)

38

Tietosuojavastaavan nimittäminen (35 artikla)Rekisterinpitäjän ja henkilötietojen käsittelijän nimitettävä tietosuojavastaava silloin kuna. Tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon

elinb. Yrityksen liiketoiminnan keskeisenä osana on käsitellä

henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista monitorointia laajamittaisesti

c. Keskeisenä osana liiketoimintaa käsitellään laajoja määriä arkaluonteisia tai rikostuomioihin liittyviä tietoja

yritysryhmä voi nimittää yhden tietosuojavastaavanVarmistettava, että tietosuojavastaava on asianmukaisesti ja riittävän ajoissa mukana kaikessa henkilötietojen suojaa koskevassa käsittelyssä (36 artikla) Tietosuojavastaavan tehtävät määritetty 37 artiklassa

TIETOSUOJAVASTAAVA(35 ARTIKLA)

39

Useassa jäsenvaltiossa toimivalle rekisterinpitäjälle yksi toimivaltainen valvova tietosuojaviranomainen (ns. one-stop-shop, 51 artikla)Eurooppalaisten valvontaviranomaisten yhteistyöstä tarkempaa sääntelyäPerustetaan Euroopan tietosuojaneuvosto / European Data Protection Board (64 artikla)

Varmistaa asetuksen yhdenmukaisen soveltamisenAntaa komissiolle neuvojaAntaa asetuksen soveltamisesta suuntaviivoja, suosituksia ja parhaita käytänteitäRohkaisee tekemään käytännesääntöjä ja perustamaan tietosuojaa koskevia sertifiointimekanismeja

TIETOSUOJAVIRANOMAISET(51 JA 64 ARTIKLAT)

40

Viranomaisten varmistettava, että sanktiot ovat tehokkaita, oikeasuhtaisia ja varoittavia

Hallinnollinen sanktio tulee määrätä, ottaen huomioon jokaisen yksittäisen tapauksen olosuhteet, joko 53 artiklassa säädettyjen valvontatoimien lisäksi tai tilalleSanktion määräämisessä otettava lisäksi huomioon mm. rikkomuksen luonne ja kesto, tuottamuksen aste tai tahallisuus sekä rekisterinpitäjän tai henkilötietojen käsittelijän tekemät toimet rekisteröidyille aiheutuneiden vahinkojen vähentämiseksi

HALLINNOLLISET SANKTIOT (79, 79A JA 79B ARTIKLAT)

41

Sanktioitavat teot jaettu kahteen luokkaanEnintään 10 000 000 euroa tai 2% yrityksen maailmanlaajuisesta vuosittaisesta liikevaihdosta mm. seuraavien säännösten rikkomisesta:

a) rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37 39 ja 39a artiklat

• Enintään 20 000 000 euroa tai 4% yrityksen maailmanlaajuisesta vuosittaisesta liikevaihdosta mm. seuraavien säännösten rikkomisesta:

a) 5, 6 ja 9 artiklatb) Rekisteröidyn oikeudet 12-20 artiklatc) Henkilötietojen siirto kolmansiin maihin artiklojen

40-44 mukaisesti

HALLINNOLLISET SANKTIOT

42


10:15 – 10:30 Tauko



AGENDA

43

Yrityksen koko henkilöstön projektiYrityksen sisäinen valmistautuminen

Viestintä asiakkailleMediajargon aiheuttaa kyselyitä, oltava suunnitelma viestintästrategiaksi

KONKRETIAA…

Profiling

Data Portability

Right to be Forgotten

44

Valmistautuminen muutoksiin1. Aloitettava heti, 2 vuotta on lyhyt aika esim. tietojärjestelmämuutoksille

• Nykykäytännöt arvioitava uudelleen• Tietosuojan rakentaminen osaksi palveluita ja prosesseja

2. Dokumentaation lisääminen• Olemassa olevan aineiston päivittäminen• Tietosuojatoimenpiteiden kirjaaminen (koulutus, sopimukset, kirjeenvaihto)

3. Suunnittelu• Oman toiminnan perusteleminen mm. oikeutetun edun kautta

4. Tietosuojavastaavan nimittäminen5. Tietosuojaloukkauksista ilmoittaminen – varautuminen

LISÄÄ KONKRETIAA

45

Kustannusten ja taakan hallinnoimiseksi suositeltavia toimenpiteitä:1. Tarpeettomien henkilötietojen poistaminen (datan minimointi-periaate)2. Hallussa olevien tietojen anonymisointi3. Suoran kontrollin antaminen asiakkaalle hänen omiin tietoihinsa

• Mitään tietoa ei tarvitse säilyttää vain asetuksen asettamien velvoitteiden noudattamista varten (10 artikla)

VARAUTUMINEN MUUTOKSIIN

46

Vaikutukset finanssialan yrityksille:• Hallinnollinen taakka lisääntyy• Välillisiä kustannuksia velvoitteiden mukaisesta toiminnasta ja

sanktioista• Riskienhallintakäytännöt muuttuvat

Täsmentymättömät toimintavelvoitteet johtavat siihen, että edessä on pitkä epävarmuuden aika asetuksen hyväksymisen jälkeen

• Resitaaleilla säätäminen lisää tulkintakysymyksiä• Ohjeistuksen syntymiseen menee aikaa

JA VIELÄ LOPUKSI

47

Outi AaltoLakimiesFinanssialan [email protected] 793 4238

Kiitos!

mailto:[email protected]

eu:n tietosuoja-asetus

Law