eu:n tietosuoja-asetus
Upload: finanssialan-keskusliitto-federation-of-finnish-financial-services
Post on 08-Jan-2017
1.165 views
TRANSCRIPT
1
EU:N TIETOSUOJA-ASETUS Finvan koulutuspäivä12.2.2016
2
09:00 – 10:15 Uudistuksen tarkoitusMiksi uudistus on tehty?Rekisteröityjen oikeuksien vahvistaminen
10:15 – 10:30 Tauko
10:30 – 11:30 Tietosuoja-asetuksen mukaiset keskeiset velvoitteet
11:20 – 11:30 Yhteenveto vaikutuksista
AGENDA
3
TIETOSUOJA-ASETUKSEN PITKÄ MATKA
2012
Komission Ehdotus
KOM (2012) 11
2014
Parlamentti
2015
Neuvosto
Kompromissi
15.12.2015
2016
Asetus Voimaan
Q2 2016
2018
Sovelletaan
Q1-Q2 2018
4
Euroopan parlamentti ja neuvosto hyväksyivät tietosuoja-asetuksen joulukuussa 2015
asetuksen teksti (15039/15)Muodollinen prosessi kesken, mutta sisältö ei enää muutuEP täysistunto hyväksyy asetuksen 03-04/2016.Tämän jälkeen julkaisu EUVL:ssa, voimaantulo 20 päivän päästä julkaisemisestaSiirtymäaika kaksi vuotta eli asetusta sovellettava keväällä 2018Siirtymäaikana kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön
TIETOSUOJA-ASETUS HYVÄKSYTTY
5
HarmonisaatioKansallisten erojen poistaminenAsetus sallii kuitenkin kansallista liikkumavaraa, esim. julkisen sektorin ja työelämän sääntelyn osaltaDigitaaliset sisämarkkinat #DigitalSingleMarket
Yksilöiden Oikeuksien LaajentaminenYksilöille tehokkaampi kontrolli omiin tietoihinsa
Valvonnan Tehostaminen Valvonnan tehostaminen ja viranomaisten keinovalikoiman vahvistaminen
Kansainvälinen Liiketoiminta Kansainvälisen liiketoiminnan edellytysten parantaminen
MIKSI UUDISTUS TEHDÄÄN?
6
MIKÄ MUUTTUU?
Lainsäädäntö yksityiskohtaisemmaksi• 91 artiklaa, 209 sivua• Lisäksi paljon tarkennuksia johdantolausekkeissa (resitaalit)
Henkilötietojen käsittelyn edellytykset tiukkenee• Rekisteröityjen oikeudet vahvistuvat
Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja kustannukset lisääntyy• Suunnittelu-, dokumentointi- ja arviointivelvoitteet• Riskit kasvavat
Seuraamusjärjestelmä ankaroituu
7
Tietosuojasääntelyn radikalisoituminenDigitalisaation vahva painotusOletettua ankarammat sanktiot
One-stop-shop-mekanismin osittainen vesittyminenHarmonisaation toteutuminen
ARVIO LOPPUTULOKSESTA
8
• yleiset säännökset ml. soveltamisala ja määritelmät (I luku)• henkilötietojen käsittelyn periaatteet ja laillisen käsittelyn perusteet (II luku)• rekisteröidyn oikeudet (III luku)• rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet (IV luku)• henkilötietojen siirto kolmansiin maihin (V luku)• valvontaviranomaiset ja viranomaisten yhteistyö (luvut VI ja VII)• oikeussuojakeinot, vastuu ja seuraamukset (VIII luku)• tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännöt (IX luku)• delegoidut säädökset ja täytäntöönpanosäädökset (X luku)• loppusäännökset (XI luku)
EHDOTUKSEN SISÄLTÖ OTSIKKOTASOLLA
9
HenkilötietoHenkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, rekisteröityyn, liittyviä tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
ProfilointiProfiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa noita tietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti kun analysoidaan tai ennakoidaan näkökohtia, jotka liittyvät työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen tai käyttäytymiseen sekä sijaintiin tai liikkeisiin.
KESKEISIÄ MÄÄRITELMIÄ(4 ARTIKLA)
10
PseudonymisointiHenkilötietojen käsittelyä siten, että tietoa ei voida yhdistää tiettyyn rekisteröityyn
Rekisteröidyn suostumusMikä tahansa vapaaehtoinen, yksilöity ja tietoinen tahdonilmaisu
Henkilötietojen tietoturvaloukkausTietoturvaloukkaus, jonka seurauksena on vahingossa tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai saanti
Terveyttä koskeva tietoHenkilötietoja, jotka ovat yhteydessä yksilön fyysiseen tai psyykkiseen terveyteen, sisältäen terveydenhoitopalvelut, joista selviää tietoja henkilön terveydentilasta (huom. Res. 26)
YritysryhmäKontrolloiva yritys ja sen kontrolloimat yritykset (eli konsernirakenne)
LISÄÄ MÄÄRITELMIÄ
11
Yritysryhmän määritelmä kapea, mutta johdantolausekkeissa tiettyjä täsmennyksiä
Res. 28: A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exercise a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. A central undertaking which controls the processing of personal data in undertakings affiliated to it forms together with these undertakings an entity which may be treated as “group of undertakings”.
YRITYSRYHMÄSTÄ
12
Henkilötietojen käsittelyssä noudatettava seuraavia periaatteita:tietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi tiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavallatietojen on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava siihen, mikä on tarpeen suhteessa niihin tarkoituksiin, joita varten niitä käsitellääntietojen on oltava täsmällisiä ja, milloin tarpeen, päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättätiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista vartentietoja on käsiteltävä siten, että taataan asianmukainen henkilötietojen turvallisuustaso, mukaan lukien suoja laitonta tai luvatonta käsittelyä tai vahingossa tapahtuvaa häviämistä, tuhoamista tai vahingoittumista vastaan
PERIAATTEET (1/2) (5 ARTIKLA)
13
Rekisterinpitäjä vastaa em. periaatteiden noudattamisesta ja rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja käsitellään em. periaatteiden mukaisesti (sanktioitu)Huom: resitaali 30
Käsittelyn pitää olla läpinäkyvää.Läpinäkyvyyden periaate vaatii, että käsittelyä koskevan informaation on oltava helposti saatavilla ja helposti ymmärrettävää. Kansantajuinen kieli, sanottava suoraan, ei juridista jargonia!
• Henkilöiden tulisi olla tietoisia henkilötietojen käsittelyn riskeistä, säännöistä, turvatoimista ja oikeuksista ja siitä miten oikeuksia voidaan käyttää.
• Informoitava silloin kun henkilötietoja kerätään.• Kerättävän henkilötiedon tulisi olla tarkasti rajoitettua tarkoituksen mukaan.
Tiedon säilytysaika pitää rajata minimiin (pitää perustaa aikarajat).
PERIAATTEET (2/2) (5 ARTIKLA)
14
Henkilötietojen käsittely lainmukaista vain, jos vähintään yksi seuraavista edellytyksistä täyttyy:a) rekisteröidyn suostumus yhtä tai useampaa tarkoitusta vartenb) sopimuksen täytäntöönpano tai sopimusta edeltävien
toimenpiteiden toteuttaminen rekisteröidyn pyynnöstäc) lakisääteisen velvoitteen noudattaminend) rekisteröidyn tai muun henkilön elintärkeän edun suojaaminene) yleistä etua koskevan tehtävän suorittaminen tai
rekisterinpitäjälle kuuluvan julkisen vallan käyttäminenf) Rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun
(legitimate interest) toteuttaminen, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja –vapaudet, erityisesti jos rekisteröity on lapsi
KÄSITTELYN LAINMUKAISUUS (6 ARTIKLA)
15
6 (f) artikla: oikeutettu etu käsittelyn perusteenaKäsittelyn oltava tarpeellista rekisterinpitäjän oikeutetun edun kannalta
Mikä voi olla oikeutettua etua?Resitaaleissa täsmennyksiä:
38: oikeutettu etu voi syntyä, jos rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen suhde, kuten asiakkuustietojenkäsittely petostentorjuntaa varten muodostaa oikeutetun edun, myös henkilötietojen käsittelyä suoramarkkinointitarkoituksiin voidaan katsoa tehtävän oikeutetun edun perusteella38a: tarkoituksena sisältää ns. konsernikäyttöperuste, mutta rajattu sisäisiin hallinnollisiin tarkoituksiin (onko tietojen käyttö riskienhallintaa varten yhteenliittymässä mahdollista?)
LEGITIIMI INTRESSI / OIKEUTETTU ETU
16
6(2a) artiklaJäsenvaltiot voivat säilyttää tai säätää erityislakeja
Henkilötietojen käsittelytilanteita varten, jotka perustuvat artiklan 6(1) c ja e-kohtiinMyös muista erityisistä IX luvussa säädetyistä tilanteista
6(3) artiklaPerusta 6(1) c- ja e-kohtiin täytyy olla EU:n tai kansallisessa lainsäädännössä ”The Union law or the Member State law must meet an objective of public interest and be proportionate to the legitimate aim pursued”.
KANSALLISTA LIIKKUMAVARAA
17
Vaatimukset alkuperäisen käyttötarkoituksen kanssa yhteensopivalle jatkokäsittelylle (jos ei perustu rekisteröidyn suostumukselle tai lakiin) Rekisterinpitäjän tulee ottaa huomioon arvioinnissa mm. a. Mikä tahansa yhteys alkuperäisen käyttötarkoituksen ja jatkokäsittelyn kanssab. Konteksti, jossa tietoa kerättyc. Henkilötietojen luonne (erityisesti jos arkaluonteisia tietoja)d. Mahdolliset jatkokäsittelyn seuraukset rekisteröidyillee. Tietojen käsittely turvallisesti (turvatoimenpiteet voi olla enkryptointi ja
pseudonymisointi)
HENKILÖTIETOJEN JATKOKÄSITTELY (6 (3A) ARTIKLA)
18
Rekisterinpitäjän pitää pystyä osoittamaan rekisteröidyn yksiselitteinen suostumusJos suostumus annettava asiakirjassa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erilläänRekisteröidyllä oikeus peruuttaa suostumus milloin tahansa. Peruutus ei vaikuta henkilötietojen käsittelyyn, joka perustuu ennen peruutusta annettuun suostumukseen Resitaaleissa (25, 32, 34) täsmennyksiä
Suostumuksen antamistapoja (esim. ticking a box)Todistustaakka suostumuksesta, sekä jos etukäteen muotoiltu rekisterinpitäjän puolesta, käytetyn kielen oltava selkeää ja yksinkertaistaJos selkeä epätasapaino, suostumus ei voi olla käsittelyn perusteena
Lapsen suostumukseen 16 vuoden ikäraja
SUOSTUMUS (7 ARTIKLA)
19
Pääsääntö: Arkaluonteisten henkilötietojen käsittely kiellettyPoikkeukset käsittelykieltoon, mm.
Rekisteröidyn nimenomainen suostumus yhtä tai useampaa tarkoitusta vartenkäsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alallaKäsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaanKäsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksiKäsittely on tarpeen tilastointitarkoituksia varten ottaen huomioon artiklan 83(1) ja perustuen lakiin
Huom: ”Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or health data.”
ARKALUONTEISTEN TIETOJEN KÄSITTELY(9 ARTIKLA)
20
Rekisteröidylle toimitettavat tiedot (12 artikla)Läpinäkyvästi, helposti ymmärrettävässä muodossa
Kirjallisesti ja jos mahdollista, niin sähköisessä muodossaErityshuomio informointiin, kun kohteena on lapsiVastattava tietopyyntöön viipymättä tai viimeistään kuukauden kuluessa tietopyynnön esittämisestä (mahd. 2 kk jatkoaikaan)
Kun pyyntö tehdään sähköisesti, vastaus sähköisestiPääsääntö: maksutta
Informaatio voidaan antaa standardoitujen koneluettavien ikonien yhteydessä
REKISTERÖITYJEN INFORMOIMINEN
Osittain uusia velvollisuuksia rekisterinpitäjälle, helpotettava rekisteröidyn oikeuksien toteuttamista
21
Informointivelvollisuus, kun tiedot kerätty rekisteröidyltä (14 artikla)
REKISTERÖIDYLLE TOIMITETTAVAT TIEDOT
3. Lisäksi, jos tarpeellista asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi mm:• Säilytysaika tai kriteerit sen
määrittämiseksi• Rekisteröidyn oikeus pyytää häntä itseään
koskevia henkilötietoja. Oikeus pyytää oikaisemista tai poistamista tai vastustaa käsittelyä, oikeudesta siirtää tiedot järjestelmästä toiseen
• Onko henkilötietojen antaminen pakollinen tai sopimukseen perustuva vaatimus, onko tiedot pakko toimittaa
• Automaattisen päätöksenteon, mm. profiloinnin olemassaolo sekä siihen liittyvää logiikkaa koskevat tiedot samoin kuin kyseisen käsittelyn merkittävyys tai mahdolliset seuraukset rekisteröidylle
2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperusta
1. Rekisterinpitäjän ja tämän mahdollisen edustajan henkilöllisyys ja yhteystiedot (myös mahdollisen tietosuojavastaavan yhteystiedot)
22
Täsmälliset kriteerit tilanteisiin, joissa yksilö haluaa tietojensa käsittelyn loppuvan
Tavoitteena itsemääräämisoikeuden ja yksityisyyden suojan toteutuminen erityisesti online-ympäristössä
Pääsääntönä henkilötietojen poistaminen viipymättä, kun ei enää perustetta käsittelylle, kuten
Henkilötiedot eivät enää ole tarpeellisia (voidaan säilyttää 10-20 vuotta, mutta pystyttävä perustelemaan!)Rekisteröity peruuttaa suostumuksensaRekisteröity vastustaa käsittelyä eikä ”ylimenevää” oikeusperustetta käsittelylle ole
Ei sovelleta tilanteisiin, joissa henkilötietojen säilyttämiselle laillinen peruste, kuten
Julkista valtaa käytettäessähenkilötietoja tarvitaan mm. tilastointia vartenOikeusvaateen esittämiseksi tai siihen varautumiseksi
OIKEUS TULLA UNOHDETUKSI JA POISTAA TIEDOT (17 ARTIKLA)
23
Uusi oikeus omien tietojen tarkastusoikeuden rinnalle (15 artikla)Tavoitteena mahdollistaa tietojen siirtäminen palveluntarjoajien välillä
Tietojen jälleenkäyttöarvo kasvaaKilpailuedellytysten ja markkinoille pääsyn parantaminen
Rekisteröidyllä oikeus saada tiedot jäsennetyssä ja yleisesti käytetyssä sähköisessä muodossaKoskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään
Kohdistuu vain rekisteröidyn itsensä antamaan tietoon Rekisteröidyllä oikeus vaatia, että tiedot siirretään suoraan yritysten välillä
Jos teknisesti mahdollista , ei edellytetä esim. yhteensopivia järjestelmiä tai tiettyä muotoa
OIKEUS SIIRTÄÄ TIEDOT JÄRJESTELMÄSTÄ TOISEEN (18 ARTIKLA)
24
Yksityiskohtainen listaus tilanteista, joissa yksilöllä on oikeus kieltää tietojensa käsittely
Kiellosta ei välttämättä seuraa velvollisuutta poistaa tietojaOikeus vastustaa suoramarkkinointia, mukaan lukien profilointiKielto-oikeuden olemassaolosta velvollisuus informoida ensimmäisen yhteydenoton yhteydessä selvästi ja erillään muusta informaatiosta (vrt. laajat informointivelvoitteet 14, 14 a artiklat)
OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ (19 ARTIKLA)
Kaikki uudet oikeudet laajentavat rekisterinpitäjän velvollisuuksia.
Käytännössä kaikki nykyiset rekisteriselosteet sekä tietosuojaselosteet on tarkastettava ja täydennettävä.
25
Rekisteröidyllä oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyynSisältää profiloinnin, jolla häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi
esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista
Profilointi on sallittua mm. silloin, kun se on a. tarpeen sopimuksen toimeenpanemiseksi taib. jos se on nimenomaisesti sallittu EU- tai kansallisessa
lainsäädännössä tai c. perustuu rekisteröidyn eksplisiittiseen suostumukseen
AUTOMAATTINEN TIETOJENKÄSITTELY JA PROFILOINTI (20 ARTIKLA)
26
PROFILOINTI JATKUU
Kohtiin a ja c liittyen rekisterinpitäjän tulee toteuttaa tarvittavat toimet, joilla turvataan rekisteröidyn oikeudet
Ainakin oltava mahdollisuus manuaalikäsittelyyn, jotta rekisteröity voi ilmaista näkemyksensä Ei pakkoa tarjota joka sopimukseen
Profilointia täsmennetään johdantolausekkeissa: Sallittua mm. petosten- ja veronkierrontorjuntaa ja monitorointia varten
27
MIKÄ ON PROFILOINTIA?
Profilointi = henkilötieto+automaattinen käsittely+ (arviointi/analysointi/ennakointi)Kaikenlaiset toimenpiteet, joilla pyritään:
Käyttäjä-, asiakas- tai palvelussuhteen hoitamiseen tai kehittämiseen automaattisten arvioiden perustellaPalvelujen tai markkinoinnin kohdentamiseen tai toteuttamiseen automatisoidun analytiikan pohjaltaToiminnan ennakointi IT:n tukemana
28
Käsittely, joka ei liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöönManuaalinen käsittelyIT:n tukema käsittely, jossa ei pyritä arvioimaan, analysoimaan tai ennakoimaan henkilöiden toimintaa Profiloinnin perusteella tapahtuva toiminta (esim. markkinointi
MIKÄ EI OLE PROFILOINTIA?
29
09:00 – 10:15 Uudistuksen tarkoitusMiksi uudistus on tehty?Rekisteröityjen oikeuksien vahvistaminen
10:15 – 10:30 Tauko
10:30 – 11:30 Tietosuoja-asetuksen mukaiset velvoitteet
11:20 – 11:30 Yhteenveto vaikutuksista
AGENDA
30
09:00 – 10:00 Uudistuksen tarkoitusMiksi uudistus on tehty?Rekisteröityjen oikeuksien vahvistaminen
10:15 – 10:30 Tauko
10:30 – 11:30 Tietosuoja-asetuksen mukaiset velvoitteet
11:20 – 11:30 Yhteenveto vaikutuksista
AGENDA
31
Henkilötietoja käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuusRekisterinpitäjän vastuu (22 artikla)
Ottaen huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitukset sekä yksilöiden oikeuksille ja vapauksille aiheutuva riskin todennäköisyys ja ankaruus, toteutettava asianmukaiset menettelytavat ja kyettävä osoittamaan, että henkilötietojen käsittely on toteutettu asetuksen mukaisesti
REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET
Velvollisuus toteuttaa riskinarviointi Näyttötaakkasäännös (dokumentoinnin tärkeys!)
32
Compliance”vaatimustenmukaisuus”Lainsäädännön noudattamisen varmistaminen
Accountability”tilivelvollisuus”Lainsäädännön noudattamisen osoittaminen
FROM COMPLIANCE TO ACCOUNTABILITY
Do It Prove It
33
Sisäänrakennettu ja oletusarvoinen tietosuoja (23 artikla)Rekisterinpitäjän toteutettava käsittelytoimiin ja –tarkoituksiin nähden asianmukaiset tekniset ja organisatoriset toimenpiteet, siten että käsittely vastaa asetuksen vaatimuksia ja suojaa rekisteröityjen oikeudet
Otettava huomioon saatavilla oleva teknologia ja toteuttamiskustannukset
Käsittelyn tulee koskea oletusarvoisesti vain niitä henkilötietoja, jotka ovat tarpeellisia jokaisen tietyn käsittelytarkoituksen kannalta
REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET
Sisäänrakennettu tietosuoja on uusi velvollisuus
34
Privacy by design & by defaultKannustaa dokumentointiinKäännetty näyttötaakkaTietojen käyttö suunniteltava jo valmistusvaiheessa, ei jälkikäteen päälle liimattunaSystemaattisuusVaikutusarviointiToimintojen sertifiointi
KÄYTÄNNÖSSÄ…
35
Henkilötietojen käsittelyn turvallisuus (30 artikla)Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskeihin nähden asianmukainen turvallisuustasoArtiklaan lisätty esimerkinomainen lista toimenpiteistä, joilla voidaan vaikuttaa henkilötietojen käsittelyn turvallisuuteena. Henkilötietojen enkryptointi ja pseudonymisointib. Järjestelmien kyky taata turvallisuusc. Kyky palauttaa pääsy ja saatavuus tietoihin fyysisen tai teknisen tapahtuman
johdostad. Säännöllisen testauksen prosessi, jolla arvioidaan teknisten ja organisatoristen
toimenpiteiden tehokkuutta
TIETOTURVALLISUUS (30-32 ARTIKLAT)
36
Tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselleIlman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tietoturvaloukkauksen ilmitulostaJos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän toimitettava valvontaviranomaiselle perusteltu selvitys (reasoned justification)Käsittelijän ilmoitettava rekisterinpitäjälle heti kun tietoturvaloukkaus tullut ilmiIlmoituksessa on vähintään:a. Kuvattava tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen
ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärätb. Ilmoitettava tietosuojavastaavan tai muun yhteyspisteen yhteystiedotc. Kuvattava henkilötietojen tietoturvaloukkauksen seurauksiad. Kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut tai toteuttanut
tietoturvaloukkauksen johdosta, sisältäen mahdollisuuksien mukaan haittavaikutusten lieventämisen
Jos tietoja ei voida toimittaa yhdellä kertaa, voidaan toimittaa jaksoissa Rekisterinpitäjän dokumentoitava kaikki henkilötietojen loukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet
Valvontaviranomaisen on voitava tarkistaa näiden asiakirjojen pohjalta, että artiklaa 31 on noudatettu
TIETOTURVALOUKKAUKSESTA ILMOITTAMINEN VIRANOMAISELLE (31 ARTIKLA)
37
Tietoturvaloukkauksesta ilmoittaminen rekisteröidylle• Ilman aiheetonta viivytystä, kun todennäköisesti aiheuttaa korkean
riskin yksityisten oikeuksille ja vapauksille• Selvällä kielellä sisältäen ainakin art. 31 (3) b, c, ja d-kohtien tiedot• Tietoturvaloukkauksesta ei tarvitse ilmoittaa jos:
a. Rekisterinpitäjä toteuttanut asianmukaiset tekniset suojatoimenpiteet ja soveltanut niitä loukkauksen kohteena oleviin henkilötietoihin, kuten tietojen muuttaminen sellaiseen muotoon, että ne eivät ole ymmärrettävissä (encryption)
b. Rekisterinpitäjä tehnyt sellaiset toimet, että korkeaa riskiä ei enää olec. Ilmoittaminen olisi suhteetonta, jolloin pitää tehdä julkinen tiedote
• Valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia
TIETOTURVALOUKKAUKSESTA ILMOITTAMINEN REKISTERÖIDYLLE(32 ARTIKLA)
38
Tietosuojavastaavan nimittäminen (35 artikla)Rekisterinpitäjän ja henkilötietojen käsittelijän nimitettävä tietosuojavastaava silloin kuna. Tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon
elinb. Yrityksen liiketoiminnan keskeisenä osana on käsitellä
henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista monitorointia laajamittaisesti
c. Keskeisenä osana liiketoimintaa käsitellään laajoja määriä arkaluonteisia tai rikostuomioihin liittyviä tietoja
yritysryhmä voi nimittää yhden tietosuojavastaavanVarmistettava, että tietosuojavastaava on asianmukaisesti ja riittävän ajoissa mukana kaikessa henkilötietojen suojaa koskevassa käsittelyssä (36 artikla) Tietosuojavastaavan tehtävät määritetty 37 artiklassa
TIETOSUOJAVASTAAVA(35 ARTIKLA)
39
Useassa jäsenvaltiossa toimivalle rekisterinpitäjälle yksi toimivaltainen valvova tietosuojaviranomainen (ns. one-stop-shop, 51 artikla)Eurooppalaisten valvontaviranomaisten yhteistyöstä tarkempaa sääntelyäPerustetaan Euroopan tietosuojaneuvosto / European Data Protection Board (64 artikla)
Varmistaa asetuksen yhdenmukaisen soveltamisenAntaa komissiolle neuvojaAntaa asetuksen soveltamisesta suuntaviivoja, suosituksia ja parhaita käytänteitäRohkaisee tekemään käytännesääntöjä ja perustamaan tietosuojaa koskevia sertifiointimekanismeja
TIETOSUOJAVIRANOMAISET(51 JA 64 ARTIKLAT)
40
Viranomaisten varmistettava, että sanktiot ovat tehokkaita, oikeasuhtaisia ja varoittavia
Hallinnollinen sanktio tulee määrätä, ottaen huomioon jokaisen yksittäisen tapauksen olosuhteet, joko 53 artiklassa säädettyjen valvontatoimien lisäksi tai tilalleSanktion määräämisessä otettava lisäksi huomioon mm. rikkomuksen luonne ja kesto, tuottamuksen aste tai tahallisuus sekä rekisterinpitäjän tai henkilötietojen käsittelijän tekemät toimet rekisteröidyille aiheutuneiden vahinkojen vähentämiseksi
HALLINNOLLISET SANKTIOT (79, 79A JA 79B ARTIKLAT)
41
Sanktioitavat teot jaettu kahteen luokkaanEnintään 10 000 000 euroa tai 2% yrityksen maailmanlaajuisesta vuosittaisesta liikevaihdosta mm. seuraavien säännösten rikkomisesta:
a) rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37 39 ja 39a artiklat
• Enintään 20 000 000 euroa tai 4% yrityksen maailmanlaajuisesta vuosittaisesta liikevaihdosta mm. seuraavien säännösten rikkomisesta:
a) 5, 6 ja 9 artiklatb) Rekisteröidyn oikeudet 12-20 artiklatc) Henkilötietojen siirto kolmansiin maihin artiklojen
40-44 mukaisesti
HALLINNOLLISET SANKTIOT
42
09:00 – 10:00 Uudistuksen tarkoitusMiksi uudistus on tehty?Rekisteröityjen oikeuksien vahvistaminen
10:15 – 10:30 Tauko
10:30 – 11:30 Tietosuoja-asetuksen mukaiset velvoitteet
11:20 – 11:30 Yhteenveto vaikutuksista
AGENDA
43
Yrityksen koko henkilöstön projektiYrityksen sisäinen valmistautuminen
Viestintä asiakkailleMediajargon aiheuttaa kyselyitä, oltava suunnitelma viestintästrategiaksi
KONKRETIAA…
Profiling
Data Portability
Right to be Forgotten
44
Valmistautuminen muutoksiin1. Aloitettava heti, 2 vuotta on lyhyt aika esim. tietojärjestelmämuutoksille
• Nykykäytännöt arvioitava uudelleen• Tietosuojan rakentaminen osaksi palveluita ja prosesseja
2. Dokumentaation lisääminen• Olemassa olevan aineiston päivittäminen• Tietosuojatoimenpiteiden kirjaaminen (koulutus, sopimukset, kirjeenvaihto)
3. Suunnittelu• Oman toiminnan perusteleminen mm. oikeutetun edun kautta
4. Tietosuojavastaavan nimittäminen5. Tietosuojaloukkauksista ilmoittaminen – varautuminen
LISÄÄ KONKRETIAA
45
Kustannusten ja taakan hallinnoimiseksi suositeltavia toimenpiteitä:1. Tarpeettomien henkilötietojen poistaminen (datan minimointi-periaate)2. Hallussa olevien tietojen anonymisointi3. Suoran kontrollin antaminen asiakkaalle hänen omiin tietoihinsa
• Mitään tietoa ei tarvitse säilyttää vain asetuksen asettamien velvoitteiden noudattamista varten (10 artikla)
VARAUTUMINEN MUUTOKSIIN
46
Vaikutukset finanssialan yrityksille:• Hallinnollinen taakka lisääntyy• Välillisiä kustannuksia velvoitteiden mukaisesta toiminnasta ja
sanktioista• Riskienhallintakäytännöt muuttuvat
Täsmentymättömät toimintavelvoitteet johtavat siihen, että edessä on pitkä epävarmuuden aika asetuksen hyväksymisen jälkeen
• Resitaaleilla säätäminen lisää tulkintakysymyksiä• Ohjeistuksen syntymiseen menee aikaa
JA VIELÄ LOPUKSI