eu:n yleinen tietosuoja-asetus - kuntoutusyrittajat.fi · yleinen tietosuoja-asetus yleisesti...
TRANSCRIPT
EU:N YLEINEN TIETOSUOJA-ASETUS
JA LAITOTM Juhani Saarinen
Asianajotoimisto Ismo Saarinen Ky
Turvaverkko yrittäjälle, 4.6.2018
DIOISSA ON HYÖDYNNETTY LAAJALTI
TIETOSUOJAVALTUUTETUN TOIMISTON KOTISIVUJA
Lisätietoja löytyy siten suoraan tietosuojavaltuutetun kotisivuilta
osoitteesta:www.tietosuoja.fi
Yleinen tietosuoja-asetus yleisesti
• Euroopan parlamentti ja neuvosto antoivat keväällä 2016 yleisen tietosuoja-asetuksen 2016/679
• Yleinen tietosuoja-asetus tuli sovellettavaksi koko EU:n alueella sellaisenaan25.5.2018 lähtien
• Asetuksella kumottiin aiempi henkilötietodirektiivi joka näkyi Suomessa parhaiten vanhassa henkilötietolaissa
• Nykyinen henkilötietolaki on siis kumoutunut 25.5.2018 alkaen siltä osin kuin se on ristiriidassa korkeamman säädöksen, eli EU:n tietosuoja-asetuksen kanssa
• Uusi kansallinen laki on nimeltään Tietosuojalaki ja se tullee voimaan kesäkuun alussa
1.6.2018 3
Tietosuoja-asetuksen peruskäsitteitä
• Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi nimi, puhelinnumero, sijaintitiedot ja isovanhempien perinnöllisiä sairauksia koskevat tiedot.• Kaikki potilastiedot ovat lähtökohtaisesti henkilötietoja, koska niistä voidaan tunnistaa yksittäinen
ihminen tämän yksilöllisten ominaisuuksien perusteella
• Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Rekisterinpitäjä voi olla esimerkiksi jäsenistään tietoja keräävä yhdistys, potilastietoja käsittelevä sairaala, verkkokauppa tai sosiaalisen median palvelu.• Rekisterinpitäjä voi olla esimerkiksi palvelusetelin tapauksessa kunta tai sairaanhoitopiiri
• Henkilötietojen käsittelijä on ihminen tai organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän puolesta. Henkilötietojen käsittelijä voi olla esimerkiksi toisen yrityksen markkinointia hoitava markkinointitoimisto tai IT-palveluntarjoaja, jolla on pääsy rekisterinpitäjän henkilötietoihin.• Myös kuntoutusyritys voi olla henkilötietojen käsittelijä, jos se tuottaa potilastietojen toisen
rekisterinpitäjän lukuun (esim. kunnan)
1.6.2018 4
Uuden tietosuojalain keskeiset ehdotukset (he 9/2018)
• Ehdotus on, että henkilötietolaki kumotaan ja korvataan uudella yleislailla jonka nimi olisi yksinkertaisesti tietosuojalaki
• Tietosuojalaki täsmentäisi ja täydentäisi EU:n tietosuoja-asetusta ja niitä sovellettaisiin tietosuoja-asetuksen kanssa rinnakkain
• Lähtökohtana uudelle tietosuojalaille ja sen soveltamisalalle on nykyinen henkilötietolaki
• Näillä näkymin tietosuojavaltuutettu säilyttää virkansa ja saa apulaistietosuojavaltuutettuja toimintansa tukemiseksi
• Uusien seuraamuksia ja sakkoja määräisi jatkossa tietosuojavaltuutettu joko yksin tai jonkinlaisen lautakunnan avulla
• Nykyinen tietosuojalautakunta lakkautetaan ja korvataan viisijäsenisellä asiantuntijalautakunnalla joka toimisi tietosuojavaltuutetun toimiston yhteydessä
• Asiantuntijalautakunta antaa asiantuntijalausuntoja tietosuojasta yrityksissä ja yhteisöissä
1.6.2018 5
Uuden tietosuojalain keskeiset ehdotukset (he 9/2018)
• Tietosuoja-asetuksen mukaisesti tietoyhteiskunnan palveluiden tarjoamiseen tulisi alaikäraja, jota nuoremmalle lapselle ei saa tarjota tiettyjä palveluita ilman vanhempien suostumusta
• Raja on esityksen mukaan Suomessa 13 vuotta
• Tätä nuoremmalla lapsella olisi oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla olisi tarkistaa, että suostumus on olemassa.
• Henkilötunnusta saa jatkossakin käsitellä vain rekisteröidyn nimenomaisella suostumuksella, sovitun tehtävän täyttämiseksi tai lakiin perustuvalla velvoitteella kuten terveydenhuollossa
1.6.2018 6
Henkilötietojen urkinta erilliseksi rikokseksi
• Esityksen mukaan rikoslaissa säädettäisiin rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta
• Rangaistava teko olisi tietosuojarikos, josta tuomittaisiin sakkoa tai vankeutta enintään yksi vuosi
• Nykyisin voimassa oleva henkilörekisteririkos poistettaisiin rikoslaista
• Tällainen rikos voi tulla kyseeseen esimerkiksi silloin, kun terveydenhuollon henkilökunta selailee yrityksen asiakkaiden tietoja ilman, että selailu liittyy työtehtävien suorittamiseen
• Tietosuoja-asetuksen mukaiset uudet hallinnolliset sakkomaksut määräisi jatkossa todennäköisesti tietosuojavaltuutetun toimisto✓Hallinnollisen sakko määrättäisiin rekisterinpitäjälle (organisaatio)✓Henkilörekisteririkokseen puolestaan syyllistyisi ihminen (luonnollinen henkilö)
1.6.2018 7
TIETOSUOJA-ASETUKSEN
VELVOITTEET
Tietosuoja-asetuksen mukaiset velvoitteet
• Velvollisuus ilmoittaa tietoturvaloukkauksista
• Velvollisuus käsitellä henkilötietoja tietosuoja-asetuksessa tarkoitetulla tavalla
• Velvollisuus osoittaa noudattavansa tietosuoja-asetusta
• Velvollisuus informoida rekisteröityjä tietojen käsittelystä ja näiden oikeuksista
• Velvollisuus noudattaa rekisteröityjen (uusia ja vanhoja) oikeuksia
1.6.2018 9
Velvollisuus ilmoittaa tietoturvaloukkauksista
• Tietoturvaloukkauksia ovat tietosuojavaltuutetun mukaan esimerkiksi:❑hävinnyt tiedonsiirtoväline, kuten USB-tikku
❑varastettu tietokone
❑hakkerointi
❑haittaohjelmatartunta
❑kyberhyökkäys
❑tulipalo datakeskuksessa
❑tiliotteen postitus väärälle henkilölle
• Kaikki tapahtumat joiden perusteella tietoja joko hävitetään tai menetetään ulkopuolisille
1.6.2018 10
Loukkauksen ilmitulon jälkeen…
• Dokumentoi aina kaikki yksityiskohdat tietoturvaloukkauksesta
• Arvioi minkä tasoinen riski loukkauksesta aiheutuu rekisteröidylle, esimerkiksi: ❑ei aiheudu riskiä
❑aiheutuu riski
❑aiheutuu korkea riski
• Riskin taso määrittää tarvittavat toimenpiteet. Toimenpiteitä voivat olla:❑ tietoturvaloukkauksen dokumentointi
❑ ilmoitus valvontaviranomaiselle
❑ ilmoitus rekisteröidylle.
1.6.2018 11
Mikäli tietoturvaloukkauksesta voi aiheutua riski rekisteröidyn oikeuksille ja vapauksille, ilmoita vain tietosuojavaltuutetulle
• Rekisterinpitäjällä on velvollisuus ilmoittaa tietosuojavaltuutetulle 72 tunnin kuluessa loukkauksen ilmitulosta, mikäli tietoturvaloukkauksesta voi aiheutua riski rekisteröidyn oikeuksille ja vapauksille
• Ilmoitus tehdään sähköisellä lomakkeella joka löytyy osoitteesta www.tietosuoja.fi
• Mikäli ilmoitusta ei tehdä asetuksessa määrätyssä 72 tunnin ajassa, rekisterinpitäjän on annettava myöhästymisestään tietosuojavaltuutetulle perusteltu selitys
1.6.2018 12
Koska loukkauksesta ilmoitetaan rekisteröidylle? (esim. asiakkaalle)• Henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se
todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille.
• Tällöin asiakkaalla on mahdollisuus varautua tietovuodon aiheuttamiin riskeihin
• Rekisteröidylle on hyvä antaa seuraavat tiedot:❑kuvaus henkilötietojen tietoturvaloukkauksesta; mahdollisuuksien mukaan myös
asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
❑Rekisterinpitäjän tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
❑henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset (jos tiedossa)
❑toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
1.6.2018 13
Ilmoitusta rekisteröidylle ei kuitenkaan tietosuojavaltuutetun mukaan vaadita, jos…
• Rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)o ts. tiedot ovat sellaisessa muodossa ettei esim. hyökkääjä saa niistä selvää. Tällöin korkeaa riskiä ei
ole.
• Rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteuduo Jos on tapahtunut vaikka salasanavuoto, on käyttäjätilit lukittu tai muuten estetty tiedon
hyödyntämineno Terveydenhuollossa tietovuotoa ei oikein voi mitenkään jälkikäteen tehdä riskittömäksi
• Se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.o Näin voi käydä jos tietovuoto on laaja eikä vuodon kohteita voida tarkasti yksilöidäo Terveydenhuollossa tiedot on käytännössä aina annettava vuodon kohteille henkilökohtaisesti
1.6.2018 14
Velvollisuus käsitellä henkilötietoja tietosuoja-asetuksen edellyttämällä tavalla• Henkilötietoja on tietosuoja-asetuksen periaatteiden mukaisesti❑käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
❑käsiteltävä luottamuksellisesti ja turvallisesti
❑kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
❑kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
❑päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
❑säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (tai laki edellyttää, kuten terveydenhuollossa)
1.6.2018 15
Velvollisuus osoittaa noudattavansa tietosuoja-asetusta
• Osoitusvelvollisuuden laajuus riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa. Dokumentaatiota ja toimenpiteitä on päivitettävä jatkuvasti ja oltava huolellinen niiden hallinnassa.
• Terveydenhuoltoalalla ilmeisin keino osoittaa tietoturvastaan huolehtiminen on laatia lakisääteinen tietoturvan omavalvontasuunnitelma• Tämä on sisäinen asiakirja, eikä sitä saa luovuttaa asiakkaalle
• Terveydenhuollossa saattaa tulla tehtäväksi myös tietosuoja-asetuksen 30 artiklan mukainen selostus käsittelytoimista• Tämä on myös sisäinen asiakirja, eikä sitäkään saa luovuttaa ulkopuolisille
• Alihankkijoiden kanssa tehtävät sopimukset henkilötietojen käsitttelystä ovat myös osa osoitusvelvollisuutta. Niitäkään ei luovuteta asiakkaille.
• Se, miten asetuksen noudattaminen osoitetaan, tarkentunee lähitulevaisuudessa
1.6.2018 16
Velvollisuus informoida rekisteröityjä tietojen käsittelystä ja näiden oikeuksista• Ennen tietosuoja-asetusta asiakkaan informointivelvollisuus perustui
henkilötietolakiin ja sen mukaiseen rekisteriselosteeseen, joka oli aina pidettävä asiakkaiden saatavilla
• Vanhaa rekisteriselostetta ei kannata heittää pois, sillä sen sisältämiä tietoja voidaan hyödyntää myös uutta asetuksen mukaista informointia annettaessa
• Rekisteröidyn informointivelvollisuuden kannalta ei ole merkitystä sillä annetaanko tiedot asiakkaalle rekisteriselosteessa, tietosuojakäytännössä, tietosuojaselosteessa tai jollain muulla tavalla otsikoidulla asiakirjalla. Tärkeintä on, että rekisteröidylle annetaan tietoa riittävästi.
• Kuntoutusyrittäjien malliasiakirja asiakkaiden informointiin on otsikoitu sanoilla ”X Kuntoutusyrityksen tietosuojakäytäntö”
1.6.2018 17
Rekisteröidyn informointivelvollisuus II
• Rekisteröidylle on annettava helppo ja yksiselitteinen kokonaiskuva tätä koskevien henkilötietojen käsittelystä erityisesti silloin kun henkilötietoja käsitellään useampaan kuin yhteen tarkoitukseen
• Kuntoutusyrityksissä käsiteltäviä potilastietoja ei saa ilman asiakkaan suostumusta tai lakiin perustuvaa syytä luovuttaa muille tai käyttää muuhun kuin potilaan hoitoon, jolloin informointivelvollisuuden toteuttamisessa ei pitäisi olla suurempia vaikeuksia• Asiakkaat yleensä ymmärtävät itsekin, että potilastiedot ovat salassa pidettäviä
• Pääsääntöisesti informointi on tehtävä asiakkaalle kirjallisesti. Suomen Kuntoutusyrittäjät ry on laatinut malliasiakirjan, jonka perusteella rekisteröidyn informointivelvollisuus voidaan toteuttaa
• Kuntoutusyrittäjien malliasiakirja on tarkoitettu esitettäväksi rekisteröidylle siinä yhteydessä kun tietoja kerätään tältä itseltään.
• Rekisteröidylle, eli käytännössä asiakkaalle, annettuja tietoja ei lähtökohtaisesti tarvitse antaa enää uudestaan sen jälkeen kun ne on jo kerran tälle annettu
• Informaation tulee olla asiakkaan saatavilla maksutta. Informointiasiakirja onkin hyvä laittaa julkisesti esille esimerkiksi kuntoutusyrityksen internet-sivuille!
• Informointiasiakirjaa on päivitettävä jatkuvasti ja tarpeen mukaan, se ei tule koskaan valmiiksi!
1.6.2018 18
Kuntoutusyrittäjien informoinnin malliasiakirja• On nimeltään Tietosuojakäytäntö. Nimi voi olla muukin, ainoastaan annettavan informaation täytyy olla
samaa.
• Malliin täytetään aluksi rekisterinpitäjän (eli yrityksen) yhteystiedot sekä tietosuojavastaavan nimi ja yhteystiedot.
• Kohtaan 2 (henkilötietojen käsittelyn tarkoitus jne) täytetään minkälaisia tietoja asiakkaista kerätään ja mihin tarkoitukseen näitä käytetään. Lomake lähtee siitä, että ainoastaan potilastietoja kerätään ja niitä käytetään vain laissa säädettyihin tarkoituksiin.
• Mikäli yrityksellä on muuta liiketoimintaa, tulee lomakkeen loppuosaan täyttää mitä muita tietoja asiakkaasta kerätään, mihin niitä käytetään ja millä perusteella.
• Yleisin perusta tietojen käsittelylle on (asiakas)sopimuksen mukaisten velvoitteiden täyttäminen. Käsittelyn perusteena voi olla myös rekisterinpitäjän oikeutettu etu joka säilyttämistä vaatii, kuten esimerkiksi laskujen perintä tai kuntosaliasiakkaiden käyttöoikeuksien valvonta.
• Muut tiedot ovat lähinnä asiakasta informoivia. Kohdassa 7 on myös keltaisella merkitty kohta, joka liittyy Kanta-arkistoon. Jos yritys ei ole liittynyt Kanta-arkistoon, voidaan Kanta-kohta jättää myös kokonaan pois.
• Mallia saa ja pitää muokata omaan käyttöön soveltuvaksi. Asiakirjan tarkoituksena on, että asiakas pysyy tietoisena siitä mitä tietoja hänestä kerätään ja mihin näitä tietoja käytetään.
1.6.2018 19
Velvollisuus laatia henkilötietojen käsittelijän (alihankkijan) kanssa sopimus• Tietosuoja-asetuksen 28 artikla velvoittaa rekisterinpitäjää laatimaan henkilötietojen
käsittelijän kanssa kirjallisen sopimuksen (tai muun oikeudellisen asiakirjan) jossa sovitaan tietyistä asetuksen edellyttämistä seikoista
• Sopimuksessa on yksilöitävä mitä tietoja käsittelijä käsittelee rekisterinpitäjän lukuun
• Suomen Kuntoutusyrittäjät ry on laatinut yksinkertaisen mallisopimuksen jota voi käyttää hyödyksi
• Henkilötietojen käsittelijällä tarkoitetaan kaikkia tahoja, jotka käsittelevät muita kuin omia henkilötietoja toisen rekisterinpitäjän lukuun. Tällaisia ovat esimerkiksi tilitoimistot, palkanlaskijat, potilastietojärjestelmien tuottajat jne.
• Jo vanhastaan vuoden 2009 potilasasiakirja-asetuksen 5 § on edellyttänyt tämän tyyppisen sopimuksen solmimista kun terveydenhuollon palveluja on hankittu toiselta
1.6.2018 20
Kuntoutusyrittäjien mallisopimus
• Sopimus on ns. mallia ”karvalakkimalli”, eli suppeista suppein. Monilla yhteistyökumppaneilla on tarjolla myös laajempia sopimusmalleja. Jos tällaista käytetään, ei mallisopimuksen käytölle ole välttämättä tarvetta.
• Mallisopimusta tulee käyttää silloin, kun tietojen käsittely ulkoistetaan toiselle. Tällainen sopimus täytyy siis laatia esimerkiksi alihankkijoiden tai tietojärjestelmätoimittajien kanssa.
• Mallisopimuksen upottaminen osaksi ammatinharjoittajasopimuksia on myös mahdollista.
• Tärkeintä on, että sopimuksessa sovitaan siitä, kuka on rekisterinpitäjä ja kuka puolestaan on henkilötietojen käsittelijä. Rekisterinpitäjä on se taho, joka vastaa tietojen säilyttämisestä ja joka määrää mitä tiedoille tehdään, eli kenelle niitä esimerkiksi luovutetaan.
• Yleensä rekisterinpitäjä on järjestämisvastuussa oleva taho. Lakisääteisissä palveluissa se on yleensä kunta tai sairaanhoitopiiri. Yksityisissä palveluissa rekisterinpitäjä on se, joka laatii sopimuksen asiakkaan kanssa ja joka sopimuksen perusteella vastaa palveluntuotannosta suhteessa asiakkaaseen.
1.6.2018 21
Rekisteröityjen eli asiakkaiden muut (uudet) oikeudet• Rekisteröidyn tietoja koskeviin (korjaus ym.) pyyntöihin tulee vastata
viivytyksettä, mutta kuitenkin kuukauden kuluessa pyynnön vastaanottamisesta. Mikäli pyyntö on kuitenkin monimutkainen, tulee vastaus toimittaa viimeistään kolmen kuukauden kuluessa.
• Asiakkaan pyytämät tiedot tulee toimittaa tälle pääsääntöisesti sähköisessä muodossa ja maksutta
• Ei-lakisääteiseen rekisteriin (kuten kuntosalin asiakasrekisteriin) perustuvat tiedot on toimitettava pyydettäessä myös sellaisessa muodossa, että ne voidaan vaivatta siirtää asiakkaan niin halutessaan toiseen tietojärjestelmään, jos tämä on suinkin mahdollista
1.6.2018 22
Oikeus poistaa tiedot / tulla unohdetuksi
• Oikeus tulla unohdetuksi tarkoittaa rekisteröidyn oikeutta pyytää rekisterinpitäjää poistamaan esimerkiksi häntä koskevat vanhentuneet henkilötiedot. Rekisteröidyllä on myös oikeus peruuttaa suostumuksensa, johon käsittely on (aiemmin) perustunut.
• Siltä osin kuin tietojen säilytys perustuu lakiin, kuten terveydenhuollossa, ei rekisteröidyllä ole oikeutta tulla unohdetuksi eli saada tietojaan poistetuksi
• Rekisteröidyllä on kuitenkin tällä hetkellä oikeus kieltää myös potilasasiakirjamerkintöjen käsittely mikäli tästä kirjattu tieto on rekisteröidyn mielestä virheellinen. Tietojen käsittelyä saa asetuksen mukaan jatkaa vasta, kun tietojen oikeellisuus on jotenkin tarkistettu.• STM:n mukaan tähän on tulossa suomalaiseen lainsäädäntöön muutos
• Tässä kannattaa huomioida, että asiakkaalla ei ole oikeutta vaatia tietoa poistettavaksi. Ainoastaan vääräksi väitetyn tiedon käsittely täytyy (tilapäisesti) keskeyttää.
1.6.2018 23
Asiakkaan oikeus siirtää tiedot järjestelmästä toiseen (ns. data portability)• Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa
siirtomuodossa ja toimittaa ne toiselle rekisterinpitäjälle.
• Siirto-oikeuteen kuuluu myös tietojen siirtäminen suoraan rekisterinpitäjältä toiselle jos se on teknisesti mahdollista.
• Oikeus edellyttää, että tietojen käsittely perustuu suostumukseen tai sopimukseen ja että käsittely tehdään automatisoidusti.
• Koska potilastietojen tietojenkäsittely perustuu lakiin, ei asiakkaalla näyttäisi niiden tietojen osalta olevan asetuksen tarkoittamaa oikeutta siirrättää tietojaan sähköisesti muualle
• Muissa kuin lakisääteisesti pidetyissä tiedoissa tällainen oikeus on, kuten kuntosalin asiakasrekisterissä edellyttäen toki, että tietojen käsittely on asetuksen tarkoittamalla tavalla automatisoitu
• Säännös lienee lähtökohtaisesti suunnattu erilaisille sosiaalisen median toimijoille tai pilvipalveluiden ylläpitäjille
1.6.2018 24
Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
• Rekisteröidyllä on oikeus kieltää hänestä tallennettujen tietojen käyttäminen tiettyihin tarkoituksiin, kuten esimerkiksi suoramarkkinointiin• Tässä kohden kannattaa huomata myös, että Laki sähköisen viestinnän palveluista
(917/2014) 140 § edellyttää kuluttaja-asiakkailta aina etukäteistä suostumusta suoramarkkinoinnille, kuten sähköpostille
• Vastustusoikeus ei koske tilanteita joissa tietojen käsittelylle on rekisteröidyn nimenomainen suostumus, eikä suostumusta ole peruutettu
• Tietojenkäsittelyn vastustusoikeus ei koske rekistereitä, joita pidetään lain perusteella. Asiakas ei voi siis edelleenkään kieltää terveydenhuollon rekisteritietojen käsittelyä (ellei tieto ole em. tavalla väitetysti virheellistä, jolloin käsittely keskeytyy tiedon todentamisen ajaksi)
1.6.2018 25
Velvollisuus nimetä tietosuojavastaava
• Rekisterinpitäjänä toimivan yrityksen on nimettävä tietosuojavastaava, mikäli jompi kumpi seuraavista ehdoista täyttyy
a) Rekisterinpitäjän ydintehtävät muodostuvat henkilötietojen käsittelystä ja ovat luonteeltaan sellaisia että edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa tai
b) Ydintehtävät muodostuvat käsittelytoimista jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin
• Pienissä terveydenhuollon palveluntuottajissa tietoja ei käsitellä laajassa mitassa, jolloin tietosuojavastaavaa ei tietosuoja-asetuksen vuoksi täytyisi välttämättä nimetä.
• Velvollisuus nimetä tietosuojavastaava löytyy kuitenkin kansallisesta lainsäädännöstä. Tietosuojavaltuutettu täytyy nimetä asiakastietolain 19 h §:n mukaisen omavalvontasuunnitelman täyttämisen yhteydessä!• Em. asiakastietolain 19 h § tuli voimaan jo 1.4.2014• Velvollisuus nimetä tietosuojavastaava koskee kaikkia terveydenhuollon palveluntuottajia, niin
itsenäisiä ammatinharjoittajia kuin kaikenkokoisia yhtiöitä
1.6.2018 26
Tietosuojavastaavan asema• Riippumaton asema organisaatiossa
• Raportoi suoraan rekisterinpitäjän tai käsittelijän ylimmälle johdolle
• Otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkiin tietosuojaan liittyviin kysymyksiin
• Pätevyysvaatimus tietosuojan alalta: tietosuojalainsäädäntötuntemus, lain vaatimusten soveltamisosaaminen ja alan käytäntöjen tuntemus
• Voi olla rekisterinpitäjän tai käsittelijän palkkalistoilla, tai ulkoistettu palveluntuottajalle
• Taattava tarvittavat resurssit sekä asianmukainen pääsy henkilötietoihin ja niiden käsittelytoimiin tietosuojavastaavan tehtävien hoitamiseksi
• Tehtävä yhteistyötä useiden organisaation eri yksiköiden kanssa (jos niitä on)
• Julkinen yhteyspiste valvontaviranomaisen ja rekisteröityjen suuntaan
• Salassapitovelvollinen käsittelemistään tiedoista
• Tietosuojavastaavaa ei saa erottaa tai rangaista tietosuojavastaavan tehtävien hoitamisen vuoksi
• Voi suorittaa muitakin tehtäviä tietosuojavastaavan tehtävien ohella kuitenkin niin, ettei niistä aiheudu eturistiriitoja tietosuojavastaavan tehtäviin nähden
• Tietosuojavastaavan tehtävät on erityisesti suurissa yrityksissä resursoitava niin, että tietosuojavastaava kykenee todella suoriutumaan tehtävistään.
1.6.2018 27
Tietosuojavastaavan tehtävänkuva
• Tietosuoja-asetuksen vaatimusten täytäntöönpano ja soveltaminen organisaatiossa
• Organisaation neuvonta ja ohjaus kaikissa tietosuojakysymyksissä
• Dokumentaation laatimisen, saatavuuden ja säilyttämisen valvonta
• Ilmoitusvelvollisuuden toteutumisen seuranta (tietoturvaloukkauksista 72 h sisään)
• Vaikutustenarviointien tekemisen tukeminen ja valvonta
• Yhteistyö valvontaviranomaisen kanssa
• Tietosuojan tietoisuusohjelman rakentaminen ja kouluttaminen henkilöstölle
• Rekisteröityjen oikeuksien toteuttamisen tukeminen
• Käsittelytoimiin liittyvän riskin asianmukainen huomiointi tehtävien suorittamisessa
1.6.2018 28
Tietosuojan riskienhallinta
• Rekisterinpitäjä ja henkilötietojen käsittelijä ovat velvollisia arvioimaan henkilötietojen käsittelyyn liittyviä riskejä ja valitsemaan arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet.
• Riskilähtöisyys ohjaa organisaation henkilötietojen käsittelyä ja on erittäin tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista.
• Riskit voisivat olla tietoturvan omavalvontasuunnitelmassa huomioitavia asioita jo nykyisen asiakastietolain näkökulmasta. Omavalvontasuunnitelman nykyisissä pohjissa riskien arvioimista ei kuitenkaan vielä suoranaisesti tehdä.
• Terveydenhuollossa riskejä on kuitenkin arvioitu ja paikattu Kanta-yhteensopivia järjestelmiä sertifioitaessa sekä terveydenhuollon ohjelmistoja Valviralle ilmoitettaessa. Myös muut toimijat voivat siis suorittaa riskienhallintaa, tätä kannattaa hyödyntää omassa toiminnassa, jolloin kaikkea ei tarvitse tehdä itse.
• Riskienhallinnan jälkeen on tehtävä myös vaikutustenarvioinnit, mikäli toimintaan sisältyy yksilön oikeuksien kautta merkittäviä riskejä (esimerkiksi uuden potilastietojärjestelmän kehittämisessä).
• Tarvittaessa tietosuojavaltuutettuun on myös otettava yhteyttä ja suoritettava ennakkokuuleminen
1.6.2018 29
Sisäänrakennettu ja oletusarvoinen tietosuoja (asetuksen yleisiä ohjaavia periaatteita)
✓Rekisterinpitäjän tulee toteuttaa tarvittavat menettelyt jotta oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä käsittelytarkoituksen kannalta
✓tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseiseen käsittelytarkoitukseen
✓henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville (käyttöoikeuksien hallinnasta on tulossa syksyllä terveystietojen osalta THL:n määräys)
✓taataan rekisteröityjen oikeuksien toteutuminen
✓taataan henkilötietojen suoja tarvittavin tietoturvakeinoin.
Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta koko käsiteltävien henkilötietojen elinkaaren ajan.
Nämä asiat tulee lähtökohtaisesti ottaa huomioon jo siinä vaiheessa kun henkilötietojen (potilastietojen) keräämistä vasta suunnitellaan.
1.6.2018 30
Dokumentaatio
• Valtionvarainministeriön VAHTI-raportti 1/2016 suosittelee laatimaan johdon määrittelemän tietosuojapolitiikan tai muun vastaavan asiakirjan, joka kuvaa organisaation henkilötietojen käsittelyn perusperiaatteet ja tietosuojan merkityksen organisaatiolle.
• Rekisterinpitäjän tulee huolehtia myös siitä, että henkilötietoja käsittelevät henkilöt ovat asianmukaisesti koulutettuja. Henkilöstö tulee ohjeistaa henkilötietojen käsittelyyn ja ohjeistuksen tulee olla henkilöstölle vapaasti saatavilla.• Myös kotimainen asiakastietolaki velvoittaa tietosuojavastaavaa huolehtimaan
henkilöstön koulutuksesta tietosuoja-asioissa!
• Asianmukaisen dokumentaation olemassaolon ja saatavuuden varmistaminen kuuluu tietosuojavastaavan tehtäväkuvaan
• Dokumentoitavia asioita ovat toimintamallit yllättävien ja tavanomaistenkin tilanteiden varalle, kuten miten toimitaan jos tulee tietovuoto, miten toimitaan ja tunnistetaan asiakas/rekisteröity joka pyytää nähtäväksi tätä koskevia tietoja jne.
1.6.2018 31
Käsittelyn turvallisuutta koskeva asetuspykälä32 artikla
Käsittelyn turvallisuus
1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi
…säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi
1.6.2018 32
Muutokset pähkinänkuoressa• Asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn, myös terveyden- ja sairaanhoitoon
• Uusia velvollisuuksia mm.1. Henkilötietoja (kuten potilastietoja) on säilytettävä ja käsiteltävä uuden asetuksen edellyttämällä tavalla.
Kansallinen erityislainsäädäntö ei kuitenkaan potilastietojen osalta muutu.2. Yrityksen on pystyttävä käytännössä osoittamaan, että tietosuojasäännökset huomioidaan toiminnassa (tässä
auttaa dokumentointi ja sisäisten ohjeiden laatiminen)3. Yrityksen on asetettava itselleen tietosuojavastaava (suomalainen lainsäädäntö, muista myös
omavalvontasuunnitelma ja sen malli)4. Rekisteröidylle ja tietosuojavaltuutetulle on ilmoitettava, mikäli tapahtuu tietovuoto tai muu vakava
tietoturvaloukkaus (72 h kuluessa loukkauksen ilmitulosta)5. Rekisteröityjä on informoitava tämän tietojen käsittelystä (kuntoutusyrittäjien malliasiakirja)6. Alihankkijoiden kanssa on laadittava sopimus tietojen käsittelystä (kuntoutusyrittäjien malliasiakirja)7. Tietosuoja-asetuksen rikkominen sanktioidaan uusin hallinnollisin sakoin
Velvoitteet täyttää helpoiten ottamalla käyttöön Kanta-yhteensopivan potilastietojärjestelmän ja täyttämällä sitä koskevan omavalvontasuunnitelman sekä käyttämällä hyödyksi Suomen Kuntoutusyrittäjät ry:n informoinnin malliasiakirjaa ja tietojenkäsittelyn mallisopimusta.
1.6.2018 33
Linkit• Laki potilaan asemasta ja oikeuksista
• Sosiaali- ja terveysministeriön asetus potilasasiakirjoista
• Potilasasiakirja-asetuksen liite, jossa tarkemmat säilytysajat
• Valtionarkiston päätös ennen 1.5.1999 laadituista asiakirjoista (ja niiden säilyttämisestä)
• EU:n uusi yleinen tietosuoja-asetus kokonaisuudessaan
• Tietosuojavaltuutetun toimiston kotisivu, josta saa paljon lisätietoa henkilötietolakiin liittyen
• Valtionvarainministeriön raportti/ohje organisaatioille tietosuojauudistukseen (2018) liittyen
• Arkistolaki
• Kuntoutusyrittäjien malliasiakirjat löytyvät osoitteesta www.kuntoutusyrittajat.fi -> jäsensivut -> Lomakkeet -> Tietosuojaan liittyvät mallisopimukset
1.6.2018 34
KYSYMYKSIÄ?
1.6.2018 35
KIITOS!
1.6.2018 36