TIETOSUOJAVALTUUTETUN TOIMISTO TIETOSUOJAVALTUUTETUN TOIMISTO EU:n tietosuoja-asetus: Mitä uusi yleinen tietosuoja-asetus edellyttää organisaatiolta? Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry 13.2.2017 Ylitarkastaja Anna Hänninen
25
Embed
EU:n tietosuoja-asetus: Mitä uusi yleinen tietosuoja ... · EU:n tietosuoja-asetus: Mitä uusi yleinen tietosuoja-asetus edellyttää organisaatiolta? Toimistopäällikkö Heljä-Tuulia
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
– Rekisteröidyn oikeuksien ja rekisterinpitäjän velvollisuuksien kautta
• Tehokas valvontaviranomainen
– Hallinnolliset sanktiot
6
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuoja-asetus
• Kaikissa jäsenvaltioissa suoraan sovellettavaa oikeutta
– Kansallista liikkumavaraa
• Arvioidaan OM asettamassa TATTI-työryhmässä
• Sovelletaan 25.5.2018 alkaen niin yksityisellä kuin julkisella sektorilla
7
TIETOSUOJAVALTUUTETUN TOIMISTO
Vanhaa ja uutta
• Vanhojen käsitteiden rinnalle uusia
– Esim. pseudonymisointi, geneettiset tiedot, biometriset tiedot, profilointi
• Käsittelyn oikeusperusteiden, periaatteiden, rekisterinpitäjän velvoitteiden ja rekisteröityjen oikeuksien osalta uutta ja täsmennyksiä
• Aineellinen soveltamisala lähtökohtaisesti sama kuin direktiivissä
• Alueellinen soveltamisala laajenee
8
TIETOSUOJAVALTUUTETUN TOIMISTO
Henkilötietojen käsittelyn oikeusperusteet
• Tietosuoja-asetuksen 6 artikla
– Oikeutettu etu
• Tietosuoja-asetuksen 9 artikla (erityisiä henkilötietoryhmiä koskeva käsittely)
• Tietosuoja-asetuksen 10 artikla rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot
• Tietosuoja-asetuksen 5 luku henkilötietojen siirto kolmansiin maihin
• Käsittelyn oikeusperusteen lisäksi on täyttyvä muut tietosuoja-asetuksen velvoitteet ja periaatteet !
9
TIETOSUOJAVALTUUTETUN TOIMISTO
Muutoksia
• Tietosuojaa koskeva vaikutusten arviointi
• Tietosuojavastaavat
• Osoitusvelvollisuus
• Velvollisuus ilmoittaa tietoturvaloukkauksesta
– Tietosuojaviranomaisille
– Rekisteröidyille
• Sanktiot
• Rajat ylittävä valvonta
10
- DPIA
- PRIOR
CONSULTING
RISKIPERUSTEINEN
LÄHESTYMISTAPA
Henkilötietolaki ja TIETOSUOJA-
ASETUS
Arvioi oma toiminta
5-6 §
Aloitus
2§Suunnittelu
huolellisuus
5-6§
Nimeä vastuu-
henkilö
5§
Henkilötiedot
3§ 1 k, 9, 12-20 §
Tietoturvallisuus
32§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Käyttötarkoitus-
sidonnaisuus
7§
Ulkoistaminen
8.1§ 7-k
Oikeus käsitellä
8, 12, 13, 14-20§
Käsittelyn tarkoitus
3 § 3-k & 6 §
Käytön hallinnointi
5§
Rekisteröidyn
oikeudet
24-29§
Kouluta, ohjeista
5§
Viranomais-
ilmoitukset
36-37§
Informointi-
velvollisuus
24§
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Luovutukset
8, 12-20 § (6§)
Sisäänrakennettu ja oletusarvoinen tietosuoja 25 art.
Ulkomaille
siirrot
22-23§
Rekisteriseloste
10§HE
NK
ILÖ
RE
KIS
TE
RI
3§
3k
Vaitiolovelvollisuus
33 §
JulkL
JulkA 2 §
11
PROFILOINTI OSS
PRIVACY
BY
DEFAULT
- PSEUDONYYMIT
- GENEETTISET, BIOMETR.
- KIRJANPITOTIETOSUOJAVASTAAVA
- RAJOITUS
- PORTABILITY
- VASTUSTUS
ACCOUNTABILITY
YHDENMUKAISUUS-
MEKANISMIEDPB
- SERTIFIKAATIT
- AUDITOINNIT
PIA
DBN
PRIVACY
SHIELD
TIETOSUOJAVALTUUTETUN TOIMISTO
II Riskiperusteinen lähestymistapa, tietosuojaperiaatteet ja osoitusvelvollisuus
12
TIETOSUOJAVALTUUTETUN TOIMISTO
Riskiperusteinen lähestymistapa
• Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa
• Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.
13
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojaperiaatteet• Käsittelyn lainmukaisuus, kohtuullisuus ja
• Edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia
• Eri tasoilla:
– Miten periaatteet toteutuvat? Asetuksen noudattamisen osoittaminen?
• Sertifikaatit ja käytännesäännöt
15
TIETOSUOJAVALTUUTETUN TOIMISTO
Sisäänrakennettu ja oletusarvoinen tietosuoja
• Tietosuojaperiaatteet otetaan tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa – toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset
tekniset ja organisatoriset toimenpiteet
• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja
• Tietosuojaa koskevat kysymykset tunnistetaan ja otetaan huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä
- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittely toimista, jotka luonteensa, laajuutensa ja/tai tarkoitusten vuoksi edellyttävät laajamittaistarekisteröityjen säännöllistä ja järjestelmällistä seurantaa
- Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 art. tai 10 art. mukaisiin tietoihin.
- Myös vapaaehtoisesti tietosuojavastaava tai muu henkilö?
21
TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojavastaavan asema
• Otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn