Tietosuojavaltuutetun toimisto
Johdon vastuu ja velvollisuudet
tietosuoja-asioissa
Reijo Aarnio
tietosuojavaltuutettu
Johdon tietosuojaseminaari
Paasitorni
1
Euroopan neuvoston tietosuojapäivä
28.1.2016
”YLIKOROSTETUSTA TIETOSUOJASTA ON TULLUT
TIETOTEKNIIKAN LIITO-ORAVA”
- Esko Aho, SITRAN yliasiamies
(Tekniikka ja talous, 2.4.2005)
TIETOSUOJAVALTUUTETUN TOIMISTO
SITRA 2005
Image:
CC0 Public Domain
https://pixabay.com/fi
TIETOTEKNIIKAN
KEHITTÄMINEN
2
VTV/TARKASTUSKERTOMUS 8/98
”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ” / luku 7
TIETOSUOJA JA TIEDON KÄSITTELYN KEHITYS -
ESTÄÄKÖ YKSILÖNSUOJA JULKISEN VALLAN
ATK-RESURSSIEN HYÖDYNTÄMISEN?
”tietosuojamääräykset, jotka lähtökohtaisesti on luotu turvaamaan
yksilön oikeuksia, ovat käyttötarkoitusperiaatteen generoimana
vahvistaneet rekisterien syntyä lähinnä vain omaa käyttötarkoitustaan
vastaavalle toiminnolle. Pelkistetysti on hahmoteltavissa tilanne, jossa
yksilöstä on tallennettuna tietoja yhä useampaan rekisteriin, yksilön
tietojen yhdistely eri hallinnonalojen alaisten rekisterien välillä on
vaikeaa, ja vaatii viranomaisilta harvaan esiintynyttä aktiivisuutta”
TIETOSUOJAVALTUUTETUN TOIMISTO 3
VIRANOMAISNÄKEMYKSIÄ TIETOSUOJALAINSÄÄDÄNNÖN
HAITOISTA
TIETOSUOJAVALTUUTETUN TOIMISTO
”kokonaisuudessaan tulos oli sellainen, että kyselyn kohteena olleesta 10
ministeriöstä ja kahdesta laitoksesta puolet ilmoitti jollakin toiminta-
lohkollaan havaitun tietosuojalainsäädännöstä aiheutuneen ongelmia”
VTV/TARKASTUSKERTOMUS 8/98
”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ”/ luku 8
KTM:
”Kauppa- ja teollisuusministeriön hallintoyksikkö näkee tietosuoja-
lainsäädännän yleisesti ottaen rajoittavana tekijänä. Tietosuojasäännökset
nähdään hajanaisina ja usein tulkintamahdollisuuksia sisältävinä”
LM / Telehallintokeskus:
”Tietosuojalaki ja sen tiukka tulkinta ovat haitanneet luvattoman television-
käytön vähentämistä”
VM:
”Näin ollen joissakin tapauksissa välillisesti ilman selviä lainsäädännön
esteitä tietosuojalainsäädäntö on jarruttanut tiedonkeruun rationalisointia
ja rekistereiden yhteiskäytön kehittämistä” 4
VTV/TARKASTUSKERTOMUS 8/98
”TIETOSUOJA JA VIRANOMAISYHTEISTYÖ” / luku 9
JOHTOPÄÄTELMÄT JA TARKASTUSVIRASTON KANNANOTOT
”Automaattiseen tietojenkäsittelyyn liittyvän teknologisen kehityksen
mukanaantuomia hyötyjä ei hallinnon sisällä ole kyetty ulosmittaamaan
sillä teholla, mihin voimassaoleva lainsäädäntö antaisi mahdollisuudet.
Yhtenä keskeisistä syistä tähän ovat vaikuttaneet eri hallinnonalojen
sisäisen erityislainsäädännön puutteellisuudet”
”Tietosuojaa koskeva laki on yleinen, ns. puitelaki. Jos varsinaisessa
asiakohtaisessa lainsäädännössä on tietojenluovutusta koskeva säädös
laadittu silmälläpitäen yhteistyön mahdollisuutta, ei tietosuojalaki ole
esteenä viranomaisten eri tarkoitusta varten keräämien tietojen
hyödyntämiselle muussa tarkoituksessa. Tarkastusvirasto toteaa, että
rekisteriyhteistyön edellytysten luominen lähtee lainsäädännölliseltä
pohjalta; mahdollisuus kitkattomampaan rekisterin käyttöön luodaan tällä
tavalla” TIETOSUOJAVALTUUTETUN TOIMISTO
5
Laki potilaan asemasta ja oikeuksista (785/1992)
12 § (30.6.2000/653)
Potilasasiakirjat ja hoitoon liittyvä muu materiaali
12.1 Terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee säilyttää potilasasiakirjat sekä tutkimuksessa ja hoidossa syntyvät biologista materiaalia sisältävät näytteet ja elinmallit potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Potilasasiakirjat, näytteet ja mallit tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole edellä tarkoitettua perustetta.
6 TIETOSUOJAVALTUUTETUN TOIMISTO
4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali
Laki potilaan asemasta ja oikeuksista (785/1992)
13 § (30.6.2000/653)
Potilasasiakirjoihin sisältyvien tietojen salassapito
13.1 Potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. 13.2 Terveydenhuollon ammattihenkilö tai muu terveydenhuollon
toimintayksikössä työskentelevä taikka sen tehtäviä suorittava
henkilö ei saa ilman potilaan kirjallista suostumusta antaa
sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan
tässä laissa muita kuin asianomaisessa toimintayksikössä tai
sen toimeksiannosta potilaan hoitoon tai siihen liittyviin
tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen.
7 TIETOSUOJAVALTUUTETUN TOIMISTO
4 LUKU Potilasasiakirjat ja hoitoon liittyvä materiaali
Euroopan parlamentin ja neuvoston direktiivi 95/46/EY
annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta
8
TIETOSUOJAVALTUUTETUN TOIMISTO
II LUKU YLEISET SÄÄNNÖT HENKILÖTIETOJEN KÄSITTELYN LAILLISUUDESTA
III JAKSO TIETOJENKÄSITTELYN ERITYISET RYHMÄT
8 artikla
Erityisiä tietoryhmiä koskeva tietojenkäsittely
8.1 Jäsenvaltioiden on kiellettävä …. terveyteen ja seksuaaliseen käyttäytymiseen
liittyvien tietojen käsittely.
8.3 Sitä, mitä 1 kohdassa säädetään, ei sovelleta, jos tietojenkäsittely on
tarpeen ennaltaehkäisevää lääketiedettä tai lääketieteellisiä diagnooseja
koskevia tarkoituksia varten, hoidon tai käsittelyn suorittamista varten
taikka terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja
käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota
kansallinen lainsäädäntö tai toimivaltaisten kansallisten viranomaisten
asettama salassapitovelvollisuus koskee, tai jos tietoja käsittelee muu henkilö,
jolla on vastaava velvoite.
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)
10 § Potilastietojen luovuttaminen
9
TIETOSUOJAVALTUUTETUN TOIMISTO
3 luku Potilastietojen sähköinen luovuttaminen valtakunnallisten tietojärjestelmäpalvelujen avulla
Potilastietoja saa luovuttaa 14 §:ssä tarkoitettujen valtakunnallisten tietojärjestelmäpalvelujen avulla ainoastaan toiselle terveydenhuollon palvelujen antajalle potilaan terveyden- ja sairaanhoidon järjestämiseksi ja toteuttamiseksi. Luovutuksen tulee perustua joko potilaan antamaan suostumukseen, potilaslain 13 §:n 3 momentin 3 kohtaan tai muuhun luovutuksen oikeuttavaan lain säännökseen. (21.12.2010/1227)
Henkilötietolaki (523/1999)
3 §
Määritelmät
10
TIETOSUOJAVALTUUTETUN TOIMISTO
1 luku Yleiset säännökset
Tässä laissa tarkoitetaan: 2) henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä;
Henkilötietolaki (523/1999)
3 §
Määritelmät
11
TIETOSUOJAVALTUUTETUN TOIMISTO
1 luku Yleiset säännökset
Tässä laissa tarkoitetaan: 6) sivullisella muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää
Henkilötietolaki (523/1999)
8 §
Käsittelyn yleiset edellytykset
12
TIETOSUOJAVALTUUTETUN TOIMISTO
2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet
Henkilötietoja saa käsitellä ainoastaan:
8.1.4 Jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta 8.1.5 jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus)
Henkilötietolaki (523/1999)
12 §
Poikkeukset arkaluonteisten tietojen käsittelykiellosta
13
TIETOSUOJAVALTUUTETUN TOIMISTO
3 luku Arkaluonteiset tiedot ja henkilötunnus
12.1.5 On sallittua …. …. tietojen käsittely, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;
Henkilötietolaki (523/1999)
8 §
Käsittelyn yleiset edellytykset
14 TIETOSUOJAVALTUUTETUN TOIMISTO
2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet
8.4 Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.
VIRANOMAISTEN (SALASSAPIDETTÄVIEN) TIETOJEN LUOVUTTAMINEN
Henkilötietolaki
8 § 4 mom
- - - - - - - - - - - - -
viranomaisten
tietojen
luovuttaminen
julkisuuslain mukaan
(laki viranomaisten
toiminnan
julkisuudesta)
- - - - - - - - - - - - -
henkilötietojen
käsittely
suunniteltava ja
määriteltävä
käyttötarkoitus
(6 §)
Laki viranomaisten
toiminnan
julkisuudesta
- - - - - - - - - - - - - - -
- 24 § salassapito-
säännös
- salassapidettävien
tietojen
luovuttamisen
edellytykset
26 § - 30 §
* lainsäännös,
suostumus,
toimeksianto
ERITYISLAKIEN
SALASSAPITO- JA
LUOVUTUS-
SÄÄNNÖKSET esim.
- - - - - - - - - - - - - - - - - - -
L sosiaalihuollon
asiakkaan asemasta ja
oikeuksista
- salassapito 14 §
- luovutus 16 § - 18 §
- tiedonsaantioikeus
20 §
- - - - - - - - - - - - - - - - - - -
L potilaan asemasta ja
oikeuksista
- salassapito ja
luovutus 13 §
- - - - - - - - - - - - - - - - - - -
Sekä muut erityislait
TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014
EI
SOVELLETA,
koska:
LUOVUTUKSEEN SOVELLETAAN
Henkilötietolaki
8 § ja 12 § + 6 §
- - - - - - - - - - - - - -
- tietojen
vastaanottajalla
tulee olla oikeus
käsitellä saamiaan
tietoja
Esim. lakisääteinen
tehtävä tai
asiakassuhde
- - - - - - - - - - - - - - -
henkilötietojen
käsittely
suunniteltava ja
määriteltävä
käyttötarkoitus
(6 §)
Tiedon pyytäjä
(rekisterinpitäjä B)
Tiedon luovuttaja
(rekisterinpitäjä A)
Oma-aloitteinen ilmoitusoikeus tai -velvollisuus
pyyntö / luovutus
15
UUDEN AIKAKAUDEN KYNNYKSELLÄ
Reijo Aarnio
tietosuojavaltuutettu Tietosuojavaltuutetun toimisto
16
EKOSYSTEEMI
VERKKO (WEB) PALVELUT
Prop.
apps
Operating apps
(Laite) hardware
Verkko infra
3rd party
apps
TIETOSUOJAVALTUUTETUN TOIMISTO 17
”MAISEMA”
1. KULUTTAJANSUOJAN HARMONISOINTI
2. EU:N KAUPPALAIN HARMONISOINTI
3. TIETOSUOJAN HARMONISOINTI
► DIGITAALISTEN SISÄMARKKINOINTIEN
”BUUSTAAMINEN”
TIETOSUOJAVALTUUTETUN TOIMISTO 18
Mitä ? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin ”uusia” asioita: - COMPLIANCE; (”sääntöjen noudattaminen”)
- Asetuksessa mennään pitemmälle - ACCOUNTABILITY; TIETOTILINPÄÄTÖS
- Tilintekokykyisyys eli osoita että noudatat lakeja - PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)
- Henkilötietolain 6 § - PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu)
- Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s-postin tietoturvasta.
- Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit)
TIETOSUOJAVALTUUTETUN TOIMISTO 19
”PRIVACY BY DEFAULT””
”OLETUSARVOINEN JA SISÄÄNRAKENNETTU
TIETOSUOJA”
• vastuu ”mökin mummolta”
palvelun toimittajalle
20 TIETOSUOJAVALTUUTETUN TOIMISTO
ACCOUNTABILITY
• WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA (13.7.2010) ”passiivisesta” compliancesta ”aktiiviseksi” accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuoja- periaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava
TIETOSUOJAVALTUUTETUN TOIMISTO 21
Henkilötietolaki (523/1999)
22
6 § Henkilötietojen käsittelyn suunnittelu
Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua
rekisterinpitäjän toiminnan kannalta. Henkilötietojen
käsittelyn tarkoitukset sekä se, mistä henkilötiedot
säännönmukaisesti hankitaan ja mihin niitä
säännönmukaisesti luovutetaan , on määriteltävä ennen
henkilötietojen keräämistä tai muodostamista
henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus
tulee määritellä siten, että siitä ilmenee, minkälaisten
rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja
käsitellään. TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DESIGN”
HENKILÖTIETOLAKI
Arvioi oma toiminta
5-6 §
Aloitus
2§
Suunnittelu
huolellisuus
5-6§
Nimeä vastuu-
henkilö
5§
Henkilötiedot
3§ 1 k, 9, 12-20 §
Tietoturvallisuus
32§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Käyttötarkoitus-
sidonnaisuus
7§
Ulkoistaminen
8.1§ 7-k
Oikeus käsitellä
8, 12, 13, 14-20§
Käsittelyn tarkoitus
3 § 3-k & 6 §
Käytön hallinnointi
5§
Rekisteröidyn
oikeudet
24-29§
Kouluta, ohjeista
5§
Viranomaisilmoitukset
36-37§
Informointi-
velvollisuus
24§
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Luovutukset
8, 12-20 § (6§)
Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja
lainmukaisuuden arviointi
Ulkomaille
siirrot
22-23§
Rekisteriseloste
10§ HE
NK
ILÖ
RE
KIS
TE
RI 3§
3k
Vaitiolovelvollisuus
33 §
JulkL
JulkA 2 §
TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DESIGN”
23 23
TOIMENPITEET REKISTERINPITÄJILLE:
1) Määrää tietosuojan isäntä; Tietosuojavastaava
2) Analysoi henkilötietovarastosi ja –prosessit
eliminoi turhat
3) Tee riskiarvio; arvioi myös sopimuksesi
4) Laadi toimintaohjeet ja –ohjelmat eri tilanteiden varalta;
esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne.
5) Huolehdi tietoturvasta, käytä salauksia
6) Huolehdi henkilöstön osaamisesta
7) Valvo henkilötietojen käyttöä
8) Käytä henkilötietolakia apunasi
9) Tunnista muu lainsäädäntö
10) Luo sisäinen ja ulkoinen raportointijärjestelmä;
LAADI ”TIETOTILINPÄÄTÖS”
TIETOSUOJAVALTUUTETUN TOIMISTO 24
Tietosuojavastaavan
toimenkuva
Tietosuojavastaavan tehtävänä on organisaation
erityisasiantuntijana auttaa rekisterinpitäjää
saavuttamaan hyvän henkilötietojen
käsittelytavan2 ja mahdollisten erityislakien
edellyttämä korkea tietosuojan taso, jonka avulla
voidaan rakentaa ja säilyttää luottamus
rekisteröidyn ja rekisterinpitäjän välille. Näin ollen
tietosuojavastaavan tehtävänä on antaa
asiantuntija-apua sekä organisaation
henkilöstölle että ennen kaikkea johdolle, jolla on
viimekätinen vastuu rekisterinpitäjänä
henkilötietojen käsittelystä.
TIETOSUOJAVALTUUTETUN TOIMISTO 25
Tietosuojavastaavan tehtävät ja asema
• Tehtävien laajuus sovitaan erikseen työsopimuksessa ja tehtäväkuvauksessa
– Lähtökohtaisesti tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa
– Päätökset tekee hallinnollinen johto
– Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita tietosuojavastaavalle
• Tietosuojavastaavan tehtävän voi ulkoistaa
• Tietosuojavastaavan nimi ilmoitettava valvovalle viranomaiselle
26 TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOTILINPÄÄTÖS
Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista.
Tietotilinpäätöksen tarkoituksena on toimia dynaamisena työkaluna, joka palvelee organisaation johdon tarpeita ja lisää asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin.
TIETOSUOJAVALTUUTETUN TOIMISTO 27
Mitä ? - DATA BREACH NOTIFICATION; (tietoturvaloukkauksista
ilmoittaminen) - Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle
- mm. tietomurto ja henkilörekisteririkos
- VALVONTAVIRANOMAISTEN ROOLIN
VAHVISTAMINEN; (viranomaisten toimivalta muuttuu) - TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja
aina EY-tuomioistuimeen asti
- RIGHT TO BE FORGOTTEN; (oikeus unohtaa) - Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot
poistetaan
-
RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) - Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta-
asiakasjärjestelmät)
TIETOSUOJAVALTUUTETUN TOIMISTO 28
SEURAAMUKSET
• SAKOTUSTOIMIVALTA velvollisuus
• kts. Artikla 79
• 20 000 000 euroa tai 4 % liikevaihdosta
• KUKA MÄÄRÄÄ?
TIETOSUOJAVALTUUTETUN TOIMISTO 29
30
EU-lainsäädännön soveltamisen valvonta
EU-lainsäädäntö jakaantuu ns. primaari- ja
sekundaarilainsäädäntöön. Primaarilainsäädännöllä tarkoitetaan
ennen muuta perussopimuksia, jotka ovat EU:n kaiken toiminnan
perusta.
Sekundaarilainsäädäntöä kutsutaan myös johdetuksi
lainsäädännöksi, sillä se johdetaan perussopimuksissa määritellyistä
periaatteista ja tavoitteista. Sekundaarilainsäädäntöön kuuluu
asetuksia, direktiivejä ja päätöksiä.
Jäsenmailla on ensisijainen vastuu EU:n perussopimusten ja
lainsäädännön asianmukaisesta ja oikea-aikaisesta
soveltamisesta, ja Euroopan komissio valvoo tätä toimintaa.
► sellaisenaan voimassa TIETOSUOJAVALTUUTETUN TOIMISTO
Henkilötietojen käsittelyn lainmukaisuus 6 artikla
• Yksiselitteinen suostumus
• Sopimus
• Rekisterinpitäjän lakisääteiset velvoitteet
• Rekisteröidyn elintärkeä etu
• Yleistä etua koskeva tehtävä / rekisterinpitäjälle
kuuluva julkinen valta
• Rekisterinpitäjän oikeutettu etu
• Henkilötietojen käsittely historiallisia, tilastollisia
ja tutkimustarkoituksia varten,
arkistointitarkoitukset
• Henkilötietojen jatkokäsittely
31 TIETOSUOJAVALTUUTETUN TOIMISTO
Luonnos/9 artikla
Article 9
Processing of special categories of personal data
(h) processing is necessary for the purposes of preventive or
occupational medicine, for the assessment of the working
capacity of the employee, medical diagnosis, the provision of
health or social care or treatment or the management of health or
social care systems and services on the basis of Union law or
Member State law or pursuant to contract with a health
professional and subject to the conditions and safeguards
referred to in paragraph 4; or
(hb) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union law or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;
32 TIETOSUOJAVALTUUTETUN TOIMISTO
HALLITUSOHJELMAN KÄRKIHANKKEITA
- Digitalisaatio on hallituksen strategian läpileikkaava teema luottamus, vuorovaikutus,
kokemusasiantuntemus/kokeilukulttuuri, digitaalinen liiketoiminta ja palvelut,
omatoimisuus
- perustetaan Esineiden internet – ohjelma koordinoi eri ministeriöiden toimet
- vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä,
sujuva tietojen siirtyminen viranomaisten välillä
- Julkisten palvelujen avaaminen kilpailu, verkkotoiminta
- Verot ja verotustiedot
- sosiaali- ja terveyspalvelujen uudistus; tietojärjestelmät, tietojen siirto ja luovutus,
alihankinta, kokonaisarkkitehtuurin kehitys ja valvonta
- sähköiset palvelut omahoidossa ja neuvonnassa, terveysteknologia
- kuntauudistus; tietojärjestelmät, tietojen siirto ja luovutus
- työvoimahallinnon toimivuus; tietojärjestelmät, tietojen siirto ja luovutus
- palveluiden asiakaslähtöisyys, palveluketjuja yli hallinnonrajojen, innovatiivisuus
- kustannus karsiminen joustavilla palveluprosesseilla ja lainsäädännöllä
- palveluväylähankkeet
- yhteistyö, yhteispalvelupisteet viranomaisten ja kuntien kanssa
- tietojen siirto hallitusti, prosessien nopeutus digitalisaation avulla ja viranomaisten välistä
tiedonvaihtoa vahvistamalla
33 TIETOSUOJAVALTUUTETUN TOIMISTO
UUSI ULJAS TIETOSUOJA
- SEITSEMÄN OHJETTA
LIIKETOIMINTAJOHDOLLE
Reijo Aarnio
tietosuojavaltuutettu Tietosuojavaltuutetun toimisto
Tietosuoja-asetus paketissa, yrityksesi solmussa?
34
35
1. ARVIOI NYKYTILANNE
TIETOSUOJAVALTUUTETUN TOIMISTO
Henkilötietolaki (523/1999)
36
6 § Henkilötietojen käsittelyn suunnittelu
Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua
rekisterinpitäjän toiminnan kannalta. Henkilötietojen
käsittelyn tarkoitukset sekä se, mistä henkilötiedot
säännönmukaisesti hankitaan ja mihin niitä
säännönmukaisesti luovutetaan, on määriteltävä ennen
henkilötietojen keräämistä tai muodostamista
henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus
tulee määritellä siten, että siitä ilmenee, minkälaisten
rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja
käsitellään. TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DESIGN”
2. OTA OPPAAKSI HENKILÖTIETOLAKI
HENKILÖTIETOLAKI
Arvioi oma toiminta
5-6 §
Aloitus
2§
Suunnittelu
huolellisuus
5-6§
Nimeä vastuu-
henkilö
5§
Henkilötiedot
3§ 1 k, 9, 12-20 §
Tietoturvallisuus
32§
Mistä henkilötiedot
kerätään
8, 9, 12-20 §
Käyttötarkoitus-
sidonnaisuus
7§
Ulkoistaminen
8.1§ 7-k
Oikeus käsitellä
8, 12, 13, 14-20§
Käsittelyn tarkoitus
3 § 3-k & 6 §
Käytön hallinnointi
5§
Rekisteröidyn
oikeudet
24-29§
Kouluta, ohjeista
5§
Viranomaisilmoitukset
36-37§
Informointi-
velvollisuus
24§
Hävitä, arkistoi
12.2 §, 21 §,
19.1 § 1k
34-35 §
Luovutukset
8, 12-20 § (6§)
Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja
lainmukaisuuden arviointi
Ulkomaille
siirrot
22-23§
Rekisteriseloste
10§ HE
NK
ILÖ
RE
KIS
TE
RI 3§
3k
Vaitiolovelvollisuus
33 §
JulkL
JulkA 2 §
TIETOSUOJAVALTUUTETUN TOIMISTO
”PRIVACY BY DESIGN”
37
38
3. VARMISTA ORGANISAATIOSI
OSAAMINEN
►TIETOSUOJAVASTAAVAT
- oikeusvarmuus
- investoinnit
- hallinnolliset sanktiot
TIETOSUOJAVALTUUTETUN TOIMISTO
39
4.
MUISTA, ETTÄ ET VOI ULKOISTAA
VASTUUTASI
► DBN = Data Breach Notification
► varaudu poikkeustilanteisiin
► tietosuojavastaavan nimeäminen
ei poista vastuuta
TIETOSUOJAVALTUUTETUN TOIMISTO
40
5. RAKENNA LUOTTAMUS
► Accountability
► Privacy by Default
► tietotilinpäätös
► sertifikaatit
► auditoinnit
TIETOSUOJAVALTUUTETUN TOIMISTO
41
6. OLE EUROOPPALAINEN
► EU-USA
► SAFE HARBOR
► soveltamisala
► Privacy Bridges
► EUCJ:n tuomiot: - WELTIMMO
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJA ON MENESTYSTEKIJÄ !
TIETOSUOJAVALTUUTETUN TOIMISTO
= TIETOSUOJAVALTUUTETUN
TOIMISTON VISIO
7. MUUTA PARADIGMASI
POSITIIVISEKSI
42
Vaakakupin toinen puoli / tasapaino ;
eReseptiL (61/2007) 24 §; AsiakastietoL (159/2007) 19 § ja 20 §
1) Tietosuojatyön organisointivelvollisuus johdolla • Tietosuojavastaava nimettävä organisaatioon sekä • tietosuojatyön tekemiseen tietosuojavastaavan tehtävät,
toimenkuva ja resurssit määriteltävä (tarvittaessa tietosuojaryhmä)
2) Vastaavan johtajan velvollisuus • Johdon annettava kirjalliset ohjeet työntekijöille asiakastietojen
käsittelystä + varmistuttava henkilöstön tietosuojaosaamisesta
3) Rekisterinpitäjän velvollisuus käytönvalvontaan • lokitietojen kerääminen ja pitkäaikaissäilytys sekä asiakastietojen
käytön seuranta ja valvonta jälkikäteen • Viimekätinen vastuu johdolla, että lokivalvontaa tehdään, ja se on
ulospäin uskottavaa
4) Kansalaisen omien asiakastietojen lokimerkintöjen eKatselu 5) Tietojärjestelmien ja organisaation auditoinnit sekä
omavalvontasuunnitelma
43
TIETOSUOJAVALTUUTETUN TOIMISTO
TIETOSUOJAVALTUUTETUN TOIMISTO
Vuoden 2014 sähköisen reseptin tietosuojakysely
Tietosuojavastaaville tehty kysely osoittaa, että tietosuoja-asiat ovat
suhteellisen hyvin hoidossa terveydenhuollossa ja apteekeissa.
Vastaukset kuitenkin kertovat, että esimerkiksi tietosuojavastaavan
toimenkuvan määrittelemisessä ja tietojen käsittelyn valvonnassa on
kehitettävää.
Positiivista on se, että suurimmassa osassa apteekkeja ja julkista ja
yksityistä terveydenhuoltoa on työntekijöiltä vaadittu kirjallinen
salassapito- ja käyttäjäsitoumus. Tietosuojaa myös pidetään erittäin
tärkeänä kaikkien vastaajien keskuudessa. Vastaajat toivovat
toimenkuvansa selkeyttämistä, selkeitä ohjeita ja koulutusta
tehtävänsä hoitamiseen. 44
TIETOSUOJAVALTUUTETUN TOIMISTO 45
ESTEESTÄ -
MENESTYSTEKIJÄKSI
Mahdollisuutena SOTE-sektorilla ja apteekeissa, kun organisaation johto
1. organisoi tuottavalla ja tehokkaalla tavalla tietosuojatyön
2. hyödyntää tietosuojavastaavan riittävillä resursseilla
3. laatii kirjalliset ohjeet ja kouluttaa henkilöstön sekä varmistuu työntekijöiden tietosuojaosaamisesta:
a. Henkilöstön osaaminen ja oikeusturva paranevat sekä b. potilasturvallisuus paranee, c. organisaation tuottavuus ja tehokkuus kasvaa sekä
saadaan aikaan kustannussäästöjä, d. samalla potilaan/asiakkaan tietosuoja ja oikeusturva
ovat riittävällä tasolla, e. organisaatio näyttää ulospäin luotettavalta palvelujen
antajalta ja yhteistyökumppanilta.
46 TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojan Jyväskylän julistus
Julkaistu 26.11.2015
Tietosuojavaltuutetun toimisto, kuultuaan Jyväskylään 11.-12.11. 2015 kokoontuneen sosiaali- ja terveydenhuoltoalan Tellu-Sohvi -seminaarin asiantuntevaa yleisöä, on antanut seuraavan julistuksen;
Julistus
Sosiaali- ja terveystoimi on edelleen kiihtyvässä murroksessa. Tehtyjen merkittävien kansallisten ratkaisujen lisäksi näköpiirissä on uuden eurooppalaisen tietosuojasääntelyn huomioiminen. Sen avulla pyritään harmonisoimaan eurooppalaista sääntelyä ja edesauttamaan luottamuksen rakentamisessa. Suomessa luottamuspääoma on edelleen säilynyt korkeana. Se on uudistusten osalta erinomainen ponnahduslauta uuteen järjestelmään siirtymisessä. ►
47 TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojan Jyväskylän julistus
Seminaari korostaa, että;
- myös asiakkaan hyvinvoinnin, mukaanlukien oikeudellisen hyvinvoinnin on oltava muutoksen moottorina
- tietosuojaa on hyödynnetty riittämättömästi voimavarana ja menestystekijänä
- hallinnon, organisaatioiden ja teknologian hyödyntämisen muutoksessa on luottamuspääoma turvattava
- toimijoiden on saatava riittävästi selkeää, mahdollistavaa ohjausta, joka annetaan kaikille yhteisellä ja ymmärrettävällä kielellä. Ohjauksen mahdollistavuudella on pyrittävä osoittamaan oikeat toimintatavat eri tilanteissa
- digitalisaatio voi myös parantaa asiakkaiden tietosuojaa ja sen perusteena olevaa itsemääräämisoikeutta. Tietoturvallisten teknologioiden suunnittelua ja käyttöä pitäisi edistää ja toimijoiden käyttöön pitäisi saada esimerkiksi omavalvontaa tukevia sovelluksia
48 TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojan Jyväskylän julistus
- esimerkiksi EU:n tietosuojauudistuksen yhteydessä, oikeusvaltion periaatteita noudattaen on huolehdittava, että hallinnonrajat ylittävälle yhteistyölle on vahva lainsäädännöllinen pohja. Salassapitosäännösten ja palveluita antavien tahojen velvoittavia tehtäviä ja toimivaltaa koskevien säännösten on oltava asiakkaita palvelevasti tasapainossa
- lainvalmisteluun on varattava riittävät resurssit,
- tietosuojavastaavat ovat merkittävä osa kansallista osaamispääomaa. Huono osaaminen puolestaan aiheuttaa epävarmuutta ja toimimattomuutta, josta aiheutuu tarpeettomia kustannuksia ja tuottavuuden alenemista,
- se, joka osallistuu palvelun antamiseen ei ole sivullinen.
49 TIETOSUOJAVALTUUTETUN TOIMISTO
Tietosuojan Jyväskylän julistus
Jyväskylässä pidettyyn Sote -tietosuojaseminaariin osallistui jälleen lähes kolmesataa henkilöä. Seminaari järjestettiin yhteistyössä Suomen Kuntaliiton, Jyväskylän kaupungin, Keski-Suomen sairaanhoitopiirin ja FCG Koulutus Oy:n kanssa Seminaarin ohjelman suuunnittelusta vastasivat tietosuojavaltuutetun toimiston koollekutsumat Sohvi- ja Tellu -ohjausryhmät.
50 TIETOSUOJAVALTUUTETUN TOIMISTO
51
SITRA 2016
Sitra on käynnistänyt uuden hankekokonaisuuden, jonka avulla valmistellaan
hyvinvointidatan kokoamiseen ja koordinointiin keskittyvän toimijan perustamista.
Toimijan työnimenä on Isaacus – hyvinvoinnin palveluoperaattori.
Palveluoperaattorin tehtävänä on tarjota eri tietolähteistä ja -rekistereistä saatavaa
hyvinvointiin vaikuttavaa tietoa, (esim. potilastiedot, demografiset tiedot,
elintapatiedot) ja avointa dataa yhden luukun kautta. Tiedon kokoamisessa ja
käsittelyssä korostetaan tietosuojaa, tietoturvaa ja yksilön asemaa
keskeisenä päättäjänä, mihin hänen tietojaan käytetään ja kuka niitä käyttää.
Ratkaisun etuna on, että hyvinvointiin vaikuttava kaikki data
yksilön oikeudet huomioiden saadaan hyötykäyttöön
Suomessa.
TIETOSUOJA ON
MENESTYSTEKIJÄ! TIETOSUOJAVALTUUTETUN TOIMISTO
Image:
CC0 Public Domain
https://pixabay.com/fi
Reijo Aarnio
tietosuojavaltuutettu
Tiedon laatu
= Toiminnan laatu
KIITOS KUUNTELUSTA!
LISÄTIETOJA:
www.tietosuoja.fi
Tietosuojavaltuutetun toimisto 52