MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA ......Twitter: @pveps @tikkasec #GDPR #tietosuoja EU:n tietosuoja-asetus astui voimaan toukokuussa 2016 Lain keskeinen tehtävä on suojella

Pekka Vepsäläinen +358 40 152 2628 [email protected] @pveps @tikkasec

MITÄ EU:N TIETOSUOJA-ASETUS

TARKOITTAA YRITYSTOIMINNAN

KANNALTA?

KESKI-SUOMEN XXVI MATKAILUPARLAMENTTI 2017

15.11.2017

Pekka Vepsäläinen

Tikkasec Oy

mailto:[email protected]

Twitter: @pveps @tikkasec #GDPR #tietosuoja

Twitter: @pveps @tikkasec


HAASTE


➢EU:n tietosuoja-asetus astui voimaan toukokuussa 2016

➢ Lain keskeinen tehtävä on suojella EU-kansalaisten henkilötietoja ja oikeuksia

➢Toisaalta tietosuojalainsäädännön yhtenäistäminen EU:n jäsenmaiden välillä

➢ Laki koskee kaikkia organisaatioita, jotka käsittelevät EU-kansalaisten henkilötietoja

➢2 vuoden siirtymäaika päättyy 25.5.2018

Laki muuttuu


Tietosuoja-asetuksen sisältö ja tavoite

Kansalaisille

enemmän

oikeuksia

Rekisterinpitäjille

uusia

velvollisuuksia

Viranomaisille

laajempia

valtuuksia

EU-tasolla

vahva,

yhtenäinen ja

kattava

tietosuojan

kehys

Digitaalisten

sisämarkkinoiden

kehittyminen (Digital

Single Market)


➢ Lähes satasivuinen laki työllistää varsin paljon:

➢Miten lähdetään purkamaan lakitekstiä?

➢Mikä on nykytila suhteessa asetuksen vaatimuksiin?

➢Mistä löydetään käytännön ratkaisut ja kumppanit havaittuihin kehittämistarpeisiin?

➢Millä aikataululla ja resursseillavelvoitteet voidaan toteuttaa?

Kivinen tie


GDPR PERUSKÄSITTEET


➢Tietosuoja-asetus ei yksiselitteisesti määrittele, mikä on henkilötietoa.

➢Asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa.

➢Henkilötietoja voivat näin ollen tilanteesta riippuen olla esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IP-osoite, jne.

➢ 4 artikla, kohta 1: ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella

GDPR Peruskäsitteet - Henkilötieto


➢Rekisteröity (data subject)➢Luonnollinen henkilö, jonka

henkilötietoa kerätään ja/tai käsitellään• Tietosuoja-asetus ei koske

kuolleita henkilöitä

GDPR Peruskäsitteet - Rekisteröity


➢Henkilötietojen käsittelyä manuaalisesti tai automaattisesti.

➢Käsittelyä on tietojen kerääminen, tallentaminen, järjestäminen, muokkaaminen, haku, tietojen luovuttaminen, jne.

➢Käsittelystä säädetään asetuksessa useissa eri artikloissa, esim.• 29 artikla: Tietojen käsittely rekisterinpitäjän tai

henkilötietojen käsittelijän alaisuudessa

• 30 artikla: Seloste käsittelytoimista

• 32 artikla: Käsittelyn turvallisuus

➢ 4 artikla, kohta 2: ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

GDPR Peruskäsitteet - Käsittely


➢Rekisteri on henkilötietojen tietojoukko, joka voi sijaita yhdessä tai useammassa tietojärjestelmässä, myös manuaaliset järjestelmät huomioiden

➢Esimerkiksi käyttäjärekisteri ja jäsenrekisteri ovat henkilörekistereitä• Verkkokauppoihin ja kirjautumista vaativiin

palveluihin syntyy väistämättä henkilörekisteri

➢4 artikla, kohta 6: ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

GDPR Peruskäsitteet - Rekisteri


➢ Rekisterinpitäjä (data controller)

➢ Luonnollinen henkilö, yritys, viranomainen, yhdistys, laitos tai säätiö.

➢ Juridisessa vastuussa rekisteristä, joka määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu

➢ Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa • rekisterin käyttötarkoitus,

• kerättävät tiedot ja niiden tietolähteet,

• rekisterin suojaus sekä

• rekisterinpitäjän yhteystiedot.

➢ 4 artikla, kohta 7: ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

GDPR Peruskäsitteet - Rekisterinpitäjä


➢ Käsittelijä (data processor)

➢ Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta• Esim. digitaalisten palveluiden toimittajat

käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa

➢ Käsittelijän on käsiteltävä henkilötietoja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti

• paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan

➢4 artikla, kohta 8: ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

GDPR Peruskäsitteet - Käsittelijä


➢Suostumus (consent): henkilön antama lupa tallentaa ja käsitellä omia henkilötietojaan• Rekisteröidyn vapaaehtoinen ja

informoitu suostumus

• Oltava yksiselitteinen tahdonilmaushenkilötietojen käsittelylle

• Jatkossa ns. ”Opt-in”!• ”Rasti ruutuun, jos ET halua, että sinulle

lähetetään markkinointiviestejä”

• Vs.

• ”Rasti ruutuun, jos HALUAT, että sinulle lähetetään markkinointiviestejä”

➢4 artikla, kohta 11: rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

GDPR Peruskäsitteet - Suostumus


➢Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojenkäsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaanlainsäädännön asettamat velvoitteet.

➢Tietosuojavastaavan tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. ➢ Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan

yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

➢Tietosuojavastaava ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle.

➢Tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

GDPR Peruskäsitteet - Tietosuojavastaava


➢Henkilötietojen tietoturvaloukkaus voi tapahtua niin tietomurronkuin inhimillisen virheen seurauksena• Vahingossa tai lainvastaisesti tuhottu,

hävitetty, muutettu tai luvatta luovutettu

• Pääsy tietoihin, ”urkinta”, ilman lupaa

➢Useimmiten inhimillisen virheen seurauksena tapahtunut vahinko

➢4 artikla, kohta 12: ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

GDPR Peruskäsitteet – Henkilötietojen tietoturvaloukkaus



➢Tietosuojalla tarkoitetaan lähinnä yksilön (rekisteröity) yksityisyyden ja luottamuksen turvaamista tietosisällöllisesti• Tietosuojassa siis kysymys rekisteröidyn oikeuksista ja niihin liittyvistä prosesseista

➢Tietoturva on puolestaan yleisemmällä tasolla tiedon luottamuksellisuuden, eheyden ja saatavuuden turvaamista erilaisin teknologisin (palomuurit, virustorjunta, jne.) ja hallinnollisin (prosessit jne.) menetelmin

➢Tietoturvan kehitysprojekteja liittyen tietosuojaan, esim.• Pääsynhallinta, (access management)

• Identiteetin ja käyttövaltuuksien hallinta (IDM&IAM)

• Lokihallinta ja SIEM (tietoturvatiedon ja tapahtumien hallinta)

Tietosuojan integrointi tietoturvallisuuteen



Tietosuojan integrointi tietoturvallisuuteen /2

➢Tietosuojan ja tietoturvan integrointi käytännössä• Integroi yhteneväisyydet

• Poista päällekkäisyydet

➢Tietoturvaa ja tietosuojaa tulee molempia toteuttaa riskilähtöisesti• Panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin

TUNNISTA

SUOJATTAVAT

KOHTEET

TUNNISTA

SUOJATTAVIIN

KOHTEISIIN

KOHDISTUVAT

RISKIT

ANALYSOI RISKIT JA

VALITSE TÄRKEIMMÄT

RISKIT JOTKA TULEE

KÄSITELLÄ

TUNNISTA JA TOTEUTA

RISKIN POISTAMISEKSI /

PIENENTÄMISEKSI

TARVITTAVAT

TOIMENPITEET

REAGOI

TOTEUTUNEISIIN

RISKEIHIN JA OTA

OPIKSI

RISKIENHALLINTA

TIETOTURVAN JATKUVA JOHTAMINEN


Tietosuojan integrointi tietoturvallisuuteen /2

➢Tietoturvallisuus toteutuu

• Tietojärjestelmissä

• Prosesseissa

• Viestinnässä

Vaihe 1

Menetelmä a

Menetelmä b

Vaihe 2

Menetelmä cVaihe 3

Menetelmä d

Menetelmä e

Menetelmä f


Tietosuoja-asetuksen keskeiset

vaikutukset henkilötietojen

käsittelyssä


1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

b) Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?

c) Tietojen minimointi – ei kerätä/säilytetä turhaa tietoa

d) Täsmällisyys – tiedot ajan tasalla

e) Säilytyksen rajoittaminen – vain niin kauan kuin tarpeen

f) Eheys ja luottamuksellisuus – tietoturvan toteutuminen

2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu

-> ”osoitusvelvollisuus”

(Tietosuoja-asetus 5. artikla)

Perusperiaatteet henkilötietojen käsittelyssä


➢Rekisteröity on antanut suostumuksensa

➢Käsittely on tarpeen sopimuksen täytäntöön panemiseksi,

➢Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi

➢Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi

➢Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi

➢Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi

• ”Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna”

Käsittelyn lainmukaisuus


➢ Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä• Jatkossa yritysten tulee antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten

heidän tietojaan käsitellään ja miksi

➢ Rekisteröidyn oikeus saada pääsy omiin tietoihin• Rekisteröidyillä oikeus saada itseään koskevat tiedot koneluettavassa muodossa

➢ Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi• Huomioitava muu lainsäädäntö, ts. mitä tietoja pitää lain mukaan säilyttää rekistereissä (esim. kirjanpitolaki)

➢ Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta

➢ Oikeus siirtää tiedot järjestelmästä toiseen• Rekisteröidyllä oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään

silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen

➢ Vastustamisoikeus• Oikeus vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa

• Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

Rekisteröidyn oikeudet



➢Tietosuoja-asetus tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilivelvollisuus / osoitusvelvollisuus). • Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan

rekisterinpitäjän on pystyttävä kysyttäessä osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa

➢Ts. pystyttävä dokumentoidusti osoittamaan, että tietosuojaa toteutetaan tietosuoja-asetuksen mukaisesti

Rekisterinpitäjän velvollisuudet


➢Nykytila: henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus

tietosuojavaltuutetulle sisältyy vahvasta sähköisestä tunnistamisesta ja

sähköisistä luottamuspalveluista annettuun lakiin (617/2009).

➢ Jatkossa jokainen organisaatio on velvollinen ilmoittamaan

henkilötietojen tietoturvaloukkauksesta niin valvontaviranomaiselle kuin

rekisteröidyillekin

• Jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille

• Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72

tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta

viivytystä

➢Yrityksillä on siis oltava valmiuksia tietoturvaloukkausten havaitsemiseen,

niistä ilmoittamiseen sekä vahinkojen minimointiin

Rekisterinpitäjän velvollisuudet: Tietosuojarikkomuksista ilmoitusvelvollisuus


Rekisterinpitäjän velvollisuudet: Esimerkki tietosuojarikkomuksen ilmoituksesta

Lähde: EU-tietosuojan kokonaisuudistus VAHTI-raportti – 1/2016 https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016

https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016


➢Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista, (”rekisteriseloste”) mm.• Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on

nimitetty)

• Mihin tarkoituksiin henkilötietoja käsitellään ja mikä on käsittelyn oikeusperusta(esim. palvelun tarjoamiseksi rekisteröidyn suostumuksella)

• Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat

• Jos henkilötietoja siirretään kolmanteen maahan, miten tietosuojasta on huolehdittu ja mistä rekisteröity voi saada siitä lisätietoja

Rekisterinpitäjän velvollisuudet: Avoimuus


➢Epäonnistumisen vaikutuksia organisaatiotasolla, mm.• Taloudelliset vahingot ja rikosoikeudelliset seuraamukset

• Menetetyn aineettoman omaisuuden aiheuttama vahinko

• Arkaluonteisen tiedon menettämisen aiheuttamat vahingot

• Kilpailuedun ja maineen menetys

• Asiakkaiden ja yhteistyökumppaneiden menetys

➢Sanktiot maksimissaan: 2% / 10M€, 4% / 20 M€

➢ Johdonmukaisempi soveltaminen ja tehokas täytäntöönpano• Asian käsittely asianomaista lähellä olevassa tietosuojaviranomaisessa ja

oikeusistuimessa

➢Parhaimmillaan voi olla yritykselle kilpailuetu ”huolehdimme yksityisyydestäsi”

GDPR Keskeiset vaikutukset


➢ Nykytila: Henkilötietolaissa eroteltu toisistaan henkilötietojen käsittely suoramarkkinointitarkoituksiin

• Esim. suostumuksen tai asiakassuhteen perusteella

• Pysyvän markkinointirekisterin perustamisella, kun henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten

• Markkinointiviestin yhteydessä informoitava, mistä henkilötiedot on hankittu

➢ GDPR ei juurikaan yksityiskohtaista suoramarkkinointia koskevia sääntöjä tietojenkäsittelyn osalta• Poikkeuksena vastustamisoikeus: Rekisteröidyllä milloin tahansa ja maksutta oikeus

vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin

• Muutos nykyiseen: Opt-in Opt-outin sijaan

➢ Lisäksi sähköistä suoramarkkinointia koskevia säännöksiä edelleen myös sähköisen viestinnän tietosuojadirektiivissä, sekä tietoyhteiskuntakaaressa

Rekisteröidyn oikeudet - suoramarkkinointi


➢ Rekisterinpitäjän velvollisuus on varmistaa, että käsittelyssä noudatetaan asetuksen

määräyksiä

• Sisäiset prosessit

• Ulkoistettujen palvelujen sopimukset

• ”Kaiken muun voit ulkoistaa, paitsi vastuun"

➢ Tietojen käsittelijän on noudatettava rekisterinpitäjän ohjeistuksia

• Käsittelystä on sovittava kirjallisesti

• Käsittely vain rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti

• Vastuussa käsittelyn turvallisuudesta

➢ Tietosuojavastaavan tehtävänä on seurata henkilötietojen käsittelyn lainmukaisuutta ja

auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet.

• Toimii valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä

• Ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen

organisaation johdolle!

Tietosuojatoimijoiden asema & vastuut


➢ Tietosuojaviranomaisella on useita keinoja puuttua ongelmiin:• varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat

todennäköisesti tämän asetuksen säännösten vastaisia

• antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia

• määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä (vs. rekisteröidyn oikeudet)

• määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi

• määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle

• asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto

• määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta

• peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi

• määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta

• määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle

Tietosuojarikkomusten käsittely /2


➢ Pykälän 1 momentissa säädettäisiin, että henkilö, joka muutoin kuin yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksessa, tietosuojalaissa tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi

• tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa

➢ Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely (”urkinta”) ilman käsittelyn oikeuttavaa perustetta

• Esim. silkasta uteliaisuudenhalusta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista

Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä)


➢Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1–4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta.

• Tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä.

• Rangaistavaa voisi olla muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.

Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä)


➢ Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta

Vahingonkorvaus rekisteröidylle


Mitä toimenpiteitä tulisi

jokaisessa organisaatiossa

toteuttaa?


➢Tilivelvollisuuden vuoksi on tehtävä paljon erilaista dokumentaatiota• Tietosuojaselosteet, rekisteriselosteet

• Tiedon käsittelyn prosessit

• Dokumentoidut riskianalyysit

• Sopimukset tietojen käsittelijöiden kanssa oltava kirjallisena ja niissä sovittava käsittelystä

• Ohjeistukset tietojen käsittelijöille

• Tietoturvallisuuteen liittyvä dokumentaatio

Dokumentointivelvoitteet


➢Riskien arviointi pitäisi ottaa jatkuvaksi käytännöksi

➢Henkilökunnan kouluttaminen ja tietoisuuden lisäys• Erityisesti rohkaisu ja motivointi tuomaan

esille puutteita

➢Tietosuojan kehittämisen vuosikello• Jatkuva kehittäminen

Käytännön muutoksia arkipäivään


➢Tietosuoja-asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaisettekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely on turvattua. • Riskianalyysi

• Turvallinen verkko- ja järjestelmäarkkitehtuuri

• Pääsynhallinta

• Päivitysten ja muutosten hallinta

• Fyysinen turvallisuus

• Henkilöstöturvallisuus (ml. Tietoturvatietoisuus, koulutus)

• Toiminnan jatkuvuuden hallinta (tietojen varmuuskopiointi, toipumissuunnitelmat…)

• Tietoturvallisuuden hallinta (roolit, vastuut, …)

Tietoturvan kehittäminen tietosuojan näkökulmasta


➢Tietosuoja hankinnoissa

• Henkilötietojen käsittelyn lainmukaisuuden varmistaminen

➢Rekisterinpitäjällä on lähtökohtaisesti ns. ankara vastuu.

➢Henkilötietojen käsittelijän vastuu on toissijaista.

• Käsittelijä on vastuussa vain, jos se ei ole noudattanut tietosuoja-asetuksessa

käsittelijälle nimenomaisesti asetettuja velvoitteita tai rekisterinpitäjän ohjeistusta

➢Vastuut ja velvoitteet sopimuksiin!

Tietosuoja-asetuksen huomiointi hankinnoissa


➢Eräissä tapauksissa jopa vähemmän sääntelyä ja määräyksiä• Aiemmin vaadittu lupa tietosuojalautakunnalta rekisteröidyn elintärkeän edun

suojaamiseksi muissa kuin yksittäistapauksissa -> lupamenettely poistuu, mutta vastuu rekisterinpitäjällä!

• Myös tietosuojalautakunnan toiminta lakkaa

➢ Jatkossa yleinen velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta

➢Tietosuoja-asetuksen seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin sakkoihin• Aiemmin painottunut vahvasti rikosoikeudelliseen järjestelmään

Yhteenveto: Mikä muuttuu?


➢ Osoitusvelvollisuus (5 artikla)• Organisaation tulee pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä toimitaan

asetuksen mukaisesti

• Dokumentaatiovelvoitteet, mm. kuvaukset henkilörekistereistä ja henkilötietojen käsittelyn prosessit

➢ Rekisteröidyn oikeuksien toteutuminen • Rekisteri/tietosuojaselosteet, joissa kerrotaan tietojen käsittelystä

• Suostumuslomakkeet / suostumuksen peruuttaminen

• Rekisteröidyn pääsy omiin tietoihinsa

• Ilmoitukset tietosuojaloukkauksista

➢ Sopimusten tarkistaminen• Henkilötietojen käsittelystä pitää sopia selkeästi (oltava kirjallinen sopimus)

• Mm. Artikla 24: Rekisterinpitäjän tulee varmistaa, että käytetyt tietojärjestelmät ovat asetuksenmukaisia

➢ Tietoturvan kehittäminen• ”Toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja

organisatoriset toimenpiteet” henkilötietojen ja niiden käsittelyn turvaamiseksi

• Henkilöstön koulutus

Yhteenveto: Suurimmat haasteet


➢ Johdon sitoumus tietosuojan

kehittämiseen

➢ Kartoita tietojen käsittelyn nykytila ja

listaa henkilötietorekisterit.

• Ota huomioon myös mahdolliset

henkilötietojen käsittelyn ulkoistukset.

➢ Päivitä prosessit asetuksen mukaisiksi.

• Hanki henkilöiltä lupa tietojen keräämiseen.

➢ Nimeä organisaatioon

tietosuojavastaava

Tietosuojaprojektin perusaskeleet


➢Tarkista sopimustilanne

asiakkaiden, palveluntuottajien,

alihankkijoiden sekä toimittajien

kanssa.

• Varmista, että henkilötietojen käyttöä ja

käytäntöjä koskeva sopimuksen sisältö on

tietosuoja-asetuksen vaatimusten

mukainen.

➢Dokumentoi tietoturvakäytännöt

➢ Laadi tietotilinpäätös

➢Arjen tietosuojakoulutus

• http://tietosuoja.vahtiohje.fi

Tietosuojaprojektin perusaskeleet

http://tietosuoja.vahtiohje.fi/


Esimerkki työkalusta / palvelusta, jonka avulla voidaan tehdä nykytilan kartoitus, ja tarvittava dokumentointi.


➢Kyberturvallisuuden kehittämisprojekteja

julkiselle sektorille

➢ Tietosuojan kehittämisprojekteja pk-

sektorille

➢ Tietosuojakoulutuksia yrityksille ja julkisille

organisaatioille

Pekka Vepsäläinen +358401522628 [email protected] Twitter: @pveps @tikkasec

Keski-Suomen kauppakamarin koulutus 23.11. klo 8:30-12:30 (sis. lounas)

1. EU:n tietosuoja-asetuksen yleiskatsaus

a. Johdatus tietosuojaan: GDPR tausta ja peruskäsitteet CASE-esimerkin kautta tarkasteltuna

b. Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä

2. Käytännön CASE-esimerkkejä HR-prosesseista ja -järjestelmistä, joihin tietosuoja-asetus väistämättä vaikuttaa

a. Tietosuoja-asetus ja työsuhteen elinkaari: CASE-esimerkit tietosuoja-asetuksen huomioimisesta henkilötietojen käsittelyssä

b. Kuinka tietosuoja-asetus tulisi huomioida henkilöstöhallinnon prosesseissa ja HR-järjestelmissä?

c. Mitä tulee huomioida esim. työhaastatteluja ja soveltuvuusarviointeja järjestettäessä?

3. Tietosuoja-asetuksen huomioiminen sopimuksissa

a. Mitä tulisi huomioida järjestelmätoimittajien kanssa tehtävissä sopimuksissa ja ohjeistuksissa?

b. Millaisia vaatimuksia hankittavalle järjestelmälle tai palvelulle tulisi asettaa?

c. Miten lähestyä nykyisiä sopimuskumppaneita?

https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-ja-hr-kuinka-varautua-tietosuoja-asetukseen-henkilostohallinnon-nakokulmasta/587/

GDPR ja HR: Kuinka varautua tietosuoja-asetukseen henkilöstöhallinnon näkökulmasta?


https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-ja-hr-kuinka-varautua-tietosuoja-asetukseen-henkilostohallinnon-nakokulmasta/587/

Pekka Vepsäläinen +358 40 152 2628 [email protected] @pveps @tikkasec

OTA YHTEYTTÄ

JA KYSY LISÄÄ!

Pekka VepsäläinenTikkasec Oy040 152 [email protected]


Pekka Vepsäläinen +358401522628 [email protected] Twitter: @pveps @tikkasec

➢Tietosuoja-asetus• http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=FI

➢Tietosuojavaltuutetun toimiston ohjeistukset• http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

➢EU-tietosuojan kokonaisuudistus VAHTI-raportti – 1/2016• https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016

Lähdeluettelo


http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=FI

http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016

Documents

MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA ......Twitter: @pveps @tikkasec #GDPR #tietosuoja EU:n tietosuoja-asetus astui voimaan toukokuussa 2016 Lain keskeinen tehtävä on suojella