Embed Size (px)
DESCRIPTION
In Finnish - Data Protection and Open Data
Citation preview
Henkilötietolaki ja avoin dataVille Oksanen - Otavan Opisto
Herkkä aihe
Herkkä aihe
Lainsäädäntö - EU
Perustana EU-tason sääntely
Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.
Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla.
Positiivinen puoli - alue hyvin harmonisoitu Unionissa
Perusidea
Henkilötietoja voidaan kerätä ja tallettaa:
“kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa”
kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde
Säädetty muussa laissa
Rekisteriseloste
Kertoo tallennuksen kohteelle
Miksi kerätään
Mitä kerätään
Miten käytetään
Miten korjata virheelliset tiedot
Työkalu tietoisuus-kriteerin täyttämiseen
Rekisteröidyn oikeuksia
Oikeus tarkastaa itseään koskevat tiedot
Oikeus vaatia virheellisen tiedon oikaisua
Oikeus kieltää henkilötietojen käsittely:
suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa)
markkina- ja mielipidetutkimukseen
henkilömatrikkeliin
Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä.
Arkaluonteisten tietojen kerääminen
Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat:
rotua tai etnistä alkuperäähenkilön yhteiskunnallista, poliittista tai uskonnollista vakaumustaammattiliittoon kuulumistarikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitähenkilön seksuaalista suuntautumista tai käyttäytymistähenkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Ovatko kategoriat ajan tasalla?
Sallittua jos
Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa;
sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi;
Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
TietosuojavaltuutettuPakkoruotsi.net
TietosuojavaltuutettuPakkoruotsi.net
TietosuojavaltuutettuPakkoruotsi.net
Tietojen luovutus EU:n ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso
Tapauskohtainen harkinta
Tietojen luonneSuunnitellun käsittelyn tarkoitus ja kestoaikaAlkuperämaa ja lopullinen kohdeAsianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt
Safe Harbor –järjestely
Komissio todennut tietyt maat valmiiksi turvallisiksi
Mm. Sveitsi, Kanada, Argenttiina
USA:n kanssa erikoisjärjestely
Organisaatiokohtainen oikeutus
Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita
Mitkä organisaatiot
http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list
Lähes kaikki isot toimijat
IBM, Microsoft, Apple
Qualcom, Alcatel-Lucent ym.
Kysymyksiä pilviratkaisuille
Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen?
Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan?
Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat?
Hyvä rekisteritapa?
Laki edellyttää ns. hyvän rekisteritavan noudattamista
Sisältö oikeuskäytännön kautta
Tietosuojavaltuutettu, tietosuojalautakunta
Hallinto-oikeudet
Korkeimman hallinto-oikeuden päätös ns. pikavippiasiassa
Kyseessä ns. “paha yritys”, mikä vaikutti ratkaisun taustalla
Mikä riittävä tunnistuksen taso?
Tietosuojalautakunta -> hallinto-oikeus -> KHO
Hallinto-oikeus…Hallinto-oikeus katsoo, että tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2 momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31 §:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä ongelmia.”
Hallinto-oikeus
“Päätöksessä on kysymys X Oy:n käyttämän luotonhakijoiden tunnistamistavan henkilötietolain mukaisuudesta, eikä sillä seikalla, että myös muiden toimijoiden toiminnassa ja muilla toimialoilla saattaa olla riski väärien henkilöiden rekisteröimisestä luotonhakijoiksi, ole merkitystä X Oy:n käyttämän tunnistamistavan lainmukaisuuden arvioinnissa. Hyväksyttävät luotonhakijan tunnistamismenettelyt voivat vaihdella palvelualojen mukaan…”
Mitä jos rikotaan?
Yleensä - ei mitään
Henkilötietolaki: Sakko
Oikeudenkäymiskulut
Avoin data?
Laissa ei erityisoikeuksia
Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä
Esimerkki: Pöytäkirjat voivat muodostaa henkilörekisterin
Tietojen anonymisointi
Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus
A-HIP.info
