EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio

1

Tietosuojavaltuutetun toimisto

EU-TIETOSUOJA-ASETUS ja

muuta ajankohtaista

Reijo Aarniotietosuojavaltuutettu 1

Sosiaali- ja terveydenhuollon tietosuojaseminaari -SohviTellu 2015

2

2

3

4

3

5

KANSALLINEN LAINSÄÄDÄNTÖ

Reijo Aarniotietosuojavaltuutettu Tietosuojavaltuutetun toimisto

6

4

POLIISI PÄIVÄKOTI KOULU TERVEYDEN-HUOLTO

MUUTTAHOT…

ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA

SIJOITUS-KUNTA

LsL 78 §§§§

UUDEN KOTIKUNNAN

LASTENSUOJELULASTENSUOJELU

LS-ilmoitukset Tiedot

SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki 7päiv. 9.11.2015

VIRANOMAISTEN (SALASSAPIDETTÄVIEN) TIETOJEN LUOVUT TAMINEN

Henkilötietolaki8 § 4 mom

- - - - - - - - - - - - -viranomaisten tietojen luovuttaminen julkisuuslain mukaan(laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §)

Laki viranomaisten toiminnan julkisuudesta- - - - - - - - - - - - - - -

- 24 § salassapito-säännös

- salassapidettävien tietojen luovuttamisenedellytykset 26 § - 30 §

* lainsäännös,suostumus,toimeksianto

ERITYISLAKIENSALASSAPITO- JALUOVUTUS-SÄÄNNÖKSET esim.- - - - - - - - - - - - - - - - - - -L sosiaalihuollon asiakkaan asemasta ja oikeuksista- salassapito 14 §§§§- luovutus 16 §§§§ - 18 §§§§- tiedonsaantioikeus

20 §§§§- - - - - - - - - - - - - - - - - - -L potilaan asemasta ja oikeuksista- salassapito ja

luovutus 13 §§§§- - - - - - - - - - - - - - - - - - -Sekä muut erityislait

TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014

EI SOVELLETA, koska:

LUOVUTUKSEEN SOVELLETAAN

Henkilötietolaki8 §§§§ ja 12 §§§§ + 6 §§§§

- - - - - - - - - - - - - -- tietojen

vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja

Esim. lakisääteinen tehtävä tai asiakassuhde- - - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §§§§)

Tiedon pyytäjä(rekisterinpitäjä B)

Tiedon luovuttaja(rekisterinpitäjä A)

Oma-aloitteinen ilmoitusoikeus tai -velvollisuus

pyyntö / luovutus

8

5

”UUSI TIETOSUOJAMALLI”REKIS-TERÖITY

VIRANOMAISET

REKISTERIN-PITÄJÄ

TIE-DOS-TOT

TIETOSUOJA TULISI INTEGROIDA- PERIAATTEET

TUOMIO-ISTUIN

LUVAT

EDUSKUNTA

TOIMIVALTA

* KÄYTTÖ-TARKOITUKSEN-MUKAISUUS* LAATU* SUHTEELLLISUUS* TARPEELLISUUS

TIETOSUOJAVALTUUTETUN TOIMISTO 9

SKANDAALIT > LUOTTAMUKSENRAKENTAMINEN


10

6

� EPRI� LOKI-tiedot� Valetukiasemat� SIM-kortti� Hakkeroinnit� urkkivat äly-TV:t� Snowden

SKANDAALIT:

TIETOSUOJAVALTUUTETUN TOIMISTO11

Tuomioistuinratkaisut

pakkotallennusRight to be forgottenDelfi AS vs ViroVeropörssi vs SuomiWeltimmo (EUCJ)Schrems & Safe Harbor (EUTI)C-201/14 (julkisuuslaki ja henkilötietolaki)SÖRO v Estonia ECHR 22588/08


7

Applikaatiot

omahoito, -tilit yms.vrt. KANTA-arkkitehtuuri, auditoinnitPaikkatiedotTwitter, Facebook


Havainnot:


14

8

1. Osaamisen puute

2. Kasvavat tietosuojamarkkinat• tietosuojavastaavat• auditoinnit• medianäkyvyys

3. Koordinoinnin puute, ohjausvoiman heikkous


4. Etulyöntiasema• Ubiquitous computing• Tunnistuspalvelut• eGovernment• Tietoyhteiskuntarankkaus

5. TAANNUMMEKO?


9

”MAISEMA”

1. KULUTTAJANSUOJAN HARMONISOINTI

2. EU:N KAUPPALAIN HARMONISOINTI

3. TIETOSUOJAN HARMONISOINTI

► DIGITAALISTEN SISÄMARKKINOINTIEN

”BUUSTAAMINEN”


Mitä ?1. Entiset tietosuojaperiaatteet säilyvät

2. Asetuksessa joitakin ”uusia” asioita:

- COMPLIANCE; (”sääntöjen noudattaminen”)

- Asetuksessa mennään pitemmälle

- ACCOUNTABILITY; �� TIETOTILINPÄÄTÖS

- Tilintekokykyisyys eli osoita että noudatat lakeja

- PRIVACY BY DESIGN; (ennakkoon suunnitteleminen)

- Henkilötietolain 6 §

- PRIVACY BY DEFAULT; (oletusarvoinen ja sisään-rakennettu)

- Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s-postin tietoturvasta.

- Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit)

TIETOSUOJAVALTUUTETUN TOIMISTO

NÄITÄ YHDISTELLÄÄN

18

10

Mitä ?- DATA BREACH NOTIFICATION; (tietoturvaloukkauksista

ilmoittaminen)

- Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle

- mm. tietomurto ja henkilörekisteririkos

- VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN; (viranomaisten toimivalta muuttuu)

- TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti

- RIGHT TO BE FORGOTTEN; (oikeus unohtaa)

- Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot poistetaan

- Voi olla haasteellista toteuttaa

- RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon)

- Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta-asiakasjärjestelmät) TIETOSUOJAVALTUUTETUN TOIMISTO

19

TIETOSUOJAVALTUUTETUN PERUSPROSESSIT säilyvät

1) Asiamies/valtuutettu 2) Tarkastaja 3) Konsultti 4) Valistaja 5) Poliittinen neuvonantaja 6) Neuvottelija 7) Täytäntöön panija8) Kansainvälinen lähettiläs.

9) Uudet prosessit: ��


11

YHDENMUKAISUUSMEKANISMI- jäsenyys EDPB:ssä

HALLINNOLLISTEN TOIMIVALTOJEN KÄYTTÖ- huomautuksen, varoituksen antaminen käsittelijälle- määräykset (tuleeko uhkasakko) käsittelijälle- velvoite-toimivalta- hallinnolliset prosessit ml. sakotus

ENNAKKOHYVÄKSYMISTEHTÄVÄT (AUDITOINTI)- Vakiosopimusten hyväksyminen- PIA:n hallinnointi- ennakkoneuvonta & konsultointi- käytännesäännöt, sertifiointien hallinnointi* markkinointi* laatijan hyväksyminen* tarkistaa sertifioinnit

Uudet prosessit:


ULKOMAILLE SIIRROT- sopimuslausekkeiden hyväksyminen- BCR:t

TIETOTURVA-PROSESSI- DBN-prosessi

TARKASTUKSET- laajemmat tarkastukset & ”tutkimukset”

ASIOINTIALUSTA- mahdollistaa pakollinen e-asiointi

Uudet prosessit:


12

Siirtymäaikana:

Kansallinen lainsäädäntö�� lausunnot, työryhmät

Tietosuojavaltuutetun toimiston sisäisenä projektina:

- tiedotus- tiedotemateriaali / uudet, vanhojen päivitys- oman hlöstön osaamisen varmistaminen- uudet prosessit, vanhojen arviointi- kieliasiat

Uudet prosessit:


NeuvottelutilanneKESKEISIÄ NEUVOSTOSSA PÄÄTÖKSEEN SAATETTUJA KYSYMYKSIÄ

• mm. asiakirjajulkisuus, tieteellinen tutkimus, tilastollinen tutkimus, työelämän tietosuoja, EDPB:n status

TRILOGIT

• Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus).

• EP:n ja neuvoston tekstit poikkeavat joiltain osin huomattavastikin toisistaan


13

NeuvottelutilanneKOMISSIO

• Tavoite oli hyväksyä tietosuojapaketti EP:n viime vaalikaudella

• Uusi komissaari / Vera Jourová �� korkea prioriteetti

EUROOPAN PARLAMENTTI

• Täysistunto hyväksyi LIBE:n mietinnön sellaisenaan maaliskuussa 2014

NEUVOSTO

• Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus).

25

Neuvottelutilanne

EU:n tietosuojadirektiivi

EU:n oikeusministerit pääsivät sopuun uudesta EU:n tietosuojadirektiivistä, jota sovelletaan mm. poliisisektorilla. Direktiivi on osa trilogineuvotteluissakäsiteltävää tietosuojauudistusta.

9.10.2015 julkaistuun lehdistötiedotteeseen on linkki tietosuojavaltuutetun kotisivujen uutisesta


14

Henkilötietojen käsittelyn lainmukaisuus 6 artikla

• Yksiselitteinen suostumus

• Sopimus

• Rekisterinpitäjän lakisääteiset velvoitteet

• Rekisteröidyn elintärkeä etu

• Yleistä etua koskeva tehtävä / rekisterinpitäjälle kuuluva julkinen valta

• Rekisterinpitäjän oikeutettu etu

• Henkilötietojen käsittely historiallisia, tilastollisia ja tutkimustarkoituksia varten, arkistointitarkoitukset

• Henkilötietojen jatkokäsittely

27

Reijo Aarniotietosuojavaltuutettu

Tiedon laatu= Toiminnan laatu

KIITOS KUUNTELUSTA!

LISÄTIETOJA:www.tietosuoja.fi

Tietosuojavaltuutetun toimisto28

Education

EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio