1. EU:N UUSI
TIETOSUOJASÄ ÄNTELY –
MITÄ TSA ON MUUTTANUT
SUOMESSA?
V I E S T I N T Ä O I K E U D E N P R O F E S S O R I P Ä I V I K O R P I S A A R I
H E L S I N G I N Y L I O P I S T O , O I K E U S T I E T E E L L I N E N
T I E D E K U N T A
2. SISÄLTÖ
• Tietosuojasääntely Suomessa
• Mikä muuttui?
– Rekisterinpitäjän näkökulma
• Muutama asia tarkemmin: suostumus & oikeutettu etu, osoitusvelvollisuus ja hallinnollinen seuraamusmaksu
– Rekisteröidyn näkökulma
– Tietosuojaviranomaisen näkökulma
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
3. TIETOSUOJASÄÄNTELY SUOMESSA
– Tietosuojasääntely
• Aiempaa yksityiskohtaisempaa, 99 art + 38 §
• Tietosuoja-asetus (TSA)
• Tietosuojalaki (TiSL)
• Erityislainsäädäntö (> 800 lakia)
– Käsittelyvaiheet ja tietoa:
• https://www.eduskunta.fi/FI/tietoaeduskunnasta/kirjasto/aineistot/kotimainen_oikeus/LATI/EUn-
tietosuojauudistus/sivut/eun-yleinen-tietosuoja-asetus.aspx
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
4. • PeV ”tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista.
Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan
EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän
säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta.
Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja
sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan
tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää
valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä
henkilötietojen käsittelystä.”
• Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen
tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla.
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
PEV 14/2018: ERITYISSÄÄNTELYN
VÄHENTÄMINEN
5. MIKÄ MUUTTUI REKISTERINPITÄJÄN
NÄKÖKULMASTA?
• Tietosuoja otettava vakavasti
– Seuraamusmaksun (hallinnollisen sakon) uhka
– Ihmisten yleinen tietoisuus tietosuoja-asioista
– Osoitusvelvollisuus on lisääntynyt
• Kustannukset kasvavat
• Tietosuoja parantuu
• Henkilötietojen käsittelyn perusteet: suostumuksen tarkempi sääntely, oikeutettu etu ”uutena” rekisterinpitäjän
arvioimana perusteena
• Informointivelvollisuus
• Laaja ilmoitusvelvollisuus tietoturvaloukkauksista
• Käsittelijän kanssa on tehtävä kirjallinen sopimus
• Monet rekisterinpitäjät joutuvat nimittämään tietosuojavastaavan
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
6. MIKÄ MUUTTUI REKISTERINPITÄJÄN
NÄKÖKULMASTA?
• Tekniset toimet tietojen poistamiseksi tai siirtämiseksi
• Riskiperusteinen lähestymistapa mahdollistaa järkevämmin keskittymisen tärkeisiin asioihin
(tietoturvassa asianmukaiset tekniset ja organisatoriset toimet riskiin nähden asianmukaisen
turvallisuustason luomiseksi)
• Sisäänrakennettu ja oletusarvoinen tietosuoja: asianmukaiset tekniset ja organisatoriset
toimenpiteet
– Tekniikka ja kustannukset, käsittelyn luonne, laajuus, asiayhteys, tarkoitus sekä riskit
• Asenne: tietosuoja ei ole vain yksittäinen toimenpide tai päälleliimattava kerros,
vaan jatkuva prosessi koko toiminnan ajan
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
7. • Suostumus
• Sopimuksen täytäntöönpaneminen tai tekeminen rekisteröidyn pyynnöstä
• Rekisterinpitäjän lakisääteisen velvoitteen noudattaminen
• Elintärkeiden etujen suojaaminen
• Yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan
käyttäminen
• Oikeutettujen etujen toteuttaminen paitsi milloin henkilötietojen suojaa edellyttävät
rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos
rekisteröity on lapsi
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
LAINMUKAISET HENKILÖTIETOJEN
KÄSITTELYN PERUSTEET
8. • Annettava selkeästi
• Käytävä ilmi vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu
• Suostumusta ei ”pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä
jokin toimi toteuttamatta”
• Katettava kaikki käsittelytoimet
• Jos käsittelyllä on useita tarkoituksia, annettava kaikkia varten
• Jos annettava suostumus sähköisen pyynnön perusteella, sen oltava selkeä ja tiiviisti esitetty eikä
se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
SUOSTUMUS
9. • Rekisterinpitäjän osoitettava olemassaolo
• Annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja
yksinkertaisella kielellä
• Ei kohtuuttomia ehtoja
• Ei vapaaehtoisesti annettu, jos ei todellista vapaan valinnan mahdollisuutta tai jos
kieltäytymisestä tai peruuttamisesta aiheutuisi haittaa
• Ei pitäisi olla pätevä oikeudellinen peruste käsittelylle, jos rekisteröidyn ja rekisterinpitäjän
välillä on selkeä epäsuhta
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
SUOSTUMUS
10. • Rekisteripitäjä päättää
• Rekisterinpitäjän tai kolmannen tahon oikeutettu etu
• Peruste ei sovellu viranomaistoimintaan
• Punnittava rekisteröidyn etuja ja perusoikeuksia vasten
• Otettava huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja
rekisterinpitäjän väliseen suhteeseen (esim. asiakas- tai palvelussuhde)
• Voiko rekisteröity kohtuudella odottaa henkilötietojen keräämisen hetkellä, että niitä voidaan
käsitellä kyseistä tarkoitusta varten
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OIKEUTETTU ETU
11. • Suoramarkkinointi
• Tieteellinen ja historiallinen tutkimus sekä tilastointi
• Henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä
• Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OIKEUTETTU ETU MAHDOLLINEN
12. • Onko oikeutettu etu sopivin käsittelyperuste?
• Täyttyvätkö perusvaatimukset?
• Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi?
• Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet?
– Millainen on rekisterinpitäjän tai kolmannen tahon etu, mitä haittaa jos ei käsitellä
– Vaikutukset rekisteröityyn (tietojen luonne, miten käsitellään jne.)
• Tietosuojan lisätakeiden varmistaminen
• Toiminnan lainmukaisuuden osoittaminen ja informointi
• Kirjallinen kuvaus osoitusvelvolllisuutta varten
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
TASAPAINOTESTI
13. • 6(2) art: rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että
tietosuojaperiaatteita on noudatettu (”osoitusvelvollisuus”)
• Kannustaa rekisterinpitäjiä ottamaan käyttöön käytännöllisiä keinoja tietosuojan parantamiseksi
• Funktionaalinen eikä niinkään sisältöä luova: keino lisätä muiden tietosuojaperiaatteiden
tosiasiallista vaikuttavuutta
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OSOITUSVELVOLLISUUS
14. • 24(1) Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten
henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan
vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset
toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta.
Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
• Toimien ja dokumentaation ajantasaisuus
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OSOITUSVELVOLLISUUS
YLEISVELVOITTEENA
15. • Tosiasiallinen tehokkuus
• Koskee lopputulosta, joka rekisterinpitäjän on saavutettava
• Ei muotovaatimuksia; voi itse päättää miten dokumentoi
• TSA 30 artiklan mukaan rekisterinpitäjän on laadittava seloste kaikista vastuullaan olevista
käsittelytoimista
• Johdanto 82: rekisterinpitäjän tai henkilötietojen käsittelijän on ylläpidettävä rekisteriä
vastuullaan olevista käsittelytoimista voidakseen osoittaa toimien olevan asetuksen mukaista
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OSOITUSVELVOLLISUUS
16. • Vaikutustenarviointi
• Tietosuojavastaavan nimittäminen ja hänen tekemänsä työ
• Oikeutettuun etuun perustuva käsittely
• Suostumukseen perustuva käsittely
• Tietoturvaloukkauksista ilmoittaminen
• Organisaation sisäisen ohjeistuksen laatiminen ja henkilökunnan kouluttaminen
• Tekniset ratkaisut
• Valvonta (esim. lokitus)
• Sertifikaatit ja itsesääntely
• Läpinäkyvyys ja keinot rekisteröidyn osalistumiseen
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
OSOITUSVELVOLLISUUS
17. • Hallinnollisen sakon (seuraamusmaksu) määrää tietosuojavaltuutetun ja
apulaistietosuojavaltuutettujen muodostama seuraamuskollegio
• Ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on
tapahtunut (jatkuvassa rikkomuksessa ma. alkaa rikkomuksen päättymisestä)
• Ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille,
itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle
eikä ev.lut. tai ortodoksiselle seurakunnalle
– Mahdollisuutta hallinnollisen seuraamusmaksun toimeenpanoon myös viranomaisia kohtaan ei kovin
paljon selvitetty
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
HALLINNOLLINEN SEURAAMUSMAKSU
18. • Määrätään tapauksen erityispiirteiden mukaan
• Rikkomisen luonne, vakavuus ja kesto tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, rekisteröityjen lukumäärä ja
vahingon suuruus;
• Rikkomisen tahallisuus tai tuottamuksellisuus;
• Toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
• Vastuun aste, ottaen huomioon toteutetut tekniset ja organisatoriset toimenpiteet;
• Mahdolliset aiemmat vastaavat rikkomiset;
• Yhteistyö valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
• Henkilötietoryhmät, joihin rikkominen vaikuttaa;
• Tapa, jolla rikkominen tuli valvontaviranomaisen tietoon (ilmoittiko itse rikkomisesta ja missä laajuudessa)
• Aiemmat varoitukset ym. toimenpiteet
• Hyväksyttyjen käytännesääntöjen tai sertifiointimekanismien noudattaminen; ja
• Muut raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella
vältetyt tappiot
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
HALLINNOLLINEN
SAKKO/SEURAAMUSMAKSU
19. MIKÄ MUUTTUI REKISTERÖIDYN
NÄKÖKULMASTA?
• Uusia tai aiempaa selvemmin muotoiltuja oikeuksia
– Oikeus tulla unohdetuksi (ks. KHO 2018:112)
– Oikeus siirtää tiedot järjestelmästä toiseen
– Pääsy tietoihin
– Läpinäkyvä informointi
– Oikeus käsittelyn rajoittamiseen
• Lapsia koskeva erityissäännös
• Rekisteröidyn oikeudet ymmärretään ja otetaan huomioon aikaisempaa paremmin
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
20. MIKÄ MUUTTUI REKISTERÖIDYN
NÄKÖKULMASTA?
• Opt in pääsääntö – ei opt out
• Vastustamisoikeus
– Kun perusteena yleinen tai oikeutettu etu ”paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on
olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja
vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi”
– Suoramarkkinointi
– Oikeus saatettava rekisteröidyn tietoon, kun ollaan yhteydessä ensimmäisen kerran
– Tieteellinen tai historiallinen tutkimus, tilastointi
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari
21. MIKÄ MUUTTUI
TIETOSUOJAVIRANOMAISTEN
NÄKÖKULMASTA?
• Työmäärä kasvanut, toki myös resurssit
– Ilmoitukset tietoturvaloukkauksista, tietosuojavastaavien nimittämisestä jne.
– Neuvonta
• Tietosuojavaltuutetulla on entistä tehokkaammat keinot puuttua asioihin
• Organisaatio:TSV + vähintään 2 apulaistietosuojavaltuutettua, tietosuojalautakunta lakkasi
olemasta
Lääketietokeskus 13.12.2018 (c) Päivi Korpisaari