SlideShare una empresa de Scribd logo
1 de 54
Descargar para leer sin conexión
Henkilötietolaki ym.

6. helmikuuta 14
Henkilötiedot ja tietosuoja

6. helmikuuta 14
Herkkä aihe
6. helmikuuta 14
Herkkä aihe
6. helmikuuta 14
Lainsäädäntö - EU
Perustana EU-tason sääntely
Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta
henkilötietojen käsittelyssä ja näiden tietojen
vapaasta liikkuvuudesta.
Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY)
henkilötietojen käsittelystä ja yksityisyyden suojasta
sähköisen viestinnän alalla.
Positiivinen puoli - alue hyvin harmonisoitu Unionissa
6. helmikuuta 14
Perusidea
Henkilötietoja voidaan kerätä ja tallettaa:
“kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja
tietoisen suostumuksensa”
kun rekisterinpitäjän ja rekisteröidyn välillä on
asiallinen yhteys kuten asiakassuhde tai
palvelussuhde
Säädetty muussa laissa

6. helmikuuta 14
Rekisteriseloste
Kertoo tallennuksen kohteelle
Miksi kerätään
Mitä kerätään
Miten käytetään
Miten korjata virheelliset tiedot
Työkalu tietoisuus-kriteerin täyttämiseen

6. helmikuuta 14
Rekisteröidyn oikeuksia
Oikeus tarkastaa itseään koskevat tiedot
Oikeus vaatia virheellisen tiedon oikaisua
Oikeus kieltää henkilötietojen käsittely:
suoramarkkinointiin (sekä myynnissä että muussa
suoramarkkinoinnissa)
markkina- ja mielipidetutkimukseen
henkilömatrikkeliin

Rekisteröijän tulee informoida kielto-oikeudesta
henkilötietojen keräämisen yhteydessä.
6. helmikuuta 14
Arkaluonteisten tietojen
kerääminen
Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti
kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat:

rotua tai etnistä alkuperää
henkilön yhteiskunnallista, poliittista tai uskonnollista
vakaumusta

ammattiliittoon kuulumista
rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta

henkilön terveydentilaa, sairautta, vammaisuutta tai
häneen kohdistettuja hoitotoimenpiteitä
henkilön seksuaalista suuntautumista tai käyttäytymistä
henkilön sosiaalihuollon palveluja, tukitoimia ja muita
sosiaalihuollon etuuksia.
6. helmikuuta 14
Onko kategoriat ajan tasalla?
6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
Sallittua jos
Tietojen käsittelyä, johon rekisteröity on antanut
nimenomaisen suostumuksensa;
sellaisen henkilön yhteiskunnallista, poliittista tai
uskonnollista vakaumusta tai ammattiliittoon kuulumista
koskevan tiedon käsittelyä, jonka rekisteröity on itse
saattanut julkiseksi;
Esimerkiksi ehdokkuudet julkisia -> vaalikoneet

6. helmikuuta 14
Ilmoitusvelvollisuus (36§)
Tietosuojavaltuutetulle tulee tehdä ilmoitus (ts. lähettää
rekisteriseloste), jos
käsitellään henkilötietoja toimeksiannosta toisen
lukuun
kyse elinkeinotoiminnasta
http://www.tietosuoja.fi/uploads/dbg4s32ces.pdf

6. helmikuuta 14
Tietojen luovutus EU:n
ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin
jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos
kyseissä maassa taataan riittävä tietosuojan taso
Tapauskohtainen harkinta
Tietojen luonne
Suunnitellun käsittelyn tarkoitus ja kestoaika
Alkuperämaa ja lopullinen kohde
Asianomaisessa maassa voimassa olevat yleiset ja
alakohtaiset oikeussäännöt

6. helmikuuta 14
Safe Harbor –järjestely
Komissio todennut tietyt maat valmiiksi turvallisiksi
Mm. Sveitsi, Kanada, Argenttiina
USA:n kanssa erikoisjärjestely
Organisaatiokohtainen oikeutus
Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja
on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US
Department of Commerce) ja komission hyväksymiä yksityisyyden
suojaa koskevia safe harbor –periaatteita

6. helmikuuta 14
USA:sta
Safe harbor –järjestelmään voi liittyä yhdysvaltalainen
organisaatio, jossa sovelletaan tehokkaan
henkilötietojen suojan takaavaa lainsäädäntöä tai
säännöstöä.
Organisaatiot päättävät liittymisestään täysin
vapaaehtoisesti ja sitoutuminen järjestelmään on
tehtävä julkisesti.
Jos järjestelmässä mukana oleva organisaatio ei
noudata tietosuojaperiaatteita, voidaan sitä vastaan
nostaa kanne.
6. helmikuuta 14
NSA-valvonta?

6. helmikuuta 14
Mitä jos ei turvallinen?
Nimenomainen suostumus
Mitä tietoja
Mitä tarkoitusta varten
Kenelle ja mihin maahan tietoja siirretään
Tilanne, jossa rekisteröidylle on ilmoitettu siirrosta, eikä
tämä ole vastustanut sitä, ei täytä poikkeuksen ehtoja.
Jos suostumus on ilmaistu epäsuorasti, se ei riitä
täyttämään poikkeuksen ehtoja.
6. helmikuuta 14
Myös jos...
“...Siirto on tarpeen rekisteröidyn toimeksiannosta tai
rekisteröidyn ja rekisterinpitäjän välisen sopimuksen
täytäntöönpanemiseksi tai sopimusta edeltävien
toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä”
Tietosuojavaltuutettu: Monikansallisen yrityksen intranet
on OK.

6. helmikuuta 14
Kysymyksiä pilviratkaisuille
Miten kysyä suostumus asialle, jota ei välttämättä
tiedetä etukäteen?
Tulisiko listata kaikki maat, joissa henkilötiedot
mahdollisesti tulevat sijaitsemaan?
Miten merkitä tietoihin, missä menevät niiden käsittelyn
rajat?

6. helmikuuta 14
Hyvä rekisteritapa?
Laki edellyttää ns. hyvän rekisteritavan noudattamista
Sisältö oikeuskäytännön kautta
Tietosuojavaltuutettu, tietosuojalautakunta
Hallinto-oikeudet

6. helmikuuta 14
Mitä jos rikotaan?

Yleensä - ei mitään
Henkilötietolaki: Sakko
Oikeudenkäymiskulut

6. helmikuuta 14
Tietosuojauudistus
6. helmikuuta 14
6. helmikuuta 14
Oikeus unohtamiseen
Article 16
Right to erasure
1. Member States shall provide for the right of the data
subject to obtain from the controller the erasure of personal
data relating to them where the processing does not comply
with the provisions adopted pursuant to Articles 4 (a) to (e), 7
and 8 of this Directive.
2. The controller shall carry out the erasure without delay.

6. helmikuuta 14
Tieto tietovuodoista
Article 28
Notification of a personal data breach to the supervisory
authority
1. Member States shall provide that in the case of a personal
data breach, the controller notifies, without undue delay and,
where feasible, not later than 24 hours after having become
aware of it, the personal data breach to the supervisory
authority. The controller shall provide, on request, to the
supervisory authority a reasoned justification in cases where the
notification is not made within 24 hours.
2. The processor shall alert and inform the controller immediately
after having become aware of a personal data breach.
6. helmikuuta 14
3. The notification referred to in paragraph 1 shall at least:
(a) describe the nature of the personal data breach including the
categories and number of data subjects concerned and the
categories and number of data records concerned;
(b) communicate the identity and contact details of the data
protection officer referred to in Article 30 or other contact point
where more information can be obtained;
(c) recommend measures to mitigate the possible adverse
effects of the personal data breach;
(d) describe the possible consequences of the personal data
breach;
(e) describe the measures proposed or taken by the controller
to address the personal data breach.
6. helmikuuta 14
Todellinen suostumus
tiedonkäsittelyyn, ei oletettu
Where the personal data are collected from the data
subject, the controller shall inform the data subject, in
addition to the information referred to in paragraph 1,
whether the provision of personal data is obligatory or
voluntary, as well as the possible consequences of
failure to provide such data.

6. helmikuuta 14
Henkilötietojen siirron
vapaus
“...Member States shall provide for the right of the data
subject to obtain from the controller a copy of the
personal data undergoing processing.”

6. helmikuuta 14
Yhden luukun periaate?
3. Where more than one supervisory authority is
established in a Member State, that Member State shall
designate the supervisory authority which functions as
a single contact point for the effective participation of
those authorities in the European Data Protection
Board.

- Saksa vastustaa.

6. helmikuuta 14
TSV voisi aina käsitellä
yksilöiden pyynnöt...
...vaikka tiedot olisivatkin ulkomailla
Article 50
Right to lodge a complaint with a supervisory authority
1. Without prejudice to any other administrative or judicial remedy,
Member States shall provide for the right of every data subject to
lodge a complaint with a supervisory authority in any Member
State, if they consider that the processing of personal data relating
to them does not comply with provisions adopted pursuant to this
Directive.
Saksa vastustaa.

6. helmikuuta 14
Privacy by design
Article 19
Data protection by design and by default
1. Member States shall provide that, having regard to the state of
the art and the cost of implementation, the controller shall
implement appropriate technical and organisational measures and
procedures in such a way that the processing will meet the
requirements of provisions adopted pursuant to this Directive and
ensure the protection of the rights of the data subject.
2. The controller shall implement mechanisms for ensuring that, by
default, only those personal data which are necessary for the
purposes of the processing are processed.
6. helmikuuta 14
Avoin data?
Regulaatiosa ei erityisoikeuksia
Sillä, että tieto on vapaasti saatavissa viranomaiselta,
ei ole merkitystä
Esimerkki: Pöytäkirjat voivat muodostaa edelleen
henkilörekisterin
Tietojen anonymisointi
Teknisesti haasteellinen tehtävä, jos tavoitteena
huomattava luotettavuus
6. helmikuuta 14
Prosessi tästä eteenpäin?

6. helmikuuta 14
Tallennusvelvollisuus

6. helmikuuta 14
Lyhyt historia
• Sähköisen viestinnän tietosuojadirektiivi
2002: ei tallennusvelvollisuutta

•

6. helmikuuta 14

“The Civil Liberties Committee expressed itself in favour of
a strict regulation of law enforcement authorities' access to
personal data of citizens, such as communication traffic and
location data. This decision is fundamental because in this
way the EP blocks European Union States' efforts underway
in the Council to put their citizens under generalised and
pervasive surveillance, following the Echelon model.”
“Traffic data relating to subscribers and users
processed and stored by the provider of a public
communications network or publicly available
electronic communications service must be erased
or made anonymous when it is no longer needed
for the purpose of the transmission of a
communication... data necessary for the purposes of
subscriber billing and interconnection payments may
be processed...”
Tilanne uuden direktiivin mukaan 2002...

6. helmikuuta 14
Tilanteen muutos

Madrid 2004
Lontoo 2005
6. helmikuuta 14
Tilanteen muutos

Madrid 2004
Lontoo 2005
6. helmikuuta 14
Tilanteen muutos

Madrid 2004
Lontoo 2005
6. helmikuuta 14
Direktiivi
• Directive 2006/24/EC of the European

Parliament and of the Council of 15 March
2006 on the retention of data generated or
processed in connection with the provision
of publicly available electronic
communications services

• Säädettiin pikavauhtia terroristi-iskujen
jälkeen ilman sen suurempaa julkista
keskustelua

6. helmikuuta 14
“Declaration on Combating Terrorism
adopted by the European Council on 25
March 2004 ja On 13 July 2005, the Council
reaffirmed in its declaration condemning the
terrorist attacks on London the need to adopt
common measures on the retention of
telecommunications data as soon as possible”
Uuden 2006 säädetyn direktiivin johdanto-osa

6. helmikuuta 14
Sisältö
• Yllättävä lakitekninen lähtökohta: “This Directive
aims to harmonise Member States’ provisions
concerning the obligations of the providers of
publicly available electronic communications
services or of public communications networks
with respect to the retention of certain data.”

• Vain “vakavien” rikosten tutkinta: “for the

purpose of the investigation, detection and
prosecution of serious crime, as defined by each
Member State in its national law” - määritelmä
varsin väljä

6. helmikuuta 14
Suomen laki
• 1 vuosi
• Vain tiedot, jotka operaattorit muutenkin
tallentaisivat liiketoimintaansa varten

• Vain viranomaiskäyttöön
• Kovin lobbaustaisto
• Tekee TekL 60b:n käytön hankalaksi?
• Pakkokeinolain 5 a luvun 3 §:n 1 momentissa
mainittujen rikosten tutkimiseen

• Poliisi maksaa kustannukset
6. helmikuuta 14
Tietolajit
1) palveluyrityksen tarjoamaan kiinteän verkon puhelinpalveluun
tai lisäpalveluun taikka matkaviestinverkon puhelinpalveluun,
lisäpalveluun, tekstiviestipalveluun, EMS-palveluun tai
multimediapalveluun;
2) palveluyrityksen tarjoamaan internet-yhteyspalveluun;
3) palveluyrityksen tarjoamaan sähköpostipalveluun;
4) palveluyrityksen tarjoamaan internet-puhelinpalveluun;
5) puheluun, jossa yhteys on saatu muodostettua, mutta puheluun
ei vastattu tai puhelu on estynyt verkonhallintatoimenpiteestä
johtuen.
( ei koske viestin sisältöä eikä verkkosivustojen selaamisesta
kertyviä tunnistamistietoja.)
6. helmikuuta 14
Tietoyhteiskuntakaari?

6. helmikuuta 14
Kuka maksaa
verkkovalvonnan?

6. helmikuuta 14
Suomi, tietosuojan
Sveitsi?

6. helmikuuta 14
Peruskonsepti
Suomesta “turvasatama” tiedoille ja pilvipalvelujille
Ei vakoilua. Piste.
Viranomaisilla pääsy tietoihin vakavien rikosten
selvittämiseksi
Täysi kaksipuolinen läpinäkyvyys
Tietopyynnöt aina oikeuteen
Aggressiivinen tietosuojan valvonta
6. helmikuuta 14
Liittoutumaton

Kylmä
ilmasto

Silta Euroopan ja Aasian
välissä

Ei juuri
korruptiota
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg

6. helmikuuta 14
Liittoutumaton

Kylmä
ilmasto

Silta Euroopan ja Aasian
välissä

Ei juuri
korruptiota
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg

6. helmikuuta 14
Liittoutumaton

Kylmä
ilmasto

Silta Euroopan ja Aasian
välissä

Ei juuri
korruptiota
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg

6. helmikuuta 14

Más contenido relacionado

La actualidad más candente

EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo AarnioEU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo AarnioFCG Koulutus
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleHarto Pönkä
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Harto Pönkä
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 

La actualidad más candente (20)

EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo AarnioEU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
EU-Tietosuoja-asetus ja muuta ajankohtaista_Reijo Aarnio
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
EU:n tietosuoja-asetus
EU:n tietosuoja-asetusEU:n tietosuoja-asetus
EU:n tietosuoja-asetus
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 

Destacado

Digi.fi: Suomi, tietosuojan Sveitsi?
Digi.fi: Suomi, tietosuojan Sveitsi?Digi.fi: Suomi, tietosuojan Sveitsi?
Digi.fi: Suomi, tietosuojan Sveitsi?Ville Oksanen
 
Turku- TVT Vesotori - 12.10.1013
Turku- TVT Vesotori - 12.10.1013Turku- TVT Vesotori - 12.10.1013
Turku- TVT Vesotori - 12.10.1013Ville Oksanen
 
Tekijänoikeusfoorumi 2011: Effin puheenvuoro
Tekijänoikeusfoorumi 2011: Effin puheenvuoroTekijänoikeusfoorumi 2011: Effin puheenvuoro
Tekijänoikeusfoorumi 2011: Effin puheenvuoroVille Oksanen
 
Verkot Vesille - Turku 11.10.2013
Verkot Vesille - Turku 11.10.2013Verkot Vesille - Turku 11.10.2013
Verkot Vesille - Turku 11.10.2013Ville Oksanen
 
Tekijänoikeus perusteet - 2014- Tampere
Tekijänoikeus perusteet - 2014- TampereTekijänoikeus perusteet - 2014- Tampere
Tekijänoikeus perusteet - 2014- TampereVille Oksanen
 
Daftar isi
Daftar isiDaftar isi
Daftar isieeLLLL
 
Virtuaaliopetuspäivät - Tekiijänoikeus
Virtuaaliopetuspäivät - TekiijänoikeusVirtuaaliopetuspäivät - Tekiijänoikeus
Virtuaaliopetuspäivät - TekiijänoikeusVille Oksanen
 

Destacado (9)

Digi.fi: Suomi, tietosuojan Sveitsi?
Digi.fi: Suomi, tietosuojan Sveitsi?Digi.fi: Suomi, tietosuojan Sveitsi?
Digi.fi: Suomi, tietosuojan Sveitsi?
 
Okl221012
Okl221012Okl221012
Okl221012
 
Turku- TVT Vesotori - 12.10.1013
Turku- TVT Vesotori - 12.10.1013Turku- TVT Vesotori - 12.10.1013
Turku- TVT Vesotori - 12.10.1013
 
Tekijänoikeusfoorumi 2011: Effin puheenvuoro
Tekijänoikeusfoorumi 2011: Effin puheenvuoroTekijänoikeusfoorumi 2011: Effin puheenvuoro
Tekijänoikeusfoorumi 2011: Effin puheenvuoro
 
Verkot Vesille - Turku 11.10.2013
Verkot Vesille - Turku 11.10.2013Verkot Vesille - Turku 11.10.2013
Verkot Vesille - Turku 11.10.2013
 
Tekijänoikeus perusteet - 2014- Tampere
Tekijänoikeus perusteet - 2014- TampereTekijänoikeus perusteet - 2014- Tampere
Tekijänoikeus perusteet - 2014- Tampere
 
Daftar isi
Daftar isiDaftar isi
Daftar isi
 
Turku 6.3.2013
Turku 6.3.2013Turku 6.3.2013
Turku 6.3.2013
 
Virtuaaliopetuspäivät - Tekiijänoikeus
Virtuaaliopetuspäivät - TekiijänoikeusVirtuaaliopetuspäivät - Tekiijänoikeus
Virtuaaliopetuspäivät - Tekiijänoikeus
 

Similar a Tietosuoja - 04022014

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariTeemu Tiainen
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRJyrki Kasvi
 
Henkilötietolaki ja palvelusetelijärjestelmä
Henkilötietolaki ja palvelusetelijärjestelmäHenkilötietolaki ja palvelusetelijärjestelmä
Henkilötietolaki ja palvelusetelijärjestelmäPalveluseteli-hanke
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
Tietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöTietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöSami Kivivasara
 
Kuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaistaKuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaistaHallintoakatemia
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 

Similar a Tietosuoja - 04022014 (14)

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Henkilötietolaki ja palvelusetelijärjestelmä
Henkilötietolaki ja palvelusetelijärjestelmäHenkilötietolaki ja palvelusetelijärjestelmä
Henkilötietolaki ja palvelusetelijärjestelmä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
Tietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntöTietopolitiikka ja lainsäädäntö
Tietopolitiikka ja lainsäädäntö
 
Kuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaistaKuntayhtymän sihteerinä - ajankohtaista
Kuntayhtymän sihteerinä - ajankohtaista
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussa
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
Yhdistyksen tietosuoja ja pilvipalvelut -verkkoluento 23.8.2018
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 

Más de Ville Oksanen

105. #bisnestreffit: Tieto suojassa 10.10.2014
105. #bisnestreffit: Tieto suojassa 10.10.2014 105. #bisnestreffit: Tieto suojassa 10.10.2014
105. #bisnestreffit: Tieto suojassa 10.10.2014 Ville Oksanen
 
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteri
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteriTekijänoikeuskoulutus - Tampereen eOppimisen klusteri
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteriVille Oksanen
 
Espoo lukiot II - Verkko - vaikuttamisen väline
Espoo lukiot II - Verkko - vaikuttamisen välineEspoo lukiot II - Verkko - vaikuttamisen väline
Espoo lukiot II - Verkko - vaikuttamisen välineVille Oksanen
 
Osio workshop: Data Protection Regulation and Health Care
Osio workshop: Data Protection Regulation and Health CareOsio workshop: Data Protection Regulation and Health Care
Osio workshop: Data Protection Regulation and Health CareVille Oksanen
 
Turku 10.3.2014 Normaalikoulu
Turku 10.3.2014 NormaalikouluTurku 10.3.2014 Normaalikoulu
Turku 10.3.2014 NormaalikouluVille Oksanen
 
Ylläpidon Vastuukysymykset 2014 Tampere
Ylläpidon Vastuukysymykset 2014 TampereYlläpidon Vastuukysymykset 2014 Tampere
Ylläpidon Vastuukysymykset 2014 TampereVille Oksanen
 
Trust & security - seminaari
Trust & security - seminaariTrust & security - seminaari
Trust & security - seminaariVille Oksanen
 
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunity
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunityMindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunity
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunityVille Oksanen
 
OKL - Turku - Tekijänoikeus
OKL - Turku - TekijänoikeusOKL - Turku - Tekijänoikeus
OKL - Turku - TekijänoikeusVille Oksanen
 

Más de Ville Oksanen (15)

WIPO and EUDAT
WIPO and EUDATWIPO and EUDAT
WIPO and EUDAT
 
105. #bisnestreffit: Tieto suojassa 10.10.2014
105. #bisnestreffit: Tieto suojassa 10.10.2014 105. #bisnestreffit: Tieto suojassa 10.10.2014
105. #bisnestreffit: Tieto suojassa 10.10.2014
 
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteri
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteriTekijänoikeuskoulutus - Tampereen eOppimisen klusteri
Tekijänoikeuskoulutus - Tampereen eOppimisen klusteri
 
Espoo lukiot II - Verkko - vaikuttamisen väline
Espoo lukiot II - Verkko - vaikuttamisen välineEspoo lukiot II - Verkko - vaikuttamisen väline
Espoo lukiot II - Verkko - vaikuttamisen väline
 
Espoo lukio - DRAFT
Espoo lukio - DRAFTEspoo lukio - DRAFT
Espoo lukio - DRAFT
 
Osio workshop: Data Protection Regulation and Health Care
Osio workshop: Data Protection Regulation and Health CareOsio workshop: Data Protection Regulation and Health Care
Osio workshop: Data Protection Regulation and Health Care
 
Turku 10.3.2014 Normaalikoulu
Turku 10.3.2014 NormaalikouluTurku 10.3.2014 Normaalikoulu
Turku 10.3.2014 Normaalikoulu
 
Ylläpidon Vastuukysymykset 2014 Tampere
Ylläpidon Vastuukysymykset 2014 TampereYlläpidon Vastuukysymykset 2014 Tampere
Ylläpidon Vastuukysymykset 2014 Tampere
 
Trust & security - seminaari
Trust & security - seminaariTrust & security - seminaari
Trust & security - seminaari
 
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunity
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunityMindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunity
Mindtrek 2013 - Citizens’ privacy and cloud services - heavenly opportunity
 
Veso271012
Veso271012Veso271012
Veso271012
 
OKL - Turku - Tekijänoikeus
OKL - Turku - TekijänoikeusOKL - Turku - Tekijänoikeus
OKL - Turku - Tekijänoikeus
 
Tek l110512
Tek l110512Tek l110512
Tek l110512
 
Osio korjaamo
Osio korjaamoOsio korjaamo
Osio korjaamo
 
Tieke0311
Tieke0311Tieke0311
Tieke0311
 

Tietosuoja - 04022014

  • 5. Lainsäädäntö - EU Perustana EU-tason sääntely Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Positiivinen puoli - alue hyvin harmonisoitu Unionissa 6. helmikuuta 14
  • 6. Perusidea Henkilötietoja voidaan kerätä ja tallettaa: “kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa” kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde Säädetty muussa laissa 6. helmikuuta 14
  • 7. Rekisteriseloste Kertoo tallennuksen kohteelle Miksi kerätään Mitä kerätään Miten käytetään Miten korjata virheelliset tiedot Työkalu tietoisuus-kriteerin täyttämiseen 6. helmikuuta 14
  • 8. Rekisteröidyn oikeuksia Oikeus tarkastaa itseään koskevat tiedot Oikeus vaatia virheellisen tiedon oikaisua Oikeus kieltää henkilötietojen käsittely: suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa) markkina- ja mielipidetutkimukseen henkilömatrikkeliin Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä. 6. helmikuuta 14
  • 9. Arkaluonteisten tietojen kerääminen Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat: rotua tai etnistä alkuperää henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. 6. helmikuuta 14
  • 10. Onko kategoriat ajan tasalla? 6. helmikuuta 14
  • 14. Sallittua jos Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; Esimerkiksi ehdokkuudet julkisia -> vaalikoneet 6. helmikuuta 14
  • 15. Ilmoitusvelvollisuus (36§) Tietosuojavaltuutetulle tulee tehdä ilmoitus (ts. lähettää rekisteriseloste), jos käsitellään henkilötietoja toimeksiannosta toisen lukuun kyse elinkeinotoiminnasta http://www.tietosuoja.fi/uploads/dbg4s32ces.pdf 6. helmikuuta 14
  • 16. Tietojen luovutus EU:n ulkopuolelle Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso Tapauskohtainen harkinta Tietojen luonne Suunnitellun käsittelyn tarkoitus ja kestoaika Alkuperämaa ja lopullinen kohde Asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt 6. helmikuuta 14
  • 17. Safe Harbor –järjestely Komissio todennut tietyt maat valmiiksi turvallisiksi Mm. Sveitsi, Kanada, Argenttiina USA:n kanssa erikoisjärjestely Organisaatiokohtainen oikeutus Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita 6. helmikuuta 14
  • 18. USA:sta Safe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja sitoutuminen järjestelmään on tehtävä julkisesti. Jos järjestelmässä mukana oleva organisaatio ei noudata tietosuojaperiaatteita, voidaan sitä vastaan nostaa kanne. 6. helmikuuta 14
  • 20. Mitä jos ei turvallinen? Nimenomainen suostumus Mitä tietoja Mitä tarkoitusta varten Kenelle ja mihin maahan tietoja siirretään Tilanne, jossa rekisteröidylle on ilmoitettu siirrosta, eikä tämä ole vastustanut sitä, ei täytä poikkeuksen ehtoja. Jos suostumus on ilmaistu epäsuorasti, se ei riitä täyttämään poikkeuksen ehtoja. 6. helmikuuta 14
  • 21. Myös jos... “...Siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä” Tietosuojavaltuutettu: Monikansallisen yrityksen intranet on OK. 6. helmikuuta 14
  • 22. Kysymyksiä pilviratkaisuille Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen? Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan? Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat? 6. helmikuuta 14
  • 23. Hyvä rekisteritapa? Laki edellyttää ns. hyvän rekisteritavan noudattamista Sisältö oikeuskäytännön kautta Tietosuojavaltuutettu, tietosuojalautakunta Hallinto-oikeudet 6. helmikuuta 14
  • 24. Mitä jos rikotaan? Yleensä - ei mitään Henkilötietolaki: Sakko Oikeudenkäymiskulut 6. helmikuuta 14
  • 27. Oikeus unohtamiseen Article 16 Right to erasure 1. Member States shall provide for the right of the data subject to obtain from the controller the erasure of personal data relating to them where the processing does not comply with the provisions adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive. 2. The controller shall carry out the erasure without delay. 6. helmikuuta 14
  • 28. Tieto tietovuodoista Article 28 Notification of a personal data breach to the supervisory authority 1. Member States shall provide that in the case of a personal data breach, the controller notifies, without undue delay and, where feasible, not later than 24 hours after having become aware of it, the personal data breach to the supervisory authority. The controller shall provide, on request, to the supervisory authority a reasoned justification in cases where the notification is not made within 24 hours. 2. The processor shall alert and inform the controller immediately after having become aware of a personal data breach. 6. helmikuuta 14
  • 29. 3. The notification referred to in paragraph 1 shall at least: (a) describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned; (b) communicate the identity and contact details of the data protection officer referred to in Article 30 or other contact point where more information can be obtained; (c) recommend measures to mitigate the possible adverse effects of the personal data breach; (d) describe the possible consequences of the personal data breach; (e) describe the measures proposed or taken by the controller to address the personal data breach. 6. helmikuuta 14
  • 30. Todellinen suostumus tiedonkäsittelyyn, ei oletettu Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data. 6. helmikuuta 14
  • 31. Henkilötietojen siirron vapaus “...Member States shall provide for the right of the data subject to obtain from the controller a copy of the personal data undergoing processing.” 6. helmikuuta 14
  • 32. Yhden luukun periaate? 3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board. - Saksa vastustaa. 6. helmikuuta 14
  • 33. TSV voisi aina käsitellä yksilöiden pyynnöt... ...vaikka tiedot olisivatkin ulkomailla Article 50 Right to lodge a complaint with a supervisory authority 1. Without prejudice to any other administrative or judicial remedy, Member States shall provide for the right of every data subject to lodge a complaint with a supervisory authority in any Member State, if they consider that the processing of personal data relating to them does not comply with provisions adopted pursuant to this Directive. Saksa vastustaa. 6. helmikuuta 14
  • 34. Privacy by design Article 19 Data protection by design and by default 1. Member States shall provide that, having regard to the state of the art and the cost of implementation, the controller shall implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of provisions adopted pursuant to this Directive and ensure the protection of the rights of the data subject. 2. The controller shall implement mechanisms for ensuring that, by default, only those personal data which are necessary for the purposes of the processing are processed. 6. helmikuuta 14
  • 35. Avoin data? Regulaatiosa ei erityisoikeuksia Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä Esimerkki: Pöytäkirjat voivat muodostaa edelleen henkilörekisterin Tietojen anonymisointi Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus 6. helmikuuta 14
  • 38. Lyhyt historia • Sähköisen viestinnän tietosuojadirektiivi 2002: ei tallennusvelvollisuutta • 6. helmikuuta 14 “The Civil Liberties Committee expressed itself in favour of a strict regulation of law enforcement authorities' access to personal data of citizens, such as communication traffic and location data. This decision is fundamental because in this way the EP blocks European Union States' efforts underway in the Council to put their citizens under generalised and pervasive surveillance, following the Echelon model.”
  • 39. “Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication... data necessary for the purposes of subscriber billing and interconnection payments may be processed...” Tilanne uuden direktiivin mukaan 2002... 6. helmikuuta 14
  • 40. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 41. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 42. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 43. Direktiivi • Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services • Säädettiin pikavauhtia terroristi-iskujen jälkeen ilman sen suurempaa julkista keskustelua 6. helmikuuta 14
  • 44. “Declaration on Combating Terrorism adopted by the European Council on 25 March 2004 ja On 13 July 2005, the Council reaffirmed in its declaration condemning the terrorist attacks on London the need to adopt common measures on the retention of telecommunications data as soon as possible” Uuden 2006 säädetyn direktiivin johdanto-osa 6. helmikuuta 14
  • 45. Sisältö • Yllättävä lakitekninen lähtökohta: “This Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data.” • Vain “vakavien” rikosten tutkinta: “for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law” - määritelmä varsin väljä 6. helmikuuta 14
  • 46. Suomen laki • 1 vuosi • Vain tiedot, jotka operaattorit muutenkin tallentaisivat liiketoimintaansa varten • Vain viranomaiskäyttöön • Kovin lobbaustaisto • Tekee TekL 60b:n käytön hankalaksi? • Pakkokeinolain 5 a luvun 3 §:n 1 momentissa mainittujen rikosten tutkimiseen • Poliisi maksaa kustannukset 6. helmikuuta 14
  • 47. Tietolajit 1) palveluyrityksen tarjoamaan kiinteän verkon puhelinpalveluun tai lisäpalveluun taikka matkaviestinverkon puhelinpalveluun, lisäpalveluun, tekstiviestipalveluun, EMS-palveluun tai multimediapalveluun; 2) palveluyrityksen tarjoamaan internet-yhteyspalveluun; 3) palveluyrityksen tarjoamaan sähköpostipalveluun; 4) palveluyrityksen tarjoamaan internet-puhelinpalveluun; 5) puheluun, jossa yhteys on saatu muodostettua, mutta puheluun ei vastattu tai puhelu on estynyt verkonhallintatoimenpiteestä johtuen. ( ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.) 6. helmikuuta 14
  • 51. Peruskonsepti Suomesta “turvasatama” tiedoille ja pilvipalvelujille Ei vakoilua. Piste. Viranomaisilla pääsy tietoihin vakavien rikosten selvittämiseksi Täysi kaksipuolinen läpinäkyvyys Tietopyynnöt aina oikeuteen Aggressiivinen tietosuojan valvonta 6. helmikuuta 14
  • 52. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
  • 53. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
  • 54. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14