Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
2. finanssiala.fi
Agenda
• Yleistä tietosuoja-asetuksesta
• Käsittelyn perusteet
• Sisäänrakennettu ja oletusarvoinen tietosuoja
• Tietosuojaperiaatteita
• Osoitusvelvollisuus
• Hallinnolliset sakot
• Rekisterinpitäjä ja henkilötietojen käsittelijä
• Rekisteröityjen oikeuksia
• Tietoturvallisuus
• Tietosuojavastaava
• Ohjeistus
• Miten valmistautua haasteista huolimatta
3. finanssiala.fi
Tietosuoja-asetus
• Asetus julkaistiin EUVL:ssa 4.5.2016, voimaantulo
25.5.2016
• Siirtymäaika kaksi vuotta eli asetusta sovellettava
25.5.2018 lähtien
• Siirtymäaikana kansallisen tietosuojalainsäädännön
uudelleenarviointi ja sovittaminen asetuksen sisältöön
OM:n työryhmä 17.2.2016-16.2.2018
Selvitys kansallisesta liikkumavarasta ja
erityissääntelystä
Selvitys tietosuojaviranomaisia koskevasta
sääntelystä
Koordinoi ministeriöiden lainvalmistelutyötä
Mietintö muutosehdotuksista 31.5.2017 mennessä
4. finanssiala.fi
Tietosuoja-asetus
• Sama sääntely koko EU:n alueelle
• Direktiivinomainen asetus, sisältää kansallista
liikkumavaraa
• Yrityksille ja rekisteröidyille yhden luukun
periaate
• Rekisterinpitäjän tai henkilötietojen käsittelijän
päätoimipaikan tai ainoan toimipaikan
valvontaviranomaisella toimivalta toimia
johtavana valvontaviranomaisena ko. yrityksen
rajat ylittävän käsittelyn osalta
• EU:n ulkopuoliset yritykset saman sääntelyn
piiriin, jos tarjoavat tavaroita tai palveluja
EU:n alueella
5. finanssiala.fi
Kansallista liikkumavaraa
• Työelämän tietosuoja
• Jäsenvaltiot voivat lailla tai työehtosopimuksilla antaa
yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä
• Oletuksena on, että asetus ei aiheuta muutoksia työelämän
tietosuojalakiin
• Terveydenhuollon järjestäminen
• Käsittelyn lainmukaisuuden perustasta voidaan tietyiltä osin
säätää kansallisesti
• Selvitys kansallisesta lainsäädännöstä toteaa Suomen lainsäädännön
olevan varsin hyvin tietosuoja-asetuksen mukainen
6. finanssiala.fi
Mikä muuttuu?
Lainsäädäntö yksityiskohtaisemmaksi
• 99 artiklaa
• Lisäksi paljon tarkennuksia johdantolausekkeissa (resitaalit)
Henkilötietojen käsittelyn edellytykset tiukkenevat
• Rekisteröityjen oikeudet vahvistuvat, uusia oikeuksia
Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja
kustannukset lisääntyvät
• Suunnittelu-, dokumentointi- ja arviointivelvoitteet
• Käsittelijän rooli muuttuu, myös vastuu rikkomuksista
• Riskit kasvavat
Seuraamusjärjestelmä ankaroituu
• Tietosuojaviranomaisille oikeus määrätä suuriakin sakkoja
7. finanssiala.fi
Positiiviset vaikutukset
• Sisämarkkinoiden täysipainoisempi hyödyntäminen
• Digitalisaation eteneminen ja sen mahdollistamat uudet
innovaatiot
• Muutosten positiivinen vaikutus kuluttajien ja palveluiden
käyttäjien luottamukseen
8. finanssiala.fi
Vaikutukset yrityksille
• Suurin merkitys yrityksille, joiden
liiketoimintaan liittyy laajamittaista
yksityishenkilöasiakkaiden
henkilötietojen käsittelyä
• Finanssiala
• Terveydenhuolto
• Media-ala
• Vähittäiskauppa
• IT-palveluyritykset
• Teleoperaattorit
• Hallinnolliset velvollisuudet
lisääntyvät merkittävästi -> kirjanpito
henkilötietojen käsittelytoimista
9. finanssiala.fi
Käsittelyn lainmukaisuus
• Selvitettävä mikä on käsittelyn oikeusperuste,
soveltuvatko aikaisemmat perusteet edelleen?
• Käsittely voi perustua:
rekisteröidyn suostumukseen yhtä tai useampaa
tarkoitusta varten
sopimuksen täytäntöönpanoon tai sopimusta edeltävien
toimenpiteiden toteuttamiseeen rekisteröidyn pyynnöstä
lakisääteisen velvoitteen noudattamiseen
rekisteröidyn tai muun henkilön elintärkeän edun
suojaamiseen
yleistä etua koskevan tehtävän suorittaminen tai
rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen
rekisterinpitäjän tai kolmannen osapuolen oikeutettuun
etuun (punninta rekisteröidyn etujen kanssa)
10. finanssiala.fi
Suostumuksen edellytykset tiukkenevat
• Rekisterinpitäjän pitää pystyä osoittamaan, että rekisteröity antanut suostumuksen, jos
tietojenkäsittely perustuu suostumukseen
• Jos suostumus annettava asiakirjassa, joka koskee myös muita asioita, suostumuksen
antamista koskeva vaatimus on esitettävä selvästi erillään, helposti ymmärrettävässä ja
saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä
• Rekisteröidyllä oikeus peruuttaa suostumus milloin tahansa. Peruuttaminen ei vaikuta
suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen
• Suostumus annettava selkeästi suostumusta ilmaisevalla toimella
• kirjallinen (Ml. Sähköinen) tai suullinen lausuma, josta köy ilmi vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen tahdonilmaisu
• Voi olla ruudun rastitus internetisivulla, ei valmiiksi rastitettu ruutu tai vaikeneminen
Tarvittaessa päivitettävä suostumukseen liittyvät asiakirjat
11. finanssiala.fi
Lapset
• Ensimmäistä kertaa erityistä huomiota
kiinnitetään lasten henkilötietojen
suojaamiseen
• Lapsen suostumuksessa 16 vuoden ikäraja
tietoyhteiskunnan palveluissa, kansallisesti
voidaan asettaa ikä alemmaksi (ei kuitenkaan
alle 13 vuotta), jolloin edellytetään huoltajan
suostumusta
Edellyttää tietojärjestelmiä, jolla
varmistetaan ikä ja saadaan huoltajan
suostumus
12. finanssiala.fi
Milloin on oikeutettu etu käsitellä henkilötietoja?
• Suomessa tietosuoja-lautakunta arvioinut tämän ja antanut luvan käsittelyyn
• Jatkossa yrityksen on itse tehtävä arviointi, tavoitteena hallinnollisten velvoitteiden keventäminen ja
käsittelyn aloittamisen nopeuttaminen
• Tietosuoja-lautakunta lakkautetaan
• Oikeutettu etu voi syntyä, jos rekisterinpitäjän ja rekisteröidyn välillä on merkityksellinen ja asianmukainen
suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa
• Oikeutettua etua on arvioitava huolellisesti
• Rekisteröidyn edut voi syrjäyttää rekisterinpitäjän edun
• Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on oikeutetun edun
mukaista
• Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun
toteuttamiseksi suoritettuna
• Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen saattaa olla
sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää yritysryhmän sisällä henkilötietoja,
asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna
13. finanssiala.fi
Sisäänrakennettu ja oletusarvoinen tietosuoja
• Rekisterinpitäjän toteutettava käsittelytapojen määrittämisen ja itse
käsittelyn yhteydessä asianmukaiset tekniset ja organisatoriset
toimenpiteet, siten että toteutetaan tehokkaasti ja pannaan
täytäntöön tietosuojaperiaatteet ja suojataan rekisteröityjen oikeudet
• Voidaan ottaa huomioon
• Uusin tekniikka ja toteuttamiskustannukset
• Käsittelyn luonne, laajuus, asiayhteys, tarkoitus sekä riskit
• Oletusarvoisesti käsitellään vain kunkin erityisen tarkoituksen
kannalta tarpeellisia henkilötietoja
Sisäänrakennettu tietosuoja on uusi velvollisuus
14. finanssiala.fi
Tietosuojaperiaatteita
• Henkilötietojen oltava täsmällisiä ja päivitettyjä
• Tiukka henkilötietojen käyttötarkoitussidonnaisuus
• Henkilötiedot kerättävä tiettyä nimenomaista ja laillista tarkoitusta
varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa
yhteen sopimattomalla tavalla
• Laajamittainen ja kontrolloimaton data-analytiikka mahdollista lähinnä
vain anonymisoidun tiedon osalta
• Tietojen minimointi-periaate
• Varmistettava, että tietojen säilytysaika mahdollisimman lyhyt, asetettava
määräajat henkilötietojen poistolle tai niiden säilyttämisen tarpeellisuuden
määräaikaistarkastelua varten
• Rekisterinpitäjä vastaa tietosuojaperiaatteiden noudattamisesta ja
rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita on
noudatettu (sanktioitu)
15. finanssiala.fi
Osoitusvelvollisuus
• Organisaation tulee kyetä osoittamaan, että se on huolehtinut
tietosuoja-asetuksen mukaisista velvoitteista (“documented
compliance”)
• Käytännössä osoitusvelvollisuus edellyttää käsittelyyn liittyvien
prosessien sekä tietosuojaperiaatteiden käytännön
toteuttamisen dokumentointia
• Tunnistetaan tietosuoja-asetuksen asettamat velvoitteet omalle
toiminnalle
• Dokumentoidaan tarvittaessa toimintaperiaatteet velvollisuuksien
toteutumiselle
16. finanssiala.fi
Hallinnolliset sakot
• Sanktioiden oltava tehokkaita, oikeasuhtaisia ja varoittavia
• Valvontatoimien lisäksi tai tilalle
• Sakon määräämisessä otettava lisäksi huomioon mm.
• Rikkomuksen luonne, vakavuus ja kesto
• Rikkomisen tahallisuus tai tuottamuksellisuus
• Rekisterinpitäjän tai henkilötietojen käsittelijän tekemät
toimet rekisteröidyille aiheutuneiden vahinkojen
lieventämiseksi
• Rekisterinpitäjän tai henkilötietojen käsittelijän vastuun
aste, ottaen huomioon heidän toteuttamansa tekniset ja
organisatoriset toimenpiteet
• Aiemmat rikkomiset, yhteistyön aste viranomaisen
kanssa jne…
17. finanssiala.fi
Hallinnolliset sakot
Sakot jaettu kahteen eri luokkaan
• Enintään 10 000 000 euroa tai 2% yrityksen
edellisen vuoden maailmanlaajuisesta
kokonaisliikevaihdosta, kumpi johtaa
suurempaan summaan
• Enintään 20 000 000 euroa tai 4% yrityksen
edellisen vuoden maailmanlaajuisesta
kokonaisliikevaihdosta, kumpi johtaa
suurempaan summaan
18. finanssiala.fi
Hallinnolliset sakot
• Uudet hallinnolliset sakot tulevat
vaikuttamaan yritysten hyväksyttävänä
pitämään compliance-kustannusten tasoon
• Sanktiotason kasvu lisää yritysten
tietojenkäsittelyn yleisiä riskejä
• Suurempi sanktiouhka -> suuremmat
panostukset ennaltaehkäisevään
riskienhallintaan
• Sanktioriskejä todennäköisesti siirretään
myös sopimusteitse
19. finanssiala.fi
Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet
• Henkilötietoja käsiteltävä siten, että varmistetaan henkilötietojen
asianmukainen turvallisuus
• Rekisterinpitäjän vastuu
• Kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja
tarkoitukset sekä yksilöiden oikeuksille ja vapauksille aiheutuva
riskin todennäköisyys ja ankaruus, on toteutettava tarvittavat
tekniset ja organisatoriset toimenpiteet ja kyettävä osoittamaan, että
henkilötietojen käsittely on toteutettu asetuksen mukaisesti
Velvollisuus toteuttaa riskinarviointi
Näyttötaakkasäännös (dokumentoinnin tärkeys!)
20. finanssiala.fi
Henkilötietojen käsittelijä
• Käsittelee henkilötietoja rekisterinpitäjän lukuun
• Rekisterinpitäjä saa käyttää vain sellaisia käsittelijöitä, jotka toteuttavat
riittävät suojatoimet niin, että käsittely täyttää asetuksen vaatimukset
• Käsittelijä ei saa käyttää ”alihankkijaa” ilman rekisterinpitäjän kirjallista
ennakkolupaa
• Henkilötietojen käsittelijän suorittama käsittely määritettävä
sopimuksella
• Sopimussuhteelle nimenomaisia sisältövaatimuksia
• Määritettävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan
• Sopimuksissa syytä määritellä tarkasti mistä kumpikin osapuoli vastaa
• Rekisteröity voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään
että käsittelijään (myös hallinnolliset sanktiot kumpaan tahansa)
21. finanssiala.fi
Huomioitava rekisteröityjen oikeudet
• Rakennettava luottamusta huolehtimalla läpinäkyvyydestä ja
avoimuudesta
• Rekisteröidyn oikeudet tulisi ottaa huomioon henkilötietojen
käsittelyyn liittyviä prosesseja suunniteltaessa
• Miten rekisteröityjen oikeuksien toteuttaminen tapahtuu
käytännössä?
• Miten nykyiset prosessit ja tietojärjestelmät taipuvat asetuksen
tuomiin muutoksiin?
22. finanssiala.fi
Rekisteröityjen oikeudet
• Läpinäkyvä informointi, toimitettava tietoa rekisteröidylle
• Rekisteriseloste vs. tietosuojaseloste
• Ylläpidettävä käsittelyä koskevaa kuvausta
• Oikeus saada pääsy tietoihin
• Rekisterinpitäjän vastattava tietopyyntöön viipymättä tai viimeistään kuukauden
kuluessa
• Viestintä ja rekisteröidyn pyyntöihin perustuvat toimenpiteet ovat maksuttomia
• Oikeus tietojen korjaamiseen
• Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
• Oikeus käsittelyn rajoittamiseen
• Oikeus vastustaa suoramarkkinointia
• Oikeus vastustaa automaattista päätöksentekoa ja profilointia
• Oikeus siirtää tiedot järjestelmästä toiseen
23. finanssiala.fi
Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
• Täsmälliset kriteerit tilanteisiin, joissa yksilö haluaa tietojensa käsittelyn loppuvan
• Tavoitteena itsemääräämisoikeuden ja yksityisyyden suojan toteutuminen
erityisesti online-ympäristössä
• Pääsääntönä henkilötietojen poistaminen viipymättä, kun ei enää perustetta
käsittelylle, kuten
• Henkilötiedot eivät enää ole tarpeellisia (voidaan säilyttää 10-20 vuotta, mutta
pystyttävä perustelemaan!)
• Rekisteröity peruuttaa suostumuksensa
• Rekisteröity vastustaa käsittelyä eikä ”ylimenevää” oikeusperustetta käsittelylle
ole
• Ei sovelleta, jos henkilötietojen käsittely tarpeen esim.
• Lainsäädäntöön perustuvan, henkilötietojen käsittelyä edellyttävän
lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua
koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan
käyttämistä varten
• Yleisen edun mukaisia arkistointitarkoituksia tai tilastollisia tarkoituksia varten
• Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
24. finanssiala.fi
Automatisoidut yksittäispäätökset ja profilointi
• Rekisteröidyllä oikeus vastustaa sellaista päätöksentekoa,
joka perustuu pelkästään automaattiseen käsittelyyn, kuten
profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai
joka vaikuttaa häneen merkittävästi
• Esim. online-luottohakemuksen automaattinen epääminen
ilman ihmisen osallistumista
• Edellä olevaa ei sovelleta, jos päätös
a. on välttämätön sopimuksen tekemistä tai täytäntöönpanoa
varten
b. on hyväksytty EU:n tai kansallisessa lainsäädännössä
• Esim. nimenomainen lupa lainsäädännössä, mukaan
lukien lainsäädäntö petosten- ja verovilpin valvomiseksi
ja torjumiseksi
c. perustuu rekisteröidyn nimenomaiseen suostumukseen
25. finanssiala.fi
Profilointi
• Sopimukseen ja suostumukseen liittyen tulee
toteuttaa tarvittavia suojatoimia joilla suojataan
rekisteröidyn oikeuksia
• Käsittelystä ilmoittaminen rekisteröidylle
• Rekisteröidyllä oikeus vaatia ihmisen
osallistumista tietojen käsittelemiseen
• Ei pakkoa tarjota joka sopimukseen
• Oikeus esittää kantansa
• Oikeus saada selvitys kyseisen arvioinnin jälkeen
tehdystä päätöksestä
• Oikeus riitauttaa päätös
26. finanssiala.fi
Mikä on profilointia?
• Profilointi = henkilötieto + automaattinen
käsittely + (arviointi/analysointi/ennakointi)
• Kaikenlaiset toimenpiteet, joilla pyritään:
• Käyttäjä-, asiakas- tai palvelussuhteen
hoitamiseen tai kehittämiseen automaattisten
arvioiden perustella
• Palvelujen tai markkinoinnin kohdentamiseen
tai toteuttamiseen automatisoidun analytiikan
pohjalta
• Toiminnan analysointiin ja ennakointiin IT:n
tukemana
• Liityntä työsuoritukseen, taloudelliseen
tilanteeseen, terveyteen, henk. koht.
mieltymyksiin tai kiinnostuksen kohteisiin,
sijaintiin, liikkeisiin…
27. finanssiala.fi
Oikeus siirtää tiedot järjestelmästä toiseen
(20 artikla)
• Tavoitteena lisätä tietojen jälleenkäyttöarvoa sekä parantaa
kilpailuedellytyksiä ja markkinoille pääsyä
• Rekisteröidyllä oikeus saada tiedot jäsennellyssä ja yleisesti
käytetyssä koneellisesti luettavassa muodossa
• Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai
sopimukseen ja käsittely suoritetaan automaattisesti
• Kohdistuu vain rekisteröidyn itsensä toimittamaan tietoon
• Rekisteröidyllä oikeus vaatia, että tiedot siirretään suoraan
rekisterinpitäjältä toiselle
• Jos teknisesti mahdollista , ei edellytetä esim. yhteensopivia
järjestelmiä tai tiettyä muotoa
• Ei sovelleta käsittelyyn, joka tarpeen yleistä etua koskevan
tehtävän suorittamista tai julkisen vallan käyttämistä varten
28. finanssiala.fi
Tietoturvallisuus
• Aiempaa laajempi velvollisuus huolehtia tietoturvasta
• Rekisterinpitäjän ja henkilötietojen käsittelijän toteutettava
asianmukaiset tekniset ja organisatoriset toimenpiteet
varmistaakseen riskeihin nähden asianmukainen turvallisuustaso
• Esimerkkilista toimenpiteistä, joilla turvallisuuteen voidaan
vaikuttaa
a. Henkilötietojen pseudonymisointi ja salaus
b. Kyky taata järjestelmien turvallisuus
c. Kyky palauttaa nopeasti saatavuus ja pääsy tietoihin fyysisen
tai teknisen vian sattuessa
d. Säännöllisen testauksen prosessi, jolla arvioidaan teknisten
ja organisatoristen toimenpiteiden tehokkuutta
29. finanssiala.fi
Tietomurrot
• Velvollisuus ilmoittaa tietoturvaloukkauksista sekä
viranomaisille että rekisteröidyille
• Tietomurtoilmoituksille hyvin alhainen kynnys
• Lyhyt toteutusaika: pääsääntöisesti 72 tunnin kuluessa
tietoturvaloukkauksen ilmitulosta
• Laaja tietosisältö
Ilmoitusvelvollisuudella kustannusvaikutuksia ja
vaikutuksia maineeseen
30. finanssiala.fi
Tietosuojavastaava
• Koskee sekä rekisterinpitäjiä että käsittelijöitä
• Velvollisuus nimittää tietosuojavastaava
seuraavilla yrityksillä:
• Liiketoiminnan keskeisenä osana on käsitellä
henkilötietoja tavalla, joka edellyttää rekisteröityjen
säännöllistä ja systemaattista valvontaa
• keskeisenä liiketoiminnan osana käsitellään laajoja
määriä arkaluonteisia tai rikosoikeudellisiin sanktioihin
liittyviä tietoja
• Konserni voi nimittää yhden tietosuojavastaavan
• Mikä asema tietosuojavastaavalla
organisaatiossa? Voiko toiminnon ulkoistaa?
31. finanssiala.fi
Finanssialalla käytännesääntöjen päivitystyö
• Päivitetään sekä vakuutusyhtiöiden että luottolaitosten henkilötietojen
käsittelyä koskevat käytännesäännöt asetuksen sisältöä vastaavaksi
ohjeeksi
• Ohjeet valmiit kesään 2017 mennessä
• Eri tahojen edistettävä käytännesääntöjen laatimista, joiden avulla otetaan
esim. eri sektorien erityispiirteet huomioon
• Tavoite: voidaan käyttää yhtenä tekijänä osoittamaan velvoitteiden
noudattamista
• Asetuksen mukaiset käytännesäännöt raskas prosessi
• Vain tietyistä asetuksessa mainituista asioista
• Luonnos toimitettava valvontaviranomaisen lausuttavaksi
• Valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt
• Hyväksyttyjen käytännesääntöjen noudattamista seurattava valvojan akkreditoiman
elimen toimesta
32. finanssiala.fi
EU-tason ohjeistus
• Ohjeita valmistumassa
• Tietosuojavastaava (1/2017)
• Tietojen siirto-oikeus (1/2017)
• Korkea riski ja vaikutustenarviointi (1/2017)
• Sertifiointi (1/2017)
• TSV Aarnio: kootaan eurooppalaisen tietosuojan
käsikirja
• Avoimesti saatavilla, keino harmonisoinnin
parantamiseen, ensimmäinen versio 2016/2017
vaihteessa
33. finanssiala.fi
Miten valmistautua?
• Kannattaa aloittaa heti!
• Ylimmän johdon sitouttaminen
• Tietosuojavastaavan valinta: ”tietojen omistajan ja
isännän” määrittely
• IT:n ja juridiikan yhteistyö: tietosuojan rakentaminen
osaksi palveluita ja prosesseja
• Sopimuskannan läpikäyminen ja uusien sopimusten
neuvottelu
• Dokumentaation laatiminen
• Prosessien luominen
• Riskianalyysit ja vaikutustenarvioinnit
• Rekisteröityjen oikeuksien toteuttaminen
• Tietoturvaloukkaukset
• Viestintä ja työntekijöiden koulutus
34. finanssiala.fi
Haasteita
• Täsmentymättömät toimintavelvoitteet aiheuttavat
epävarmuutta
• Paljon tulkinnallisia termejä, joiden sisältö selviää myöhemmin
oikeuskäytännössä
• Ohjeistuksella iso merkitys, mutta sen syntymiseen menee
aikaa
• Kansallinen viranomainen ei anna neuvoja (ainakaan tässä vaiheessa),
viranomaisohjeistus tulee EU-tasolta
Ei saa olla upotettu käyttöehtoihin
Vanhempainvastuunkantaja
Resitaalit 32
Ero nykytilaan: tällä hetkellä tarkasti kirjattu lakiin yleiset ja erityiset edellytykset
Onko tietojen käyttö riskienhallintaa varten taloudellisessa yhteenliittymässä mahdollista?
Res. 47, 48, 49
Tietosuojaperiaatteet pannan täytäntöön , kuten tietojen minimointi
Periaatteet sisällytettävä käsittelyn osaksi
Jotta voidaan toteuttaa sisäänrakennettua ja oletusarvoista tietosuojaa, on rekisterinpitäjän tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä
Muuttaa näyttötaakkaa siten, että yrityksen on itse kyettävä myöhemmin osoittamaan että se noudattaa henkilötietojen käsittelyyn liittyviä periaatteita
Tietosuojaviranomaisten varmistettava
58 artiklassa säädetyt
…. Henkilötietoryhmät joihin rikkominen vaikuttaa
Tapa, jolla tuli valvontavon:n tietoon
Hyväksyttyjen käytännesääntöjen noudattaminen
Mahdolliset muut raskauttavat tai lieventävät tekijät, kuten rikkomisesta saadut mahdolliset taloudelliset edut tai vältetyt tappiot
mm. seuraavien säännösten rikkomisesta:
Rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25-39, 42 ja 43 artiklan mukaiset velvollisuudet
5, 6, 7 ja 9 artiklat
Rekisteröityjen oikeudet, 12-22 artiklat
Henkilötietojen siirto kolmansiin maihin artiklojen 44-49 mukaisesti
Vaikuttavatko tämän kaltaiset riskit liiketoimintaan positiivisesti tai negatiivisesti?
Toimenpiteisiin kuuluu, että panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet
Miten poistetaan tietoa?
Miten toimitetaan sähköisesti yleisesti käytetyssä muodossa?
Laajentaa oikeuksia vastustaa henkilötietojen käsittelyä, saattaa olla kustannuksia, riippuu teknologiasta ja siitä kuinka laajasti vetoavat oikeuksiinsa
Resitaalii 71
Resitaali 71
Profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa noita tietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti kun analysoidaan tai ennakoidaan näkökohtia, jotka liittyvät työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin
Uusi oikeus omien tietojen tarkastusoikeuden rinnalle (15 artikla)
Ilmoituksessa on vähintään:
Kuvattava tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät
Ilmoitettava tietosuojavastaavan tai muun yhteyspisteen yhteystiedot
Kuvattava henkilötietojen tietoturvaloukkauksen seuraukset
Kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut tai toteuttanut tietoturvaloukkauksen johdosta, sisältäen mahdollisuuksien mukaan haittavaikutusten lieventämisen
Jos tietoja ei voida toimittaa yhdellä kertaa, voidaan toimittaa jaksoissa
Rekisterinpitäjän dokumentoitava kaikki henkilötietojen loukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet
Valvontaviranomaisen on voitava tarkistaa näiden asiakirjojen pohjalta, että tätä artiklaa on noudatettu
Konserni voi nimittää yhden tietosuojavastaavan
Varmistettava, että tietosuojavastaava on asianmukaisesti ja riittävän ajoissa mukana kaikessa henkilötietojen suojaa koskevassa käsittelyssä
Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia.
Varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja
Tietosuojavastaavan tehtävät määritelty 39 artiklassa
Käytännössä nykyinen WP 29 muuntautuu uudeksi tietosuojaneuvostoksi
Johdon tulee olla tietoinen lainsäädännössä tapahtuvista muutoksista ja niiden vaikutuksesta organisaation omiin toimintoihin