Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
GDPR, GDPR, vaan mikä se on se GDPR
Jyrki J.J. Kasvi
Mikä on EU:n asetus?
 Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:
 Asetus tulee sellaisenaan voimaan kaik...
Mikä on EU:n yleinen tietosuoja-asetus?
 GDPR (General Data Protection Regulation)
 Euroopan parlamentin ja neuvoston as...
Miksi EU tarttunut tietoturvassa asetus-lekaan?
17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 4
Mikä on henkilötieto?
 GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia
täsmällisempi
 Henkilötiedolla tarkoitet...
Henkilötietojen käsittelyn rajat
 Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen
 Kerättyä tietoa ei saa ...
Lisää rajoja
 Henkilötiedot, joita ei saa käsitellä ilman eri perustetta
 Rotu tai etninen alkuperä, poliittiset mielipi...
Rekisteröidyn henkilön oikeudet
 Tiedonsaantioikeus omista henkilötiedoista
 Rekisteröidyllä oltava pyynnöstä pääsy häne...
Lisää oikeuksia
 Oikeus tietojenkäsittelyn vastustamiseen
 Esimerkiksi suoramarkkinointiin tai profilointiin
 Oikeus sa...
Rekisterinpitäjän velvollisuudet
 Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus,
eheys ja luottamuks...
Lisää velvollisuuksia
 Tietosuojavastaavien asettaminen
 Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuim...
Sanktiot
 Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä
maksamaan hallinnollisia sakkoja tietosuoja-ase...
Haasteita
 Datan toissijainen käyttö
 Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty....
30.9.2010 www.kasvi.org 14
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo
Upcoming SlideShare
Loading in …5
×

GDPR, GDPR, vaan mikä se on se GDPR

780 views

Published on

Tieken Vaikuta ja vaikutus webinaarissa 16.11.2017 pidetty alustus

  • Be the first to comment

  • Be the first to like this

GDPR, GDPR, vaan mikä se on se GDPR

  1. 1. GDPR, GDPR, vaan mikä se on se GDPR Jyrki J.J. Kasvi
  2. 2. Mikä on EU:n asetus?  Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:  Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on julkaistu EU:n virallisessa lehdessä  GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018  Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait  Asetuksen kanssa ristiriitaisia lakeja ei saa säätää  Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa osaksi jäsenmaiden omaa lainsäädäntöä  GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman kansallista soveltamista  Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2
  3. 3. Mikä on EU:n yleinen tietosuoja-asetus?  GDPR (General Data Protection Regulation)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)  Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa  ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei liity ammatilliseen tai kaupalliseen toimintaan  ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä  Tavoitteena parantaa luottamusta sähköisiin palveluihin ja edistää EU:n digitaalista sisämarkkinoiden kehittämistä.  Tavoitteena varmistaa ihmisten omien henkilötietojen suojaa  Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin
  4. 4. Miksi EU tarttunut tietoturvassa asetus-lekaan? 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 4
  5. 5. Mikä on henkilötieto?  GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia täsmällisempi  Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja  Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot, valokuvat, potilastiedot, …)  Kansallinen tietosuojaviranomainen on toimivaltainen rekisterinpitäjän päätoimipaikan perusteella  Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus- mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.  Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 5
  6. 6. Henkilötietojen käsittelyn rajat  Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen  Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.  Henkilötietoja saa käsitellä vain kun  Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn sopimukseen  välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi  tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi  tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden) 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 6
  7. 7. Lisää rajoja  Henkilötiedot, joita ei saa käsitellä ilman eri perustetta  Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen  Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa  Terveyttä koskevat tiedot  Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain asetuksessa vahvistetuin edellytyksin  Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield - sopimuksen turvin. 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 7
  8. 8. Rekisteröidyn henkilön oikeudet  Tiedonsaantioikeus omista henkilötiedoista  Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin  Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa  Tiedonsaantioikeus omien henkilötietojen käsittelystä  Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)  Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.  Oikeus saada itseään koskevat tiedot oikaistua  Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle  Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi kilpailijansa rekisteriin 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 8
  9. 9. Lisää oikeuksia  Oikeus tietojenkäsittelyn vastustamiseen  Esimerkiksi suoramarkkinointiin tai profilointiin  Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista  Oikeus tulla unohdetuksi  Omien henkilötietojen käyttökielto  Omien henkilötietojen tuhoaminen rekisteristä  Oikeus vahingonkorvauksiin  Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 9
  10. 10. Rekisterinpitäjän velvollisuudet  Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus, eheys ja luottamuksellisuus  Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä  Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta  Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja- asetuksen velvoitteiden noudattamisesta  Pelkkä lain passiivinen noudattaminen ei enää riitä  Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja- viranomaiselle että kohteeksi joutuneille rekisteröidyille  Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja niiden käsittelystä sekä tietojen luovutuksista 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 10
  11. 11. Lisää velvollisuuksia  Tietosuojavastaavien asettaminen  Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)  Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä  Selosteen ylläpito henkilötietojen käsittelystä  Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen arkaluonteisia tietoja.  Tietosuojaa koskevan vaikutusten arvioinnin laatiminen  Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 11
  12. 12. Sanktiot  Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta  Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 12
  13. 13. Haasteita  Datan toissijainen käyttö  Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.  Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden palveluiden kehityksessä  Käyttöehtosopimukset eli EULAt  Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa, mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä  Suomalaisten rekisterinpitäjien hidas herääminen  Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on hukanneet kahden vuoden valmistautumisaikansa  Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia hallinnollisia sakkoja  Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula  Huonosti valmistautuneita yhteisöjä rahastetaan 17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 13
  14. 14. 30.9.2010 www.kasvi.org 14 Sukupuolten välinen digikuilu? Keskustelua U.S. Army Photo

×