Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR, GDPR, vaan mikä se on se GDPR

644 views

Published on

Päivitin GDPR-settini Haaga-Helian opiskelijakunta Helgan ja Eurooppanuorten (JEF-Finland) tilaisuuteen

  • Be the first to comment

  • Be the first to like this

GDPR, GDPR, vaan mikä se on se GDPR

  1. 1. GDPR, GDPR, vaan mikä se on se GDPR Jyrki J.J. Kasvi
  2. 2. Mikä on EU:n asetus?  Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:  Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on julkaistu EU:n virallisessa lehdessä  GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018  Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait  Asetuksen kanssa ristiriitaisia lakeja ei saa säätää  Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa osaksi jäsenmaiden omaa lainsäädäntöä  GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman kansallista soveltamista  Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2
  3. 3. Mikä on EU:n yleinen tietosuoja-asetus?  GDPR (General Data Protection Regulation)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)  Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa  Yritykset, julkishallinto, yhdistykset, …  ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei liity ammatilliseen tai kaupalliseen toimintaan  ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä  Henkilötietojen suoja vain osa laajempaa tietoturvaa  Tavoitteena parantaa luottamusta sähköisiin palveluihin, edistää EU:n digitaalista sisämarkkinoiden kehittämistä ja varmistaa ihmisten omien henkilötietojen suojaa  Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin
  4. 4. Miksi EU tarttunut tietoturvassa asetus-lekaan? 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 4
  5. 5. Mikä on henkilötieto?  GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia täsmällisempi  Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja  Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot, valokuvat, potilastiedot, …)  Kansallinen tietosuojaviranomainen on toimivaltainen rekisterinpitäjän päätoimipaikan perusteella  Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus- mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.  Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 5
  6. 6. Henkilötietojen käsittelyn rajat  Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen  Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.  Henkilötietoja saa käsitellä vain kun  Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn sopimukseen  välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi  tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi  tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden) 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 6
  7. 7. Lisää rajoja  Henkilötiedot, joita ei saa käsitellä ilman eri perustetta  Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen  Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa  Terveyttä koskevat tiedot  Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain asetuksessa vahvistetuin edellytyksin  Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield - sopimuksen turvin. 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 7
  8. 8. Rekisteröidyn henkilön oikeudet  Tiedonsaantioikeus omista henkilötiedoista  Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin  Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa  Tiedonsaantioikeus omien henkilötietojen käsittelystä  Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)  Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.  Oikeus saada itseään koskevat tiedot oikaistua  Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle  Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi kilpailijansa rekisteriin 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 8
  9. 9. Lisää oikeuksia  Oikeus tietojenkäsittelyn vastustamiseen  Esimerkiksi suoramarkkinointiin tai profilointiin  Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista  Käytännössä myös toimintaohjeita tietojen väärinkäytön rajoittamiseksi  Oikeus tulla unohdetuksi  Omien henkilötietojen käyttökielto  Omien henkilötietojen tuhoaminen rekisteristä  Oikeus vahingonkorvauksiin  Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 9
  10. 10. Rekisterinpitäjän velvollisuudet  Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus, eheys ja luottamuksellisuus  Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä  Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta  Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja- asetuksen velvoitteiden noudattamisesta  Pelkkä lain passiivinen noudattaminen ei enää riitä  Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja- viranomaiselle että kohteeksi joutuneille rekisteröidyille  Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja niiden käsittelystä sekä tietojen luovutuksista 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 10
  11. 11. Lisää velvollisuuksia  Tietosuojavastaavien asettaminen  Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)  Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä  Selosteen ylläpito henkilötietojen käsittelystä  Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen arkaluonteisia tietoja.  Tietosuojaa koskevan vaikutusten arvioinnin laatiminen  Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 11
  12. 12. Sanktiot  Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta  Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi  Kevyempiä vaihtoehtoja mm. varoitus, huomautus, määräykset sekä henkilötietojen käsittelyn rajoittaminen ja keskeyttäminen  Tietosuojalakiesityksen mukaan Suomessa hallinnollista sakkoa ei voi(tane) määrätä julkishallinnon elimelle  Kansallisessa päätäntävallassa, vaikka kyseessä EU-asetus  valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle julkisoikeudellisille laitoksille (yliopisto), eduskunnan virastoille eikä tasavallan presidentin kanslialle 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 12
  13. 13. Kansallista hienosäätöä  EU tietosuoja-asetusta täydentää uusi kansallinen tietosuojalaki  Korvaa henkilötietolain sekä lain tietosuojalautakunnasta ja tietosuojavaltuutetusta  Eduskuntaan 1.3.2018, voimaan 25.5.2018  Lisäksi laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä  Annettiin eduskunnalle 5.4.2018  Samalla selkeytetään henkilötietojen käsittelyn sääntelyä  Nykyisin voimassa 600-700 henkilötietojen käsittelyä koskevaa säädöstä 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 13
  14. 14. Haasteita  Datan toissijainen käyttö  Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.  Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden palveluiden kehityksessä  Käyttöehtosopimukset eli EULAt  Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa, mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä  Suomalaisten rekisterinpitäjien hidas herääminen  Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on hukannut kahden vuoden valmistautumisaikansa  Jäänyt julkisessa keskustelussa päivänpolitiikan kuten tiedustelulakien jalkoihin  Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia hallinnollisia sakkoja  Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 14
  15. 15. Tärkeintä asennemuutos  Tietoturva on kriittistä ja kaiken kattavaa  Tietoturva ulottuu läpi alihankintaketjun  Asiakkaiden ja henkilöstön tiedot hallintaan  Moni yllättänyt, miten monesta paikasta organisaatiossa henkilötietoja löytynyt  Tietoturva ei ole jonkun muun vastuulla  Tietoturvaa ei voi ulkoistaa, vaikka tietoturvapalveluita ostaisikin  Tietoturvaa ei saa kuntoon kertarykäyksellä  Tietoturva on jatkuvaa toimintaa, kehittämistä ja oppimista  Tietoturva pettää joka tapauksessa ennemmin tai myöhemmin  Toiminnan on silti jatkuttava ja asiakasluottamus säilytettävä 20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 15
  16. 16. 30.9.2010 www.kasvi.org 16 Sukupuolten välinen digikuilu? Keskustelua U.S. Army Photo

×