Millaisia muutoksia EU:n tietosuoja-asetus tuo henkilötietojen käsittelyyn ja henkilörekisterien ylläpitäjille? Miten se vaikuttaa kansalaisen tai yrityksen elämään? FK:n lakimies Outi Aalon esitys.
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.
Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaLoihde Advisory
Esitys on osa joulukuussa 2015 pidettyä Talent Base Aamiaistilaisuutta: Data. Prosessit. Innovaatiot. Aiheesta luennoi Erkka Pälä, Legentum Oy.
Esityksen sisältö:
Tietosuojan käsitteet ja tietosuoja innovointiin liittyvissä vastuissa, prosesseissa ja tietojärjestelmissä. Uudistuva henkilötietolainsäädäntö ja henkilötietojen hyödyntäminen innovaatioissa.
Suomen Yrittäjäopiston tietohallintopäällikön Heikki Syrjälän luentomateriaali koskien tietosuoja-asetusta. Materiaalia käytetty yrittäjäjärjestöjen tilaisuuksissa ympäri Suomen huhtikuussa 2018.
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
Käsiteltävät kysymykset: Milloin esimerkiksi markkinoinnissa käytetyt evästeet (cookiet) ovat henkilötietoja & miten GDPR vaikuttaa evästeisiin? Yrityksen oman markkinointirekisteridatan rikastuttaminen - milloin mahdollista? Milloin sovelluksien sisäinen ns. "in-app" mainonta on sallittua? Digitaalinen markkinointi ja ePrivacy-asetuksen viimeiset linjaukset - mitä GDPR:n jälkeen odotettavissa ja mitä avoimia kysymyksiä ePrivacyyn liittyy?
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
Titta Penttilän esitys Tietoturva 2013 -tapahtumasta. Sisältö: 1) Käsitteet tutuiksi, 2) Millä edellytyksillä henkilötietoja voi siirtää ulkoistuskumppanille? 3) Tietosuojalainsäädännön huomioiminen ulkoistamisprosessin eri vaiheissa. Koko tutkimus osoitteessa: http://slidesha.re/Ua023Y.
Tietosuoja ja informaatioturvallisuus EuroopassaHarto Pönkä
Yleisöluento Oulussa, 7.5.2024, Harto Pönkä. Luento on osa Tulevaisuus ja toivo – EU Euroopan rakentajana -hanketta. Se tarjoaa näkökulmia Euroopan Unioniin kestävämmän tulevaisuuden rakentajana. Rahoittajana on Eurooppatiedotus ja koordinoijana Kvs-säätiö.
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
Puheenvuoro KVS-säätiön, Faktabaarin, Helsingin kaupunginkirjaston ja Kansalaisopistojen liiton "Digilukutaito kansalaistaidoksi" -webinaarisarjassa, 23.11.2023, Harto Pönkä, Innowise
2. GDPR:n keskeisiä työkaluja
Työkalu ja linkkejä ohjeisiin Miksi ja milloin
Henkilötietojen käsittelyn nykytilan arviointi
• https://opitietosuojaa.fi/index.php/fi/extrat/blogi/109-nait-teet-
tietosuojan-nykytila-analyysin
Esimerkiksi tietotilinpäätös
• http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2012/
04/mikaontietotilinpaatos.html
Henkilötietojen käsittelyn nykytilanteen arviointi ja kehitystarpeiden
tunnistaminen.
Tehtävä tietosuoja-asetukseen valmistautuessa ja jatkossa
toiminnan seuraamiseksi ja kehittämiseksi.
Rekisterinpitäjän oikeutetun edun tasapainotesti
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterin
pitajalle/rekisterinpitajanoikeutettuetu.html
Tasapainotesti on tarpeen sen arvioimiseksi, käykö rekisterinpitäjän
oikeutettu etu henkilötietojen käsittelyn oikeusperusteeksi.
Henkilötietojen käsittelyn vaikutustenarviointi
• http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitar
ekisterinpitajalle/vaikutustenarviointi.html
Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn
todennäköisesti kohdistuu korkea riski.
Rekisteriseloste (seloste käsittelytoimista)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/selostekasittelytoimista.html
Rekisterinpitäjän tai henkilötietojen käsittelijän organisaation
sisäiseen käyttöön. Olennainen väline toteuttaa GDPR:n
osoitusvelvollisuus. Pakollinen yli 250 hengen organisaatioissa.
Tietosuojaseloste (rekisteröityjen informointi)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/informointikaytannot.html
• http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/4dCR8ypl9/Informointivelv
oitteen_edellyttamat_tiedot.pdf
Toteuttaa rekisterinpitäjän informointivelvollisuuden
rekisteröidyille. Oltava saatavilla tai osoitettava muutoin.
Sopimus henkilötietojen käsittelystä
• https://sopimustieto.fi/sopimus/5aPxRa-
sopimus_henkilotietojen_kasittelysta_ns_gdpr_sopimus
Kun henkilötietoja annetaan organisaation ulkopuoliselle
henkilötietojen käsittelijälle käsiteltäväksi rekisterinpitäjän lukuun.
Esim. osallistujalistojen anto ulkopuoliselle kouluttajalle tai tietojen
tallennus pilvipalveluun.
3. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn
nykytilasta ja kehitystarpeista
• Arviointi sisältää esimerkiksi:
– Mitä henkilötietoja organisaation hallussa on
– Miten tietosuojaperiaatteet on otettu huomioon
– Toimintaan liittyvät henkilötietovirrat
– Henkilötietojen käsittelyn oikeusperusteet
– Miten tietoturvasta on huolehdittu
– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu
• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.
pdf
• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen
sisällöstä, sillä se on viime kädessä vastuussa
Henkilötietojen nykytilan arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
5. Tasapainotesti: oikeutettu etu
Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/rekisterinpitajanoikeutettuetu.html
1. Onko oikeutettu etu sopivin
käsittelyperuste?
2. Täyttyvätkö perusvaatimukset?
Laillinen, selkeästi ilmaistu ja
todellinen tarkoitus ja tarve.
3. Onko henkilötietojen käsittely
tarpeen edun saavuttamiseksi?
4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet?
Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet
• Tietojen käsittelyn täytyy olla tarpeen, jonkin
perusoikeuden toteuttamiseksi (esim. sananvapaus,
taiteen ja tutkimuksen vapaus, elinkeinovapaus)
• Myös yleinen tai yhteisön etu voi olla oikeutettu (esim.
hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt).
• Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn,
joka on lähellä jotain muuta tarkoitusta, johon on muu
oikeusperuste (esim. sopimus).
• Esimerkkejä: suoramarkkinointi, tieteellinen ja
historiallinen tutkimus sekä tilastointi, henkilötietojen
siirtäminen hallinnollisista syistä konsernin sisällä.
• Arkaluontoisten tietojen ja salassa pidettävien
henkilötietojen käsittelylle on korkeammat vaatimukset.
• Huomioi sekä konkreettiset että mahdolliset seuraukset.
Esim. mahdollisuus käyttää tietoja syrjivästi ja
rekisteröidylle aiheutuva mielipaha.
• Arvioi riskien todennäköisyys, epävarmuustekijät ja
seurauksien mahdollinen vakavuus.
• Käsittely ei saa olla rekisteröidylle odottamatonta.
• Heikossa asemassa olevien rekisteröityjen kuten lasten ja
muiden haavoittuvassa asemassa olevien oikeuksien
toteutumisessa on oltava huolellisempi.
5. Varmista tietosuojan lisätakeet
Tekniset ja toiminnalliset keinot, joilla
vähennetään henkilötietoihin kohdistuvia
riskejä. Esim. tietojen minimointi,
anonymisointi ja korkea tietoturva.
6. Osoita toiminnan lainmukaisuus ja
varmista avoimuus
Dokumentoi tasapainotestin suoritus ja
valmistaudu selittämään käsittelyn
perusteet rekisteröidyille.
vs.
7. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä.
• Vaikutustenarviointi tulee tehdä erityisesti, kun:
– otetaan käyttöön uutta teknologiaa
– käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten
terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista
– on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
– on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi
riskialtista käsittelytoimea (ks. ao. ohje).
• Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee
rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen).
• Vaikutustenarviointia tulisti tarkistaa ja päivittää säännöllisesti.
• Ohje vaikutustenarvioinnista:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tieto
suojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa_koskeva
sta_vaikutustenarvioinnista.pdf
Milloin on tehtävä vaikutustenarviointi?
Lähde: Tietosuojavaltuutetun toimisto, 2017,
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html
8. Vähintään 2 riskiä vaikutustenarviointi
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä
1. Arviointi tai pisteytys Esim. käyttäytymis- tai
markkinointiprofiilien koostaminen.
2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia
merkittäviä vaikutuksia *
Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi,
jota voitaisiin käyttää esim. syrjintään.
3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen
kameravalvonta.
4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim.
taloustiedot ja yksityiset päiväkirjat.
5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus
väestöstä, pitkäkestoisuus.
6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö
tai soveltaminen *
Uusiin ratkaisuihin voi liittyä riskejä, joita
ei havaita helposti.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta.
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf
9. Esimerkkejä vaik.arvioinnin tarpeesta
Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko
todennäköisesti
vaikutustenarviointi?
Yritys seuraa järjestelmällisesti työntekijöidensä
toimintaa, esimerkiksi työntekijöiden työasemia ja
toimintaa internetissä jne.
- Järjestelmällinen valvonta
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
KYLLÄ
Sosiaalisen median julkisten tietojen kerääminen
profiilien laatimiseksi.
- Arviointi tai pisteytys
- Tietojen laajamittainen käsittely
- Tietokokonaisuuksien sovittaminen
yhteen tai yhdistäminen
- Arkaluontoiset tiedot tai luonteeltaan
hyvin henkilökohtaiset tiedot
KYLLÄ
Heikossa asemassa olevia rekisteröityjä koskevien ja
peitenimellä tallennettujen, tutkimushankkeisiin tai
kliinisiin tutkimuksiin liittyvien arkaluontoisten
henkilötietojen tallentaminen arkistointitarkoituksiin.
- Arkaluontoiset tiedot
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
- Estää rekisteröityjä käyttämästä
oikeutta tai palvelua tai sopimusta
KYLLÄ
(useita kriteereitä)
Verkkolehti käyttää postituslistaa päivittäisen
yleiskoosteen lähettämiseen tilaajilleen
- Tietojen laajamittainen käsittely EI
(vain 1 kriteeri)
Sähköisen kaupankäynnin verkkosivustolla esitetään
museoajoneuvojen osia koskevia ilmoituksia, joihin
liittyy kyseisellä verkkosivustolla katsottuihin tai
hankittuihin tavaroihin perustuva rajoitettu profilointi
- Arviointi tai pisteytys EI
(vain 1 kriteeri)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf
10. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf
13. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä
14. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteri- ja
tietosuojaseloste
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
15. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1