A presentation about legal problems with Open Data, especially pertaining to privacy regulation and copyright. Short explanation of Metanet / CLARIN-licensing (language technology)
The World Intellectual Property Organization (WIPO) is based in Geneva and is part of the United Nations. WIPO manages international treaties involving copyright, patents, and trademarks and has 183 member countries. Organizations from civil society can participate as observers at WIPO, but they must apply once a year and provide documents describing their mission and governance. WIPO holds two meetings lasting 10 days each year to discuss issues relating to intellectual property rights.
Mitä ajankohtaista kuntayhtymän sihteerin työssä - erityisesti julkisuus, salassapito ja tietosuoja näkökulmasta. Hallinto uudistuu jatkuvasti ja kiinnostavia asioita on meneillään.
Hyvän rekisterinpidon periaatteet ja velvoitteet, Palvelusetelillä annettavaan palveluun liittyvät rekisteripidolliset ongelmat.
Neuvotteleva lakimies, varatuomari Synnove Amberla, Suomen Kuntaliitto. 18.3.2010.
Osio workshop: Data Protection Regulation and Health CareVille Oksanen
The document summarizes key aspects of the proposed EU Privacy Regulation update. It discusses the original goals of updating existing regulations to account for technological changes and increase citizen and data protection authority rights. However, heavy lobbying from US tech companies and governments has watered down some proposals. Key features of the updated regulation include strengthened definitions, data protection by design, breach notification requirements, data portability and access rights, the right to erasure, and an expanded international scope. Sensitive health and biometric data have additional protections and research has new consent standards. Non-compliance penalties were increased up to 100 million Euro fines.
4. Lainsäädäntö - EU
Perustana EU-tason sääntely
Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta
henkilötietojen käsittelyssä ja näiden tietojen
vapaasta liikkuvuudesta.
Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY)
henkilötietojen käsittelystä ja yksityisyyden suojasta
sähköisen viestinnän alalla.
Positiivinen puoli - alue hyvin harmonisoitu Unionissa
5. Perusidea
Henkilötietoja voidaan kerätä ja tallettaa:
“kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja
tietoisen suostumuksensa”
kun rekisterinpitäjän ja rekisteröidyn välillä on
asiallinen yhteys kuten asiakassuhde tai
palvelussuhde
Säädetty muussa laissa
6. Rekisteriseloste
Kertoo tallennuksen kohteelle
Miksi kerätään
Mitä kerätään
Miten käytetään
Miten korjata virheelliset tiedot
Työkalu tietoisuus-kriteerin täyttämiseen
7. Rekisteröidyn oikeuksia
Oikeus tarkastaa itseään koskevat tiedot
Oikeus vaatia virheellisen tiedon oikaisua
Oikeus kieltää henkilötietojen käsittely:
suoramarkkinointiin (sekä myynnissä että muussa
suoramarkkinoinnissa)
markkina- ja mielipidetutkimukseen
henkilömatrikkeliin
Rekisteröijän tulee informoida kielto-oikeudesta
henkilötietojen keräämisen yhteydessä.
8. Arkaluonteisten tietojen
kerääminen
Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti
kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat:
rotua tai etnistä alkuperää
henkilön yhteiskunnallista, poliittista tai uskonnollista
vakaumusta
ammattiliittoon kuulumista
rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
henkilön terveydentilaa, sairautta, vammaisuutta tai
häneen kohdistettuja hoitotoimenpiteitä
henkilön seksuaalista suuntautumista tai käyttäytymistä
henkilön sosiaalihuollon palveluja, tukitoimia ja muita
sosiaalihuollon etuuksia.
10. Sallittua jos
Tietojen käsittelyä, johon rekisteröity on antanut
nimenomaisen suostumuksensa;
sellaisen henkilön yhteiskunnallista, poliittista tai
uskonnollista vakaumusta tai ammattiliittoon kuulumista
koskevan tiedon käsittelyä, jonka rekisteröity on itse
saattanut julkiseksi;
Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
14. Tietojen luovutus EU:n
ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin
jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos
kyseissä maassa taataan riittävä tietosuojan taso
Tapauskohtainen harkinta
Tietojen luonne
Suunnitellun käsittelyn tarkoitus ja kestoaika
Alkuperämaa ja lopullinen kohde
Asianomaisessa maassa voimassa olevat yleiset ja
alakohtaiset oikeussäännöt
15. Safe Harbor –järjestely
Komissio todennut tietyt maat valmiiksi turvallisiksi
Mm. Sveitsi, Kanada, Argenttiina
USA:n kanssa erikoisjärjestely
Organisaatiokohtainen oikeutus
Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja
on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US
Department of Commerce) ja komission hyväksymiä yksityisyyden
suojaa koskevia safe harbor –periaatteita
17. Kysymyksiä pilviratkaisuille
Miten kysyä suostumus asialle, jota ei välttämättä
tiedetä etukäteen?
Tulisiko listata kaikki maat, joissa henkilötiedot
mahdollisesti tulevat sijaitsemaan?
Miten merkitä tietoihin, missä menevät niiden käsittelyn
rajat?
18. Hyvä rekisteritapa?
Laki edellyttää ns. hyvän rekisteritavan noudattamista
Sisältö oikeuskäytännön kautta
Tietosuojavaltuutettu, tietosuojalautakunta
Hallinto-oikeudet
19. Korkeimman hallinto-oikeuden
päätös ns. pikavippiasiassa
Kyseessä ns. “paha yritys”, mikä vaikutti ratkaisun
taustalla
Mikä riittävä tunnistuksen taso?
Tietosuojalautakunta -> hallinto-oikeus -> KHO
20. Hallinto-oikeus
…Hallinto-oikeus katsoo, että tällainen menettely on vastoin
henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2
momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen
menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen
käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä
edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole
henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n
lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin
edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö
luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31
§:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole
ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei
ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä
ongelmia.”
21. Hallinto-oikeus
“Päätöksessä on kysymys X Oy:n käyttämän
luotonhakijoiden tunnistamistavan henkilötietolain
mukaisuudesta, eikä sillä seikalla, että myös muiden
toimijoiden toiminnassa ja muilla toimialoilla saattaa olla
riski väärien henkilöiden rekisteröimisestä
luotonhakijoiksi, ole merkitystä X Oy:n käyttämän
tunnistamistavan lainmukaisuuden arvioinnissa.
Hyväksyttävät luotonhakijan tunnistamismenettelyt
voivat vaihdella palvelualojen mukaan…”
22. Mitä jos rikotaan?
Yleensä - ei mitään
Henkilötietolaki: Sakko
Oikeudenkäymiskulut
23. Avoin data?
Laissa ei erityisoikeuksia
Sillä, että tieto on vapaasti saatavissa viranomaiselta,
ei ole merkitystä
Esimerkki: Pöytäkirjat voivat muodostaa
henkilörekisterin
Tietojen anonymisointi
Teknisesti haasteellinen tehtävä, jos tavoitteena
huomattava luotettavuus