GDPR, GDPR, vaan mikä se on se GDPR

GDPR, GDPR, vaan mikä se on se GDPR

Jyrki J.J. Kasvi

Mikä on EU:n asetus?

Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline: Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on

julkaistu EU:n virallisessa lehdessä

GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018

Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait Asetuksen kanssa ristiriitaisia lakeja ei saa säätää

Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa osaksi jäsenmaiden omaa lainsäädäntöä

GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman kansallista soveltamista Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään

17.11.2017 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2

Mikä on EU:n yleinen tietosuoja-asetus?

GDPR (General Data Protection Regulation) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten

henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei

liity ammatilliseen tai kaupalliseen toimintaan

ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä

Tavoitteena parantaa luottamusta sähköisiin palveluihin ja edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

Tavoitteena varmistaa ihmisten omien henkilötietojen suojaa

Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin

Miksi EU tarttunut tietoturvassa asetus-lekaan?


Mikä on henkilötieto?

GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia täsmällisempi

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti

tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot, valokuvat, potilastiedot, …)

Kansallinen tietosuojaviranomainen on toimivaltainen rekisterinpitäjän päätoimipaikan perusteella Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus-

mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.

Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta


Henkilötietojen käsittelyn rajat

Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole

sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.

Henkilötietoja saa käsitellä vain kun Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn

tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn sopimukseen

välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi

tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi

tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden)


Lisää rajoja

Henkilötiedot, joita ei saa käsitellä ilman eri perustetta Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen

vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen

Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa

Terveyttä koskevat tiedot

Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain asetuksessa vahvistetuin edellytyksin Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -

sopimuksen turvin.


Rekisteröidyn henkilön oikeudet

Tiedonsaantioikeus omista henkilötiedoista Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin

Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa

Tiedonsaantioikeus omien henkilötietojen käsittelystä Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja

läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)

Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.

Oikeus saada itseään koskevat tiedot oikaistua

Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi

kilpailijansa rekisteriin


Lisää oikeuksia

Oikeus tietojenkäsittelyn vastustamiseen Esimerkiksi suoramarkkinointiin tai profilointiin

Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista

Oikeus tulla unohdetuksi Omien henkilötietojen käyttökielto

Omien henkilötietojen tuhoaminen rekisteristä

Oikeus vahingonkorvauksiin Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,

on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta


Rekisterinpitäjän velvollisuudet

Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus, eheys ja luottamuksellisuus Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä

Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta

Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja-asetuksen velvoitteiden noudattamisesta Pelkkä lain passiivinen noudattaminen ei enää riitä

Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja-viranomaiselle että kohteeksi joutuneille rekisteröidyille

Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja niiden käsittelystä sekä tietojen luovutuksista


Lisää velvollisuuksia

Tietosuojavastaavien asettaminen Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)

Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä

Selosteen ylläpito henkilötietojen käsittelystä Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn

oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen arkaluonteisia tietoja.

Tietosuojaa koskevan vaikutusten arvioinnin laatiminen Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski


Sanktiot

Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä maksamaan hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän

tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.


Haasteita

Datan toissijainen käyttö Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.

Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden palveluiden kehityksessä

Käyttöehtosopimukset eli EULAt Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa,

mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä

Suomalaisten rekisterinpitäjien hidas herääminen Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on

hukanneet kahden vuoden valmistautumisaikansa

Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia hallinnollisia sakkoja

Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula

Huonosti valmistautuneita yhteisöjä rahastetaan


30.9.2010 www.kasvi.org 14

Sukupuolten välinen digikuilu?

Keskustelua

U.S. Army Photo

GDPR, GDPR, vaan mikä se on se GDPR

Presentations & Public Speaking

Transcript of GDPR, GDPR, vaan mikä se on se GDPR