laki oikeusEU:n tietosuoja-asetuksen velvoitteet johdolle

EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 (14.4.2016) Euroopan parlamentin ja neuvoston päätöksillä. Oikeusministeriö käynnisti jo helmikuussa 2016 mittavan hankkeen toteuttaakseen kansalliset toimenpiteet, joita uudistus edellyttää. EU:n tietosuoja-asetuksesta (2016/679) löytyy virallinen suomennos

Lisäksi yleisen tietosuoja-asetuksen artiklat on kerätty www.privacy-regulation.eu sivustolle suomenkieliseen koosteeseen, jossa on sekä kyseinen artikla auki kirjoitettuna että linkitys perusteluteksteihin.

EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetuksen tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Lisäksi pyritään parantamaan luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

EU:n yleinen tietosuoja-asetus korvaa vuonna 1995 annetun henkilötietodirektiivin. Asetus sisältää säännökset mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista (myös sopimukset), rekisteröiden suostumuksen edellytyksistä ja arkaluonteisten tietojen käsittelystä.

EU:n yleinen tietosuoja-asetus patistaa rekisterinpitäjiä ja yrityksiä tarkistamaan tietosuojakäytäntöjensä lainmukaisuuden eli tekemään käytännössä 2 vuoden siirtymäaikana 25.5.2018 mennessä ns. tietosuojan/henkilötietojen käsittelyn nykytila-arvion ja analyysin vastaako rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteet kansallisen lainsäädännön, ja EU:n tietosuoja-asetuksen uusia vaatimuksia. Organisaatioiden tulee myös varmistaa tietoturvansa riittävyys sekä varautua ongelmatilanteisiin - myös kriisiviestintään. Uudella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa.

EU tietosuoja asetus osoitusvelvollisuus

EU:n yleisen tietosuoja-asetuksen (2016/679) valmistelun vaiheet

Maaliskuussa 2012 Euroopan komissio esitti henkilötietosuojaa koskevan EU:n oikeudellisen kehyksen uudistamista. Komission ehdotuksen pohjalta keskusteltiin yksityiskohtaisesti sekä parlamentissa että neuvostossa. Euroopan parlamentin LIBE-valiokunta äänesti mietinnöstään asetuksesta lokakuussa 2013 ja Euroopan parlamentti äänesti kannastaan yleiseen tietosuoja-asetusehdotukseen maaliskuussa 2014. Se hyväksyi LIBE-valiokunnan mietinnön sellaisenaan.

Asetus siirtyi käsiteltäväksi Euroopan unionin neuvostoon eli ministerineuvostoon. Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ministerineuvosto ei hyväksynyt edellisen Euroopan parlamentin hyväksymää tietosuoja-asetusta sellaisenaan.

Asetuksen käsittely siirtyi 24.6.2015 Euroopan parlamentin, komission ja ministerineuvoston kolmikantaneuvotteluihin, joissa pyritiin löytämään kompromissi asetuksen lopullisesta sisällöstä. Kun asetus lopullisesti hyväksyttiin keväällä 2016, suomalaisilla organisaatioilla on asetuksen mukaan kaksi vuotta aikaa sopeuttaa toimintansa EU:n tietosuoja-asetuksen vaatimusten mukaiseksi 25.5.2018 mennessä. EU:n yleinen tietosuoja-asetus eli Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta oli yksi Euroopan parlamentin istuntokauden tärkeimmistä lainsäädäntöhankkeista.

 

EU tietosuoja asetus tavoitteet

 

Milloin EU:n tietosuoja-asetus tulee voimaan?
EU:n tietosuoja-asetus on hyväksytty keväällä 2016, ja sitä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen eli 25.5.2018.

Mitä EU:n tietosuoja-asetus koskee?
EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Koska kyseessä on kaikissa jäsenvaltioissa suoraan sovellettava asetus, tulee se yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu jäsenvaltioiden epäyhtenäisestä sääntelystä.

Miten EU:n tietosuoja-asetusta sovelletaan Suomessa?
EU:n tietosuoja-asetus tulee olemaan suoraan sovellettavaa lainsäädäntöä Suomessa. Oikeusministeriö vastaa Suomessa asetuksen täytäntöönpanon edellyttämistä lainsäädäntötoimista. Joissakin osissa asetus antaa kuitenkin tilaa tarkemmille säännöksille kansallisessa lainsäädännössä (ns. kansallinen liikkumavara) ja Suomen säännökset henkilötietojen käsittelystä voivat siksi olla myös jatkossa voimassa joillakin aloilla. Tämä koskee esimerkiksi henkilötietojen käsittelyä viranomaisissa.

Miten asetus muuttaa henkilötietojen käsittelyä?

Asetus sisältää täsmennyksiä voimassa olevaan sääntelyyn sekä merkittäviä uusia velvoitteita ja sanktioita. Tietosuojavelvoitteensa laiminlyöville rekisterinpitäjille voidaan langettaa merkittäviä seuraamusmaksuja.

Tällä hetkellä tietosuojan yleissääntely perustuu Suomessa henkilötietolakiin (523/1999), joka tuli voimaan 1. kesäkuuta 1999. Lisäksi eri sektoreiden ja toimialojen henkilötietojen käsittelyä sääntelevät lukuisat kansalliset erityislait. Esimerkiksi sosiaali- ja terveydenhuollossa on laajaa erityissääntelyä, osin juuri asiakastietojen arkaluonteisuuden vuoksi.

EU:n tietosuoja-asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Tällaisia oikeuksia ovat omia henkilötietoja koskeva tiedonsaantioikeus, oikeus saada tiedot oikaistua, oikeus tulla unohdetuksi sekä oikeus tietojen poistamiseen ja tietojenkäsittelyn vastustamiseen. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.

EU:n tietosuoja-asetuksen sääntelyn lähtökohtana on ns. riskipohjainen lähestymistapa. Sääntelyssä otetaan huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit. Pyrkimyksenä on yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa (huomioiden mm. tietojen laatu/luonne, käsittelytarkoitus ja laajuus). Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.

Eräitä asetukseen sisältyviä muutoksia:
- Entistä tarkempia määritelmiä erilaisista käsitteistä kuten suostumus, geneettiset tiedot, biometriset tiedot jne.
- Selkeämpiä sääntöjä henkilötietojen käsittelijöiden vastuusta, erityisesti rekisterinpitäjien, mutta myös rekisterinpidossa avustavien osalta.
- Asetuksen tullessa voimaan organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa.
- Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa.
- Tietosuojavastaavien asettaminen
- Oikeus saada itseään koskevat tiedot koneluettavassa muodossa. Asetuksen mukaan rekisteröidyllä olisi oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen.
- Asetuksella säädetään myös tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Jokainen tietosuojaviranomainen on toimivaltainen oman jäsenvaltionsa alueella. Kun kyse on jäsenvaltioiden rajat ylittävästä henkilötietojen käsittelystä, on rekisterinpitäjän päätoimipaikan tietosuojaviranomainen yleensä toimivaltainen käsittelemään asiaa.
- Jäsenvaltioiden tietosuojaviranomaisten yhteistyötä varten asetuksella luodaan uusi ns. yhdenmukaisuusmekanismi ja yhden luukun mekanismi. Näin halutaan varmistaa se, että unionin uutta tietosuojasääntelyä sovelletaan yhdenmukaisesti kaikissa jäsenvaltioissa ja että ratkaisukäytäntö olisi mahdollisimman yhdenmukaista. Yhdenmukaisuusmekanismin keskeinen toimija on asetuksella perustettava Euroopan tietosuojaneuvosto (EDPB, European Data Protection Board), jolla on mahdollisuus antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta.
- Asetuksen mukaan valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen.

Valmistautuminen asetuksen velvoitteisiin
Asetus tulee luomaan Euroopan unionille ajanmukaisen ja yhtenäisen kehyksen henkilötietojen käsittelyyn. Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. Organisaation henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa. Monet asetukseen sisältyvät velvoitteet sisältyvät jo nykyisin Suomen henkilötietolakiin.

Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle.

Erityisesti verkkoympäristössä henkilötietojen käsittelyyn liittyvät puutteet koetaan ongelmana asioinnin luotettavuuden ja käytettävyyden kannalta. Asiakkaiden ja sidosryhmien luottamus organisaation menettelytapoihin henkilötietojen käsittelyn on toimintaa vahvasti tukeva tekijä. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan menestymiselle.

Suomessa ollaan varautumattomia tietosuojasäännösten tiukentumiseen. EU:n yleinen tietosuoja-asetus pakottaa julkisyhteisöt ja yritykset muuttamaan toimintamallejaan. Asetuksen myötä Suomessa on eri ministeriöissä arvioitavana uudelleen koko kansallinen erityislainsäädäntö. Kansallinen lainsäädäntö ei nimittäin voi olla ristiriidassa 25.5.2018 sovellettavan EU:n yleisen tietosuoja-asetuksen kanssa.

Tietosuojavastaavien kannattaa nostaa voimakkaasti esille tietosuoja- ja tietoturva-asiat sekä niiden mahdolliset epäkohdat. Näin tietojen ja käyttövaltuuksien omistajat eli palveluntuottajat sekä vastuullinen toiminnan johto ehtivät varautua siihen, että tietoturva- ja tietosuoja-asioiden hallinnollinen työ todennäköisesti lisääntyy jatkossa. Asetuksen velvoitteisiin ja sen riskeihin on tärkeää varautua pikimmiten, sillä uudistukset tulevat voimaan pian. Asetukseen pitää resursoida riittävästi aikaa ja rahaa. Varmaa on, että organisaatioilta vaaditaan entistä perusteellisempia ja ajantasaisempia tietosuojadokumentteja ja erilaisia prosessikuvauksia.

Asetuksessa tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilintekokykyisyys). Näin ollen jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilinteko/osoitusvelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa. Todistustaakka ja näyttövelvollisuus tietosuojakysymysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla.

Tietosuojavaltuutetun toimisto ja oikeusministeriö on julkaissut rekisterinpitäjille suunnatun oppaan EU:n yleiseen tietosuoja-asetukseen valmistautumisesta. Oppaassa kerrotaan muun muassa henkilötietojen käsittelyn arvioinnista ja oikeusperusteista, tietosuojaperiaatteiden toteuttamisesta sekä tietoturvaloukkauksiin valmistautumisesta. Oppaassa selvitetään myös esimerkiksi riskiperustaisen lähestymistavan merkitystä rekisterinpitäjille ja rekisteröidyn oikeuksiin tulevia muutoksia.

http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/01/uusiopasauttaarekisterinpitajiaeuntietosuoja-asetukseenvalmistautumisessa.html

Eduskunnan nettisivuilla on hyvä kooste erilaisista julkaisuista, työryhmäpäätöksistä ja mietinnöistä, joita asetukseen liittyy

https://www.eduskunta.fi/FI/tietoaeduskunnasta/kirjasto/aineistot/kotimainen_oikeus/LATI/Sivut/EUn-tietosuojauudistus.aspx

 

YHTEENVETO:

Käytä siirtymäaika hyväksesi - tee nykytila-arvio organisaatiosi henkilötietojen käsittely- ja tietosuojakäytänteistä

arviointi

Rekisterinpitäjän hallinnollisen johdon on syytä yhdessä nimeämänsä tietosuojavastaavan kanssa (ja mahdollisesti organisaation eri osastojen edustajien kanssa) tehdä henkilötietojen käsittelyn nykytila-arvio ja analyysi tietosuojakäytänteistään vastaavatko ne kansallisen lainsäädännön, ja EU:n tietosuoja-asetuksen velvoitteita ja vaatimuksia. Oman organisaation tietosuojakäytänteiden nykytila-arvion ja analyysin jälkeen tulee ryhtyä tarvittaviin toimenpiteisiin tietosuojakäytänteiden saattamiseksi kansallisen lainsäädännön ja EU:n yleisen tietosuoja-asetuksen velvoitteiden ja vaatimusten mukaiseksi. Tärkeää on pystyä luomaan pysyvä prosessi, jossa henkilötietojen oikeaoppinen käsittely on hallinnassa.

Lisäksi korkeariskinen henkilötietojen käsittely edellyttää asiakkaiden tietosuojan, oikeuksien ja vapauksien vaikuttavuusarvion (DPIA, Data Protection Impact Assessment) tekemistä. DPIA on syytä nyt siirtymäaikana muutoinkin tehdä eri henkilötietojen käsittelyprosesseista rekisterinpitäjän oman edun ja oikeusturvan takia luonnollisena osana EU:n tietosuoja-asetuksen suunnitteluvelvollisuuden (Privacy by Design) ja sisäänrakennetun ja oletusarvoisen tietosuoja (Privacy by Default) toteutumisen varmistamista. Näin DPIA palvelee myös rekisterinpitäjän Accountability-periaatetta eli tilintekokykyisyyttä ja osoitusvelvollisuutta.

Näin teet käytännössä organisaatiosi nykytila-arvion ja analyysin: Lue lisää OpiTietosuojaa.fi-sivuston blogitekstistä

Lisätietoa aiheeseen mm. infografiikkaa Unionin nettisivuilla http://www.consilium.europa.eu/fi/policies/data-protection-reform/data-protection-regulation-infographics/

Lisäksi julkisella sektorilla on tehty nyt todella hyvää työtä ja tuotettu tietosuojatyöpajojen tuotoksena (JUHTA-VAHTI-yhteistyö) materiaalia http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit

 

 

 

Tietosuojavaltuutetun toimisto
:
Euroopan tietosuojaneuvostolta ohjeita käytännesäännöistä tiedonsiirtojen välineenä, virtuaalisista ääniavustajista ja rekisterinpitäjän ja henkilötietojen käsittelijän määritelmistä
Tietosuojavaltuutetun toimisto
:
Euroopan tietosuojaneuvosto antoi ratkaisunsa Facebook IE:tä koskevassa kiireellisessä asiassa
Tietosuojavaltuutetun toimisto
:
Vakuutusyhtiöiden korvausasioita varten ei tule kerätä tai luovuttaa liikaa tietoja
Tietosuojavaltuutetun toimisto
:
Tietosuojavaltuutettu on antanut ensimmäisen päätöksen johtavana valvontaviranomaisena rajatylittävässä asiassa – oikeutta saada pääsy tietoihin ei ollut toteutettu tietosuojasäännösten mukaisesti
Tietosuojavaltuutetun toimisto
:
Asuintalon sähkölukkojärjestelmän käyttöönotossa on huomioitava rekisteröityjen yksityisyyden suoja
Kyberturvallisuuskeskus
21.07.2021
:
CERT-FI 20 vuotta: Oi, muistathan Heartbleedin ja NotPetyan!

CERT-FI sulautui osaksi Kyberturvallisuuskeskusta 1.1.2014. Vuonna 2013 valmistauduttiin uuden organisaation perustamiseen ja uusia tietoturva-asiantuntijoita tarvittiin. Samana vuonna taloon astelivat herrat Kurittu ja Karinen. Kyberviranomaisajoilta muistoihin painuivat etenkin Heartbleed ja NotPetya. Antti Kurittu on Nixun DFIR-tiiminvetäjä ja Ilari Karinen Elisan kyberturvapalvelujen johtaja.

Kyberturvallisuuskeskus
15.07.2021
:
Microsoft korjasi kuukausittaisessa päivityksessään useita kriittisiä haavoittuvuuksia

Microsoftin heinäkuun päivitystiistai toi tullessaan korjauksia useisiin kriittisiin, sekä jo hyökkäyksissä hyväksikäytettyihin haavoittuvuuksiin laajaan kirjoon eri tuotteita. Haavoittuvuudet on syytä päivittää välittömästi myös lomakauden aikana.

Kyberturvallisuuskeskus
14.07.2021
:
Kesäkuun kybersää kertoo kybernuhasta ja tarjoilee tuoreita tilastoja

Kesäkuussa nautittiin valosta vain tietomurto- ja tietovuotorintamilla. Muutoin kyberkelejä vietettiin perinteisesti pilvien alla. Varoitukseltakaan ei vältytty, kun haittaohjelmaa levittävät tekstiviestit rynnivät suomalaisten puhelimiin. Päivitimme kyberturvallisuusilmiöistä kertovia tilastojamme ja kyberuhkien TOP5-kärkeä - mukana nyt kolme uutta kuvausta. Ota mukava asento ja tartu kybersääpakettiimme!

Kyberturvallisuuskeskus
13.07.2021
:
Aktivoimme Android-haittaohjelmia koskevan vakavan varoituksen

Huijausviestejä lähettävä FluBot-kampanja on aktivoitunut Suomessa kesäkuussa ja on edelleen riesanamme. Kyberturvallisuuskeskukselle tulleiden ilmoitusten perusteella suomenkielellä kirjoitettuja huijausviestejä lähetetään tekstiviestitse tällä hetkellä arviolta tuhansille suomalaisille viikossa. Aikaisemmin viesti ilmoitti "Pakettisi olevan matkalla" ja nyt huijausviesti hyödyntää vastaaja-teemaa "Sinulla on 1 uusi vastaajaviesti".

Kyberturvallisuuskeskus
13.07.2021
:
Kriittinen haavoittuvuus SolarWinds Serv-U tuotteessa

Solarwinds julkaisi haavoittuvuustiedotteen 9.7.2021 liittyen Microsoftin tutkijoiden löytämään haavoittuvuuteen Serv-U Managed File Transfer ja Serv-U Secure FTP -tuotteissa. Haavoittuvuutta (CVE-2021-35211) hyväksikäyttämällä hyökkääjän on mahdollista suorittaa etänä omaa ohjelmakoodiaan palvelimella korotetuin käyttöoikeuksin (Remote Code Execution). Microsoftin mukaan haavoittuvuutta on jo havaittu hyväksikäytettävän aktiivisesti rikollisten toimesta.

previous arrow
next arrow
Slider