Päivitin GDPR-settini Haaga-Helian opiskelijakunta Helgan ja Eurooppanuorten (JEF-Finland) tilaisuuteen

1. GDPR, GDPR, vaan mikä se on se GDPR
Jyrki J.J. Kasvi

2. Mikä on EU:n asetus?
 Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:
 Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on
julkaistu EU:n virallisessa lehdessä
 GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018
 Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait
 Asetuksen kanssa ristiriitaisia lakeja ei saa säätää
 Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa
osaksi jäsenmaiden omaa lainsäädäntöä
 GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman
kansallista soveltamista
 Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2

3. Mikä on EU:n yleinen tietosuoja-asetus?
 GDPR (General Data Protection Regulation)
 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten
henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
 Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa
 Yritykset, julkishallinto, yhdistykset, …
 ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei
liity ammatilliseen tai kaupalliseen toimintaan
 ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä
 Henkilötietojen suoja vain osa laajempaa tietoturvaa
 Tavoitteena parantaa luottamusta sähköisiin palveluihin, edistää
EU:n digitaalista sisämarkkinoiden kehittämistä ja varmistaa
ihmisten omien henkilötietojen suojaa
 Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin

4. Miksi EU tarttunut tietoturvassa asetus-lekaan?
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 4

5. Mikä on henkilötieto?
 GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia
täsmällisempi
 Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai
tunnistettavissa olevaan henkilöön liittyviä tietoja
 Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti
tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot,
valokuvat, potilastiedot, …)
 Kansallinen tietosuojaviranomainen on toimivaltainen
rekisterinpitäjän päätoimipaikan perusteella
 Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus-
mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.
 Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen
soveltamisesta
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 5

6. Henkilötietojen käsittelyn rajat
 Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen
 Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole
sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.
 Henkilötietoja saa käsitellä vain kun
 Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn
tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn
sopimukseen
 välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi
 tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen
vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi
 tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden)
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 6

7. Lisää rajoja
 Henkilötiedot, joita ei saa käsitellä ilman eri perustetta
 Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen
vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen
 Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa
 Terveyttä koskevat tiedot
 Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain
asetuksessa vahvistetuin edellytyksin
 Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -
sopimuksen turvin.
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 7

8. Rekisteröidyn henkilön oikeudet
 Tiedonsaantioikeus omista henkilötiedoista
 Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin
 Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä,
yleisesti käytetyssä ja koneellisesti luettavassa muodossa
 Tiedonsaantioikeus omien henkilötietojen käsittelystä
 Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja
läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)
 Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.
 Oikeus saada itseään koskevat tiedot oikaistua
 Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle
 Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi
kilpailijansa rekisteriin
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 8

9. Lisää oikeuksia
 Oikeus tietojenkäsittelyn vastustamiseen
 Esimerkiksi suoramarkkinointiin tai profilointiin
 Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista
 Käytännössä myös toimintaohjeita tietojen väärinkäytön rajoittamiseksi
 Oikeus tulla unohdetuksi
 Omien henkilötietojen käyttökielto
 Omien henkilötietojen tuhoaminen rekisteristä
 Oikeus vahingonkorvauksiin
 Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,
on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 9

10. Rekisterinpitäjän velvollisuudet
 Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus,
eheys ja luottamuksellisuus
 Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä
 Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai
vahingoittumiselta
 Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja-
asetuksen velvoitteiden noudattamisesta
 Pelkkä lain passiivinen noudattaminen ei enää riitä
 Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja-
viranomaiselle että kohteeksi joutuneille rekisteröidyille
 Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja
niiden käsittelystä sekä tietojen luovutuksista
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 10

11. Lisää velvollisuuksia
 Tietosuojavastaavien asettaminen
 Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)
 Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä
 Selosteen ylläpito henkilötietojen käsittelystä
 Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn
oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen
arkaluonteisia tietoja.
 Tietosuojaa koskevan vaikutusten arvioinnin laatiminen
 Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 11

12. Sanktiot
 Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä
maksamaan hallinnollisia sakkoja tietosuoja-asetuksen
rikkomisesta
 Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän
tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan,
kumpi näistä määristä on suurempi
 Kevyempiä vaihtoehtoja mm. varoitus, huomautus, määräykset sekä henkilötietojen
käsittelyn rajoittaminen ja keskeyttäminen
 Tietosuojalakiesityksen mukaan Suomessa hallinnollista sakkoa ei
voi(tane) määrätä julkishallinnon elimelle
 Kansallisessa päätäntävallassa, vaikka kyseessä EU-asetus
 valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle
julkisoikeudellisille laitoksille (yliopisto), eduskunnan virastoille eikä tasavallan
presidentin kanslialle
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 12

13. Kansallista hienosäätöä
 EU tietosuoja-asetusta täydentää uusi kansallinen tietosuojalaki
 Korvaa henkilötietolain sekä lain tietosuojalautakunnasta ja tietosuojavaltuutetusta
 Eduskuntaan 1.3.2018, voimaan 25.5.2018
 Lisäksi laki henkilötietojen käsittelystä rikosasioissa ja kansallisen
turvallisuuden ylläpitämisen yhteydessä
 Annettiin eduskunnalle 5.4.2018
 Samalla selkeytetään henkilötietojen käsittelyn sääntelyä
 Nykyisin voimassa 600-700 henkilötietojen käsittelyä koskevaa säädöstä
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 13

14. Haasteita
 Datan toissijainen käyttö
 Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.
 Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden
palveluiden kehityksessä
 Käyttöehtosopimukset eli EULAt
 Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa,
mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä
 Suomalaisten rekisterinpitäjien hidas herääminen
 Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on
hukannut kahden vuoden valmistautumisaikansa
 Jäänyt julkisessa keskustelussa päivänpolitiikan kuten tiedustelulakien jalkoihin
 Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia
hallinnollisia sakkoja
 Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 14

15. Tärkeintä asennemuutos
 Tietoturva on kriittistä ja kaiken kattavaa
 Tietoturva ulottuu läpi alihankintaketjun
 Asiakkaiden ja henkilöstön tiedot hallintaan
 Moni yllättänyt, miten monesta paikasta organisaatiossa henkilötietoja löytynyt
 Tietoturva ei ole jonkun muun vastuulla
 Tietoturvaa ei voi ulkoistaa, vaikka tietoturvapalveluita ostaisikin
 Tietoturvaa ei saa kuntoon kertarykäyksellä
 Tietoturva on jatkuvaa toimintaa, kehittämistä ja oppimista
 Tietoturva pettää joka tapauksessa ennemmin tai myöhemmin
 Toiminnan on silti jatkuttava ja asiakasluottamus säilytettävä
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 15

16. 30.9.2010 www.kasvi.org 16
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo