tietosuoja - 04022014
DESCRIPTION
TRANSCRIPT
Henkilötietolaki ym.
6. helmikuuta 14
Henkilötiedot ja tietosuoja
6. helmikuuta 14
Herkkä aihe
6. helmikuuta 14
Herkkä aihe
6. helmikuuta 14
Lainsäädäntö - EU
Perustana EU-tason sääntely
Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.
Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla.
Positiivinen puoli - alue hyvin harmonisoitu Unionissa
6. helmikuuta 14
Perusidea
Henkilötietoja voidaan kerätä ja tallettaa:
“kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa”
kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde
Säädetty muussa laissa
6. helmikuuta 14
Rekisteriseloste
Kertoo tallennuksen kohteelle
Miksi kerätään
Mitä kerätään
Miten käytetään
Miten korjata virheelliset tiedot
Työkalu tietoisuus-kriteerin täyttämiseen
6. helmikuuta 14
Rekisteröidyn oikeuksiaOikeus tarkastaa itseään koskevat tiedot
Oikeus vaatia virheellisen tiedon oikaisua
Oikeus kieltää henkilötietojen käsittely:suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa)
markkina- ja mielipidetutkimukseen
henkilömatrikkeliin
Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä.
6. helmikuuta 14
Arkaluonteisten tietojen kerääminen
Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat:
rotua tai etnistä alkuperäähenkilön yhteiskunnallista, poliittista tai uskonnollista vakaumustaammattiliittoon kuulumistarikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitähenkilön seksuaalista suuntautumista tai käyttäytymistähenkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
6. helmikuuta 14
Onko kategoriat ajan tasalla?
6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
Sallittua jos
Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa;
sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi;
Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
6. helmikuuta 14
Ilmoitusvelvollisuus (36§)
Tietosuojavaltuutetulle tulee tehdä ilmoitus (ts. lähettää rekisteriseloste), jos
käsitellään henkilötietoja toimeksiannosta toisen lukuun
kyse elinkeinotoiminnasta
http://www.tietosuoja.fi/uploads/dbg4s32ces.pdf
6. helmikuuta 14
Tietojen luovutus EU:n ulkopuolelle
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso
Tapauskohtainen harkintaTietojen luonneSuunnitellun käsittelyn tarkoitus ja kestoaikaAlkuperämaa ja lopullinen kohdeAsianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt
6. helmikuuta 14
Safe Harbor –järjestelyKomissio todennut tietyt maat valmiiksi turvallisiksi
Mm. Sveitsi, Kanada, Argenttiina
USA:n kanssa erikoisjärjestely
Organisaatiokohtainen oikeutusTietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita
6. helmikuuta 14
USA:staSafe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä.
Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja sitoutuminen järjestelmään on tehtävä julkisesti.
Jos järjestelmässä mukana oleva organisaatio ei noudata tietosuojaperiaatteita, voidaan sitä vastaan nostaa kanne.
6. helmikuuta 14
NSA-valvonta?
6. helmikuuta 14
Mitä jos ei turvallinen?Nimenomainen suostumus
Mitä tietoja
Mitä tarkoitusta varten
Kenelle ja mihin maahan tietoja siirretään
Tilanne, jossa rekisteröidylle on ilmoitettu siirrosta, eikä tämä ole vastustanut sitä, ei täytä poikkeuksen ehtoja.
Jos suostumus on ilmaistu epäsuorasti, se ei riitä täyttämään poikkeuksen ehtoja.
6. helmikuuta 14
Myös jos...
“...Siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä”
Tietosuojavaltuutettu: Monikansallisen yrityksen intranet on OK.
6. helmikuuta 14
Kysymyksiä pilviratkaisuille
Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen?
Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan?
Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat?
6. helmikuuta 14
Hyvä rekisteritapa?
Laki edellyttää ns. hyvän rekisteritavan noudattamista
Sisältö oikeuskäytännön kautta
Tietosuojavaltuutettu, tietosuojalautakunta
Hallinto-oikeudet
6. helmikuuta 14
Mitä jos rikotaan?
Yleensä - ei mitään
Henkilötietolaki: Sakko
Oikeudenkäymiskulut
6. helmikuuta 14
Tietosuojauudistus 6. helmikuuta 14
6. helmikuuta 14
Oikeus unohtamiseen
Article 16
Right to erasure
1. Member States shall provide for the right of the data subject to obtain from the controller the erasure of personal data relating to them where the processing does not comply with the provisions adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive.
2. The controller shall carry out the erasure without delay.
6. helmikuuta 14
Tieto tietovuodoistaArticle 28
Notification of a personal data breach to the supervisory authority
1. Member States shall provide that in the case of a personal data breach, the controller notifies, without undue delay and, where feasible, not later than 24 hours after having become aware of it, the personal data breach to the supervisory authority. The controller shall provide, on request, to the supervisory authority a reasoned justification in cases where the notification is not made within 24 hours.
2. The processor shall alert and inform the controller immediately after having become aware of a personal data breach.
6. helmikuuta 14
3. The notification referred to in paragraph 1 shall at least:
(a) describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned;
(b) communicate the identity and contact details of the data protection officer referred to in Article 30 or other contact point where more information can be obtained;
(c) recommend measures to mitigate the possible adverse effects of the personal data breach;
(d) describe the possible consequences of the personal data breach;
(e) describe the measures proposed or taken by the controller to address the personal data breach.
6. helmikuuta 14
Todellinen suostumus tiedonkäsittelyyn, ei oletettu
Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data.
6. helmikuuta 14
Henkilötietojen siirron vapaus
“...Member States shall provide for the right of the data subject to obtain from the controller a copy of the personal data undergoing processing.”
6. helmikuuta 14
Yhden luukun periaate?
3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board.
- Saksa vastustaa.
6. helmikuuta 14
TSV voisi aina käsitellä yksilöiden pyynnöt...
...vaikka tiedot olisivatkin ulkomailla
Article 50
Right to lodge a complaint with a supervisory authority
1. Without prejudice to any other administrative or judicial remedy, Member States shall provide for the right of every data subject to lodge a complaint with a supervisory authority in any Member State, if they consider that the processing of personal data relating to them does not comply with provisions adopted pursuant to this Directive.
Saksa vastustaa.
6. helmikuuta 14
Privacy by design
Article 19
Data protection by design and by default
1. Member States shall provide that, having regard to the state of the art and the cost of implementation, the controller shall implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of provisions adopted pursuant to this Directive and ensure the protection of the rights of the data subject.
2. The controller shall implement mechanisms for ensuring that, by default, only those personal data which are necessary for the purposes of the processing are processed.
6. helmikuuta 14
Avoin data?Regulaatiosa ei erityisoikeuksia
Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä
Esimerkki: Pöytäkirjat voivat muodostaa edelleen henkilörekisterin
Tietojen anonymisointi
Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus
6. helmikuuta 14
Prosessi tästä eteenpäin?
6. helmikuuta 14
Tallennusvelvollisuus
6. helmikuuta 14
Lyhyt historia
• Sähköisen viestinnän tietosuojadirektiivi 2002: ei tallennusvelvollisuutta• “The Civil Liberties Committee expressed itself in favour of
a strict regulation of law enforcement authorities' access to personal data of citizens, such as communication traffic and location data. This decision is fundamental because in this way the EP blocks European Union States' efforts underway in the Council to put their citizens under generalised and pervasive surveillance, following the Echelon model.”
6. helmikuuta 14
“Traffic data relating to subscribers and users processed and stored by the provider of a public
communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed
for the purpose of the transmission of a communication... data necessary for the purposes of subscriber billing and interconnection payments may
be processed...”
Tilanne uuden direktiivin mukaan 2002...
6. helmikuuta 14
Tilanteen muutos
Madrid 2004
Lontoo 2005 6. helmikuuta 14
Tilanteen muutos
Madrid 2004
Lontoo 2005 6. helmikuuta 14
Tilanteen muutos
Madrid 2004
Lontoo 2005 6. helmikuuta 14
Direktiivi• Directive 2006/24/EC of the European
Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services
• Säädettiin pikavauhtia terroristi-iskujen jälkeen ilman sen suurempaa julkista keskustelua
6. helmikuuta 14
“Declaration on Combating Terrorism adopted by the European Council on 25
March 2004 ja On 13 July 2005, the Council reaffirmed in its declaration condemning the
terrorist attacks on London the need to adopt common measures on the retention of
telecommunications data as soon as possible”
Uuden 2006 säädetyn direktiivin johdanto-osa
6. helmikuuta 14
Sisältö• Yllättävä lakitekninen lähtökohta: “This Directive
aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data.”
• Vain “vakavien” rikosten tutkinta: “for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law” - määritelmä varsin väljä
6. helmikuuta 14
Suomen laki• 1 vuosi
• Vain tiedot, jotka operaattorit muutenkin tallentaisivat liiketoimintaansa varten
• Vain viranomaiskäyttöön
• Kovin lobbaustaisto
• Tekee TekL 60b:n käytön hankalaksi?
• Pakkokeinolain 5 a luvun 3 §:n 1 momentissa mainittujen rikosten tutkimiseen
• Poliisi maksaa kustannukset 6. helmikuuta 14
Tietolajit1) palveluyrityksen tarjoamaan kiinteän verkon puhelinpalveluun tai lisäpalveluun taikka matkaviestinverkon puhelinpalveluun, lisäpalveluun, tekstiviestipalveluun, EMS-palveluun tai multimediapalveluun;
2) palveluyrityksen tarjoamaan internet-yhteyspalveluun;
3) palveluyrityksen tarjoamaan sähköpostipalveluun;
4) palveluyrityksen tarjoamaan internet-puhelinpalveluun;
5) puheluun, jossa yhteys on saatu muodostettua, mutta puheluun ei vastattu tai puhelu on estynyt verkonhallintatoimenpiteestä johtuen.
( ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.)
6. helmikuuta 14
Tietoyhteiskuntakaari?
6. helmikuuta 14
Kuka maksaa verkkovalvonnan?
6. helmikuuta 14
Suomi, tietosuojan Sveitsi?
6. helmikuuta 14
Peruskonsepti
Suomesta “turvasatama” tiedoille ja pilvipalvelujille
Ei vakoilua. Piste.
Viranomaisilla pääsy tietoihin vakavien rikosten selvittämiseksi
Täysi kaksipuolinen läpinäkyvyys
Tietopyynnöt aina oikeuteen
Aggressiivinen tietosuojan valvonta
6. helmikuuta 14
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg
Liittoutu-maton
Silta Euroopan ja Aasian välissä
Kylmäilmasto
Ei juuri korruptiota
6. helmikuuta 14
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg
Liittoutu-maton
Silta Euroopan ja Aasian välissä
Kylmäilmasto
Ei juuri korruptiota
6. helmikuuta 14
http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg
Liittoutu-maton
Silta Euroopan ja Aasian välissä
Kylmäilmasto
Ei juuri korruptiota
6. helmikuuta 14