TIETOSUOJA PÄHKINÄNKUORESSA Tietosuojaopas yrityksille
1. ESIPUHE........................................................................................3 2. MIKSI TIETOSUOJA ON TÄRKEÄ?........................................4 3. TIETOSUOJAA KOSKEVAT OIKEUSLÄHTEET.................5 4. KESKEISET KÄSITTEET........................................................... 7 5. HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT PERIAATTEET.................................................... 13 6. REKISTERÖIDYN OIKEUDET............................................... 19 7. REKISTERINPITÄJÄN VELVOLLISUUDET...................... 24 8. KÄSITTELIJÄN ASEMA.......................................................... 29 9. TIETOJEN SIIRTO KOLMANSIIN MAIHIN....................... 30 10. HENKILÖTIETOJA KOSKEVAT SOPIMUKSET ............... 31 11. VASTUU JA SEURAAMUKSET............................................ 33 12. SUOSITUKSIA KÄYTÄNNÖN TOIMENPITEISTÄ.......... 35 ISBN: 978-952-5620-92-4 Minna Aalto-Setälä ja Mikko Viitaila Tietosuoja pähkinänkuoressa. Tietosuojaopas yrityksille. Helsinki: Keskuskauppakamari, 2018
TIETOSUOJAOPAS 3 Euroopan unionin tietosuoja-asetuksen soveltaminen alkoi 25.5.2018. Se on kaikissa EU-maissa suoraan sovellettavaa lainsäädäntöä. Mitään erillisiä kansallisia päätöksiä ei siis tarvita. Suomen uudella tietosuojalailla voidaan kuitenkin käyttää tietosuoja-asetuksen sallima liikkumavara täydentämällä ja täsmentämällä asetuksen säännöksiä. Sen avulla voidaan saada aikaan jatkuvuutta suhteessa aiemmin voimassa olleeseen henkilötietolakiin, esimerkiksi henkilötunnuksen käsittelyn osalta. Tämä helpottaa yritysten ja muiden organisaatioiden sopeutumista uusiin tietosuojavaatimuksiin. Yksilön suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Tietosuoja-asetuksen tavoitteena on saattaa henkilötietojen suoja kaikissa EU-maissa samalle tasolle, digitaaliseen maailmaan sopivaksi. Se on osa kokonaisuutta, jolla pyritään yhdenmukaistamaan EU:n digitaalisen sisämarkkinan säännöksiä ja toimintatapoja sekä parantamaan eurooppalaisten yritysten mahdollisuuksia toimia nykyaikaisessa digitaalisessa ympäristössä. Lisäksi pyritään edistämään hyviä, turvallisia henkilötietojen käsittelyn menettelytapoja sekä parantamaan kuluttajien luottamusta digitaaliseen markkinaan. Tietosuoja-asetus tuo yrityksille uusien velvollisuuksien lisäksi myös uusia mahdollisuuksia. Velvollisuuksien täyttäminen edellyttää suunnitelmallista tietojen hallinnan toteuttamista, voisi sanoa laatujärjestelmän käyttöönottamista tietojen hallinnassa. Vastapainona yrityksillä on mahdollisuus laajentaa markkina-aluettaan koko Euroopan alueelle. Kun vaatimukset täyttyvät yhdessä EU-jäsenvaltiossa, ne täyttyvät muissakin. Tämän oppaan tarkoituksena on antaa lukijalle yleiskuva tietosuoja-asetuksen sisällöstä ja asetuksen vaatimista keskeisistä toimenpiteistä sekä niistä mahdollisuuksista, joita asetuksen toteuttaminen antaa liiketoiminnan kehittämiseen. Lähtökohtana on aktiivinen ja ennakoiva vaatimusten toteuttaminen, sillä se antaa mielestämme parhaat mahdollisuudet menestykselliseen toimintaan nopeasti muuttuvassa digitaalisessa maailmassa. Huomioithan opasta käyttäessäsi, että tietosuojaa on oppaassa käsitelty suppeasti ja yleisellä tasolla aiheeseen perehtymisen helpottamiseksi. Konkreettisissa käytännön kysymyksissä on syytä kääntyä tietosuojavaltuutetun toimiston tai muun tietosuojaa osaavan ammattilaisen puoleen. Tämän oppaan tarkoituksena ei ole olla kattava opas tietoturvan hallintaan ja toteuttamiseen. Tietoturvallisuuden hallinnasta ja toteuttamisesta löytyy lisätietoja esimerkiksi kansainvälisen kauppakamarin tietoturvaoppaasta yrityksille (ICC Cyber security guide for business © 2015, International Chamber of Commerce). Kiitämme lämpimästi oppaan tekemiseen saamastamme avusta tietosuojavaltuutettua Reijo Aarniota, viestintäjohtaja Anna Lauttamus-Kauppilaa, dosentti Max Oker-Blomia, lakimies Minna Frändeä, pääsihteeri Paula Palorantaa ja OTM Ninni Hambergia. Minna Aalto-Setälä ja Mikko Viitaila 1. ESIPUHE
TIETOSUOJAOPAS 4 2. MIKSI TIETOSUOJA ON TÄRKEÄ? Tietosuoja osana jokaisen arkea EU:n perusoikeuskirjan henkilötietojen suojaa koskevan säännöksen mukaan jokaisella on oikeus henkilötietojen suojaan. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua tietoihin, joita hänestä on kerätty ja saada mahdolliset virheelliset tiedot oikaistuksi. Viranomainen valvoo näiden sääntöjen noudattamista. Tietosuojalla tarkoitetaan siis yksilön oikeutta omiin henkilötietoihin ja hänen yksityisyytensä suojaamista käsiteltäessä henkilötietoja. Tietosuojan merkitys kasvaa jatkuvasti digitalisoituvassa ja verkottuvassa maailmassamme. Informaatioteknologia ja digitalisoituminen vaikuttavat keskeisesti siihen, miten henkilötietoja käsitellään ja miten kunkin yksilön ja yrityksen tulisi omassa toiminnassaan tähän suhtautua. Joudumme lähes päivittäin tekemään päätöksiä siitä, mihin annamme tai emme anna itseämme koskevia tietoja. Vaikka tämä opas on erityisesti pyritty kirjoittamaan yrityksille selventämään ja auttamaan keskeisten tietosuojaan liittyvien käsitteiden ja periaatteiden ymmärtämisessä, aivan yhtä tärkeää on hahmottaa se, että tietosuoja koskee meitä kaikkia. Kyse on meidän kaikkien, sinun ja minun, lapsiemme, vanhempiemme, lastenlastemme ja isovanhempiemme tiedoista ja siitä, miten niitä käsitellään niin yhteiskunnassa kuin myös osana yritysten liiketoimintaa. Tosiasia on, ettei kukaan meistä voi enää päättää, ettei halua olla mukana verkottuneessa ympäristössä ja antaa ainakin joitakin tietoja sähköisiin palveluihin. Yhä isompi osa päivittäisestä viestinnästä ja viranomaisten hallussa olevista tiedoista on olemassa ainoastaan sähköisessä muodossa. Tietosuoja kilpailutekijänä Viime vuosien tietomurrot ja niistä aiheutuneet vahingot yrityksille ja organisaatiolle ovat olleet todella merkittäviä. Asiakkaat, olivatpa ne yritysasiakkaita tai yksityishenkilöitä, ovat viime vuosien tapahtumien seurauksena entistä kiinnostuneempia siitä, missä ja miten heidän henkilötiedoistaan huolehditaan. Asiakkaiden luottamus on monelle yritykselle olemassaolon ja menestyksen edellytys ja menetettyä luottamusta on vaikea, joskus jopa mahdotonta, rakentaa uudelleen. Tietosuoja-asetuksen perimmäisenä tarkoituksena on taata tämän luottamuksen perusedellytykset ja asettaa organisaatiolle ja yrityksille lähtökohtaiset säännöt, miten tietosuojasta tulee huolehtia. Voidaankin väittää, että tulevaisuudessa parhaiten menestyvät ne yritykset ja organisaatiot, jotka toiminnallaan onnistuvat saavuttamaan maineen tietosuojasta ja -turvallisuudesta hyvin huolehtivina toimijoina.
TIETOSUOJAOPAS 5 3. TIETOSUOJAA KOSKEVAT OIKEUSLÄHTEET vät yleiset periaatteet pääpiirteiltään säilyivät, asetus tuo mukanaan myös merkittäviä muutoksia. Tällaisia ovat muun muassa säännösten soveltaminen myös henkilötietojen käsittelijään, velvollisuus ilmoittaa tietoturvaloukkauksista, vaikutustenarvioinnin tekeminen, tietosuojavastaavan nimittäminen ja hallinnolliset sakot eli seuraamusmaksut. Myös viranomaispuolella on tapahtunut muutoksia, sillä asetuksella perustettiin Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB). Se soveltaa ja tulkitsee toiminnassaan asetusta. Tietosuojaneuvoston tehtävä on varmistaa, että tietosuoja-asetusta sovelletaan johdonmukaisesti koko EU:n alueella ja että valvontaviranomaisten välinen yhteistyö on tehokasta. Se antaa ohjeita asetuksen tulkinnasta ja tekee tietosuojaa koskevia päätöksiä riita-asioissa, joissa on kyse rajat ylittävästä henkilötietojen käsittelystä. Tietosuojaneuvosto pyrkii varmistamaan, että asetusta sovelletaan yhdenmukaisesti eri jäsenvaltioissa. Pyrkimyksenä on myös välttää saman asian käsittelyä eri jäsenmaissa. EU-lainsäädäntö Yhteisölainsäädännöllä on Suomessa EU:n jäsenvaltiona hyvin suuri merkitys. Uusi tietosuoja-asetus on Suomessa tärkein henkilötietojen käsittelyä koskeva säädös. Se on sellaisenaan sovellettavaa oikeutta koko EU:n alueella. Sitä sovelletaan kaikkeen henkilötietojen käsittelyyn olipa kyse rekisterinpidosta yrityksessä tai henkilötietojen käsittelystä vaikkapa urheiluseurassa. Uuden asetuksen taustalta löytyvät EU:n henkilötietodirektiivi ja EU:n perusoikeuskirjan säännökset yksityiselämän ja henkilötietojen suojasta. Henkilötietodirektiivin voimassaolo päättyi, kun tietosuoja-asetusta alettiin soveltaa 25.5.2018. Vaikka henkilötietojen käsittelyyn liittyMIKSI YRITYKSEN TIETOSUOJA ON ELINTÄRKEÄ: Yrityksen tietosuoja onkilpailutekijä. Asiakkaat ovat tietoisia tietoturvariskeistä niin yksityishenkilöinä kuin yritysasiakkaina. Asiakkaiden luottamus on yritystoiminnan olemassaolon ja menestyksen kulmakivi. Yrityksen tietosuoja on luottamuksen perusta.
TIETOSUOJAOPAS 6 Suomalainen lainsäädäntö Uudella tietosuojalailla täsmennetään ja täydennetään tietosuoja-asetusta. Siinä säädetään esimerkiksi vastaavalla tavalla kuin aiemmassa henkilötietolaissa henkilötunnuksen käsittelystä. Tällä hetkellä suomalaista henkilötietojen käsittelyä koskevat säännökset ovat hyvin hajallaan, sillä tietosuojasta säädellään yli 800 laissa. Esimerkiksi henkilötietojen käsittelyä työsuhteessa säätelee työelämän tietosuojalaki (759/2004). Sähköisen viestinnän tietosuojaa taas koskee laki sähköisen viestinnän palveluista (917/2014). Kyseistä säännöstä ollaan parasta aikaa uudistamassa EU:ssa, sillä komissio on antanut ePrivacy-asetusehdotuksen (COM/2017/010) osana digitaalisten sisämarkkinoiden edistämisstrategiaa. Sillä on tarkoitus täydentää tietosuoja-asetusta. Oikeuskäytäntö Viimeisenä oikeuslähteenä tulee mainita oikeus- ja soveltamiskäytäntö. Suomessa viranomaisten ja tuomioistuinten ratkaisut ovat linjanneet tietosuojan soveltamista käytännössä. Tietosuojavaltuutetun kannanotot, lausunnot, päätökset ja monet valtuutetun toimiston oppaat ovat ohjanneet suomalaisia lain soveltamisessa. Tietosuojalautakunnan lausunnot ovat olleet tärkeitä tulkintaohjeita, sillä korkeimmalta oikeudelta ja korkeimmalta hallinto-oikeudelta ratkaisuja löytyy eri ongelmatilanteisiin niukasti. Koska Suomen henkilötietolainsäädäntö perustuu EU:n säännöksiin, komission sekä neuvoston päätöksillä ja tiedonannoilla sekä Euroopan unionin tuomioistuimen (EUT) ratkaisuilla on merkittävä rooli. EUT on keskeinen tietosuojaa ja sitä koskevien säännösten tulkitsija. EU:ssa on käytössä ennakkoratkaisumenettely, jossa kansallinen tuomioistuin voi pyytää EUT:lta ratkaisua EU-oikeuden tulkintaa tai pätevyyttä koskevaan kysymykseen. Tällä pyritään varmistamaan EU-normien yhtenevä tulkinta ja soveltaminen koko unionissa. Tärkeitä EUT:n ratkaisuja ovat esimerkiksi Google (C-131/12) ja Schrems (C-362/14). Ne ovat ohjanneet myös suomalaista oikeuskäytäntöä ja vaikuttaneet olennaisesti muun muassa uuden tietosuoja-asetuksen sisältöön. EU:n tietosuojaryhmän eli WP 29:n kannanotot ovat muovanneet eurooppalaista tietosuojaa. Jatkossa Euroopan tietosuojaneuvosto tulee ohjaamaan ja tulkitsemaan eurooppalaista tietosuojaa ja yksityisyyden suojaan liittyviä asioita. Myös Euroopan ihmisoikeustuomioistuin on antanut tietosuojaa koskevia ratkaisuja. Kansainväliset sopimukset Vaikka tietosuoja on oikeuden alana suhteellisen uusi, se on luonteeltaan hyvin kansainvälistä. Kansainväliset sopimukset ovat vaikuttaneet suomalaisen tietosuojan kehitykseen. Kansainvälisen yhteistyön tuloksena on syntynyt OECD:n suosituksia (muun muassa The 2013 OECD Privacy Guidelines), joiden pohjalta on syntynyt reilun tietosuojan periaatteet ja YK:n kansainvälinen sopimus koskien tietojenkäsittelytietojen säätämistä koskevia suuntaviivoja (U.N. Guidelines Concerning Computerized Data Files, 1990). Myös kansainvälisesti sovituilla standardeilla, kuten ISO/IEC 27001 ja ISO/EIC 27018, on iso vaikutus tietosuojan kehitykseen.
TIETOSUOJAOPAS 7 4. KESKEISET KÄSITTEET Hallinnollinen sakko Valvontaviranomainen voi määrätä hallinnollisen sakon tietosuoja-asetuksen rikkomisesta. Sakon määrä voi olla huomattava eli enintään 20 miljoonaa euroa tai 4 prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Viranomaisella on laajat toimivaltuudet ja harkintavalta seuraamuksista päätettäessä. Suomen tietosuojalaissa hallinnollisia sakkoja kutsutaan hallinnollisiksi seuraamusmaksuiksi. Niitä ei voi Suomessa tietosuojalain mukaan määrätä julkisen sektorin toimijalle. Henkilötieto Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan yksityishenkilöön liittyviä tietoja, joita voivat olla muun muassa nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto. Tunnistettavissa olevana yksityishenkilönä pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella. Anonymisointi ja pseudonymisointi Anonymisoinnilla tarkoitetaan henkilötiedon tunnistettavuuden poistamista siten, että rekisteröidyn tunnistaminen tai yksittäisen tiedon yhdistäminen häneen ei ole enää mahdollista. Tietosuoja-asetusta ei sovelleta anonymisoituihin tietoihin. Tällöin siis tietojen tunnistettavuus on lopullisesti poistettu siten, että rekisteröidyn suora tai epäsuora tunnistaminen ei ole mahdollista edes käyttämällä lisätietoja. Esimerkiksi tilastotieto on anonyymi tieto. Pseudonymisoinnilla tarkoitetaan henkilötietojen julkaisemista ikään kuin salanimellä. Tällöin henkilötietoja käsitellään siten, ettei tietoja voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Tällaiset lisätiedot on säilytettävä erillään ja erilaisin toimenpitein varmistetaan, ettei henkilötietoja voida yhdistää tunnistettuun tai tunnistettavissa olevaan henkilöön. Tietosuoja-asetuksen mukaan pseudonymisoitu tieto on kuitenkin henkilötieto. Arkaluonteiset henkilötiedot Arkaluonteisia henkilötietoja ovat tiedot, joista ilmenee rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettinen tai biometrinen tieto, terveystieto tai seksuaaliseen suuntautumiseen taikka käyttäytymiseen liittyvä tieto. Pääsäännön mukaan näitä erityisiä henkilötietoryhmiä koskevien tietojen käsittely on kiellettyä. Asetuksessa on säännelty niiden käsittelystä tietyissä tilanteissa, kuten silloin, kun rekisteröity on antanut nimenomaisen suostumuksen tai kun käsittely on tarpeen tärkeästä yleistä etua koskevasta syystä.
TIETOSUOJAOPAS 8 Henkilötietodirektiivi EU:n henkilötietojen suojaa koskeva direktiivi (Euroopan parlamentin ja neuvoston direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta; 95/46/EY, 24.10.1995), jonka voimassaolo päättyi tietosuoja-asetuksen soveltamisen alkaessa 25.5.2018. Henkilötietojen käsittelijä Henkilötietojen käsittelijällä tarkoitetaan yksityishenkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisteripitäjän lukuun. Henkilötietojen käsittely Henkilötietojen käsittely tarkoittaa laajasti kaikenlaisia toimintoja, joita kohdistetaan henkilötietoihin automaattisella tietojenkäsittelyllä tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, muuttaminen, hakeminen, kysely, käyttäminen, luovuttaminen, siirtäminen, levittäminen, saataville saattaminen, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen tai hävittäminen. Henkilötietojen tietoturvaloukkaus Henkilötietojen tietoturvaloukkaus tarkoittaa tietoturvaloukkausta, jonka seurauksena vahingossa tai lainvastaisesti aiheutuu henkilötietojen tuhoutumista, häviämistä, muuttumista, luvatonta paljastumista tai niihin pääsyä. Tietoturvaloukkauksesta aiheutuu usein henkilötietojen lainvastaista käyttöä. Lapsen henkilötietojen käsittely Kun alle 16-vuotiaalle lapselle tarjotaan tietoyhteiskunnan palveluja, lapsen henkilötietojen käsittely on sallittua vain vanhemman suostumuksella. Jäsenvaltio voi säätää alemman ikärajan, joka saa minimissään olla 13 vuotta. Suomi noudattaa tietosuojalain mukaan 13 vuoden ikää. Tietoyhteiskunnan palvelulla tarkoitetaan sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä toimitettavaa palvelua. Tällaisia ovat esimerkiksi käyttäjän sähköinen tunnistaminen verkossa, sosiaalisen median käyttäminen ja videoiden katselu netissä. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen, että vanhemman suostumus on olemassa ottaen huomioon käytettävissä olevan teknologian. Esimerkiksi pilvipalveluissa vanhemman suostumus vaaditaan ennen kuin lapsen tili tai käyttäjätunnus voidaan perustaa. Yksi yleisesti käytetty menetelmä varmistaa asia on vaatimus luottokortin käyttämisestä. Tällöin kortilta veloitetaan pieni summa, jonka voi usein käyttää muihin tarkoituksiin. Tarkoitus on siis tarkistaa vanhemman suostumuksen olemassaolo eikä tehdä suostumuksen antamisesta maksullista. Luonnollinen henkilö Lainsäädännössä käytetään termiä “luonnollinen henkilö” tarkoitettaessa ihmistä ja termiä “oikeushenkilö” tarkoitettaessa yrityksiä ja yhteisöjä. Tässä oppaassa käytetään lukemisen helpottamiseksi termiä “yksityishenkilö” viitattaessa luonnolliseen henkilöön.
TIETOSUOJAOPAS 9 Osoitusvelvollisuus Rekisterinpitäjä vastaa siitä, että se noudattaa henkilötietojen käsittelyssä tietosuoja-asetuksen mukaisia periaatteita, joita ovat 1. lainmukaisuus, kohtuullisuus ja läpinäkyvyys 2.käyttötarkoitussidonnaisuus 3.tietojen minimointi 4. täsmällisyys 5. säilytyksen rajoittaminen, sekä 6.eheys ja luottamuksellisuus. Rekisterinpitäjän on pystyttävä osoittamaan, että näitä periaatteita on noudatettu. Tätä kutsutaan osoitusvelvollisuudeksi. Henkilötietojen käsittelyä koskevista periaatteista ja osoitusvelvollisuudesta tarkemmin kohdassa 5. Profilointi Profilointi tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan yksityishenkilön tiettyjä ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin. Profilointi on lähtökohtaisesti sallittua. Jos profiloinnin avulla tehdään automatisoituja päätöksiä, tulee noudattaa erityisedellytyksiä. Jos profilointi liittyy suoramarkkinointiin, sen voi aina kieltää. Rekisteröidyllä voi myös olla oikeus vastustaa profilointia vedoten henkilökohtaiseen erityiseen tilanteeseen. Rekisteröidylle on kerrottava vastustamisoikeudesta. Vastustamisoikeudesta tarkemmin kohdassa 6.6. Rekisteröity Yksityishenkilö, jonka henkilötietoja käsitellään. Rekisterinpitäjä Rekisterinpitäjällä tarkoitetaan yksityis- tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhteistyössä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Seloste käsittelytoimista Rekisterinpitäjän ja henkilötietojen käsittelijän on ylläpidettävä selostetta, joka vastaa pitkälti henkilötietolain mukaista rekisteriselostetta. Selosteessa on informoitava henkilötietojen vastaanottajista ja tietojen siirroista EU:n tai Euroopan talousalueen ulkopuolelle. Yrityksen tai muun yhteisön, jossa on alle 250 työtekijää, ei tarvitse laatia selostetta paitsi, jos käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu arkaluonteisiin tietoihin.
TIETOSUOJAOPAS 10 Sertifiointi Tietosuoja-asetus tuo mukanaan uusia sertifiointitapoja, joita ovat sertifikaatti, tietosuojasinetti ja -merkki. Tarkoituksena on lisätä läpinäkyvyyttä ja tehostaa lainsäädännön noudattamista, jotta rekisteröidyt voisivat nopeasti arvioida tarjotun tuotteen tai palvelun tietosuojan tason. Eri sertifiointitapojen avulla rekisterinpitäjä ja henkilötietojen käsittelijä voivat puolestaan osoittaa noudattavansa vaadittua tietosuojaa ja hyvää tietojenkäsittelytapaa. Monet isot palvelutarjoajat ovat osoittaneet vaatimustenmukaisuutensa kansainvälisillä standardeilla. Tällaisia ovat esimerkiksi ISO27018 (yksityisyyden suoja pilvipalveluissa) tai ISO27001 (tietoturvallisuuden hallintajärjestelmä). Tätä kirjoitettaessa erillistä tietosuoja-asetuksen vaatimusten mukaisuuden osoittavaa standardia ei ole vielä olemassa. Sertifioituja palveluntarjoajia käyttämällä organisaatiot voivat varmistua siitä, että heidän käyttämänsä palvelut ovat myös käsittelijälle asetettujen tietosuoja-asetuksen vaatimusten mukaisia. Suostumus Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Suostumuksen antamista koskeva pyyntö tulee esittää selvästi erillään muista asioista ja helposti ymmärrettävässä muodossa. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa, mistä rekisterinpitäjän tulee ilmoittaa ennen suostumuksen antamista. Tietosuoja-asetus Yleinen tietosuoja-asetus eli General Data Protection Regulation (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU) 2016/679, 27.4.2016; yleinen tietosuoja-asetus, GDPR). Tässä oppaassa käytetään luettavuuden helpottamiseksi yleiseen tietosuoja-asetukseen viitattaessa termejä “tietosuoja-asetus” tai “asetus” . Tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava, kun niiden toiminnan ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka luonteensa, laajuutensa tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Samoin on myös silloin, kun ydintehtävänä on henkilötietojen laajamittainen käsittely, joka kohdistuu arkaluonteisiin henkilötietoihin, rikostuomioihin tai rikoksia koskeviin tietoihin. Viranomaisille ja julkishallinnon elimille, jotka käsittelevät henkilötietoja, tietosuojavastaavan nimittäminen on aina pakollista (ei koske tuomioistuinta). Yritysryhmä voi nimittää yhden yhteisen tietosuojavastaavan ja vastaavasti yksi tietosuojavastaava voidaan määrätä hoitamaan useamman viranomaisen tai julkishallinnon elimen kyseisiä tehtäviä.
TIETOSUOJAOPAS 11 Tietoturva Tietoturvalla tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista. Keskeisiä tietoturvan käsitteitä ovat saatavuus tai käytettävyys, luottamuksellisuus ja eheys. Saatavuudella tai käytettävyydellä tarkoitetaan sitä, että tieto on saatavilla, kun sitä tarvitaan. Luottamuksellisuudella tarkoitetaan sitä, että tietoa saavat käsitellä vain sellaiset henkilöt, joilla on tähän oikeus. Eheydellä taas tarkoitetaan sitä, että tieto ei saa muuttua vahingossa tai hyökkäyksen seurauksena taikka muutos pitää ainakin pystyä havaitsemaan. Vaikutustenarviointi Vaikutustenarvioinnilla tarkoitetaan suunniteltujen henkilötietojen käsittelytoimien vaikutusten arviointia suhteessa tietosuojaan ja yksilön oikeuksiin. Jos käsittely todennäköisesti aiheuttaa rekisteröidyn kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava tietosuojan vaikutustenarviointi ja määriteltävä toimia, joilla riskiä voidaan hallita. Vaikutustenarviointi vaaditaan erityisesti, kun tehdään 1) ihmisten henkilökohtaisten ominaisuuksien järjestelmällistä, kattavaa ja automaattista arviointia (kuten profilointia), joka johtaa oikeusvaikutuksia sisältäviin päätöksiin tai joka muuten vaikuttaa ihmiseen merkittävästi, 2) arkaluonteisten henkilötietojen laajamittaista käsittelyä tai 3) yleisölle avoimen alueen järjestelmällistä ja laajamittaista valvontaa. Valvontaviranomainen voi myös määritellä käsittelytyyppejä, jolloin on tehtävä vaikutustenarviointi. Tietosuojan vaikutustenarvioinnissa tulee olla vähintään kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista, arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden, arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä ja suunnitellut toimenpiteet riskeihin puuttumiseksi. Tarvittaessa rekisterinpitäjän on tehtävä uudelleentarkastelu. Rekisterinpitäjän on kuultava valvontaviranomaista ennen käsittelyä, jos vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle ja rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi. VAIKUTUSTENARVIOINTI TIETOVUOANALYYSI TIEDON KÄYTTÖTARKOITUKSET HALLINTAKEINOT RISKIARVIO SOVELLETTAVAT TIETOSUOJAVAATIMUKSET
TIETOSUOJAOPAS 12 Valvontaviranomaiset Suomessa kansallisena valvontaviranomaisena toimii tietosuojavaltuutettu. Hän toimii tietosuojavaltuutetun toimiston päällikkönä. Toiminnassaan tietosuojavaltuutettu on itsenäinen ja riippumaton. Tietosuojavaltuutettu on Euroopan tietosuojaneuvoston jäsen. Usean EU:n jäsenvaltion alueella toimiva rekisterinpitäjä tai henkilötietojen käsittelijä asioi pääsääntöisesti päätoimipaikkansa valvontaviranomaisen kanssa henkilötietojen käsittelyyn liittyvien asioiden osalta. Tämä viranomainen toimii johtavana valvontaviranomaisena suhteessa toisiin tietosuojaviranomaisiin, joiden alueilla rekisterinpitäjä tai henkilötietojen käsittelijä toimii. Näin poistuu tarve asioida erikseen usean jäsenvaltion valvontaviranomaisen kanssa. WP 29 WP 29 tai Working Party 29 nimillä on kutsuttu EU:n tietosuojatyöryhmää, joka toimi riippumattomana neuvoa-antava työryhmänä, koska siitä säädettiin henkilötietodirektiivin 29 artiklassa. Se koostui jäsenvaltioiden ja komission edustajista sekä Euroopan tietosuojavaltuutetusta. Se on antanut lukuisia lausuntoja ja suosituksia tietosuojasta ja yksityisyyden suojaan liittyvistä kysymyksistä. Sen työtä jatkaa Euroopan tietosuojaneuvosto. Yhdenmukaisuusmekanismi Tietosuoja-asetus on suoraan sovellettavaa oikeutta koko EU:n alueella ja sillä pyritään yhdenmukaistamaan eurooppalaista tietosuojaa. Tästä syystä kaikkia yhteisöalueella toimivia koskee samat säännöt. Jäsenvaltioiden valvontaviranomaisten ja komission on tehtävä yhteistyötä varmistaakseen lainsäädännön yhteydenmukainen soveltaminen EU:ssa. Euroopan tietosuojaneuvosto voi muun muassa antaa tietosuoja-asetuksen soveltamisesta sitovia päätöksiä. Tällä tavoin se varmistaa tietosuojan yhdenmukaisuutta EU:ssa.
TIETOSUOJAOPAS 13 5. HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVAT PERIAATTEET 5.1 Tietosuoja-asetuksessa on määritelty henkilötietojen käsittelyä koskevat periaatteet, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Nämä periaatteet ovat: LAINMUKAISUUS, KOHTUULLISUUS JA LÄPINÄKYVYYS KÄYTTÖTARKOITUSSIDONNAISUUS TIETOJEN MINIMOINTI TÄSMÄLLISYYS SÄILYTYKSEN RAJOITTAMINEN EHEYS JA LUOTTAMUKSELLISUUS OSOITUSVELVOLLISUUS
TIETOSUOJAOPAS 14 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Jos tietoja käsitellään myöhemmin yleisen edun mukaisen arkistoinnin, tieteellisen tai historiallisen tutkimuksen tai tilastoimisen vuoksi, tällainen käyttö ei ole yhteensopimatonta alkuperäisen tarkoituksen kanssa. Tietojen minimointi Henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoituttava siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Täsmällisyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Säilytyksen rajoittaminen Henkilötiedot on säilytettävä sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. Henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten edellyttäen, että tietosuoja-asetuksen edellyttämiä asianmukaisia teknisiä ja organisatorisia toimenpiteitä on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi. Rekisterinpitäjällä on siis oikeus säilyttää rekisterissä tunnistettavassa muodossa olevia henkilötietoja vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. Käytännössä tämä asia toteutetaan henkilötietojen elinkaaren hallinnalla. Eheys ja luottamuksellisuus Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Tämä pitää sisällään tietojen suojaamisen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Henkilötietojen suojaamisesta on huolehdittava käsittelyn kaikissa vaiheissa eli tietojen keräämisestä tietojen poistamiseen. Tietojen suojaaminen edellyttää henkilötietojen käsittelyn seuraamista ja valvontaa. Rekisterinpitäjä vastaa siitä, että edellä luetellut henkilötietojen käsittelyä koskevat periaatteet on otettu huomioon sen toiminnassa, ja sen on pystyttävä myös osoittamaan se. Tätä kutsutaan osoitusvelvollisuudeksi. Käytännössä rekisterinpitäjä voi toteuttaa tämän dokumentoimalla omat toimenpiteensä.
TIETOSUOJAOPAS 15 5.3 Käsittelyn lainmukaisuus Henkilötietojen käsittelylle ja henkilörekisterin pitämiselle on aina oltava asetuksessa säädetty käsittelyn oikeusperuste. Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: • Rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten • Käsittely on tarpeen sopimuksen täytäntöön panemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä • Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi • Käsittely on tarpeen rekisteröidyn tai toisen yksityishenkilön elintärkeiden etujen suojaamiseksi • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi • Kyse on oikeutetusta edusta. Oikeutettu etu käsittelyn oikeusperustana Tällöin käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, elleivät tietosuojan edellyttämät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäytä tällaista oikeutettua etua, erityisesti silloin, kun rekisteröity on lapsi. Tällöin tehdään intressipunninta eri osapuolten välillä. 5.2 Osoitusvelvollisuus Rekisterinpitäjä vastaa osoitusvelvollisuuden toteuttamisesta. Osoitusvelvollisuudesta käytetään englanninkielistä termiä accountability. Sen mukaan rekisterinpitäjän on pystyttävä jälkikäteen osoittamaan, että tietosuoja-asetuksen mukaisia henkilötietojen käsittelyä koskevia periaatteita on noudatettu käytännössä. Tämä edellyttää henkilötietojen käsittelyyn liittyvien prosessien sekä tieto-suojaperiaatteiden käytännön toteuttamisen dokumentointia sekä teknisiä ja organisatorisia toimenpiteitä. Yrityksen on rekisterinpitäjänä pystyttävä näyttämään, että henkilötietojen käsittelyä koskevia periaatteita noudatetaan. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, mikä voidaan toteuttaa suunnittelemalla, varautumalla ja kyvykkyydellä osoittaa toteutetut toimenpiteet. Yrityksen käytännön toimintaa auttavat selkeästi etukäteen määritellyt vastuut ja toimintatavat sekä menetelmät siitä, miten henkilötietoja käsitellään. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon. Dokumentointi on olennainen osa tätä.
TIETOSUOJAOPAS 16 Oikeutettuun etuun vetoaminen edellyttää tilanteen kokonaisarviointia. Oikeutettua etua ei sovelleta silloin, kun viranomainen käsittelee tietoja. Henkilötietojen käsittely suoramarkkinointitarkoituksissa kuuluu oikeutetun edun piiriin eli oikeutetun edun perusteella yritys voi esimerkiksi markkinoida tuotteitaan ja palveluitaan potentiaalisille asiakkaille. Myös henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavien tietojen käsittely perustuu oikeutettuun etuun. Tämä on huomioitu henkilötietolaissa. Tällöin henkilötietoja voidaan käyttää, kun kyse on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin, kun käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden. Jos käsittely tapahtuu muuta tarkoitusta varten kuin sitä, jonka vuoksi tiedot on kerätty, eikä käsittelyyn ole rekisteröidyn suostumusta tai se ei perustu lakiin, rekisterinpitäjän on varmistettava, että käsittely on tällöin yhteensopiva alkuperäisen käsittelytarkoituksen kanssa. 5.4 Rekisterinpitäjän ilmoitusvelvollisuus Rekisterinpitäjän on toimitettava rekisteröidylle tietosuoja-asetuksen mukaiset käsittelyä koskevat tiedot tiiviisti, läpinäkyvästi ja helposti ymmärrettävästi ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tämä velvollisuus korostuu erityisesti, kun tiedot on tarkoitus antaa lapselle. Tiedot on annettava kirjallisesti tai muulla tavoin. Tiedot voidaan antaa myös sähköisesti. Jos rekisteröity pyytää, tiedot voidaan antaa suullisesti. Tällöin edellytetään, että rekisteröidyn henkilöllisyys voidaan vahvistaa. Rekisteröidyllä on oltava mahdollisuus tietää, miten ja missä määrin häntä koskevia tietoja kerätään ja käytetään. Ilmoitusvelvollisuuden käytännön toteutus on tärkeää, koska tällöin rekisteröityä informoidaan tietojen käsittelystä ja koska se on suostumuksen edellytys, mutta myös sen vuoksi, että se vaikuttaa rekisteröidyn odotuksiin ja siten intressipunnintaan. Rekisterinpitäjä / 3. osapuoli Suoramarkkinointi Asiakassuhde CRM OIKEUTETTU ETU JA INTRESSIPUNNINTA
TIETOSUOJAOPAS 17 Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä Kun rekisteröidyltä kerätään häntä koskevia henkilötietoja, rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot: • Rekisterinpitäjä ja hänen yhteystietonsa • Mahdollisen tietosuojavastaavan yhteystiedot • Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste • Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu intressipunnintaan • Henkilötietojen vastaanottajat tai vastaanottajaryhmät • Tiedot siirroista kolmansiin maihin Edellä mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: • Henkilötietojen säilytysaika tai, jos se ei ole mahdollista, ajan määrittämiskriteerit • Rekisteröityjen oikeudet • Oikeus peruuttaa suostumus • Oikeus tehdä valitus valvontaviranomaiselle • Onko henkilötietojen antaminen lakisääteistä, sopimukseen perustuvaa tai edellyttääkö sopimuksen tekeminen sitä • Onko rekisteröidyn pakko toimittaa tiedot • Tietojen antamatta jättämisen mahdolliset seuraukset • Automaattisen päätöksenteon olemassaolo ja merkitykselliset tiedot käsittelyn logiikasta. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, sen tulee ilmoittaa rekisteröidylle ennen jatkokäsittelyä muusta tarkoituksesta ja antaa kaikki tarvittavat lisätiedot. Jos rekisteröity on jo saanut tiedot, tietoja ei tarvitse antaa. Yksityiselämän suoja Lapsen edut Rekisteröity
TIETOSUOJAOPAS 18 Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä Kun tietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava rekisteröidylle lähtökohtaisesti vastaavat tiedot kuin edellä on mainittu ja lisäksi: • Kyseessä oleva henkilötietoryhmä • Mistä henkilötiedot on saatu sekä tarvittaessa tieto siitä, onko tiedot saatu yleisesti saatavilla olevista lähteistä. Rekisterinpitäjän on annettava tiedot kuukauden kuluessa henkilötietojen saamisesta tai kun rekisteröityyn ollaan yhteydessä. Jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, tiedot on annettava viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran. Rekisterinpitäjä voi poiketa tiedonantovelvollisuudestaan, jos rekisteröity on jo saanut tiedot, tai tietojen yksilöllinen toimittaminen osoittautuu mahdottomaksi. Samoin jos tietojen toimittaminen vaatisi kohtuutonta vaivaa tai tietojen hankinnasta taikka luovuttamisesta säädetään nimenomaisesti. Myös tilanne, jossa tietoja koskee lainsäädäntöön perustuva vaitiolovelvollisuus, oikeuttaa poikkeamiseen tiedonantovelvollisuudesta.
TIETOSUOJAOPAS 19 • Jos henkilötietoja siirretään EU:n ulkopuoliseen maahan, tieto siitä miten tietosuojasta on huolehdittu, eli mitä suojatoimia on käytetty. Jos rekisteröity pyytää tietojaan sähköisesti, rekisterinpitäjän on annettava tiedot yleisesti käytetyssä sähköisessä muodossa. Tämä rekisterinpitäjän on hyvä ottaa huomioon niin tietojärjestelmiensä kuin myös henkilötietojen käsittelijöiden kannalta. Jos pyydetyt tiedot ovat hajallaan, pääsyoikeuden toteuttaminen voi viedä paljon aikaa. Rekisterinpitäjän kannattaa luoda määrämuotoinen toimintatapa rekisteröityjen pyyntöihin vastaamiseen ja tietojen keräämiseen. 6.2 Oikeus tietojen oikaisemiseen Tietyt rekisteröidyn oikeudet ovat säilyneet voimassa aivan kuten aiemmin; rekisteröidyillä on oikeus tarkastaa itseään koskevat tiedot ja jos virheitä tai puutteita havaitaan, rekisterinpitäjän on oikaistava tiedot. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä. Rekisteröidyllä on oikeus täydentää puutteellisia henkilötietojaan muun muassa antamalla lisäselvitys. 6. REKISTERÖIDYN OIKEUDET Tietosuoja kohdistuu yksityishenkilön yksityiselämään ja sen suojaamiseen. Yksilöllä on oikeus omiin henkilötietoihin. Rekisteröidyn oikeuksien taustalla on ajatus suojata yksilön henkilötietoja niiden oikeudetonta ja vahingollista käyttöä vastaan. Tietosuoja-asetus turvaa rekisteröidyn seuraavat oikeudet. 6.1 Oikeus saada pääsy tietoihin Rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitelläänkö häntä koskevia tietoja ja mitä käsiteltävät tiedot ovat. Hänellä on oikeus saada jäljennös kyseisistä tiedoista. Tältä osin rekisteröidyn oikeudet säilyvät pitkälti samanlaisina kuin ne ovat olleet jo aiemmin voimassa olleen henkilötietolain mukaisesti. Samalla rekisterinpitäjän tulee ilmoittaa rekisteröidylle seuraavat tiedot: • Henkilötietojen käsittelyn tarkoitus • Kyseessä olevat henkilötietoryhmät • Henkilötietojen vastaanottaja, jos henkilötietoja luovutetaan kolmannelle osapuolelle • Henkilötietojen säilytysaika tai kriteeri, jolla säilytysaika määräytyy • Rekisteröidyn oikeudet koskien henkilötietojen oikaisemista, poistamista, käsittelyn rajoittamista tai vastustamisoikeuden käyttämistä • Oikeus tehdä valitus valvontaviranomaiselle • Jos henkilötietoja ei kerätä rekisteröidyltä itseltään, kaikki tietojen alkuperästä käytettävissä olevat tiedot • Liittyykö käsittelyyn automaattisen päätöksentekoa tai profilointia sekä niiden käsittelylogiikasta ja tämän merkityksestä ja seurauksista rekisteröidylle
TIETOSUOJAOPAS 20 6.3 Oikeus poistaa tiedot eli oikeus tulla unohdetuksi Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot ja rekisterinpitäjällä on velvollisuus poistaa nämä tiedot ilman aiheetonta viivytystä. Tämä edellyttää, että jokin seuraavista perusteista soveltuu: • Henkilötietoja ei tarvita niihin tarkoituksiin, joita varten ne kerättiin tai käsiteltiin • Rekisteröity peruuttaa suostumuksen, eikä käsittelyyn ole muuta laillista perustetta • Rekisteröity vastustaa käsittelyä vastustusoikeutensa perusteella (vastustusoikeutta käsitellään kohdassa 6.6) • Tietoja on käsitelty lainvastaisesti • Tiedot on poistettava rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi • Tiedot on kerätty lapselta tietoyhteiskunnan palvelun yhteydessä. Jos rekisterinpitäjä on julkistanut poistettavat henkilötiedot ja sillä on velvollisuus poistaa nämä tiedot, sen on ryhdyttävä kohtuullisiin toimenpiteisiin ilmoittaakseen tietoja käsitteleville muille rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihin liittyvät linkit, tietojen jäljennökset tai kopiot. Vaadittujen toimenpiteiden osalta voidaan ottaa huomioon käytettävissä oleva tekniikka ja aiheutuvat kustannukset. Käytännössä oikeus tulla unohdetuksi voi tarkoittaa rekisteröidyn oikeutta peruuttaa antamansa suostumus. Suostumuksen peruuttamisen tulisi olla yhtä helppoa kuin sen antaminen. Tämä luonnollisesti asettaa rekisterinpitäjän käyttämälle järjestelmälle vaatimuksia. Poikkeuksia oikeuteen tulla unohdetuksi voivat aiheuttaa sananvapaus, rekisterinpitäjän lakisääteinen velvoite, yleinen etu tai julkisen vallan käyttäminen, kansanterveyteen liittyvä yleinen etu, arkistointi, tieteellinen tai historiallinen tutkimus- tai tilastointitarkoitus taikka oikeudellisen vaatimuksen esittäminen. HENKILÖTIETOJA EI TARVITA NIIHIN TARKOITUKSIIN, JOITA VARTEN NE KERÄTTIIN TAI KÄSITELTIIN REKISTERÖITY PERUUTTAA SUOSTUMUKSEN, EIKÄ KÄSITTELYYN OLE MUUTA LAILLISTA PERUSTETTA REKISTERÖITY VASTUSTAA KÄSITTELYÄ VASTUSTUSOIKEUTENSA PERUSTEELLA OIKEUS TULLA UNOHDETUKSI
TIETOSUOJAOPAS 21 6.4 Oikeus siirtää tiedot järjestelmästä toiseen Rekisteröidyllä on oikeus saada häntä koskevat tiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää nämä tiedot toiselle rekisterinpitäjälle. Tämä edellyttää, että käsittely perustuu suostumukseen tai sopimukseen ja että käsittely tehdään automatisoidusti. Lähtökohtaisesti siirto-oikeus koskee henkilötietoja, jotka rekisteröity on toimittanut rekisterinpitäjälle. Käytännössä rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa ja siirrettävässä muodossa ja siirtää nämä tiedot toiselle rekisterinpitäjälle. Oikeuteen kuuluu tietojen siirtäminen suoraan rekisterinpitäjältä toiselle ja järjestelmästä toiseen, jos se vain on teknisesti mahdollista. Siirto-oikeus ei edellytä, että rekisterinpitäjän oma järjestelmä olisi yhteensopiva toisen, esimerkiksi kilpailevan rekisterinpitäjän järjestelmän kanssa. Jos kahden rekisterinpitäjän järjestelmät ovat erilaisia, siirto voidaan tehdä esimerkiksi käyttämällä siirrettävää muistia, josta tiedot voidaan siirtää edelleen toiseen järjestelmään. Siirto-oikeus on oikeutena uusi. Vasta konkreettiset siirtopyynnöt tulevat näyttämään, miten sitä käytännössä toteutetaan. TIETOJA ON KÄSITELTY LAINVASTAISESTI TIEDOT ON POISTETTAVA REKISTERINPITÄJÄÄ KOSKEVAN LAKISÄÄTEISEN VELVOITTEEN NOUDATTAMISEKSI TIEDOT ON KERÄTTY LAPSELTA TIETOYHTEISKUNNAN PALVELUN YHTEYDESSÄ.
TIETOSUOJAOPAS 22 Siirto-oikeuden käyttäminen ei saa rajoittaa oikeutta tulla unohdetuksi. Siirto-oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Siirto-oikeus ei saa myöskään vaikuttaa haitallisesti muiden oikeuksiin. 6.5 Oikeus käsittelyn rajoittamiseen Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä rajoittaa hänen henkilötietojensa käsittelyä seuraavissa tilanteissa: • jos rekisteröity kiistää tietojen paikkansapitävyyden. Tällöin käsittelyä rajoitetaan siksi, kunnes rekisterinpitäjä voi varmistua tietojen paikkansapitävyydestä • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista vaatien sen sijaan niiden käytön rajoittamista • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellista vaadettaan varten • rekisteröity on vedonnut vastustamisoikeuteensa ja odotetaan sen selvittämistä, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet. Jos käsittelyä on rajoitettu, tietoja saa säilyttämistä lukuun ottamatta käsitellä vain rekisteröidyn suostumuksella, oikeudellisen vaatimuksen esittämistä varten, toisen henkilön oikeuksien suojaamiseksi tai yleistä etua koskevista syistä. Jos henkilötietojen käsittelyä on rajoitettu rekisteröidyn vaatimuksesta, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kuin rajoitus poistetaan. 6.6 Oikeus vastustaa käsittelyä, automaattista tietojen käsittelyä ja profilointia Rekisteröidyllä on oikeus vastustaa tietojensa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, kun kyse on yleisestä edusta tai julkisen vallan käyttämisestä taikka oikeutetusta edusta, kuten profiloinnista. Rekisterinpitäjä ei saa tällöin enää käsitellä henkilötietoja, ellei hän voi osoittaa, että käsittelylle ole olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn oikeuden. Käsittely on myös mahdollista, jos se on tarpeen oikeudellisen vaatimuksen esittämisen vuoksi. Rekisteröidyllä on aina oikeus vastustaa tietojensa käyttöä suoramarkkinointiin. Niin ikään rekisteröidyllä on oikeus kieltäytyä suoramarkkinointiin liittyvästä profiloinnista. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen tietojen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Säännöstä automaattisesta tietojen käsittelystä ei sovelleta, jos päätös • on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen vuoksi; • on hyväksytty rekisterinpitäjään sovellettavassa lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen suojaamiseksi; tai • perustuu rekisteröidyn nimenomaiseen suostumukseen. Lähtökohtaisesti automaattista tietojen käsittelyä ei saa kohdistaa arkaluonteisiin tietoihin.
TIETOSUOJAOPAS 23 6.7 Rekisteröidyn oikeuksien käyttö Rekisteröidylle on annettava maksutta tiedot viimeistään kuukauden kuluessa pyynnön vastaanottamisesta niistä toimenpiteistä, joihin rekisterinpitäjä ryhtynyt. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella, mutta tällöin rekisteröidylle on ilmoitettava viivästyksestä ja kerrottava viivästyksen syy. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava mahdollisuuksien mukaan sähköisesti, ellei rekisteröity pyydä tietoja muussa muodossa. Tiedot on mahdollista antaa suullisesti, jos rekisteröity niin pyytää ja hänen henkilöllisyytensä voidaan vahvistaa. Jos rekisteröidyn tekemät pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi joko periä kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Pyyntöjen esittämisen liiallisesta määrästä tai aikarajasta ei ole säännöstä, mutta pyyntöjen toistuva esittäminen on mainittu asetuksessa esimerkkinä kohtuuttomuudesta. Jos rekisterinpitäjä ei toteuta rekisteröidyn pyytämiä toimenpiteitä, sen tulee ilmoittaa syyt tähän ja kertoa mahdollisuudesta tehdä valitus ja käyttää muita oikeussuojakeinoja. Rekisterinpitäjän tulee ilmoittaa tietoihin tekemistään oikaisuista, poistoista tai käsittelyn rajoituksista kaikille, joille kyseisiä henkilötietoja luovutettu, ellei se ole mahdotonta tai vaadi kohtuutonta vaivaa.
TIETOSUOJAOPAS 24 7. REKISTERINPITÄJÄN VELVOLLISUUDET 7.1 Tietosuojan hallinnointi, roolit ja vastuut 7.1.1 Tietosuojavastaava Tietosuojavastaavan nimittäminen koskee erityisesti julkista sektoria, sillä aina kun viranomainen käsittelee henkilötietojen, tulee olla tietosuojavastaava. Poikkeuksen muodostavat tuomioistuimet, joilla tätä velvollisuutta ei ole. Yksityisellä sektorilla ainoastaan tiettyjen toimijoiden on nimettävä tietosuojavastaava. Tällöin edellytyksenä on, että rekisterinpitäjän ja henkilötietojen käsittelijän ydintehtävät muodostuvat • käsittelytoimista, jotka ovat luonteeltaan sellaisia, että ne edellyttävät rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä seurantaa, tai • laajamittaisesta käsittelystä, joka kohdistuu arkaluonteisiin henkilötietoihin ja rikostuomioita tai rikkomuksia koskeviin henkilötietoihin. Konserni voi nimittää yhden ainoan tietosuojavastaavan. Vastaavasti julkisella puolella voidaan nimittää yksi tietosuojavastaava ottaen huomioon toimijan organisaatiorakenne ja koko. Tietosuojavastaavaa nimitettäessä ratkaisevia tekijöitä ovat ammattipätevyys sekä erityisesti osaaminen ja asiantuntemus tietosuojalainsäädännöstä, säännösten soveltamisesta käytäntöön ja alan käytännöistä. Tietosuojavastaava voi kuulua henkilökuntaan tai hän voi olla organisaatioon nähden ulkopuolinen ja hoitaa tehtävää sopimuksen perusteella. Suuri osa suomalaisista yrityksistä, joilla tulee olla tietosuojavastaava, ovat nimenneet hänet talon sisältä. Tietosuojavastaava voi hoitaa muitakin tehtäviä valtuutetun toimiensa lisäksi. Tällöin kannattaa huomioida, etteivät muut velvollisuudet saa aiheuttaa eturistiriitoja tietosuojaan liittyvien tehtävien hoidossa kuuluupa vastaava henkilökuntaan tai ei. Organisaation toiminnassa tietosuojavastaava on otettava riittävän ajoissa ja asianmukaisesti mukaan kaikkiin tietosuojaa koskeviin kysymyksiin. Hänelle on annettava tehtävän hoitoon riittävät resurssit ja pääsy kaikkiin henkilötietoihin ja niihin liittyviin käsittelytoimiin. Tietosuojavastaavalla tulee olla mahdollisuus ylläpitää asiantuntemustaan. Tietosuojavastaavalla tulee olla riippumaton asema organisaatiossa tietosuoja-asioita hoitaessaan. Hän ei saa tehtäviensä hoitamisen yhteydessä ottaa vastaan ohjeita esimerkiksi esimieheltään. Hän raportoi toimistaan ja havainnoistaan suoraan organisaation ylimmälle johdolle. Vastaavan on tehtävä yhteistyötä organisaation eri yksiköiden kanssa. Tietosuojavastaavalla on salassapitovelvollisuus tehtävää hoitaessaan tietoonsa tulleiden asioiden ja tietojen osalta. Häntä ei saa erottaa tai rangaista sen vuoksi, että hän on hoitanut tehtäviään. Hän siis nauttii laajempaa irtisanomissuojaa. Tietosuojavastaavan tehtävät Tietosuojavastaavan on pantava täytäntöön organisaatiossaan tietosuoja-asetuksen edellyttämät toimet eli hän valvoo, että lainsäädäntöä käytännössä noudatetaan. Hänen tulee kouluttaa henkilökuntaa ja antaa neuvoja kaikissa tie-
RkJQdWJsaXNoZXIy Mjk0MTY=