EU:n yleinen tietosuoja-asetus

  • Astunut voimaan 24.5.2016, soveltaminen alkaa 25.5.2018 (henkilötietojen käsittelyn oltava asetuksen mukaista)
  • Nykyisen henkilötietolain pääperiaatteet säilyvät
  • Uusia velvoitteita rekisterinpitäjälle, henkilötietoja käsitteleville ja oikeuksia rekisteröidylle
    • esimerkiksi rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen
  • Koskee kaikkia soveltamisalaan kuuluvia henkilötietoja käsitteleviä organisaatioita: rekisterinpitäjiä ja henkilötietojen käsittelijöitä
  • EU:n tietosuojatyöryhmä WP 29 laatii tulkintaohjeita, lisäksi toteutetaan asetuksen edellyttämiä muutoksia kansalliseen lainsäädäntöön (TATTI). Tulkinta tarkentuu oikeuskäytännön kautta

Tietosuoja-asetukseen valmistautuminen



Tietotilinpäätös tietojenkäsittelyn nykytilasta

  • Voidaan käyttää myös viestintämekanismina sidosryhmille

Lista tarvittavista konkreettisista teknisistä ja organisatorisista muutostoimenpiteistä ja niiden läpivienti

  • Tietosuojaperiaatteiden huomionti
  • Osoitusvelvollisuuden toteuttaminen (aiemmin riitti noudattaminen)
  • Dokumentointi, sertifikaatit, käytännesäännöt
  • rekisterinpitäjien ja henkilötietojen käsittelijöiden ylläpidettävä selostetta vastuullaan olevista käsittelytoimista

Tietosuojavastaava

  • Konserni, samoin kuin useampi viranomainen tai julkishallinnon elin, voi tietyin edellytyksin nimittää vain yhden tietosuojavastaavan

Rekisterinpitäjä ja muut henkilötietojen käsittelijät

  • Asetus säätää rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa erityisesti sovittavista seikoista




Tietojen toimitus rekisteröidylle kuukauden määräajassa

  • Suoraan rekisteröidyltä kerätyt henkilötiedot
  • Muualta kuin rekisteröidyltä itseltään kerätyt henkilötiedot

Oikeus siirtää tiedot järjestelmästä toiseen

  •   Rekisteröidyllä on oikeus siirtää rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot rekisterinpitäjältä toiselle sen rekisterinpitäjän estämättä, jolle tiedot on toimitettu jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

  •  Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista. Rekisteröidyllä on oikeus siirtoon vain silloin, jos käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely suoritetaan automaattisesti.

  • Rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Rekisteröidyn oikeus ei saa myöskään vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin




Riskit ovat henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.

Korkeampi riski kohdistuu mm. erityisryhmiin kuten lapsiin tai suurten henkilötietomassojen käsittelyyn --> tehtävä vaikutustenarviointi ml. toimenpiteet riskien pienentämiseksi.

Tietoturvaloukkaukset

  • Vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin
  • Laadittava toimintaohjelma
  • Rekisterinpitäjällä velvollisuus ilmoittaa loukkauksista tietosuojaviranomaiselle ja rekisteröidylle 72 h kuluessa
  •  Henkilötietojen käsittelijän ilmoitettava loukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä