�ݺ�ߣ

GDPR, GDPR, vaan mikä se on se GDPR
Jyrki J.J. Kasvi

Mikä on EU:n asetus?
 Euroopan unionin asetus on EU:n vahvin lainsäädäntöväline:
 Asetus tulee sellaisenaan voimaan kaikissa Unionin jäsenmaissa heti kun se on
julkaistu EU:n virallisessa lehdessä
 GDPR hyväksyttiin 14.4.2016 ja astuu voimaan 25.5.2018
 Asetus kumoaa sen kanssa ristiriidassa olevat kansalliset lait
 Asetuksen kanssa ristiriitaisia lakeja ei saa säätää
 Toisin kuin Euroopan Unionin direktiivi, asetusta ei voi sovittaa
osaksi jäsenmaiden omaa lainsäädäntöä
 GDPR on siis sitova ja tulee heti voimaan sellaisenaan ilman
kansallista soveltamista
 Siirtymäaikaa on ollut kaksi vuotta, ei tule yllätyksenä kenellekään
20.4.2018 TIEKE Tietoyhteiskunnan kehittämiskeskus ry 2

Mikä on EU:n yleinen tietosuoja-asetus?
 GDPR (General Data Protection Regulation)
 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten
henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta
liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
 Säätelee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa
 Yritykset, julkishallinto, yhdistykset, …
 ei koske luonnollisen henkilön henkilökohtaista henkilötietojen käsittelyä, joka ei
liity ammatilliseen tai kaupalliseen toimintaan
 ei koske kansallista turvallisuutta koskevaa henkilötietojen käsittelyä
 Henkilötietojen suoja vain osa laajempaa tietoturvaa
 Tavoitteena parantaa luottamusta sähköisiin palveluihin, edistää
EU:n digitaalista sisämarkkinoiden kehittämistä ja varmistaa
ihmisten omien henkilötietojen suojaa
 Monet asetuksen velvoitteet sisältyvät jo nyt henkilötietolakiin

Miksi EU tarttunut tietoturvassa asetus-lekaan?

Mikä on henkilötieto?
 GDPR:n henkilötiedon määritelmä vanhaa henkilötietolakia
täsmällisempi
 Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai
tunnistettavissa olevaan henkilöön liittyviä tietoja
 Tunnistettavissa olevan henkilön henkilöllisyys voidaan suoraan tai epäsuorasti
tunnistaa tietojen perusteella (esim. sijaintitiedot, teletunnisteet, geenitiedot,
valokuvat, potilastiedot, …)
 Kansallinen tietosuojaviranomainen on toimivaltainen
rekisterinpitäjän päätoimipaikan perusteella
 Kansallisten tietosuojaviranomaisten yhteistyötä varten ns. yhdenmukaisuus-
mekanismi (Euroopan tietosuojaneuvosto EDPB) ja yhden luukun mekanismi.
 Euroopan tietosuojaneuvosto voi antaa sitovia päätöksiä tietosuoja-asetuksen
soveltamisesta

Henkilötietojen käsittelyn rajat
 Henkilötietojen kerääminen on sidonnainen käyttötarkoitukseen
 Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole
sidonnaisuutta niiden alkuperäiseen käyttötarkoitukseen.
 Henkilötietoja saa käsitellä vain kun
 Rekisteröity henkilö on antanut suostumuksensa henkilötietojensa käsittelyyn
tiettyä tarkoitusta varten tai se perustuu rekisteröidyn kanssa tehtyyn
sopimukseen
 välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi
 tarpeen rekisterinpitäjän lakisääteisen velvoitteen suorittamiseksi tai julkisen
vallan käyttämiseksi tai yleistä etua koskevan tehtävän suorittamiseksi
 tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen
toteuttamiseksi (rekisteröidyn edut, perusoikeudet ja –vapaudet huomioiden)

Lisää rajoja
 Henkilötiedot, joita ei saa käsitellä ilman eri perustetta
 Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen
vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen
 Geneettiset tai biometriset tiedot, joista henkilö voidaan tunnistaa
 Terveyttä koskevat tiedot
 Henkilötietoja voi siirtää ETA-alueen ulkopuolelle vain
asetuksessa vahvistetuin edellytyksin
 Siirrot Yhdysvaltoihin erillisen tietosuojasopimuksen eli ns. Privacy Shield -
sopimuksen turvin.

Rekisteröidyn henkilön oikeudet
 Tiedonsaantioikeus omista henkilötiedoista
 Rekisteröidyllä oltava pyynnöstä pääsy hänestä kerättyihin tietoihin
 Tiedot sähköisesti käsitellyistä henkilötiedoista on toimitettava jäsennellyssä,
yleisesti käytetyssä ja koneellisesti luettavassa muodossa
 Tiedonsaantioikeus omien henkilötietojen käsittelystä
 Tiedonsaantioikeus koskee myös henkilötietojen käsittelyä (helppotajuisesti ja
läpinäkyvästi, kuka käsitellyt, mitä tietoja, milloin, …)
 Rekisterinpitäjän on myös pyynnöstä ilmoitettava, keille tietoja on luovutettu.
 Oikeus saada itseään koskevat tiedot oikaistua
 Oikeus siirtää itseään koskevat tiedot toiselle rekisterinpitäjälle
 Rekisterinpitäjä ei saa estää keräämiensä henkilötietojen siirtämistä esimerkiksi
kilpailijansa rekisteriin

Lisää oikeuksia
 Oikeus tietojenkäsittelyn vastustamiseen
 Esimerkiksi suoramarkkinointiin tai profilointiin
 Oikeus saada tieto omia tietoja koskevista tietoturvaloukkauksista
 Käytännössä myös toimintaohjeita tietojen väärinkäytön rajoittamiseksi
 Oikeus tulla unohdetuksi
 Omien henkilötietojen käyttökielto
 Omien henkilötietojen tuhoaminen rekisteristä
 Oikeus vahingonkorvauksiin
 Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa,
on oikeus saada rekisterinpitäjältä täysi korvaus vahingosta

Rekisterinpitäjän velvollisuudet
 Henkilötietoja käsittelyssä on varmistettava tietojen turvallisuus,
eheys ja luottamuksellisuus
 Tiedot tulee suojata luvattomalta ja lainvastaiselta käsittelyltä
 Tiedot tulee suojata vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai
vahingoittumiselta
 Rekisterinpitäjällä todistustaakka ja näyttövelvollisuus tietosuoja-
asetuksen velvoitteiden noudattamisesta
 Pelkkä lain passiivinen noudattaminen ei enää riitä
 Ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuoja-
viranomaiselle että kohteeksi joutuneille rekisteröidyille
 Tiedonantovelvollisuus rekisteröidyistä kerätyistä tiedoista ja
niiden käsittelystä sekä tietojen luovutuksista

Lisää velvollisuuksia
 Tietosuojavastaavien asettaminen
 Kaikki viranomaisten ja julkishallinnon elimet (ei tuomioistuimet)
 Yksityiset yhteisöt, joiden tehtäviin kuuluu laajamittaista henkilötietojen käsittelyä
 Selosteen ylläpito henkilötietojen käsittelystä
 Ei, jos alle 250 työntekijää, paitsi jos käsittely voi aiheuttaa riskin rekisteröidyn
oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsitellään on erityisen
arkaluonteisia tietoja.
 Tietosuojaa koskevan vaikutusten arvioinnin laatiminen
 Jos henkilötietojen käsittelyyn kohdistuu todennäköinen korkea riski

Sanktiot
 Rekisterinpitäjä ja henkilötietojen käsittelijä voidaan määrätä
maksamaan hallinnollisia sakkoja tietosuoja-asetuksen
rikkomisesta
 Hallinnollinen sakko voi olla enintään 20 000 000 € tai 4% yrityksen edeltävän
tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan,
kumpi näistä määristä on suurempi
 Kevyempiä vaihtoehtoja mm. varoitus, huomautus, määräykset sekä henkilötietojen
käsittelyn rajoittaminen ja keskeyttäminen
 Tietosuojalakiesityksen mukaan Suomessa hallinnollista sakkoa ei
voi(tane) määrätä julkishallinnon elimelle
 Kansallisessa päätäntävallassa, vaikka kyseessä EU-asetus
 valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle
julkisoikeudellisille laitoksille (yliopisto), eduskunnan virastoille eikä tasavallan
presidentin kanslialle

Kansallista hienosäätöä
 EU tietosuoja-asetusta täydentää uusi kansallinen tietosuojalaki
 Korvaa henkilötietolain sekä lain tietosuojalautakunnasta ja tietosuojavaltuutetusta
 Eduskuntaan 1.3.2018, voimaan 25.5.2018
 Lisäksi laki henkilötietojen käsittelystä rikosasioissa ja kansallisen
turvallisuuden ylläpitämisen yhteydessä
 Annettiin eduskunnalle 5.4.2018
 Samalla selkeytetään henkilötietojen käsittelyn sääntelyä
 Nykyisin voimassa 600-700 henkilötietojen käsittelyä koskevaa säädöstä

Haasteita
 Datan toissijainen käyttö
 Tietosuoja-asetus kieltää henkilötietojen käytön muuhun, kuin mihin ne on kerätty.
 Julkishallinnon rekistereitä haluttaisiin hyödyntää tutkimuksessa ja alustatalouden
palveluiden kehityksessä
 Käyttöehtosopimukset eli EULAt
 Tietosuoja-asetuksen ehdot huomioidaan sähköisten palveluiden käyttöehdoissa,
mutta käyttöehtoja ei lueta eikä niiden tekstiä ymmärretä
 Suomalaisten rekisterinpitäjien hidas herääminen
 Suuri osa henkilörekistereitä pitävistä julkisista ja yksityisistä yhteisöistä on
hukannut kahden vuoden valmistautumisaikansa
 Jäänyt julkisessa keskustelussa päivänpolitiikan kuten tiedustelulakien jalkoihin
 Odotettavissa ainakin näyttövelvollisuuden laiminlyöntejä ja mahdollisia
hallinnollisia sakkoja
 Työmarkkinoilla jatkuvasti paheneva tietosuojaosaajapula

Tärkeintä asennemuutos
 Tietoturva on kriittistä ja kaiken kattavaa
 Tietoturva ulottuu läpi alihankintaketjun
 Asiakkaiden ja henkilöstön tiedot hallintaan
 Moni yllättänyt, miten monesta paikasta organisaatiossa henkilötietoja löytynyt
 Tietoturva ei ole jonkun muun vastuulla
 Tietoturvaa ei voi ulkoistaa, vaikka tietoturvapalveluita ostaisikin
 Tietoturvaa ei saa kuntoon kertarykäyksellä
 Tietoturva on jatkuvaa toimintaa, kehittämistä ja oppimista
 Tietoturva pettää joka tapauksessa ennemmin tai myöhemmin
 Toiminnan on silti jatkuttava ja asiakasluottamus säilytettävä

30.9.2010 www.kasvi.org 16
Sukupuolten välinen digikuilu?
Keskustelua
U.S. Army Photo

�ݺ�ߣ

GDPR, GDPR, vaan mikä se on se GDPR

Recommended

More Related Content

What's hot (20)

Similar to GDPR, GDPR, vaan mikä se on se GDPR (17)

More from Jyrki Kasvi (20)

GDPR, GDPR, vaan mikä se on se GDPR

Editor's Notes