SAFE HARBOR –muutokset ja sen vaikutukset suomalaisille yrityksille Reijo Aarnio Tietosuojavaltuutettu 1 TIETOSUOJAILTA SOK TIETOSUOJAVALTUUTETUN TOIMISTO

SAFE HARBOR 1) WP 29 OLLUT KRIITTINEN 2) SNOWDENIN PALJASTUKSET  KOMISSIO ON SITOUTUNUT SAFE HARBORIN UUDISTAMISEEN 3) SAFE HARBOR EI ENÄÄ OLE OIKEUSPERUSTA HENKILÖTIETOJEN SIIRTÄMISELLE 4) YRITYKSET TARVITSEVAT SELKEÄÄ TIETOA. EPÄVARMUUS HAITTAA BUSINESTA TIETOSUOJAVALTUUTETUN TOIMISTO 2

SAFE HARBOR 5) KOMISSIO NEUVOTTELEE SAFE HARBORISTA (”TAKARAJA 1/2016”) 6) KOMISSIO JA WP29 TEKEVÄT YHTEISTYÖTÄ PÄÄTÖKSEN YHDENMUKAISEKSI TÄYTÄNTÖÖNPANOKSI 7) LAINVALVONNAN ALAN EU-USA -TIETOSUOJASOPIMUS (”UMBRELLA AGREEMENT”) ON NEUVOTELTU VALMIIKSI JA PARAFOITU  ALLEKIRJOITUS KUN USA:N KONGRESSI HYVÄKSYNYT ”JUDICIAL REDRESS ACT:N” JOKA PARANTAA EUROOPPALAISTEN OIKEUSTURVAA TIETOSUOJAVALTUUTETUN TOIMISTO 3

SAFE HARBOR 8) LVM:N TIETOTURVASTRATEGIA –TYÖRYHMÄ * SNOWDEN-PALJASTUSTEN ARVIOITU AIHEUTTANEEN 40 MRD $ MENETYKSET MAAN ICT-TEOLLISUUDELLE * PILVIPALVELUIDEN TARJOAJAT MENETTÄVÄT 20 % USA:N ULKOPUOLISESTA LIIKEVAIHDOSTAAN * 1000 SUURIMMAN US YRITYKSEN SATSAUKSET TIETOSUOJAN PARANTAMISEKSI n. 2,4 MRD $ VUOSITTAIN * EU-KANSALAISTEN HENKILÖTIETOJEN LIIKE- TALOUDELLINEN ARVO 315 MRD €/VUOSI * KTS. KALIFORNIAN UUSI PRIVACY BILL (SB-178) TIETOSUOJAVALTUUTETUN TOIMISTO 4

SAFE HARBOR 8) jatkuu… ECJ CASE C-362/14 SCHREMS-DPA (DIGITAL RIGHTS IRELAND LTD) 1) SAFE HARBOR -SOPIMUS ON PÄTEMÄTÖN 2) KANSALLISTEN VIRANOMAISTEN TOIMIVALTA JA VELVOLLISUUS TOIMIA ► SEURAUKSET ”MITEN OIKEUDELLINEN TYHJIÖ TÄYTETÄÄN?” (TUOMIO ON VOIMASSA IRLANNIN HIGH COURTIN TUOMIOSTA RIIPPUMATTA) ► MUUT VAIKUTUKSET ESIM. GDPR, VERKKOVALVONTA TIETOSUOJAVALTUUTETUN TOIMISTO 5

SAFE HARBOR WP29-TOIMET: * PYRKII YHTEISTYÖHÖN KOMISSION JA USA:N KANSSA * PYRKII VARMISTAMAAN YHTEISEN NÄKEMYKSEN: 1) INTERNATIONAL TRANSFER SUBGROUP * muut instrumentit (mallisopimukset jne.) * muut lain siirtoperusteet voimassa * vaikuttaminen Asetukseen * yhteinen ohjausmateriaali yrityksille ym. 2) BORDERS, TRAVEL AND LAW ENFORCEMENT (BTLE -subgroup) * analyysi USA:n lainsäädännöstä * seuraa EP:n LIBE-komitean selvityksiä TIETOSUOJAVALTUUTETUN TOIMISTO 6

SAFE HARBOR WP29-TOIMET, jatkuu: 3) COOPERATION SUBGROUP * valmistelee yhteisiä lainvalvontatoimia 1/2016 * ”Lack of information about controllers possibly impacted by Schrems decision is a problem to be addressed” * valmistelee sisäistä kyselyä 4) FUTURE OF PRIVACY -SUBGROUP * kokoaa ehdotukset yhteen ja esittelee WP29:lle (mukana myös: - eGovernment-subgroup  mm. pilvipalvelut - Technology-subgroup  mm. tietoturvan parantaminen) TIETOSUOJAVALTUUTETUN TOIMISTO 7

SAFE HARBOR WP29-TOIMET, jatkuu: * WP 29 TULEE: a) analysoimaan tilanteen b) ottamaan huomioon kaikkien näkemykset (rek.pit, komissio, EP, USA, NGO:t, kansalaiset) c) tiedottamaan d) noudattamaan toimintavelvoitetta EU:n ja MS-tasoilla SEURAAVA WP29:N KOKOUS 2. – TIETOSUOJAVALTUUTETUN TOIMISTO 8

SAFE HARBOR 1.ADEKVAATTISUUS 2. SCC MALLISOPIMUSLAUSEKKEET 3.BINDING CORPORATE RULES 4.DIREKTIIVIN POIKKEUSPERUSTEET TIETOSUOJAVALTUUTETUN TOIMISTO 9

SAFE HARBOR OHJEITA (alaviite ohje ei ole tyhjentävä) a) selvitä, siirrätkö henkilötietoja USA:han tai siirtääkö esimerkiksi palveluntuottajasi niitä. b) EUTI:n tuomion mukaan Safe Harbor-järjestelmä on lainvastainen. Siksi sitä ei voi enää käyttää siirtoperusteena. Älä siis aloita uusia siirtoja sen perusteella. c) mikäli henkilötietojen siirto on jo tapahtunut tai on käynnissä, selvitä tarvittaessa yhdessä tietojen vastaanottajan ja mahdollisen palveluntuottajasi kanssa mahdollisuutesi väliaikaisesti käyttää jotain muuta siirtoinstrumenttia. On myös hyvä selvittää, voitko käyttää "eurooppalaista pilvipalvelua". TIETOSUOJAVALTUUTETUN TOIMISTO 10

SAFE HARBOR OHJEITA, jatkuu… (alaviite ohje ei ole tyhjentävä) d) Kansalliset tietosuojaviranomaiset arvioivat parhaillaan, mikä vaikutus sanotulla tuomioistuimen päätöksellä mahdollisesti on niiden laillisuuteen. Seuraa siksi asiaa koskevaa viranomaistiedotusta. e) EU:n komissio ja yhdysvaltalainen osapuoli neuvottelevat parhaillaan ns. Safe Harbor2 -sopimuksesta. Sen valmistumiseen on arvioitu menevän vielä useita kuukausia. TIETOSUOJAVALTUUTETUN TOIMISTO 11

UUDEN AIKAKAUDEN KYNNYKSELLÄ Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 12

EKOSYSTEEMI VERKKO (WEB) PALVELUT Prop. apps Operating apps (Laite) hardware Verkko infra 3rd party apps TIETOSUOJAVALTUUTETUN TOIMISTO 13

”MAISEMA” 1. KULUTTAJANSUOJAN HARMONISOINTI 2. EU:N KAUPPALAIN HARMONISOINTI 3. TIETOSUOJAN HARMONISOINTI ► DIGITAALISTEN SISÄMARKKINOINTIEN ”BUUSTAAMINEN” TIETOSUOJAVALTUUTETUN TOIMISTO 14

Mitä ? 1. Entiset tietosuojaperiaatteet säilyvät 2. Asetuksessa joitakin ”uusia” asioita: -COMPLIANCE ; (”sääntöjen noudattaminen”) -Asetuksessa mennään pitemmälle -ACCOUNTABILITY ;  TIETOTILINPÄÄTÖS -Tilintekokykyisyys eli osoita että noudatat lakeja -PRIVACY BY DESIGN ; (ennakkoon suunnitteleminen) -Henkilötietolain 6 § -PRIVACY BY DEFAULT ; (oletusarvoinen ja sisään-rakennettu) -Nyt kun kuluttaja asioi rekisterinpitäjän kanssa niin huolehtii esim. oman s-postin tietoturvasta. -Asetuksella rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu (nyt jo esim. pankit) TIETOSUOJAVALTUUTETUN TOIMISTO 15

”PRIVACY BY DEFAULT” ” ”OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA” vastuu ”mökin mummolta” palvelun toimittajalle 16 TIETOSUOJAVALTUUTETUN TOIMISTO

ACCOUNTABILITY WP29; LAUSUNTO 3/2010 TILIVELVOLLISUUDEN PERIAATTEESTA ( ) ”passiivisesta” compliancesta ”aktiiviseksi” accountabilityksi (i) soveltuvia ja tehokkaita toimia tietosuoja- periaatteiden toteuttamiseksi (ii) soveltuvien ja tehokkaiden toimien toteuttaminen on (pyynnöstä) todistettava TIETOSUOJAVALTUUTETUN TOIMISTO 17

Henkilötietolaki (523/1999) 18 6 § Henkilötietojen käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. TIETOSUOJAVALTUUTETUN TOIMISTO ”PRIVACY BY DESIGN”

HENKILÖTIETOLAKI Arvioi oma toiminta 5-6 § Aloitus 2§ Suunnittelu huolellisuus 5-6§ Nimeä vastuu- henkilö 5§ Henkilötiedot 3§ 1 k, 9, § Tietoturvallisuus 32§ Mistä henkilötiedot kerätään 8, 9, § Käyttötarkoitus- sidonnaisuus 7§ Ulkoistaminen 8.1§ 7-k Oikeus käsitellä 8, 12, 13, 14-20§ Käsittelyn tarkoitus 3 § 3-k & 6 § Käytön hallinnointi 5§ Rekisteröidyn oikeudet 24-29§ Kouluta, ohjeista 5§ Viranomaisilmoitukset 36-37§ Informointi- velvollisuus 24§ Hävitä, arkistoi 12.2 §, 21 §, 19.1 § 1k § Luovutukset 8, § (6§) Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Ulkomaille siirrot 22-23§ Rekisteriseloste 10§ HENKILÖREKISTERI 3§ 3k Vaitiolovelvollisuus 33 § JulkL JulkA 2 § TIETOSUOJAVALTUUTETUN TOIMISTO ”PRIVACY BY DESIGN” 19

TOIMENPITEET REKISTERINPITÄJILLE: 1) Määrää tietosuojan isäntä; Tietosuojavastaava 2) Analysoi henkilötietovarastosi ja –prosessit  eliminoi turhat 3) Tee riskiarvio; arvioi myös sopimuksesi 4) Laadi toimintaohjeet ja –ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, käytä salauksia 6) Huolehdi henkilöstön osaamisesta 7) Valvo henkilötietojen käyttöä 8) Käytä henkilötietolakia apunasi 9) Tunnista muu lainsäädäntö 10) Luo sisäinen ja ulkoinen raportointijärjestelmä; LAADI ”TIETOTILINPÄÄTÖS” TIETOSUOJAVALTUUTETUN TOIMISTO 20

Tietosuojavastaavan toimenkuva Tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjää saavuttamaan hyvän henkilötietojen käsittelytavan2 ja mahdollisten erityislakien edellyttämä korkea tietosuojan taso, jonka avulla voidaan rakentaa ja säilyttää luottamus rekisteröidyn ja rekisterinpitäjän välille. Näin ollen tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. TIETOSUOJAVALTUUTETUN TOIMISTO 21

Tietosuojavastaavan tehtävät ja asema Tehtävien laajuus sovitaan erikseen työsopimuksessa ja tehtäväkuvauksessa – Lähtökohtaisesti tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa – Päätökset tekee hallinnollinen johto – Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita tietosuojavastaavalle Tietosuojavastaavan tehtävän voi ulkoistaa Tietosuojavastaavan nimi ilmoitettava valvovalle viranomaiselle 22 TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOTILINPÄÄTÖS Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista. Tietotilinpäätöksen tarkoituksena on toimia dynaamisena työkaluna, joka palvelee organisaation johdon tarpeita ja lisää asiakkaiden ja sidosryhmien luottamusta organisaation menettelytapoihin. TIETOSUOJAVALTUUTETUN TOIMISTO 23

Mitä ? -DATA BREACH NOTIFICATION ; (tietoturvaloukkauksista ilmoittaminen) -Rekisterinpitäjän ilmoitusvelvollisuus valvontaviranomaiselle ja asiakkaalle -mm. tietomurto ja henkilörekisteririkos -VALVONTAVIRANOMAISTEN ROOLIN VAHVISTAMINEN ; (viranomaisten toimivalta muuttuu) -TSV:lle mahdollisesti sakottamisoikeus, josta valitustie ensin kansallisesti ja aina EY-tuomioistuimeen asti -RIGHT TO BE FORGOTTEN ; (oikeus unohtaa) -Esim. Facebook –tyyppiset palvelut; oikeus itse myötävaikuttaa, että tiedot poistetaan -RIGHT TO DATA PORTABILITY (oikeus tietojen siirtoon) -Rekisteröidyn oikeus viedä tiedot palveluntarjoajalta toiselle (esim. kanta- asiakasjärjestelmät) TIETOSUOJAVALTUUTETUN TOIMISTO 24

SEURAAMUKSET SAKOTUSTOIMIVALTA  velvollisuus kts. Artikla euroa tai 4 % liikevaihdosta KUKA MÄÄRÄÄ? TIETOSUOJAVALTUUTETUN TOIMISTO 25

Reijo Aarnio tietosuojavaltuutettu Tiedon laatu = Toiminnan laatu KIITOS KUUNTELUSTA! LISÄTIETOJA: Tietosuojavaltuutetun toimisto