Tietosuojavaltuutetun toimisto Heljä-Tuulia Pihamaa Toimistopäällikkö 1 VALMISTAUTUMINEN EU:N TIETOSUOJA-ASETUKSEEN TIETOSUOJASEMINAARI Perustietovarantojaoston tietosuojan ydinryhmä

2 1 LAIN- SÄÄDÄNTÖ- PROJEKTI 2 VIESTINTÄ- PROJEKTI 4 KV- PROJEKTI 5 IT-PROJEKTI 3 ORGANI- SAATIO- PROJEKTI TIETOSUOJA- VALTUUTETUN TOIMISTO TIETOSUOJAVALTUUTETUN TOIMISTO EU-TIETOSUOJA-ASETUKSEN SIIRTYMÄAJAN PROJEKTI ”TSAU”

3 1 LAINSÄÄDÄNTÖPROJEKTI Asetus korvaa henkilötietolain säätämisohjeena olleen tietosuojadirektiivin (95/46/EY). Asetus on kaikissa jäsenvaltioissa suoraan sovellettava, joten se edellyttää mm. henkilötietolain uudelleen arviointia. Tietosuoja-asetus edellyttää lainsäädäntötoimenpiteitä, sillä jäsenvaltiot voivat antaa asetusta tarkentavaa lainsäädäntöä erityisesti julkisella sektorilla. Jossain määrin lainsäädännöllä on myös mahdollista poiketa asetuksen velvoitteista (kansallinen liikkumavara). Arvioiden mukaan n. 600 kansallisessa säädöksessä on nykyisin säännöksiä henkilötietojen käsittelystä. Tietosuojapakettiin kuuluu myös direktiivi henkilötietojen käsittelystä poliisi- ja rikosoikeudellisen yhteistyön alalla. TIETOSUOJAVALTUUTETUN TOIMISTO

4 MITÄ PITÄÄ TEHDÄ? Ministeriön työryhmässä: - Selvittää yleisesti kansallisten lainsäädäntötoimenpiteiden tarve. - Selvittää henkilötietolain korvaavan yleislain tarve. Tarvittaessa on valmisteltava uusi laki. - Selvittää kansallisia tietosuojaviranomaisia koskevan lainsäädännön muutostarve. Tarvittaessa valmisteltava uusi ehdotus kansallisesta tietosuojaviranomaisesta, sen organisaatiosta, tehtävistä ja toimivaltuuksista. - Selvittää asetuksen jäsenvaltioiden lainsäädännölle jättämän kansallisen liikkumavaran merkitys ja sen mahdollisuudet ja käyttämisen periaatteet kansalliselle lainsäädännölle. TIETOSUOJAVALTUUTETUN TOIMISTO

5 2 VIESTINTÄPROJEKTI Toimintaympäristö muuttuu ja viranomaisen ohjeita ja neuvoja kaivataan pikaisesti. Tietosuojavaltuutetun kysyntä kasvaa. Muuttuvassa toimintaympäristössä kaivataan aktiivista ja aloitteellista viranomaistoimintaa. Tehokas ja selkeä viestintä on keskeisessä roolissa asetuksen onnistuneessa jalkauttamisessa käytäntöön. TIETOSUOJAVALTUUTETUN TOIMISTO

6 MITÄ PITÄÄ TEHDÄ? - Viestintäsuunnitelma, jossa huomioitu sekä ulkoinen että sisäinen viestintä. - Valittava ja hyödynnettävä yhteistyökumppaneita/sidosryhmiä (esim. tietosuojavastaavat). - Hyödyntää ja käyttää apuna kv-materiaalia. - Huolehtia, että asianmukaista koulutusta ja tietoa on riittävästi saatavilla. - Panostaa kotisivu-ja some tiedottamiseen. TIETOSUOJAVALTUUTETUN TOIMISTO

7 Tietosuojapäivän kunniaksi WP 29:n julkaisema juliste TIETOSUOJAVALTUUTETUN TOIMISTO

8 3 ORGANISAATIOPROJEKTI Asetuksen VI lukuun sisältyvät säännökset riippumattomista kansallisista lainvalvontaviranomaisista ja niiden toimivallasta, tehtävistä ja valtuutuksista. Jokaisella jäsenvaltion on varmistettava, että valvontaviranomaiselle osoitetaan riittävät - tekniset, - taloudelliset, - henkilö, - tila ja infrastruktuuri resurssit, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen Euroopan tietosuojaneuvoston työhön. TIETOSUOJAVALTUUTETUN TOIMISTO

YHDENMUKAISUUSMEKANISMI - jäsenyys EDPB:ssä HALLINNOLLISTEN TOIMIVALTOJEN KÄYTTÖ - huomautuksen, varoituksen antaminen käsittelijälle - määräykset käsittelijälle - velvoite-toimivalta - hallinnolliset prosessit ml. sakotustoimivalta ENNAKKOHYVÄKSYMISTEHTÄVÄT (AUDITOINTI) - vakiosopimusten hyväksyminen - PIA:n hallinnointi - ennakkoneuvonta & konsultointi - käytännesäännöt, sertifiointien hallinnointi * markkinointi * laatijan hyväksyminen * tarkistaa sertifioinnit Uudet tehtävät/prosessit: TIETOSUOJAVALTUUTETUN TOIMISTO 9

ULKOMAILLE SIIRROT - sopimuslausekkeiden hyväksyminen - BCR:t TIETOTURVA-PROSESSI - DBN-prosessi TARKASTUKSET - laajemmat tarkastukset & ”tutkimukset” Uudet tehtävät/prosessit: TIETOSUOJAVALTUUTETUN TOIMISTO 10

11 MITÄ PITÄÄ TEHDÄ? - Huolehtia siitä, että valvontaviranomaisella on riittävät resurssit suorittaa asetuksen edellyttämät tehtävät. - Organisaatiorakenteen muutostarve tulee arvioida. - Henkilöstö- ja koulutussuunnitelma (rekrytointi, osaamisen hallinta). - Uusien prosessien luominen. - Vanhojen prosessien päivittäminen. TIETOSUOJAVALTUUTETUN TOIMISTO

12 4 KV-PROJEKTI Asetuksen keskeinen tavoite on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys koko unionin alueelle. Asetuksen VII luvussa säädetään valvontaviranomaisten välisestä yhteistyöstä, kuten yhden luukun mekanismista (OSS), yhdenmukaisuusmekanismista, Euroopan tietosuojaneuvostosta (EDPB) ja viranomaisten yhteisistä operaatioista. Asetuksen yhtenä keskeisimmistä tehtävistä on osallistua kansainväliseen yhteistyöhön muiden jäsenvaltioiden kanssa, jossa lainsäädännön harmonisointi tapahtuu. EU on keskeinen vaikutusfoorumi yhä useammin kansalliset rajat ylittävissä tietosuojakysymyksissä. TIETOSUOJAVALTUUTETUN TOIMISTO

13 MITÄ PITÄÄ TEHDÄ? - Osallistua aktiivisesti WP 29 työhön, jossa mm. rakennetaan pohjaa EDPB:n toiminnalle, valmistellaan ohjausmateriaalia ja tehdään tulkintoja asetuksesta. - Pitää huolehtia siitä, että kansallinen ääni saadaan kuuluviin kv-työssä. TIETOSUOJAVALTUUTETUN TOIMISTO

14 5 IT-PROJEKTI Tietosuoja-asetuksen edellyttämien tehtävien hoitaminen edellyttää muutoksia tietojärjestelmiin. TIETOSUOJAVALTUUTETUN TOIMISTO

15 MITÄ PITÄÄ TEHDÄ? - Sähköisen (e-asiointi) asiointialustan rakentaminen. - Rakentaa kv-yhteistyön edellyttämä tekniikka tietojen vaihdolle, yhteisille operaatioille, valitusasioiden käsittelemiseen ja yhdenmukaisuusmekanismiin. - Asianhallintajärjestelmä tulee päivittää mm. uusien prosessien edellyttämällä tavalla. TIETOSUOJAVALTUUTETUN TOIMISTO

16 ENTÄ REKISTERIPITÄJÄ – MITÄ PITÄÄ TEHDÄ? 1) Määrää tietosuojan isäntä (tietosuojavastaava). 2) Analysoi henkilötietovarastosi (tietosuoja osaksi suunnittelua ja mallinnusta). 3) Tee riskiarvio; arvioi myös sopimuksesi. 4) Laadi toimintaohjeet ja -ohjelmat eri tilanteiden varalta; esim. tietoturva, -vuodot, rekisteröidyn oikeudet jne. 5) Huolehdi tietoturvasta, suojaa tiedon koko elinkaari. 6) Huolehdi henkilöstön osaamisesta. 7) Valvo henkilötietojen käyttöä. 8) Toimi ennakoivasti (ennakointi halvempaa). 9) Rakenna luottamus huolehtimalla läpinäkyvyydestä ja avoimuudesta. 10) Seuraa tiedottamista.

Tietosuojavaltuutetun toimisto Tietosuojavaltuutetun toimisto tiedottaa osoitteessa 17 KIITOS!