EU:n yleinen tietosuoja-asetus Immo Aakkula Hallitusneuvos, OKM 19. 4

Tietosuoja-asetus ja tiedonhallintalaki Käynnissä EU:n yleisen tietosuoja-asetuksen (2016/279) toimeenpano (OM, työryhmämietintö 31.5.2016, Immo Aakkula) Voimaan 25.5.2018, Henkilötietolaki kumotaan, kansallinen täydentävä lainsäädäntö? yleislaki (suppea) julkisuuslaki rikoslaki sektorilainsäädäntö, mahdolliset HE:t syksyllä 2017 Tiedonhallintalaki (VM, HE kevätistuntokaudella, Laura Hansén) Yleislaki: asianhallinta + arkistointi + tietoturva? Julkisen hallinnon tiedonhallinta ja tietojen luovuttaminen, salassapito, julkisen hallinnon rekistereiden hyödyntäminen Korvaisi mm. tietohallintolain ja arkistolain Viranomaisten rekisteritietojen saatavuuden parantaminen

Tietosuoja-asetus 1/12 Suoraan sovellettavaa oikeutta EU-tuomioistuin linjaa tulkinnan Koskee kaikkia henkilötietoja, jotka ovat sähköisessä muodossa tai muodostavat rekisterin Tunnistettavuus Koskee kaikkia henkilötiedon käsittelijöitä Ei henkilökohtaiset tarkoitukset EU oikeuden soveltamisalarajoite paikataan kansallisesti Ei koske kuolleita Julkisuuslain salassapitosäännökset voivat jatkossakin koskea myös kuolleita

Tietosuoja-asetus 2/12 5 artikla: käsittelyn yleiset edellytykset Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Kerättävä nimenomaiseen käyttötarkoitukseen Vain yhteensopiva jatkokäyttö on mahdollista Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Arkisto ja tutkimuspoikkeus Eheys ja luottamuksellisuus Osoitusvelvollisuus Rekisterinpitäjäkohtainen seloste

Tietosuoja-asetus 3/12 6 artikla: Käsittelyperuste a) Suostumus b) Sopimuksen täytäntöönpano / toimeksianto c) ”Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi” (tarkempi kansallinen sääntely mahdollista) d) Tarpeen rekisteröidyn elintärkeän edun suojaamiseksi e) ”Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi” (ei voida soveltaa viranomaisiin, joiden tehtävistä pitää säätää, tarkempi kansallinen sääntely mahdollista) f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. - paikkaa yhteysvaatimuksen puuttumista - edellyttää etujen, haittojen ja suojatoimien suhteuttamista - ei sovellu viranomaisiin

Tietosuoja-asetus 4/12 5 artikla: tutkimuskäyttö Myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (käyttötarkoitussidonnaisuus) tietojen minimointi (henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista), pseudonymisointi, anonymisointi (jos mahdollista tietojen käyttötarkoitus huomioiden) Ei ole itsenäinen 6 artiklan mukainen käsittelyperuste -> tarvitaan käsittelyperuste. Suostumus rajaa jatkokäyttöä. 7 art, ei kansallista liikkumavaraa suostumuksen osoittamisvelvollisuus vapaaehtoisuus oikeus peruuttaa suostumus

Tietosuoja-asetus 5/12 Käsittelyperusteen kansallinen täydentäminen? (6 art c ja e kohta) Yleinen oikeus tutkimuskäyttöön Oikeus arkistoida jatkokäyttöä varten ja oikeus jatkokäyttöön tutkimuksessa Viranomaisten tietoaineistojen käyttö tutkimukseen 6 artiklan e-kohdan toistaminen kansallisessa yleislaissa Tehtävien määrittely, sektorilainsäädännössä Korkeakoulujen rooli: rekisterinpitäjä vai käsittelijä (4 art), sektorilainsäädännössä Erityisiä henkilötietoryhmiä koskeva käsittely (arkaluonteiset tiedot, 9 art) Nimenomainen suostumus Tarpeen tieteellistä tai historiallista tutkimusta tai tilastollista tarkoitusta varten + laki -> Säädettävä kansallisesti. Oikeasuhtaisuus, oikeuksien suojaaminen

Tietosuoja-asetus 6/12 Poikkeukset rekisteröidyn 3 luvun mukaisista oikeuksista (89 art): Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn voidaan säätää poikkeuksia: Rekisteröidyn oikeus saada pääsy tietoihin (15 art) Oikeus tietojen oikaisemiseen (16 art) Oikeus käsittelyn rajoittamiseen (18 art) Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoituksia koskeva ilmoitusvelvollisuus (19 art, vain arkistointi) Oikeus siirtää tiedot järjestelmästä toiseen (20 art, vain arkistointi) Henkilötietojen käsittelyn vastustamisoikeus (21 art) Laajat kansalliset poikkeukset tietyin edellytyksin.

Tietosuoja-asetus 7/12 Poikkeukset rekisteröidyn 3 luvun mukaisista oikeuksista (89 art), tutkimus – pykäläluonnos: Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta varten, voidaan yleisen tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa tarkoituksista oikeuksista tarvittaessa poiketa sillä edellytyksellä, että 1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan ja siinä noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä periaatteita; 2) tutkimuksella on vastuullinen johtaja tai siitä vastaava ryhmä; 3) rekisterinpitäjä laatii tutkimushankkeesta tietosuoja-asetuksen 30 artiklan mukaisen selosteen, joka on pidettävä jokaisen saatavilla (vrt. 14 art. 5 b kohta); 4) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille. [voidaan viitata yhteensopiviin käyttötarkoituksiin]

Tietosuoja-asetus 8/12 Poikkeukset rekisteröidyn 3 luvun mukaisista oikeuksista (89 art), tilastot – pykäläluonnos: Käsiteltäessä henkilötietoja tilastollisia tarkoituksia varten, voidaan yleisen tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa tarkoituksista oikeuksista tarvittaessa poiketa sillä edellytyksellä että 1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä; 2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan. 3) tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten; ja 4) rekisterinpitäjä on laatinut tietosuoja-asetuksen 30 artiklassa tarkoitetun selosteen käsittelytoimista.

Tietosuoja-asetus 9/12 Käsittelyperuste arkaluonteisille aineistoille tutkimuksessa, pykäläluonnos: Tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja voidaan käsitellä tieteellistä tai historiallista tutkimusta varten, jos [1 momentissa] säädettyjen edellytysten lisäksi laaditaan tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Arvio käsittelytoimien vaikutuksista henkilötietojen suojalle Vastaava säännös tilastoinnista. Ehdotettu myös ilmoitusvelvollisuutta (14 §:n mukaiset tiedot) tietosuojaviranomaiselle.

Tietosuoja-asetus 10/12 Henkilötietojen suojan sekä sananvapauden ja tietojenvälityksen yhteensovittaminen (journalismi, akateemiset, taiteelliset ja kirjalliset tarkoitukset, 85 art) Laajat kansalliset poikkeukset rekisteröidyn oikeuksista. Henkilötietojen käsittelyyn journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta yleisen tietosuoja-asetuksen 13, 14, 15, 16, 17, 18, 19, 20, 21, 35 ja 36 artikloita.

Tietosuoja-asetus 11/12 Suhde viranomaisten asiakirjojen julkisuuteen, 86 art Oikeus saada henkilötietoja sisältäviä asiakirjoja: Jos viranomaisen asiakirja sisältää tietoja, joiden käsittelyyn sovelletaan henkilötietojen suojaa koskevia säännöksiä, on tällaisesta asiakirjasta oikeus saada tieto jokaisella, jolla on henkilötietojen suojaa koskevien säännöksien nojalla oikeus käsitellä näitä tietoja. Tieto on kuitenkin annettava asiakirjasta siltä osin kuin se voidaan tehdä ilmaisematta henkilötietoja. Tietojen julkistaminen: Viranomaisen on huolehdittava siitä, että yleisön tiedonsaannin kannalta keskeiset asiakirjat tai niitä koskevat luettelot ovat tarpeen mukaan saatavissa yleisissä tietoverkoissa tai muilla yleisön helposti käytettävissä olevilla keinoilla noudattaen samalla, mitä edellä 17 §:ssä on säädetty tiedonsaannin toteuttamisessa huomioon otettavista seikoista. Henkilötietoja sisältävien asiakirjojen osalta viranomaisen on tästä velvollisuudesta huolehtiessaan sovitettava tiedon jakaminen yhteen henkilötietojen suojaa koskevien sääntelyjen kanssa, jolloin huomiota on kiinnitettävä muun muassa tietojen määrään ja laatuun, tiedon jakamisen liittymiseen viranomaisen tehtäviin, tiedon jakamisesta henkilöille mahdollisesti aiheutuviin vaikutuksiin sekä asianmukaisten suojatoimien, kuten pseudonymisoinnin, käyttämiseen.

Tietosuoja-asetus 12/12 Tekniset suojausvelvoitteet (24 ja 32 art) Vaatimukset nykyistä tarkempia, vaativampia? Suhteellisuus Tietosuojavastaava (37 art) Yhteinen tietosuojavastava? Valvontaviranomainen (VI luku) Määräysvaltaa Hallinnollinen seuraamusmaksu (83 art)