EU:n yleinen tietosuoja-asetus ja VIRTA Valtakunnallisen tietovarannon ja OKM:n tiedonkeruiden ohjausryhmä 15.12.2016 Immo Aakkula Hallitusneuvos, OKM

Tietosuoja-asetus ja tiedonhallintalaki Käynnissä EU:n yleisen tietosuoja-asetuksen (2016/279) toimeenpano (OM, HE 31.5.2016, Immo Aakkula) Voimaan 25.5.2018 Henkilötietolaki kumotaan, kansallinen täydentävä lainsäädäntö? yleislaki julkisuuslaki? rikoslaki? sektorilainsädäntö ministeriöiden vastuulla Tiedonhallintalaki (VM, HE kevätistuntokaudella, Laura Hansén) Yleislaki: asianhallinta + arkistointi + tietoturva? Julkisen hallinnon tiedonhallinta ja tietojen luovuttaminen, salassapito, julkisen hallinnon rekistereiden hyödyntäminen Korvaisi mm. arkistolain Viranomaisten rekisteritietojen saatavuuden parantaminen

Tietosuoja-asetus 1/8 Suoraan sovellettavaa oikeutta Hierarkia: EU-oikeus – kotimainen erityislaki – kotimainen yleislaki– muu säädös EU-tuomioistuin linjaa tulkinnan Koskee kaikkia henkilötietoja, ei vain rekistereitä Henkilö tunnistettavissa suoraan tai epäsuorasti -> on henkilötieto Ei sisällä erillistä sääntelyä tietojen luovuttamisesta Yleiset käsittelyperusteet Viranomaiset noudattavat lisäksi julkisuuslakia Koskee kaikkia henkilötiedon käsittelijöitä Ei kuitenkaan henkilökohtaisia käyttötarkoituksia Ei koske kuolleita

Tietosuoja-asetus 2/8 5 artikla: käsittelyn yleiset edellytykset Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa Edellytetään tietojen minimointia (henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa), pseudonymisointia ja anonymisointia (jos mahdollista tietojen käyttötarkoitus huomioiden) Täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus Osoittamisvelvollisuus (rekisterinpitäjäkohtainen seloste)

Tietosuoja-asetus 3/8 6 artikla: käsittelyn lainmukaisuus a) Suostumus b) Sopimuksen täytäntöönpano / toimeksianto c) ”Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi” d) Tarpeen rekisteröidyn elintärkeän edun suojaamiseksi e) ”Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi” f) tarpeen oikeutettujen etujen toteuttamiseksi c ja e kohdasta jäsenvaltiot voivat antaa yksityiskohtaisempia säännöksiä Huomaa tehtävien määrittelyn tärkeys! Henkilötietolain mukainen yhteysvaatimus ei ole riittävä käsittelyperuste HeTiL 8 § 5 koht: Käsittely on sallittua, jos ”jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus)”;

Tietosuoja-asetus 4/8 ”Yleisen edun mukainen arkistointitarkoitus taikka tieteellinen tai historiallinen tutkimustarkoitus tai tilastollinen tarkoitus” Mitä tarkoitta tieteellinen tai historiallinen tutkimustarkoitus, laajuus? Toissijaisen käyttöoikeuden laajuus (5 ja 7 art., suostumus ?) Yhteensopivuus niiden tarkoitusten kanssa, joita varten tiedot on kerätty Otettava huomioon muun muassa alkuperäisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä. ”Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi.” (resitaali 50) HeTiL 14 § poistuu.

Tietosuoja-asetus 5/8 Tehtävien määrittely (5 art c ja e kohta) Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi … jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Mitä säädetään kansallisesti? Arkaluonteisten tietojen käsittely (9 art) Suostumus Tarpeen tieteellistä tai historiallista tutkimusta tai tilastollista tarkoitusta varten tai Tärkeä yleinen etu + laki -> Mitä säädetään kansallisesti? Oikeasuhtaisuus, oikeuksien suojaaminen

Tietosuoja-asetus 6/8 Poikkeukset rekisteröidyn 3 luvun mukaisista oikeuksista (89 art) Rekisteröidyn pääsy tietoihin (15 art), tietojen oikaiseminen (16 art), käsittelyn rajoittaminen (18 art), vastustamisoikeus (21 art) Mitä säädetään kansallisesti? Henkilötietojen siirtäminen (20 art) rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu suoraan rekisterinpitäjältä toiselle, jos teknisesti mahdollista Ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi… Henkilötietojen suojan sekä sananvapauden ja tietojenvälityksen yhteensovittaminen (journalismi, akateemiset, taiteelliset ja kirjalliset tarkoitukset) 85 art

Tietosuoja-asetus 7/8 Tietojen antaminen sekä julkaiseminen verkossa (suhde viranomaisten toiminnan julkisuuteen) 86 art Viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan. Mitä säädetään kansallisesti? Vastaanottajan oikeus käsitellä luovutuksen ehtona Julkaisemisessa oikeasuhtaisuuden edellytys (luovutuksen tarkoitus, tietojen luonne ja laajuus, seuraukset ym.) Tekninen käyttöyhteys luovutusmuotona? (JKHO 2015/41) e

Tietosuoja-asetus 8/8 Keskeistä korkeakouluille ja tutkimusorganisaatioille Tekniset suojausvelvoitteet nykyistä tarkempia (24 ja 32 art) ”Henkilötietoja ei saa oletusarvoisesti saattaa rajattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta” (25 art) Rekisterinpitäjäkohtainen seloste käsittelytoimista (30 art) Kokonaisvaltainen kuvaus tietovirroista Tietosuojavastaava (37 art) Sertifiointi (42 art) Valvontaviranomainen (VI luku) Määräysvaltaa

Kysymyksiä Tarvitaanko opiskelijapalautteen antajalta (Opetushallinnon vaikuttavuustietopalvelu Arvossa) erillinen suostumus palautevastausten käyttöön tutkimuksessa? Entä tarvitaanko suostumus tietojen yhdistämiseen muiden rekisterien tietoihin? Onko korkeakoulujen mahdollista myöntää tiedonluovutuksen yleislupa korkeakoulujen valtakunnallisen tietovarannon tietosisällön tutkimuskäyttöön FIONA-etäkäyttöympäristössä? Tietojen luovutus Koski-laissa ”...tietoja voidaan luovuttaa muulle viranomaiselle, jolla on…lain nojalla oikeus saada tehtävänsä hoitamiseen … opiskelijavalintarekisteriin sisältyviä tietoja.” Liian tiukka? Tekninen käyttöyhteys voidaan avata viranomaiselle, jolla on oikeus käsitellä tietoja.

Lainsäädäntötarpeita? Teknisen käyttöyhteyden mahdollistaminen laajemmin Tutkimuslupakäytännön yksinkertaistaminen Tietojen jatkoluovutus Onko tarvetta tarkentaa viranomaisten tehtäviä? Mitä tulisi säätää arkaluonteisten tietojen käsittelyoikeudesta tutkimuksessa? Minkälaisia rekisteröidyn oikeuksien (3 luku / 89 artikla) rajoituksia tulisi säätää? Minkälainen henkilötietoja sisältävien tietojen julkaiseminen netissä pitää olla sallittua? Mitä muuta tulisi ottaa kansallisen lainsäädännön valmistelussa?