Eeva Jokineva EU:n tietosuojasääntelyn uudistaminen
Transcription
Eeva Jokineva EU:n tietosuojasääntelyn uudistaminen
EU:n tietosuojasääntelyn uudistaminen Vakuutuslakimiesten Eurooppapäivä 8. toukokuuta 2012 Eeva Jokineva EU:n tietosuojasääntelyn uudistaminen Esityksen sisältö Voimassaoleva tietosuojasääntely Uudistamishankkeen taustaa Komission sääntelyehdotukset Asetusehdotuksen keskeinen sisältö © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 2 EU:n tietosuojasääntelyn uudistaminen Voimassaoleva tietosuojasääntely © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 3 Voimassaoleva tietosuojasääntely > > > > > > Kansainväliset sopimukset ja suositukset - Esimerkiksi Euroopan neuvoston ns. tietosuojasopimus sekä OECD:n tietosuojasuositus EU:n perusoikeuskirjan 8 artikla sekä Euroopan unionin toiminnasta tehdyn sopimuksen 16 artikla henkilötietojen suojasta - Jokaisella on oikeus henkilötietojensa suojaan Tietosuojadirektiivi 95/46/EY Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY (muutettu direktiivillä 2009/136/EY) Suomessa implementointi henkilötietolakiin (22.4.1999/523) sekä sähköisen viestinnän tietosuojalakiin (16.6.2004/516) Erityislainsäädäntö - Esimerkiksi kansallinen ja toimialakohtainen erityissääntely © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 4 EU:n tietosuojasääntelyn uudistaminen Uudistamishankkeen tausta ja tavoitteet © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 5 Uudistamishankkeen taustaa > > > EU:n nykyisen tietosuojasääntelyn uudistamishanke alkoi vuonna 2009 - Eurooppa-neuvoston 11. helmikuuta 2009 hyväksymä Tukholman ohjelma, jonka mukaan unionilla on oltava kattava strategia tietojen suojaamiseksi EU:n sisällä ja sen suhteessa muihin maihin Komission järjesti henkilötietojen suojaa koskevasta lainsäädännöstä laajan julkisen kuulemisen vuonna 2010 Komissio julkaisi hankkeeseen liittyvän tiedonantonsa Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa (KOM(2010) 609) marraskuussa 2010 - Sisälsi komission näkemyksiä sääntelyn uudistustarpeista - Neuvoston päätelmät helmikuussa 2011 ja Euroopan parlamentin mietintö heinäkuussa 2011 © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 6 Uudistamisen tavoitteista > > Tavoitteena on EU:n henkilötietojen suojaa koskevan lainsäädännön yhdenmukaistaminen sekä ajanmukaisen, vahvan ja kattavan tietosuojakehyksen luominen EU:lle Komission lehdistötiedote 25.1.2012 EU:n tietosuojasääntöjen kattavasta uudistuksesta: Tarkoituksena on vahvistaa yksityisyydensuojaa verkkoympäristössä ja antaa lisäpotkua Euroopan digitaalitaloudelle. Teknologian kehitys ja globalisoituminen ovat perin pohjin mullistaneet tavan, jolla henkilötietoja kerätään ja käytetään. Lisäksi vuoden 1995 tietosuojasäännöt on pantu täytäntöön EU:n 27 jäsenvaltiossa eri tavoin, mikä on johtanut eroavuuksiin niiden käytännön soveltamisessa. Uusi yhtenäinen lainsäädäntö poistaa nykytilanteen pirstaleisuuden ja siitä johtuvan raskaan hallintorasituksen, niin että yrityksille kertyy säästöä 2,3 miljardia euroa vuodessa. Uudistus lujittaa osaltaan kuluttajien luottamusta verkkoympäristöön ja tukee siten Euroopassa kipeästi kaivattua talouskasvua, työllisyyttä ja innovaatiota. © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 7 EU:n tietosuojasääntelyn uudistaminen Komission sääntelyehdotukset © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 8 Komission sääntelyehdotukset > Komissio julkaisi ehdotuksensa EU:n tietosuojasääntelyn uudistamiseksi 25.1.2012 - Yleinen tietosuoja-asetus (KOM (2012) 11 lopullinen), joka korvaa nykyisen tietosuojadirektiivin - Poliisi- ja oikeudelliseen yhteistyöhön liittyvä direktiivi, joka korvaa nykyisen neuvoston puitepäätöksen 2008/977/YOS > Hankkeen käsittely neuvoston ja parlamentin yhteispäätösmenettelyssä kestää todennäköisesti useita vuosia - Epävirallisena tavoitteena neuvotteluiden loppuunkäyminen vielä nykyisen parlamentin toimikaudella vuoteen 2014 mennessä - Lisäksi mahdolliset kansalliset täytäntöönpanotoimet © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 9 EU:n tietosuojasääntelyn uudistaminen Asetusehdotuksen keskeinen sisältö © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 10 Asetusehdotuksen sisältö (1/2) > > > > I luku Yleiset säännökset II luku Periaatteet III luku Rekisteröidyn oikeudet Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt Ilmoittaminen ja tiedonsaanti Tietojen oikaiseminen ja poistaminen Oikeus vastustaa henkilötietojen käsittelyä ja profilointi Rajoitukset IV luku Rekisterinpitäjä ja henkilötietojen käsittelijä Yleiset velvollisuudet Tietoturvallisuus Tietosuojaa koskeva vaikutusten arviointi ja ennakkohyväksyntä Tietosuojavastaava Käytännesäännöt ja sertifiointi © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 11 Asetusehdotuksen sisältö (2/2) > > > > > > > V luku Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille VI luku Riippumattomat valvontaviranomaiset - Riippumaton asema - Toimivalta ja tehtävät VII luku Yhteistyö ja yhdenmukaisuus - Yhteistyö - Yhdenmukaisuus - Euroopan tietosuojaneuvosto VIII luku Oikeussuojakeinot, vastuu ja seuraamukset IX luku Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset X luku Delegoidut säädökset ja täytäntöönpanosäädökset XI luku Loppusäännökset © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 12 Asetusehdotuksen keskeiset muutokset nykysääntelyyn > Vaikka keskeiset henkilötietojen käsittelyä koskevat perusperiaatteet asetusehdotuksessa pääosin ennallaan, muutoksia aiheutuu erityisesti läpinäkyvyyden, käsiteltävien tietojen minimoinnin sekä rekisterinpitäjän kattavan vastuun periaatteista (5 artikla) > Muutokset liittyvät erityisesti - rekisteröidyn oikeuksien vahvistamiseen, - rekisterinpitäjien velvollisuuksien lisäämiseen sekä - tietosuojaviranomaisten roolin vahvistamiseen ja toimivaltaan > Komission ehdotus yleiseksi tietosuoja-asetukseksi on nykyistä direktiiviä huomattavasti yksityiskohtaisempi - Yhteensä 91 artiklaa - Lisäksi useita valtuutussäännöksiä, joiden nojalla komissiolla on valta antaa täydentävää, yksityiskohtaisempaa sääntelyä - Näiltä osin uudistettavan tietosuojasääntelyn sisältö tässä vaiheessa vielä avoin © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 13 Asetuksen vaikutukset kansalliseen lainsäädäntöön > Jäsenvaltioissa suoraan sovellettavaa asetusta sovellettaisiin soveltamisalallaan kansallisen yleis- ja erityislainsäädännön sijaan > Lähtökohtaisesti asetuksen kanssa ristiriitainen kansallinen lainsäädäntö olisi kumottava - Osittain asetus perustuu kansalliseen sääntelyyn ja siinä asetetaan jäsenvaltioille myös lainsäädäntövelvoitteita (6 artiklan mukaiset henkilötietojen lainmukaisen käsittelyn edellytykset sekä 46 ja 49 artiklat) - Mahdollisuus poiketa asetuksen säännöksistä kansallisella lailla (esimerkiksi 21 artiklan mukaan jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa tiettyjen velvollisuuksien ja oikeuksien soveltamisalaa) > Edellyttää kansallisen ja toimialakohtaisen erityissääntelyn läpikäyntiä © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 14 Rekisteröityjen oikeuksien vahvistaminen (1/3) > Rekisteröidyille nykyistä laajemmat oikeudet saada tietoa henkilötietojen käsittelystä (11-12 sekä 14-15 artiklat) Läpinäkyvyys edellyttää, että rekisterinpitäjän toimittavat rekisteröidyille läpinäkyvää, helposti saatavaa ja ymmärrettävää tietoa henkilötietojensa käsittelystä Rekisterinpitäjän vahvistettava menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten Informointivelvollisuus edellyttää, että tietoja kerättäessä rekisteröidylle annetaan tietoa mm. tietosuojavastaavasta, tietojen säilytysajasta sekä oikeudesta tehdä valitus Rekisteröidyn tiedonsaantioikeutta on laajennettu nykyisestä tarkastusoikeudesta Rekisteröidyllä on oikeus saada vahvistus henkilötietojen käsittelystä sekä tutustua henkilötietoihinsa, mutta annettavan informaation määrää on laajennettu Lähtökohtaisesti maksutta, mutta maksun periminen mahdollista tilanteessa, jossa tarkastuspyynnöt ovat ilmeisen kohtuuttomia ja etenkin, jos pyyntöjä esitetään jatkuvasti © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 15 Rekisteröityjen oikeuksien vahvistaminen (2/3) > Rekisteröidyn oikeuksia tietojen oikaisemiseen ja poistamiseen sekä käsittelyn vastustamiseen liittyen tarkennettu (16-20 artiklat) Oikeus vaatia, että virheelliset henkilötiedot oikaistaan ja puutteelliset tiedot täydennetään Oikeus vaatia rekisterinpitäjää poistamaan henkilötiedot ja pidättäytymään niiden luovuttamisesta eteenpäin (ns. right to be forgotten) Pääsääntönä ensisijaisesti henkilötietojen poistaminen viipymättä tai toissijaisesti tietojen käsittelyn rajoittaminen Oikeus siirtää tiedot järjestelmästä toiseen (ns. right to data portability) Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää ko. henkilötiedot ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään Yleisesti käytetty sähköinen muoto Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä koskee tiettyjä käsittelyperusteita Oikeus kieltäytyä profiloinnista © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 16 Rekisteröityjen oikeuksien vahvistaminen (3/3) > Rekisteröidyn suostumukselle lisäedellytyksiä (4 artiklan 8-kohta ja 7 artikla) - Suostumus edellyttää nimenomaista tahdonilmaisua, jolla hän hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen - Suostumus ei esimerkiksi muodosta oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta > Tarkennuksia edellytyksiin käsitellä arkaluonteisia tietoja (9 artikla) - Terveystietojen käsittely terveyteen liittyvistä syistä noudattaen 81 artiklan edellytyksiä - Rikostuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista takeista - Vaikutukset esimerkiksi väärinkäytösrekisterin ylläpitämiseen sekä terveydentilatietojen käsittelyyn vakuutustoiminnassa © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 17 Rekisterinpitäjien velvollisuuksien lisääminen (1/4) > > Accountability-periaate (22 artikla) - Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan ehdotettua asetusta - Tietosuojatyöryhmä on antanut tilivelvollisuuden periaatteesta lausunnon vuonna 2010 (lausunto 3/2010) Rekisterinpitäjän huolehdittava sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden toteutumisesta (23 artikla) © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 18 Rekisterinpitäjien velvollisuuksien lisääminen (2/4) > > Velvollisuus ylläpitää henkilötietojen käsittelyä koskevaa dokumentaatiota (28 artikla) - Rekisterinpitäjän on säilytettävä niiden vastuulla toteutettavia käsittelytoimia koskevat asiakirjat - Yksityiskohtaista sääntelyä dokumentaation sisällöstä Tietoturvallisuutta koskevat velvoitteet - Velvollisuus huolehtia käsittelyn turvallisuudesta ja toteuttaa tietojenkäsittelyn turvallisuuden varmistamiseksi tarvittavat toimenpiteet (30 artikla ) - Uutuutena tietoturvaloukkauksia koskeva ilmoitusvelvollisuus (31 ja 32 artiklat) - Tietoturvaloukkaus on loukkaus, jonka seurauksena on vahingossa - tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti (4 artikla) Ilmoitus tehtävä sekä viranomaiselle että tietyissä tilanteissa rekisteröidylle itselleen © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 19 Rekisterinpitäjien velvollisuuksien lisääminen (3/4) > Asetusehdotus sisältää yksityiskohtaiset säännökset henkilötietojen käsittelyä koskevasta vaikutusten arvioinnista sekä ennakkohyväksynnästä - Rekisterinpitäjille velvollisuus toteuttaa vaikutustenarviointi, jos käsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä (33 artikla) - Tietyissä tilanteissa velvollisuus hakea valvontaviranomaisen ennakkohyväksyntä tai kuulla valvontaviranomaista ennen tietojenkäsittelyn aloittamista (34 artikla) © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 20 Rekisterinpitäjien velvollisuuksien lisääminen (4/4) > > Velvollisuus nimittää organisaatioon riippumaton tietosuojavastaava (35 artikla) - Säännös koskee yli 250 henkilöä työllistäviä yrityksiä sekä yrityksiä, joissa rekisterinpitäjän keskeiset tehtävät muodostuvat säännöllistä ja järjestelmällistä seurantaa edellyttävistä käsittelytoimista - Toimikautena vähintään 2 vuotta - Edellytyksenä tietosuojavastaavana toimimiselle on ammattipätevyys sekä tietosuoja-asioiden erityisasiantuntemus Tietosuojavastaavan asemasta ja tehtävistä säädetty yksityiskohtaisesti (36 ja 37 artiklat) - Mukana kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyssä - Tehtävänä mm. rekisterinpitäjän neuvonta asetuksen mukaisista velvollisuuksista sekä henkilötietojen suojaan liittyvien toimintamenetelmien sekä asetuksen täytäntöönpanon ja soveltamisen seuraaminen © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 21 Muutokset tietosuojaviranomaisten rooliin ja toimivaltaan > > > Useassa jäsenvaltiossa toimivalle rekisterinpitäjälle yksi toimivaltainen valvova tietosuojaviranomainen eli ns. one-stop-shop (51 artikla) Eurooppalaisten valvontaviranomaisten yhteistyöstä entistä tarkempaa sääntelyä - Esimerkiksi yhdenmukaisuusmekanismin avulla varmistetaan tietosuojasäännösten yhdenmukainen soveltaminen eri jäsenvaltioissa (57 artikla) Viranomaisten roolin ja toimivallan vahvistaminen mm. valtuuksilla määrätä hallinnollisia sanktioita (79 artikla) - Säännös velvoittaa valvontaviranomaista määräämään hallinnollisia sakkoja artiklassa luetelluista teoista tiettyyn enimmäismäärään asti (enimmillään 1 000 000 euroa tai 2 % vuotuisesta maailmanlaajuisesta liikevaihdosta) - Sakon määrää vahvistettaessa huomioitava kuhunkin tapaukseen liittyvät olosuhteet © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 22 FK:n kantoja ehdotettuun asetukseen sekä arvio vaikutuksista > > Finanssialan toiminta perustuu oleellisilta osin henkilötietojen käsittelyyn EU:n tietosuojasääntelyn uudistamisella merkittävät vaikutukset toimialaan Ehdotuksen tavoitteet sääntelyn yksinkertaistamisesta sekä harmonisaation vahvistamisesta ovat kannatettavia, mutta Huomioitava finanssialaa koskeva erityissääntely ja varmistuttava velvoittavan sääntelyn johdonmukaisuudesta Päällekkäistä sääntelyä esimerkiksi finanssialan sisäisen toiminnan organisoinnin suhteen tulisi välttää Huolenaiheena se, että ehdotettu sääntely kieltäisi tai vaikeuttaisi sellaista henkilötietojen käsittelyä, joka on toimijoille esimerkiksi riskienhallinnan tai asiakastietojen käsittelyn näkökulmasta tärkeää Huomioitava, että ehdotettu sääntely lisää rekisterinpitäjien hallinnollista taakkaa merkittävästi eikä esimerkiksi kaikkien ehdotettujen säännösten vaikutus henkilötietojen suojan parantamisessa ei ole selkeä Lukuisat valtuutussäännökset vähentävät sääntelyn ennakoitavuutta, mikä on ongelmallista esimerkiksi tietojärjestelmämuutosten näkökulmasta Määrättävien sanktioiden oltava oikeasuhtaisia © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 23 Lisätietoja > > > > Komission ehdotus tietosuoja-asetukseksi http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:F I:PDF Komission tietosuoja-aiheinen sivusto http://ec.europa.eu/justice/data-protection/index_fi.htm Oikeusministeriön tietosuojalainsäädännön uudistamista käsittelevä hankesivusto http://www.om.fi/Etusivu/Valmisteilla/Lakihankkeet/Informaatiooik eus/1290610002784 Tietosuojavaltuutetun internet-sivut http://www.tietosuoja.fi © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 24 Kiitos! Lakimies Eeva Jokineva [email protected] 020 793 4288 © Finanssialan Keskusliitto | Finansbranschens Centralförbund 8.5.2012 25