Ohjeita rekisterinpitäjälle

Tietosuojavaltuutetun toimisto ja oikeusministeriö ovat laatineet rekisterinpitäjille suunnatun oppaan EU:n tietosuoja-asetukseen valmistautumisesta.

Oppaassa kerrotaan muun muassa henkilötietojen käsittelyn arvioinnista ja oikeusperusteista, tietosuojaperiaatteiden toteuttamisesta sekä tietoturvaloukkauksiin valmistautumisesta. Lisäksi oppaassa selvitetään esimerkiksi riskiperustaisen lähestymistavan merkitystä rekisterinpitäjille sekä rekisteröidyn oikeuksiin tulevia muutoksia.

Opas: Miten valmistautua EU:n tietosuoja-asetukseen? (pdf, 0.3 Mt)

Tietosuojavastaava, valvontaviranomainen ja tietojen siirrettävyys

EU:n tietosuojavaltuutetuista koostuva WP29-tietosuojatyöryhmä julkaisi 5.4.2017 päivitetyt ohjeet tietosuojavastaavien toimenkuvasta, johtavasta valvontaviranomaisesta ja rekisteröidyn oikeudesta siirtää tiedot järjestelmästä toiseen. Ohjeet julkaistiin ensimmäisen kerran joulukuussa 2016. Aiheista julkaistiin tuolloin myös vastauksia usein kysyttyihin kysymyksiin.

Ohjeet suomeksi:

Tietosuojavastaavia koskevat ohjeet (pdf, 0.78 Mt)

Oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevat ohjeet (pdf, 0.37 Mt)

Ohjeet rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määrittämiseen (pdf, 0.47 Mt)

Vastauksia usein kysyttyihin kysymyksiin suomeksi:

Tietosuojavastaavat (pdf, 0.59 Mt)

Tietojen siirtäminen järjestelmästä toiseen (pdf, 0.19 Mt)

Rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määrittäminen (pdf, 0.24 Mt)

Ohjeet ruotsiksi:

Riktlinjer om dataskyddsombud (pdf, 1.01 Mt)

Riktlinjer om rätten till dataportabilitet (pdf, 0.37 Mt)

Riktlinjer om fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden (pdf, 0.67 Mt)

Vastauksia usein kysyttyihin kysymyksiin ruotsiksi:

Dataskyddsombud (pdf, 0.47 Mt)

Rätten till dataportabilitet (pdf, 0.18 Mt)

Fastställande av ansvarig tillsynsmyndighet för personuppgiftsansvariga eller personuppgiftsbiträden (pdf, 0.25 Mt)

Englanniksi:

Guidelines on the Right to Data Portability (pdf, 0.39 Mt)
WP242 ANNEX – Frequently asked questions (pdf, 0.14 Mt)

Guidelines on Data Protection Officers (pdf, 1.08 Mt)
WP243 ANNEX - Frequently asked questions (pdf, 0.39 Mt)

Guidelines for Identifying a Controller or Processor’s Lead Supervisory Authority (pdf, 0.4 Mt)
WP244 ANNEX II – Frequently asked questions (pdf, 0.25 Mt)

Vaikutusten arviointi

EU:n yleisen tietosuoja-asetuksen mukaan tietosuojaa koskeva vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Vaikutuksia on arvioitava esimerkiksi silloin, kun käsitellään suuria määriä arkaluonteisia tietoja tai käytetään uutta teknologiaa. Tietosuoja-asetuksessa rekisterinpitäjän velvoitteet määritellään riskiperusteisesti. Velvollisuudet ja tarvittavat suojatoimet määräytyvät sen mukaan, kuinka riskialtista henkilötietojen käsittely on rekisteröidyn oikeuksille ja vapauksille.

WP29-tietosuojatyöryhmän julkaisema opas tarkentaa, milloin ja miten vaikutustenarviointi toteutetaan. Oppaassa kerrotaan vaikutustenarviointiin liittyvistä käytännöistä ja riskien määrittelystä. WP29-tietosuojatyöryhmä hyväksyi lopullisen ohjeen vaikutustenarvioinnista muokattuaan sitä saatujen kommenttien perusteella.

Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" (pdf, 1.1 Mt)

Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen "sannolikt leder till en hög risk" i den mening som avses i förordning 2016/679 (pdf, 0.91 Mt)

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk" for the purposes of Regulation 2016/679 (pdf, 1.09 Mt)

Automatisoidut yksittäispäätökset, profilointi ja henkilötietojen tietoturvaloukkauksista ilmoittaminen

Tietosuoja-asetuksen mukaan rekisteröidyllä on lähtökohtaisesti oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tästä voidaan kuitenkin poiketa esimerkiksi silloin, kun päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.

Tietosuoja-asetuksessa säädetään myös rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Uusissa oppaissa kerrotaan aiheista tarkemmin ja esitetään esimerkkejä tietosuoja-asetuksen soveltamisesta.

Ohjeita voi kommentoida 28. marraskuuta saakka sähköpostitse osoitteisiin JUST-ARTICLE29WP-SEC@ec.europa.eu ja presidenceg29@cnil.fr. Oppaita päivitetään saadun palautteen perusteella. Kuulemisesta voi lukea tarkemmin WP29-tietosuojatyöryhmän verkkosivuilta.

Guidelines on Personal Data Breach Notification under Regulation 2016/679 (pdf, 0.8 Mt)

Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation 2016/679 (pdf, 0.78 Mt)

Euroopan komission esite: tietosuoja-asetuksen vaikutukset pk-yrityksille

Euroopan komission esite (pdf, 1.19 Mt) auttaa pk-yrityksiä valmistautumaan uusiin sääntöihin. Esite voi olla avuksi henkilötietojen käsittelyn suunnittelussa selventämällä henkilötietojen käsittelyyn liittyviä oikeuksia ja velvollisuuksia.

Tietosuoja-asetuksen tulkinta ja tuleva ohjeistus

Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä sovelletaan 25.5.2018 alkaen. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.

EU:n tietosuojatyöryhmä WP29 laatii siirtymäaikana ohjeistusta tietosuoja-asetuksen tulkinnasta. WP29-tietosuojatyöryhmän ohjeet käännetään EU:n toimesta suomeksi ja ruotsiksi, mutta käännösten julkaisuajankohtaa ei ole vielä ilmoitettu.

Kansalliseen lainsäädäntöön tarvittavia muutoksia arvioidaan oikeusministeriön asettamassa työryhmässä, joka julkaisi mietintönsä kesäkuussa 2017.

Tietosuojavaltuutetun toimisto tiedottaa tulevista ohjeista verkkosivuillaan.

Lisätietoja:
Tietosuojatyöryhmä WP29:n verkkosivut (englanniksi)
Oikeusministeriön hanke: Henkilötietojen suojaa koskevan kansallisen lainsäädännön tarkistaminen

 
Julkaistu 24.1.2017  Päivitetty 8.11.2017
Sivun alkuun |