Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Tietosuojasta ym.

Ville Oksanen
Ville Oksanen

In Finnish - Data Protection and Open Data

1 of 24
Download to read offline
Henkilötietolaki ja avoin data Ville Oksanen - Otavan Opisto
Herkkä aihe
Herkkä aihe
Lainsäädäntö - EU Perustana EU-tason sääntely Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Positiivinen puoli - alue hyvin harmonisoitu Unionissa
Perusidea Henkilötietoja voidaan kerätä ja tallettaa: “kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa” kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde Säädetty muussa laissa
Rekisteriseloste Kertoo tallennuksen kohteelle Miksi kerätään Mitä kerätään Miten käytetään Miten korjata virheelliset tiedot Työkalu tietoisuus-kriteerin täyttämiseen
Rekisteröidyn oikeuksia Oikeus tarkastaa itseään koskevat tiedot Oikeus vaatia virheellisen tiedon oikaisua Oikeus kieltää henkilötietojen käsittely: suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa) markkina- ja mielipidetutkimukseen henkilömatrikkeliin Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä.
Arkaluonteisten tietojen kerääminen Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat: rotua tai etnistä alkuperää henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Ovatko kategoriat ajan tasalla?
Sallittua jos Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
Tietosuojavaltuutettu Pakkoruotsi.net
Tietosuojavaltuutettu Pakkoruotsi.net
Tietosuojavaltuutettu Pakkoruotsi.net
Tietojen luovutus EU:n ulkopuolelle Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso Tapauskohtainen harkinta Tietojen luonne Suunnitellun käsittelyn tarkoitus ja kestoaika Alkuperämaa ja lopullinen kohde Asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt
Safe Harbor –järjestely Komissio todennut tietyt maat valmiiksi turvallisiksi Mm. Sveitsi, Kanada, Argenttiina USA:n kanssa erikoisjärjestely Organisaatiokohtainen oikeutus Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita
Mitkä organisaatiot http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/ safe+harbor+list Lähes kaikki isot toimijat IBM, Microsoft, Apple Qualcom, Alcatel-Lucent ym.
Kysymyksiä pilviratkaisuille Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen? Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan? Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat?
Hyvä rekisteritapa? Laki edellyttää ns. hyvän rekisteritavan noudattamista Sisältö oikeuskäytännön kautta Tietosuojavaltuutettu, tietosuojalautakunta Hallinto-oikeudet
Korkeimman hallinto-oikeuden päätös ns. pikavippiasiassa Kyseessä ns. “paha yritys”, mikä vaikutti ratkaisun taustalla Mikä riittävä tunnistuksen taso? Tietosuojalautakunta -> hallinto-oikeus -> KHO
Hallinto-oikeus …Hallinto-oikeus katsoo, että tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2 momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31 §:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä ongelmia.”
Hallinto-oikeus “Päätöksessä on kysymys X Oy:n käyttämän luotonhakijoiden tunnistamistavan henkilötietolain mukaisuudesta, eikä sillä seikalla, että myös muiden toimijoiden toiminnassa ja muilla toimialoilla saattaa olla riski väärien henkilöiden rekisteröimisestä luotonhakijoiksi, ole merkitystä X Oy:n käyttämän tunnistamistavan lainmukaisuuden arvioinnissa. Hyväksyttävät luotonhakijan tunnistamismenettelyt voivat vaihdella palvelualojen mukaan…”
Mitä jos rikotaan? Yleensä - ei mitään Henkilötietolaki: Sakko Oikeudenkäymiskulut
Avoin data? Laissa ei erityisoikeuksia Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä Esimerkki: Pöytäkirjat voivat muodostaa henkilörekisterin Tietojen anonymisointi Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus
A-HIP.info

More Related Content

Tietosuojasta ym.

  • 1. Henkilötietolaki ja avoin data Ville Oksanen - Otavan Opisto
  • 4. Lainsäädäntö - EU Perustana EU-tason sääntely Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Positiivinen puoli - alue hyvin harmonisoitu Unionissa
  • 5. Perusidea Henkilötietoja voidaan kerätä ja tallettaa: “kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa” kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde Säädetty muussa laissa
  • 6. Rekisteriseloste Kertoo tallennuksen kohteelle Miksi kerätään Mitä kerätään Miten käytetään Miten korjata virheelliset tiedot Työkalu tietoisuus-kriteerin täyttämiseen
  • 7. Rekisteröidyn oikeuksia Oikeus tarkastaa itseään koskevat tiedot Oikeus vaatia virheellisen tiedon oikaisua Oikeus kieltää henkilötietojen käsittely: suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa) markkina- ja mielipidetutkimukseen henkilömatrikkeliin Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä.
  • 8. Arkaluonteisten tietojen kerääminen Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat: rotua tai etnistä alkuperää henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
  • 10. Sallittua jos Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; Esimerkiksi ehdokkuudet julkisia -> vaalikoneet
  • 14. Tietojen luovutus EU:n ulkopuolelle Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso Tapauskohtainen harkinta Tietojen luonne Suunnitellun käsittelyn tarkoitus ja kestoaika Alkuperämaa ja lopullinen kohde Asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt
  • 15. Safe Harbor –järjestely Komissio todennut tietyt maat valmiiksi turvallisiksi Mm. Sveitsi, Kanada, Argenttiina USA:n kanssa erikoisjärjestely Organisaatiokohtainen oikeutus Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita
  • 16. Mitkä organisaatiot http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/ safe+harbor+list Lähes kaikki isot toimijat IBM, Microsoft, Apple Qualcom, Alcatel-Lucent ym.
  • 17. Kysymyksiä pilviratkaisuille Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen? Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan? Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat?
  • 18. Hyvä rekisteritapa? Laki edellyttää ns. hyvän rekisteritavan noudattamista Sisältö oikeuskäytännön kautta Tietosuojavaltuutettu, tietosuojalautakunta Hallinto-oikeudet
  • 19. Korkeimman hallinto-oikeuden päätös ns. pikavippiasiassa Kyseessä ns. “paha yritys”, mikä vaikutti ratkaisun taustalla Mikä riittävä tunnistuksen taso? Tietosuojalautakunta -> hallinto-oikeus -> KHO
  • 20. Hallinto-oikeus …Hallinto-oikeus katsoo, että tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2 momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31 §:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä ongelmia.”
  • 21. Hallinto-oikeus “Päätöksessä on kysymys X Oy:n käyttämän luotonhakijoiden tunnistamistavan henkilötietolain mukaisuudesta, eikä sillä seikalla, että myös muiden toimijoiden toiminnassa ja muilla toimialoilla saattaa olla riski väärien henkilöiden rekisteröimisestä luotonhakijoiksi, ole merkitystä X Oy:n käyttämän tunnistamistavan lainmukaisuuden arvioinnissa. Hyväksyttävät luotonhakijan tunnistamismenettelyt voivat vaihdella palvelualojen mukaan…”
  • 22. Mitä jos rikotaan? Yleensä - ei mitään Henkilötietolaki: Sakko Oikeudenkäymiskulut
  • 23. Avoin data? Laissa ei erityisoikeuksia Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä Esimerkki: Pöytäkirjat voivat muodostaa henkilörekisterin Tietojen anonymisointi Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus