Please enable JavaScript.
Coggle requires JavaScript to display documents.
INFO KÄSITTEET JA L SOVELTAMISALA - Coggle Diagram
INFO KÄSITTEET JA L SOVELTAMISALA
HENKILÖTIETO
=TsA kaikki lh liittyvät tiedot, joilla hänet voidaan suoraan tai epäsuorasti tunnistaa
ERITYISET HENKILÖTIETOYHMÄT
=TsA tiedot, joista ilmenee rotu, etnisyys, poliittiset mpt, vakaumus, ammattiliitto, seksuaalisuus. Lähtökohtaisesti käsittely on kiellettyä.
vaikutustenarviointi
jos käsitellään erit htryhmiä tai laajamittaisesti ht
Suojaustoimet
kenen toimesta käsitelty varmistus
henkilöstön osaamisen parannus
ht pseudonymisointi
ht salaaminen
pääsyn esto
TsA: Käsittely sallittua jos
suostumus
käsittely tarpeen rp:n tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla
rekisteröidyn tai lh:n elintärkeät edut
rekisteröity on nimenomaisesti saattanut julkisiksi
käsittely tarpeen oikeusvaateen laatimiseksi
kansanterveys, ennaltaehkäisevä tai työterveyshuolto tarkoitus
arkistointi, tieteellinen tai historiallinen tutkimus
TsL: Käsittely sallittua jos
vakuutustoiminnassa saatuja tietoja terveydentilasta, sairaudesta ja vammaisuudesta
käytetään rp:n laissa säädettyyn tehtävään
ammattiliittoon kuuluminen tarpeen rp:n velvoitteiden noudattamiseksi työoikeuden alalla
terveydenhuollon tarjoaja palveluja tarjoaa
sosiaalihuollon etuudet
antidopintyö ja vammaisurheilu
tieteellinen, historiallinen, tilastointi
HENKILÖTIETOJEN KÄSITTELY
=TsA toiminnot, jotka kohdistetaan henkilötietoihin, esim. muokkaaminen, tallentaminen, luovuttaminen, yhteensovittaminen, poistaminen, säilyttäminen
REKISTERÖITY
=lh, jota henkilötieto koskee, pitää informoida henkilötietojen käsittelystä
REKISTERINPITÄJÄ
=TsA lh, oh, vo, virasto tai muu elin, joka yksin tai yhdessä määrittelee henkilötietojen käsittelyn
tarkoitukset
ja
keinot
. Kantaa viimeisen vastuun henkilötietojen käsittelytoimista.
HENKILÖTIETOJEN KÄSITTELIJÄ
=TsA lh, oh, vo, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, toimii rekisterinpitäjän valvonnan alaisena.
TIETOSUOJAVASTAAVA
= tietosuojan asiantuntija rekisterinpitäjän tai ht käsitelijän toiminnassa, vrt. tietosuojavaltuutettu
REKISTERI
=TsA mikä tahansa jäsennelty ht sisältävä tietojoukko, josta tiedot on saatavilla tietyin perustein.
Euroopan Unionin yleinen tietosuoja-asetus
GDPR
/
TsA
Suoraan sovellettava EU:n jäsenvaltioissa
Etusija suhteessa kansalliseen ht lainsäädäntöön
ALUEELLINEN SOVELTAMISALA
sovelletaan ht käsittelyyn, jos rekisterinpitäjän/ht käsittelijän toimipaikka sijaitsee unionin alueella (ei väliä tehdäänkö käsittely itsessään unionin alueella)
sovelletaan ht käsittelyyn, vaikka rekisterinpitäjän/ht käsittelijän toimipaikka ei ole unionissa, jos se liittyy
a) tavaroiden tai palveluiden tarjoamiseen rekisteröidyille unionissa
b) rekisteröityjen unionissa tapahtuvaan käyttäytymisen seuraamiseen
AINEELLINEN SOVELTAMISALA
sovelletaan, kun ht käsittely on osittain tai kokonaan automaattista
sovelletaan, kun ei ole automaattista, mutta henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa
EI SOVELLETA:
-toiminnassa, joka ei kuulu unionin lainsäädännön soveltamisalaan
-lh ht käsittelyyn henkkkoht tai kotitaloutta koskevassa toiminnassa
-yhteisessä ulko- ja turvallisuuspolitiikassa
-oh ja oh muodossa perustettujen yritysten ht käsittelyyn
-kuolleiden ht käsittelyyn
Kansallinen tietosuojalaki
TsL
Sovelletaan täydentävästi ja tarkentavasti TsA kanssa, ei tulkita itsenäisesti.
AINEELLINEN SOVELTAMISALA
Sama kuin TsA eli:
kokonaan tai osittain automaattista
ei automaattista, mutta ht muodostaa tai tulee muodostamaan rekisterin osan
Mutta lisäksi myös toiminnassa, joka ei kuulu unionin lainsäädännön soveltamisalaan ja yhteisessä ulko-ja turvallisuuspolitiikassa
EI eduskunnan valtiopäivätoimintaan
ALUEELLINEN SOVELTAMISALA
?? EU:n alueella sijaitsevan rekisterinpitäjän tai ht käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.
Jos ht käsittelyyn sovelletaan vieraan valtion lakia ja sillä poiketaan TsA rekisteröidyn suojaksi säädetyistä oikeuksista, TsL 31 §:n suojatoimia rekisteröidyn suojaksi on noudatettava (tieteelliset, historialliset tutkimustarkoitukset, tilastolliset tarkoitukset)
Kaikkia TsA artikloja ei TsL 27 §:n mukaan sovelleta ht käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten
Henkilötietojen suojan sääntely
1, PL 10.1 §: Henkilötietojen suojasta säädetään tarkemmin lailla.
EU:n peusoikeuskirja 8 art: Jokaisella on oikeus ht suojaan. Tietojen käsittelyn on oltava asianmukaista, tiettyä tarkoitusta varten tapahtuvaa ja asos suostumuksella tai laissa säädetyn oikeuttavan perusteen nojalla tapahtuvaa.
Riippumaton vo valvoo näiden sääntöjen noudattamista.
asianmukaisuusvaatimus
käyttötarkoitussidonnaisuus
suostumus tai lakiperuste
oikeus tutustua ja oikaista omat tiedot
Jos rekisteröity haluaa vedota tietosuoja-asetuksen mukaisiin oikeuksiinsa ja viranomainen kieltäytyy oikeuksien toteuttamisesta,
-voi rekisteröity joko saattaa asian
tietosuojavaltuutetun käsiteltäväksi
-tehdä
kantelun ylimmille laillisuusvalvojille
-pyytää rekisterinpitäjänä toimivalta
viranomaiselta hallintopäätöstä
Rikosasioiden tietosuojalain 56 §:n mukaan rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi (toimenpidepyyntö),
hallintolaissa säädetyn hallintokantelun tekeminen rekisterinpitäjänä toimivasta viranomaisesta sitä valvovalle viranomaiselle. Niin ikään tehokkaisiin oikeussuojakeinoihin kuuluu rekisteröidyn mahdollisuus tehdä kantelu julkista tehtävää hoitavasta rekisterinpitäjästä ylimmille laillisuusvalvojille
Tietosuoja on vaatimuksia ja velvollisuuksia, jotka turvaavat rekisteröidyn perusoikeuksia
L(OH)LL(SK)A
läpinäk, oikeusturv hyvhal, lainmuka, luottamuks, saatav ja käyttökelp, ajantasais
REKISTERÖIDYN OIKEUDET HT KÄSITTELYSSÄ
Tiedollinen itsemääräämisoikeus
-oikeus pitää salassa – oikeus julkistaa
-oikeus saada tietoa – tulla informoiduksi
-oikeus vaikuttaa keräämiseen ja käyttöön – vaikuttaa luovuttamiseen
-oikeus tarkastaa – oikeus korjauttaa/oikaista
ITSEÄÄN KOSKEVIA TIETOJA
LÄPINÄKYVYYS JA OIKEUS SAADA TIETOA
Jos informointia ei toteuteta rekisteröidylle säädetyn mukaisesti, ei henkilötietojen käsittelylle ole edellytyksiä, vaikka oikeusperuste olisi olemassa.
rekisterinpitäjän informointivelvollisuus, kun käsitellään ht
Rekisterinpitäjällä on myös osoitusvelvollisuus, että tieto on esitetty rekisteröidylle.
Kun
rekisterinpitäjä kerää ht REKISTERÖIDYLTÄ
, on annettava nämä tiedot:
-rekisterinpitäjän nimi ja yhttiedot
-tietosuojavastaava
-ht käsittelyn tarkoitukset ja oikeusperuste
-luovuttaessa ht vastaanottajat
-säilyttämisaika
-rekisteröidyn oikeus pyytää pääsyä omiin tietoihin / korjaamiseen /oikaisuun/ poistamiseen
-valitusoikeus
Kun
ht saadaan muualta kuin rekisteröidyltä
annettava nämä tiedot
-kohtuullisessa ajassa (kk) ht saamisesta
-ht käytetään viestintään asos kanssa, niin kun ollaan ekaa kertaa yhteydessä
-ht luovuttaessa toiselle vastaanottajalla, niin kun se tehdään ekan kerran
Ei tarvitse informoida
-rekisteröity saanut jo tiedot
-tietojen toimittaminen mahdotonta tai kohtuutonta
-tiedot on pidettävä luottamuksellisena, koska vaitiolovelvollisuus tai salassapitovelvollisuus
informointi täytyy tehdä
tiiviisti esitetyssä
läpinäkyvässä
helposti ymmärrettävässä
saatavilla olevassa muodossa
selkeällä ja yksinkertaisella kielellä
Kun
rekisterinpitäjä saa MUULTA kuin rekisteröidyltä
-rp:n nimi ja yhteystiedot
-tietosuojavastaavan yhteystiedot
-ht käsittelyn tarkoitukset ja oikeusperuste
-kyseessä olevat ht-ryhmät
-ht vastaanottajat
-siirto kolmanteen maahan
-säilytysaika
-oikeutetut edut jos perustuu siihen
-oikeus pyytää pääsy itseä koskeviin ht
-oikeus peruuttaa suostumus
-valitus valvontaviranomaiselle
velvollisuudesta toimittaa tiedot rekisteröidylle voidaan poiketa, jos se on välttämätöntä
valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi,
rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai
julkiseen talouteen liittyvän valvontatehtävän vuoksi.
OIKEUS TUTUSTUA JA TARKISTAA OMAT TIEDOT
Käsitelläänkö ht?
Kyllä. Nämä tiedot ilmoitettava rekisteröidylle
-käsittelyn tarkoitukset
-kyseessä olevat ht ryhmät
-tietojen vastaanottajat
-säilytysaika tai määrittämiskriteerit
-oikeus pyytää tietojen oikaisemista, poistamista, rajoittamista tai vastusamista
-oikeus tehdä valitus valvontavo:lle
-tietojen alkuperä
-automaattisen päätöksenteon olemassaolo
Rekisterinpitäjän on varmistuttava, että pyynnön tehnyt on juuri asos rekisteröity. sähk tunnistautuminen tai asiointipiste +esim passi
Rekisterinpitäjän on käsiteltävä pyyntö viipymättä 1kk(+2kk) (pitää perustella ilman pyyntöä viivästyminen)
Jos rekisterinpitäjä ei toteuta pyyntöä tutustua rekisteröidyn omiin tietoihin, on siitä ilmoitettava viipymättä max 1kk kuluessa. (ilmoitettava perusteet, valitusoikeudet)
velvottaa rekisterinpitäjän dokumentoimaan kaikki tietolähteet ja tahot, joille tietoja on luovutettu.
oikeus tutustua omiin tietoihin on maksutonta, mutta useammat jäljennökset voivat vaatia hallinnollisiin kuluihin maksun tai kieltäytyä kokonaan (perusteettomuus tai kohtuuttomuus)
Tarkastusoikeus vaatii dokumentoinnin ja säilytysajan
vaivattomasti ja kohtuullisin väliajoin
henkilökohtainen oikeus
rekisterinpitäjän on toimitettava rekisteröidylle jäljennökset käsiteltävistä ht
OIKEUS VAATIA TIETOJEN OIKAISUA, POISTAMISTA TAI KÄSITTELYN RAJOIT
oikeus että rekisteröidyn tietoja käsitellään ajantasaisin tiedoin, kun niillä on häneen oikeudellisia vaikutuksia
EDELLYTYKSET POISTAMISEEN
ht ei enää tarvita alkper tarkoituksiin
rekisteröity peruuttaa suostumuksen
rekisteröity vastustaa käsittelyä, eikä käsittelyyn ole perusteltua syytä
ht on käsitelty lainvastaisesti
Poisto-oikeutta ei ole, jos käsittely on tarpeen
-sananvapautta ja tiedonvälityksen vapautta varten
-rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi on käsiteltävä(yleinen etu tehtävä
-kansanterveyteen liittyvä yleinen etu
-arkistointitarkoitukset, tieteelliset, historialliset tai tilastolliset tarkoitukset
-oikeudellisen vaateen laatimiseksi jne
Poikkeukset tarkoittavan muun muassa sitä, että julkisessa hallinnossa tapahtuvaan henkilötietojen käsittelyyn liittyen rekisteröidyillä ei ole oikeutta vaatia tietojensa poistamista
Poisto-oikeutta koskeva sääntely tulee sovellettavaksi lähinnä yksityisellä sektorilla, koska julkisessa hallinnossa tapahtuvaan ht käsittelyyn poisto-oikeutta ei poikkeuksien perusteella ole.
Jos ht käsittelyä on rajoitettu, voi niitä käsitellä vain suostumuksella.
KIELTO-OIKEUS
rekisteröity kieltää ht käsittelyn
Vastustusoikeus koskee yleistä etua koskevan tehtävän suorittamiseksi, rekistpitäjän julkisen vallan käyttämiseksi, oikeutettuun etuun koskevan ht käsittelyä, jos sille on
erityinen henkkoht syy
kielto-oikeus ei toimi, jos käsittelyllä on huomattavan tärkeä ja perusteltu syy tai se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi
kielto-oikeus ei ulotu myöskään viranomaisen lakisääteisten velvoitteiden noudattamiseen
kielto-oikeus ei ulotu viranomaisissa tapahtuvaan ht käsittelyyn, koska sen peruste on PL 2.3 §:n mukainen lakisääteisten velvotteiden noudattaminen
PL 2.3 §: Julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia.
suoramarkkinointi perustuu suostumukseen, saa aina vastustaa ht käsittelyä markkinointia varten
REKISTERÖIDYN OIKEUKSIEN RAJOITTAMINEN
jos välttämättömiä ja oikeasuhtaisia
-kansallinen turvallisuus
-puolustus
-yleinen turvallisuus
-rikosten estäminen, tutkinta, syytteet
-vakava vaara terveydelle tai hoidolle
-aiheuttaa olennaista vahinkoa rekisteröidylle eikä käytetä rekisteröityä koskevaan päätöksentekoon
jos rajoitetaan, on lainsäädännössä oltava näitä asioita koskevia artikloita
-käsittelytarkoitus
-htryhmät
-rajoitusten soveltamisala
-suojatoimet
-säilytysajat
-riskit
ilmoitettava rajoituksen syy, jos se ei vaaranna rajoituksen tarkoitusta
OIKEUS SIIRTÄÄ OMAT TIEDOT JÄRJESTELMÄSTÄ TOISEEN
-Ei saa käyttää niitä vastaan, joiden julkisiin velvollisuuksiin ht käsittely kuuluu (lakisääteinen velvote)
-sääntelyn ulkopuolelle viranomaistoiminta ja muut julkiset tehtävät, joissa käsitellään ht
-oikeus koskee rekisteröidyn itse toimittamia ht
-pitää olla suostumus tai sopimus ja automaattista
REKISTERINPITÄJÄN OIKEUS KÄSITELLÄ HT
Rekisterinpitäjällä varmistusvelvollisuus, että ht käsittelyn vaatimukset on otettu huomioon ja myös toteutuu
riskiperusteinen suunnittelu ja ht käsittelyn hallinta, jonka pohjalta tarvittavat tekniset ja organisatoriset toimenpiteet
RISKIENKARTOITUS
-ht käsittelyprosessit
-mitä ht missäkin prosessissa ja tietojärjestelmässä
-tietoturvavaatimukset
-miten ajantasaisuus varmistettu
-missä säilytetään ht
-ketkä käsittelee ht
-onko ohjeistus ja koulutus ajantasai
-ht luovutuskäytännöt?
OSOITUSVELVOLLISUUS
=rekisterinpitäjän on pystyttävä osoittamaan, että ht käsittelyssä noudatetaan niiden käsittelyä koskevia periaatteita
PERIAATTEET
lainmukaisuus
=perustuttava lakiin
läpinäkyvyys
=informointi helposti saatavilla ja ymmärrettävissä
asianmukaisuus
=asianmukaisesti perusteltu käsittelytarkoitukseen
käyttötarkoitussidonnaisuus
=kerättävä ht tiettyä, nimenomaista ja laillista tarkoitusta varten
minimointi
=toteuttaa tarpeellisuusvaatimusta, olennaisia ja rajoitettuja
täsmällisyys
=tarpeellinen ajantasaisuus ja virheettömyys, huolellisuusvaatimus
säilytyksen rajoittaminen
=rekisteröity tunnistettavissa vain niin kauan kuin tarpeellista
luottamuksellisuus ja eheys
= asianmukainen turvallisuus
osoitusvelvollisuus
LLAKMTSL
täytyy pystyä osoittamaan
ht käsittelyn suunnittelussa otettu vaatimukset huomioon tekn ja organ toimenpiteissä
varmistettu tekn ja organ toimenpiteillä että pyritään noudattamaan tietosuojan vaatimukset
suunnitteluvelvollisuus
varmistamisvelvollisuus
erityinen osoitusvelvollisuus
=suostumuksen hankkimisesta ja olemassaolosta, jos suostumus on oikeusperusteena
evidenssit
-selosteet
-informoinnit
-käsittelyprosessien kuvaukset
-vaikutustenarvioinnit
-ht käsittelyn ohjeet
-koulutus- ja perehdytyssuunnitelma
-tietosuojavastaavan raportit
Jos informointia ei tehdä rekisteröidylle joko ollenkaan tai tosiasiallisesti tietosuoja-asetuksen edellyttämällä tavalla, ei käsittelylle ole olemassa laillisia perusteita, koska informointi on edellytys käsittelylle
sisäänrakennettu ja oletusarvoinen tietosuoja
= ht käsittely suunnitellaan ennalta toteuttamalla rekisteröidyn oikeudet ja vapaudet riskiperusteisella suunnittelulla
VAIKUTUSTENARVIOINTI
Riskien arviointi ja riskiperusteinen suunnittelu kuuluvat tietosuoja-asetuksen 24 (1) artiklan perusteella rekisterinpitäjän vastuulle, joten riskien arviointi on tehtävä aina, kun rekisterinpitäjä ottaa uutta teknologiaa käyttöön, mutta jos tämän riskiarvioinnin perusteella ilmenee korkeita riskejä, on tehtävä tietosuoja-asetuksessa säädetty tietosuojan vaikutustenarviointi.
Aina riskienarviointi --> tarvittaessa myös vaikutustenarviointi
Vaikutustenarviointi tehtävä, jos
lh
henkk koht ominaisuuksien
järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, ja on oikeusvaikutuksia
laajamittainen käsittely
erit htryhmiin tai rikostuomioihin
3.
yleisölle avoimen alueen
järjestelmällinen laajamittainen valvonta
TsA 35 art: vaikutustenarviointi tehtävä jos
1.käsitellään biometriset tiedot yksiselitteistä tunnistamista varten
käsitellään geneettisiä tietoja
käsitellään sijaintitietoja
rekisterinpitäjä poikkeaa informointivelvollisuudesta
ja lisäksi käsitellään hlön arvioimiseksi, automaattinen päätöksenteko+oikeusvaikutus, käsitellään laajamittaisesti, järjestelmällisen valvonnan yhteydessä, heikossa asemassa oleva rekisteröity
sisällettävä nämä tiedot
kuvaus käsittelytoimista ja tarkoituksista
arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta
arvio riskeistä oikeuksiin ja vapauksiin
toimenpiteet riskeihin puuttumiseksi
rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidyn oikeuksille ja vapauksille, ¦ ja jos 140 rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi. Siten ennakkokuulemisvelvollisuus muodostuu, kun riskejä ei voida minimoida tai pienentää riittävästi.
8vk+6vk
Tietosuojavastaava ei kuitenkaan tee vaikutustenarviointia, koska se on säädetty rekisterinpitäjän tehtäväksi
SELOSTE KÄSITTELYTOIMISTA
rekisterinpitäjän nimi ja yhteystiedot, tietosuojavastaava
käsittelyn tarkoitukset
kuvaus ht ryhmistä
ht vastaanottajien ryhmät
siirtäminen kolmanteen maahan?
poistamisen määräajat, säilytysajat
tekn ja organ turvatoimet
myös ht käsittelijän tehtävä
Rekisterinpitäjän velvollisuus, TsA
ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää
organisaation sisäistä käyttöä varten
Henkilötietojen käsittelyä koskevan pakollisen sopimuksen sisältövaatimukset
-viittaukset kirjallisiin ohjeisiin ja velvollisuuteen noudattaa niitä
-viittaukset salassapitovelvollisuuteen
-sitouttaminen noudattamaan tekn ja organ toimenpit
-alihankinnan rajoitukset
-tietoturvaloukkausten käsittelyn menettelyt
HT KÄSITTELYN OIKEUSPERUSTEET JA EDELLYTYKSET
SUOSTUMUS
-vapaaeht, yksil, tietoin, ykssel
-osoitusvelvollisuus
-otettava huomioon tilanne ja rekistpit ja rekist suhde
Rekisterinpitäjän ja rekisteröidyn välillä on epäsuhta, kun rekisterinpitäjä on viranomainen. Suostumusta ei voi tästä syystä käyttää viranomaistoiminnassa. Suostumusta voi käyttää kuitenkin viranomaisessa tietojen luovutukseen vaikuttavana tekijänä.
Suostumusta koskeva pyyntö on oltava sisällöltään
selkeä ja ymmärrettävä
sekä siitä on ilmettävä mihin
tarkoituksiin
tietoja aiotaan käsitellä. Suostumusta koskevassa pyynnössä on oltava tiedot rekisterinpitäjästä sekä rekisteröidyn oikeudesta
peruuttaa suostumus
ja tieto siitä,
millä tavalla
rekisteröity voi peruuttaa suostumuksen ja että peruuttaminen ei vaikuta niihin edellytyksiin, joilla henkilötietoja on käsitelty ennen peruuttamista
suostumus erillään muista ehdoista
rp:n pystyttävä osoittamaan ja todentamaan jälkikäteen
sisällöltä selkeä
rekisteröity ymmärtää
ei voi häiritä palvelun käyttöä
suora toimi, esim. rasti ruutuun
ei vaikeneminen tai toimen tekemättä jättäminen
SOPIMUKSEN TEKEMINEN /TÄYTÄNTÖÖNPANO
-yksityinen terveydenhuolto
-kanta-asiakkuus
-vuokraaminen
-usein sopimuksen taustalla oikeutettu etu tai lakisääteiset velvollisuudet (koulu, potilas)
LAKISÄÄTEINEN VELVOITE
-rekisterinpitäjällä
-viranomaisten toiminta lakisidonnaista (PL: julk val käyt tul per lak) --> kyseeeen vo:ssa usein
-esim. työntekijän eläke ja tapaturmavakuutukset
ELINTÄRKEÄ ETU
-rekisteröidyn tai toisen lh
-silloin kun ei ole muuta oikeusperustetta
-tiedottaminen luonnonkatastr
-tiedottaminen poikkeusoloista
-ajallisesti vain lyhyen hetken voi käsitellä ht
YLEINEN ETU TAI JULKISEN VALLAN KÄYTTÖ
-yhteiskunnan kokonaisetu tai yksilöiden edut
-ympäristön suojelu, ihmisoikeuksien edistäminen
-julkinen vallan käyttö esim kun julkinen hallintotehtävä annetaan yksityiselle
yleisen edun perusteella saa käsitellä jos
-kuvaa hlön asemaa, tehtäviä julkisyhteisössä, elinkeinoelämässä (luottamushenkilöiden nimet)
-tarpeen ja oikeasuhtaista yleisen edun tehtävää varten
-tiet, historial, tilas, arkistointi
6.RP OIKEUTETUT EDUT
-toissijainen ja täydentävä
-ei voi käyttää vo:ssa
-jäsenyys, asiakassuhd
-yhdistysten jäsienrekisteri
-suoramarkkinointi asiakassuhteessa
-tasapainotesti
ERITYISET HTRYHMÄT
lähtökohtaisesti käsittely on kiellettyä
TsA voidaan sallia, jos
-nimenomainen
suostumus
-
elintärkeiden etu
jen suojaaminen
-ht saatettu lh:n tiedosta
julkisiksi
-tarpeen
oikeusvaateen
laatimiseksi
-ennalta ehkäisevää tai
työterveyshuoltoa
-
kansanterveyden
yleinen etu
-arkistointi, tiet, historial, tilastol tarkoitus
TsL käsittelykieltoa ei sovelleta:
-vakuutustoiminnassa saatuihin tietoihin (terveydentila, sairaus, vammaisuus)
-laissa säädetty tehtävä
-etuuuksia käsittelee sosiaalihuollon tarjoaja
-tiet historial tai tilastoint
Henkilötunnus
saa käsitellä vain yksikäsitteisen
suostumuksen
tai lain nimenomaisen
säännöksen
perusteella
-laissa säädetty tehtävä
-rekisteröidyn ja rpn
oikeuksien ja velvoll t
oteuttamiseksi
-historial tai tiet tai tilastointia varten
-luotonannoss
-vakuutus
-luottotieto
-terveydenhuolto
-työsuhde
Ei ole erityinen ht, ei ole arkaluonteinen, ei ole salassapidettävä
profilointi
=ht automaattinen käsittely, jonka tarkoituksena on henkkoht ominaisuuksien arviointi
kiellettyä, jos on oikeusvaikutus rekisteröityyn tai muuten merkittävästi vaikuttaa
ei ole kiellettyä, jos välttämätön sopimukselle, se on hyväksytty kans lainsäädännössä, perustuu rekisteröidyn suostumukseen JA VÄLTTÄMÄTÖNTÄ
oikeutettu etu ja suostumus ei tule kyseeseen vo:n käsittelyperusteina
TIETOJENKÄSITTELYN TURVAAMINEN JA TIETOJEN SUOJAAMINEN
Tekniset ja organisatoriset toimenpiteet
Toimintavelvollisuus kohdistuu rp ja ht käsittelijään
pakollinen organisatorinen toimi rp:llä: ht käsittelyn ohjeiden laatiminen
ohjeissa: keneltä ja missä laajudessa tietoja kerätään? kenellä oikeus käsitellä? kenellä vastuu säilytyksestä? miten säilytys järjestetty? kenelle voi luovuuttaa, miten ja kuka päättää? kenen vastuulla ja miten ne tuhotaan?
toimintavelvollisuus --> noudattamisvelvollisuus
teknis ja organis toimenpiteiden suunnittelu- ja toteuttamisvelvollisuus
rp:n toteutettava lakisääteiset velvollisuutensa ja tehtävänsä ja turvatta rekisteröidyn oikeudet myös jos tietojärjestelmä ei ole käytettävissä
salaus, pseudonymisointi, luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden kuvaus, kyky palauttaa tietojen saatavuus
käytännesäännöt
= kerääminen, tiedotus, rpn edut, läpinäkyvyys, tietoruvaloukkauksista ilmoominen
toimialakohtaisia ja ne edesauttavat tietosuojalainsäädännön soveltamista. Käytännesäännöt laatineen tahon on mahdollista toimittaa aikaansaadut ehdotukset tietosuojavaltuutetulle.
mahdollisuus, ei velvollisuus
Tietoturvallisuus
luottamuksellisuus
= tiedot vain niihin oikeutettujan saatavilla
eheys
= vain oikeutetut voi käyttää tietoja --> alkper ja ajantasaiset
saatavuus
= tiedot oikeutettujen hyödynnettävissä
asiakirjajulkisuus ja viranomaistoiminnan sekä yksilön oikeuksien turvaaminen vaikuttaa
tiedot saatavilla ja hyödynnettävissä halutulla tavalla ja haluttuna aikana
suhteellisuusperiaate
Tietoturvaloukkaus
tietoturvaloukkaus, jonka
seurauksena
siirretyt, tallennetut tai muuten käsitellyt ht
vahingossa tai lainvastaisesti
tuhoutuu, häviää, muuttuu tai pääsee tietoihin
tietojen katoaminen, muistitikun katoaminen, postilähetyksen katoaminen, tietojen urkinta, tietojen lähettäminen väärälle hekilölle
ilmoitettava toimivaltaiselle vo:lle 72h, paitsi jos todnäk ei aiheudu riskiä
ilmoituksessa kuvattava tietoturvaloukkaus, rekisteröityjen lkm, ryhmät, tietosuojavastaavan nmi ja yhteystiedot, seuraukset, toimenpiteet joilla ehkäistään
dokumentointivelvollisuus toimista
Rp:n on pakko laatia ht käsittelyä koskevat ohjeet, koska ht ei saa käsitellä muuten kuin rp:n ohjeiden mukaisesti
JulkL: tietojen luovutus
TsA: tietojen käsittely
JULKISUUSLAKI ON ENSISIJAINEN LAKI, KUN
LUOVUTETAAN
HENKILÖTIETOJA!!!!!!!!!! TsA toissijainen