Koulutus Otavan opistolla, 2.5.2018, Harto Pönkä, Innowise

1. GDPR-työkaluja
Harto Pönkä
2.5.2018

2. GDPR:n keskeisiä työkaluja
Työkalu ja linkkejä ohjeisiin Miksi ja milloin
Henkilötietojen käsittelyn nykytilan arviointi
• https://opitietosuojaa.fi/index.php/fi/extrat/blogi/109-nait-teet-
tietosuojan-nykytila-analyysin
Esimerkiksi tietotilinpäätös
• http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2012/
04/mikaontietotilinpaatos.html
Henkilötietojen käsittelyn nykytilanteen arviointi ja kehitystarpeiden
tunnistaminen.
Tehtävä tietosuoja-asetukseen valmistautuessa ja jatkossa
toiminnan seuraamiseksi ja kehittämiseksi.
Rekisterinpitäjän oikeutetun edun tasapainotesti
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterin
pitajalle/rekisterinpitajanoikeutettuetu.html
Tasapainotesti on tarpeen sen arvioimiseksi, käykö rekisterinpitäjän
oikeutettu etu henkilötietojen käsittelyn oikeusperusteeksi.
Henkilötietojen käsittelyn vaikutustenarviointi
• http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitar
ekisterinpitajalle/vaikutustenarviointi.html
Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn
todennäköisesti kohdistuu korkea riski.
Rekisteriseloste (seloste käsittelytoimista)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/selostekasittelytoimista.html
Rekisterinpitäjän tai henkilötietojen käsittelijän organisaation
sisäiseen käyttöön. Olennainen väline toteuttaa GDPR:n
osoitusvelvollisuus. Pakollinen yli 250 hengen organisaatioissa.
Tietosuojaseloste (rekisteröityjen informointi)
• http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekiste
rinpitajalle/informointikaytannot.html
• http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/4dCR8ypl9/Informointivelv
oitteen_edellyttamat_tiedot.pdf
Toteuttaa rekisterinpitäjän informointivelvollisuuden
rekisteröidyille. Oltava saatavilla tai osoitettava muutoin.
Sopimus henkilötietojen käsittelystä
• https://sopimustieto.fi/sopimus/5aPxRa-
sopimus_henkilotietojen_kasittelysta_ns_gdpr_sopimus
Kun henkilötietoja annetaan organisaation ulkopuoliselle
henkilötietojen käsittelijälle käsiteltäväksi rekisterinpitäjän lukuun.
Esim. osallistujalistojen anto ulkopuoliselle kouluttajalle tai tietojen
tallennus pilvipalveluun.

3. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn
nykytilasta ja kehitystarpeista
• Arviointi sisältää esimerkiksi:
– Mitä henkilötietoja organisaation hallussa on
– Miten tietosuojaperiaatteet on otettu huomioon
– Toimintaan liittyvät henkilötietovirrat
– Henkilötietojen käsittelyn oikeusperusteet
– Miten tietoturvasta on huolehdittu
– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu
• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.
pdf
• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen
sisällöstä, sillä se on viime kädessä vastuussa
Henkilötietojen nykytilan arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

4. https://mm.tt/1086137801?t=EaIWm6QLmI

5. Tasapainotesti: oikeutettu etu
Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/rekisterinpitajanoikeutettuetu.html
1. Onko oikeutettu etu sopivin
käsittelyperuste?
2. Täyttyvätkö perusvaatimukset?
Laillinen, selkeästi ilmaistu ja
todellinen tarkoitus ja tarve.
3. Onko henkilötietojen käsittely
tarpeen edun saavuttamiseksi?
4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet?
Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet
• Tietojen käsittelyn täytyy olla tarpeen, jonkin
perusoikeuden toteuttamiseksi (esim. sananvapaus,
taiteen ja tutkimuksen vapaus, elinkeinovapaus)
• Myös yleinen tai yhteisön etu voi olla oikeutettu (esim.
hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt).
• Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn,
joka on lähellä jotain muuta tarkoitusta, johon on muu
oikeusperuste (esim. sopimus).
• Esimerkkejä: suoramarkkinointi, tieteellinen ja
historiallinen tutkimus sekä tilastointi, henkilötietojen
siirtäminen hallinnollisista syistä konsernin sisällä.
• Arkaluontoisten tietojen ja salassa pidettävien
henkilötietojen käsittelylle on korkeammat vaatimukset.
• Huomioi sekä konkreettiset että mahdolliset seuraukset.
Esim. mahdollisuus käyttää tietoja syrjivästi ja
rekisteröidylle aiheutuva mielipaha.
• Arvioi riskien todennäköisyys, epävarmuustekijät ja
seurauksien mahdollinen vakavuus.
• Käsittely ei saa olla rekisteröidylle odottamatonta.
• Heikossa asemassa olevien rekisteröityjen kuten lasten ja
muiden haavoittuvassa asemassa olevien oikeuksien
toteutumisessa on oltava huolellisempi.
5. Varmista tietosuojan lisätakeet
Tekniset ja toiminnalliset keinot, joilla
vähennetään henkilötietoihin kohdistuvia
riskejä. Esim. tietojen minimointi,
anonymisointi ja korkea tietoturva.
6. Osoita toiminnan lainmukaisuus ja
varmista avoimuus
Dokumentoi tasapainotestin suoritus ja
valmistaudu selittämään käsittelyn
perusteet rekisteröidyille.
vs.

6. GDPR:n vaikutustenarviointi

7. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä.
• Vaikutustenarviointi tulee tehdä erityisesti, kun:
– otetaan käyttöön uutta teknologiaa
– käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten
terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista
– on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
– on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi
riskialtista käsittelytoimea (ks. ao. ohje).
• Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee
rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen).
• Vaikutustenarviointia tulisti tarkistaa ja päivittää säännöllisesti.
• Ohje vaikutustenarvioinnista:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tieto
suojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa_koskeva
sta_vaikutustenarvioinnista.pdf
Milloin on tehtävä vaikutustenarviointi?
Lähde: Tietosuojavaltuutetun toimisto, 2017,
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html

8. Vähintään 2 riskiä  vaikutustenarviointi
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä
1. Arviointi tai pisteytys Esim. käyttäytymis- tai
markkinointiprofiilien koostaminen.
2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia
merkittäviä vaikutuksia *
Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi,
jota voitaisiin käyttää esim. syrjintään.
3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen
kameravalvonta.
4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim.
taloustiedot ja yksityiset päiväkirjat.
5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus
väestöstä, pitkäkestoisuus.
6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö
tai soveltaminen *
Uusiin ratkaisuihin voi liittyä riskejä, joita
ei havaita helposti.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta.
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

9. Esimerkkejä vaik.arvioinnin tarpeesta
Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko
todennäköisesti
vaikutustenarviointi?
Yritys seuraa järjestelmällisesti työntekijöidensä
toimintaa, esimerkiksi työntekijöiden työasemia ja
toimintaa internetissä jne.
- Järjestelmällinen valvonta
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
KYLLÄ
Sosiaalisen median julkisten tietojen kerääminen
profiilien laatimiseksi.
- Arviointi tai pisteytys
- Tietojen laajamittainen käsittely
- Tietokokonaisuuksien sovittaminen
yhteen tai yhdistäminen
- Arkaluontoiset tiedot tai luonteeltaan
hyvin henkilökohtaiset tiedot
KYLLÄ
Heikossa asemassa olevia rekisteröityjä koskevien ja
peitenimellä tallennettujen, tutkimushankkeisiin tai
kliinisiin tutkimuksiin liittyvien arkaluontoisten
henkilötietojen tallentaminen arkistointitarkoituksiin.
- Arkaluontoiset tiedot
- Heikossa asemassa olevia rekisteröityjä
koskevat tiedot
- Estää rekisteröityjä käyttämästä
oikeutta tai palvelua tai sopimusta
KYLLÄ
(useita kriteereitä)
Verkkolehti käyttää postituslistaa päivittäisen
yleiskoosteen lähettämiseen tilaajilleen
- Tietojen laajamittainen käsittely EI
(vain 1 kriteeri)
Sähköisen kaupankäynnin verkkosivustolla esitetään
museoajoneuvojen osia koskevia ilmoituksia, joihin
liittyy kyseisellä verkkosivustolla katsottuihin tai
hankittuihin tavaroihin perustuva rajoitettu profilointi
- Arviointi tai pisteytys EI
(vain 1 kriteeri)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

10. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

11. Vaikutustenarvioinnin
kriteerit
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/ti
etosuojavaltuutettu/tietosuojavaltuutetuntoimist
o/oppaat/ibVehxmcp/Ohjeet_tietosuojaa_kosk
evasta_vaikutustenarvioinnista.pdf

12. Sopimus henkilötietojen käsittelystä

13. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä

14. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteri- ja
tietosuojaseloste
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen

15. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1

16. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/