Tietosuoja-asetuksen täytäntöönpanosta uusia ohjeita ‒ aiheina vaikutustenarviointi, automatisoidut yksittäispäätökset ja profilointi sekä henkilötietojen tietoturvaloukkauksista ilmoittaminen

Julkaistu 18.10.2017

EU:n tietosuojaviranomaisista koostuva WP29-tietosuojatyöryhmä on julkaissut päivitetyn ohjeen vaikutustenarvioinnista. Työryhmä julkaisi myös automatisoituja yksittäispäätöksiä ja profilointia sekä henkilötietojen tietoturvaloukkausten ilmoittamista koskevat ohjeet, joita on mahdollista kommentoida 28.11.2017 asti.

WP29-tietosuojatyöryhmä hyväksyi lopullisen ohjeen vaikutustenarvioinnista muokattuaan sitä saatujen kommenttien perusteella. Myös automatisoituja yksittäispäätöksiä ja profilointia sekä tietoturvaloukkausten ilmoittamista koskevista ohjeista järjestetään julkinen kuuleminen. Ohjeita voi kommentoida 28. marraskuuta saakka sähköpostitse osoitteisiin JUST-ARTICLE29WP-SEC@ec.europa.eu ja presidenceg29@cnil.fr. Oppaita päivitetään saadun palautteen perusteella. Kuulemisesta voi lukea tarkemmin WP29-tietosuojatyöryhmän verkkosivuilta.

Tietosuojaa koskeva vaikutustenarviointi

EU:n yleisen tietosuoja-asetuksen mukaan tietosuojaa koskeva vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Vaikutuksia on arvioitava esimerkiksi silloin, kun käsitellään suuria määriä arkaluonteisia tietoja tai käytetään uutta teknologiaa. Tietosuoja-asetuksessa rekisterinpitäjän velvoitteet määritellään riskiperusteisesti. Velvollisuudet ja tarvittavat suojatoimet määräytyvät sen mukaan, kuinka riskialtista henkilötietojen käsittely on rekisteröidyn oikeuksille ja vapauksille.

WP29-tietosuojatyöryhmän julkaisema opas tarkentaa, milloin ja miten vaikutustenarviointi toteutetaan. Oppaassa kerrotaan vaikutustenarviointiin liittyvistä käytännöistä ja riskien määrittelystä.

Automatisoidut yksittäispäätökset, profilointi ja henkilötietojen tietoturvaloukkauksista ilmoittaminen

Tietosuoja-asetuksen mukaan rekisteröidyllä on lähtökohtaisesti oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tästä voidaan kuitenkin poiketa esimerkiksi silloin, kun päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.

Tietosuoja-asetuksessa säädetään myös rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Uusissa oppaissa kerrotaan aiheista tarkemmin ja esitetään esimerkkejä tietosuoja-asetuksen soveltamisesta.

Tulevia ohjeita

WP29-tietosuojatyöryhmän tavoitteena on julkaista ohjeet suostumuksesta, läpinäkyvyydestä, sertifioinnista ja päivitys kansainvälisistä tiedonsiirron välineistä viimeistään helmikuussa 2018. Läpinäkyvyyttä ja kansainvälisiä tiedonsiirtoja käsitellään WP29-tietosuojatyöryhmän työpajassa 18. lokakuuta. Työpajan tavoitteena on kuulla sidosryhmien mielipiteitä jo ohjeiden valmisteluvaiheessa. Työpajaan osallistuu myös tietosuojavaltuutettu Reijo Aarnio.

Ohjeet:

Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk" for the purposes of Regulation 2016/679 (pdf, 1.09 Mt)

Guidelines on Personal Data Breach Notification under Regulation 2016/679 (pdf, 0.8 Mt)

Guidelines on Automated Individual Decision-making and Profiling for the Purposes of Regulation 2016/679 (pdf, 0.78 Mt)

Lisätietoja:
tietosuojavaltuutettu Reijo Aarnio, puh. 02956 66730, reijo.aarnio(at)om.fi

EU:n tietosuojauudistus

Tietosuojatyöryhmä WP29:n verkkosivut (englanniksi)

Tiedotetta muokattu 18.10.2017 klo 15.07. Viimeiseen kappaleeseen lisätty tarkennus tulevista ohjeista: päivitys kansainvälisistä tiedonsiirron välineistä.

Avainsanat

tietosuojauudistus
Sivun alkuun |