HPP Asianajotoimisto Oy Osoite Bulevardi 1 A, 00100 Helsinki Puhelin +358 9 474 21 Terho Nevasalo Asianajaja, LL.M. terho.nevasalo@hpp.fi +358 40 5587581 GDPR TÄYTTÄÄ VUODEN | RIKKOMUKSET, SAKOT & SOVELTAMIS- KÄYTÄNTÖ TÄNÄÄN

§ Mistä tänä päivänä neuvotellaan DPA-sopimuksissa ja miksi? (DPA = Data Processing Agreement / henkilötietojen käsittelyä koskevat erityisehdot) § Millaisia sakkoja GDPR:n rikkomisesta on annettu ja miksi? TAUKO § Kokemuksia tietoturvaloukkauksia koskevien ilmoitusten laatimisesta – Käytännön kokemuksia siitä, mitä ilmoituksessa tulee ilmoittaa ja miten? § Cookiet ja niiden oikea käyttö verkkosivuilla – mitä uutta niiden osalta EU:sta (ePrivacy, yms.) Tilaisuus loppuu klo 11.15 2 Agenda

§ Henkilötietojen käsittelysopimuksen ”kuumimmat perunat” I. Toimittajan vastuuta henkilötietojen käsittelystä laajennetaan GDPR:n ulkopuolelle - Sen lisäksi, että toimittaja toimii GDPR:n mukaan (erit. 28 art.), vaaditaan vastaamaan siitä, että henkilötietoja käsitellään asiakkaaseen sovellettavien erityislakien mukaisesti (terveydenhuolto, työoikeus, vakuutus- ja pankkiala jne.) II. Asiakkaan oikeus antaa ohjeistusta käsittelystä - Ei voida sopimuksella rajoittaa à voi johtaa yllättäviin kuluihin ja toimintaprosessien muutokseen - Voidaan kuitenkin sopia, miten ohjeistus otetaan käyttöön à toimittajalla tulisi olla mahdollisuus arvioida ohjeistuksen vaikutus ainakin liiketoimintaprosesseihin, tietoturvallisuuteen ja kustannuksiin. Ohjeistuksen käyttöönotosta tulisi sopia erikseen III. Asiakas vaatii NDA:ta toimittajan työntekijöiltä - Asetus edellyttää, että käsittelijä huolehtii riittävien salassapitovelvoitteiden olemassa olosta (työsopimuksessa salassapitoehdot, NDA, lakimääräinen salassapitovelvollisuus) suhteen työntekijöihinsä - Asiakas vaatii oikeutta allekirjoittaa NDA:t suoraan työntekijöidensä kanssa à toimittaja ei voi pakottaa työntekijöitään allekirjoittaa kolmannen osapuolen kanssa solmittavaa NDA:ta 3 Mistä neuvotellaan - DPA

§ Henkilötietojen käsittelysopimuksen ”kuumimmat perunat” IV. Asiakkaan omat tietoturvavaatimukset (Data Security Policies) ja asiakas vaatii, että muutokset tietoturvassa tulee hyväksyttää asiakkaalla - Käytävä huolellisesti läpi ja ymmärrettävä tuovatko ne merkittäviä muutoksia tietoturvatoimenpiteisiin esim. toimittajan SaaS-ympäristössä. V. Auditointioikeuksien laajuus - Varmistettava, ettei muodostu velvollisuutta luovuttaa kolmannelle kuuluvaa liikesalaisuutta asiakkaan vaatiessa saada kaiken mahdollisen aineiston nähtäväksi auditoinnissa - Tulisi pyrkiä rajaaman auditointien määrää à esim. joka toinen vuosi ellei erityisen painavaa syytä auditoinnille - Rajattava vain asiakkaan aineistoon, kilpailija ei saisi tehdä auditointia, rajata selvästi auditointioikeus koskemaan vain käsittelijällä olevia tietoja. Alikäsittelijät rajataan auditointioikeuden ulkopuolelle à erimielisyyttä aiheuttava vaatimus VI. Kustannusjako rekisteröityjen pyyntöjen, tietoturva-audittien ja muiden rekisterinpitäjän avustamiseen liittyvien työkustannusten osalta - Pyrittävä varmistamaa mahdollisuus erillislaskutukseen à voi muodostua merkittävä kuluerä 4 Mistä neuvotellaan - DPA

§ Henkilötietojen käsittelysopimuksen ”kuumimmat perunat” VII. Henkilötietojen käsittelyn rajaaminen EU/ETA-alueelle - Selvittävä etukäteen miten missä käsittelijä/toimittaja käsittelee maantieteellisesti henkilötietoja. Jos käsitellään EU/ETA-alueen ulkopuolella à varmistettava asiamukaiset siirtoperusteet VIII. Tietojen palauttamiseen liittyvät erityisvaatimukset – backupien tuhoaminen - Asiakas vaatii myös backupien tuhoamista sopimuksen päättymisen jälkeen – miten toteutetaan ja kustannus sekä oikeus auditoida tuhoaminen? 5 Mistä neuvotellaan - DPA

§ Henkilötietojen käsittelysopimuksen ”kuumimmat perunat” IX. Alihankkijoiden käyttäminen käsittelyssä rajoitettua - Asiakas haluaa kieltää alihankkijoiden käyttämisen, vaihtamisen ja lisäämisen. Muutoksiin tarvittaisiin asiakkaan etukäteinen lupa - Asiakas pyrkii estämään alikäsittelijän omien alihankkijoiden käyttämisen (esim. Amazon ei saisi käyttää alihankkijoita) - Pyrittävä saada yleinen ennakollinen lupa alihankkijoiden käyttämiseen. Vapaus vaihtaa alihankkija, edellyttäen että uusi alihankkija toimii GDPR:n ja käsittelysopimuksen mukaisesti. Asiakkaalla on oikeus vastusta edellä mainittuja toimia à tulisi olla oikeus irtisanoa sopimus (vrt. IT2018 ETP) 6 Mistä neuvotellaan - DPA

§ Henkilötietojen käsittelysopimuksen ”kuumimmat perunat” X. Vahingonkorvausvastuut ja niiden rajaaminen - Asiakas vaatii rajoittamaton vastuuta vahingoista, jotka aiheutuneet a) rekisteröidyille, b) asiakkaalle, joka on rekisterinpitäjä - Pyrittävä saamaan DPA:n rikkomisesta aiheutuvat vahingot vastuunrajoituksen alle - Keskustelua aiheuttaa artiklan 82 5 mom. à Jos rekisterinpitäjä tai henkilötietojen käsittelijä on maksanut täyden korvauksen aiheutuneesta vahingosta, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus periä muilta samaan tietojenkäsittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa niiden vastuuta aiheutuneesta vahingosta. à Voiko vastuuta rajoittaa DPA:ssa suhteessa niihin vahinkoihin, joita esim. rekisterinpitäjä maksaa rekisteröidylle käsittelijän aiheuttaman rikkomuksen johdosta? à Vastuunrajaus sopimusosapuolten välillä on suositeltava (HUOM: IT2018 ehtojen vastuunrajaus) à HUOM: DPA usein sisältää laajempia velvoitteita kuin mitä GDPR edellyttää à vastuunrajoituksen merkitys korostuu 7 Mistä neuvotellaan - DPA

§ Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena on käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin § Seurauksena rekisteröidylle voi olla esim. omien henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos tai muuta merkittävää taloudellista tai sosiaalista vahinkoa § Tietoturvaloukkauksia voi olla esimerkiksi - Salaamattoman muistitikun häviäminen - Tietomurto, haittaohjelman pääsy järjestelmiin, palveluestohyökkäys - Henkilötietojen lähettäminen/luovuttaminen väärälle taholle - Henkilötietoihin pääsyn antaminen taholle, jolla ei ole laillista oikeutta päästä henkilötietoihin 8 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

§ Rekisterinpitäjän (käsittelijällä avustamisvelvollisuus) velvollisuutena arvioida tietoturvaloukkauksen vakavuus rekisteröidyn näkökulmasta § Mikä on loukkauksen vakavuus rekisteröidylle i) Ei aiheudu riskiä ii) Aiheutuu riski iii) Aiheutuu korkea riski § Riskiluokittelun perusteella valitaan jatkotoimenpiteet i) Kirjataan tietoturvaloukkauksen tiedot ja korjaavat toimenpiteet à dokumentointi ii) Tarvittaessa ilmoitetaan tietosuojavaltuutetulle (aiheutuu riski) sekä rekisteröidylle (aiheutuu korkea riski) 9 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

Riskiarviossa tulee huomioida § Henkilötietojen tyyppi, arkaluonteisuus ja määrä - Millaisiin henkilötietoihin loukkaus kohdistuu – ”tavallisiin” vai arkaluonteisiin (ns. erityiset henkilötietoryhmät) - Kohdistuuko loukkaus suureen määrään henkilötietoja? § Tietoturvaloukkauksen tyyppi - Minkälainen tietoturvaloukkaus kyseessä – tiedot julkisena internetissä, järjestelmävian takia pääsy tietoihin estyy, henkilötiedot toimitettu väärälle henkilölle jne. à arvio loukkauksen tyypistä vaikuttaa riskiin § Rekisterinpitäjän ja rekisteröidyn asema - Toimiiko rekisterinpitäjä esim. vakuutus-, pankki- tai terveydenhuollon alalla à riskiä nostava seikka - Kohdistuuko loukkaus esim. lapsiin tai muulla tavoin haavoittuvassa asemassa oleviin henkilöihin 10 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

Riskiarviossa tulee huomioida § Mahdollisten seurauksien arviointi - Mitä seurauksia tietoturvaloukkauksesta voi aiheutua à identiteettivarkaus, taloudellinen vahinko, maineen menetys jne. - Kenelle tiedot ovat päätyneet à rikollisille vai lähtökohtaisesti luotettavalle taholle (esim. väärälle terveydenhuollon yksilölle) 11 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

Mitä ilmoitetaan tietosuojavaltuutetulle § Selostus tapahtuneesta ja ajankohta - Milloin tietoturvaloukkaus tuli ilmi, milloin se alkoi ja päättyi - Tapahtuiko loukkaus rekisterinpitäjän vai käsittelijän vastuulla olevasta seikasta § Miten loukkaus havaittiin - Kuvaus siitä, että miten loukkaus tuli rekisterinpitäjän (tai käsittelijän) tietoon § Kuvaus tietoturvaloukkauksesta - Miten tietoturvaloukkaus tehtiin/syntyi, mahdolliset seuraukset, mihin tietoihin se kohdistui jne. - Oliko kyseessä esim. luvaton luovuttaminen/pääsy tietoihin, oikeudeton muuttaminen, tuhoaminen tai saatavuuden estyminen § Toimenpiteet ennen loukkausta - Mitä käytännön toimenpiteitä on tehty loukkauksen estämiseksi - Esim. tietojärjestelmien testaus/auditointi, asianmukainen tietoturva, henkilöstön koulutus jne. 12 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

Mitä ilmoitetaan tietosuojavaltuutetulle § Mitkä tiedot ovat olleet loukkauksen kohteena - Yksityiskohtainen kuvaus henkilötiedoista (henkilötunnus, yhteystiedot, sijaintitiedot, geneettiset tiedot jne.) § Mitä vahinkoa voi aiheutua rekisteröidyille - Taloudellinen vahinko, petos, identiteettivarkaus, mainehaitta, henkilötietojen leviäminen jne. § Tietoturvaloukkauksesta aiheutuneet korjaavat toimenpiteet - Millaisiin toimenpiteisiin on ryhdytty, jotta loukkaus ei uusiudu - Tietoturvatoimenpiteet, henkilöstön koulutus jne. § Onko ilmoitettu rekisteröidyille - Edellyttää riskiarviointia eli muodostuuko velvollisuutta ilmoittaa - Ei tarvetta ilmoittaa, jos ei aiheudu korkeaa riskiä 13 Tietoturvaloukkauksesta ilmoittaminen – mitä huomioitava

§ GDPR:n voimaantulon jälkeen Saksan tietosuojaviranomainen on määrännyt sakkoja yli 40:ssä asiassa, ja lisää on odotettavissa. § Saksan tietosuojaviranomainen määräsi ensimmäisen sakkonsa 21.11.2018 sosiaalisen median alan yritykselle, jonka käyttäjien tiedot kuten salasanat ja sähköpostiosoitteet paljastuivat hakkerihyökkäyksen vuoksi ulkopuolisille. Loukkaus kosketti noin 330.000 käyttäjää. § Viranomaisen tutkinnan seurauksena selvisi, että salasanat eivät olleet salatussa muodossa, mikä oli tehnyt hyökkäyksen helpommaksi. Säilyttämällä salasanoja normaalissa tekstimuodossa yhtiö oli rikkonut GDPR:n 32 artiklaa. § Sakkoa 20.000 euroa, jonka määräämisessä viranomainen otti huomioon yhtiön yhteistyöhalukkuuden, halukkuuden parantaa omia tietoturvarakenteitaan viranomaisen suositusten mukaiseksi, sen että yhtiö oli välittömästi tiedottanut käyttäjiään hyökkäyksestä, ja että tapauksesta oli aiheutunut yhtiölle ylimääräisiä kuluja. 14 Millaisia sakkoja GDPR:n rikkomisesta on annettu

§ Suurin määrätty sakko on Saksassa ollut 80.000 euroa. Kyseisessä tapauksessa tietoturvapuutteet johtivat arkaluontoisten terveystietojen paljastumiseen. § Kaikki loukkaukset eivät ole johtaneet sakon määräämiseen – useimmiten viranomainen on käyttänyt lievempiä keinoja (antanut huomautuksen tai varoituksen). 15 Millaisia sakkoja GDPR:n rikkomisesta on annettu

§ Ensimmäinen useiden miljoonien eurojen sakko määrättiin tammikuussa Ranskassa, jossa tietosuojaviranomainen määräsi Googlelle 50 miljoonan euron sakon GDPR:n rikkomisesta - Kyseessä ei ollut varsinainen ”tietoturvaloukkaus” vaan käsittely vastoin GDPR:n säännöksiä § Viranomaisen mukaan yhtiö ei ollut riittävän selkeästi kertonut käyttäjilleen, mitä se tekee puhelimen avulla keräämillään tiedoilla, kauanko tietoja säilytetään ja miten niitä käytetään mainosten kohdentamiseen. - Epäkohtia oli myös suostumuksen pyytämisessä à ei annettu selkeää ja yksiselitteistä kuvausta käsittelytavasta ja tarkoituksesta 16 Millaisia sakkoja GDPR:n rikkomisesta on annettu

§ Tanskan tietosuojaviranomainen esitti maaliskuussa taksiyhtiölle määrättäväksi 1.2 miljoonan kruunun suuruista sakkoa (~160.000 euroa). Yhtiö oli poistanut rekisteristä käytänteidensä mukaisesti kahden vuoden jälkeen asiakkaan nimen ja osoitteen mutta ei puhelinnumeroa, jonka poistamiselle yhtiö oli asettanut aikarajaksi viisi vuotta. Viranomaisen mukaan puhelinnumeron säilyttämiselle kolmea vuotta pidempään ei ollut perusteita. Kyseessä ensimmäinen Tanskan tietosuojaviranomaisen esittämä sakko GDPR:n rikkomisesta. § Norjan tietosuojaviranomainen määräsi maaliskuussa Bergenin kunnalle 1.6 miljoonan kruunun sakon (~170.000 euroa). Puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Loukkaus kosketti noin 35.000 rekisteröityä, joista suurin osa oli lapsia. 17 Millaisia sakkoja GDPR:n rikkomisesta on annettu

§ Huhtikuussa 2019 Puolan tietosuojaviranomainen määräsi ensimmäisen sakkonsa GDPR:n rikkomisesta digitaalisen markkinoinnin alalla toimivalle yritykselle. Viranomainen määräsi yhtiölle sakkoa 220.000 euroa GDPR:n 14 artiklaan perustuvan tiedonantovelvoitteen laiminlyönnistä, minkä lisäksi se määräsi, että yhtiön on täytettävä tiedonantovelvollisuutensa lähes kuutta miljoonaa rekisteröityä kohtaan kolmen kuukauden kuluessa. § Kreikan tietosuojaviranomainen määräsi energia-alan yhtiölle sakkoa 30.000 euroa oikeudettomien käsittelytoimien osalta sekä 10.000 euroa tietoturvapuutteiden osalta. Yhtiö oli tilannut toimittajalta tutkimuksen, joka julkaistiin internetissä. Verkossa julkaistu aineisto sisälsi arkaluonteisia henkilötietoja kuten poliittisia mielipiteitä sekä tietoja ammattiliittoon kuulumisesta. Yhtiötä oli vastuussa rekisterinpitäjänä vaikka käsittelijä oli merkittävässä roolissa tietojen julkistamis essa. § Irlannin tietosuojaviranomainen tutkii parhaillaan Facebookia ja sitä, onko käyttäjien salasanojen tietoturvasta huolehdittu riittävästi. 18 Millaisia sakkoja GDPR:n rikkomisesta on annettu

§ ePrivacy-asetus § GDPR:ää täydentävä sähköisen viestinnän tietosuoja-asetus - ”The Cookie Law” § Vaikuttaa erityisesti sähköiseen suoramarkkinointiin ja telemarkkinointiin § Uusin luonnos helmikuulta 2019 § Euroopan tietosuojaneuvosto antoi maaliskuussa lausunnon ePrivacy-direktiivin ja GDPR:n välisestä vuorovaikutuksesta sekä kehotti jäsenvaltioita viimeistelemään kantansa, jotta neuvottelut parlamentin kanssa saataisiin aloitettua mahdollisimman pian § Lainsäädäntötyö on vielä kesken, eikä vielä pystytä varmuudella sanomaan, miten ePrivacy- asetus tulee suhtautumaan evästeisiin 19 Cookiet ja niiden oikea käyttö verkkosivuilla – ePrivacyn suuntaviivat

§ ePrivacy-asetus § Tekniikoita ja työkaluja joita asetus koskee, ei ole tyhjentävästi määritelty – seurantaevästeet mainittu esimerkkinä asetuksen johdanto-osassa § ”Session cookies” ja tekniset cookiet sallittuja à tarvitaan teknisen toteutuksen mahdollistamiseksi § Seurantaevästeet sallittuja vain loppukäyttäjän suostumuksella tai erityistä ja läpinäkyvää tarkoitusta varten à ”cookie walls” ei hyväksyttyjä § Asetuksessa suostumukselle asetettu samankaltaisia vaatimuksia kuin GDPR:ssä (pelkkä banneri ”accept cookies” ei olisi enää riittävä) § ePrivacy direktiivin aiheuttama “consent fatigue” § Voimaan 2019 lopussa, soveltaminen alkaisi 2020/2021? 20 Cookiet ja niiden oikea käyttö verkkosivuilla

§ ePrivacy-asetus § Evästeiden käyttö ilman suostumusta olisi rajoitettu tilanteisiin, joissa loppukäyttäjän yksityisyydelle aiheutuu vain hyvin rajoitetusti (tai ei ollenkaan) häiriötä § Tällöin evästeiden käytön on oltava tietyn loppukäyttäjän pyytämän palvelun kannalta tarpeellista ja oikeasuhtaista § monisivuisten lomakkeiden täyttö verkkosivulla § istuntoevästeet verkkomaksamisessa § tiettyjen edellytysten täyttyessä mainosevästeet § kävijämäärän mittaaminen (kävijän profilointiin tarvittaisiin kuitenkin aina suostumus) § päivitykset, joilla yksinomaan korjataan laitteen tai sovelluksen turvallisuuspuutteita ja -haavoittuvuuksia jne. 21 Cookiet ja niiden oikea käyttö verkkosivuilla

Erikoistunut olennaiseen HPP Asianajotoimisto Oy Osoite Bulevardi 1 A, 00100 Helsinki Puhelin +358 9 474 21