OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA TYÖKIRJA II
|
|
- Kauko Sariola
- 4 vuotta sitten
- Katselukertoja:
Transkriptio
1 TYÖKIRJA ON TEHTY VRK:N KÄYTTÖÖN JA MENETTELYTAPOIHIN SOPIVAKSI TARKISTA SOPIVUUS OMAAN ORGANI- SAATIOON. HUOM! TYÖKIRJASSA EI OLE KAIKKIA ASETUKSEN VAATIMIA ASIOITA OTETTU HUOMIOON, KOSKA KAIKKI EIVÄT SO- VELLU VRK:N TOIMINTAAN. OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA I YLEISET SUUNTAVIIVAT 1 Johdanto Tämä työkirja on jatkoa edelliselle osalle Rekisteröidyn oikeudet, jossa käsitellään tietosuojaasetuksen vaatimuksia rekisteröidyn oikeuksien toteuttamiseksi. Työkirjan osia kannattaa käsitellä yhdessä, sillä ne täydentävät toisiaan. Aihepiirinsä vuoksi tämä työkirja on asiasisällöltään laajempi ja osin abstraktimpi kuin osa I. Tässä työkirjassa on esitelty toimia, joita oletusarvoisen ja sisäänrakennetun tietosuojan varmistamiseksi on tehtävä. Täydellistä listaa vaadittavista toimista ei voida tässä yhteydessä antaa yleisesti, vaan kunkin rekisterin ja järjestelmän erityispiirteet on luonnollisesti otettava vielä huomioon. Toimet eivät myöskään ole ehdottomia, vaan toimenpiteiden tarpeellisuutta arvioidaan rekistereittäin, riskipohjaisesti. Mikäli toimialueilla/palvelussa katsotaan, että joitakin vaatimuksia ei tulla toteuttamaan rekisterissä/tietojärjestelmässä/palvelussa, tulisi tästä konsultoida tietosuojasta vastaavaa henkilöä. Rekisterin ja järjestelmän erityispiirteitä on syytä tuoda esiin keskusteluissa tietosuojavastaavan tai yksikön juristin kanssa, jotta niiden vaikutuksia vaatimuksiin voidaan arvioida. On syytä korostaa, että tietojen käsittelyä on arvioitava ja dokumentoitava koko tiedon käsittelyn elinkaaren osalta. Palvelusta voi esimerkiksi syntyä erilaisia rekistereitä: varsinaisia tietokantoja/tietojärjestelmiä, palvelun käytöstä syntyviä tapahtumatietorekistereitä/lokirekistereitä ja tapahtumatietojen/lokitietojen käsittelystä syntyviä lokirekistereitä/lokinlokeja. Yhtä lailla henkilötietoja voidaan käsitellä tietojärjestelmien lisäksi manuaalisena aineistona, jonka asianmukaisesta käsittelystä on myös huolehdittava. 2 Vaatimustenmukaisuuden tarkistaminen organisaation toiminnassa Tämä ohjeistus jakaantuu kahteen osaan. Ensimmäisessä osassa kerrotaan asetuksen vaatimuksista yleisesti ja toisessa, työkirja-osassa annetaan suuntaviivat siihen, miten vaatimukset tulee toteuttaa organisaation toiminnassa ja mitä toimia tulee mahdollisesti tehdä. Toimet voivat olla niin järjestelmämuutoksia kuin dokumentaation laatimistakin. Käy läpi tarvittavan kattavalla henkilökokoonpanolla mainitut tehtävät ja vaatimukset. Tavoitteena on tunnistaa rekisteri- ja järjestelmäkohtaisesti oikeudet ja niiden toteutumisen taso tällä hetkellä. Kartoitus tulee tehdä alkusyksyn 2017 aikana. Mikäli oikeudet eivät tällä hetkellä olemassa olevissa henkilörekistereissä tai tietojärjestelmissä toteudu, tai voimassa oleva menettely tai ohjeistus ei vastaa asetuksen vaatimuksia, muutokset tulee saattaa voimaan ennen Raportoi tietosuojavastaavalle tai yksikkösi tietosuojasta vastaavalle henkilölle siitä, minkä rekisterin tai toiminnon osalta vaatimustenmukaisuuden katselmointi on suoritettu ja vaaditaanko toimenpiteitä. Kerro myös, missä aikataulussa ja miten mahdolliset toimenpiteet aiotaan toteuttaa.
2 organisaatiossa asetettu tietosuoja-asetuksen toimeenpanoprojekti neuvoo ja auttaa vaatimusten tulkintakysymyksissä. Voit olla yhteydessä oman yksikkösi juristiin tai organisaation tietosuojavastaavaan. 3 Oletusarvoisen ja sisäänrakennetun tietosuojan kokonaisuus Oletusarvoisen ja sisäänrakennetun tietosuojan vaatimus tarkoittaa sitä, että tietosuojanäkökulma otetaan huomioon kaikissa rekistereissä, palveluissa, järjestelmissä ja toiminnoissa jo niiden suunnitteluvaiheessa, ja erilaiset toiminnallisuudet rakennetaan tietosuojanäkökulma edellä. Esimerkiksi sosiaalisen median palveluissa henkilön tietosuojaa tukevat asetukset tulisivat olla oletuksena automaattisesti päällä. Vaatimus kytkeytyy osoitusvelvollisuuden periaatteeseen, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on aktiivisesti pystyttävä osoittamaan, että tietosuoja on huomioitu kaikessa toiminnassa niin organisatorisesti kuin teknisestikin ja tietosuoja todella toteutuu käytännössä. Käytännössä tämä tarkoittaa esimerkiksi sitä, että tietosuojaperiaatteiden tulee ohjata sovelluskehitystä ja tämä on myös dokumentoitava: on pystyttävä osoittamaan, miksi tiettyyn ratkaisuun on päädytty ja miten tietosuoja on otettu huomioon. On syytä korostaa, että sisäänrakennetun ja oletusarvoisen tietosuojan periaate edellyttää, että tietosuojaan liittyvät tarpeet ja vaatimukset tunnistetaan ja huomioidaan jo ennen varsinaisen käsittelyn aloittamista. Käytännössä tietosuojan tarpeet tulisikin selvittää ja määrittää jo suunnitteluvaiheessa ja täydentävin osin määrittelyvaiheessa. Tärkeää on huomioida tämä erityisesti, mikäli henkilötietoja käsittelyyn liittyy hankintatarvetta, sillä määrittelyt ja vaatimukset on pystyttävä kirjaamaan riittävästi jo hankintavaiheessa tarjouspyyntöön. Seuraavaksi tässä ohjeistuksessa käsitellään tietosuojaperiaatteita, jotka pitää ottaa huomioon kaikessa toiminnan suunnittelussa, toiminnassa ja joihin kaiken henkilötiedon käsittelyn tulee pohjautua. Lisäksi ohjeistuksessa esitellään organisaatiossa toiminnoilta, palveluilta ja järjestelmiltä vaadittavaa tietosuojadokumentaatiota. Tietosuojan asianmukainen toteutuminen ja keinot, joilla tavoitteeseen päästään, tulee huomioida jo silloin, kun henkilörekisteriä suunnitellaan. Tietosuoja ei saa olla päälleliimattua. 4 Rekisterinpitäjän ja käsittelijän roolit ja vastuut (4 artikla) Rekisterinpitäjä on tietosuoja-asetuksen määritelmän mukaan taho, joka yksin tai yhdessä toisen toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittelyperuste on määritelty laissa, voidaan laissa säätää myös siitä, mikä taho on rekisterinpitäjä. Tähän ratkaisuun on päädytty mm. väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 4 :ssä. Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
3 Rekisterinpitäjä on vastuussa henkilötiedon käsittelystä yksityiseen henkilöön (rekisteröityyn) nähden. Vaikka rekisterinpitäjä sinänsä voi olla organisaatio, on tehtävät, jotka rekisterinpitäjyydestä johtuu, kohdistuttava tiettyyn toimenkuvaan (esim. omistaja, palveluvastaava tmv). Tietojärjestelmä tarjoaa alustan henkilötietojen käsittelylle, jolloin järjestelmän kehitys- ja ylläpitotahot ovat henkilötietojen käsittelijöitä (esim. Tietosuojan sopimuskumppanit). toteuttaminen, Molemmissa käytäntöön työkirjoissa vieminen ja on ylläpitäminen vastuita niin rekisterinpitäjälle lähtee siitä, että roolit kuin käsittelijälle. tunnistetaan. Tietosuojan toteuttaminen ja ylläpitäminen vaatii sen, että roolit on tiedostettu ja kuvattu. Sekä rekisterinpitällä että henkilötietojen käsittelijällä on vastuuta ja velvollisuuksia. 5 Tietosuojaperiaatteet (5 artikla) Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Rekisterinpito tulee suunnitella näiden periaatteiden luomilla reunaehdoilla ja vaatimuksilla. Periaatteet vastaavat monilta osin henkilötietolain periaatteita, mutta ne on säännelty kuitenkin hieman henkilötietolakia tarkemmin. 5.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Käsittelyn kohteena olevilla henkilöillä tulisi olla näkyvyys siihen, miten heitä koskevia henkilötietoja kerätään ja käsitellään. Käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä. Luonnollisille henkilöille olisi aktiivisesti tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää käsittelyä koskevia oikeuksiaan. Periaatteen voidaan katsoa velvoittavan yleiseen vastuullisuuteen. Käsittelyä tulisi tarkastella kohteena olevan henkilön näkökulmasta ja harkita, missä määrin käsittelyä voidaan pitää tämän oikeutettujen odotusten mukaisena. Mikäli käsittely ei tästä näkökulmasta ole asiallista, joko käsittelyä tai viestintää pitää muuttaa. Käsittelyn lainmukaisuus on selkeä edellytys noudattaa sekä asetusta että muuta lainsäädäntöä. 5.2 Käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen käsittelyn tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä tai muuten käsittelyä aloitettaessa yksiselitteisesti. Ne ohjaavat toimintaa henkilötiedon ja käsittelyn koko elinkaaren ajan.
4 Henkilötietojen käsittelyn tulisi lisäksi olla perusteltua tämän tarkoituksen valossa: henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Tietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten voi olla sallittua, vaikka se ei sisältyisi alun perin määriteltyjen tarkoitusten kanssa. 5.3 Tietojen minimointi Henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa käsittelyn tarkoituksiin (kts. yllä). Tietojen käsittelyn laajuutta tulisikin aina tarkastella kriittisesti: vuosia sitten päätetty tietosisältö tai yleinen olettama tietojen tarpeellisuudesta ei vielä takaa käsittelyn laillisuutta. 5.4 Täsmällisyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Käsittelijän tai rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. 5.5 Säilytyksen rajoittaminen Käyttötarkoitussidonnaisuus ja tietojen minimointi edellyttävät erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja saa säilyttää muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden tarpeellisuuden määräaikaistarkastelua varten. Poikkeuksellisesti, tiettyjen edellytysten täyttyessä henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lainsäädännön nojalla. 5.6 Eheys ja luottamuksellisuus Henkilötietoja on käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tämä tarkoittaa esimerkiksi tietojen suojaamista luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Toiminnassa on ehkäistävä luvatonta pääsyä tietoihin ja niiden käsittelyyn käytettyihin laitteisiin. Periaate edellyttää tietoturvallisuudesta huolehtimista ja se tulee asianmukaisesti katettua, kun noudatetaan tietoturvallisuutta koskevia määräyksiä ja käytäntöjä.
5 5.7 Osoitusvelvollisuus Rekisterinpitäjän on voitava osoittaa, että käsittelytoimet ovat asetuksen mukaisia. Erityisesti rekisterinpitäjällä on osoitusvelvollisuus yleisten periaatteiden toteutumisesta käsittelyssä. On huomattava, että rekisterinpitäjä toimii laittomasti, vaikka asetusta ja käsittelyn yleisiä periaatteita muuten noudatettaisiin, jos rekisterinpitäjä ei kykene osoittamaan käsittelynsä asiallisuutta. Dokumentaatiolla on tässä suhteessa suuri merkitys. Toisaalta rekisterinpitäjän on kyettävä osoittamaan, että sen toimenpiteet käsittelytoimien laillisuuden varmistamiseksi ovat tehokkaita. Käytännölle vieraat politiikat tai ohjeistukset, joista työntekijät eivät ole tietoisia, eivät auta rekisterinpitäjää täyttämään asetuksen vaatimuksia. Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskevan osoitusvelvollisuuden johdosta rekisterinpitäjän on pystyttävä myös osoittamaan, että periaatteita noudatetaan. Rekisterinpitäjän on siis arvioitava, mitä periaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Periaatteiden noudattamisen osoittaminen edellyttää rekisterinpitäjältä mm. henkilötietojen käsittelyn tarkempaa suunnittelua sekä dokumentaatiota. Asetuksen mukaiset tietosuojaperiaatteet ovat hyvin pitkälle yhteneväiset henkilötietolain kanssa. Uutta on kuitenkin se, että ne ovat osoitusvelvollisuuden keskiössä. Tämä tarkoittaa sitä, että organisaation tulee aktiivisesti pystyä osoittamaan tietosuojaperiaatteiden toteutuminen sen järjestelmissä ja palveluissa. 6 Vaadittava dokumentaatio Rekisterinpitäjän on kyettävä jatkossa osoittamaan, että tietosuoja-asetuksen vaatimukset täyttyvät myös käytännön toiminnassa. Siten yksi keskeinen osa osoitusvelvollisuuden täyttymistä on kattava, ajantasainen ja saatavilla oleva dokumentaatio. Dokumentaatiolla tarkoitetaan kaikkia niitä asiakirjoja, jotka osoittavat, miten tietosuoja toteutuu organisaation toiminnassa ylipäänsä, ja tarkemmin esimerkiksi palveluissa tai tietojärjestelmissä. Huomioita tulee kiinnittää myös siihen, että dokumentaatio on tosiasiallisesti saatavilla: jokaisella palvelulla/toiminnolla/tietojärjestelmällä tulee olla yksi yhteinen, looginen paikka, jonne kaikki dokumentaatio tallennetaan huomioiden kuitenkin suojaustasoista johtuvat säilytyskriteerit. Vaadittavia dokumentteja ovat ainakin seuraavat, listaa voi soveltaa sen mukaan, onko kyseessä tietojärjestelmä, palvelu vai toiminto: politiikat käytännesäännöt sertifoinnit arkkitehtuurikuvaukset tiedot auditoinneista rekisteriselosteet/tietosuojaselosteet seloste käsittelytoimista (vaadittava myös henkilötietojen käsittelijältä) salassapitosopimukset/-sitoumukset lokienhallinnan periaatteet
6 palvelukohtaiset valvontasuunnitelmat palvelukuvaukset rekisteröidylle toiminnallisuuden näkökulmasta prosessikuvaukset koulutussuunnitelmat, tiedot henkilöstön koulutuksista sisäiset ohjeet ja määräykset käytönvalvontaa koskevat ohjeistukset ja teknisiä rajoituksia koskevat dokumentit tiedot etäkäyttöyhteyksistä lokeja koskeva prosessikuvaukset ja ohjeet Olemassa oleva tietosuojadokumentaatio tulee käydä läpi ja tarkastella sen riittävyyttä nimenomaan siitä näkökulmasta, pystytäänkö sen avulla osoittamaan tietosuojan toteutuminen. Dokumentaatiota tulee tarvittaessa päivittää ja tarvittaessa luoda uutta. 7 Riskiarviointi (artikla 35) Mikäli henkilötietojen käsittely todennäköisesti aiheuttaa yksilöiden oikeuksille ja vapauksille korkean riskin, rekisterinpitäjän on ennen käsittelyn aloittamista tehtävä vaikutustenarviointi (PIA). Rekisterinpitäjän on tällöin tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä, jotta se tämän arvion perusteella voi määritellä tarvittavat suojatoimet ja riskiin vastaavat muut organisatoriset ja tekniset toimenpiteet. Riskienarviointi on yksi työkaluista, joilla rekisterinpitäjä voi edistää oletusarvoisen ja sisäänrakennetun tietosuojan toteutumista toiminnassa. Tietosuojan vaikutustenarviointia ei siten tarvitse suorittaa välttämättä aina, kun uutta käsittelytoimea aletaan suunnitella. Valvontaviranomainen (nykyään vielä Tietosuojavaltuutetun toimisto) julkistaa tarkemman listan niistä käsittelytoimista, joiden osalta vaikutustenarviointi on tehtävä. Lisäksi organisaation tietoturvapäällikkö ja tietosuojavastaava tukee ja ohjeistaa tietosuojariskien arvioinnissa. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen. Organisaatiossa riskienhallinnan kokonaisuus, myös tietosuojariskien osalta on kuvattu ylätasolla riskienhallintapolitiikassa. Käytännön ohjeet vaikutusarvioinnin tekemiseen on kirjattu organisaatio-tasoisesti riskienhallinnan menetelmäkuvaukseen. Riskiarviointimenettelyä ei tämän vuoksi toisteta tässä ohjeistuksessa, vaan jokaisen tulee tutustua edellä mainittuihin dokumentteihin. Olemassaolevat sekä uudet henkilörekisterit tulee arvioida riskiperusteisesti. Tietosuojariskien arvioinnissa tulee noudattaa organisaation riskienhallintaohjeistusta, jossa tämä menettely kuvataan tarkemmin.
7 II TYÖKIRJA 1 Rekisterinpitäjän ja käsittelijän roolit ja vastuu Rekisterinpitäjän ja tietojen käsittelijän roolit on tunnistettu ja kuvattu. Roolit ja vastuut on kirjattu sopimuksiin. 2 Tietosuojaperiaatteet 2.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Periaate lainmukaisesta, kohtuullisesta ja läpinäkyvästä henkilötietojen käsittelystä on ymmärrettävä koko toiminnan kattavaksi periaatteeksi. Hallinnolliset yleiset vaatimukset Palveluun/rekisteriin/tietojärjestelmään liittyvästä tarpeellisesta henkilöstön koulutuksesta huolehditaan säännöllisesti. Palveluun/rekisteriin/tietojärjestelmään liittyvästä tarpeellisesta sopimuskumppanin/käsittelijän henkilöstön koulutuksesta huolehditaan säännöllisesti joko organisaation tai kumppanin/käsittelijän toimesta ja tätä on edellytetty myös sopimustasolla. Pidetyistä koulutuksista ja osallistumisista (tarpeen mukaan) pidetään kirjaa. Koulutustarpeita arvioidaan säännöllisesti ja erityisesti muutostilanteissa. Tarpeelliset sisäiset ohjeistukset ja määräykset on laadittu, ne ovat ajan tasalla ja ne on huomioitu palvelun/rekisterin/tietojärjestelmän suunnittelussa, määrittelyssä, kehityksessä ja tuotannossa. Sopimukset sisältävät salassapitosopimukset (tai -ehdot) ja vaatimukset sitoumuksien antamisesta. Sopimukset sisältävät tarpeelliset tietosuojaan liittyvät ehdot. 1 Lainmukaisuus ja asianmukaisuus Palvelussa/rekisterissä/järjestelmässä henkilötietoja käsitellään siten kuin lainsäädäntö edellyttää. Lainsäädäntö tarkoittaa tietosuoja-asetuksen lisäksi muuta henkilötietojen käsittelyyn liittyvää lainsäädäntöä 2. Tietoja käsitellään enintään lainsäädännön mahdollistamassa laajuudessa, käsittelyn perusteet on kirjattu sääntelyssä ja viittaus käsittelyn perusteisiin on kirjattu palveluun/rekisteriin/järjestelmään liittyvään dokumentaatioon. Mikäli lainsäädäntö ei tarkasti määritä käsiteltäviä tietoja, käsiteltävien tietojen osalta on tehty arvio tarpeellisista tiedoista ja käsittelyn perusteet on kirjattu palveluun/rekisteriin/järjestelmään liittyvään dokumentaatioon. Palvelun/rekisterin/tietojärjestelmän tietosuojaa arvioidaan säännöllisesti ja aina kehitystä tehtäessä (suunnittelu- ja määrittelyvaiheessa). 1 Tietosuojavastaava ja yksikön juristit tekevät sopimusten arviointia erillään. 2 VRK:n kohdalla väestötietojärjestelmän tietojen ja varmennepalveluissa käsiteltävien henkilötietojen osalta huomioidaan erityisesti laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) ja Suomi.fi-palvelujen osalta hallinnon yhteisistä sähköisen asioinnin tukipalveluista annettu laki (571/2016) sekä tarpeellisin osin laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista.
8 Tarvittaessa käydään vuoropuhelua valvovan viranomaisen kanssa, jotta palvelu täyttää sille asetut vaatimukset. Jos palvelu ei enää täytä vaatimuksia, tulee olla olemassa suunnitelma palvelun lopettamiseksi sekä palvelun hallitulle alasajolle. Tietojen käsittelystä tallennetaan tapahtumatieto/lokitieto. Tapahtumatietoja/lokitietoja ei voida jälkikäteen muuttaa. Palvelun/rekisterin/tietojärjestelmän tietojen käsittelyyn liittyen on laadittu valvontasuunnitelma tai, mikäli valvontaa eri perustellusta syystä suoriteta, perusteet sille on kirjattu perusteet. Tietojen käsittelyyn liittyy käytön valvontaa. Määrittelyssä on arvioitu erityisesti mahdollisuudet tietojen käsittelyyn etäyhteyksin sekä muut tarpeelliset tekniset rajoitukset tietojen käsittelyyn. On arvioitu, käsitelläänkö palvelussa/rekisterissä/tietojärjestelmässä erityisiä henkilötietoryhmiä. Jos käsitellään, tulee vaatimukset tällaiselle käsittelylle täyttyä. Kohtuullisuus Henkilötietoja olisi käsiteltävä vain, jos ei voida toteuttaa muilla keinoin Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietojen käsittelystä on tehtävä tarvittavat ilmoitukset kohtuullisen ajan kuluessa (ks. tarkemmin rekisteröidyn oikeudet- työkirja). Läpinäkyvyys Palvelusta/rekisteristä/järjestelmästä, jossa henkilötietoja käsitellään, on laadittu organisaation mallin mukainen rekisteriseloste/tietosuojaseloste, joka hyväksytetty (lisätietoja työkirjasta rekisteröidyn oikeudet ). On varmistettu, että tietoja ei käsitellä muutoin kuin selosteessa/selosteissa kuvatulla tavalla. Järjestelmästä on laadittu muu edellytetty dokumentaatio. Ks. tarkemmin kohta Dokumentaatio 2.2 Käyttötarkoitussidonnaisuus Palvelun/rekisterin/tietojärjestelmän henkilötietojen käsittelylle on tunnistettu nimenomainen, perusteltu käyttötarkoitus. Käyttötarkoitus on kirjattu erityislakiin tai löydettävissä tai johdettavissa yleissääntelystä. On arvioitu, että käsittelyn tarkoitusta ei voida toteuttaa muutoin, vaan kyseisten henkilötietojen käsittely on tarpeen kyseisessä käyttötarkoituksessa eikä sitä voida toteuttaa esimerkiksi vähemmällä tietosisällöllä (mahdollinen tietojen minimointi). 3 Henkilötietojen käsittelyn tarkoitukset on määritelty ja dokumentoitu palvelun/rekisterin/tietojärjestelmän dokumentaatiossa, erityisesti tietosuojaselosteessa/rekisteriselosteessa. 3 Esimerkkinä voidaan pitää myös sitä, että samoja tietoja sisältäviä rekistereitä ei tuoteta useita kappaleita, vaan hyödynnetään mahdollisuuksien mukaan yhtä primäärirekisteriä. Kuitenkin esimerkiksi rekisterin varmistamisen näkökulmasta on tarpeen esimerkiksi ympäristöjen kahdentaminen.
9 On laadittu menettely, jolla henkilötietojen käsittelyn käyttötarkoitukset ilmoitetaan rekisteröidyille (henkilöt) tietojen keruun yhteydessä tai kun tietojen käsittelyä muutoin aloitetaan. 4 Menettely huomioi myös muutostilanteiden hallinnan eli muuttuneesta käyttötarkoituksesta ilmoittamisen sekä mahdollisissa suostumusta edellyttävissä henkilötietojen käsittelyssä tarpeen pyytää henkilöltä suostumus uudelleen. On varmistuttu riittävästi siitä, että tietoja ei voida käyttää muihin käyttötarkoituksiin ja mahdollisesta väärinkäytöksistä saadaan tietoa. 5 Lailliset käyttötarkoitukset on kirjattu mahdollisiin sopimuksiin, erityisesti käsittelijöiden ja Väestörekisterikeskuksen välisiin sopimuksiin. Tarpeellisin osin sopimuksissa on sanktioitu käsittely muihin kuin laillisiin käyttötarkoituksiin. Lailliset käyttötarkoitukset on kirjattu mahdollisiin lupiin tai vastaaviin hallinnollisiin päätöksiin (Sallitut käyttötarkoitukset / Lailliset käyttötarkoitukset). Tarpeellisin osin lupiin tai vastaaviin on kirjattu seuraamukset tietojen käsittelystä muihin kuin laillisiin käyttötarkoituksiin. Rekisteröityjen osalta on arvioitu Väestörekisterikeskuksen mahdollisuudet tavoittaa henkilöt mahdollisesti tilanteessa, jossa käyttötarkoitusta olisi tarpeen muuttaa ja tämä edellyttäisi rekisteröityjen tavoittamista. 2.3Tietojen minimointi Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on määritelty siten, että käsittelyssä minimoidaan henkilötietojen käsittely. Määritellyn mukainen käsittely on välttämätöntä. 6 Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyä ei toteuta siten, että samaa tietoa käsitellään useissa eri kohdin samaan käyttötarkoitukseen eri järjestelmissä, ellei tähän ole löydettävissä selkeitä perusteita. 7 Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on kuvattu ja dokumentoitu riittävästi (tietoflow). Tietojen käsittelyn perusteet on löydettävissä dokumentaatiosta. Tietojen käsittelyyn liittyvät käyttövaltuudet on luotu siten, että on olemassa eritasoisia rooleja, joiden perusteella käsiteltävien tietojen tietosisältöä voidaan myös rajoittaa. Tärkeää on, että roolit ovat sellaiset, että tietyllä roolilla näkee vain sillä tehtävään toimeen tai määriteltyyn käyttötarkoitukseen nähden ehdottoman tarpeellisia tietoja. Vaatimus koskee sekä organisaation sisäistä käyttöä että asiakkaille tarjottavia palveluita. 4 Tämä voidaan toteuttaa esimerkiksi siten, että henkilö ei siirry palveluun tai hänestä ei tallenneta tietoja ennen kuin hänellä on ollut mahdollisuus tutustua käyttötarkoitukseen. Mikäli tietojen käsittely edellyttää henkilön suostumusta, palvelun käyttöä ei voi aloittaa taikka tietoja ei haeta taustajärjestelmistä/-rekistereistä tai tietoja ei henkilöltä kerätä, ennen kuin henkilö on antanut suostumuksen. 5 Esimerkiksi tietojen käsittelystä järjestelmässä yöaikaan saadaan automaattisia hälytyksiä, tietojen luovutuksissa edellytetään kontrollipostituksia, luovutettujen tietojen tuhoamisesta edellytetään kuittausta luovutuksensaajalta tai muulta käsittelijätaholta, tapahtumatietojen/lokitietojen käsittelystä jää loki/lokinloki ja tietojen käsittely on perusteltava itse järjestelmässä tai muutoin, jotta se on todennettavissa jälkikäteen. 6 Tämä tarkoittaa, että tehtävät käsittelytoimet ja niiden laajuus ovat perusteltavissa eikä toimea ja käyttötarkoitusta voida toteuttaa siten, että käsiteltäisiin tietoja suppeammin. Toteutus ei voi seurata siitä, mikä katsotaan helpoimmaksi toteuttaa, vaan käsittelylle on sen koko laajuudessa oltava perusteet. 7 Tämä tarkoittaa, että ei esimerkiksi kierrätetä tietoja turhaan usean palvelimen kautta tai tallenneta useille palvelimille väliaikaisesti tai osana väliaikaista käsittelyä. Tämä ei kuitenkaan estä tarpeellista tietojen säilyttämisen varmentamista esim. ympäristön tai tietokannan kahdentamisen avulla.
10 Lokitietojen osalta toteutus on tehty siten, että 1) syntyvän lokitiedon tietosisältö ei tallenneta hyötykuormaa eli varsinaista tietosisältöä, ellei sen tallentamiseen ole erityisiä perusteita ja 2) mahdollisuuksien mukaan aineistoa on anonymisoinnin avulla tehty vähemmän sensitiivisemmäksi (pseudonymisointia ei suositella). Järjestys: 1) minimointi 2) anonymisointi ja vasta kolmantena vaihtoehtona pseu donymisointi Lokitietojen osalta on määritelty, kuvattu ja toteutettu erikseen henkilötietoja sisältävät lokit ja tekniset lokit. organisaation ulkopuolelle tapahtuva tietojen luovuttaminen ja käsittely palvelusta/rekisteristä/tietojärjestelmästä on toteutettu huomioiden tietojen minimointi. Tämä sisältää asiakasorganisaatioiden tietojen käsittelyn, sopimuskumppanien ja alihankkijoiden sekä niiden henkilöstön tietojen käsittelyn sekä tarpeellisin osin rekisteröidyille itselleen tapahtuvan tietojen luovuttamisen. 2.4Täsmällisyys Palvelun/rekisterin/tietojärjestelmän tietolähteet on määritelty ja kuvattu. Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyssä hyödynnetään mahdollisuuksien mukaan aina tietojen lähteenä primäärirekisteriä tai tieto pyydetään henkilöltä itseltään. Tässä on huomioitava myös lainsäädännön asettamat vaatimukset esimerkiksi palvelussa/rekisterissä/tietojärjestelmässä käytettävistä rekistereistä 8. Palvelun/rekisterin/tietojärjestelmän tietojen päivitystarve on arvioitu. o Mikäli päivitystarve on olemassa, päivitystarve ja -tapa on määritelty ja kuvattu. o Päivitystapa on toteutettu, tarvittavat luvat haettu tai sopimukset tehty. o Päivitystarvetta ja -tapaa arvioidaan säännöllisesti, esim. vuosittain. o On nimetty vastuuhenkilö ja tämän varahenkilö päivitykseen liittyviin asioihin. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jolla voidaan löytää epätarkkoja ja virheellisiä tietoja. Mikäli tätä ei voida toteuttaa, on kirjattuna, miten huolehditaan epätarkkojen ja virheellisten henkilötietojen poistamisesta tai oikaisemisesta viipymättä. Ks. seuraavat kohdat. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jolla epätarkoista ja/tai virheellisistä tiedoista voi ilmoittaa organisaatiolle. Ilmoittamismenettely on kuvattu ja julkaistu tarpeellisille tahoille (sisäiset asiakkaat, ulkoiset asiakkaat, asiakasorganisaatiot, henkilöt/rekisteröidyt) dokumentaatio- ja viestintävaatimusten mukaisesti. Tietojen oikaiseminen ja/tai poistaminen ei sovellu kaikkeen toimintaan, kuten esimerkiksi lokitietojen sisältöön. Mikäli oikaiseminen ja/tai poistaminen ei sovellu, tästä on kirjaus tietosuojaselosteessa ja muussa tarpeellisessa dokumentaatiossa. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jonka mukaisesti organisaatio poistaa tai oikaisee epätarkat ja/tai virheelliset tiedot viipymättä. Menettely on kuvattu ja julkaistu tarpeellisille tahoille dokumentaatio- ja viestintävaatimusten mukaisesti. Tietojen oikaiseminen ja/tai poistaminen ei sovellu kaikkeen toimintaan, kuten esimerkiksi lokitietojen sisältöön. Mikäli oikaiseminen ja/tai poistaminen ei sovellu, tästä on kirjaus tietosuojaselosteessa ja muussa tarpeellisessa dokumentaatiossa. 8 Esimerkiksi sääntely siitä, minkä rekistereihin tietoja ja miltä osin voidaan käyttää palvelutuotannossa. Esimerkkinä voidaan mainita hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 9 (Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet).
11 On nimetty vastuuhenkilöt ja näiden varahenkilöt menettelyjen toteuttamiseen ja (prosessivastaava) kuvausten ajantasaisuudesta huolehtimiseen. 2.5 Säilytyksen rajoittaminen On arvioitu, mitä palvelun/rekisterin/tietojärjestelmän tietoja on tarpeen perustellusti säilyttää siten, että rekisteröity on tunnistettavissa. On arvioitu mahdollisuudet toteuttaa tietojen säilyttämistä siten, että rekisteröity ei ole tunnistettavissa. 9 Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Ks. tarkemmin kohta 2.3 Tietojen minimointi. Palvelun/rekisterin/tietojärjestelmän tietojen yleinen ja tietokohtainen (erityisesti henkilötietokohtainen) säilytysaika on määritelty ja se on kirjattu erityisesti tietosuojaselosteeseen henkilötietojen osalta. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Määritelty tietojen säilytys- ja saatavillaoloaika noudattaa käyttötarkoitussidonnaisuuden sekä käsittelyn minimoinnin periaatteita eli tietoja säilytetään (käsitellään) ajallisesti mahdollisimman lyhyt aika ja säilytys (käsittely) on perusteltavissa. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Palvelun/rekisterin/tietojärjestelmän osalta toteutetaan asetetut määräajat henkilötietojen poistolle tai siirrolle palvelusta/rekisteristä/tietojärjestelmästä. Henkilötietojen poisto toteutetaan pysyvästi tietoturvallisuuden vaatimukset huomioiden, ellei henkilötietojen säilyttämisestä pysyvästi ole säädetty laissa. Mikäli henkilötiedot on tarpeen siirtää muuhun järjestelmään pidemmäksi säilytysajaksi, siirto toteutuu siten, että alkuperäisestä rekisteristä/tietojärjestelmästä tiedot poistuvat pysyvästi. Lokitiedon muodostumisesta poistoprosessin yhteydessä varmistutaan. Henkilötietojen säilymisestä (ml. lokitiedot) asianmukaisesti varmistutaan säännöllisesti. Henkilötietojen säilytystarvetta, -tapaa ja -aikaa arvioidaan säännöllisesti, esim. vuosittain. 2.6 Eheys ja luottamuksellisuus Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tämä tarkoittaa esimerkiksi tietojen suojaamista luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Toiminnassa on ehkäistävä luvatonta pääsyä tietoihin ja niiden käsittelyyn käytettyihin laitteisiin. Periaate edellyttää tietoturvallisuudesta huolehtimista ja se tulee asianmukaisesti katettua, kun noudatetaan tietoturvallisuutta koskevia määräyksiä ja käytäntöjä. Palvelun/rekisterin/tietojärjestelmän henkilötiedot on salattu ja suojattu asianmukaisesti huomioiden tietoturvallisuuden vaatimukset. Käyttövaltuuksien ja niiden laajuuden myöntämisen edellytykset on kuvattu ja prosessi käyttövaltuuksien hallinnointiin on olemassa. On varmistettava, ettei tietosisältö aiheettomasti muutu. Kohteelle on määritelty tietoturvataso ja on toteutettu kyseiselle tietoturvatasolle määritellyt vaatimukset. 9 Esimerkiksi anonymisoimalla osa käytettävästä tietoaineistosta.
12 Tietoturva-ja tietosuojapoikkeamatutkinta on mahdollisuuksien mukaan automaattista. Jos on toteutettu räätälöityä sovelluskehitystä, tulee huomioida sovelluskehityksen tietoturvallisuusvaatimukset Osoitusvelvollisuus Rekisterinpitäjän on voitava osoittaa, että käsittelytoimet ovat asetuksen mukaisia. Erityisesti rekisterinpitäjällä on osoitusvelvollisuus yleisten periaatteiden toteutumisesta käsittelyssä. On huomattava, että rekisterinpitäjä toimii laittomasti, vaikka asetusta ja käsittelyn yleisiä periaatteita muuten noudatettaisiin, jos rekisterinpitäjä ei kykene osoittamaan käsittelynsä asiallisuutta. Dokumentaatiolla on tässä suhteessa suuri merkitys. Osoitusvelvollisuus täytetään ennen muuta riittävällä dokumentaatiolla. 3 Dokumentaatio Riittävän kattavan ja saatavilla olevan dokumentaation merkitys kasvaa tietosuoja-asetuksen voimaantullessa. Tällaisella dokumentoinnilla organisaatio voi osaltaan toteuttaa osoitusvelvollisuutta ja toisaalta se helpottaa esim. rekisteröidyn oikeuksiin liittyvien prosessien läpiviemistä. Tietojen käsittely on kuvattu niiden koko elinkaaren osalta, ml. lokitiedot ja tietojen tuhoaminen. Henkilöille suunnattu dokumentaatio sisältää tietoa henkilötietojen käsittelyyn liittyvistä riskeistä ja säännöistä. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio sisältää tietoa henkilötietojen käsittelyyn liittyen palvelun/rekisterin/järjestelmän suojatoimista huomioiden salassapitotarpeet suojaustoimista. Dokumentaatio on tältä osin käyty läpi tietoturvavastaavan kanssa. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on laadittu siten, että se on helposti ymmärrettävää. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on ajantasaista ja päivitysprosessi on sovittu, jotta voidaan varmistua tiedon ajantasaisuudesta. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on saatavilla palvelussa, organisaation verkkosivuilla tai julkaistu muutoin helposti saataville. (Läpinäkyvyys) Sovellus-/järjestelmäkehityksessä on dokumentoitu eri vaiheet ja syyt, miksi tiettyyn ratkaisuun on päädytty. (Läpinäkyvyys ja osoitusvelvollisuus) Palvelun/toiminnon osalta on varmistettu, että edellä kuvattu dokumentaatio on olemassa ja se on loogisessa paikassa, helposti löydettävissä. Prosessi häiriö- ja virhetilanteisiin on kuvattu, tarpeellinen dokumentaatio, kuten viestipohjat, luotu ja tarpeelliset vastuuhenkilöt nimetty. 10 Mikäli kohde tai sen osassa on toteutettu räätälöityä sovelluskehitystä on tarvittavat sovelluskehityksen tietoturvallisuusvaatimukset huomioitu. Sovelluskehitykseksi katsotaan kaikki uudet kehitetyt toiminnallisuudet, ml. kehitys kone- ja ohjelmointikielillä, kuvauskielillä (mm. html, XML), komentosarjakielillä (mm. bash, MS-DOS batch) tai makrokielillä (mm. Python, Perl, PHP).
13 Yhteistyössä tietosuojavastaavan ja viestinnän kanssa on käyty läpi tiedottamistavat ja -kanavat ja ne on kirjattu riittäviltä osin. Dokumentaation laatimisesta ja ajantasaisuudesta vastaavat nimetyt henkilöt. Dokumentit katselmoidaan säännöllisesti niiden ajantasaisuuden varmistamiseksi Vaikutustenarviointi Tietosuojariskien arviointi on tarkemmin kuvattu ja ohjeistettu organisaation riskienhallintaohjeessa. Tietosuojaan liittyen toimenpiteiden riittävyys on mitoitettava riskiarvioinnin perusteella, jossa otetaan huomioon esimerkiksi käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Vaikutustenarviointi tulee tehdä niiden käsittelytoimien osalta, jotka alkavat tai sen jälkeen. Niiden käsittelytoimien osalta, joita jo tehdään, arviointi on tehtävä, mikäli käsittelyssä tapahtuu merkittävä muutos (esim. uuden teknologian käyttöönotto) tai esimerkiksi käsittelytoimien hallinnollinen tai sosiaalinen kenttä muuttuu (esim. jos henkilötietoja aiotaan siirtää maahan, joka on irtaantunut EU:sta). Organisaatiossa vaikutustenarviointitarve tulee jatkossa tarkastella vähintään kolmen vuoden välein tai useamminkin tarvittaessa (WP29:n suositus). Organisaation tietoturvapäällikkö, tietoturva-asiantuntija ja tietosuojavastaava neuvovat ja opastavat tietosuojariskien arvioimisessa, hallinnassa, sekä mahdollisessa vaikutustenarvioinnin käynnistämisessä. On tunnistettu tilanteet, joissa tulee tehdä arviointi siitä, tuleeko vaikutustenarviointi suorittaa. Arvioinnissa konsultoidaan tietoturvapäällikköä ja tietosuojavastaavaa. On suoritettu vaikutustenarviointi yhteistyössä tietosuojavastaavan ja muiden tarpeellisten henkilöiden kanssa. Mikäli vaikutustenarviointia ei tarvitse suorittaa, on kirjattu syyt tälle. On dokumentoitu, että vaikutustenarviointi tehdään tai sitä ei tehdä ja perusteet tekemiselle. Vaikutustenarviointiprosessissa on seurattu riskienhallinnan menettelyohjeistusta. Vaikutustenarviointi on dokumentoitu. On varmistettu, että on menettely, jolla tietosuojavastaavaa tiedotetaan, kun sellaisia käsittelytoimia, jotka koskevat henkilötietoja, suunnitellaan tai muutetaan. Tehtävä on vastuutettu. 11 Erityisesti huolehditaan, että tietosuoja-/rekisteriselosteet ovat ajan tasalla.
Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio
Case VRK: tietosuojan työkirjat osa 2 JUDO Työpaja #4 - tietosuoja Noora Kallio Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat Ratkaistava asia Miten tietosuoja-asetuksen
LisätiedotEU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa
EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa Lakiklinikka Kuntamarkkinat, 14.9.2017 Ida Sulin Miksi uudistus? Tietosuojavaltuutettu 5.4.2016: Tarvitaan vankka säännöstö, joka varmistaa,
LisätiedotHelpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus
Helpten Oy Tietosuojaseloste Päivitetty: 20.5.2018 Päivitetty viimeksi 20.5.2018 Kattavuus Tässä tietosuojaselosteessa kerrotaan Helpten Oy:n tietosuojaperiaatteista, tietoturvaa ja tietosuojaa koskevista
LisätiedotHSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka
HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka 17.4.2018 versio 1.1 1(6) Sisällys 1 Tarkoitus ja taustaa... 3 2 Sovellettava lainsäädäntö ja määritelmät... 3 2.1 Lainsäädäntö... 3 2.2
LisätiedotTIETOSUOJAOHJE PARTIOLIPPUKUNNILLE
TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE Henkilötietojen käsittely partiossa www.partio.fi/tietosuoja Tietosuoja-asetus (#GDPR) Tietosuoja-asetuksen (General Data Protection Regulation) tarkoituksena on parantaa
LisätiedotUusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro
Uusi tietosuojaasetus käytännössä MPY Palvelut Oyj Toni Sivupuro Sisältö EU tietosuoja-asetus Henkilörekisteri Asetuksen tavoitteet Yksilön oikeudet Yksilön oikeudet käytännössä Suostumus henkilötietojen
LisätiedotInformaatiovelvoite ja tietosuojaperiaate
SISÄLLYSLUETTELO Informaatiovelvoite ja tietosuojaperiaate 7.5.2018 SISÄLLYSLUETTELO 1. EU:N TIETOSUOJA-ASETUS... 4 1.2 REKISTERÖIDYN OIKEUDET... 4 1.3 TIETOSUOJA-ASETUKSEEN VALMISTAUTUMINEN... 4 2. INFORMAATIOVELVOITE...
LisätiedotEU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679
EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679 9.11.2017 Ammattikorkeakoulujen opintoasiainpäivät, Vaasa Lakimies Anna Johansson,
LisätiedotTietosuojavaltuutetun toimiston tietoisku
Tietosuojavaltuutetun toimiston tietoisku Ylitarkastaja Raisa Leivonen Etiikan päivät 15.3.2018 1 Tietosuoja-asetus Ryhdytään soveltamaan 25.5.2018 Kaikissa jäsenvaltioissa suoraan sovellettavaa oikeutta,
LisätiedotHenkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA
Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? 1 Seloste käsittelytoimista Tietosuoja-asetus vaatii Sisäiseen käyttöön Rekisterinpitäjä rekisterinpitäjän ja tietosuojavastaavan nimi
LisätiedotSUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA
AKA/7/07.01.10/2018 5.12.2018 SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA 2 (7) Sisällys Johdanto... 3 Vastuut ja organisoituminen... 3 Tietosuojaperiaatteet... 4 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys...
LisätiedotTietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille
Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille 1 Tietosuoja-asetuksesta Asetus astui voimaan 24.5.2016 ja sitä ryhdytään soveltamaan alkaen. Asetuksen sisältö on suoraan
LisätiedotTietosuoja fi-välitystoiminnassa. Välittäjäinfo
Tietosuoja fi-välitystoiminnassa Välittäjäinfo 13.12.2017 Fi-verkkotunnusten välitystoiminta Viestintävirastolle ilmoittautuneet välittäjät Yleistä tietosuoja-asetuksesta Tietosuoja-asetus (2016/679) korvaa
LisätiedotTietosuoja-asetus (GDPR)
Webinaari 24.5. Tietosuoja-asetus (GDPR) Yleistä Voimaan 25.5.2018 Asettaa yrityksille laajoja henkilötietojen käsittelyyn liittyviä velvoitteita Rikkomisesta seurauksena esim. sakko (20 miljoonaa euroa
LisätiedotHaaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 14.5.2018 1. Rekisterinpitäjä
LisätiedotCase VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio
Case VRK: tietosuojan työkirjat JUDO Työpaja #2 - tietosuoja Noora Kallio Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat Ratkaistava asia Miten tietosuoja-asetuksen
Lisätiedot1 Tietosuojapolitiikka
Tietosuojapolitiikka 1 2 Sisällys Johdanto... 3 Vastuut ja organisoituminen... 3 Periaatteet... 4 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys... 4 Käyttötarkoitussidonnaisuus ja tietojen minimointi...
LisätiedotTIETOSUOJA-ASETUKSEN TUOMAT VAATIMUKSET VARMENNETOIMINTAAN
1 (5) TIETOSUOJA-ASETUKSEN TUOMAT VAATIMUKSET VARMENNETOIMINTAAN Tämä liite on osa rekisteröintiohjetta ja koulutusmateriaalia. Tietosuoja-asetuksen vaatimukset varmenteiden rekisteröintitoiminnalle on
LisätiedotMitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?
Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta? EU Tietosuoja-asetuksen vaikutuksia 7.5.2018 Esityksen nimi / Tekijä 1 SISÄLTÖ 1) Yleistä 2) Suostumus 3) Katoanalyysi 7.5.2018 Esityksen
LisätiedotHaaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä. Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu:
LisätiedotTietosuoja-asetus Immo Aakkula Arkistointi
Tietosuoja-asetus Immo Aakkula 31.10.2017 Arkistointi Tietosuoja-asetus arkistointi Lähtökohdat Henkilötietolaki poistuu 25.5.2018 Asetus koskee keskeisimmiltä osin suoraan arkistoja Asetusta täydennetään
LisätiedotMitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja
Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja 12.2.2018 Mitä pitää huomioida? Oikeuksien perusta Julkisuuslaki Tietosuojalainsäädäntö Mitä tämä tarkoittaa?
LisätiedotTietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen
Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille Annika Tuomala ja Ismo Malinen 21.11.2017 Taustaksi: Valokuva henkilötietona Henkilötieto: kaikki tunnistettuun tai tunnistettavissa olevaan
LisätiedotEU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio
Rekisteri- ja tietosuojaseloste 25.5.2018 EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio Rekisterinpitäjä Jyväs-Ateriat Ay Y-tunnus: 1996612-0 Kaakkovuorentie 10, 40320 JYVÄSKYLÄ Tietosuoja-asioista
LisätiedotEuroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy
Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy Applex Attorneys - All rights reserved Sisältö Tietosuojalainsäädännön peruskäsitteet ja toimijat
LisätiedotJYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA
JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA TIETOSUOJAPOLITIIKAN ALA JA TAVOITE Jyväskylän yliopisto käsittelee toiminnassaan henkilötietoja. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa
LisätiedotEU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg
EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE 20.3.2018 Markus Myhrberg Uudistuva tietosuojasääntely Mistä on kyse ja mikä muuttuu? Sääntelykehys Keskeiset käsitteet Rekisteröityjen oikeudet
LisätiedotEU:n tietosuoja-asetus (GDPR)
EU:n tietosuoja-asetus (GDPR) Asetus on suoraan sovellettavaa lainsäädäntöä Siirtymäaika päättyy 25.5.2018 Turvallisuuskulttuuri riskiperusteinen lähestymistapa Yksityisyyden suojan kunnioitus Selosteet,
LisätiedotSalon kaupunki , 1820/ /2018
Rekisterinpitäjä Nimi ja yhteystiedot Tietosuojavastaava Edustaja / Vastuutaho Nimi Salon kaupunki Nimi Tapani Rinne Nimi Kehittämispalveluiden esimies Janne Hyvärinen Osoite Tehdaskatu 2 Osoite Tehdaskatu
LisätiedotTietosuojaseloste 1 (6)
Kouvolan kaupunki Viestintä Tietosuojaseloste 1 (6) Seloste henkilötietojen käsittelytoimista ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679) 2.10.2018 1. Rekisterin nimi Kouvolan
LisätiedotHaaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 14.05.2018 1.
LisätiedotSalon kaupunki / /2018
Rekisterinpitäjä Nimi ja yhteystiedot Tietosuojavastaava Edustaja / Vastuutaho Nimi Salon kaupunki Nimi Nimi Kehittämispalveluiden esimies Janne Hyvärinen Osoite Tehdaskatu 2 Osoite Tehdaskatu 2 Osoite
LisätiedotKolarin kunnan tietosuojapolitiikka
Kolarin kunnan tietosuojapolitiikka Kunnanhallitus 8.5.2018 Sisällys 1. Johdanto... 3 2. Käsitteet... 3 3. Tietosuoja... 4 3.1 Tietosuojan määritelmä... 4 3.2 Tietosuojan tavoitteet ja periaatteet... 4
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotV-S Piiri / Täyskäsi / Alma. Tietosuojauudistus
030218 V-S Piiri / Täyskäsi / Alma Tietosuojauudistus Uudistuksen tavoite ja tarkoitus EU:n tietosuoja-asetuksen tarkoituksena on yhtenäistää tietosuojakäytäntöjä ja helpottaa jokaisen EU:n kansalaisen
Lisätiedot1. Yleiset Periaatteet
1. Yleiset Periaatteet 1 Esityksen runko Asetuksen soveltamisala Periaatteet Käsittelyn lainmukaisuus Käsittelyn lailliset perusteet 2 Soveltamisala 3 Soveltamisala Henkilötieto = tunnistettuun tai tunnistettavissa
LisätiedotTIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679
TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679 Laatimispäivä 24.5.2018 1 pitäjä Nimi Etelä-Pohjanmaan liitto Osoite Kampusranta 9 C, PL 109, 60101 Seinäjoki
LisätiedotToimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen
EU:n tietosuoja-asetus: Mitä uusi yleinen tietosuoja-asetus edellyttää organisaatiolta? Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry 13.2.2017 Ylitarkastaja Anna
LisätiedotSalon kaupunki , 1820/ /2018
Rekisterinpitäjä Nimi ja yhteystiedot Tietosuojavastaava Edustaja / Vastuutaho Nimi Salon kaupunki Nimi Tietosuojavastaava Nimi Kehittämispalveluiden esimies Janne Hyvärinen Osoite Tehdaskatu 2 Osoite
Lisätiedot5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018
5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018 Tietosuoja-asetus tulee varaudu oikein 15.12.2017 Crazy Town & Y-Studio Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen +358
LisätiedotTietosuojaseloste 1 (5)
Kouvolan kaupunki Hyvinvointipalvelut/Museopalvelut Tietosuojaseloste 1 (5) Seloste henkilötietojen käsittelytoimista ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679) 18.2.2019 1.
LisätiedotKameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN
1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN 2 REKISTERINPITOA KOSKEVAT YLEISET TIEDOT 3 TIETOJEN KÄYTTÖTARKOITUS Yksityisyytesi on meille tärkeää. Veho sitoutuu suojaamaan yksityisyyttäsi ja noudattamaan
LisätiedotKarelia-ammattikorkeakoulun tietosuojapolitiikka
1 Karelia-ammattikorkeakoulun tietosuoja- ja tietoturvaryhmän laatima Versio: 26.1.2018 Käsitelty 20.2.2018 Karelia-ammattikorkeakoulun yhteistyö- ja työsuojelutoimikunnassa Karelia-ammattikorkeakoulun
LisätiedotKOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT
1 KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT 1. TARKOITUS JA SOVELTAMISALA 1.1. Euroopan Unionin yleisen tietosuoja-asetuksen 2016/679 ( Tietosuoja-asetus ) soveltaminen
LisätiedotSalon kaupunki / /2018
Rekisterinpitäjä Nimi ja yhteystiedot Tietosuojavastaava Edustaja / Vastuutaho Nimi Salon kaupunki Nimi Nimi Kehittämispalveluiden esimies Janne Hyvärinen Osoite Tehdaskatu 2 Osoite Tehdaskatu 2 Osoite
LisätiedotTietosuojaseloste: Markkinointirekisteri
Tietosuojaseloste: Markkinointirekisteri EU:n yleinen tietosuoja-asetus (679/2016) Henkilötietolaki (523/1999) 10 ja 24 Päivitetty 18.05.2018 1. Rekisterinpitäjä Y-tunnus: 0784050-4 Seminaarinkatu 2, Intelli-rakennus,
LisätiedotSisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)
TIETOSUOJAPOLITIIKKA 1 (6) Vahvistettu Lapin yliopiston rehtorin päätöksellä 22.12.2018 Lapin yliopiston tietosuojapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietosuojapolitiikan kattavuus, tavoitteet
LisätiedotHaaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 14.5.2018 1. Rekisterinpitäjä
LisätiedotTietosuojaseloste 1 (5)
Kouvolan kaupunki Henkilöstöpalvelut Tietosuojaseloste 1 (5) Seloste henkilötietojen käsittelytoimista ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679) 15.8.2018 1. Rekisterin nimi
LisätiedotTietotilinpäätös osoitusvelvollisuuden toteuttamisessa
Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa Esitys perustuu Kati Suojasen ja Minna Järvisen kehittämistyöhön Tietotilinpäätös sen prosessit, toimijat ja rakenne vuodelta 2018 Juhta/VAHTI työpaja
LisätiedotHaminan tietosuojapolitiikka
Haminan tietosuojapolitiikka Kaupunginhallitus 21.5.2018 Tietosuoja Oikeus henkilötietojen suojaan on perusoikeus. Tietosuojaan kuuluvat ihmisten yksityiselämän suoja sekä muut sitä turvaavat oikeudet
LisätiedotLiana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot
https://docs.google.com/document/d/1vl7kwqdj2dfhgkzqnttrpynkeoq6rwtnb5zrlpv8lbg/edit# 1/7 Page 2/7 1. Tarkoitus ja soveltamisala 1.1. 1.2. 1.3. 1.4. Euroopan unionin yleisen tietosuoja asetuksen 2016/679
LisätiedotTIETOSUOJAPOLITIIKKA
TIETOSUOJAPOLITIIKKA 1 Sisällys 1 Johdanto... 3 2. Tietosuojatoimintaa ohjaavat tekijät... 4 3. Tietojen hankinta ja käsittely... 5 4. Rekisteröidyn oikeudet... 6 5. Rekisterinpitäjän oikeudet ja velvollisuudet...
LisätiedotAINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA
AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA Tietosuojavastaava Jarkko Reittu 13.11.2018 Aineiston jakamisen myyteistä ja haasteista/jarkko Reittu 1 ESITYKSEN KOHDE Kuinka tietosuojalainsäädäntö rajoittaa
LisätiedotTIETOSUOJA JA TIETOTURVA PIETARSAARENSEUDUN SEURAKUNTAYHTYMÄSSÄ
TIIVISTELMÄ Dokumentti sisältää Pietarsaarenseudun seurakuntayhtymän tietosuojan ja tietoturvan ohjaavan dokumentaation, kuten tietosuoja- ja tietoturvapolitiikat sekä niihin liittyvät määräykset. Yhtymä,
LisätiedotTeknologia avusteiset palvelutverkostopalaveri
Henkilötietojen käsittely ja GDPR:n vaikutukset GDPR Yleinen tietosuoja-asetus 25.5.2018 alkaen Teknologia avusteiset palvelutverkostopalaveri 16.10.18 Teija Karvonen Perusturvan tietosuojavastaava Esityksen
Lisätiedotalueen turvallisuuden lisääminen; sekä
1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN 2 REKISTERINPITOA KOSKEVAT YLEISET TIEDOT 3 TIETOJEN KÄYTTÖTARKOITUS Yksityisyytesi on meille tärkeää. Veho sitoutuu suojaamaan yksityisyyttäsi ja noudattamaan
LisätiedotTutkittavan informointi ja suostumus
Tutkittavan informointi ja suostumus yhdistettäessä tutkittavilta kerättyjä tietoja rekisteritietoihin Ylitarkastaja Raisa Leivonen Tietosuojavaltuutetun toimisto 9.12.2010 Kysy rekisteritutkimuksen luvista
LisätiedotTietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto
Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto Jari Ala-Varvi 03 / 2017 30.3.2017 1 Miksi? GDPR tietosuoja-asetus astui voimaan 25.5.2016 ja siirtymäaika päättyy 24.5.2018 Perusoikeuksien suoja monimutkaistuvassa
LisätiedotHenkilötietojesi käsittelyn tarkoituksena on:
1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN 2 REKISTERINPITOA KOSKEVAT YLEISET TIEDOT 3 TIETOJEN KÄYTTÖTARKOITUS Yksityisyytesi on meille tärkeää. Veho sitoutuu suojaamaan yksityisyyttäsi ja noudattamaan
LisätiedotTampereen Aikidoseura Nozomi ry
Tietosuojaseloste. c/o Heidi Ihanamäki Petäjässuonkatu 4 B 28 33580 Tampere www.nozomi.fi Y-tunnus 1456802-7 Tietosuojaseloste Sisällysluettelo 1. Rekisterinpitäjä ja yhteyshenkilö... 1 2. Rekisteröidyt...
LisätiedotTietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki
Yleistä Selosteen nimi Rekisterinpitäjä ja yhteystiedot Tässä selosteessa on esitetty tietosuoja-asetuksen edellyttämät rekisteröidylle toimitettavat tiedot tiiviissä ja ymmärrettävässä muodossa. Huomaathan,
LisätiedotHaaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 14.5.2018 1. Rekisterinpitäjä
LisätiedotTietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?
Kehitysvammaisten Tukiliitto ry 10.2.2018 Anna-Sofia Kivi Castrén & Snellman Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida? Castrén & Snellman 1 Asetus voimaan 25.5.2018 Sääntelymuotona
LisätiedotSisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Tapahtumienhallintajärjestelmää Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 14.5.2018
LisätiedotTietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö
Tietosuoja-asetus Tietoarkiston näkökulmasta Aila ja aineistojen jatkokäyttö -seminaari 17.9.2018 Arja Kuula-Luumi Kehittämispäällikkö 2 Sisältö Tietosuoja-asetuksesta yleisesti Tietoarkiston käytäntöjen
LisätiedotOrganisaatioluvan hakeminen
Organisaatioluvan hakeminen Vaatimukset Hakijan tulee toimittaa seuraavat kaksi asiakirjaa e-tutkijaan tehtävän lupahakemuksen liitteenä kun tutkimuksessa käsitellään henkilötietoja. 1. Tietosuojaseloste,
LisätiedotTietoturva yhdistyksessä
Tietoturva yhdistyksessä Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 Astunut voimaan 27.4.2016 Aletaan soveltaa 25.5.2018 EU:n tietosuoja-asetus: Asetuksen ja velvoitteiden noudattamista tuetaan
LisätiedotEU:n tietosuoja-asetus (GDPR)
EU:n tietosuoja-asetus (GDPR) Autoliiton liittokokous 19.5.2018 Aleksi Nieminen HR Legal Services Oy Sisältö Tietosuoja-asetus taustat ja vaikutukset Keskeiset käsitteet ja roolit Henkilötietojen käsittely
LisätiedotEU TIETOSUOJA- ASETUS
EU TIETOSUOJA- ASETUS BMF Kevätseminaari 18.4.2018 19.4.2018 EU tietosuoja-asetus / BMF kevätseminaari 1 MIKÄ ON HENKILÖTIETO? Luonnollista henkilöä koskeva tieto Nimi, henkilötunnus (suorat tunnisteet)
LisätiedotFintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg
Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg 26.1.2017 Sääntely-ympäristö Henkilötietolaki Perustuslaki EIS, EU perusoikeuskirja GDPR (PSD2) Työelämän tietosuojalaki Tietoyhteiskuntakaari
LisätiedotEU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo
EU:n yleinen tietosuoja-asetus mikä muuttuu Niina Harjunheimo 17.5.2016 Yleinen tietosuoja-asetus sovellettavaksi toukokuussa 2018 Yleistä tietosuoja-asetusta sovellettava sellaisenaan kaikissa EU-maissa
Lisätiedot[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]
1(5) L I I T E 5B T I E T O S U O J A 1. TARKOITUS Tällä tietosuojaliitteellä ( Tietosuojaliite ) [tilaaja] ( Tilaaja ) rekisterinpitäjänä ja käsittelijänä ja [toimittaja] ( Toimittaja ) henkilötietojen
LisätiedotKMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA
KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA 17.9.2018 Kuva- ja keilausaineistojen kerääminen, tietosuoja ja tietoturvallisuus 17.9.2018, Pasila 1 KMTK-UTEK LYHYESTI Viistoilmakuviin
LisätiedotTietosuojalainsäädännön uudistus
Tietosuojalainsäädännön uudistus Helsinki 28.11.2017 Johtava lakimies Ida Sulin, Suomen Kuntaliitto Miksi? Tietosuojavaltuutettu 5.4.2016: Tarvitaan vankka säännöstö, joka varmistaa, että ihmisten oikeus
LisätiedotInnoflame Oy:n verkkokauppatietosuojaseloste
Innoflame Oy:n verkkokauppatietosuojaseloste Tietosuoja ja henkilötietojen käsittely Innoflame Tietosuoja Innoflame Oy:n toiminnassa Oy:ssä Niin asiakkaiden kuin henkilökunnan yksityisyys on hyvin tärkeää
LisätiedotEU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO
EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO Kaisa Haaksiluoto Tietosuojavastaava Maanmittauspäivät 22.3.2018 1 LAINSÄÄDÄNTÖTAUSTA Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten
LisätiedotM U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I
M U U TO S TA L A A D U N E H D O I L L A K A I S A H A L S A S A V A I N A S I A K A S P Ä Ä L L I K K Ö K A I S A. H A L S A S @ A R T E R. F I 0 5 0 5 9 5 0 9 7 8 A R T E R O Y V a l i m o t i e 2 1
LisätiedotHenkilötietojen käsittelyn ehdot. 1. Yleistä
Henkilötietojen käsittelyn ehdot Liite 7 1 (6) Henkilötietojen käsittelyn ehdot 1. Yleistä 1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa PISA 2021 -palvelusopimusta (Dnro ), jäljempänä
LisätiedotVaikutustenarviointi GDPR:n mukaan
Vaikutustenarviointi GDPR:n mukaan Sosiaali- ja terveydenhuollon atk-päivät 2019 Vesa Nyman 8.5.2019 Vesa Nyman Suomen Kuntaliitto ry:n ja FCG Finnish Consulting Group Oy:n tietosuojavastaava 2 Vaikutustenarviointi
LisätiedotSuostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät
Suostumus ja informointi tietosuojan muuttuneet käytännöt Avoimen tieteen kevätpäivät 2019 14.5.2019 Esityksen sisältö 2 Tietosuoja-asetuksen keskeiset käsitteet ja periaatteet Henkilötietojen käsittelystä
LisätiedotEU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.
Tietosuojaseloste Sivu 1 (4) Tietosuojaseloste EU:n yleisen tietosuojaasetuksen (679/2016) mukainen versio Rekisterinpitäjä Tili ja isännöinti Harri Nupponen Ytunnus: 12826942 osoite: Sammontie 7 as 8,
LisätiedotTIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely
1/5 TIETOSUOJASELOSTE Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely TIETOJENKÄSITTELY PÄHKINÄNKUORESSA Yhdistys käsittelee jäsenistön henkilötietoja yhdistystoiminnan ylläpitämiseksi,
LisätiedotEU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio
Tietosuojaseloste Sivu 1 (4) Tietosuojaseloste EU:n yleisen tietosuojaasetuksen (679/2016) mukainen versio Rekisterinpitäjä Loviisan Keilailuliitto Lovisa Bowlingförbund Ry Ytunnus: 08306717 osoite: Seppäläntie
LisätiedotTietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere
TIETOSUOJASELOSTE Glaston Oyj:n ( Glaston ) työnhakijoiden henkilötietojen käsittely 1 REKISTERINPITÄJÄ Glaston Oyj Abp Vehmaistenkatu 5 PL 25 33731 Tampere 2 YHTEYDENOTOT TIETOSUOJA-ASIOISSA Tietosuoja-asiat
LisätiedotTietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)
Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016) Palvelun nimi: Etsivä nuorisotyö Tiedonanto laadittu: 10.7.2018 1. Rekisterinpitäjä:
LisätiedotKOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen
KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE 1 Rekisterinpitäjä Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen (y-tunnus 0597327-4) Rekisteriasioiden yhteyshenkilö
LisätiedotMiten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori
Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa Aapo Immonen, Valtori Sisältö Tietosuojavastaava ja tietosuojaorganisaatio Nykytilan kartoitus Rekisteröidyn oikeudet Rekisteripitäjän
LisätiedotUNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE
UNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE 1. Rekisterinpitäjä Rekisterinpitäjä on se United Bankers -konsernin yhtiö, jolle olet antanut suostumuksesi henkilötietojesi keräämiseen
LisätiedotKokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR
Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR Vastuullinen liikenne. Rohkeasti yhdessä. EU:n yleinen tietosuoja-asetus Voimaan 24.5.2016 2 vuoden siirtymäaika 25.5.2018 henkilötietojen
LisätiedotYksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike
Yksityisyydensuoja ja kirjaaminen Itsemääräämisoikeus ja asiakirjat THL 18.11.2016 Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike Yksityisyydensuoja perusoikeutena Jokaisen yksityiselämä, kunnia ja kotirauha
LisätiedotStrafican tietosuojakäytäntö
Strafican tietosuojakäytäntö (Voimaantulopäivä: 25. toukokuuta 2018) Strafica on päivittänyt tietosuojakäytäntöjään 25.5.2018 voimaan astuvan EU:n yleisen tietosuoja-asetuksen vaatimusten mukaiseksi (josta
LisätiedotEU:n tietosuoja-asetus Matti Sarmela
EU:n tietosuoja-asetus 10.11.2017 Matti Sarmela Asetuksen voimaanastuminen Euroopan parlamentti ja neuvosto antoivat keväällä 2016 yleisen tietosuoja-asetuksen 2016/679 (EU). Asetuksella kumotaan EU:n
LisätiedotCase-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys
Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys erikoislääkäri Tiina Varis Tutkimuspalvelut, VSSHP 16.5.2018 1 Henkilötietojen käsittelyn lainmukaisuus ja käsittelyperusteet (6
LisätiedotKoulutuskiertue
Koulutuskiertue 10.4. 12.4. Tietosuoja-asetus (GDPR) Yleistä Voimaan 25.5.2018 Asettaa yrityksille laajoja henkilötietojen käsittelyyn liittyviä velvoitteita Rikkomisesta seurauksena esim. sakko (20 miljoonaa
LisätiedotTämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä
Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä 1. Rekisterinpitäjä Kaupan liitto on rekisterinpitäjä ja vastaa henkilötietojen käsittelystä. Rekisterin osalta
Lisätiedot1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.
LiiteSopimusliite JAR1825129 Henkilötietojen käsittelyn ehdot 29.11.201822.10.2018 1 (5) JARDno-2017-1652 1. Yleistä 1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa Sopimusta työterveyshuollon
LisätiedotTietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki
Tietosuojainfo Tietosuojavastaava, Salon kaupunki EU:n yleinen tietosuoja-asetus Tullut voimaan 5/2016, kansallinen soveltaminen alkaa 25.5.2018 Asetus siis voimassa, eikä muutoksia sisältöön tule; Soveltamisohjeita
LisätiedotGDPR ja eprivacy mitä siis nyt pitäisi tehdä?
GDPR ja eprivacy mitä siis nyt pitäisi tehdä? Laura Tarhonen Privacy Manager Sanoma Oyj 8.6.2017 IAB Tietosuojaseminaari Kuvat: unsplash.com / esimerkkisivustot ja palvelut 2 Seitsemän asiaa, jotka voit
LisätiedotEU:n tietosuoja-asetus (2016/679)
EU:n tietosuoja-asetus (2016/679) Valtakunnalliset tutkimushoitaja- ja tutkimuskoordinaattoripäivät 17.3.2017 Helsinki Jaana Riikonen, tietosuojavastaava Puhummeko yhteistä kieltä? Tietosuojalla tarkoitetaan
Lisätiedot