Sofia Wilson

Transkriptio

1 Case Sanoma tietosuojaasetukseen valmistautuminen Sofia Wilson

2 Sisältö Yleiskatsaus: mikä muuttuu tietosuoja-asetuksen tullessa voimaan? Sanoma & data Sanoman tietosuojaohjelma Liiketoiminnan vastuu implementoinnista ja tietosuojafunktion rooli Yhteenveto & kysymyksiä 2

3 Direktiivistä asetukseen - Mikä muuttuu? Yksilöiden oikeudet laajenevat - Yksilöille tehokkaampi kontrolli omiin tietoihin - Lasten tietosuoja - Privacy & security by design Yritysten velvoitteet lisääntyvät - Dokumentointia vaatimusten noudattamisen todistamiseksi: prosessit, käytännöt, ohjeet, sopimukset - Henkilötiedon käsite laajenee Valvonta tehostuu - Riskit kasvavat, korkeat sakot - Vastuu sekä rekisterinpitäjällä että alihankkijoilla Kansainvälisen liiketoiminnan edellytykset paranevat - Unionin laajuinen digitaalinen sisämarkkina 3 3 December 2017 sw (c) Sanoma Corporation -Digimediapäivä Case Sanoma

4 4

5 Sanoman data-ekosysteemi Nettisivut ja - lehdet Kauppapaikat Luokitellut Oppimisratkaisut Kuluttajat, yrityskontaktit, oppilaat, työntekijät Tilit, tilaukset Profiilit Käyttäjän luoma sisältö, kommentit Havainnoitu data, intressit, hakuhistoria Analytiikka ja data management Tuotekehitys HR B2B & B2C prosessit

6 Mitä tietosuojaohjelma pitää sisällään? Tietosuojaohjelma Toimintaohje, strategia Käytännönläheiset ohjeistukset Prosessit ja työkalut Sanoman tietosuojaperiaatteet 1. Asianmukainen ja laillinen tietojenkäsittely 2. Liiketoiminnan vastuu 3. Oletusarvoinen tietosuoja ja -turva 4. Käyttötarkoitusten rajoittaminen 5. Läpinäkyvyys ja informointi 6. Asiakkaan valinnanvapaus ja pääsy dataan 7. Vastuullinen datan jakaminen 8. Sensitiivisen datan sekä lasten datan suojaaminen 9. Datan laadun hallinta 10.Tietoturva Tietotyyppien luokittelu Kuluttajan oikeudet ja niiden toteuttaminen Tietosuoja alihankkijoiden sopimuksissa Käyttäytymisdatan kerääminen ja suostumukset Viranomaisten tietopyynnöt ja ilmoitukset Tiedon elinkaaren hallinta Tietosuoja suoramarkkinoinnissa Mobiilisovellusten ja sijaintitietojen tietosuoja Lasten tietosuoja Informointi datan käsittelystä Tietoturvakäytännöt Sosiaalisen median tietosuoja Koulutukset 1. Vaikutusten arviointi (PIA) t& Privacy by Design prosessi 2. Tietosuojaa edistävät teknologiat (PET) 1. Evästehallinta 2. Digitaalisten tilien luvat 3. Sovellusten asetukset 3. Data-inventaari 4. Alihankkijoiden hallinta 5. Tietoturvaloukkauksien hallinta Ihmiset Lakiasiainjohtaja Tietosuojavastaava Strategisten yksiköiden tietosuojaomistajat Tietosuojamanagerit Tietosuoja championit Tietoturva Arkkitehdit, kehitys Lakiasiat Liiketoiminta Teknologiayksikkö 6

7 Tietosuojaohjelman avulla liiketoiminta ottaa implementointivastuun - Sisäiset, hallituksen hyväksymät tietosuojaperiaatteet - Hallinnointimalli tilivelvollisuuden takaamiseksi - Yhteiskuntasuhteet, joiden kautta vaikutetaan suotuisaan sääntelyympäristöön Toimintaohje & ohjelman johtaminen Ohjeistukset, prosessit, mahdollistajat - Periaatteisiin, lakiin ja toimialan parhaisiin käytäntöihin perustuvat käytännönläheiset ohjeistukset - Tietosuojaa edistävät teknologiat - Proaktiivinen ja jatkuva uhkien ja mahdollisuuksien arviointi liiketoiminnassa. - Läpinäkyvyys, käyttäjäystävällisyys ja tiedon käsittelyn säännöt läpi tiedon elinkaaren. Sisäänraken nettu & oletusarvoinen tietosuoja Speksit ja työkalut Monitorointi ja raportointi - Periaatteiden toteutumisen valvonta - Audit trail - Riskien hallinta - Raportointi johdolle Toteutus 7 3 December 2017 sw (c) Sanoma Corporation -Digimediapäivä Case Sanoma

8 Sanoma: Miten jalkautus tapahtuu käytännössä? Tavoitteena tietosuojan vaikutusarvioinnit kaikissa dataliitännäisissä projekteissa kun: Suunnitellaan uutta digitaalista tuotetta Kerätään uutta dataa Yhdistellään dataa uudella tavalla Käytetään uudenlaista teknologiaa Datalle on uusi käyttötarkoitus Suunnitellaan tietojen luovutuksia kolmansille osapuolille Aiheutetaan muita loppukäyttäjään kohdistuvia tietosuojavaikutuksia Fasilitioidaan tuotekehitystä automatisoimalla minimivaatimukset Dokumentoidaan henkilötietojen käsittelyä ja luodaan linjauksia Arvioidaan tietosuojavaikutuksia yksilön kannalta ja ennakoidaan riskit ja haitat Formulate Tarkistetaan vaatimustenmukaisuus New Policies sekä omien linjausten toteutuminen Mitigoidaan riskejä Dokumentoidaan kontrollit and sekä jätetään jäljitysketju Vastuutetaan liiketoiminta 8

9 DPO vs. bisnes Tietosuoja-asetuksessa on selkeät vaatimukset tietosuojavastaavan roolille Tietosuojavastaavan tulee antaa vaatimukset, ja liiketoiminnan dokumentoida perustelut poikkeuksille niistä Esimerkkejä GDPR vaatimus Tietosuoja Liiketoiminta DPIA Data breachit Prosessointisopimukset Kuvaa prosessin, luo kysymyslistat, evaluoi riskit, antaa suositukset, kouluttaa Kuvaa prosessin, luo dokumentointipohjat, evaluoi riskit, tekee viranomaisilmoitukset, kouluttaa Luo sopimuspohjat, neuvottelee eskaloituvista asioista Triggeröi tarpeen, kuvaa käsittelyn, konsultoi tietosuojavastaavaa, implementoi muutokset Hoitaa prosessin käytännössä, konsultoi tietosuojavastaavaa, dokumentoi ratkaisun Implementoi vaateet sopimuksiin, arkistoi, kantaa vastuun tehdyistä kompromisseista 9

10 Toimintamalli kannattaa rakentaa omalle liiketoiminnalle ominaisen datan lähtökohdista 1. Luokittele, mihin dataa käytetään, ja mihin käsittelyn lainmukaisuus perustuu (esim. sopimus, suostumus, oikeutettu etu) 2. Määrittele datatyypit, joita käyttökategorioissa käytetään, huomioiden rekisteröityjen ryhmät 3. Pidä huolta, että tiedät suunnitelluista muutoksista datan käyttöön Vaatii säännöllistä yhteydenpitoa liiketoiminnan ja tietosuojan välillä! 4. Määrittele säännöt sille, miten tehdään datayhteistyötä kolmansien osapuolten kanssa 5. Huolehdi, että datan käsittelyyn liittyvät prosessit, järjestelmät ja tietokannat on dokumentoitu 6. Suunnittele jalkautus niin, että rekisteröidyn oikeudet ja rekisterinpitäjän velvoitteet toteutuvat kaikissa datan käyttökategorioissa 10

11 Lopuksi GDPR implementointia suunniteltaessa on tärkeää hahmottaa oman yrityksen datan käsittelyn kategoriat ja suuntaviivat Tietosuojafunktio antaa ohjeet ja työkalut (esim.dokumentoinnille) sekä raportoi, liiketoiminta implementoi ja kantaa vastuun päätöksista Liiketoiminnan prosesseihin mukautettu privacy by design -malli tekee asetuksen vaatimusten noudattamisesta osan normaalia rutiinia, niin että hidastava vaikutus minimoituu 11

12 Questions? Comments? Linkedin.com/in/sofia-wilson