MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA YRITYSTOIMINNAN KANNALTA?

Transkriptio

1 MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA YRITYSTOIMINNAN KANNALTA? KESKI-SUOMEN XXVI MATKAILUPARLAMENTTI Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen

2

3 @tikkasec

4 HAASTE

5 Laki muuttuu EU:n tietosuoja-asetus astui voimaan toukokuussa 2016 Lain keskeinen tehtävä on suojella EU-kansalaisten henkilötietoja ja oikeuksia Toisaalta tietosuojalainsäädännön yhtenäistäminen EU:n jäsenmaiden välillä Laki koskee kaikkia organisaatioita, jotka käsittelevät EU-kansalaisten henkilötietoja 2 vuoden siirtymäaika päättyy

6 Tietosuoja-asetuksen sisältö ja tavoite Kansalaisille enemmän oikeuksia Rekisterinpitäjille uusia velvollisuuksia Viranomaisille laajempia valtuuksia EU-tasolla vahva, yhtenäinen ja kattava tietosuojan kehys Digitaalisten sisämarkkinoiden kehittyminen (Digital Single

7 Kivinen tie Lähes satasivuinen laki työllistää varsin paljon: Miten lähdetään purkamaan lakitekstiä? Mikä on nykytila suhteessa asetuksen vaatimuksiin? Mistä löydetään käytännön ratkaisut ja kumppanit havaittuihin kehittämistarpeisiin? Millä aikataululla ja resursseilla velvoitteet voidaan toteuttaa?

8 GDPR PERUSKÄSITTEET

9 GDPR Peruskäsitteet - Henkilötieto Tietosuoja-asetus ei yksiselitteisesti määrittele, mikä on henkilötietoa. Asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa. Henkilötietoja voivat näin ollen tilanteesta riippuen olla esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IPosoite, jne. 4 artikla, kohta 1: henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella

10 GDPR Peruskäsitteet - Rekisteröity Rekisteröity (data subject) Luonnollinen henkilö, jonka henkilötietoa kerätään ja/tai käsitellään Tietosuoja-asetus ei koske kuolleita henkilöitä

11 GDPR Peruskäsitteet - Käsittely Henkilötietojen käsittelyä manuaalisesti tai automaattisesti. Käsittelyä on tietojen kerääminen, tallentaminen, järjestäminen, muokkaaminen, haku, tietojen luovuttaminen, jne. Käsittelystä säädetään asetuksessa useissa eri artikloissa, esim. 29 artikla: Tietojen käsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa 30 artikla: Seloste käsittelytoimista 32 artikla: Käsittelyn turvallisuus 4 artikla, kohta 2: käsittelyllä toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

12 GDPR Peruskäsitteet - Rekisteri Rekisteri on henkilötietojen tietojoukko, joka voi sijaita yhdessä tai useammassa tietojärjestelmässä, myös manuaaliset järjestelmät huomioiden Esimerkiksi käyttäjärekisteri ja jäsenrekisteri ovat henkilörekistereitä Verkkokauppoihin ja kirjautumista vaativiin palveluihin syntyy väistämättä henkilörekisteri 4 artikla, kohta 6: rekisterillä mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

13 GDPR Peruskäsitteet - Rekisterinpitäjä Rekisterinpitäjä (data controller) Luonnollinen henkilö, yritys, viranomainen, yhdistys, laitos tai säätiö. Juridisessa vastuussa rekisteristä, joka määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot. 4 artikla, kohta 7: rekisterinpitäjällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

14 GDPR Peruskäsitteet - Käsittelijä Käsittelijä (data processor) Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta Esim. digitaalisten palveluiden toimittajat käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa Käsittelijän on käsiteltävä henkilötietoja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan 4 artikla, kohta 8: henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

15 GDPR Peruskäsitteet - Suostumus Suostumus (consent): henkilön antama lupa tallentaa ja käsitellä omia henkilötietojaan Rekisteröidyn vapaaehtoinen ja informoitu suostumus Oltava yksiselitteinen tahdonilmaus henkilötietojen käsittelylle Jatkossa ns. Opt-in! Rasti ruutuun, jos ET halua, että sinulle lähetetään markkinointiviestejä Vs. Rasti ruutuun, jos HALUAT, että sinulle lähetetään markkinointiviestejä 4 artikla, kohta 11: rekisteröidyn suostumuksella mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

16 GDPR Peruskäsitteet - Tietosuojavastaava Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tietosuojavastaavan tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Tietosuojavastaava ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle. Tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

17 GDPR Peruskäsitteet Henkilötietojen tietoturvaloukkaus Henkilötietojen tietoturvaloukkaus voi tapahtua niin tietomurron kuin inhimillisen virheen seurauksena Vahingossa tai lainvastaisesti tuhottu, hävitetty, muutettu tai luvatta luovutettu Pääsy tietoihin, urkinta, ilman lupaa Useimmiten inhimillisen virheen seurauksena tapahtunut vahinko 4 artikla, kohta 12: henkilötietojen tietoturvaloukkauksella tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

18 @tikkasec

19 Tietosuojan integrointi tietoturvallisuuteen Tietosuojalla tarkoitetaan lähinnä yksilön (rekisteröity) yksityisyyden ja luottamuksen turvaamista tietosisällöllisesti Tietosuojassa siis kysymys rekisteröidyn oikeuksista ja niihin liittyvistä prosesseista Tietoturva on puolestaan yleisemmällä tasolla tiedon luottamuksellisuuden, eheyden ja saatavuuden turvaamista erilaisin teknologisin (palomuurit, virustorjunta, jne.) ja hallinnollisin (prosessit jne.) menetelmin Tietoturvan kehitysprojekteja liittyen tietosuojaan, esim. Pääsynhallinta, (access management) Identiteetin ja käyttövaltuuksien hallinta (IDM&IAM) Lokihallinta ja SIEM (tietoturvatiedon ja tapahtumien hallinta)

20

21 Tietosuojan integrointi tietoturvallisuuteen /2 Tietosuojan ja tietoturvan integrointi käytännössä Integroi yhteneväisyydet Poista päällekkäisyydet Tietoturvaa ja tietosuojaa tulee molempia toteuttaa riskilähtöisesti Panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin TIETOTURVAN JATKUVA JOHTAMINEN TUNNISTA SUOJATTAVAT KOHTEET TUNNISTA SUOJATTAVIIN KOHTEISIIN KOHDISTUVAT RISKIT ANALYSOI RISKIT JA VALITSE TÄRKEIMMÄT RISKIT JOTKA TULEE KÄSITELLÄ TUNNISTA JA TOTEUTA RISKIN POISTAMISEKSI / PIENENTÄMISEKSI TARVITTAVAT TOIMENPITEET REAGOI TOTEUTUNEISIIN RISKEIHIN JA OTA OPIKSI RISKIENHALLINTA

22 Tietosuojan integrointi tietoturvallisuuteen /2 Tietoturvallisuus toteutuu Tietojärjestelmissä Vaihe 1 Menetelmä a Menetelmä b Vaihe 2 Menetelmä c Vaihe 3 Menetelmä d Menetelmä e Menetelmä f Prosesseissa Viestinnässä

23 Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä

24 Perusperiaatteet henkilötietojen käsittelyssä 1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia: a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys b) Käyttötarkoitussidonnaisuus mihin tarkoitukseen tietoja kerätään? c) Tietojen minimointi ei kerätä/säilytetä turhaa tietoa d) Täsmällisyys tiedot ajan tasalla e) Säilytyksen rajoittaminen vain niin kauan kuin tarpeen f) Eheys ja luottamuksellisuus tietoturvan toteutuminen 2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu -> osoitusvelvollisuus (Tietosuoja-asetus 5. artikla)

25 Käsittelyn lainmukaisuus Rekisteröity on antanut suostumuksensa Käsittely on tarpeen sopimuksen täytäntöön panemiseksi, Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna

26 Rekisteröidyn oikeudet Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Jatkossa yritysten tulee antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi Rekisteröidyn oikeus saada pääsy omiin tietoihin Rekisteröidyillä oikeus saada itseään koskevat tiedot koneluettavassa muodossa Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi Huomioitava muu lainsäädäntö, ts. mitä tietoja pitää lain mukaan säilyttää rekistereissä (esim. kirjanpitolaki) Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta Oikeus siirtää tiedot järjestelmästä toiseen Rekisteröidyllä oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen Vastustamisoikeus Oikeus vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

27

28 Rekisterinpitäjän velvollisuudet Tietosuoja-asetus tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilivelvollisuus / osoitusvelvollisuus). Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa Ts. pystyttävä dokumentoidusti osoittamaan, että tietosuojaa toteutetaan tietosuoja-asetuksen mukaisesti

29 Rekisterinpitäjän velvollisuudet: Tietosuojarikkomuksista ilmoitusvelvollisuus Nykytila: henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus tietosuojavaltuutetulle sisältyy vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin (617/2009). Jatkossa jokainen organisaatio on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta niin valvontaviranomaiselle kuin rekisteröidyillekin Jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä Yrityksillä on siis oltava valmiuksia tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin

30 Rekisterinpitäjän velvollisuudet: Esimerkki tietosuojarikkomuksen ilmoituksesta Lähde: EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016

31 Rekisterinpitäjän velvollisuudet: Avoimuus Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista, ( rekisteriseloste ) mm. Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on nimitetty) Mihin tarkoituksiin henkilötietoja käsitellään ja mikä on käsittelyn oikeusperusta (esim. palvelun tarjoamiseksi rekisteröidyn suostumuksella) Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat Jos henkilötietoja siirretään kolmanteen maahan, miten tietosuojasta on huolehdittu ja mistä rekisteröity voi saada siitä lisätietoja

32 GDPR Keskeiset vaikutukset Epäonnistumisen vaikutuksia organisaatiotasolla, mm. Taloudelliset vahingot ja rikosoikeudelliset seuraamukset Menetetyn aineettoman omaisuuden aiheuttama vahinko Arkaluonteisen tiedon menettämisen aiheuttamat vahingot Kilpailuedun ja maineen menetys Asiakkaiden ja yhteistyökumppaneiden menetys Sanktiot maksimissaan: 2% / 10M, 4% / 20 M Johdonmukaisempi soveltaminen ja tehokas täytäntöönpano Asian käsittely asianomaista lähellä olevassa tietosuojaviranomaisessa ja oikeusistuimessa Parhaimmillaan voi olla yritykselle kilpailuetu huolehdimme yksityisyydestäsi

33 Rekisteröidyn oikeudet - suoramarkkinointi Nykytila: Henkilötietolaissa eroteltu toisistaan henkilötietojen käsittely suoramarkkinointitarkoituksiin Esim. suostumuksen tai asiakassuhteen perusteella Pysyvän markkinointirekisterin perustamisella, kun henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten Markkinointiviestin yhteydessä informoitava, mistä henkilötiedot on hankittu GDPR ei juurikaan yksityiskohtaista suoramarkkinointia koskevia sääntöjä tietojenkäsittelyn osalta Poikkeuksena vastustamisoikeus: Rekisteröidyllä milloin tahansa ja maksutta oikeus vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin Muutos nykyiseen: Opt-in Opt-outin sijaan Lisäksi sähköistä suoramarkkinointia koskevia säännöksiä edelleen myös sähköisen viestinnän tietosuojadirektiivissä, sekä tietoyhteiskuntakaaressa

34 Tietosuojatoimijoiden asema & vastuut Rekisterinpitäjän velvollisuus on varmistaa, että käsittelyssä noudatetaan asetuksen määräyksiä Sisäiset prosessit Ulkoistettujen palvelujen sopimukset Kaiken muun voit ulkoistaa, paitsi vastuun" Tietojen käsittelijän on noudatettava rekisterinpitäjän ohjeistuksia Käsittelystä on sovittava kirjallisesti Käsittely vain rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti Vastuussa käsittelyn turvallisuudesta Tietosuojavastaavan tehtävänä on seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Toimii valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä Ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle!

35 Tietosuojarikkomusten käsittely /2 Tietosuojaviranomaisella on useita keinoja puuttua ongelmiin: varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä (vs. rekisteröidyn oikeudet) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle

36 Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä) Pykälän 1 momentissa säädettäisiin, että henkilö, joka muutoin kuin yleisessä tietosuojaasetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksessa, tietosuojalaissa tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely ( urkinta ) ilman käsittelyn oikeuttavaa perustetta Esim. silkasta uteliaisuudenhalusta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista

37 Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä) Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1 4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä. Rangaistavaa voisi olla muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.

38 Vahingonkorvaus rekisteröidylle Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta

39 Mitä toimenpiteitä tulisi jokaisessa organisaatiossa toteuttaa?

40 Dokumentointivelvoitteet Tilivelvollisuuden vuoksi on tehtävä paljon erilaista dokumentaatiota Tietosuojaselosteet, rekisteriselosteet Tiedon käsittelyn prosessit Dokumentoidut riskianalyysit Sopimukset tietojen käsittelijöiden kanssa oltava kirjallisena ja niissä sovittava käsittelystä Ohjeistukset tietojen käsittelijöille Tietoturvallisuuteen liittyvä dokumentaatio

41 Käytännön muutoksia arkipäivään Riskien arviointi pitäisi ottaa jatkuvaksi käytännöksi Henkilökunnan kouluttaminen ja tietoisuuden lisäys Erityisesti rohkaisu ja motivointi tuomaan esille puutteita Tietosuojan kehittämisen vuosikello Jatkuva kehittäminen

42 Tietoturvan kehittäminen tietosuojan näkökulmasta Tietosuoja-asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely on turvattua. Riskianalyysi Turvallinen verkko- ja järjestelmäarkkitehtuuri Pääsynhallinta Päivitysten ja muutosten hallinta Fyysinen turvallisuus Henkilöstöturvallisuus (ml. Tietoturvatietoisuus, koulutus) Toiminnan jatkuvuuden hallinta (tietojen varmuuskopiointi, toipumissuunnitelmat ) Tietoturvallisuuden hallinta (roolit, vastuut, )

43 Tietosuoja-asetuksen huomiointi hankinnoissa Tietosuoja hankinnoissa Henkilötietojen käsittelyn lainmukaisuuden varmistaminen Rekisterinpitäjällä on lähtökohtaisesti ns. ankara vastuu. Henkilötietojen käsittelijän vastuu on toissijaista. Käsittelijä on vastuussa vain, jos se ei ole noudattanut tietosuoja-asetuksessa käsittelijälle nimenomaisesti asetettuja velvoitteita tai rekisterinpitäjän ohjeistusta Vastuut ja velvoitteet sopimuksiin!

44 Yhteenveto: Mikä muuttuu? Eräissä tapauksissa jopa vähemmän sääntelyä ja määräyksiä Aiemmin vaadittu lupa tietosuojalautakunnalta rekisteröidyn elintärkeän edun suojaamiseksi muissa kuin yksittäistapauksissa -> lupamenettely poistuu, mutta vastuu rekisterinpitäjällä! Myös tietosuojalautakunnan toiminta lakkaa Jatkossa yleinen velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta Tietosuoja-asetuksen seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin sakkoihin Aiemmin painottunut vahvasti rikosoikeudelliseen järjestelmään

45 Yhteenveto: Suurimmat haasteet Osoitusvelvollisuus (5 artikla) Organisaation tulee pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä toimitaan asetuksen mukaisesti Dokumentaatiovelvoitteet, mm. kuvaukset henkilörekistereistä ja henkilötietojen käsittelyn prosessit Rekisteröidyn oikeuksien toteutuminen Rekisteri/tietosuojaselosteet, joissa kerrotaan tietojen käsittelystä Suostumuslomakkeet / suostumuksen peruuttaminen Rekisteröidyn pääsy omiin tietoihinsa Ilmoitukset tietosuojaloukkauksista Sopimusten tarkistaminen Henkilötietojen käsittelystä pitää sopia selkeästi (oltava kirjallinen sopimus) Mm. Artikla 24: Rekisterinpitäjän tulee varmistaa, että käytetyt tietojärjestelmät ovat asetuksenmukaisia Tietoturvan kehittäminen Toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen ja niiden käsittelyn turvaamiseksi Henkilöstön koulutus

46 Tietosuojaprojektin perusaskeleet Johdon sitoumus tietosuojan kehittämiseen Kartoita tietojen käsittelyn nykytila ja listaa henkilötietorekisterit. Ota huomioon myös mahdolliset henkilötietojen käsittelyn ulkoistukset. Päivitä prosessit asetuksen mukaisiksi. Hanki henkilöiltä lupa tietojen keräämiseen. Nimeä organisaatioon tietosuojavastaava

47 Tietosuojaprojektin perusaskeleet Tarkista sopimustilanne asiakkaiden, palveluntuottajien, alihankkijoiden sekä toimittajien kanssa. Varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sopimuksen sisältö on tietosuoja-asetuksen vaatimusten mukainen. Dokumentoi tietoturvakäytännöt Laadi tietotilinpäätös Arjen tietosuojakoulutus

48 Esimerkki työkalusta / palvelusta, jonka avulla voidaan tehdä nykytilan kartoitus, ja tarvittava dokumentointi.

49 Kyberturvallisuuden kehittämisprojekteja julkiselle sektorille Tietosuojan kehittämisprojekteja pksektorille Tietosuojakoulutuksia yrityksille ja julkisille organisaatioille

50 GDPR ja HR: Kuinka varautua tietosuoja-asetukseen henkilöstöhallinnon näkökulmasta? Keski-Suomen kauppakamarin koulutus klo 8:30-12:30 (sis. lounas) 1. EU:n tietosuoja-asetuksen yleiskatsaus a. Johdatus tietosuojaan: GDPR tausta ja peruskäsitteet CASE-esimerkin kautta tarkasteltuna b. Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä 2. Käytännön CASE-esimerkkejä HR-prosesseista ja -järjestelmistä, joihin tietosuoja-asetus väistämättä vaikuttaa a. Tietosuoja-asetus ja työsuhteen elinkaari: CASE-esimerkit tietosuoja-asetuksen huomioimisesta henkilötietojen käsittelyssä b. Kuinka tietosuoja-asetus tulisi huomioida henkilöstöhallinnon prosesseissa ja HR-järjestelmissä? c. Mitä tulee huomioida esim. työhaastatteluja ja soveltuvuusarviointeja järjestettäessä? 3. Tietosuoja-asetuksen huomioiminen sopimuksissa a. Mitä tulisi huomioida järjestelmätoimittajien kanssa tehtävissä sopimuksissa ja ohjeistuksissa? b. Millaisia vaatimuksia hankittavalle järjestelmälle tai palvelulle tulisi asettaa? c. Miten lähestyä nykyisiä sopimuskumppaneita? Pekka Vepsäläinen

51 OTA YHTEYTTÄ JA KYSY LISÄÄ! Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen

52 Lähdeluettelo Tietosuoja-asetus Tietosuojavaltuutetun toimiston ohjeistukset EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/ Pekka Vepsäläinen