5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Transkriptio

1 5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018 Tietosuoja-asetus tulee varaudu oikein Crazy Town & Y-Studio Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen

2 PEKKA VEPSÄLÄINEN Kyberturvallisuuden kehittämisprojekteja julkiselle sektorille Tietosuojan kehittämisprojekteja pksektorille Tietosuojakoulutuksia yrityksille ja julkisille organisaatioille Pekka Vepsäläinen

3 HAASTE

4

5

6 Tietosuoja-asetuksen sisältö ja tavoite Kansalaisille enemmän oikeuksia Rekisterinpitäjille uusia velvollisuuksia Viranomaisille laajempia valtuuksia EU-tasolla vahva, yhtenäinen ja kattava tietosuojan kehys Digitaalisten sisämarkkinoiden kehittyminen (Digital Single

7 JOITAKIN PERUSKÄSITTEITÄ & PERUSPERIAATTEITA

8 HENKILÖTIETO

9 REKISTERÖITY HENKILÖTIETO

10 REKISTERÖITY HENKILÖTIETO REKISTERINPITÄJÄ

11 REKISTERÖITY HENKILÖTIETO REKISTERINPITÄJÄ REKISTERI

12 Perusperiaatteet henkilötietojen käsittelyssä 1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia: a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys b) Käyttötarkoitussidonnaisuus mihin tarkoitukseen tietoja kerätään? c) Tietojen minimointi ei kerätä/säilytetä turhaa tietoa d) Täsmällisyys tiedot ajan tasalla e) Säilytyksen rajoittaminen vain niin kauan kuin tarpeen f) Eheys ja luottamuksellisuus tietoturvan toteutuminen 2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu -> osoitusvelvollisuus (Tietosuoja-asetus 5. artikla)

13 Käsittelyn lainmukaisuus Rekisteröity on antanut suostumuksen Käsittely on tarpeen sopimuksen täytäntöön panemiseksi, Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna (kun on jo esim. asiakassuhde olemassa)

14 5 (+2) STEPPIÄ CASE: ASIAKASTIEDOT

15

16 1. KARTOITA NYKYTILA

17 Pekka Vepsäläinen Osoite, jne. REMPPA AB

18 Pekka Vepsäläinen Osoite, jne. REMPPA AB

19 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REMPPA AB

20 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REMPPA AB TAVARAN TOIMITUS

21 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REMPPA AB TAVARAN TOIMITUS ASENNUS

22 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REMPPA AB TALHA TAVARAN TOIMITUS LASKUTUS LASKUTUS ASENNUS

23 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REMPPA AB TALHA TAVARAN TOIMITUS JÄLKI- MARKKINOINTI LASKUTUS LASKUTUS ASENNUS

24 RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU TULOTIEDOT REKISTERINPITÄJÄ REMPPA AB TALHA TAVARAN TOIMITUS JÄLKI- MARKKINOINTI LASKUTUS LASKUTUS ASENNUS

25 2. RISKIEN ARVIOINTI

26 Tietosuojan integrointi tietoturvallisuuteen Tietoturvallisuus toteutuu Tietojärjestelmissä Vaihe 1 Menetelmä a Menetelmä b Vaihe 2 Menetelmä c Vaihe 3 Menetelmä d Menetelmä e Menetelmä f Prosesseissa Viestinnässä

27 Tietosuojan integrointi tietoturvallisuuteen /2 Tietoturvaa ja tietosuojaa tulee molempia toteuttaa riskilähtöisesti Panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin Myös tietosuoja-asetus huomioi toteuttamiskustannukset TIETOTURVAN JA TIETOSUOJAN JATKUVA JOHTAMINEN TUNNISTA SUOJATTAVAT KOHTEET TUNNISTA SUOJATTAVIIN KOHTEISIIN KOHDISTUVAT RISKIT ANALYSOI RISKIT JA VALITSE TÄRKEIMMÄT RISKIT JOTKA TULEE KÄSITELLÄ TUNNISTA JA TOTEUTA RISKIN POISTAMISEKSI / PIENENTÄMISEKSI TARVITTAVAT TOIMENPITEET REAGOI TOTEUTUNEISIIN RISKEIHIN JA OTA OPIKSI RISKIENHALLINTA

28 KÄSITTELYN TURVALLISUUS RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. RISKIEN KÄSITTELY YMPÄRISTÖN MÄÄRITYS SOTU TULOTIEDOT RISKIANALYYSI REMPPA AB RISKIEN PRIORISOINTI TALHA RISKIEN TUNNISTUS TAVARAN TOIMITUS JÄLKI- MARKKINOINTI LASKUTUS LASKUTUS RISKIEN ANALYSOINTI ASENNUS

29 3. PÄIVITÄ PROSESSIT JA JÄRJESTELMÄT

30 Pekka Vepsäläinen MARKKINOINTI MYYNTI RAHOITUS PANKKI Osoite, jne. SOTU TULOTIEDOT RAHOITUS JÄLKI- MARKKINOINTI PROSESSIT REMPPA AB JÄLKI- MARKKINOINTI TALOUS- HALLINTO LASKUTUS TALHA TUOTANTO TAVARAN TOIMITUS LASKUTUS ASENNUS

31 KÄSITTELYN TURVALLISUUS RAHOITUS TIETOTURVA PANKKI Pekka Vepsäläinen Osoite, jne. TIETOTURVA TIETOTURVA PÄÄTELAITTEEN TIETOTURVA SOTU TULOTIEDOT REKISTERINPITÄJÄ REMPPA AB TIETOTURVA JÄLKI- MARKKINOINTI TALHA TIETOTURVA LASKUTUS PÄÄTELAITTEEN TIETOTURVA TAVARAN TOIMITUS LASKUTUS PÄÄTELAITTEEN TIETOTURVA ASENNUS

32 4. TARKISTA SOPIMUKSET

33 SOPIMUS Pekka Vepsäläinen Osoite, jne. SOPIMUKSET SOPIMUS SOTU TULOTIEDOT RAHOITUS PANKKI SOPIMUS REKISTERINPITÄJÄ REMPPA AB SOPIMUS JÄLKI- MARKKINOINTI LASKUTUS TALHA SOPIMUS SOPIMUS TAVARAN TOIMITUS LASKUTUS ASENNUS

34 5. DOKUMENTAATIO KUNTOON

35 LÄPINÄKYVÄ INFORMOINTI JA VIESTINTÄ RAHOITUS PANKKI Pekka Vepsäläinen Osoite, jne. SOTU REKISTERI- SELOSTE REKISTERI- SELOSTE TULOTIEDOT REKISTERINPITÄJÄ REMPPA AB REKISTERI- SELOSTE JÄLKI- MARKKINOINTI LASKUTUS LASKUTUS TALHA REKISTERI- SELOSTE ASENNUS TAVARAN TOIMITUS

36 Pekka Vepsäläinen MARKKINOINTI MYYNTI RAHOITUS PANKKI Osoite, jne. SOTU TULOTIEDOT RAHOITUS TALOUS- HALLINTO JÄLKI- MARKKINOINTI JÄLKI- MARKKINOINTI PROSESSIEN KUVAUS REMPPA AB LASKUTUS TALHA TUOTANTO TAVARAN TOIMITUS LASKUTUS ASENNUS

37 Pekka Vepsäläinen Osoite, jne. KÄSITTELYN TURVALLISUUS OHJEIS TUS OHJEIS TUS SOTU TULOTIEDOT RAHOITUS PANKKI REKISTERINPITÄJÄ REMPPA AB JÄLKI- MARKKINOINTI OHJEIS TUS LASKUTUS TALHA OHJEIS TUS TAVARAN TOIMITUS LASKUTUS ASENNUS

38 YHTEENVETO

39 Milloin pk-yrittäjän pitäisi herätä? Millainen data / tieto edellyttää, että pk-yrittäjällä pitää herätyskellojen soida? Asetuksen mukaan henkilötietoa on kaikki sellainen tieto, josta henkilö on tunnistettavissa, myös yhdistettäessä eri rekisterien tietoja. Esim. markkinointirekisterit, asiakasrekisterit, työntekijöistä syntyvät HR-rekisterit Käytännössä lähes jokaisen yrityksen otettava siis huomioon

40 5+2 steppiä kohti GDPR velvoitteita 1. Kartoita nykytila 2. Tee riskien arviointi 3. Päivitä prosessit ja järjestelmät 4. Tarkista sopimukset 5. Dokumentaatio kuntoon + 2 bonussteppiä -> Nimeä tietosuojavastaava -> Laadi tietotilinpäätös

41 TIETOSUOJAPROJEKTIN ROADMAP PÄÄASIALLISET OSA-ALUEET 1. Prosessien kartoitus prosessikuvaukset Henkilörekisterien tunnistaminen henkilötiedon kulku prosessin eri vaiheissa Missä prosesseissa käsitellään arkaluonteista tietoa? Kipupisteiden löytäminen 2. Tietojärjestelmien kartoitus (prosessikartoituksen rinnalla) Missä tietojärjestelmissä henkilötietoja käsitellään? Kuinka tietoturvasta on tällä hetkellä huolehdittu? Millaisia sopimuksia on laadittu? Mainitaanko niissä henkilötietojen käsittelystä? 3. Riskianalyysi prosesseille ja järjestelmille Tunnistetut kipupisteet, esim. arkaluonteisen henkilötiedon käsittely Sisäiset ja ulkoiset uhat 4. Vaikutustenarviointi (tarvittaessa, riskianalyysin pohjalta) Korkeariskisille kohteille 5. Toimenpidesuunnitelma (edellisten kohtien pohjalta) Vuosisuunnitelma, tehtävien vastuutus Pekka Vepsäläinen

42 TIETOSUOJAPROJEKTIN ROADMAP PÄÄASIALLISET OSA-ALUEET 6. Prosessien ja järjestelmien päivittäminen & dokumentointi Sisäänrakennettu ja oletusarvoinen tietosuoja, mm. tietoturvan kehittäminen Rekisteröityjen tietopyynnöt (tarkistus, päivitys, poisto) Henkilötietojen käsittelyn prosessit esim. tiedon kerääminen, säilyttäminen, tuhoaminen, 7. Dokumentaation viimeistely Rekisteriselosteet, suostumuslomakkeet, prosessikuvaukset Ohjeistukset, tietojen käsittelyn kuvaus Tietoturvapoikkeamien raportointi 8. Sopimusten tarkistus Järjestelmäkartoitukset pohjana, mutta huomioiden erityisesti kohta Tietosuojavastaavan koulutus Aktiivinen rooli toimenpiteissä koko tietosuojaprojektin aikana 10. Henkilöstön koulutus Yleisen tietosuojakoulutuksen lisäksi painopiste prosessimuutosten jalkauttamisessa Kohderyhmänä erityisesti henkilötietoa käsittelevät työntekijät Pekka Vepsäläinen

43 Yhteenveto: Suurimmat haasteet Osoitusvelvollisuus (5 artikla) Organisaation tulee pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä toimitaan asetuksen mukaisesti Dokumentaatiovelvoitteet, mm. kuvaukset henkilörekistereistä ja henkilötietojen käsittelyn prosessit Rekisteröidyn oikeuksien toteutuminen Rekisteri/tietosuojaselosteet, joissa kerrotaan tietojen käsittelystä Suostumuslomakkeet / suostumuksen peruuttaminen Rekisteröidyn pääsy omiin tietoihinsa Ilmoitukset tietosuojaloukkauksista Sopimusten tilanne Henkilötietojen käsittelystä pitää sopia selkeästi (oltava kirjallinen sopimus) Mm. Artikla 24: Rekisterinpitäjän tulee varmistaa, että käytetyt tietojärjestelmät ovat asetuksenmukaisia Tietoturvan kehittäminen Toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen ja niiden käsittelyn turvaamiseksi Henkilöstön koulutus

44 Dokumentointivelvoitteet Osoitusvelvollisuuden vuoksi on tehtävä paljon dokumentaatiota Tietosuojaselosteet, rekisteriselosteet Tiedon käsittelyn prosessit Dokumentoidut riskianalyysit Sopimukset tietojen käsittelijöiden kanssa oltava kirjallisena ja niissä sovittava käsittelystä Ohjeistukset tietojen käsittelijöille Tietoturvallisuuteen liittyvä dokumentaatio Jne. Pekka Vepsäläinen

45 OTA YHTEYTTÄ JA KYSY LISÄÄ! Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen