Tietosuoja-asetuksen velvoitteet ja vastuut

Samankaltaiset tiedostot
EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietoturva yhdistyksessä

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Teknologia avusteiset palvelutverkostopalaveri

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuoja-asetus (GDPR)

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Kolarin kunnan tietosuojapolitiikka

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Salon kaupunki , 1820/ /2018

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Salon kaupunki / /2018

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Tulevat säädösmuutokset ja tietosuoja

GDPR Tietosuoja-asetus

Ajankohtaista tietosuoja-asetuksesta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Varustekorttirekisteri - Tietosuojaseloste

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

1. Yleiset Periaatteet

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

IF-INFO MEKLAREILLE

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

EU:n tietosuoja-asetus Matti Sarmela

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

Termit. Tietosuojaseloste

Tampereen Aikidoseura Nozomi ry

EU:n tietosuoja-asetus

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus


Tietosuojauudistus - Välityömarkkinat. Sanni Harju

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

INHUNT LAW OY:N TIETOSUOJAILMOITUS

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Tietosuoja-asetus Immo Aakkula Arkistointi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

WORKSPACE OY REKISTERISELOSTEET

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Transkriptio:

EU:n tietosuoja-asetukseen valmistautuminen Petteri Günther 26.2.2018 Tietosuoja-asetuksen velvoitteet ja vastuut Pääkohdat: mistä on kyse? Asetuksen keskeiset vaatimukset ja liikkumavara Rekisterinpidon peruste ja rekisterinpitäjän asema Tiedon hallinta ja omistajuus Tiedon laatu ja luonne Tietosuojan huomioiminen organisaation toiminnoissa ja osoitusvelvollisuus Rekisteröidyn oikeudet Tietosuojakäytännöt ja -ohjeet Tietosuojasopimukset Tietosuojaorganisaatio ja tietosuojavastaavan rooli Järjestelmät ja tietoarkkitehtuuri Mitä tule huomioida GDPR:ään valmistauduttaessa? 2 1

Henkilötietojen käsittely ja tietosuoja-asetus Yleinen tietosuoja-asetus: Mistä on kyse? Asetus tullut voimaan toukokuussa 2016, mutta sitä sovelletaan 25.5.2018 lähtien. Siirtymäaika tarjoaa mahdollisuuden saada käytännöt ja järjestelmät asetuksen mukaisiksi ennen soveltamisen aloittamista. Asetus korvaa aiemman henkilötietodirektiivin Asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa Kansallisia poikkeuksia on kuitenkin lukuisia Suomen osalta ei vielä tarkennettuja käytäntöjä Kansallisen lainsäädännön mukauttamistyö valmisteilla oikeusministeriössä TATTI-työryhmän mietintö HE-luonnos 4 2

Keskeinen tietosuojasääntely 25.5.2018 Yleinen tietosuoja-asetus (EU 2016/679) eprivacy Regulation (COM(2017) 10 final (eprivacy) Uusi tietosuojalaki Työelämän tietosuojalaki (759/2004) Tietoyhteiskuntakaari (2014/917) Erityislainsäädäntö 5 Keskeiset käsitteet HENKILÖTIETO KÄSITTELY REKISTERI REKISTERINPITÄJ Ä KÄSITTELIJÄ 12. PRIVACY BY DESIGN AND DEFAULT ACCOUNTABILITY 3

Henkilötiedon ja käsittelyn määritelmä laaja Henkilötieto: kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyvä tieto; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Käsittely: toiminto, joka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista (artikla 4) 7 Yleinen tietosuoja-asetus: roolit Rekisteri: mikä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Rekisterinpitäjä (data controller): taho joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä (data processor): taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. 8 4

Yleinen tietosuoja-asetus ja julkinen sektori Yleinen tietosuoja-asetus koskee myös viranomaisia. Viranomainen, virasto tai muu elin voi olla rekisterinpitäjä, henkilötietojen käsittelijä, vastaanottaja tai kolmas osapuoli asetuksessa. Viranomaisnäkökulma: henkilötietojen käsittely on sallittua mm.: rekisteröidyn suostumus laissa säädetyn velvoitteen täyttämiseksi yleisen edun perusteella julkista valtaa käytettäessä Kansallista liikkumavaraa: mahdollisuus tarkentavaan kasalliseen sääntelyyn, kun henkilötietoja käsitellään laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkisen vallan käyttöä varten (ks. 6(2) art.). Asetusta sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. sovitettava yhteen virallisten asiakirjojen julkisuus ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttö sekä oikeus henkilötietojen suojaan. 9 Tietosuoja-asetuksen yleiset periaatteet, velvoitteet ja vastuut 5

Rekisterinpitäjän osoitusvelvollisuus HENKILÖTIETOJEN KÄSITTELYYN SOVELLETTAVAT PERIAATTEET (5 art.) Noudatettava henkilötietojen käsittelyssä Pystyttävä osoittamaan noudattaminen 1. Lainmukaisuus, kohtuullisuus, läpinäkyvyys 4. Täsmällisyys 2. Käyttötarkoitusidonnaisuus 5. Säilytyksen rajoittaminen 3. Tietojen minimointi 6. Eheys ja luottamuksellisuus 11 Rekisterinpitäjän velvollisuudet: Kohti periaatekeskeisempää sääntelyä Kaiken toiminnan lähtökohtana riskiperusteinen lähestymistapa Rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. Ja noudattaminen tulee pystyä osoittamaan. Noudattamisesta (compliance) osoitusvelvollisuuteen (accountability) 12 6

Rekisterinpitäjän velvollisuudet: Sisäänrakennettu ja oletusarvoinen tietosuoja Sisäänrakennettu tietosuoja ( Privacy by Design, 25 art.) Rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet Käsittelyn vastattava asetuksen vaatimuksia ja suojattava rekisteröityjen oikeuksia Järjestelmien vastattava asetuksen vaatimuksiin Oletusarvoinen tietosuoja ( Privacy by Default, 25 art.) Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Koskee: kerättyjen henkilötietojen määriä käsittelyn laajuutta; säilytysaikaa; ja saatavilla oloa. 13 Sisäiset käytännöt ja ohjeet Tiedon omistajuus Kenellä vastuu tiedosta? Tietosuojakäytännöt ja -ohjeet Ohjeista lainmukaiseen käsittelyyn Tukee osoitusvelvollisuuden täyttämistä Järjestelmät ja tietoarkkitehtuuri tiedon organisointi ja hallinta Tiedon elinkaari Käsittelyn perusteen olemassaolo 14 7

Henkilötietojen käsittely Määritä aina käsittelyperuste Henkilötietojen käsittely on lainmukaista ainoastaan, jos: Suostumus Sopimuksen täytäntöön panemiseksi Lakisääteisen velvoitteen noudattamiseksi Elintärkeiden etujen suojaamiseksi Julkisen vallan käyttämiseksi Rekisterinpitäjän tai kolmannen oikeutettujen etujen toteuttamiseksi Lisäksi erityissääntelyä esim. arkaluontoisten tietojen osalta (erityiset henkilötietoryhmät) Peruste pitää määritellä tietoja kerättäessä ja pystyttävä osoittamaan, että lainmukainen 16 8

Suostumus käsittelyperusteena Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu Suostumus on annettava selkeästi suostumusta ilmaisevalla toimella Suostumusta ei voida antaa vaikenemalla; valmiiksi rastitetuilla ruuduilla; tai jättämällä jokin toimi toteuttamatta. Sähköisessä palvelussa pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa Tiettyihin toimiin vaaditaan nimenomainen suostumus 17 Markkinointitietojen käsittely ja GDPR Erota asiakas- ja markkinointiviestintä Määritä, mitä tiedot tarpeen markkinointia varten (pyri minimoimaan) Määritä käsittelyperuste: yleensä oikeutettu etu (tai suostumus) Huomioi informointivelvoitteet (14 artikla) Huomio kielto-oikeus (21 artikla) Erota sähköistä suoramarkkinointia koskevat vaatimukset ja ennakkolupa Tietoyhteiskuntakaari (2014/917) ja eprivacy regulation (COM(2017) 10 final) 18 9

Sähköinen suoramarkkinointi Tietoyhteiskuntakaari (eprivacy Directive > Regulation) Sähköiseen suoramarkkinointiin saatava suostumus luonnolliselta henkilöltä, jos käytössä automaattinen soittojärjestelmä, fax, sähköposti, tekstiviesti, puhe-, ääni- ja kuvaviestit puhelinmarkkinointi sallittu, ellei erikseen kielletty Suostumuksen oltava yksiselitteinen Ei oikeutta luvan kysymiseen sähköisesti 19 Sähköinen suoramarkkinointi Suoramarkkinoinnin oltava tunnistettava sähköpostin otsikossa tekstiviesti? Asiakasviestintä ei ole suoramarkkinointia asiakassuhteen ylläpitämiseksi tarvittava yhteydenpito ei saa sisältää markkinointia esim. viestintä, jossa asiakas saa tietoja jo aiemmin valitsemansa palvelun tilasta 20 10

Tietojen siirrot Tunnista eri siirtotilanteisiin liittyvät velvoitteet Siirrot EU:n sisällä v. EU:n ulkopuolelle Siirrosta informoitava rekisteröityä (13, 14 art) Siirrot rekisterinpitäjältä käsittelijälle edellyttää kirjallista sopimusta Rekisterinpitäjän sisällä EU:n sisällä Siirrot EU:n ulkopuolelle 21 Tietosuoja-asetus Uusia erityisvelvoitteita 11

Tietosuojavastaava Rekisterinpitäjän ja käsittelijän on nimitettävä tietosuojavastaava: Viranomainen tai julkishallinnon elin; ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Eräänlainen sisäinen valvoja Osallistuu henkilötietojen käsittelyä ja suojaa koskevien asioiden valmisteluun, antaa neuvoja ja tekee yhteistyötä valvontaviranomaisen kanssa Riittävät resurssit ja riippumaton asema Huom! Vastuuta asetuksen noudattamisesta ei voi ulkoistaa tietosuojavastaavalle! Johdon (ja muun tietosuojaorganisaation) rooli tietosuojan toteuttamisessa 23 Tietosuojavastaava Nimitettäessä otetaan huomioon ammattipätevyys Tietosuojavastaavalta edellytetään tietosuojalainsäädännön asiantuntemuksen lisäksi esimerkiksi IT-prosessien ja tietoturva-asioiden ymmärtämistä Voi olla henkilöstön jäsen tai hoitaa tehtäviään palvelusopimuksen perusteella Nimittämisvelvollisuudesta riippumatta, suositeltavaa joka tapauksessa vastuuttaa tietosuojaasiat ja asetukseen valmistautuminen selkeästi jonkin tahon vastattavaksi Tietosuoja-asioista vastaava Yhteinen tietosuojavastaava? 24 12

Vaikutustenarviointi (DPIA) Rekisterinpitäjän on ennen käsittelyä, joka todennäköisesti aiheuttaisi luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle Vaaditaan erityisesti kun kyseessä henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi; laajamittainen käsittely, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin; tai yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti Etenkin uutta teknologiaa käytettäessä 25 Henkilötietojen käsittelijän asemaan muutoksia Toteutettava riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää asetuksen vaatimukset Henkilötietojen käsittelijän kanssa on tehtävä sopimus tehtävistä ja vastuista sekä lähtökohtainen aliurakointikielto Tietoturvaloukkauksesta ilmoittaminen Tietosuojavastaavan nimittäminen tietyissä tilanteissa Toiminta käsittelijänä, rekisterinpitäjänä / molemmissa rooleissa 26 13

Tietosuoja-asetuksella vaikutuksia palvelu- ja ulkoistussopimuksiin Tietosuojasopimukset Käsittelyn ulkoistamiseen liittyvät vaatimukset palveluntarjoajien osalta Asetus velvoittaa sopimaan kirjallisesti useista seikoista Selkeä muutos aikaisempaan Vastuukysymysten ja riskienhallinnan näkökulmasta myös suositeltavaa sopia aiempaa tarkemmin tietosuojaan liittyvistä seikoista Tietosuojaa koskevat sopimusehdot ja/tai tietosuojaliitteet osaksi normaaleja sopimuskäytäntöjä Vastuunrajoitusten merkitys korostuu Yksi osatekijä osoitusvelvollisuuden täyttämisessä 27 Palvelu- ja ulkoistussopimukset Rekisterinpitäjän ja käsittelijän välinen sopimus 1) Käsittelyn kohde ja kesto, luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. 2) Rekisterinpitäjän antamat kirjalliset ohjeet 3) Henkilötietojen siirrot kolmanteen maahan 4) Salassapitovelvollisuus 5) Asetuksen 32 artiklassa vaaditut toimenpiteet 6) Rekisteröityjen oikeuksien koskevissa pyynnöissä avustaminen 7) Asetuksen 32 36 artiklassa säädetyssä velvollisuuksissa auttaminen 8) Tietojen poistaminen. 9) Auditoinnit ja muut osoitusvelvollisuuden kannalta tarvittavat tiedot 28 14

EU:n yleinen tietosuoja-asetus Rekisteröityjen oikeudet Rekisteröityjen oikeudet laajenevat Oikeus saada läpinäkyvää ja ajantasaista tietoa Oikeus päästä tietoihin Oikeus tietojen oikaisuun Oikeus siirtää tiedot järjestelmästä toiseen Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi) Oikeus käsittelyn rajoittamiseen Vastustamisoikeus Oikeus vastustaa profilointia ja automaattista päätöksentekoa Oikeus saada ilmoitus tietoturvaloukkauksesta Oikeus luottaa tietoturvan korkeaan tasoon 30 15

Rekisteröityjen informointi Identiteetti ja yhteystiedot Käsittelyn tarkoitukset ja oikeusperusteet Tietolähteet Tietojen siirtäminen ja vastaanottajat Rekisteröidyn oikeuksien toteuttaminen Henkilötietojen säilytysaika tai, jos ei mahdollista, määrittämiskriteerit Tietosuojavastaava Valitus valvontaviranomaiselle Automaattisen päätöksenteko / profilointi 31 Oikeus tulla unohdetuksi Toisin sanoen oikeus poistaa itseään koskevat henkilötiedot Perusteet: Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin Rekisteröity peruuttaa suostumuksen, eikä käsittelyyn ole muuta laillista perustetta Rekisteröity käyttää vastustusoikeuttaan Henkilötietoja on käsitelty lainvastaisesti Henkilötiedot on poistettava lakisääteisen velvoitteen noudattamiseksi Henkilötiedot on kerätty lapselle tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä. Useita poikkeuksia: Esimerkiksi kansanterveys, sananvapaus, lakisääteinen velvoitteen noudattaminen, oikeusvaateen laatiminen 32 16

Suunnittele prosessit oikeuksien toteuttamiselle Mieti prosessit valmiiksi etukäteen Oikea taho? Menettelyt? Käsittelyajat? Viestintä? Henkilöstön ohjeistaminen? Rekisteröidyn informointi Menettelysäännöt ja menettelyajat Edellytykset & reaunaehdot 33 EU:n yleinen tietosuoja-asetus: Kuinka uusi sääntely otetaan haltuun? 17

MISTÄ LIIKKEELLE? Tietotilinpäätös? Tietosuojan hallinta? Koulutus? Suostumukset ja kiellot? Tietoturvaloukkaus? Säilytysajat? Automaattinen päätöksenteko? Prosessit? Henkilötiedot Sopimukset? Profilointi? Järjestelmät Tietosuojavastaava? Tietosuojauudistuksen haltuunoton askelmerkit Valmistautumisen jakaminen useaan eri projektiin voi helpottaa haltuunottoa 1. 2. 3. 4. Ulkoiset prosessit Sisäiset prosessit Teknologia Dokumentaatio Onko henkilötietojen kerääminen ja käsittely lainmukaista? Miten toteutan rekisteröityjen oikeudet? Siirränkö henkilötietoja muille tahoille, tarvitseeko sopimuksia muokata? Onko organisaation sisäisiä käytäntöjä tarvetta muuttaa? Henkilökunnan koulutus? Tarvetta auditoinneille? Onko syytä nimittää tietosuojavastaava? 36 18

Nykytilan arvioiminen Kartoita olemassa olevat tietovarannot ja tietovirrat Minne tietoja on tallennettu, mitä eri rekistereitä ja järjestelmiä? Minne tietoja siirretään (organisaation sisällä, ulkoisille kumppaneille, muihin EU-maihin, EU:n ulkopuolelle)? Kuinka pitkään tietoja säilytetään ja millä perusteella? Poistetaanko tietoja lainkaan? Miten tietoturvasta on huolehdittu? Dokumentoi olemassa olevat tietovirrat ja tietovarannot 37 Tietosuojauudistuksen haltuunoton askelmerkit: NYKYTILA ARVIOIMINEN Arvio nykytila: Mitä tietoja kerätään, täyttääkö nykysääntelyn vaatimukset? Nosta tietosuoja-asiat esille ja pohdi kokonaisvaltaisesti (koko organisaation laajuisesti) Hanki asiantuntemusta tietosuoja-asetuksesta (ja muistaa voimassaolevat pelisäännöt) Tee vertailu omien käytäntöjen ja järjestelmien osalta sekä niihin liittyvät vaikutusarviot Riippuu nykytila-arvion lopputuloksesta Tee suunnitelma muutoksista ja toteuta se Prosessit käyntiin mahdollisimman nopeasti valtaosa vaatimuksista jo nykyisessä laissa SUUNNITTELUSTA KÄYTÄNNÖN TOTEUTUKSEEN Kuvaa toimintatavat ja vastuut (myös ulkoiset tietosuojaselosteet yms. ajan tasalle ja selkeiksi) Rekisteröityjen oikeuksien toteuttaminen Tarkista ja päivittää tietosuojaa koskevat sopimukset Nimitä tietosuojavastaa (tai vastuuta tietosuoja-asiat selkeästi jollekin taholle) LUO PYSYVÄT KÄYTÄNNÖT Tietosuojan rakentaminen osaksi kaikkia organisaation palveluita ja prosesseja 38 19

Lexia Attorneys Ltd Petteri Günther Senior Associate petteri.gunther@lexia.fi tel. +358 44 035 8493 @petterigunther Lönnrotinkatu 11 FI - 00120 Helsinki tel. + 358 10 4244 200 fax. + 358 10 4244 210 www.lexia.fi 20

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute