Käsittele ja säilytä henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille

Samankaltaiset tiedostot
Käsittele ja säilytä yhdistyksen henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille koulutus Rovaniemi 14.5.

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietosuoja-asetus (GDPR)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tietoturva yhdistyksessä

Koulutuskiertue

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Mikä GDPR? General Data Protection Regulation

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus 2016

Teknologia avusteiset palvelutverkostopalaveri

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojavaltuutetun toimiston tietoisku

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:N TIETOSUOJA-ASETUKSET WALMU

Kolarin kunnan tietosuojapolitiikka

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

EU:n tietosuoja-asetus Matti Sarmela

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Organisaatioluvan hakeminen

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Salon kaupunki , 1820/ /2018

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Salon kaupunki / /2018

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Informaatiovelvoite ja tietosuojaperiaate

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Salon kaupunki , 1820/ /2018

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Tietosuojatehtävät. Järvenpään kaupungissa

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

EU:n tietosuoja-asetus (GDPR)

Varustekorttirekisteri - Tietosuojaseloste

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojaseloste 1 (6)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojaseloste 1 (5)

Salon kaupunki / /2018

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Termit. Tietosuojaseloste

EU:n tietosuoja-asetus

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

OUKA/10235/ /2017

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

IF-INFO MEKLAREILLE

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuoja-asetuksen sudenkuopat

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJAILMOITUS DIDIVE-HANKE

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Haminan tietosuojapolitiikka

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietosuojaseloste Espoon kaupunki

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuojaseloste 1 (6)

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Tietosuojaseloste Espoon kaupunki

Transkriptio:

Käsittele ja säilytä henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille

Infon sisältö 1. Mitä EU:n tietosuoja-asetuksella tarkoitetaan 2. Keskeiset käsitteet 3. Rekisterinpitäjän ja henkilötietojen käsittelijän roolit ja vastuut 4. Käsittelyn lainmukaisuus (sis. arkaluonteiset tiedot) 5. Tietojen käsittelyn yleiset periaatteet 6. Rekisteröityjen oikeudet 7. Rekisteröityjen informointi 8. Tietosuojavastaava 9. Valvonta ja sanktiot 10. Tietosuoja-asetukseen valmistautuminen 11. Lisätietoja 1.3.2018 2

Mitä EU:n tietosuoja-asetuksella tarkoitetaan EU:n yleisen tietosuoja-asetuksen (GDPR = General Data Protection Regulation) tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä henkilötietojen käsittelyssä sekä vahvistaa rekisteröidyn oikeuksia valvoa henkilötietojensa käsittelyä. Yhdenmukaistetaan EU:n jäsenvaltioiden tietosuojalakeja ja sääntelyä sekä helpotetaan palveluiden tarjoamista valtioiden välillä, taustalla teknologinen kehitys ja globalisaatio. Asetus koskee kaikkia organisaatioita, joissa käsitellään henkilötietoja erilaisissa järjestelmissä/ohjelmistoissa/ohjelmissa/asiakaskortistoissa/ asiakaskortistojen osissa. Asetuksen lähtökohta riskiperusteinen. Tämä voi tuoda huomattavaa kilpailuetua asiakaspalveluun, johtamiseen, laatutyöhön ja imagomarkkinointiin. EU-tietosuoja-asetus astuu täysimääräisenä voimaan 25.5.2018. 1.3.2018 3

Keskeiset käsitteet Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa suoraan tai epäsuorasti häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi eli voidaan selvittää, kenestä on kyse. Esim. nimi, puhelinnumero, sähköpostiosoite, henkilötunnus, valokuva, somepäivitys, auton rekisterinumero, IP-osoite, sijaintitieto tai mm. fyysinen, psykologinen ja sosiaalinen tekijä. Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, jäsentämistä, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista/muokkaamista, hakua, kyselyä, luovuttamista, yhdistämistä, yhteensovittamista, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. Rekisteröidyllä tarkoitetaan henkilöä, jonka henkilötietoja käsitellään. Rekisterillä tarkoitetaan jäsenneltyä henkilötietoa sisältävää tietojoukkoa, josta tiedot ovat saatavilla henkilöä koskevin perustein ja tiettyä käyttötarkoitusta varten. Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. 1.3.2018 4

Rekisterinpitäjän ja henkilötietojen käsittelijän roolit ja vastuut Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Rekisterinpitäjällä lopullinen vastuu henkilötietojen käsittelyn lainmukaisuudesta. Rekisterinpitäjän on toteutettava riittävät tekniset ja organisatoriset toimet, joilla voidaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan. Tässä otettava huomioon käsittelyn luonne, asiayhteys, tarkoitukset ja käsittelyyn liittyvät riskit. Suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Riskejä esim. identiteettivarkaus, maineen vahingoittuminen ja syrjintä. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä voi käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti. 1.3.2018 5

Käsittelyn lainmukaisuus (sis. arkaluonteiset tiedot) Jotta henkilötietoja voisi käsitellä, vähintään yhden käsittelyn edellytyksistä pitää täyttä. Tällöinkin on oikeus käsitellä vain juuri sitä asiaa koskevaa tietoa. Suostumus rekisteröity on antanut (kirjallisen) suostumuksensa henkilötietojen käsittelyä varten. Suostumuksen oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaus. Sopimus esimerkiksi tilaus verkkokaupasta. Myyjä tarvitsee asiakkaan tiedot toimittaakseen tuotteen. Koskee myös työsopimusta, työnantajalla on sopimuksen perusteella oikeus käsitellä työntekijän tietoja. Lakisääteisyys esim. yhdistyksen jäsenistä on lain mukaan oltava jäsenrekisteri. Elintärkeä etu esim. jälkikäteen selvitetään tuhkarokkoa sairastaneen henkilön kanssa samalla lennolla olleita. Yleinen etu tai julkisen vallan käyttö Oikeutettu etu tyypillisesti esimerkiksi asiakassuhde tai työsuhde. 1.3.2018 6

Käsittelyn lainmukaisuus (sis. arkaluonteiset tiedot) Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen ja filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset ja biometriset tiedot (yksilön tunnistamista varten), rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot, seksuaalinen käyttäytyminen tai suuntautuminen, henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia koskevat tiedot, henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevat tiedot. Pääsääntöisesti näitä tietoja ei saa käsitellä, ellei ole erityistä perustetta: Rekisteröidyn antama suostumus. Ei aina riitä, koska rekisteröity ei voi aina kumota kieltoa. Täytyy olla kirjallisena. Sallitaan työlainsäädännössä (esim. sairaslomat, työkyky) Tietojen käsittely on tarpeen esim. oikeudessa Tietosuoja-asetuksessa vaatimus on, että erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. 1.3.2018 7

Tietojen käsittelyn yleiset periaatteet 1. Tietosuojaperiaatteet: Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys lainmukaiset perusteet käsittelylle, mitä tietoja kerätään ja käsitellään ja miten, tieto rekisterinpitäjästä, riskit, suojatoimet ja rekisteröityjen oikeudet ja näistä kaikista informointi Käyttötarkoitussidonnaisuus tiedot kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten ja käsittely aina vain tietyn ilmoitetun tehtävän hoitamiseksi. Tarkoituksia esim. asiakassuhteen hoito, suoramarkkinointi, työsuhteen osapuolten oikeuksien ja velvollisuuksien hoito. Tietojen minimointi vain välttämätön henkilötieto tietojen käsittelyn tarkoituksen kannalta. Tietoja ei saa kerätä eikä käsitellä tarpeettomasti. Tietojen täsmällisyys henkilötietojen oltava täsmällisiä ja tarpeen mukaan päivitettävä ajantasaisiksi Tietojen säilytyksen rajoittaminen henkilötietojen säilytysajan tulee olla mahdollisimman lyhyt ja ainoastaan sen pituinen kuin tietojen käsittelyn tarkoituksen toteuttaminen on. Tietojen eheys ja luottamuksellisuus turvallisuus ja luottamuksellisuus säilytettävä ja suojattava lainvastaiselta käsittelyltä ja vahingoilta (esim. tuhoutuminen, hävittäminen, luvaton pääsy) Rekisterinpitäjän osoitusvelvollisuus uusi velvollisuus, joka koskee erityisesti rekisterinpitäjää 1.3.2018 8

Tietojen käsittelyn yleiset periaatteet Osoitusvelvollisuus: Rekisterinpitäjän on dokumentoitava mitä tietosuojaperiaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Näiden pohjalta tulla olla mahdollista muodostaa kuva organisaation henkilötietojen käsittelystä ja tietosuojasta. Dokumentoitava henkilötietojen käsittelyyn liittyvät prosessit ja tietosuojaperiaatteet. Näihin kuuluvat lisäksi mm. tietosuojakäytännöt, selosteet, ohjeistukset, koulutukset, sopimukset, riskit, ongelmatilanteet (tietoturvaloukkaukset) ja rekisteröityjen oikeuksien käyttö. Suuria henkilötietomääriä ja arkaluonteisia tietoa käsitellessä on hyvä tehdä tietotilinpäätös tai henkilötietojen käsittelyä koskeva vuosiraportti. Vähintään tulee dokumentoida tietosuojaorganisaatio/tietosuojavastaava, käsiteltävät henkilötietoryhmät, käsittelyn perusteet, henkilötietojen käyttötarkoitus, miten henkilötietoja käsitellään, tietojen säilyttämisaika, miten rekisteröityjä informoidaan käsittelystä, perustelut arkaluonteisten tietojen käsittelylle ja suostumusten hallinta. 1.3.2018 9

Tietojen käsittelyn yleiset periaatteet 2. Sisäänrakennettu ja oletusarvoinen tietosuoja tietosuojaperiaatteet on huomioitava jo tuotteita/palveluita/sovelluksia/toimintaa suunniteltaessa ja kehittäessä. oletusarvoisesti tulee käsitellä vain kunkin käyttötarkoituksen kannalta tarpeellisia tietoja. mukaan suunnitteluun kaikki henkilötietojen käsittelyn kanssa tekemisissä olevat organisaation edustajat. 3. Tekniset ja organisatoriset toimenpiteet mm. henkilöstön koulutus, ohjeet ja määräykset, salassapitosopimukset, fyysinen ja muu tietoturva, tietojen salaus/rajaus, sertifikaatit Huom. dokumentaatio on jatkuva prosessi. 1.3.2018 10

Rekisteröityjen oikeudet Oikeus saada tietoa henkilötietojen käsittelystä esim. tietosuojaseloste Oikeus saada pääsy tietoihin jäljennös käsiteltävistä tiedoista ja tietosuojaseloste Oikeus tietojen oikaisemiseen epätarkat, puutteelliset ja virheelliset tiedot oikaistava tai täydennettävä Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi esim. kun henkilötietoja ei enää tarvita, suostumus peruutettu tai lainvastainen käsittely. Oikeus rajoitettu, esim. työntekijä ei voi tulla unohdetuksi. Oikeus käsittelyn rajoittamiseen esim. henkilötietojen paikkansapitävyyden kiistäminen, lainvastainen käsittely, erimielisyydet rekisterinpitäjän kanssa. Tällöin organisaation rajoitettava tietojen käsittelyä, käytännössä esim. tietojen siirto toiseen järjestelmään tai estämällä pääsy tietoihin. Oikeus siirtää tiedot järjestelmästä toiseen pohjautuu suostumukseen tai sopimukseen ja henkilötietoja käsitellään automaattisesti, esim. sähköpostitili ja sähköpostitilin osoitekirja 1.3.2018 11

Rekisteröityjen oikeudet Vastustamisoikeus voi milloin tahansa vastustaa henkilökohtaisella erityisellä tilanteella omien henkilötietojen käsittelyä, joka pohjautuu oikeutettuun etuun. Toteutetaan poistamalla tiedot tai estämättä pääsy tietoihin. Automatisoituihin päätöksiin ja profilointiin liittyvät oikeudet oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka pohjautuu automatisoituun käsittelyyn ja profilointiin ja jolla on häntä koskevia oikeusvaikutuksia tai muita vastaavia vaikutuksia. Vaatii ihmisen käsittelijäksi. Oikeus pyytää tieto sellaisista henkilötietojen vastaanottajista, joille rekisterinpitäjän on ilmoitettava henkilötietojen oikaisemisesta, poistamisesta ja käsittelyn rajoittamisesta. Oikeus tehdä valitus tietosuojaviranomaiselle ohjeistus annettava Oikeus saada tieto tietoturvarikkomuksesta 1.3.2018 12

Rekisteröityjen oikeudet huomioitavaa Rekisterinpitäjällä velvollisuus toteuttaa rekisteröidyn oikeudet. Rekisteröityjen saatavilla on oltava ohjeet siitä, miten oikeudet voi toteuttaa. Oikeuksia tulee voida toteuttaa suhteellisen helposti. Oikeuksien käyttäjän henkilöllisyyden varmistaminen hoidettava tarvittaessa. Pyyntö tulee toteuttaa ilman aiheetonta viivytystä, kuitenkin viimeistään yhden kuukauden kuluessa pyynnön vastaanottamisesta, vaativiin ja määrältään suuriin pyyntöihin voi saada kaksi kuukautta lisäaikaa. Toimitus yleisesti käytetty sähköinen muoto, jos rekisteröity ei toisin pyydä. Oikeuksien käyttö on rekisteröidylle lähtökohtaisesti maksutonta. Jos pyyntö on kohtuuton, toistuva tai perusteeton, organisaatio voi joko kieltäytyä pyynnöstä tai periä kohtuullisen maksun. 1.3.2018 13

Rekisteröityjen informointi Rekisteröityjen tulisi saada tieto siitä, miten heistä kerättyjä tietoja kerätään ja miten sekä missä määrin niitä käytetään. Tietojen oltava helposti saatavilla ja ne on ilmaistava yksinkertaisella ja selkeällä kielellä Helpointa usein kerättävien tietojen kuvaaminen Tietosuojaselosteella. Voidaan informoida myös muulla tavoin. Tietosuojaselosteen sisältö: Organisaation identiteetti ja yhteystiedot Tietosuojavastaavan yhteystiedot (jos ei ole, niin muuten tietosuojasta vastaavan tiedot Henkilötietojen käsittelyn tarkoitus ja peruste Henkilötietojen vastaanottajat Siirretäänkö tietoja kolmanteen maahan Henkilötietojen säilytysaika Rekisteröidyn oikeudet Onko henkilötietojen antaminen lakisääteinen taikka sopimuksen tekemisen edellyttämä vaatimus ja tietojen antamatta jättämisen seuraukset Mahdollinen profiloinnin olemassaolo Riskit korkean riskien kohdalla 1.3.2018 14 Rekisteröityjen ryhmät ja henkilötietoryhmät

Tietosuojavastaava Tietosuojavastaava valvoo tietosuoja-asetuksen noudattamista henkilötietojen käsittelyssä. Toimii organisaatiossa rekisterinpitäjän ja henkilötiedon käsittelijöiden tukena. Milloin nimitettävä: rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet) ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin (kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen) tai rikoksia koskeviin tietoihin. Voidaan vaatia myös muissa tilanteissa Pääasiassa organisaatiossa vain yksi tietosuojavastaava, voidaan nimittää myös ulkopuolinen Käytännössä siis silloin kun asiakastietojen käsittely on oleellinen osa ydintoimintaa ja laajamittaista. Esim. jos tarjotaan palveluista asiakkaille/jäsenille ja pidetään heistä rekisterejä tämän perusteella, tietoturvavastaava on hyvä olla olemassa. Sen sijaan normaali jäsenrekisterin pitäminen tai palkanmaksu työntekijälle on oheistoiminto, ja silloin tietoturvavastaavaa ei tarvita. Tietoturva on kuitenkin varmistettava kaikissa tapauksissa. Omattava ja/tai hankittava riittävä asiantuntemus. Koulutuksesta ei ole olemassa vielä tarkempia määrittelyjä. 1.3.2018 15

Tietosuojavastaava Tietosuojavastaavan tehtävät: Antaa rekisterinpitäjälle tai käsittelijälle tietoja ja neuvoja tietosuojalainsäädännön asettamista velvollisuuksista ja rekisteröityjen oikeuksien toteuttamisesta seuraa tietosuojalainsäädännön noudattamista ja rekisterinpitäjän tai käsittelijän henkilötietojen suojaan liittyviä menettelyjä, kuten vastuunjakokysymyksen ja henkilöstön koulutuksen järjestämistä antaa pyydettäessä neuvoja ja valvoa asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarvioinnin toteuttamista tekee tarpeen mukaan yhteistyötä valvontaviranomaisen kanssa toimii valvontaviranomaisen yhteyshenkilönä käsittelyyn liittyvissä kysymyksissä tietosuojasta (ja tietoturvasta) kokonaisvastuussa on aina organisaation johto rekisterinpitäjä tai henkilötietojen käsittelijä ei saa antaa tietosuojavastaavalle ohjeita tämän tehtävien hoitamisesta rekisterinpitäjä ei saa erottaa tai rangaista tietosuojavastaavaa tietosuojatehtävien hoitamisen vuoksi mahdolliset muut tehtävät ja velvollisuudet eivät saa aiheuttaa eturistiriitaa (esim. ylempi johto ei todennäköisesti voi toimia tietosuojavastaavana). 1.3.2018 Tietosuojavastaavalle 16 pitää antaa riittävät resurssit tehtävän toteuttamiseen

Valvonta ja sanktiot Tuleva tietosuojavirasto toimii valvontaviranomaisena. Laajat tutkintavaltuudet, oikeus tehdä toteuttaa tarkastuksia, oikeus saada pääsy henkilötietoihin sekä rekisterinpitäjän ja käsittelijän tiloihin, valtuudet antaa varoituksia, huomautuksia, määräyksiä (myös sakkoja) ja rajoituksia. Jokaisella rekisteröidyllä oikeus tehdä valitus viranomaiselle, jos rekisteröity katsoo, että häntä koskevien tietojen käsittelyssä rikotaan tietosuoja-asetusta. Ilmoitukset valvontaviranomaiselle Tietoturvaloukkauksista ilmoittaminen Ennakkokuuleminen korkean riskin tapauksissa Henkilötietojen siirtäminen kolmansiin maihin tai kansainväliselle järjestölle Muu yhteistyö viranomaisten kanssa. 1.3.2018 17

Valvonta ja sanktiot Uusi tietosuoja-asetus tuo valvontaviranomaiselle oikeuden määrätä hallinnollisia sakkoja. Lisäksi vahingonkorvausvastuu ja rikosoikeudellinen vastuu (tietosuojarikos). Sakkojen määräämisessä vaikuttavat seuraavat tekijät mitä velvollisuutta on rikottu rikkomisen luonne, vakavuus ja kesto kuinka moneen rekisteröityyn vaikuttaa organisaation korjaustoimet miten tuli tietoon (ilmoittiko organisaatio itse ja missä laajuudessa) enimmäismäärä 20 miljoona euroa tai 4 % organisaation liikevaihdosta Tietosuojarikkomuksissa ja epäillyissä rikkomuksissa ilmoita aina 72 tunnin sisällä valvontaviranomaiselle. 1.3.2018 18

Tietosuoja-asetukseen valmistautuminen Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että henkilötietolakia noudatetaan. Selvitä, millä laillisella perusteella organisaatiosi käsittelee henkilötietoja. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi ja miten riskejä minimoidaan. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä ja tee tarvittaessa vaikutustenarviointi. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista. Varmista, että sopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Huomioi tietosuoja-asetus myös muissa sopimuksissa ja hankinnoissa. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella. 1.3.2018 Lähde: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html 19

Lisätietoja EU:n yleinen tietosuoja-asetus Oikeusministeriö: Miten valmistautua EU:n tietosuoja-asetukseen? Tietosuojavaltuutetun toimisto: EU:n tietosuojauudistus Ohjeita rekisterinpitäjälle EU:n tietosuojauudistukseen Tietosuojan ja tietoturvan tee se itse tarkastus Arjen tietosuojaa materiaalit ja testit Tietosuojatesti.fi: Tietosuojatesti Kuntaliitto: Henkilötietojen käsittelyn ehdot sopimuspohja (Word-tiedosto) Tulossa vuonna 2018: Suomen tietosuojalaki Kuntaliiton opas tietosuoja-asetuksen ja erityislakien yhteensovittamisessa 1.3.2018 20

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute