Käsittele ja säilytä yhdistyksen henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille koulutus Rovaniemi 14.5.

Samankaltaiset tiedostot
Käsittele ja säilytä henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus (GDPR)

Mikä GDPR? General Data Protection Regulation

Tietoturva yhdistyksessä

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

EU:n tietosuoja-asetus 2016

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Koulutuskiertue

Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Teknologia avusteiset palvelutverkostopalaveri

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Kolarin kunnan tietosuojapolitiikka

Organisaatioluvan hakeminen

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:N TIETOSUOJA-ASETUKSET WALMU

Salon kaupunki / /2018

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Salon kaupunki , 1820/ /2018

EU:n tietosuoja-asetus Matti Sarmela

Salon kaupunki , 1820/ /2018

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Varustekorttirekisteri - Tietosuojaseloste

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Usein kysyttyjä kysymyksiä tietosuojasta

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojatehtävät. Järvenpään kaupungissa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Salon kaupunki / /2018

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojaseloste 1 (6)

TIETOSUOJAILMOITUS DIDIVE-HANKE

Tietosuojaseloste Espoon kaupunki

EU:n tietosuoja-asetus

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n tietosuoja-asetus (GDPR)

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Haminan tietosuojapolitiikka

Termit. Tietosuojaseloste

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Espoon kaupunki

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tampereen Aikidoseura Nozomi ry

Tietosuoja-asetuksen sudenkuopat

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tietosuojaseloste Espoon kaupunki

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

IF-INFO MEKLAREILLE

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tietosuoja käytännössä

OUKA/10235/ /2017

INHUNT LAW OY:N TIETOSUOJAILMOITUS

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuojaseloste 1 (5)

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Rekisteriseloste, Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Transkriptio:

Käsittele ja säilytä yhdistyksen henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille koulutus Rovaniemi 14.5.2018 Pohjois-Pohjanmaan sosiaali- ja terveysturvayhdistys Toimeksi 2.0 -hanke 15.5.2018 1

Infon sisältö 1. Mitä EU:n tietosuoja-asetuksella tarkoitetaan 2. Keskeiset käsitteet 3. Rekisterinpitäjän ja henkilötietojen käsittelijän roolit ja vastuut 4. Käsittelyn lainmukaisuus (sis. arkaluonteiset tiedot) 5. Tietojen käsittelyn yleiset periaatteet 6. Rekisteröityjen oikeudet 7. Rekisteröityjen informointi 8. Tietosuojavastaava 9. Valvonta ja sanktiot 10. Tietosuoja-asetukseen valmistautuminen 11. Lisätietoja 15.5.2018 2

Mitä EU:n tietosuoja-asetuksella tarkoitetaan EU:n yleisen tietosuoja-asetuksen (GDPR = General Data Protection Regulation) tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä henkilötietojen käsittelyssä sekä vahvistaa rekisteröidyn oikeuksia valvoa henkilötietojensa käsittelyä. Yhdenmukaistetaan EU:n jäsenvaltioiden tietosuojalakeja ja sääntelyä sekä helpotetaan palveluiden tarjoamista valtioiden välillä, taustalla teknologinen kehitys ja globalisaatio. Asetuksen lähtökohta riskiperusteinen. Tämä voi tuoda huomattavaa kilpailuetua asiakaspalveluun, johtamiseen, laatutyöhön ja imagomarkkinointiin. Asetus koskee kaikkia organisaatioita, joissa käsitellään henkilötietoja erilaisissa järjestelmissä/ohjelmistoissa/ohjelmissa/asiakaskortistoissa/asiakaskortistojen osissa. EU-tietosuoja-asetus astuu täysimääräisenä voimaan 25.5.2018. 15.5.2018 3

Keskeiset käsitteet Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa suoraan tai epäsuorasti häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi eli voidaan selvittää, kenestä on kyse. Esim. nimi, puhelinnumero, sähköpostiosoite, henkilötunnus, valokuva, somepäivitys, auton rekisterinumero, IPosoite, sijaintitieto tai mm. fyysinen, psykologinen ja sosiaalinen tekijä. Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, jäsentämistä, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista/muokkaamista, hakua, kyselyä, luovuttamista, yhdistämistä, yhteensovittamista, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. Rekisteröidyllä tarkoitetaan henkilöä, jonka henkilötietoja käsitellään. Rekisterillä tarkoitetaan jäsenneltyä henkilötietoa sisältävää tietojoukkoa, josta tiedot ovat saatavilla henkilöä koskevin perustein ja tiettyä käyttötarkoitusta varten. Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. 15.5.2018 4

Rekisterinpitäjän ja henkilötietojen käsittelijän roolit ja vastuut Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Rekisterinpitäjällä lopullinen vastuu henkilötietojen käsittelyn lainmukaisuudesta. Rekisterinpitäjän on toteutettava riittävät tekniset ja organisatoriset toimet, joilla voidaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan. Tässä otettava huomioon käsittelyn luonne, asiayhteys, tarkoitukset ja käsittelyyn liittyvät riskit. Suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Riskejä esim. identiteettivarkaus, maineen vahingoittuminen ja syrjintä. Henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä voi käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti. 15.5.2018 5

Käsittelyn lainmukaisuus oikeusperusteet Jotta henkilötietoja voisi käsitellä, vähintään yhden käsittelyn edellytyksistä pitää täyttä. Tällöinkin on oikeus käsitellä vain juuri sitä asiaa koskevaa tietoa. Suostumus rekisteröity on antanut (kirjallisen) suostumuksensa henkilötietojen käsittelyä varten. Suostumuksen oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaus. Sopimus esimerkiksi tilaus verkkokaupasta. Myyjä tarvitsee asiakkaan tiedot toimittaakseen tuotteen. Koskee myös työsopimusta, työnantajalla on sopimuksen perusteella oikeus käsitellä työntekijän tietoja. Lakisääteisyys esim. yhdistyksen jäsenistä on lain mukaan oltava jäsenrekisteri. Elintärkeä etu esim. jälkikäteen selvitetään tuhkarokkoa sairastaneen henkilön kanssa samalla lennolla olleita. Yleinen etu tai julkisen vallan käyttö Oikeutettu etu tyypillisesti esimerkiksi asiakassuhde tai työsuhde. 15.5.2018 6

Käsittelyn lainmukaisuus arkaluonteiset tiedot Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen ja filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset ja biometriset tiedot (yksilön tunnistamista varten), rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot, seksuaalinen käyttäytyminen tai suuntautuminen, henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia koskevat tiedot, henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevat tiedot. Pääsääntöisesti näitä tietoja ei saa käsitellä, ellei ole erityistä perustetta: Rekisteröidyn antama suostumus. Ei aina riitä, koska rekisteröity ei voi aina kumota kieltoa. Täytyy olla kirjallisena. Sallitaan työlainsäädännössä (esim. sairaslomat, työkyky) Tietojen käsittely on tarpeen esim. oikeudessa Tietosuoja-asetuksessa vaatimus on, että erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. 15.5.2018 7

Tietojen käsittelyn yleiset periaatteet 1/3 1. Tietosuojaperiaatteet: Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys lainmukaiset perusteet käsittelylle, mitä tietoja kerätään ja käsitellään ja miten, tieto rekisterinpitäjästä, riskit, suojatoimet ja rekisteröityjen oikeudet ja näistä kaikista informointi Käyttötarkoitussidonnaisuus tiedot kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten ja käsittely aina vain tietyn ilmoitetun tehtävän hoitamiseksi. Tarkoituksia esim. asiakassuhteen hoito, suoramarkkinointi, työsuhteen osapuolten oikeuksien ja velvollisuuksien hoito. Tietojen minimointi vain välttämätön henkilötieto tietojen käsittelyn tarkoituksen kannalta. Tietoja ei saa kerätä eikä käsitellä tarpeettomasti. Tietojen täsmällisyys henkilötietojen oltava täsmällisiä ja tarpeen mukaan päivitettävä ajantasaisiksi Tietojen säilytyksen rajoittaminen henkilötietojen säilytysajan tulee olla mahdollisimman lyhyt ja ainoastaan sen pituinen kuin tietojen käsittelyn tarkoituksen toteuttaminen on. Tietojen eheys ja luottamuksellisuus turvallisuus ja luottamuksellisuus säilytettävä ja suojattava lainvastaiselta käsittelyltä ja vahingoilta (esim. tuhoutuminen, hävittäminen, luvaton pääsy) Rekisterinpitäjän osoitusvelvollisuus uusi velvollisuus, joka koskee erityisesti rekisterinpitäjää 15.5.2018 8

Tietojen käsittelyn yleiset periaatteet 2/3 Osoitusvelvollisuus: Rekisterinpitäjän on dokumentoitava mitä tietosuojaperiaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa henkilötietojen käsittelyyn liittyvissä prosesseissa ja tietosuojaperiaatteissa. Näiden pohjalta muodostuu kuva organisaation henkilötietojen käsittelystä ja tietosuojasta. Dokumentoi: Tietosuojavastaava/tietosuojaorganisaatio, vastuuhenkilöt Henkilötietorekisterit, käsiteltävät henkilötietoryhmät Tietosuojaperiaatteet Perustelut arkaluonteisten tietojen käsittelylle Suostumusten hallinta Riskienhallinta Rekisteröityjen informointi Rekisteröityjen oikeuksien käyttö Sopimukset Ongelmatilanteet (tietoturva-/tietosuojaloukkaukset ja epäilyt) Ohjeistukset, koulutukset Tietotilinpäätös tai henkilötietojen käsittelyä koskeva vuosiraportti (suuret henkilötietomäärät ja arkaluonteiset tiedot) 15.5.2018 9

Tietojen käsittelyn yleiset periaatteet 3/3 2. Sisäänrakennettu ja oletusarvoinen tietosuoja tietosuojaperiaatteet on huomioitava jo tuotteita/palveluita/sovelluksia/toimintaa suunniteltaessa ja kehittäessä. oletusarvoisesti tulee käsitellä vain kunkin käyttötarkoituksen kannalta tarpeellisia tietoja. mukaan suunnitteluun kaikki henkilötietojen käsittelyn kanssa tekemisissä olevat organisaation edustajat. 3. Tekniset ja organisatoriset toimenpiteet mm. henkilöstön koulutus, ohjeet ja määräykset, salassapitosopimukset, fyysinen ja muu tietoturva, tietojen salaus/rajaus, sertifikaatit Huom. dokumentaatio on jatkuva prosessi. 15.5.2018 10

Rekisteröityjen oikeudet 1/2 Oikeus saada tietoa henkilötietojen käsittelystä esim. tietosuojaseloste Oikeus saada pääsy tietoihin jäljennös käsiteltävistä tiedoista ja tietosuojaseloste Oikeus tietojen oikaisemiseen epätarkat, puutteelliset ja virheelliset tiedot oikaistava tai täydennettävä Oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi esim. kun henkilötietoja ei enää tarvita, suostumus peruutettu tai lainvastainen käsittely. Oikeus rajoitettu, esim. työntekijä ei voi tulla unohdetuksi. Oikeus käsittelyn rajoittamiseen esim. henkilötietojen paikkansapitävyyden kiistäminen, lainvastainen käsittely, erimielisyydet rekisterinpitäjän kanssa. Tällöin organisaation rajoitettava tietojen käsittelyä, käytännössä esim. tietojen siirto toiseen järjestelmään tai estämällä pääsy tietoihin. Oikeus siirtää tiedot järjestelmästä toiseen pohjautuu suostumukseen tai sopimukseen ja henkilötietoja käsitellään automaattisesti, esim. sähköpostitili ja sähköpostitilin osoitekirja 15.5.2018 11

Rekisteröityjen oikeudet 2/2 Vastustamisoikeus voi milloin tahansa vastustaa henkilökohtaisella erityisellä tilanteella omien henkilötietojen käsittelyä, joka pohjautuu oikeutettuun etuun. Toteutetaan poistamalla tiedot tai estämällä pääsy tietoihin. Automatisoituihin päätöksiin ja profilointiin liittyvät oikeudet oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka pohjautuu automatisoituun käsittelyyn ja profilointiin ja jolla on häntä koskevia oikeusvaikutuksia tai muita vastaavia vaikutuksia. Voi vaatia ihmisen käsittelijäksi. Oikeus pyytää tieto sellaisista henkilötietojen vastaanottajista, joille rekisterinpitäjän on ilmoitettava henkilötietojen oikaisemisesta, poistamisesta ja käsittelyn rajoittamisesta. Oikeus tehdä valitus tietosuojaviranomaiselle ohjeistus annettava Oikeus saada tieto tietoturvarikkomuksesta 15.5.2018 12

Rekisteröityjen oikeudet huomioitavaa Rekisterinpitäjällä velvollisuus toteuttaa rekisteröidyn oikeudet. Rekisteröityjen saatavilla on oltava ohjeet siitä, miten oikeudet voi toteuttaa. Oikeuksia tulee voida toteuttaa suhteellisen helposti. Oikeuksien käyttäjän henkilöllisyyden varmistaminen hoidettava tarvittaessa. Pyyntö tulee toteuttaa ilman aiheetonta viivytystä, kuitenkin viimeistään yhden kuukauden kuluessa pyynnön vastaanottamisesta, vaativiin ja määrältään suuriin pyyntöihin voi saada kaksi kuukautta lisäaikaa. Toimitus yleisesti käytetty sähköinen muoto, jos rekisteröity ei toisin pyydä. Oikeuksien käyttö on rekisteröidylle lähtökohtaisesti maksutonta. Jos pyyntö on kohtuuton, toistuva tai perusteeton, organisaatio voi joko kieltäytyä pyynnöstä tai periä kohtuullisen maksun. 15.5.2018 13

Rekisteröityjen informointi Rekisteröityjen tulisi saada tieto siitä, miten heistä kerättyjä tietoja kerätään ja miten sekä missä määrin niitä käytetään. Tietojen oltava helposti saatavilla ja ne on ilmaistava yksinkertaisella ja selkeällä kielellä Helpointa usein kerättävien tietojen kuvaaminen Tietosuojaselosteella. Voidaan informoida myös muulla tavoin. Tietosuojaselosteen sisältö: Organisaation identiteetti ja yhteystiedot Tietosuojavastaavan yhteystiedot (jos ei ole, tietosuojasta vastaavan tiedot) Henkilötietojen käsittelyn tarkoitus ja peruste Henkilötietojen vastaanottajat Siirretäänkö tietoja kolmanteen maahan Henkilötietojen säilytysaika Rekisteröidyn oikeudet Onko henkilötietojen antaminen lakisääteinen taikka sopimuksen tekemisen edellyttämä vaatimus ja tietojen antamatta jättämisen seuraukset Mahdollinen profiloinnin olemassaolo Riskit korkeiden riskien kohdalla Rekisteröityjen ryhmät ja henkilötietoryhmät 15.5.2018 14

Tietosuojavastaava Tietosuojavastaava valvoo tietosuoja-asetuksen noudattamista henkilötietojen käsittelyssä. Toimii organisaatiossa rekisterinpitäjän ja henkilötiedon käsittelijöiden tukena. Milloin nimitettävä: rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet) ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin (kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen) tai rikoksia koskeviin tietoihin. Voidaan vaatia myös muissa tilanteissa Pääasiassa organisaatiossa vain yksi tietosuojavastaava, voidaan nimittää myös ulkopuolinen Käytännössä siis silloin kun asiakastietojen käsittely on oleellinen osa ydintoimintaa ja laajamittaista. Esim. jos tarjotaan palveluita asiakkaille/jäsenille ja pidetään heistä rekisterejä tämän perusteella, tietoturvavastaava on hyvä olla olemassa. Sen sijaan normaali jäsenrekisterin pitäminen tai palkanmaksu työntekijälle on oheistoiminto, ja silloin tietosuojavastaavaa ei tarvita. Tietoturva on kuitenkin varmistettava kaikissa tapauksissa. Omattava ja/tai hankittava riittävä asiantuntemus. Koulutuksesta ei ole olemassa vielä tarkempia määrittelyjä. 15.5.2018 15

Tietosuojavastaavan tehtävät Antaa rekisterinpitäjälle tai käsittelijälle tietoja ja neuvoja tietosuojalainsäädännön asettamista velvollisuuksista ja rekisteröityjen oikeuksien toteuttamisesta Seuraa tietosuojalainsäädännön noudattamista ja rekisterinpitäjän tai käsittelijän henkilötietojen suojaan liittyviä menettelyjä, kuten vastuunjakokysymyksen ja henkilöstön koulutuksen järjestämistä Antaa pyydettäessä neuvoja ja valvoo asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarvioinnin toteuttamista Tekee tarpeen mukaan yhteistyötä valvontaviranomaisen kanssa, esim. ilmoittaa tietosuojaan/ tietoturvaan liittyvät loukkaukset Toimii valvontaviranomaisen yhteyshenkilönä käsittelyyn liittyvissä kysymyksissä Tietosuojasta (ja tietoturvasta) kokonaisvastuussa on aina organisaation johto Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa antaa tietosuojavastaavalle ohjeita tämän tehtävien hoitamisesta Rekisterinpitäjä ei saa erottaa tai rangaista tietosuojavastaavaa tietosuojatehtävien hoitamisen vuoksi Mahdolliset muut tehtävät ja velvollisuudet eivät saa aiheuttaa eturistiriitaa (esim. ylempi johto ei todennäköisesti voi toimia tietosuojavastaavana). Tietosuojavastaavalle pitää antaa riittävät resurssit tehtävän toteuttamiseen 15.5.2018 16

Valvonta ja sanktiot Tuleva tietosuojavirasto toimii valvontaviranomaisena. Laajat tutkintavaltuudet, oikeus toteuttaa tarkastuksia, oikeus saada pääsy henkilötietoihin sekä rekisterinpitäjän ja käsittelijän tiloihin, valtuudet antaa varoituksia, huomautuksia, määräyksiä (myös sakkoja) ja rajoituksia. Jokaisella rekisteröidyllä oikeus tehdä valitus viranomaiselle, jos rekisteröity katsoo, että häntä koskevien tietojen käsittelyssä rikotaan tietosuoja-asetusta. Ilmoitukset valvontaviranomaiselle Tietoturvaloukkauksista ilmoittaminen Ennakkokuuleminen korkean riskin tapauksissa Henkilötietojen siirtäminen kolmansiin maihin tai kansainväliselle järjestölle Muu yhteistyö viranomaisten kanssa. 15.5.2018 17

Valvonta ja sanktiot Uusi tietosuoja-asetus tuo valvontaviranomaiselle oikeuden määrätä hallinnollisia sakkoja. Lisäksi vahingonkorvausvastuu ja rikosoikeudellinen vastuu (tietosuojarikos). Sakkojen määräämisessä vaikuttavat seuraavat tekijät mitä velvollisuutta on rikottu rikkomisen luonne, vakavuus ja kesto kuinka moneen rekisteröityyn vaikuttaa organisaation korjaustoimet miten tuli tietoon (ilmoittiko organisaatio itse ja missä laajuudessa) enimmäismäärä 20 miljoona euroa tai 4 % organisaation liikevaihdosta Tietosuojarikkomuksissa ja epäillyissä rikkomuksissa ilmoita aina 72 tunnin sisällä valvontaviranomaiselle. 15.5.2018 18

Tietosuoja-asetukseen valmistautuminen - kertaus 1. Määritä vastuuhenkilöt henkilötietojen käsittelyyn, rekisteröityjen oikeuksien käyttöön ja tietoturvaloukkaus- tai -epäilytilanteisiin. Selvitä tietosuojavastaavan nimittämistarve. 2. Selvitä organisaatiossasi käsiteltävät henkilötiedot. Selvitä käsittelyn laillinen peruste. 3. Arvioi henkilötietojen käsittelyn riskit. Minimoi riskejä. Tee tarvittaessa vaikutustenarviointi. 4. Selvitä rekisteröityjen oikeuksien toteutuminen/toteuttaminen organisaatiossasi. Selvitä rekisteröityjen pyyntöihin vastaaminen. Päivitä prosessit. 5. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista. 6. Varmista henkilötietojen käsittelijöihin liittyvät ulkoistussopimukset sekä tarvittaessa henkilöstön salassapito- ja käyttäjäsitoumukset. Huomioi tietosuoja-asetus myös muissa sopimuksissa ja hankinnoissa. 7. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikärajaksi on ehdotettu 13 vuotta. 8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella. 9. Päivitä lomakkeet, joissa kerätään henkilötietoja. 10. Ohjeista ja kouluta henkilöstöä. 11. Huolehdi rekisteröityjen informoinnista (esim. tietosuojaseloste). 12. Dokumentoi. Lähde: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html ja https://www.soste.fi/media/sostengdpr-muistilista-tietosuojavastaavalle.pdf 15.5.2018 19

Lisätietoja EU:n yleinen tietosuoja-asetus Oikeusministeriö: Miten valmistautua EU:n tietosuoja-asetukseen? Tietosuojavaltuutetun toimisto: EU:n tietosuojauudistus Ohjeita rekisterinpitäjälle EU:n tietosuojauudistukseen Tietosuojan ja tietoturvan tee se itse tarkastus Arjen tietosuojaa materiaalit ja testit Tietosuojatesti.fi: Tietosuojatesti Kuntaliitto: Henkilötietojen käsittelyn ehdot sopimuspohja Tietosuoja-asetuksen huomioiminen kilpailutettaessa julkisia hankintoja Tulossa Opas tietosuoja-asetuksen ja erityislakien yhteensovittamisessa SOSTE: Uusi tietosuoja-asetus astuu voimaan pian Tietosuojavastaavan GDPR-muistilista Suomen tietosuojalaki, hallituksen esitys (annettu 1.3.2018, voimaan 25.5.2018) 15.5.2018 20

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute