Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Samankaltaiset tiedostot
Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Tietosuojasta menestystekijä?!

Tietosuojan toteuttaminen käytännössä

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Täyttyvätkö uudet tietosuojavaatimukset?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietoturva yhdistyksessä

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus (GDPR)

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuojavaltuutetun toimiston tietoisku

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Teknologia avusteiset palvelutverkostopalaveri

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetuksen sudenkuopat

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Salon kaupunki , 1820/ /2018

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Salon kaupunki , 1820/ /2018

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Salon kaupunki / /2018

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Salon kaupunki / /2018

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU TIETOSUOJA- ASETUS

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

1 Tietosuojapolitiikka

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n tietosuoja-asetus 2016

Termit. Tietosuojaseloste

Organisaatioluvan hakeminen

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

LSPeL Porin toiminta-alueen kevätseminaari

Tampereen Aikidoseura Nozomi ry

Henkilötietojen käsittelyn ehdot. 1. Yleistä

IF-INFO MEKLAREILLE

Varustekorttirekisteri - Tietosuojaseloste

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Ajankohtaista tietosuoja-asetuksesta

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

INHUNT LAW OY:N TIETOSUOJAILMOITUS

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n tietosuoja-asetus ja tieteellinen tutkimus

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

NORDIC SALES CREW OY:N TIETOSUOJAILMOITUS

Tietosuoja-asetus. Suomen Taitoluisteluliitto ry Castrén & Snellman

Koulutuskiertue

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tutkittavan informointi ja suostumus

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:n tietosuoja-asetus (GDPR)

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

EU:n tietosuoja-asetus sosiaalihuollossa

EU:n tietosuoja-asetus (2016/679)

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

GDPR. Timo Kokkonen Webinaari

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Tietosuoja-asetus Immo Aakkula Arkistointi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Eläketurvakeskuksen tietosuojapolitiikka

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

EU:n tietosuoja-asetus (GDPR)

Rekisteri- ja tietosuojaseloste

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

GDPR Tietosuoja-asetus

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

TIETOSUOJAPOLITIIKKA

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Forssan Seudun Käsityö- ja Teollisuusyhdistys ry

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Transkriptio:

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu? PRH:n yhdistysinfo 22.5.2018 Jonatan Seeskari Castrén & Snellman 1

HENKILÖTIETOJEN TAUSTALLA ON YKSILÖ TIETOSUOJA ON HÄNEN PERUSOIKEUTENSA

Keskeinen lainsäädäntö ( Tietosuojadirektiivi 95/46/EY) EU:n yleinen tietosuoja-asetus (2016/679) 25.5.2018 alkaen Henkilötietolaki (523/1999) tietosuojalaki Ns. työelämän tietosuojalaki, eli laki yksityisyyden suojasta työelämässä (759/2004) Tietoyhteiskuntakaari (917/2014) Julkisuuslaki (621/1999) Lisäksi säännöksiä yli 650 erityislaissa 3

Mihin tietosuojalainsäädäntö soveltuu? Tietosuojavelvoitteet soveltuvat henkilötietojen käsittelyyn Henkilötieto : kaikki informaatio, joka on suoraan tai epäsuoraan tunnistettavissa tiettyä henkilöä koskevaksi Suoraan tunnistettavia mm. nimi ja henkilötunnus Epäsuorasti tunnistavia mm. IP-osoite ja asiakas/jäsennumero Mahdollisuus linkittää tietty tieto tiettyä henkilöä koskevaksi riittää (tunnistettavissa) Pseudonyymi tieto on henkilötietoa (vs. anonyymi) 4

Henkilötietojen eri luokkia Normaalit henkilötiedot (esim. nimi, osoite, ikä, jne.) Henkilötunnus saa käsitellä ainoastaan laissa säädetyin nimenomaisin perustein Rikostuomioihin ja rikkomuksiin liittyvät tiedot lain nojalla Arkaluonteiset ( erityisluokat ) tiedot käsittely lähtökohtaisesti kielletty Erityislainsäädäntö (esim. potilastiedot) 5

Roolit Rekisteröity = yksilö, jota henkilötieto koskee Esimerkiksi asiakas/jäsen, työntekijä/-hakija, yhteyshenkilöt Rekisterinpitäjä = se, joka päättää ja vastaa henkilötietojen keräämisestä, käsittelystä ja niiden keinoista Yhdistys suhteessa mm. jäseniin, asiakkaisiin ja työntekijöihin Tietosuojalainsäädäntö velvoittaa ensisijaisesti rekisterinpitäjiä Henkilötietojen käsittelijä = toimii rekisterinpitäjän valtuuttamana ja käsittelee rekisterinpitäjän henkilötietoja tämän puolesta ja lukuun (esim. palveluntarjoaja) 6

Yleiset periaatteet 7

Yleiset periaatteet Käsittelyperiaatteet pysyvät pitkälti samoina: lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi täsmällisyys säilytyksen rajoittaminen eheys ja luottamuksellisuus Uusi periaate: osoitusvelvollisuus 8

Perusteet henkilötietojen käsittelylle Oikeutettu etu (samankaltainen kuin nykyinen asiallinen yhteys ) Lakisääteinen velvoite (kansallisesta oikeudesta johtuva) Sopimuksen valmistelu ja toteuttaminen Suostumus Itsenäinen käsittelyperuste usein silloin kun käsittelyllä voi olla jollain tavoin yllättäviä seurauksia rekisteröidylle Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen Peruutusoikeus Erityisluokkien henkilötiedoilla omat käsittelyperusteensa 9

Millä perusteella yhdistys käsittelee henkilötietoja? Jäsenrekisteri Uutiskirjeet, markkinointi, laskutus, tapahtumat jne. Jäsenyys /sopimus, oikeutettu etu Työntekijät ja vapaaehtoiset Oikeutettu etu, sopimus, laki Verkkosivut ja sosiaalisen median kanavat Oikeutettu etu 10

Rekisteröidyn oikeudet 11

Rekisteröidyn oikeudet Rekisteröidylle lisää oikeuksia Informointi Tarkastusoikeus pääsy henkilötietoon Korjausoikeus Oikeus vastustaa käsittelyä Oikeus siirtää tiedot järjestelmästä toiseen Rekisteröidylle on tarjottava mahdollisuus käyttää oikeuksiaan selkeästi, helposti, läpinäkyvästi jne. 12

Informointivelvoite Informointihetki: keräyshetki, jos tiedot kerätään rekisteröidyltä itseltään, muutoin kohtuullisen ajan kuluessa Annettavat tiedot vastaavat pääasiassa nykyistä tietosuojaselostetta Lisäksi kerrottava tietojen säilytysaika (tai sen määräytymisperuste), valitusoikeus, suostumuksen peruutusoikeus, ja mahdollinen profilointi 13

Pääsyoikeus Pääsyoikeuden yhteydessä ilmoitettava samat seikat, jotka koskevat informointivelvoitetta Lisäksi: oikeus saada kopio henkilötiedoista Lisäkopioista on oikeus laskuttaa Tiedot annettava pääsääntöisesti sähköisesti (yleisesti käytetyssä muodossa) 14

Korjaus, poistaminen ja siirto Ilmoitettava myös muille tiedon vastaanottajille Oikeus siirtää rekisteröidyn antamat tiedot suoraan rekisterinpitäjältä toiselle strukturoidusti ja konekielisesti, kun käsittely perustuu suostumukseen tai sopimukseen 15

Oikeuksien toteuttaminen käytännössä Tietosuoja-asetus vahvistaa rekisteröidyn oikeuksia asettamalla 1 kk aikarajan rekisteröityjen pyyntöihin vastaamiselle Käytännössä pohdittava: Miten rekisteröity voi toteuttaa oikeuksiaan (esim. verkon välityksellä/kirjeellä/paikan päällä)? Miten rekisteröity tunnistetaan? Miten varmistetaan, että rekisteröidylle vastataan säädetyssä määräajassa? 16

Rekisterinpitäjä ja käsittelijä 17

Rekisterinpitäjän vastuu Oletusarvoinen ja suunnitteluun perustava tietosuoja Asetuksen vaatimukset tulee huomioida jo suunnitteluvaiheessa Vain tarpeellisia tietoja voidaan käsitellä Huomio tietojen määrään, käsittelyn laajuuteen säilytysaikoihin ja tietoihin pääsyyn Huom. ei enää nykyisenkaltaista ilmoitusvelvollisuutta tietosuojaviranomaiselle 18

Rekisterinpitäjän vastuu Dokumentointivelvoitteet Rekisterinpitäjän tulee pitää kirjaa käsittelystä Kuka käsittelee Mitä käsitellään Käsittelyn tarkoitukset Siirrot EU/ETA alueen ulkopuolelle Säilytysajat Tietoturva Tietoturvaloukkaukset 19

Käsittelijät sääntelyn piiriin Käsittelijä taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Huomioitava vaatimukset käsittelijän omassa toiminnassa Itsenäisesti seuraamusten piirissä Kirjallinen tietojenkäsittelysopimus 20

Käsittelyn ulkoistaminen Ulkoistuksesta tulee sopia rekisterinpitäjän ja käsittelijän kesken Sisältövaatimuksia sopimukselle: Tietojenkäsittelyn kohde, kesto, luonne ja tarkoitukset, käsiteltävät tiedot ja rekisterinpitäjän oikeudet Käsittely vain rekisterinpitäjän ohjeiden perusteella Luottamuksellisuus ja tietoturva Rekisterinpitäjän avustaminen sen lakisääteisissä velvollisuuksissa 21

Tietoturva Henkilötiedot oltava asianmukaisesti turvattuna (luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus) tarvittavat organisatoriset ja tekniset toimenpiteet huomioon uusin tekniikka ja toteuttamiskustannukset rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet Tietoturvaloukkausilmoitukset Viranomaiselle (72h) ja yksilöille (korkea riski) ( ilman aiheetonta viivästystä ) 22

Tietosuojavastaava Rekisterinpitäjän ja käsittelijän tulee nimetä, jos: Erityiseen henkilötietoryhmään kuuluvan tiedon käsittely (esim. terveystieto) laajassa mittakaavassa Julkinen viranomainen Rekisteröityjen systemaattinen ja laaja valvonta Erityislainsäädäntö 23

Uudet hallinnolliset sanktiot Hallinnolliset sakot määrätään tapauskohtaisesti ja harkinnassa huomioitava mm: Rikkomisen luonne, kesto, vakavuus ja kesto Tahallisuus ja tuottamuksellisuus Toimenpiteet vahinkojen minimoimiseksi Toimijan vastuun aste ja aiemmat rikkeet, jne. Muita seuraamuskeinoja käytössä Eri kategoriat rikkomuksille: MEUR 10 tai 2% globaalista liikevaihdosta MEUR 20 tai 4% globaalista liikevaihdosta 24

Tietosuojatyö yhdistyksissä 25

Yhdistyksen tietosuojan check list Henkilötietojen käsitteleminen Missä keräätte henkilödataa? Esimerkiksi jäsenhakemukset, työntekijät ja vapaaehtoiset, verkkosivut, tapahtumat, markkinointi Mikä on peruste käsittelylle? Esimerkiksi oikeutettu etu, sopimus, laki tai suostumus Informaatio henkilötietojen käsittelystä Miten ja missä informoitte henkilötietojen käsittelystä? Sopimukset, jäsenhakemukset, verkkosivut, viestintä/markkinointi, tapahtumat Henkilötietojen luovuttaminen Luovutatteko henkilötietoja? Henkilöllä oikeus saada tieto henkilötietojensa luovutuksesta jos käsittely perustuu suostumukseen, tämä tieto on annettava suostumuksen yhteydessä 26

Yhdistyksen tietosuojan check list Henkilötietojen käsittelijät Oletteko ulkoistaneet henkilötietojen käsittelyä, esim. ITpalveluntarjoajille? Huomioitava tietojenkäsittelysopimus. Sisäiset ohjeistukset ja koulutukset Tietoturva ja tietoturvaloukkauksista ilmoittaminen Tietosuoja-asioiden vastuuttaminen Dokumentaatio 27

Henkilötiedon käsittelyn elinkaari asetuksen voimaantulon jälkeen Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja käytännöt Sisäänrakennettu ja oletusarvoinen tietosuoja Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet ja mahdolliset käytännesäännöt Hanki mahdolliset sertifioinnit Tee tarvittaessa vaikutustenarviointi ja nimitä tietosuojavastaava Muista ulkoistaessa kirjallinen tietojenkäsittelysopimus Henkilötietoja kerätessä, informoi rekisteröityjä asetuksessa määritellyn mukaisesti Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kieltooikeuden käyttö Ylläpidä tietosuojaohjeistukset, tietosuojaselosteet, käytännesäännöt ja sertifikaatit - Huolehdi saatavuudesta tietoja kerättäessä Tilintekovelvollisuus - Huolehdi, että voit osoittaa vaatimustenmukaisuuden Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (esim. komission mallisopimusl ausekkeet, BCR, Privacy Shield) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto/vastustus-oikeus - Oikeus siirtää tiedot järjestelmästä toiseen Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti - Huolehdi ilmoitukset henkilötietojen tietoturvaloukkauksista viranomaiselle ja rekisteröidyille Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja säilytetään pidempään 28

www.castren.fi castrenblog.com

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute