Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Samankaltaiset tiedostot
Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

DLP ratkaisut vs. työelämän tietosuoja

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tutkittavan informointi ja suostumus

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Teknologia avusteiset palvelutverkostopalaveri

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

TUTKIMUSLUPAHAKEMUS/PÄÄTÖS

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuoja-asetus Immo Aakkula Arkistointi

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Salon kaupunki , 1820/ /2018

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tietosuoja-asetuksen sopimusvaatimukset ja vaikutus tarjouspyynnön suunnitteluun

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tietosuojaseloste 1 (5)

Tietosuojaseloste 1 (6)

EU:n tietosuoja-asetus

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Siikalatvan kunnan koulutuslautakunta/ Aleksanterin koulu. Yhteystiedot (osoite, puhelin)

TARKISTUSLISTA HENKILÖTIETOJEN LUOVUTUSMENETTELYÄ SUUNNITELTAESSA HUOMIOON OTETTAVISTA ASIOISTA

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Salon kaupunki , 1820/ /2018

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

EU:n tietosuoja-asetus (GDPR)

Organisaatioluvan hakeminen

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Eläketurvakeskuksen tietosuojapolitiikka

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Informaatiovelvoite ja tietosuojaperiaate

Salon kaupunki / /2018

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tiedonhallinnan lainsäädännön kehittäminen

Salon kaupunki / /2018

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Politiikka: Tietosuoja Sivu 1/5

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tiedon elinkaaren hallinta Henkilötietojen suoja

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

OPPILASREKISTERISELOSTE

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Biopankkien toimintojen yhdistäminen. Lakiperusta

Tampereen Aikidoseura Nozomi ry

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

EU:n tietosuoja-asetus ja sähköposti

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Henkilötietojesi käsittelyn tarkoituksena on:

Tietosuojaseloste 1 (6)

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

EU:N TIETOSUOJA-ASETUKSET WALMU

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

REKISTERISELOSTE Henkilötietolaki (523/99) 10

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

Ilma-alusrekisteri ja tiedonluovutus

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

alueen turvallisuuden lisääminen; sekä

Tiedonjulkistamisneuvottelukunnan tilaisuus Tieteiden talolla Hallintojohtaja Anitta Hämäläinen Kansallisarkisto

Rekisteri- ja tietosuojaseloste

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Sopimus henkilötietojen käsittelystä (DPA)

Termit. Tietosuojaseloste

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Tietosuojaseloste 1 (6)

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Kolarin kunnan tietosuojapolitiikka

Asiakastietojärjestelmän tietosuojaseloste (Salok Osk jäsenliikkeet)

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Transkriptio:

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet Työpaja #9 12.2.2018 Tietosuojavastaavan tehtävät GDPR-itsearviointityökalun soveltaminen sekä käyttökokemukset Tietoturva Henkilötietojen siirrot ja luovutukset Palvelujen kriittisyysluokittelutyökalun luonnoksen esittely

Tilaisuuden ohjelma (Työpaja #9 12.2.2018) 08.30 09.00 Kahvi 09.00 09.15 Tilaisuuden avaus / Tuula Seppo ja Kimmo Rousku 09.15 10.00 Tietosuojavastaavana julkisella sektorilla / tietosuojavastaava Helena Eronen, Itä- Suomen yliopisto 10.00 10.45 GDPR-itsearviointityökalun soveltaminen käytännössä / Timo Laakso, KPMG 10.45 11.00 Bio- ja jaloittelutauko 11.00 12.00 Tietoturva ja ryhmätyö / Timo Laakso, KPMG 12.00 13.00 Lounastauko (omakustanne) 13.00 13.45 Henkilötietojen luovuttaminen / Lainsäädäntöneuvos Maarit Huotari, valtiovarainministeriö 13.45 14.00 Kahvi 14.00 15.30 Henkilötietojen luovuttaminen - jatkoa, ryhmätyö / Kira Ahveninen-Kuha, KPMG 15.30 16.00 Kriittisyysluokittelutyökalun luonnoksen esittely / Kimmo Rousku, Karri Tomula, KPMG

GDPR:n itsearviointityökalu

Esitellään työkalua Excelissä

RYHMÄTEHTÄVÄ Henkilötietojen tietoturvaloukkausten hallinnan toteuttaminen

Ryhmätehtävä Miten henkilötietojen tietoturvaloukkausten hallinta tulee toteuttaa nyt (perustuen siihen, mitä asiasta on jo puhuttu aiemmissa työpajoissa)? Mikä on keskeistä ja tärkeää? Millaisia vaiheita tietosuojapoikkeamienhallinnan prosessissa tulisi olla? Miten asiat olisi hyvä vastuuttaa? Ks. tueksi mm. itsearviointi Excelin kohta 11 Henkilötietoihin kohdistuvien tietoturva-loukkausten hallinta ja sen osalta sarakkeet H-K

Bio- ja jaloittelutauko 15 min

Ryhmätehtävä Miten henkilötietojen tietoturvaloukkausten hallinta tulee toteuttaa nyt (perustuen siihen, mitä asiasta on jo puhuttu aiemmissa työpajoissa)? Mikä on keskeistä ja tärkeää? Millaisia vaiheita tietosuojapoikkeamienhallinnan prosessissa tulisi olla? Miten asiat olisi hyvä vastuuttaa? Ks. tueksi mm. itsearviointi Excelin kohta 11 Henkilötietoihin kohdistuvien tietoturva-loukkausten hallinta ja sen osalta sarakkeet H-K

Tietosuojan ja tietoturvan suhde; tietoturva tietosuojan tukena

Tietosuoja mitä se on ja mitä se vaatii? JURIDIIKKA Tietosuojan hallinnoinnissa on hyvä ymmärtää, että lainsäädännön vaatimuksia tulee lähestyä niin toiminnallisesta kuin teknisestäkin näkökulmasta. TIETOSUOJA HALLINNOINTI JA PROSESSIT ICT & TIETOTURVA

Tietosuoja vs. tietoturva Tietosuoja keskittyy siihen kuinka henkilötietoja käsitellään ja suojataan sekä kuinka tietosuojaa hallinnoidaan. Tietoturvallisuus turvaa luottamuksellista tietoa sekä varmistaa sen eheyttä ja saatavuutta läpi tiedon elinkaaren.

Tietoturvallisuus ei yksin takaa tietosuojaa! TIETOSUOJA TIETOTURVA MUTTA NE USEIN SEKOITETAAN TIETOTURVALLISUUS ON KESKEISESSÄ ROOLISSA OSANA TIETOSUOJAA, MUTTA EI YKSIN TAKAA VAATIMUSTENMUKAISUUTTA! TIETOSUOJA HENKILÖITÄ KOSKEVA TIETO TIETOTURVALLISUUS KAIKKI TOIMINNAN KANNALTA KESKEINEN TIETO

Rekisterinpitäjän vastuu (24 artikla) Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. (24 artikla) [henkilötietoja] on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia ( eheys ja luottamuksellisuus ). (5 artikla)

Käsittelyn turvallisuus (32 artikla) 1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

Käsittelyn turvallisuus (32 artikla) a) henkilötietojen pseudonymisointi ja salaus; b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Käsittelyn turvallisuus (32 artikla) 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. 4. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

Seloste käsittelytoimista (30 artikla) 1. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. g) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista

Riskilähtöisyys kertauksena Osa asetuksen vaatimuksista jää mm. tietoturvan luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelyyn Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys Vaatii tulkintaa, mutta tuo myös joustavuutta ja mahdollisuuksia Valittavien toimenpiteiden ja suojauksen perustuttava riskiarvioon, käsiteltävien henkilötietojen luonteeseen, käytettävissä oleviin resursseihin ja teknologian tasoon Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti Riskianalyysit välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen Päätösten perusteet ja dokumentointi osa osoitusvelvollisuuden toteuttamista.

Tietoturvallisuus ja kyberturvallisuus tiivistettynä Hyvä tietoturvallisuus tarkoittaa tilannetta, jossa sekä tietoihin, järjestelmiin, palveluihin että tietoliikenteeseen kohdistuvat uhkat eivät aiheuta merkittävää riskiä. Cyber security is the desired objective of the IT security situation, in which the risks of global cyberspace have been reduced to an acceptable minimum - Saksan kyberturvallisuusstrategia Ainoa turvallinen tietokone on sellainen, joka on lukittu kassakaappiin ja haudattu maan alle salaiseen paikkaan. Tästäkään en menisi takuuseen. - Dennis Hughes (FBI)

Tietoturvallisuus ja kyberturvallisuus tiivistettynä Tietoturvallisuus ei ole binääri joko-tai -ilmiö, vaan kyseessä on enemmänkin jana, jonka eri kohdissa on enemmän tai vähemmän tietoturvaa

Uhkaympäristö muuttuu jatkuvasti ICS Industrial Control Systems

Palvelu-/toimitusketjut muuttuvat Toimittaja Teidän organisaationne Loppuasiakas kuluttaja/ kansalainen Supplying party in Chain Organisation Using Party in Chain Ml. 18 IT firmaa

Julkinen Luottamuksellinen Tiedon elinkaari Sisäinen Erittäin luottamuksellinen Oikeudellinen peruste Käyttötarkoitus Säilytysaikojen määrittely Minimointi Luokittelu Keruu Käyttö Käyttötarkoitussidonnaisuus Tarpeellisuusvaatimus Tiedon laatu Jalostaminen Käyttäjienhallinta Säilytysaikojen noudattaminen Turvallinen hävittäminen Siivousoperaatiot Hävittäminen Säilytys Pseudonymisointi Anonymisointi Kryptaus Siirto Siirtoperusteet Sopimukset Tiedonsiirtojen turvallisuus

Tietosuojariskit IT:ssä Storage Companies store sensitive data in many locations, each with its own pros and cons. It s important to have policies which cover each of the storage mechanisms to minimize the risk of improper access to data, a data breach or the placement of a malware 06 01 Client Side The client side can represent a significant threat to a company s systems as well as sensitive data that may be on the client computers. Employees often download customer files, corporate emails and legal documents to their computer for processing Network Server Side The network is connected to client machines, servers, routers, hubs, load balancers, etc. Anyone of these which have a legitimate reason to be on the network, could cause a breach 05 02 Various application are generally installed on a company s servers and each application increases the surface area which can be vulnerable to an attack. Application The more applications that exist on a user s computer, the more opportunities for one of them to carry a malware. Office productivity software is probably the most commonly used type of application. But even these applications can harbor viruses, key loggers, data gatherers etc. 04 03 Security Policy and Personnel Privacy cannot be assured unless practical security measures have been established. Each company should have a security policy in place along with compliance and security personnel to enforce it.

Kyvykkyys ja osaaminen Tietoturvallisuuden kypsyystaso Kaikki on hyvin, ei kosketa meitä Meillä on hyvät politiikat ja suojaukset Miten tämä murto saattoi tapahtua Vai Tähän? Pelottaa, mutta mitä tehdä? ja vahva vaatimusten mukaisuuden seuranta Tähän? Uhkiin pitää varautua joustavasti ja nopeasti Tähän? 100% turvallisuutta ei ole, pitää hallita riskejä Ei tätä yksin voi tehdä olemme osa yhteiskuntaa Epäkypsä Kehittyvä Investoiva Kehittynyt Alan johtava Miten prioriteetit muuttuvat Vähäinen ymmärrys Mietitään, mitä tämä tarkoittaa meille Investoidaan, jotta ollaan parempia Hallitus kiinnostuu ja vaatii raportointia ja mittareita Osallistuu yhtenä kärkinimenä alan kehitykseen Luotetaan perussuojausratkaisuihin (kuten virustorjunta) Pyydetään apua ja neuvoja Kuitenkin vieläkin yksitäisiä teknisiä ratkaisuita Aloitetaan määrämuotoisia turvallisuushankkeita Ekosysteemi kumppaneiden ja asiantuntijaorganisaatioi-den kanssa Ei kontrolleja tai vaatimuksenmukaisuutta Perusasioille on politiikat ja ohjeet Parannetaan politiikkoja ja vaatimustenmukaisuutta Kehittynyt tietoturvallisuudenhallinta Havainnointikyky olemassa ja tukee liiketoimintaa Pidetään teknologia asiana Tehdään, koska regulaatio Alustava tietoturvaarkkitehtuuri Testaustoiminta ja auditoinnit käynnissä Kyberkyvykäs organisaatio Koulutus ja tietoisuuden lisääminen alkaa Mietitään myös arvoketjua ja kumppaneita Määrämuotoinen ja toimiva riskienhallinta Teknologia tukee ja on osa ratkaisua

Tietoturvallisuus tiivistettynä 1. Tunnistetaan suojattavat kohteet 2. Arvioidaan riskit 3. Valitaan ja asetetaan suojaavat kontrollit

Mitkä ja missä ovat kruununjalokivenne? On tiedettävä omat kruununjalokivet mitä suojata

Henkilötietoinventaario ja IT-ympäristö Kokemus on osittanut, että kysymys henkilötietojen sijainnista ei ole triviaali. Organisaatioilla on merkittäviä ongelmia: tiedostaa mikä osa tiedoista on henkilötietoa selvittää kuka tiedot omistaa tunnistaa mistä henkilötiedot tulevat, mihin niitä tallentuu, miten niitä käsitellään, mitä järjestelmiä käsittelyyn liittyy, mitkä kumppanit pääsevät mihinkin tietoihin, miten kumppanit suojaavat tietoa, mitä tietoja on varmistuksilla yms miten tiedot saadaan tarkastettua tai poistettua, kun niitä ei enää tarvita (säilyttäen samalla tiedot, jotka jokin muu säännös edellyttää säilyttämään Tyypillinen suuren organisaation IT-ympäristö Tietosuojaprojektista tulee helposti records management projekti tai IT arkkitehtuuriin liittyvä projekti ja ne eivät yleensä ole pieniä projekteja. Jos organisaatiossasi on tulossa merkittäviä IT hankkeita, mieti tietosuoja-asioiden vaikutukset niihin ennen, kuin teet hankkeen.

Riskilähtöisyys 1. Tunnistetaan suojattaviin kohteisiin kohdistuvat uhkat 2. Analysoidaan riski rekisteröidyille henkilöille (vahingot ja todennäköisyys) 3. Arvioidaan riskin merkittävyys

Estetään eskaloituminen kruununjalokiville asti!

Suojaavien kontrollien kohdentaminen Suojaustoimenpiteillä pyritään saamaan jäännösriski hyväksyttävälle tasolle Kontrolleja ja resursseja kohdennetaan kruununjalokivien suojaamiseen OPERATIONS TECHNOLOGY HUMAN FACTORS Sipulimalli älä luota vain yhteen turvatasoon

Ennaltaehkäisy Havaitseminen Reagointi Kehittäminen Ole valmiina puolustautumaan vanha vs. moderni Moderni näkökulma Vanha näkökulma Vältetään vahinko Havaitaan kun se tapahtuu Reagoidaan nopeasti Opitaan ja vahvistetaan puolustusta Resilienssi

Lounastauko 1 h

Tietosuoja henkilötietojen luovutuksessa ja siirroissa

Tunnista käsitteet Luovutus (disclosure) Henkilötietojen luovutus Rekisterinpitäjän ja luovutuksensaajana olevan rekisterinpitäjän tai sivullisen välinen toimenpide Henkilötiedot paljastuvat alkuperäisen piirin ulkopuolelle Käyttötarkoitus Siirto (transfer) Henkilötietojen siirto Rekisterinpitäjän ja tämän lukuun toimivan henkilötietojen käsittelijän välinen toimenpide Henkilötiedot pysyvät alkuperäisen piirin sisällä Hankinta/ulkoistus Sopimusvelvoite

Julkisuuslaki ja tietosuoja Julkisuuslaki ohjaa myös henkilötietojen luovuttamisesta henkilörekisteristä Edellyttää, että rekisterinpitäjä on tunnistanut ne henkilörekisterinsä joita sillä on, ja mitä tehtävää (käyttötarkoitusta) varten ne on perustettu Erotettava järjestelmäkohtaisesta kuvauksesta Julkisen puolen keskeisiä rekistereitä Asiakasrekisterit kunnan ja valtion viranomaisten tai laitosten palvelutoiminnassa Eri tehtävien hoitamiseksi (eri käyttötarkoituksissa) muodostettavia asiakasrekistereitä voi olla useampia

Järjestelmäkuvaukset ja selosteet Tietojärjestelmään voi sisältyä erilaisia ja eri käyttötarkoituksessa henkilötietoja JulkL:n hyvän tietohallintotavan mukaan tietojärjestelmän käyttötarkoitus tulee määritellä ja siitä tulee laatia kuvaus Säännös tietoaineistojen tuottamisesta Kuvauksessa tieto siitä, mitä eri käyttötarkoituksiin perustettuja henkilörekistereitä tai rekisterien tietoja tietojärjestelmään mahdollisesti sisältyy Tiedonhallintalain vaikutus Tietosuoja-oikeuden näkökulmasta keskeistä ymmärtää järjestelmien suhde henkilörekistereihin

Julkisuuslain merkitys henkilötietojen luovuttamiselle Oikeus yksityiselämään vs. oikeus saada tieto julkisesta asiakirjasta ja tallenteesta Julkisuuslain soveltamisalaan liittyvät kysymykset sekä salassapidettävyyteen liittyvät kysymykset huomioitava henkilötietojen luovuttamisessa Muissa laeissa (erityislaeissa) olevia luovuttamista koskevia säännöksiä sovelletaan ensisijaisina JulkL:n säännöksiin nähden Henkilörekisteristä luovuttamisen perusteet ja antamistavat määräytyvät viime kädessä kyseisen rekisterin tarkoituksen ja säännöksen sanamuodon mukaan

Suostumus tai lakisääteinen luovutus Luovuttaminen on henkilötietolain mukaan tyypillisesti ollut mahdollista rekisteröidyn henkilön antamalla suostumuksella, jolla hän nimenomaisesti antaa suostumuksensa tietojensa edelleen luovuttamiseen, tai nimenomaisesti lainsäädännössä säädetyllä henkilötietojen luovutuksen oikeuttavalla perusteella Laki viranomaisten toiminnan julkisuudesta: Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja jollei laissa ole toisin erikseen säädetty Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.

Hyviä käsikirjamateriaaleja Tietosuojavaltuutetun toimiston ohje koskien henkilötietojen luovuttamista viranomaisen rekistereistä 27.07.2010 Tietosuojavaltuutetun toimiston ohje koskien Salassapidettävien henkilötietojen luovuttaminen viranomaisen henkilörekistereistä viranomaisen luvalla 27.07.2010

Julkisia henkilötietoja sisältävä rekisteri - erottelu henkilörekisteristä tapahtuvan henkilötietojen nähtäväksi antamisen ja henkilötietojen luovuttamisen välillä

Julkisuuslaki - asiakirjajulkisuus Pääsääntö Julkisuuslain 16 :n 1 momentin mukaan viranomaisen asiakirjan sisällöstä annetaan tieto 1. Suullisesti, tai 2. antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi, tai kuultavaksi, tai 3. antamalla siitä kopio tai tuloste.

Julkisuuslaki Julkisuuslain 16 :n 3 momentti sisältää henkilötietojen luovuttamista koskevan erityissäännöksen. Henkilötietojen suoja ja julkisuusperiaate on pyritty sovittamaan yhteen niin kutsulla luovutusrajoituksella. Pykälän mukaan henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei toisin säädetä, jos luovutuksensaajalla on oikeus henkilötietojen suojaa koskevien säännösten mukaan tallettaa ja käyttää sellaisia tietoja ja jos tietojen luovuttaminen ei muutoin vaaranna rekisteröityjen yksityisyyden suojaa tai valtion turvallisuutta. MUTTA: Viranomaisen henkilörekisteristä voi siis saada tiedon ilman edellä mainittua rajoitusta suullisesti tai siten, että tietoja pyytänyt tekee itse muistinpanoja julkisista henkilörekisteriin merkityistä tiedoista

Keskeiset määritelmät Julkisuuslaissa Julkisuuslaki erottelee henkilörekisteristä tapahtuvan julkisten henkilötietojen nähtäväksi antamisen ja henkilötietojen luovuttamisen Tietosuoja-asetuksen näkökulmasta kummassakin tapauksessa kyse on henkilötietojen luovuttamisesta

Henkilötietojen julkisuus Julkisuusperiaatteen mukaisesti viranomaisten asiakirjat ovat julkisia, ellei julkisuuslaissa tai muussa laissa ole toisin säädetty Tietosuojan näkökulmasta henkilötiedot ovat lähtökohtaisesti luottamuksellisia tietoja ja niiden käyttämisestä säätää tietosuojaasetus Tilannetta arvioitaessa on otettava huomioon myös julkisuuslaissa olevat tietojen salassapitoa koskevat säännökset Näin ollen henkilötiedot eivät ole julkisia esimerkiksi siinä mielessä, että niitä voitaisiin käsitellä ja esimerkiksi luovuttaa ilman tietosuojalainsäädännön reunaehtojen noudattamista

Yhteisymmärrystä vailla (TATTI) Viranomaisten toiminnan julkisuudesta annetun lain muutostarpeet (Julkisuuslaki) Erimielisyyttä siitä, millä tavalla yleisen tietosuoja-asetuksen mukainen henkilötietojen suoja ja yleisten asiakirjojen julkisuus tulisi sovittaa yhteen Osa työryhmän jäsenistä kuitenkin katsoi (ml. pj), että julkisuuslain muuttaminen on tarpeen yhteensovittamisen asianmukaiseksi toteuttamiseksi, mihin liittyy tarve uudistaa säännöksiä tiedon antamisesta asiakirjasta Tiedonhallintalain vaikutukset myös huomattava

Julkisia henkilötietoja sisältävä rekisteri Julkisesta henkilörekisteristä voidaan JulkL:n 16.3 :n mukaan luovuttaa pyytäjälle henkilötietoja esim. otteina, kopioina, tai sähköisessä muodossa jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää tällaisia tietoja Viranomainen vastaa luovutusten laillisuudesta Henkilötietojen pyytäjältä voidaan ja on syytä JulkL:n 13.2 :n mukaisesti aina pyytää asianmukainen selvitys luovutettavaksi pyydettävien henkilötietojen käyttötarkoituksesta sekä muista tietojen luovuttamisen edellytysten selvittämiseksi tarpeellisista seikoista (ts. tiedot tallettamisen ja käytön edellytyksistä ja laillisuudesta) Myös kun toinen pyytäjä on viranomainen Vastaanottajan käyttötarkoitukseen ymmärtäminen

Ei luovuttamista? Pyyntö saada tieto viranomaisen asiakirjasta - yksilöitävä riittävästi jotta viranomainen voi selvittää asiakirjan (16.1 ) TSV on mainitsee, että nähtäväksi, jäljennettäväksi tai kuultavaksi antaminen ei usein ole henkilötietojen luovuttamista Julkisia henkilötietoja sisältävistä henkilörekistereistä voidaan antaa tietoja em. tavoilla pääsääntöisesti ilman henkilöllisyyden varmistamista ja pyytämättä selvitystä siitä, missä tarkoituksessa tietoja pyydetään Pitää kuitenkin huomioida Suurien henkilötietomäärien pyytäminen informoi vastaanottajaa henkilötietojen käsittelyn edellytyksistä Tällaisten asiakirjojen hallinnointi ei merkitä turhaa tietoa

Luovuttamisen erityispiirteitä Julkisuuslain perusteella Seuraavat määräytyvät lain perusteella oikeus tietojen luovutukseen ja luovutuksen perusteet; tietojen salassapito ja poikkeukset salassapidosta ( 24, 26 ) menettelyt henkilötietoja henkilörekisteristä pyydettäessä (13.2 ) asiakirjojen antamistavat (16.1 ja 3 ) edellytykset teknisen käyttöyhteyden avulla tapahtuvalle tietojen luovuttamiselle/ teknisen käyttöyhteyden avaamiselle (29.3 ) luovuttamiseen liittyvät hyvän tiedonhallintatavan vaatimukset (18 ) salassapitoa ja luokitusmerkintää koskevat vaatimukset (25 )

Salassapidettävä henkilötieto 1. Voidaan luovuttaa rekisteröidyn suostumuksella, tai jos tietojen luovuttamisesta on laissa säädetty. 2. Yksittäistapauksessa JulkL 28 :n mukaan ja siinä mainituin edellytyksin antaa yksittäistapauksessa viranomainen voi antaa luvan tietojen saamiseen viranomaisen salassapidettävästä asiakirjasta tieteellistä tutkimusta, tilastointia, viranomaisen lakisääteisiä suunnittelu- ja selvitystehtäviä varten.

Luovutuksen arviointia

Henkilötietojen luovuttaminen Yleisesti henkilötietojen luovuttamisesta voidaan todeta, että se on sinänsä erityinen henkilötietojen käsittelytoimenpide, koska kyseisessä tilanteessa luovuttaja-rekisterinpitäjä luovuttaa hallinnoimiaan henkilötietoja toiselle, luovutuksensaaja-rekisterinpitäjälle Keskeinen indikaattori: henkilötiedot siirtyvät alkuperäisen rekisterinpitäjän kontrolli- ja vastuupiiristä toisen rekisterinpitäjän kontrolli- ja vastuupiiriin Tällaiselle toimenpiteelle ei yleensä yksityispuolen toimijoilla/yrityksillä ole muuta oikeusperustetta kuin rekisteröidyn henkilön antama suostumus Sekä julkisella että yksityisellä puolella on erilaisia lakiin perustuvia velvollisuuksia luovuttaa henkilötietoja esim. HR:n osalta työterveyshuoltoon, Kelaan, ym. Luovuttamista ei voida pätevästi perustaa esimerkiksi ainoastaan yhtiöiden väliseen sopimukseen, eli sopimuksella ei voida luoda sellaista luovuttamisoikeutta, jota tietosuojalainsäädännön mukaan ei ole. Luovuttamisen oikeusperusteen olemassaolo tulisi aina arvioida huolellisesti tapauskohtaisesti

Henkilötietojen luovuttaminen Luovuttaminen on tietosuoja-oikeudessa mukaan tyypillisesti ollut mahdollista ainoastaan rekisteröidyn henkilön antamalla suostumuksella, jolla hän nimenomaisesti antaa suostumuksensa tietojensa edelleen luovuttamiseen, tai sitten nimenomaisesti lainsäädännössä säädetyllä henkilötietojen luovutuksen oikeuttavalla perusteella Esim. vrt. laki viranomaisten toiminnan julkisuudesta (621/1999) 16.3 : Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja.

Luovuttaminen käsittelytoimena Henkilötietojen käsittely tulee ymmärtää laajasti ja käytännössä se kattaa kaikki henkilötietojen käsittelyyn liittyvät toiminnot Käsittely sisältää myös tietojen luovuttamisen ja luovuttamiseksi katsotaan tietojen siirtäminen käytettäväksi toiseen käyttötarkoitukseen, levittäminen tai asettaminen muutoin saataville Henkilötietojen käsittelyn on perustuttava lailliseen perusteeseen

erotuksena siirtoon Henkilötietojen siirto Siirto alihankkijalle, huom siirtoihin liittyvä erityisvelvoitteet Henkilötietojen siirto on sallittu noudattamalla tietosuojaasetuksen mukaisia edellytyksiä Henkilötietojen siirtona pidetään myös tilanteita, joissa kyse on vain tietojen katselusta tai pääsyn tarjoamisesta muualla sijaitseviin henkilötietoihin

Henkilötietojen luovuttaminen Huomioitavaa: Millä oikeusperusteella henkilötietoja luovutettaisiin? Millä oikeusperusteella tietojen vastaanottaja käsittelisi ko. henkilötietoja; mikä olisi sen laillinen käsittelyperuste? Työnantajan osalta otettava myös huomioon laki yksityisyyden suojasta työelämässä (759/2004), jossa on määritelty edellytykset työnantajan suorittamalle työntekijöitä koskevien henkilötietojen keräämiselle ja käsittelylle

Keskeiset tietosuojavelvoitteet luovuttamisessa Sama lähtökohta kuin aina: yleiset ja erityiset käsittelyn edellytyksiä koskevat säännökset Oikeus luovuttaa henkilötietoja vastinparinaan Henkilötietoja pyytävän henkilön oikeus tallettaa ja käyttää pyydettyjä henkilötietoja (ellei erityislaista muuta johdu) Yleisvelvoitteet aina tietosuojan perusperiaatteista turvallisen käsittelyn velvoitteisiin, ml. Osoitusvelvollisuus Informointivelvoite koskien säännönmukaisia tietojen luovutuksia Hallinnollisesti keskeistä määritellä ja kuvata säännönmukaiset luovutukset

Sallittuuden rajojen määrittäminen Varmista, että käsittelylle on olemassa selkeä peruste Luovutusten hallinta osana tietosuojaohjelmaa Prosessi ja seuranta osoitusvelvollisuuden osana Poliisi, vakuutusyhtiö, sairaala tunnista erityislainsäädäntö taustalla Eri käyttötarkoitus Lakisääteisen tehtävän hoitaminen

Soveltamisalarajauksia Tietosuoja-asetuksen soveltamisala Henkilökohtainen käsittely sekä taiteellinen, toimituksellinen ym. käyttötarkoitus luovuttamisen jälkeen Tarkoituksen varmistaminen Henkilökohtaisen tarkoituksen elementit Asiallinen yhteys Luovutettavien tietojen määrä Jos epäselvä, asiallista pyytää selvitystä Toisaalta huomioitava henkilötietojen käsittelyn tietyt perusvelvoitteet ja tiedon suojaaminen

Suositeltavia menettelyitä

Luovutuksen arvioinnin lähtökohdat JulkL 13.2 oikeuttaa viranomaisen pyytämään aina selvitystä henkilörekisteristä pyydettyjen tietojen käyttötarkoituksesta ja muista laillisuuden varmistamiseksi tarpeellisista seikoista siltä, joka pyytää tietoja luovutettavaksi eli otteina, kopiona tai sähköisessä muodossa JulkL 16.3 sekä tietosuojan yleisvelvoitteet edellyttävät viranomaisen varmistuvan siitä, että tietoja luovutetaan vain lailliseen tarkoitukseen

Kuinka monta henkilöä koskee? Käyttötarkoitus tulee aina selvittää Kun luovutettavaksi pyydetään vain yhtä henkilörekisteriin sisältyvää tietoa tai asiakirjaa, ei välttämättä tarvitse nojata kirjalliseen prosessiin, ellei jokin käsillä oleva olosuhde ohjaa toisin Jos useampia tietoja tai asiakirjoja, enemmän syitä ohjata pyyntö kirjalliseen prosessiin Kirjallisen prosessin sisältö Pyynnön perustiedot Mahdollinen tietosuojaselosteen edellyttäminen?

Luovutuksen arvioinnin lähtökohdat Mitä henkilörekistereitä on? Mikä on tietojen julkisuus: Ovatko henkilörekisterin henkilötiedot salassapidettäviä tai sisältyykö niihin salassapidettäviä tietoja tai asiakirjoja Ovatko tiedot ns. harkinnanvaraisesti julkisia (keskeneräiset asiakirjat, ei vielä julkiset asiakirjat) Jäävätkö asiakirjat ja tiedot julkl:n soveltamisen ulkopuolelle (sisäiseenkäyttöön laaditut asiakirjat, yksityiset kirjeet) Mitä tietoja hakija pyytää Mihin tarkoitukseen pyydettyjä henkilötietoja aiotaan käyttää Millä tavoin tiedot suojataan Tarvittaessa muita luovutuksen lainmukaisuuden varmistamiseksi tarpeellisia tietoja

Hallinnolliset edellytykset Jokaisen viraston ja laitoksen on henkilötietojen luovuttamisen edellytysten lisäksi tarpeen selvittää ja määritellä mm. Henkilötietojen luovuttamiseen liittyvät vastuut sekä päätösvalta; Menettelyt tietojen luovuttamisessa Viranomainen joutuu siten joka kerta, kun henkilörekisteriin sisältyviä henkilötietoja pyydetään luovutettavaksi, selvittämään luovutettavien henkilötietojen käsittelyn lainmukaisuuden myös Tietosuoja-asetuksen perusteella Henkilöstöllä tulee olla asianmukainen tieto luovutuksessa noudatettavista menettelyistä Asianmukainen tieto = mm. ohjeistus, koulutus, tiedon saatavuus organisaation sisällä varmistettava Erityiskysymyksiä Voidaanko tietoa luovuttaa ilman tunnistamiseen liittyvää tietoa? Puhelin erityiskanavana Kieltäytymisen perustelu (JulkL 14 )

Pähkinänkuoressa Tunnistetaan luovutusten ja siirtojen raja Toimintamallin määrittely ja ohjeistus kaikkiin tilanteisiin Seuranta ja toteutuminen

Kuinka arvioida luovutuksen käyttötarkoitussidoinnaisuutta

Roolit ja Vastuut luovutuksissa ja siirroissa Rekisterinpitäjä Lopulta vastuussa kaikista tietojen käsittelytoimista Henkilötietojen käsittelijä Tekee konkreettisia käsittelytoimia rekisterinpitäjän mandaatilla Käsittelijän käsittelijä Alihankintaketjussa toimiva henkilötietojen käsittelijä Rekisteröity Luonnollinen henkilö jonka henkilötietoja luovutetaan tai siirretään Sivullinen Luovutuksensaajana oleva muu kolmas taho (ei mikään yllä mainituista)

Luovutuksensaaja Onko kyseessä: Käsittelijä-luovutuksensaaja (vaaratilanne) Rekisterinpitäjä-luovutuksensaaja Sivullinen-luovutuksensaaja

Määrittele reunaehdot Reunaehdot Siirron/luovutuksen oikeusperuste Käyttötarkoitussidonnaisuus Vasta-argumentit Tietoturvaluokitus ja salassapitovelvollisuus Luovutuksensaajan intentio

Alkuperäinen tarkoitus Myöhempi tarkoitus Yhteensopivuuden selkeys Arvioinnin kriteeristö Toimintavaatimukset

Ryhmätehtävä

Hyvän luovutustenhallinnan järjestäminen Keskustelkaa ryhmissä, millainen luovutustenhallinnan ohjelman tulisi olla teidän organisaatiossanne Millainen lähtökartoitus/koulutus luovutustenhallinnassa tulisi olla? Mitä elementtejä sisältyy dokumentointiin? Miten, millä aikavälillä ja kuka seuraa dokumentaatiota joka luovutuksista syntyy? Pitäisikö tarjota joku tukiorganisaatio luovutuspyyntöjä käsitteleville henkilöille?

Henkilötietojen siirrot ja ulkoistaminen erotuksena luovutuksiin

Siirrosta tarkemmin Rekisterinpitäjällä täytyy aina olla laillinen henkilötietojen käsittelyn oikeusperuste Jos henkilötietojen käsittelyyn osallistuu useita toimijoita ja esimerkiksi vain yhdellä niistä on laillinen käsittelyn oikeusperuste, johon muiden tahojen käsittelyoikeuden voidaan katsoa perustuvan, laillisen oikeusperusteen haltija on rekisterinpitäjä, jolta muut toimijat henkilötietojen käsittelijöinä johtavat käsittelyoikeutensa

Ulkoistaminen Lähtökohta: rekisterinpitäjänä toimiva viranomaistaho (hankintayksikkö, tilaaja) ulkoistaa henkilötietojen käsittelytehtäviä ulkoisille palveluntarjoajille Henkilötietojen käsittelijä toimii rekisterinpitäjän lukuun, eikä palveluntarjoajalla ole itsenäistä päätösvaltaa käsittelyn suhteen Rekisterinpitäjä vastaa henkilötietojen lainmukaisesta käsittelystä myös tämän lukuun toimivien palveluntarjoajien osalta Rekisterinpitäjän on huolehdittava siitä, että käsittelyä koskevat ehdot on sopimuksin saatettu palveluntarjoajan tietoisuuteen

Lähtökohdat Riskiarvio Omat linjanvedot ja tietosuojalta edellytettävä taso Tiedon elinkaari Sopimusten arviointi Tilanteiden ennakointi Hankinnan tekijän vastuu? Pyrkimys kohti toiminnan helposti ja joustavasti mahdollistavaa tietosuojaa ja tietoturvaa Tietosuojan toteutuminen ja ihmisten oikeuksien ja vapauksien optimaalinen varmistaminen

Tietosuoja-asetus edellyttää siirtoa varten sopimusoikeudellista minimisisältöä

Ennen hankintamenettelyä Tietojen käsittelyn suunnitteleminen ennen kilpailutuksen aloittamista Tietosuojalta ja tietoturvalta edellytettävän tason määritteleminen Palveluntuottajan roolin ja velvoitteiden määritteleminen hankinnassa Hankintasopimuksella voidaan pyrkiä vaikuttamaan eri osapuolten asemiin ja velvollisuuksiin

Tarjouspyynnön sisältö Tarjouspyynnössä on kerrottava kaikki tiedot, joilla on olennaista merkitystä tarjouksen tekemiselle, jotta saadaan vertailukelpoisia tarjouksia käytännössä tietosuoja- ja tietoturvavaatimusten huomioiminen Kattavan suunnittelun merkitys korostuu! Laki julkisista hankinnoista: Hankinnan kohteen määrittely tai hankekuvaus sekä hankinnan kohteeseen liittyvät muut laatuvaatimukset keskeiset sopimusehdot muut tiedot, joilla on olennaista merkitystä hankintamenettelyssä ja tarjousten tekemisessä.

Sopimusoikeudellinen näkökulma Edellyttää osaamista koskien omia tietosuojavaatimuksia Vastuunjako Palvelutaso Säilytysaikavaatimukset Tietoturvavaatimukset Sopimuskokonaisuuden tietosuojaliitte Käytettävät ehtokokonaisuudet usein riittämättömiä suhteessa Tietosuojaasetuksen edellyttämään minimisisältöön Oletetaan hankintaan ryhtyvän tietoisuus tietosuojan asettamista vaatimuksista

Muutosprosessi sopimusoikeudellisesti Historialliset sopimusversiot ja ehdot sekä tietoturvan ja tietosuojan osalta Vanhat liitteet ja sitoomukset palvelusuhdetta koskien Vahti 2/2010, Vahti 3/2011, viittaukset henkilötietolakiin, JIT Tietosuoja-asetuksen täsmentävät uudet vaatimukset Hankintalain puitteissa olennaiset muutokset lähtökohtaisesti kiellettyjä oleellisuuden arviointi

KOTITEHTÄVÄ

Kotitehtävä Pohtikaa organisaatioissanne seuraavia kysymyksiä: 1. Tietoturva: Onko tietoturvallisuustyö resursoitu, vastuutettu ja sisällytetty osaksi vastuullisten toimenkuvaa? Onko tietosuoja- ja tietoturvatoimintojen välillä toimiva ja henkilötietojen tehokkaan suojaamisen edellyttämä yhteistyö? Onko henkilötietojen suojaamiseksi otettu käyttöön riittävät hallinnolliset, tekniset ja fyysiset turvatoimet, ja onko nämä dokumentoitu? 2. Siirrot ja luovutukset: Onko kaikki henkilötietojen siirrot ja luovutukset tunnistettu esimerkiksi osana henkilötietoinventaariota? Onko siirtojen ja luovutusten lainmukaisuudesta varmistuttu asianmukaisesti?

Kysymykset materiaaliin liittyen voi osoittaa: Timo Laakso KPMG Cyber Security Services +358 20 767 2025 timo.laakso@kpmg.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute