Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? 1
Seloste käsittelytoimista Tietosuoja-asetus vaatii Sisäiseen käyttöön Rekisterinpitäjä rekisterinpitäjän ja tietosuojavastaavan nimi sekä yhteystiedot käsittelyn tarkoitus kuvaus rekisteröityjen ja henkilötietojen ryhmistä kenelle tietoja on luovutettu tai aiotaan luovuttaa Henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto mikä maa ja kansainvälinen järjestö sekä mahdolliset asianmukaisia suojatoimia koskevat asiakirjat suunnitellut aikarajat tietojen poistamiselle koskien kutakin henkilötietoryhmää Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla varmistettu että tietojen käsittely on asetuksen mukaista ja rekisteröityjen yksityisyydensuoja turvattu Käsittelijä Käsittelijän ja rekisterinpitäjien, jonka lukuun käsittelijä toimii, sekä rekisterinpitäjän ja henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi sekä yhteystiedot Kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät Henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto mikä maa ja kansainvälinen järjestö sekä mahdolliset asianmukaisia suojatoimia koskevat asiakirjat Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla varmistettu että tietojen käsittely on asetuksen mukaista ja rekisteröityjen yksityisyydensuoja turvattu 2
Tietosuojaseloste Laittamalla tietosuojaseloste verkkosivuille, toteutat informointivelvollisuutta rekisteröidylle Sisältö: Rekisterinpitäjä Yhteyshenkilö/tietosuojavastaava Henkilötietojen käsittelyn tarkoitus ja käsittelyn laillinen peruste Rekisterin tietosisältö Säännönmukaiset tietolähteet Tietojen säännönmukaiset luovutukset Tietojen siirto EU/ETA:n ulkopuolelle Tietojen käsittelyaika Rekisteröidyn oikeudet Tarkastusoikeus, oikeus tietojen korjaamiseen, oikeus tietojen poistamiseen, oikeus käsittelyn rajoittamiseen, oikeus siirtää tiedot järjestelmästä toiseen Automaattisen päätöksenteon olemassaolo Henkilötietojen tietoturvaloukkauksista ilmoittaminen Valitusoikeus valvontaviranomaiselle 3
Ohjeistus käsittelijöille Ohjeistus käsittelijöille, miten henkilötietoja käsiteltävä Kirjallinen sopimus ja liitteet (vähintään oltava) Muuta ohjeistusta? 4
(Ohjeistus ja muu sisäinen dokumentaatio henkilökunnalle) Osoitusvelvollisuuden toteuttamiseksi, että on toteutettu riittävät tekniset ja organisatoriset toimet Tietosuojapolitiikka Tietosuojatiimin kuvaus, -roolit ja vastuut kuvaukset rekisteröityjen oikeuksien toteuttamiseksi määritellyistä prosesseista Ohjeistus, määräykset Esim. tietojen suojaaminen, asiakastietojen tarpeellisuusvaatimus, tietojen hävittäminen, asiakkaiden informointi, rekisteröityjen oikeuksien toteuttaminen, suostumuksen pyytäminen, seuraamukset henkilötietojen lainvastaisesta käsittelystä Tiedotteet (informointi) henkilökunnalle rekisteröityjen roolissa Esim. käytönvalvonnasta, paikantamisesta Salassapitositoumukset 5
(Rekisteröityjen suostumukset) Osoitusvelvollisuuden toteuttamiseksi suositeltavaa Rekisterinpitäjän vastuulla osoittaa suostumusten pätevyys 6
Henkilötietojen tietoturvaloukkaukset Tietoturvaloukkaukseen liittyvät seikat mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät Vaikutukset/seuraukset Toteutetut toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi (lisäksi suositeltavaa dokumentoida syyt miksi ei ole informoitu viranomaisia/rekisteröityjä tai jos on säilyttää nämä yhteydenotot. Syyt ilmoituksen mahdolliselle myöhästymiselle) 7
(Tietosuojaa koskeva riskiarviointi) Ei velvoiteta suoranaisesti tietosuoja-asetuksessa mutta suositeltavaa tehdä jotta pystyy osoittamaan että suojatoimet ym. on mitoitettu harkitusti Rekisterinpitäjän osoitusvelvollisuus, että toteuttaa asianmukaiset ja tehokkaat toimenpiteet, että käsittely on asetuksen mukaista Riskiarvio -> sen mukaan tehdyt toimenpiteet tietoturvatestausten tulokset Asetuksen mukainen tietosuojaa koskeva vaikutusten arviointi (DPIA) dokumentoitava 8
(Tietosuojaa koskevat päätökset) suositeltavaa osoitusvelvollisuuden toteuttamiseksi Esim. pöytäkirjat kokouksista, joissa päätös tehty + päätöksenteossa käytetty materiaali 9
(Tietotilinpäätös) Osoitusvelvollisuuden toteuttamiseksi omaa seurantaa varten Laajuus sen mukainen kun siitä arvioidaan olevan hyötyä organisaatiolle 10
KIITOS! 11