M U U TO S TA L A A D U N E H D O I L L A
K A I S A H A L S A S A V A I N A S I A K A S P Ä Ä L L I K K Ö K A I S A. H A L S A S @ A R T E R. F I 0 5 0 5 9 5 0 9 7 8 A R T E R O Y V a l i m o t i e 2 1 0 0 3 8 0 H e l s i n k i w w w. a r t e r. f i 2
A R T E R O Y P E R U S T E T T U 1 9 9 8 5 0 A R T E R L A I S T A T O I M I N T A I L M A I S E T W E B I N A A R I T 3
Tietosuoja-asetuksen taustaa Tietosuoja-asetus eli GDPR Globalisaatio ja teknologian kehitys Lisääntynyt henkilötietojen siirto rajojen yli Teknologia mahdollistaa myös helpomman ja suojatumman tietojen siirron Digitalisaatio ja palvelukeskeisyys Datan käyttö lisääntynyt Se on digitalisoitujen palveluiden polttoainetta Henkilötietojen suojelu on perusoikeus Tarkoituksena on tukea turvallisuutta ja yhdenmukaistaa Korvaa henkilötietolain 4 4
Asetus lyhyesti Koskee henkilötietoja Merkittävä vaikutus niin julkiseen, yksityiseen kuin kolmanteenkin sektoriin Luo vaatimukset rekisterinpitäjälle Keskeisenä osoitusvelvollisuus Antaa oikeuksia rekisteröidylle Tulla unohdetuksi Kieltää henkilötietojen käsittely (esimerkiksi profilointi) Pääsy omiin tietoihinsa Keskeisinä osoitusvelvollisuus ja tarkka dokumentaatio Jos asetusta ei noudateta: sanktiot jopa 20 miljoona tai 4% liikevaihdosta (tietosuoja-asetus Artikla 83) 5 5
Mitä on henkilötieto? Kaikki identifioiva tieto Nimi, ikä, hetu, sukupuoli Mutta myös Arkaluontoista FI19 00000 00000 00000 Terveystieto Lapsien tiedot Etnisyys, poliittinen vakaumus Asetus määrittelee tarkemman suojausvaatimuksen näille 6 6
Muuta terminologiaa Rekisteröity luonnollinen henkilö Rekisteri mikä tahansa jäsennelty henkilötietoja sisältävää tietojoukko Rekisterinpitäjä se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöön henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty Henkilötietojen käsittelijä luonnollinen henkilö, viranomainen tai muu taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 7 7
Rekisterinpitäjä Rekisteri Tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu Määritelmä on teknologiariippumaton ja kattaa myös järjestetyt paperiarkistot Rekisterinpitäjä Tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Päävastuu rekistereistä Ilmoitusvelvollisuus 8 8
Tekniset keinot Hallinnolliset keinot Tietoturvan toteutuminen Pääsynhallinta Tietoturvaohjeistus Tietosuojan hallinta Tietosuojavastaava Tietosuojaorganisaatio Henkilöstön koulutukset Tietojärjestelmäsalkku Tietovirtakuvaukset Rekisteriselosteet Sopimukset (Tietotilinpäätös) Dokumentointi ja kuvaukset Tietosuojapolitiikka Ohjeet henkilötietojen käsittelyyn Prosessikuvaukset Riskienhallinta Tietoturvaloukkaukset 9 9
Tietosuojapolitiikka Dokumentaatio henkilötietojen käsittelystä ja sen periaatteista organisaatiossa Fyysinen turvallisuus (esim arkistointi) Tietojärjestelmien kehitys ja hankinta (varmistettava tietosuoja-asiat) Tietosuojaperehdytys (NDA ) Henkilötietoa käsittelevien toimijoiden perehdytys asetukseen Ei ole määritelty dokumentin muotoa 10 10
Ilmoitusvelvollisuus Ilmoitusvelvollisuus koskee henkilötietojen tietoturvaloukkaustilanteita, joissa henkilötietojen luottamuksellisuus on vaarantunut Valvontaviranomaiselle Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa siitä, kun loukkaus on havaittu Rekisteröidylle Ilmoitus on tehtävä, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille 11 11
Sopimukset Sopimusinventaario Kolmannet osapuolet? Käsitelläänkö tietoja ulkomailla? Jos kyllä, missä maissa? Määritettävä Henkilötietojen käsittely ja vastuut Kuka on vastuussa ja ilmoitusvelvollinen missäkin tilanteessa? Sopimusten säilytys (esim. lukollinen kaappi) Kuvaus pääsynhallinnasta 12 12
Riskien analysointi on velvoite Rekisterinpitäjä on yhdessä henkilötietojen käsittelijän kanssa velvollinen arvioimaan henkilötietojen käsittelyyn liittyviä riskejä Toimenpiteet riskitason mukaisesti Riskienhallinnan toteutusta ei määritelty tarkalla tasolla Riskienarviointi yhdessä muiden osastojen kanssa Syytä liittää osaksi olemassa olevaa riskienhallinta prosessia Vaikutustenarvionnit havaituille suurille riskeille (yksilön oikeudet tai vapaus vaarantuu) esim. suuren arkaluontoisten tietojen joukon käsittely Hallintakeinojen määrittäminen, joilla pienentää riskitasoa Toteutetaan lähtökohtaisesti suunnitteilla olevalle järjestelmälle, palvelulle, tms. jossa tullaan käsittelemään henkilötietoja Hallintakeinot mukaan näiden kehitystyöhön 13
Rekisteri Järjestelty tietojoukko Teknologia riippumaton Paperit Mutta myös esim. CRM, excel 14 14
Rekisteriselosteet Määrittää rekisterin Jokaisella rekisterillä on oma rekisteriseloste Voi sisältää useita tietovarantoja Samat lupaukset asiakkaalle Tietosuojaseloste korvaa tämän 25.5.2018 Dokumentti, joka rekisterinpitäjän tulee laatia ja pitää yleisesti saatavilla. Sen tulee kuvata henkilötietojen käsittely tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Tietosuojavastaavan yhteystiedot Tarkistusoikeus (pääsy omiin tietoihin) Oikeus vaatia tiedon korjaamista Profiloinninkielto yms rekisteröidyn oikeudet 15 15
Pääsynhallinta Pääsyn rajaaminen ja pääsyoikeuksien hallinta Tulee ottaa huomioon myös etäyhteydet EU:n tai Euroopan talousalueen ulkopuolelta Voidaan rinnastaa henkilötietojen siirtoon Organisaation sisäinen pääsynhallinta Tiloihin Järjestelmiin Mutta myös asiakkaan / kolmannet osapuolet varmistetaan, että asiakas on hän itse 16 16
Pääsynhallintamenetelmä esimerkkejä Organisaation omat järjestelmät Käyttäjätunnus ja salasana Pääsy järjestelmiin vain toimistotiloissa / organisaation WLAN:sta Asiakas / Kolmannet osapuolet Käyttäjätunnus ja salasana Sähköposti + salasana Pankkitunnukset 17 17
Lokitiedot Todennettava, dokumentoitava Toteutettava niin tarkkaan kuin mahdollista Todennus siitä kuka on järjestelmässä käsitellyt henkilötietoja 18 18
Rekisteröidyn oikeudet Pääsy tietoihinsa Nähdä mitä tietoja hänestä on kerätty Tulla unohdetuksi Poistaa tiedot Rekisteröidyn selvityspyyntöihin on vastattava viipymättä ja viimeistään 4 viikossa. 19 19
Mitä pitää ainakin tehdä? Määritä tietosuojasta vastaava henkilö Varmista että teillä on henkilöistä vain tarpeellinen määrä ja perusteltua tietoa Tietosuojadokumentaatio Tietosuojapolitiikka tms. Rekisterit Henkilötietojen käsittely (prosessikuvauksia?) Luo käytännöt Rekisteröidyn tietojen luovuttamiseen /muuttamiseen Ilmoitusvelvollisuuden täyttämiseen Varmista henkilötietojen suojaus 20 20
Pohdittavaa Käsiteltävät henkilötiedot Pohtikaa mitä rekisterejä teillä on tai voi olla käytössä Miten varmistetaan että käsitellään vain sellaisia tietoja, joilla on oikeusperusta? Tietosuojan kouluttaminen Miten varmistetaan, että kaikilla asiaosaisilla on riittävä tieto asetuksesta? Kuinka tieto siirretään seuraajille toimijoiden vaihtuessa? Dokumentaation tuottaminen Onko jo hyviä käytäntöjä olemassa? Keskustelkaa miten järjestöissä voidaan toteuttaa tietosuojapolitiikka, tietoturvaohjeistukset ja henkilötietojen käsittelyn kuvaus Riskit Listatkaa mahdollisia tietosuojariskejä, niiden mahdollisia vaikutuksia ja tapoja, joilla niihin voidaan varautua. Esim. heikot salasanat -> ulkopuolinen henkilö voi päästä järjestelmään-> vaaditaan vähintään xxx 21 21
Pohdittavaa Tehtävä Pohtikaa, missä tilanteissa olette rekisterinpitäjä? Entä missä tapauksissa henkilötietojen käsittelijä? Miten organisaatiossanne on määritetty olemassa olevat riskit? Onko riskejä arvioitu? Jos kyllä, miten? Mitä itse koet riskeinä, jos sinun henkilötietosi vuodettaisiin? Onko kaikella henkilötiedolla, jota käsittelemme oikeusperuste? Olemassa olevat tietoturvaohjeistukset, onko päivitystarpeita? Miten asia järjestetään juuri meidän järjestössä? Jokainen organisaatio on vastuussa henkilötietojen käsittelyn kuvaamisesta ja uusien toimintatapojen viemisestä käytäntöön Onko teillä meneillään tai tulossa järjestelmien hankintoja ja/tai kehitystä? Miten näissä on huomioitu tietosuoja-asetus? Onko sopimukset kunnossa kolmansien osapuolien kanssa? 22 22
K A I S A H A L S A S A V A I N A S I A K A S P Ä Ä L L I K K Ö K A I S A. H A L S A S @ A R T E R. F I 0 5 0 5 9 5 0 9 7 8 A R T E R O Y V a l i m o t i e 2 1 0 0 3 8 0 H e l s i n k i w w w. a r t e r. f i 23