GDPR Tietosuoja-asetus Juuse Montonen Arter Oy 1
2
GDPR 25.5.2018 # o l e t k o v a l m i s EU:n yleinen tietosuoja-asetus astuu voimaan 25.5.2018 alkaen Korvaa henkilötietolain Suojaa EUkansalaisten henkilötietoja Vaikuttaa kaikkiin toimijoihin EU:n alueella, niin julkisiin kuin yksityisiin organisaatioihin Sanktiot korkeita, jopa 20 MEUR tai 4% liikevaihdosta 3
Mitä on henkilötieto? Kaikki identifioiva tieto Nimi, ikä, hetu, sukupuoli Mutta myös Valokuva Arkaluontoista Terveystieto Lapsien tiedot Etnisyys, poliittinen vakaumus, uskonto, Asetus määrittelee tarkemman suojausvaatimuksen näille Ammattiliittoon kuuluminen-> lähes kaikki työntekijät kuuluvat liittoon esim. palkkakuiteissa. 4
Terminologiaa Rekisteröity luonnollinen henkilö Rekisteri mikä tahansa jäsennelty henkilötietoja sisältävää tietojoukko Rekisterinpitäjä se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöön henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty Henkilötietojen käsittelijä luonnollinen henkilö, viranomainen tai muu taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 5
Asetus luo vaatimukset rekisterinpitäjälle Keskeisinä osoitusvelvollisuus Dokumentointi Henkilöstön perehdytys Täyttää rekisteröidyn oikeudet Osoitusvelvollisuus Noudattaminen Toiminta Fyysinen turvallisuus Tekniset toimet Ohjeistuksien laadinta ja jalkautus Tietoturva Rekisterinpitäjä n velvollisuudet Ilmoitusvelvollisuus Riskien hallinta Riskien arviointi 6
Asetus antaa oikeuksia rekisteröidylle Keskeisenä avoimuus ja tiedonsaanti Tulla unohdetuksi Uutena oikeus saada ilmoitus tietovuodosta Miten mahdollistetaan oikeuksien toteutuminen toiminassa? Prosessien määrittely Henkilöstön perehdyttäminen Helppo tiedonsaanti, informointi- ja läpinäkyyvysvelvoite Tiedon elinkaari Tiedon sijainti Tietojen oikausu Saada ilmoitus tietovuodosta Rekisteröidyn oikeudet Kieltää henkilötietoje n käsittely Pääsy omiin tietoihinsa Siirtää tiedot järjestelmästä toiseen 7
8
Oikeusperuste Lakisääteinen velvoite Eläkelaki Suostumus Suoramarkkinointirekisteri AINA KUN LÖYDETTÄVISSÄ JOKU MUU KUIN SUOSTUMUS, NIITÄ KANNATTAA KÄYTTÄÄ Sopimus Esimerkiksi asiakkuuteen liittyvän käsittelyn osalta sopimus on useimmiten se suositeltavin peruste Oikeutettu etu Oikeutettu etu voi olla olemassa, kun osapuolten välillä on merkityksellinen suhde rekisteröity on vaikkapa rekisterinpitäjän asiakas tai työntekijä. Tällöin henkilötietojen käsittelyssä on harjoitettava pohdintaa rekisteröidyn ja rekisterinpitäjän intressien suhteesta. Yleinen etu Henkilötietojen käsittelyä voidaan tehdä GDPR-asetuksen mukaan esimerkiksi ilman henkilön suostumusta, kun se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi (esim. arkistointi- tai tieteelliset tutkimustarkoitukset) tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Elintärkeä etu Näin voi olla esimerkiksi silloin, kun rekisteröidyn hengen tai terveyden pelastaminen edellyttää häntä koskevien tietojen käsittelyä eikä hänen suostumustaan käsittelyyn ole saatavissa 9
Tekniset keinot Hallinnolliset keinot Tietoturvan toteutuminen Pääsynhallinta Tietoturvaohjeistus Tietosuojan hallintajärjestelmä Tietosuojavastaava Tietosuojaorganisaatio Henkilöstön koulutukset Tietojärjestelmäsalkku Tietovirtakuvaukset Rekisteriselosteet Sopimukset (Tietotilinpäätös) Dokumentointi ja kuvaukset Tietosuojapolitiikka Ohjeet henkilötietojen käsittelyyn Prosessikuvaukset Riskienhallinta Tietoturvaloukkaukset 10
Tietosuojavastaava Riippumaton asema organisaatiossa Raportointi johdolle Pätevyys tietosuojasta Yhteistyö valvontaviranomaisen kanssa Asetuksen täytäntöönpano Rekisteröityjen oikeuksien toteutumisen varmistaminen Henkilöstön kouluttaminen ja neuvonta Tietosuojan hallintamallin rakentaminen 11
Vaiheet tietosuoja-asetukseen valmistautumisessa 1. Tietosuojaorganisaation nimittäminen 2. Henkilötietoinventaario, henkilötietojen nykytilan kartoitus- >dokumentoi! 3. Riskien tunnistaminen, analysointi ja hallitseminen-> dokumentoi! Suhteuta organisaation kokoon ja henkilötietojen käsittelyn laajuuteen! 4. Prosessit rekisteröidyn oikeuksiin vastaamiseksi: mitä teette kun asiakas pyytää tietojaan?->dokumentoi! 5. Seloste käsittelytoimista tämän pohjalta ja informointi ulospäin läpinäkyvästi-> nettisivulle 6. Jos isompi organisaatio-> tietosuojapolitiikka, tietotilinpäätös 12
13
14 V I S U A A L I S T A M U U T O K S E N H A L L I N T A A
15 V I S U A A L I S T A M U U T O K S E N H A L L I N T A A
Tervetuloa Qualitas Fennican koulutuksiin Qualitas Fennica on Arter Oy:n laadunhallinnan ja toiminnan kehittämisen koulutusten tuotemerkki. Avoimet koulutukset, organisaatiokohtaiset koulutukset, valmennusohjelmat, konsultoinnit ja arviointipalvelut toimeksiantoina. Kysy lisää Lisätietoja koulutuksista ja palveluista antaa Heta Salovaara puh. 045 173 8212, heta.salovaara@arter.fi, www.arter.fi/qf-koulutukset Arter Oy, Qualitas Fennica, Valimotie 21, 00380 Helsinki