Soluto Oy. EU-tietosuojadirektiivi eli GDPR. Jani-Petteri Pohjonen

Samankaltaiset tiedostot
Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Usein kysyttyjä kysymyksiä tietosuojasta

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

EU:n tietosuoja-asetus ja sähköposti

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Tietoturva yhdistyksessä

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

EU:n tietosuoja-asetus (GDPR)

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

GDPR. aka. Euroopan tietosuoja-asetus

Termit. Tietosuojaseloste

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Tietosuoja. Julkisten ja hyvinvointialojen liitto JHL

GDPR Tietosuoja-asetus

Henkilötietolain uudistus

EU:n tietosuoja-asetus (GDPR)

LSPeL Porin toiminta-alueen kevätseminaari

EU:n uusi tietosuoja-asetus

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN LASTENSUOJELUSSA

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

UUSI TIETOSUOJA-ASETUS. Kasvufoorumi ry Y-tunnus:

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

Tietosuoja-asetus (GDPR)

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Tietosuoja- ja rekisteriseloste

EU:n tietosuoja-asetus

Tietosuojaasiat. yhdistysten näkökulmasta

Rekisteri- ja tietosuojaseloste

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

TIETOSUOJA- JA REKISTERISELOSTE

Kolarin kunnan tietosuojapolitiikka

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Rekisteri- ja tietosuojaseloste

TUOTTEISTAMINEN JA TEKIJÄN OIKEUDET HANKETYÖSSÄ

Koulutuskiertue

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

Tietosuoja käytännössä

Ravintola Kalatorin tietosuojaseloste

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

EU:n tietosuoja-asetus 2016

EU:n tietosuoja-asetus yhdistyksen näkökulmasta

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Henkilötietojen käsittelyn ehdot palveluntuottajille

Teknologia avusteiset palvelutverkostopalaveri

Tulevat säädösmuutokset ja tietosuoja

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

GDPR-pikaopas. Demand more. Puh

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

GDPR insolvenssitilanteissa Aleksi Nieminen Nina Aganimov

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Kilta-koulutus Marja Meltti

Yhteenveto tietosuojakäytännöstämme Päivitetty

Rekisteri- ja tietosuojaseloste

Yhdistysnäkökulmasta

Tietosuojaseloste. Trimedia Oy

Asiakas- ja markkinointirekisteri. Tietosuojaseloste. Tilitoimisto Likvidi Oy

Uusi tietosuoja-asetus 2016 vaatimukset yhteisöille ja henkilökunnalle? Teppo Laine Asianajaja, osakas

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Käsittelysopimus. 1 Tausta ja tarkoitus. 2 Määritelmät

2. Kuvaus tutkimushankkeesta ja henkilötietojen käsittelyn tarkoitus

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

Henkilötietojen huolellinen käsittely marttayhdistyksissä. Reijo Petrell, Marttaliiton hallinto- ja talousjohtaja

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Informaatiovelvoite ja tietosuojaperiaate

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

VAT:n tietosuoja, tietoturva ja uuteen henkilötietolakiin liittyvät tarkennukset.

Tietosuoja Perttu Marttila / SoulCore. Julkisten ja hyvinvointialojen liitto JHL

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Prosessiteekkarit ry:n tietosuojapolitiikka

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tietosuojaseloste Codeo Oy:n henkilötietojen käsittelystä

KOSKIEN SAUMA-SOVELLUKSIA

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Transkriptio:

Soluto Oy EU-tietosuojadirektiivi eli GDPR Jani-Petteri Pohjonen 3.5.2018

25.5.2018 - EU-tietoturva-asetus (GDPR) : - Asetus koskee kaikkia organisaatioita, joilla on henkilörekistereitä tai jotka käsittelevät henkilörekistereiden tietoja - Asetus koskee dataa (paperinen tai sähköinen), jonka perusteella ihminen voidaan tunnistaa yksilöllisesti - Oman tietosuojavastaavan joutuvat nimittämään arkaluonteista henkilötietoa käsittelevät organisaatiot - Rotu tai etninen alkuperä - Poliittinen tai uskonnollinen vakaumus - Ammattiliittoon kuuluminen - Rikollinen teko, rangaistus tai rikoksen seuraamukset - Terveystiedot (sairaudet, vammaisuus, jne) tai terveyteen kohdistuvat hoitotoimenpiteet - Henkilön seksuaalinen suuntautuminen tai käyttäytyminen - Sosiaalihuollon tarve tai saadut sosiaalihuollon palvelut ja etuudet - Noudattamisen sijasta myös osoittamisen velvollisuus - Ilmoitusvelvollisuus viranomaisille 72 h sisällä henkilötietoihin kohdistuneesta tietoturvaloukkauksesta - Tietosuojasäännösten rikkomisesta viranomaiset voivat määrätä hallinnollisen sakon, joka on 2 prosenttia organisaation edeltävän tilikauden vuotuisesta kokonaisliikevaihdosta. - Siirtymäaika loppuu: 25.5.2018 2

Käsitteet Henkilörekisteri (rekisteri) = Kaikki rekisterit, listat, kortistot, muistiinpanot, luettelot tai näihin verrattavat rekisterit, joissa on tallennettuna tietoa, jonka perusteella henkilö X pystytään tunnistamaan. Esimerkkejä rekistereistä: Excel tiedosto, paperiset jäsenlistat, laskutusluettelo, Word ohjelmistolla kirjoitettu osallistujaluettelo jne. Se on siis tietokoneelle ja tietojärjestelmiin tallennettu tieto, mutta myös paperille koottu arkisto / kortisto. Henkilötieto = kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto - Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Rekisterinpitäjä = luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Käsittelijä = luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Tietoturvaloukkaus = Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin 3

Esimerkkejä henkilötietorekistereistä Tapahtumien osallistujat = Esimerkki rekisteristä, johon kerätään henkilöosallistujat tapahtumaan. Rekisterissä on esimerkiksi seuraavat tiedot: Henkilön nimi, osoite, puhelinnumero. Jäsenmaksut = Rekisteriin kerätään tietoja henkilön jäsenyydestä. Työntekijärekisteri = Rekisterissä on työntekijän tietoja, kuten nimi, sotu, terveystiedot, puhelinnumero, sähköpostiosoite, palkkatiedot jne. Markkinointilistat = Rekisteri joka koostu henkilöistä joille lähetetään markkinointimateriaalia. Tämä on esimerkiksi sähköpostimainontaa, kirjepostia, jne. Varauslistat = Rekisteri johon laite, tila, avain tai muissa näihin rinnastettavissa asioissa kerätään rekisteritietoa, kuten henkilön nimi ja puhelinnumero. 4

Huomioita rekistereistä Henkilörekisteriksi EI luokitella seuraavia rekistereitä: Esimerkiksi: Varauslista, jossa nimi Matti Meikäläinen, Avain 1, mökkiin 3 Miksi? Tietämällä nimi Matti Meikäläinen ei vielä kerro kenellekään ketä Matti Meikäläistä tämä tieto koskee. Jos varauslistassa olisi Matti Meikäläinen, Keskuskatu 15 B 3, 33100 Tampere, niin kyseessä olisi henkilörekisteri. Tieto Keskuskatu 15 B 3 osoittaa Matti Meikäläisen asuinosoitetta, EI viikonlopun varauksessa olevaa tilaa. Allergialista (esim. tapahtumaan liittyen), jossa lukee Maija Meikäläinen, keliakia, EI vielä täytä henkilörekisterin määritelmää. Miksi? Koska tieto, että jollakin Maija Meikäläinen-nimisellä henkilöllä on keliakia, ei vielä täytä henkilörekisterin määritelmää. Ei siis pystytä kohdistamaan tietoa juuri tiettyyn Maija Meikäläiseen. Jos kuitenkin rekisterissä lukisi, että Maija Meikäläinen, 040 1234 1234, keliakia,olisi kyseessä henkilörekisteri. 5

Asiakkaan jäsenen oikeudet Rekisterinpitäjän (liiton, yhdistyksen, seuran) on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan tietojenkäsittelyn asetuksen mukaisuus Toimenpiteet tulee olla dokumentoituna ja ne on tarkistettava ja päivitettävät tarvittaessa Toiminnan oltava riskilähtöistä ja ennakoivaa Kyky todistaa toimenpiteet tarvittaessa viranomaisille, dokumentoinnin ja sertifioinnin kautta Rekisteröidyllä henkilöllä (esim. asiakas, jäsen) on vahvempi kontrolli omiin tietoihin Oikeus tulla unohdutuksi Oikeus tietojen korjaukseen ja poistamiseen, jos tietojenkäsittely ei enää tarpeellista tai käsittelylle ei ole enää laillista perustetta. Oikeus saada tiedot yleisesti käytetyssä sähköisessä tai jäsennellyssä muodossa 6

Mitä tehdä käytännössä? WWW-sivut Www-sivut ovat käytännössä monille paikka kerätä jäsenilmoittautumisia ja jäsentietoja. GDPR:n eli EUtietosuojadirektiivin perusteella tietojen kerääminen www-sivuja hyödyntämällä pitää kertoa selkeästi käyttäjälle. Miten?: - Jos sivustolla on jäseneksiliittymislomake, lomakkeeseen pitää lisätä erillinen valinta, jolla käyttäjä hyväksyy (suostumus), että hänen tietojaan kerätään henkilötietojen käsittelyyn. - Jos www-sivuilla käytetään evästeitä (cookies), niiden käytöstä pitää erikseen tiedottaa. - Läheskään kaikki sivustot eivät käytä evästeitä. Kysy WWWsuunnittelijaltanne käytetäänkö sivustollanne evästeitä. Jos käytetään, luodaan sivustolle erillinen ilmoitus evästeiden käytöstä. 7

Mitä tehdä käytännössä? Kilpailutulokset Kilpailutulokset, jotka sisältävät tiedon Matti Meikäläinen, Viialan perhokalastajat, Siika 2 kg, 1. sija EI täytä henkilörekisterin määritelmää. Mitä jos nykyisessä kilpailutuloksessa lukee Matti Meikäläinen, GSM 040 1234 1234? - Voiko kilpailutulosten rekisteriä tulostaulua muuttaa niin, että kohdentavat tiedot jätetään pois? 8

Mitä tehdä käytännössä? Seuran tietokone tai seuran töihin käytetty henkilökohtainen tietokone Valtaosalla tai jopa kaikilla seuroilla on joko seuran tai seuran aktiivisten henkilöiden tietokoneilla tallennettuna seuran toimintaan tarkoitettuja henkilötietoja. Tietokoneet tulee olla suojattu tietoturvallisesti. Miten? EU tietosuojadirektiivissä ei suoraan määritellä miten tietoturva pitää olla hoidettu. Määritelmä on riittävällä tasolla. Miten käytännössä? - Virustorjunta-, palomuuriohjelmisto tietokoneelle. Esim. F-Secure Safe - Suojaa tietokoneen kirjautuminen salasanalla - Varmista, että tietokoneelle asentuu tietoturvapäivitykset, esim. Windows päivitykset jne. - Hoida tietokoneen varmuuskopio, eli tietokoneelle kerätty henkilörekisteri henkilörekisterit tulee olla varmuuskopioitu 9

Mitä tehdä käytännössä? Mitä, kun meillä on jo aikaisemmin kerättyjä rekistereitä? Pitääkö näihin kysyä erikseen jäseniltä lupa? Rekistereitä, jotka ovat kerätty ennen 25.5.2018, ei tarvitse erikseen hyväksyä jäseniltä henkilöiltä, vaan voidaan todeta, että henkilöt ovat jo suostuneet henkilötietojen antamiseen. Teidän ei siis tarvitse erikseen lähteä pyytämään erillistä suostumusta jokaiselta jäseneltä henkilörekisterin pitämiseen. Huomioi kuitenkin, että: 26.5.2018 alkaen asia on toisin. Tällöin Teidän pitää kysyä henkilöltä erillinen suostumus henkilötietojen keräämiseen. 10

Mitä tehdä käytännössä? Mitä jos joku jäsen haluaa, että kaikki häneen liittyvät tiedot poistetaan seuralta (henkilön oikeus tulla unohdetuksi)? Tilanteissa, joissa henkilö haluaa tulla unohdetuksi, eli hän haluaa että seuran poistavan kaikki tiedot hänestä. Huomioi kuitenkin, että: Seura EI saa poistaa henkilötietoja vaikka henkilö näin toivoo, jos ne ovat ristiriidassa muiden lakien kanssa. Esimerkiksi laskutustietoja ei saa poistaa kirjanpitolain mukaan. Myös sopimustietoja ei saa poistaa. Tieto, joita Teidän pitää poistaa henkilöön liittyen koskee pääasiassa vain niitä tietoja, joita henkilö on itsestään antanut Teille, kunhan ne eivät ole ristiriidassa ylemmän kanssa. 11

Rekisteriselosteet Jokaisen seuran pitää tunnistaa tällä hetkellä ylläpitämänsä henkilörekisterit ja tehdä niistä jokaisesta erillinen rekisteriseloste (jäsenrekisteri ja markkinointirekisteri) Kts. Liitteenä lähetetty erillinen Excel tiedosto rekisteriselosteen tekemiseen. Huomioi kuitenkin, että: Rekisteriselostetta ei tarvitse toimittaa etukäteen valtion viranomaisille. Se pitää olla valmiina, jos viranomaiset suorittavat tarkastuksen, miten tietosuoja on hoidettu. Tee rekisteriselosteet nykyisistä henkilörekistereistä heti ja tee niitä lisää sitä mukaa kun rekistereitä muodostuu myöhemmin lisää. Lisää rekisteriseloste esim. uusien jäsensopimusten liitteeksi tai nähtäville ilmoittautumisten yhteyteen. Näin henkilö pystyy omia henkilötietojaan täyttäessään tarvittaessa tutustumaan tietoon siitä, mihin hänen henkilötietojaan tallennetaan ja käytetään. 12

Kiitos Soluto Oy Jani-Petteri Pohjonen jani-petteri.pohjonen@soluto.fi +358 400 866018 www.soluto.fi www.yritystenverkkokauppa.fi www.fixu.fi www.it-vuokraus.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute