Tarkenna fokusta! Lainsäädäntökokonaisuus ja IAB:n GDPR -ohjeistus. IAB tietosuojaseminaari Elli Laine

Samankaltaiset tiedostot
Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Teknologia avusteiset palvelutverkostopalaveri

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Sanoman lähestymistapa tietosuojaasetukseen. kuluttajilta. Timo Rinne

Tietosuoja-asetus (GDPR)

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

EU:N TIETOSUOJA-ASETUKSET WALMU

Informaatiovelvoite ja tietosuojaperiaate

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Koulutuskiertue

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Oulun Maanmittauskerho ry. Tietosuojaseloste

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

EU TIETOSUOJA- ASETUS

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

VISMA SEVERA. GDPR webinaari

GDPR Tietosuoja-asetus

EU:n tietosuoja-asetus

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

GDPR. Timo Kokkonen Webinaari

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietoturva yhdistyksessä

EU:N UUSI TIETOSUOJA- ASETUS

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojaseloste 1 (5)

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tietosuojavaltuutetun toimiston tietoisku

LSPeL Porin toiminta-alueen kevätseminaari

EU:n tietosuoja-asetus (GDPR)

Rekisteri- ja tietosuojaseloste

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

EU:n tietosuoja-asetus (GDPR)

Tietosuoja- ja rekisteriseloste

Tietosuoja-asetus ja sen kansallinen implementointi

WORKSPACE OY REKISTERISELOSTEET

Tietosuojaseloste 1 (6)

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

IF-INFO MEKLAREILLE

TIETOSUOJASELOSTE. Pvm: EU:n yleinen tietosuoja-asetus (GDPR) Rekisterinpitäjä

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

Haminan tietosuojapolitiikka

Käsittelysopimus. 1 Tausta ja tarkoitus. 2 Määritelmät

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Pilvipalvelut ja henkilötiedot

GDPR. aka. Euroopan tietosuoja-asetus

Tietosuoja-asetus Immo Aakkula Arkistointi

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Opetusalan Ammattijärjestö OAJ. Tietosuojakoulutus AKOL

Henkilötietojen käsittelyn ehdot

Tietosuoja-asetuksen sudenkuopat

Transkriptio:

Tarkenna fokusta! Lainsäädäntökokonaisuus ja IAB:n GDPR -ohjeistus IAB tietosuojaseminaari 10.4.2018 Elli Laine

Tietosuojasääntelyn kokonaisuus Perustuslaki ja EU:n perusoikeuskirja Henkilötietolaki (Henkilötietodirektiivi) EU:n tietosuoja-asetus (GDPR, 2018) Suomessa annettu hallituksen esitys (9/2018) asetusta täydentävästä tietosuojalaista Tietoyhteiskuntakaari (Laki sähköisen viestinnän palveluista 1.6.2018 alkaen) Perustuu sähköisen viestinnän tietosuojadirektiiviin Sähköisen viestinnän tietosuoja-asetus (eprivacy Regulation) valmisteilla Neuvottelut aloitetaan ilmeisesti syksyllä 2018

GDPR

GDPR Kerrataan vielä Asetustasoinen säädös, jotka voimassa saman sisältöisenä koko EU:n alueella Korvaa henkilötietodirektiivin (1995) Pääsääntöinen harmonisointi, jonkin verran kansallista liikkumavaraa Suomessa ehdotettu säädettäväksi uusi tietosuojalaki, joka täydentää tietosuoja-asetusta (Hallituksen esitys 9/2018 julkaistu) Hyväksyttiin virallisesti toukokuussa 2016 Siirtymäaika -> suoraan sovellettavaa lainsäädäntöä 25.5.2018

GDPR: Viime hetken tarkastuslista rekisterinpitäjälle Kartoitettava henkilötietojen käsittelyn tilanne: Mitä henkilötietoja käsitellään? Ovatko kaikki tiedot tarpeellisia? Mihin tarkoituksiin tietoja käsitellään? Mitkä ovat lailliset käsittelyperusteet? Mihin tietoja siirretään tai luovutetaan? Onko tehty tietojenkäsittelysopimuksia? Kuinka kauan henkilötietoja säilytetään? Miten tiedot hävitetään? Onko olemassa käytäntöjä tietojen poistamiseen tai tuhoamiseen? Luotava sisäiset rakenteet, joilla varmistetaan, että tietosuojaasetuksen vaatimuksia noudatetaan Esimerkiksi sisäiset vastuualueet, dokumentointi, koulutus Tuntevatko kaikki henkilötietojen käsittelyyn osallistuvat seuran edustajat asetuksen asettamat velvoitteet? Arvioitava tarvetta nimittää tietosuojavastaava

GDPR: Viime hetken tarkastuslista rekisterinpitäjälle Otettava käyttöön tietosuojaperiaatteet toteuttavia toimenpiteitä ja dokumentoitava kaikki olennaiset toimenpiteet Toteuttaa myös osoitusvelvollisuutta, koska dokumentaatiossa voidaan perustella tulkintaan liittyvät valinnat Suunniteltava menettelyt rekisteröityjen oikeuksien toteuttamiseksi Miten vastataan esimerkiksi pyyntöön saada pääsy tietoihin? Kenellä on oikeus tulla unohdetuksi? Kuka organisaatiossa vastaa rekisteröityjen pyyntöihin? Laadittava asetuksen edellyttämät tietosuojaselosteet / informointikäytännöt Verkkoon kerrostetut kuvaukset Haaste: Vältä informaatioähky mutta kerro käsittelystä riittävän läpinäkyvästi Seuraa viranomaisten ohjeistusta

GDPR: Viime hetken tarkastuslista käsittelijälle Otettava käyttöön tekniset ja organisatoriset toimenpiteet riittävän tietosuojan ja tietoturvan tason varmistamiseksi Laadittava käsittelysopimukset rekisterinpitäjien kanssa ja muokattava oma toiminta vastaamaan velvoitteita joihin sopimuksissa on sitouduttu Onko oikeutta siirtää henkilötietoja EU- ja ETA-alueen ulkopuolelle? Onko oikeutta käyttää alihankkijoita? Miten vastaavat tietosuojavelvoitteet vyörytetään alihankkijoille? Miten tietoturvaloukkauksista ilmoitetaan rekisterinpitäjälle? Onko sovittu, että käsittelijä saa käyttää tietoja myös omiin tarkoituksiinsa (rekisterinpitäjänä)? Laadittava asetuksen edellyttämät selosteet käsittelytoimista Seuraa viranomaisten ohjeistusta

eprivacy

eprivacy Mitä ja milloin? Asetustasoinen säädös, jotka voimassa saman sisältöisenä koko EU:n alueella Korvaa Suomessa tietoyhteiskuntakaareen siirretyt entisen sähköisen viestinnän tietosuojalain pykälät Esimerkiksi sääntely evästeistä, sähköisestä suoramarkkinoinnista ja sijaintitiedoista Kansallisen liikkumavaran määrä on vielä epäselvää Komissio ja parlamentti julkaisseet ehdotuksensa Neuvoston lopullista versiota odotetaan vielä Trilogit syksyllä 2018? Asetus voimaan vuoden 2018 lopulla tai 2019-2020? Siirtymäaika (kuten GDPR:n osalta)?

eprivacy asetuksen tilanne Tammikuu; komission ehdotus Joulukuu; neuvoston työversio/tilanneraportti Lokakuu; äänestys LIBE + täysistunto Q2; Neuvoston yleisnäkemys? Poliittinen yhteisymmärrys? Q3 ja Q4; Trilogineuvottelut? Q1 Q2 2017 Q3 Q4 Q1 Q2 2018 Q3 Q4 Kesäkuu; valiokuntien mietintöluonnokset (LIBE, IMCO, JURI ITRE) Syys- lokakuu; äänestys (IMCO, JURI, ITRE) Heinäkuu; muutosehdotukset (LIBE IMCO, JURI, ITRE) Tammikuu ja maaliskuu; neuvoston työversiot

eprivacy: Mitä on odotettavissa? Sallitut käsittelyperusteet? Nyt eprivacy tarjoaa ainoastaan suostumuksen käsittelyperusteena Entä oikeutettu etu ja muut GDPR:n mukaiset lailliset käsittelyperusteet? Miten suostumus evästeisiin annetaan? Selaimen käyttöönoton yhteydessä? Sivustokohtaisesti? Ymmärtävätkö nämä suostumukset toisiaan?

eprivacy: Mitä on odotettavissa? Cookie Walls ja Tracking Walls palomuurit jatkossa kiellettyjä? Onko pakko tarjota palveluja jos käyttäjä ei anna suostumustaan evästeiden käyttöön? Maksumuurit yleistyisivät jatkossa? Kolmansien osapuolten suorittama verkkoanalytiikka voi edellyttää käyttäjän nimenomaista suostumusta? Telemarkkinointi opt out:ista opt in luvan varaiseksi? B2B markkinointi opt out:ista opt in luvan varaiseksi? eprivacyn rikkomisesta ehdotettu vastaavia sanktioita kuin GDPR:ssä

GDPR ja eprivacy

GDPR:n ja eprivacyn välinen hierarkia eprivacy eli sähköisen viestinnän tietosuoja-asetus on tietosuoja-asetusta täydentävää erityislainsäädäntöä (lex specialis) eprivacy sääntelee erityisesti sähköisen viestinnän tietosuojaa eprivacy täsmentää ja täydentää GDPR:ää GDPR:ää sovelletaan sen ohella siltä osin kuin eprivacyssä ei ole säädetty toisin Valvovatko eri viranomaiset GDPR:n ja eprivacy:n noudattamista? Miten yritys voi toimia lainmukaisesti kun eprivacy on keskeneräinen?

GDPR:n ja eprivacyn välinen hierarkia Evästeiden asettaminen edellyttää suostumusta eprivacyn perusteella Henkilötietojen käsittely edellyttää GDPR:n laillista käsittelyperustetta (esimerkiksi suostumus tai oikeutettu etu)

IAB:n tietosuojatyöryhmän ohjeistukset

IAB:n ohjeistukset IAB Europe on tehnyt tulkintalinjauksia esimerkiksi henkilötiedon määritelmästä GDPR:n alla IAB Finlandin tietosuojatyöryhmä on valmistellut IAB Europen linjausten mukaista tietosuojaohjeistusta IAB:n jäsenistölle Henkilötiedon määritelmä Henkilötietojen käsittelyn roolit digimarkkinoinnissa Käsittelysopimukset Ohjeistukset julkaistaan IAB:n verkkosivuilla

Henkilötiedon määritelmä

Henkilötiedot GDPR:n mukaan Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot Jos henkilö on suoraan tai epäsuorasti tunnistettavissa erityisesti tunnistetietojen perusteella: nimi, henkilötunnus, sijaintitieto, verkkotunnistetieto, tunnusomaiset fyysiset, geneettiset, psyykkiset, taloudelliset, kulttuuriset tai sosiaaliset tekijät Rekisterinpitäjän tai jonkun muun tunnistettavissa Kohtuullisen todennäköisin keinoin Myös evästeet ja IP osoitteet (mutta arvioitava kontekstissa) Pseudonymisoidut tiedot ovat uusi henkilötietojen ryhmä Laaja määritelmä!

Pseudonymisoidut tiedot GDPR:n mukaan pseudonymisoimisella tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja Edellytyksenä on, että lisätiedot säilytetään erillään pseudonymisoidusta tiedosta Pseudonymisoituna tietona voidaan pitää myös tietoa, jota yritys ei voi yhdistää luonnolliseen henkilöön ilman lisätietoja Esimerkiksi Adtech yrityksen käsittelemä eväste ID, joka voitaisiin yhdistää tiettyyn henkilöön ainoastaan muiden tietojen avulla GDPR soveltuu pseudonymisoitujen tietojen käsittelyyn samaan tapaan kuin muidenkin henkilötietojen käsittelyyn Pseudonymisoinnin avulla voidaan toteuttaa käsittelyn turvallisuuteen liittyviä velvoitteita ja osoitusvelvollisuuden täyttämistä

Evästeet henkilötietoina Evästeet voivat olla luonteeltaan: Suoraan ilman lisätietoja henkilöön yhdistettävissä olevia henkilötietoja; Pseudonymisoituja tietoja; tai Anonyymejä tietoja joita ei voida yhdistää tunnistettavissa olevaan henkilöön edes lisätietojen avulla Ainoastaan verkkovierailun jälkeen poistettavat sessioevästeet voinee varmuudella rajata henkilötieto määritelmän ulkopuolelle Miten pyydetään suostumus evästeiden käyttöön?

Roolit henkilötietojen käsittelyssä

Roolit henkilötietojen käsittelyssä Rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Esimerkiksi mainostaja tai julkaisija Ne tahot, jotka käsittelevät henkilötietoja ainoastaan rekisterinpitäjän lukuun toimeksiannon perusteella ovat henkilötietojen käsittelijöitä Esimerkiksi mainostoimisto tai mediatoimisto Entä tilanne, jossa mainostaja antaa budjetin ja mainostoimisto saa vapaat kädet kampanjan suunnitteluun? Sama taho voi olla sekä rekisterinpitäjän että käsittelijän rooleissa samassa sopimussuhteessa

Käsittelysopimukset

Käsittelysopimus (DPA) vai sopimus tietojen luovutuksesta (data sharing agreement)? Roolit ymmärrettävä ja kuvattava sopimuksessa Rekisterinpitäjä määrittelee miten ja miksi henkilötietoja käsitellään Rekisterinpitäjä voi kuitenkin delegoida käsittelijälle päätöksen ja toimenpiteet siitä miten tietoja teknisesti käsitellään Arvioinnissa otetaan huomioon mm. osapuolten todellinen toiminta, vaikutusvallan laajuus, sopimuksen kirjaukset, käsittelijäksi nimetyn liikkumavara Samalla toimijalla voi samassa suhteessa olla useita rooleja Jos sopimusosapuolilla on useita rooleja, on kuvattava mitä käsittelytoimenpiteitä tehdään missäkin roolissa Kahden rekisterinpitäjän välisen tietojen luovutussopimuksen sisältöä ei ole määritelty GDPR:ssä Mahdollista laatia hybridisopimus

Käsittelysopimukset Rekisterinpitäjän ja käsittelijän on laadittava GDPR:n mukainen kirjallinen sopimus henkilötietojen käsittelystä Pakko sopia Esimerkiksi sopimukset mainostajan ja mediatoimiston välillä Käsittelysopimuksissa huomioitava esimerkiksi: Käsittelyn kohde, käsittelyn kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi, rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet Henkilötietojen käsittelijä saa käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti Alihankkijoiden (alikäsittelijöiden) käyttö Vaaditut toimenpiteet käsittelyn turvallisuuden varmistamiseksi Rekisterinpitäjän tarkastusoikeus Suositeltavaa huomioida myös esimerkiksi vastuunrajoitukset, käsittelijän oikeus veloittaa rekisterinpitäjän avustamisesta sekä käsittelyn päättymiseen liittyvät toimenpiteet

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute