Tietokonversiopalvelun tietosuoja

Samankaltaiset tiedostot
Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojaseloste: Markkinointirekisteri

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojaseloste Markkinointirekisteri

TIETOSUOJAILMOITUS DIDIVE-HANKE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5)

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy


Tampereen Aikidoseura Nozomi ry

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

Teknologia avusteiset palvelutverkostopalaveri

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Tietosuojaseloste Espoon kaupunki

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

UNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAILMOITUS. Tukitoiminnot Kaakkois-Suomen Ammattikorkeakoulu Oy

Relipe Oy. Tilitoimiston asiakasrekisterin TIETOSUOJASELOSTE

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Salon kaupunki , 1820/ /2018

Tietosuojaseloste 1 (5)

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Tietosuojaseloste 1 (5)

Salon kaupunki , 1820/ /2018

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietosuojaseloste 1 (5)

Salon kaupunki / /2018

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Ohjeet tietosuoja-asetuksen mukaisiin tietopyyntöihin ja muihin rekisteröidyn oikeuksiin reagoimiseksi

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Rekisteröidyllä on oikeus vastustaa profilointia ja kieltää hänelle kohdistettu suoramarkkinointi.

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Vaasan yliopiston kansainvälisen opiskelijaliikkuvuuden hallintajärjestelmä MoveOn

1. SHK-Huolto Oy:n asiakasrekisterin tietosuojaseloste. Rekisterinpitäjä:

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Salon kaupunki / /2018

Rekisterin nimi on HSL:n sidosryhmärekisteri ( Sidosryhmärekisteri ), jonka rekisteröityjä ovat HSL:n sidosryhmiin kuuluvat henkilöt ( Sidosryhmät ).

SUNBORN SAGA OY:N SUORAMARKKINOINNIN, VIESTINNÄN JA TIEDOTTAMISEN TIETOSUOJASELOSTE

EU:n tietosuoja-asetus (GDPR)

Improbaturin vastaanottajarekisterin TIETOSUOJASELOSTE

Tämä seloste koskee henkilötietojen käsittelyä palvelussa Kauppakeskuksen asiakasrekisteri

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Asiakaskilpailuja koskeva tietosuojaseloste

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Tietosuojaseloste Espoon kaupunki

Henkilötietojen käsittelyn ehdot

Transkriptio:

2 (14) Sisällysluettelo 1 Johdanto... 4 2 Palvelun peruste... 4 3 Tietosuoja-asetuksen vaatimukset ja palvelun toteutus... 5 Henkilötiedot... 5 Käsittelijän rooli... 6 Käsittelyn lainmukaisuus... 6 Tietosuojan periaatteet... 7 Osoitusvelvollisuus... 8 Rekisteröityjen oikeudet... 10 Tietoturva... 12

3 (14) Muutoshistoria Päivämäärä Versio Muutos 03.05.2018 1.0 Ensimmäinen virallinen versio

4 (14) 1 Johdanto Tämä dokumentti käsittelee Fingridin Datahub Oy:n Titta-tietokonversiopalvelun toteutusta ja ratkaisuja EU:n yleisen tietosuoja-asetuksen ((EU) 2016/679) vaatimusten näkökulmasta. Tietokonversiojärjestelmä rakennetaan siten, että markkinaosapuolet pystyvät itsenäisesti suorittamaan siirtotiedostokohtaiset ja osapuolikohtaiset tarkistukset riippumatta muiden osapuolten toimituksista. Tietokonversiojärjestelmä tuottaa tarkastusraportteja, joiden perusteella markkinaosapuolet suorittavat tarvittavia korjaustoimenpiteitä lähdejärjestelmissä. Tietokonversiojärjestelmä ei muokkaa tai rikasta lähdeaineiston tietoja, joten kaikki korjaustoimenpiteet on suoritettava lähdejärjestelmissä. Palvelulle on suoritettu tietosuoja-arviointi Nixu Oyj:n toimesta. Tässä dokumentissa on kuvattu, miten EU:n yleisen tietosuoja-asetuksen ((EU) 2016/679) vaatimukset on otettu huomioon palvelun toteutuksessa. Arvioinnin tarkoituksena oli kartoittaa Tittatietokonversiopalvelun henkilötietojen käsittelyn tietosuojan nykytilanne sekä mahdolliset puutteet suhteessa toukokuussa 2018 sovellettavaksi tulevan EU:n yleisen tietosuojaasetuksen ((EU) 2016/679) pääkohtiin. 2 Palvelun peruste Osana sähkömarkkinoiden tiedonvaihtoon liittyvää lakisääteistä kehittämistehtäväänsä Fingrid kehittää kansallista datahub-ratkaisua täysin omistamansa :n puitteissa. Datahubiin liittyvistä oikeuksista ja velvoitteista tullaan säätämään sähkömarkkinalaissa erikseen. Tietokonversiopalvelu on keskeinen osa koko datahub -hanketta. Palvelun avulla varmistetaan varsinaiseen datahub-järjestelmään ladattavien tietojen laatu ja tarjotaan sähkön vähittäismarkkinoiden osapuolille portaali, jonka kautta he toimittavat lähdetiedot tarkastettaviksi ja edelleen ladattaviksi datahub-järjestelmään. Palvelua tarjotaan toimijoille palvelusopimuksen perusteella yhtäläisin ehdoin.

5 (14) 3 Tietosuoja-asetuksen vaatimukset ja palvelun toteutus Vaatimus Henkilötiedot Käsiteltävät henkilötiedot Ratkaisu tai toteutus Titassa käsitellään seuraavia henkilötietoja: asiakkaan tunniste asiakkaan tyyppi asiakkaan lisätunnus kieli puhelinnumero salattu (turvakielto) sähköpostiosoite Asiakkaan nimi syntymäaika osoitteet asiakkaan sopimustiedot valtuutustiedot käyttöpaikkatiedot mittaustiedot Kaikki Titta-palvelussa käsiteltävä tieto ei käytännössä ole henkilötietoa. Kaikkea tietoa kuitenkin käsitellään samalla tavalla selkeyden vuoksi. Kaikki palvelussa käsiteltävä tieto on määritelty datastandardissa. Henkilötietojen lähteet Henkilötietojen lähteet ovat palvelua käyttävien sähkömarkkinaosapuolten asiakasrekisterit Posti Oy (korjausehdotukset) Erityiset henkilötietoryhmät Artikla 9 Erityisiä henkilötietoryhmiä ei pääsäännön mukaisesti saa käsitellä. Artikla 9(2) kuitenkin asettaa 10 poikkeusta tähän sääntöön. Titta-palvelun yhteydessä ei käsitellä artikla 9 mukaisia erityisiä henkilötietoryhmiä. Palvelussa käsitellään henkilötunnuksia. Rekisterinpitäjän on varmistettava, että henkilötunnusten käsittelylle palvelussa on olemassa oikeusperuste.

6 (14) Käsittelijän rooli Artikla 28 Vaatimus Käsittelijän rooli Rekisterinpitäjä voi käyttää ainoastaan sellaisia käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöön panemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Rekisterinpitäjäkäsittelijäsuhteen on perustuttava kirjalliseen sopimukseen tai EU:n tai jonkin sen jäsenvaltion lainsäädäntöön. Ratkaisu tai toteutus Fingrid Datahub toimii Titta-palvelua tarjotessaan henkilötietojen käsittelijänä. Henkilötietojen käsittelystä on sovittu rekisterinpitäjinä toimivien sähkömarkkinaosapuolten ja Fingrid Datahubin välisessä palvelusopimuksessa. Käsittelyn lainmukaisuus Käsittelyn lainmukaisuus Artikla 6 Rekisterinpitäjän tietojen käsittelyn on perustuttava johonkin kuudesta mahdollisesta lainmukaisesta käsittelyperusteesta. Käsittelyn lainmukaisuuden varmistaminen on rekisterinpitäjän velvollisuus. Käsittelijäsopimus Artikla 28 Käsittelytoimista rekisterinpitäjän lukuun tulee olla kirjallinen sopimus. Käsittelystä tulee olla kirjalliset ohjeet. Henkilötietojen käsittely on määritelty tietokonversion palvelusopimuksessa. Palvelusta on olemassa Fingrid Datahubin tuottama käyttöohje sekä käyttäjätuen ohje. Alikäsittelijät ovat ohjeistaneet henkilökuntansa ja tietosuojavaatimukset tunnetaan. Tietojen siirto kolmansiin maihin Artikla 44-49 Henkilötietoja voidaan siirtää EU:n tai ETA:n ulkopuoliseen maahan tai kansainväliselle organisaatiolle vain, jos asetuksen V luvussa esitetyt vaatimukset toteutuvat. Henkilötietoja ei siirretä kansainvälisille organisaatioille tai kolmansiin maihin EU:n tai ETA:n ulkopuolelle.

7 (14) Tietosuojan periaatteet Käyttötarkoitussidonnaisuus Artikla 5(1)(b) ja 6(4) Henkilötietoja voi kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Henkilötietojen käsittelyn tarkoituksena on sähkömarkkinatoimijoiden lähdejärjestelmien toimittaman tiedon yhdenmukaistaminen, tiedon laadun varmistus, lähdeaineiston koordinoitu toimitus sekä Datahub-järjestelmän alkulataus. Titta-palvelussa vertaillaan tietoja datastandardia vasten ja vertailusta tuotetaan virheraportteja. Edellä esitetty käsittely on yhteensopiva asiakastietojen käsittelyn tarkoituksen kanssa. Tietojen minimointi Artikla 5(1)(c) Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Käsittelyn lainmukaisuuden varmistaminen on rekisterinpitäjän velvollisuus Titta-palvelussa käsiteltävät henkilötiedot on määritelty kattavasti Datahubin datastandardissa, jossa jokaiselle kentälle on määritelty liiketoimintatarve. Tietojen täsmällisyys Artikla 5(1)(d) Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivättyjä. On varmistettava kaikki sellaiset toimenpiteet sen valmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Säilytyksen rajoittaminen Artikla 5(1)(e) Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kun on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tai tilastollisia tarkoituksia varten. Käsittelyn edellytyksenä on tällöin, että asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi. Titta-palvelussa ei säilytetä tietoa ja tietojen ajantasaisuus on lähtökohtaisesti rekisterinpitäjän vastuulla. Yksi palvelun tavoitteista on nimenomaisesti henkilötietojen täsmällisyyden edistäminen ja päivittäminen. Tittaan rakennetaan toiminnallisuus, joka poistaa tarpeettomiksi muuttuneet siirtotiedostot automaattisesti. Tarpeelliset siirtotiedostot ovat: Viimeisessä yhdenmukaisuustarkastuksessa käytetyt tiedostot (pitää olla mahdollista julkaista yhdenmukaisuustarkastuksessa huomioidut tiedot) Viimeisessä eheystarkastuksessa käytetyt tiedostot (pitää olla mahdollista ajaa yhdenmukaisuustarkastuksia eheystarkastetuille tiedoille) Viimeisessä tiedostotarkastuksessa käytetyt tiedostot

8 (14) Osoitusvelvollisuus Tietosuojavastaava Artikla 37, 38 ja 39 Tietosuojavastaavan päätehtävä on helpottaa rekisterinpitäjän ja käsittelijän toimintaa olemaan linjassa tietosuoja-asetuksen kanssa. Rekisterinpitäjät ja käsittelijät, jotka ovat julkisia viranomaisia tai jotka valvovat yksityishenkilöitä laajasti tai jotka käsittelevät erityisiä henkilötietoryhmiä laaja-alaisesti on nimettävä tietosuojavastaava. Tietosuojavastaavan on toimittava itsenäisesti ja mikäli tällä on myös muita velvollisuuksia organisaatiossa, nämä muut tehtävät eivät saa olla ristiriidassa keskenään. Tämä tarkoittaa ennen kaikkea sitä, ettei hän voi olla mukana henkilötietojen käsittelyn ja tarkoituksen määrittelyssä (ei johdossa eikä HRfunktion tai IT-funktion vetäjä). Artikla 39 luettelee tietosuojavastaavan vähittäistehtävät. Fingrid Oyj:llä on nimetty tietosuojavastaava, joka toimii myös Titta-palvelua tuottavan Fingrid Datahub Oy:,n tietosuojavastaavana. Dokumentaatio Artikla 5(2), 24, 30 Käsittelijän on varmistettava ja osoitettava, että henkilötietojen käsittely on linjassa tietosuoja-asetuksen vaatimusten kanssa. Tämä toteutetaan ottamalla käyttöön tarvittavat organisatoriset ja tekniset toimenpiteet sekä dokumentoimalla ne asianmukaisesti. Sisäiset roolit ja vastuut tulee myös dokumentoida. Tietosuoja on otettu Titta-palvelun toteutuksessa huomioon palvelun suunnitteluvaiheesta lähtien. Toteutetut tietosuojatoimet on dokumentoitu seuraavissa dokumenteissa: Tietokonversiopalvelun tietosuoja Käsittelyseloste Tietoturvaloukkausten raportointi Tietokonversiopalvelussa Alikäsittelijäsopimukset

9 (14) Käsittelyseloste Artikla 30 Käsittelijällä tulee olla seloste käsittelytoimista, joka sisältää seuraavat tiedot: - rekisterinpitäjien nimet ja yhteystiedot - rekisterinpitäjien tietosuojavastaavien nimet ja yhteystiedot - käsittelykategoriat - mahdolliset henkilötietojen siirrot EU:n ulkopuolelle, maiden nimet ja dokumentaatio turvatoimista - yleisellä tasolla oleva seloste teknisistä ja hallinnollisista turvatoimista Osoitusvelvollisuuden mukaisesti käsittelijän tulee olla mahdollista esittää käsittelyseloste viranomaiselle. Privacy by Design Artikla 25 Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Tietokonversiopalvelun käsittelyseloste on julkaistu EDIELfi -portaalissa (www.ediel.fi) Privacy by Design-periaate on huomioitu kautta palvelun kehityskaaren mm. henkilötiedon minimoinnilla; jokaisella data-attribuutilla on käyttötarkoitus. Tiedot on luokiteltu hyödyllisiin ja välttämättömiin kenttätasolla. Tietoturvaan liittyvät suojaamistoimenpiteet on käsitelty tarkemmin kappaleessa 3.8

10 (14) Rekisteröityjen oikeudet Rekisteröidyn oikeuksien toteuttaminen Artikla 28(3)(e) Ottaen huomioon käsittelytoimen luonteen, henkilötietojen käsittelijän tulee auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä. Rekisterinpitäjien vastuulla huolehtia rekisteröityjen oikeuksien toteuttamisesta. Fingrid Datahub toimii Titta-palvelua tarjotessaan henkilötietojen käsittelijänä. Henkilötietojen käsittelystä on sovittu rekisterinpitäjinä toimivien sähkömarkkinaosapuolten ja Fingrid Datahubin välisessä palvelusopimuksessa. Fingrid Datahubilla ei ole Titta-palvelussa näkyvyyttä rekisterinpitäjän järjestelmään lataamiin henkilötietoihin. Myös tietojen säilytysaika järjestelmässä on huomattavan lyhyt. Palvelun luonne huomioon ottaen Fingridin mahdollisuudet auttaa rekisterinpitäjää tämän asiakastietoihin kohdistuvien pyyntöjen toteuttamisessa ovat hyvin rajatut. Kaikki henkilötietojen oikaisuun, poistamiseen ja rajoittamiseen liittyvät toimet tulee tehdä rekisterinpitäjän toimesta rekisterinpitäjän lähdejärjestelmissä, minkä jälkeen rekisterinpitäjä voi tuoda päivitetyt tiedot Titta-palveluun. Läpinäkyvyys ja informointivelvollisuus Artikla 12-14 Kun henkilötietoja saadaan rekisteröidyltä, rekisterinpitäjän on informoitava tätä henkilötietojen käsittelystä. Jos henkilötietoja kerätään kolmannelta osapuolelta, rekisteröityä on informoitava kuukauden kuluessa. Rekisteröityjen informointi on rekisterinpitäjän vastuulla. Henkilötietojen käsittelyä Titta-palvelussa koskeva julkinen dokumentaatio on saatavissa osoitteessa: https://www.ediel.fi/datahub Informoinnin on oltava ymmärrettävässä ja helposti saatavilla olevassa muodossa. Oikeus päästä henkilötietoihin Artikla 15 Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että hänen henkilötietojaan käsitellään tai ei käsitellä. Jos henkilötietoja käsitellään, rekisteröidyllä on lisäksi oikeus saada pääsy tai muuten saada tieto sellaisista seikoista, jotka on listattu artiklassa 15. Sähköyhtiön eli rekisterinpitäjän vastuulla on tietää mitä tietoja yhtiö on palveluun toimittanut. Fingrid ei pysty näkemään käsitelläänkö yksittäisen rekisteröidyn tietoja Titta-palvelussa.

11 (14) Oikeus tietojen oikaisemiseen Artikla 16 Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys. Kaikki oikaisut tehdään rekisterinpitäjän toimesta rekisterinpitäjän lähdejärjestelmiin Titta-palvelu ei korjaa tai muuta tietoja. Oikeus tulla unohdetuksi Artikla 17 Rekisteröity voi vaatia rekisterinpitäjää poistamaan häntä koskevat henkilötiedot asetuksen artikla 17 mukaisesti. Myös poikkeukset oikeuteen löytyvät samasta artiklasta. Jos henkilötiedoista on tehty julkisia, rekisterinpitäjän on informoitava mahdollisuuksien mukaan käsittelijöitä poistopyynnöstä. Käsittelijän on yleensä puolestaan informoitava pyynnöstä kaikkia niitä käsittelijöitä, joille tietoa on luovutettu. Yksittäisen henkilön tietoja ei pysty poistamaan. Tämä toiminnallisuus on rajattu Titta-palvelusta kokonaan pois. Jos rekisteröity haluaa tietonsa poistettavan Titta-palvelusta, pääkäyttäjä voi poistaa koko toimitetun tiedoston tai aineiston ja rekisterinpitäjä toimittaa päivitetyn aineistonuudestaan poistettuaan siitä pyynnön tehneen henkilön tiedot Oikeus käsittelyn rajoittamiseen Artikla 18 Rekisteröidyllä on oikeus vaatia häntä koskevien henkilötietojen käsittelyn rajoittamista, jos jokin seuraavista täyttyy 1) Rekisteröity kiistää tietojen paikkansapitävyyden; tai 2) Käsittely on lainvastaista, mutta rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan rajoitettua käsittelyä; tai 3) Rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen vuoksi 4) Rekisteröity on käyttänyt vastustamisoikeuttaan. Pääsääntöisesti rekisterinpitäjän on kommunikoitava rajoitusvaatimus niille tahoille, joille tieto on luovutettu. Rekisterinpitäjän vastuulla. Rekisterinpitäjä ei voi merkitä yksittäistä henkilöä rajoituksen alle; tätä hienosäätömahdollisuutta ei ole Titassa. Rekisterinpitäjä voi rajata käsittelyä poistamalla pyynnön tehneen henkilön tiedot aineistosta ja toimittamalla päivitetyn aineiston Tittaan.

12 (14) Oikeus siirtää tiedot järjestelmästä toiseen Artikla 20 Kun käsittely on automatisoitu ja perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän itse on toimittanut rekisterinpitäjälle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Hänellä on oikeus siirtää tieto toiselle käsittelijälle. Tämän oikeuden käyttäminen ei kuitenkaan saa vaikuttaa haitallisesti muiden oikeuksiin tai vapauksiin. Yksi Titta-palvelun tarkoituksista on tiedon saattaminen kansallisesti yhdenmukaiseen muotoon. Titta-palvelu ja sen käyttötarkoitus ovat uniikkeja, eikä siten tarvetta siirtää tietoa Tittapalvelusta toiseen järjestelmään ole. Kaikki tätä oikeutta toteuttavat pyynnöt ratkaisee rekisterinpitäjä. Tietoturva Tietoturva Artikla 32 Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Tietoturva-auditointi: Palvelulle on suoritettu tietoturva-auditointi lokakuussa 2017 ja maaliskuussa 2018. Tietoturva-auditointiraporteissa mainittujen sertifikaattien lisäksi konesalille on myönnetty ISO27000 tietoturvavallisuden hallintajärjestelmä -sertifikaatti auditointien jälkeen. Pyynnöstä palvelusopimuksen allekirjoittaneella rekisterinpitäjällä on oikeus tutustua auditointiraportteihin. Lokitus: Titta-palvelusovellus tallentaa lokeja sekä lokitiedostoihin (tarkin taso) että erilliseen, pääkäyttäjän katseltavissa olevaan toimintalokiin (ylätaso). Toimintalokista näkee tiedot palveluun kirjautumisista, kirjautumisyrityksistä sekä tehdyistä toimenpiteistä palvelussa. Toimintaloki säilytetään koko sovelluksen elinkaaren ajan. Lokitiedostoihin tallennetaan tiedot kaikesta palvelussa suoritetuista tietojen käsittelyistä (mukaan lukien eräajojen suorittamat toiminnot). Lokitiedostot tallennetaan koko sovelluksen elinkaaren ajan. Jos jokin tiedosto poistetaan, poistuu myöskin siihen kuuluva lokitieto. Epäonnistuneita pääsyyrityksiä seurataan konesaleissa. Konesalien tietoturvaan liittyen salien kulunvalvonta tuottaa lokia, jonka avulla pystytään luotettavasti tunnistamaan tiloissa liikkuneet henkilöt. Konesaleihin pääsy on vain valtuutetuilla henkilöillä. Vierailijoita varten on määriteltynä tiedon luottamuksellisuuteen nähden riittävät vierailijakäytännöt.

13 (14) Käyttäjähallinta: käyttäjäoikeudet perustuvat työtarpeeseen (need-to-know) sekä vähimmäisten oikeuksien periaatteeseen (least privilege). Palveluntarjoaja vastaa oman henkilöstönsä käyttöoikeuksien säännöllisestä katselmoinnista. Luottamukselliseen tietoon pääsyn omaavien Fingridin henkilöstön luotettavuus varmistetaan turvaselvityksellä. Alikäsittelijät ovat sitoutuneet aina tiedottamaan mahdollisista väärinkäytöksistä, sekä epäilyistä. Tiedon varastointi Ohjelmistoresurssipalvelussa toteutetaan niin, että pääsy Fingridin asiakkaiden omistamaan sekä hallinnoimaan tietoon on sallittu vain nimetyillä ylläpitäjillä. Ohjelmistoresurssipalvelun kuvaus Käyttäjä ei pysty avaamaan tiedostoja, joita on itse toimittanut. Pääkäyttäjä voi kirjautua sisään käyttäjänä ja saada tätä kautta pääsyn yksityiskohtaisiin virheraportteihin. Muutoin pääkäyttäjillä on oma sovelluksensa eivätkä he pääse yhtiöiden käyttämään sovellukseen. Uutena toiminnallisuutena markkinaosapuolten mahdollisuus lisätä tavallisia käyttäjiä; kaksi eri käyttäjäprofiilia: tavallinen ja yhteyshenkilö, joka voi lisätä omalle yritykselleen tavallisia käyttäjiä. Markkinaosapuolikäyttäjien käyttöliittymän osalta käytetään SMS-pohjaista kahdennettua tunnistautumista. Palveluun siirrettävät henkilötiedot siirretään suojattujen yhteyksien kautta, https-protokollaa käyttäen.

14 (14) Henkilötietojen tietoturvaloukkauksista ilmoittaminen Artikla 33 ja 34 Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivästystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta. Jos loukkaus johtaa todennäköisesti suureen riskiin yksilön kannalta, rekisterinpitäjän on informoitava rekisteröityä loukkauksesta ilman aiheetonta viivästystä. Palvelusopimuksen mukaan Fingrid Datahub ilmoittaa tietoturvaloukkauksesta rekisterinpitäjille 48 tunnin kuluessa loukkauksen havaitsemisesta. Konesalin toiminta/valvonta on ISO 27001 standardin mukaista. Alihankkijoilla on prosessi ja ohjeistus, jonka mukaan ilmoitetaan Fingridille, jos havaitaan tietoturva/tietosuojaloukkaus Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute