Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä- Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Tietosuojapäivä 9.10.2018 klo 10.10.-10.40,
Tietosuoja-asetuksen tavoite Vahvistaa henkilötietojen käsittelyn avoimuutta, läpinäkyvyyttä ja henkilön oikeuksia» Henkilötietojen käsittely palvelee ihmistä Päivittää ja uudistaa tietosuojaa koskevaa sääntelyä vastaamaan digitalisaation vaatimuksia Luottamuksen rakentamista digitaalitalouden kehittämiseksi 2
Tietosuoja-asetus Soveltaminen alkoi 25.5.2018 Kansallinen lainsäädäntö ei ole vielä voimassa Henkilötietolaki on voimassa siltä osin kun se ei ole ristiriidassa tietosuoja-asetuksen kanssa Huom! meillä on siis tietosuojavaltuutettu edelleen Tietosuoja-asetuksen kanssa ristiriidassa olevaa sääntelyä ei saa soveltaa Tietosuoja-asetuksen kanssa sopusoinnissa olevaa sääntelyä saa soveltaa 3
Kysyimme yhteishankkeeseen osallistuneilta kokemuksia 25.5.2018 jälkeisestä ajasta, positiivista Maailma ei mullistunut Kyselyvyöryä ei tullut, tarkistuspyyntöjen määrä ei lisääntynyt Kyberhyökkäykset tai kiristysyritykset eivät lisääntyneet On mietitty enemmän, miten, mitä ja missä yleensä käsitellään tietoja Ohjeistuksia oli pakko päivittää Henkilöstö kouluttanut aktiivisesti Saatu uusia näkemyksiä
Kysyimme yhteishankkeeseen osallistuneilta kokemuksia 25.5.2018 jälkeisestä ajasta, positiivista Henkilöstö tietoinen ja huolellinen henkilötietojen käsittelystä, kyselyitä tulee paljon henkilöstöltä Tyytyväisyyttä siihen, että joku kysyi kaikkia tietojaan pääsi testaamaan omia prosesseja Ennen tehtiin vain rekisteriselosteet, nyt oikeasti tiedetään enemmän henkilötietojen käsittelystä ja rekisteröityjen oikeuksista Hyvä pöhinä käynnissä, tietosuoja ja tietoturva tiedostetaan ihan eri tavalla kuin aikaisemmin On tehty yhteistyötä yli organisaatiorajojen
Kysyimme yhteishankkeeseen osallistuneilta kokemuksia 25.5.2018 jälkeisestä ajasta, haasteita ja ongelmia Kansallinen lainsäädäntö kesken Ei ole tarpeeksi ohjeistusta kansallisesti Googlen ja Microsoftin käyttämiseen liittyvät epävarmuustekijät kaivataan yhteistyötä Hankaluuksia sopimusten teossa Tiettyä muutosvastarintaa havaittavissa
Kysyimme yhteishankkeeseen osallistuneilta kokemuksia 25.5.2018 jälkeisestä ajasta, haasteita ja ongelmia Työn määrä yllätti Resurssien puute Eletään tietosuojakuplassa Kielteisellä julkisuudella on vaikutusta johto ei ota tietosuojaa vakavasti Henkilötietojen tietoturvaloukkaukset milloin niistä pitää ilmoittaa? Kuka on rekisterinpitäjä ja mitä tarkoittaa yhteisrekisterinpitäjyys Mitä on henkilötieto?
Mitä tapahtui 25.5.2018 jälkeen- ylilyöntejä havaittavissa Emme saa enää käsitellä henkilötietoja, koska.. Emme me käsittele henkilötietoja, tietosuoja ei koske meitä 8
Yle uutisoi 6 harhakäsitystä tietosuojasta 24.5.2018 1. Nimitaulut katoavat kerrostalojen rappukäytävistä 2. Saunavuorolistoja ei saa enää pitää 3. Verotietojen julkaiseminen saatetaan lopettaa Suomessa 4. Lasten syntymäpäiviä varten ei saa pitää osoitelistaa 5. WhatsAppin käyttö kielletään kaikilta alle 16-vuotiailta 6. Asetuksen rikkominen tuo heti sakot https://yle.fi/uutiset/3-10219486 9
Havaintoja tietosuojavastaava Ari Andreasson Tampere: Puutteita tietosuojattavan pienjätteen hävittämisessä» cd-levyt, muistitikut, paperit Puutteita tietojen luovutuksissa» lähetetään kirjepostia tai sähköpostia väärälle vastaanottajalle Puutteita tiedon elinkaaren hallinnan ja suojauksissa» Ei tiedetä missä tietoja on ja miksi ja kuka niihin pääsee käsiksi 10
Kokemuksia tietosuojavastaava Ari Andreasson Tampere: Käyttöoikeuksien hallinnan puutteet» Vastaavatko käyttöoikeudet työtehtäviä Liian vähäinen koulutus henkilöstölle» Kalasteluviestit» Osataanko käyttää sovelluksia, mobiililaitteita Huono ICT-sopimus/hankintaosaaminen» Vanhat sopimukset» Uusiin sopimuksiin tarkemmat määritykset 11
Vähän kertausta 12
Muistatko tietosuojaperiaatteet? Lainmukaisuus, kohtuullisuus, läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus Henkilötietoja tulee käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi Älä käsittele henkilötietoja muuhun tarkoitukseen kuin mihin ne on alun perin kerätty Älä käsittele turhia tai ylimääräisiä henkilötietoja. Henkilötietojen on aina oltava tarpeellisia. Vanhentuneet, epätarkat tai virheelliset tiedot on oikaistava ja poistettava. Älä säilytä henkilötietoja pidempään kuin on tarpeen. Huomaa kuitenkin säilytysaikaohjeistus Varmista henkilötietojen turvallisuus niin manuaalisessa kuin sähköisessä ympäristössä 13
Käsitteistä Henkilötieto Rekisterinpitäjä Rekisteröity Henkilötietojen käsittelijä Tietosuojavastaava Henkilötietojen tietoturvaloukkaus, TSV:ltä esimerkkejä https://tietosuoja.fi/documents/6927448/8214536/esimerkkejä+tietoturvaloukkauksista/ 754c16aa-152e-4f15-a458-d1579c5ea4b2/Esimerkkejä+tietoturvaloukkauksista.pdf 14
Henkilötieto Käsite on laaja Henkilötietoa ovat kaikki sellaiset tiedot, mistä henkilö voidaan tunnistaa suoraan tai epäsuorasti» Nimi, henkilötunnus, sijaintitieto, IP-osoite, peitenimi, sormenjälki, auton rekisteritunnus, sähköpostiosoite ym. 15
Rekisterinpitäjyys Rekisterinpitäjä, määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot» Miksi käsitellään henkilötietoja, kenen (lakisääteisen) toiminnan vuoksi henkilötietoja käsitellään? Rekisterinpitäjä voi myös jakaa vastuunsa toisen rekisterinpitäjän kanssa, jolloin kyse on yhteisrekisterinpitäjyydestä 16
Rekisteröidyn oikeudet keskiössä Rekisteröidyllä oikeus saada tietää muun muassa kuka on rekisterinpitäjä mitä henkilötietoja käsitellään miksi henkilötietoja tarvitaan mistä henkilötiedot on hankittu kuinka kauan henkilötietoja tarvitaan miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksia 17
Rekisteröidyn oikeus saada tietää onko henkilötietoja luovutettu tai aiotaanko niitä luovuttaa eteenpäin jos kyllä, kenelle onko tietoja siirretty EU:n ulkopuolelle jos kyllä, miten ne on suojattu käytetäänkö tietojen käsittelyssä automaattista käsittelyä jos, miten se toimii 18
Informoinnin tulee olla Avointa, läpinäkyvää, selkeää ottaen huomioon kohderyhmät Kirjallista, suullista, videoita, sarjakuvia yms. Esimerkiksi Trafi:lla animaatio siitä, miten tietoja käsitellään https://www.trafi.fi/trafi/ajankohtaista/6201/trafi_kertoo_henkilotietojen_kasit telysta_animaatiolla Hyvä esimerkki myös Finnveralla https://www.finnvera.fi/finnvera/kayttoehdot/tietosuojalauseke Myös oma henkilökuntaa on informoitava, miten heidän henkilötietojaan käsitellään 19
Mihin tulisi kiinnittää huomiota? 1. Käsitteiden hallinta 2. Henkilötietojen käsittelyprosessi ja -paikka 3. Henkilötietojen luokittelu 4. Käyttöoikeuksien hallinta 5. Henkilötietojen elinkaaren hallinta synnystä hävittämiseen 6. Henkilötietojen luovuttaminen 7. ICT- sopimukset ja hankintoihin panostaminen 8. Kouluttaminen tietosuoja-tietoturva-salassapito 9. Yhteistyön tekeminen! 20
KIITOS! KTM, YTM Tiedonhallinnan erityisasiantuntija Tietoyhteiskunta Suomen Kuntaliitto ry Juhta asiantuntijaryhmän pj. +358 50 428 8255 21