GDPR tietosuoja asetus Heli Peltola Suomen Palvelukoulutus Geriwell Oy Heli Peltola 12.3.2018 1
Sisältö EU tietosuoja - asetus Henkilörekisteri Henkilötietojen käsittely Tietojen kerääminen Tietosuojavastaava Rekisterinpitäjä Omavalvonta Ohjeita miten liikkeelle 2
EU tietosuoja asetus GDPR Koskettaa kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa Asetus tuli voimaan keväällä 2016 Siirtymäaika päättyy ja GDPR tulee täysimääräisenä voimaan 25.5.2018 General Data Protection Regulation = GDPR Tietosuoja- asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. 3
EU:n tietosuoja-asetus GDPR Osaksi yrityksen jokapäiväistä toimintaa Henkilötiedot, esim. työsuhde, asiakastiedot, markkinointi Vähemmän on enemmän -> mahdollisimman vähän tietoa Sote tiedot luokitellaan arkaluonteisiksi tiedoiksi Rekisterinpitäjä itsemaksavat tai kunnan asiakkaat Henkilötietojen käsittelijä 4
Rekisterinpitäjä Henkilötietorekisteristä vastaa rekisterinpitäjä, joka voi olla yritys, viranomainen, yhdistys, laitos tai säätiö Rekisterinpitäjä on se, jonka käyttöä varten henkilörekisteri on perustettu ja jolla on myös oikeus määrätä rekisterin käytöstä Rekisterinpitäjän velvollisuuksia ovat mm. ilmoitusvelvollisuus ja henkilörekisterin oikea käsittely Laadittava rekisteriseloste Rekisterinpitäjä voi ulkoistaa henkilötietojen käsittelyn ( esim. tilitoimisto) Ilmoitusvelvollisuus valvontaviranomaiselle, jos tapahtuu virhe. Henkilötietojen käsittelijällä velvollisuus ilmoittaa rekisterinpitäjälle. 5
Arkaluontoiset tiedot/ erityiset henkilötietoryhmät Tietoja, joista ilmenee: Rotu tai etninen alkuperä Poliittinen mielipide Uskonnollinen tai filosofinen vakaumus Ammattiliiton jäsenyys Terveydentila Seksuaalinen suuntautuminen ja käyttäytyminen Huom! Alle 16 vuotiaan lapsen tietoja saa käsitellä vain huoltajan suostumuksella 6
Henkilötieto Tarkoitetaan luonnollista henkilöä tai hänen ominaisuuksiaan kuvaavia tietoja Henkilöä kuvaavia merkintöjä, jotka voidaan yhdistää häneen ja/tai hänen perheeseensä Asiakkaiden, työntekijöiden tai yrityskontaktien henkilötiedoista, kuten nimestä, osoitteesta, puhelinnumerosta tai mistä tahansa muusta tiedosta, jonka voi liittää tiettyyn henkilöön. Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallentamista, säilyttämistä, käyttämistä, hakemista esim. tietokannasta tai kyselyä esim. etsimistä netistä hakutoiminnolla Henkilötietojen luovuttaminen esim. levittämällä on myös henkilötietojen käsittelyä Ei henkilötieto muuttuu henkilötiedoksi, jos se yhdistetään toiseen tietoon/rekisteriin esim. sosiaalisen median käyttäjätunnukset ja asiakasrekisterit 7
Henkilötietojen käsittely Noudatettava tietosuojaperiaatteita Kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten Henkilötietoja on käsiteltävä lainmukaisesti ja läpinäkyvästi Käsittelyssä varmistettava turvallisuus Tiedot ei saa hävitä tai tuhoutua vahingossa Rekisterinpitäjä vastaa henkilötietojen käsittelystä Tarvittaessa rekisterinpitäjän on pystyttävä osoittamaan (kuten dokumentointi, ohjeet ja sopimukset) 8
Henkilötietojen käsittely Tietosuoja-asetuksessa määritellään kuusi syytä, joiden perusteella henkilötietoja saa laillisesti käsitellä. Vähintään yhden näistä kuudesta edellytyksestä tulee täyttyä: 1. Suostumus 2. Julkinen tehtävä 3. Sopimus (esim. lehtitilaus) 4. Lakisääteinen velvoite (esim. työntekijän palkkatiedot) 5. Oikeutettu etu 6. Elintärkeä tai yleinen etu (esim. ilmoittaminen luonnonkatastrofista) 9
Suostumus Suostumus tarkoittaa, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten Rekisterinpitäjän tulee dokumentoida saatu suostumus, koska se pitää pystyä todentamaan Suostumus tulee antaa tarkoituksellisesti, eli sitä ei voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä Suostumusta ei tarvita, kun se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Lakisääteinen velvoite on kyseessä esim. silloin, kun työnantaja ilmoittaa työntekijöiden palkkatiedot veroviranomaisille. 10
Oikeutettu etu Rekisterinpitäjän ja rekisteröidyn välillä asianmukainen ja merkityksellinen suhde, kuten jäsenyys, asiakkuus tai työsuhde Voi olla rekisterin käsittelyn perusteena Rekisteröidyn perusoikeudet ja vapaudet saattavat syrjäyttää tällaiset edut, erityisesti, jos rekisteröity on lapsi. Tällöin lapsesta kerättyjä tietoja ei saa käyttää käyttötarkoitusta laajempaan tarkoitukseen Suoramarkkinointi? Sähköisen viestinnän tietosuoja asetus valmisteilla EU:ssa. Suostumus vaaditaan 11
Tietojen kerääminen rekisteröidyltä Läpinäkyvää, kerrottava mitä varten ja kuinka tietoja kerätään, sekä miten niitä käytetään Kuvaus henkilötietojen käsittelystä rekisteröidyn saatavilla Tiedot toimitettava suullisesti, kirjallisesti tai sähköisesti (esim. tapahtumissa arvontaan osallistumisesta voidaan kertoa henkilötietojen käsittelystä antamalla rekisteröitävälle paperi, jossa kuvaillaan henkilötietojen käyttöä) 12
Tietojen kerääminen rekisteröidyltä Seuraavat tiedot toimitettava rekisteröidylle: Tietosuojavastaavan yhteystiedot, jos sellainen on Peruste/syy miksi tietoja saa käsitellä Käsittelyn tarkoitus eli miksi tietoja käsitellään Kuka henkilötietoja vastaanottaa Siirtääkö reksiterinpitäjä tietoja EU:n ulkopuolelle Rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää tietojen oikaisemista tai poistamista tai käsittelyn rajoittamista, sekä oikeutta siirtää tiedot järjestelmästä toiseen Oikeus peruttaa suostumus Käyttö vain ilmoitettuun tarkoitukseen -> jos käytetään muuhun, tulee siitä ilmoittaa rekisteröidylle 13
Rekisteröidyn yksilön oikeudet Tiedonsaantioikeus omista tiedoistaan Oikeus tietojen oikaisemiseen Tietojen poisto eli oikeus tulla unohdetuksi Tietojen siirto järjestelmästä/palveluntarjoajalta toiselle Oikeus saada tietoa henkilötietojensa käsittelystä (läpinäkyvyys) Oikeus tulla unohdetuksi eli tietojen poisto 14
Tietosuojavastaava Nimitettävä, jos rekisterinpitäjän tai henkilötietojen käsittelijän tehtävät muodostuvat tehtävistä, jotka vaativat rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Voi olla omaa henkilöstöä tai voidaan ulkoistaa esim. konsultille Jos esim. yrittäjä toimii itse tietosuojavastavana, voi syntyä eturistiriita Huomioitava henkilön pätevyys ja asiantuntemus Nimi ja yhteystiedot julkistettava Hänen tulee ylläpitää osaamistaan tietosuojavastaavana ja työhön on myös varattava riittävästi aikaa On tehtävässään salassapitovelvollinen 15
Mitä tulikaan huomioida kun tietoja kerätään? Tietojen kerääminen läpinäkyvää Pystyttävä kertomaan miten, mitä ja kuka kerää sekä mihin tarkoitukseen Kuvaus henkilötietojen käsittelystä tulisi olla rekisteröidyn saatavilla Tiedot toimitettava suullisesti, sähköisesti tai kirjallisesti. Esim. messuilla arvontaan osallistumisesta ja henkilötietojen käsittelystä voidaan kertoa antamalla osallistujalle paperi, jossa kerrotaan henkilötietojen käytöstä 16
GDPR miten voin valmistautua! Tietosuojavastaavan nimeäminen tarvittaessa Koko henkilöstön koulutus Rekisteriseloste (oltava esillä) Tietosuojaseloste Tietoturvan ja tietosuojan omavalvontasuunnitelma Tietosuojakoulutus henkilöstölle esim. KANTA/ammattilaisille/ Kantan verkkokoulut tai arjen tietosuojaa videokoulutukset ja nettitestit Rakenteinen, määrämuotoinen kirjaus Kansa koulu hanke http://www.socom.fi/kansa-koulu/hanke/ 17
Järjestöjen omavalvontasuunnitelmat Sosiaali ja terveyspalveluja tuottavat Palveluissa, joita tuotetaan vuodesta toiseen hankerahoituksella, suositellaan tehtäväksi omavalvontasuunnitelma laadun ja asiakasturvallisuuden varmistamiseksi Sosiaalipalvelujen omavalvontasuunnitelma (oltava julkisesti nähtävillä) Tietoturvan ja tietosuojan omavalvontasuunnitelma 18
GDPR miten voin valmistautua! Käy läpi henkilötiedot, laadi siitä nykytilan kuvaus Perehdy ja perehdytä henkilöstö Laadi tarvittavat dokumentit kyettävä osoittamaan, että asetusta noudatetaan Huomioi tietoja kerätessä, että rekisteriin kuuluvan on oikeus saada kaikki häntä koskevat tiedot, pyytää oikaisua tai poistoa Suostumukset Luo ohjeistus Sopimus ulkoistettujen palveluntarjoajien kanssa 19
Nykytilan kuvauksesta se lähtee Mitä tietoja talletetaan esim. jäsenistä (nimi, osoite, sähköposti jne.) Mihin näitä tietoja talletetaan Miksi tietoja kerätään, mihin tarkoitukseen Tietojen kerääminen: mistä ja miten kerätään Ketkä käsittelevät tietoja Kuinka varmistetaan, että henkilötiedot ovat ajan tasalla Tarpeettomien tietojen poistaminen Arkaluontoisten henkilötietojen käsitteleminen Huom! Tärkeää on dokumentoida nykytilan kuvaus ja suunnitelma miten epäkohdat korjataan -> toimenpiteet -> seuranta -> dokumentointi 20
Mitä muuta huomioitavaa? Kunta rekisterinpitäjänä, esim. palveluseteli ja ostopalveluasiakkaiden osalta. Palvelun päättyessä tiedon siirto kunnalle Alihankkijan vastuu ja velvollisuus (asiakirjat, omavalvonta, sopimukset) Tiedon liikkuminen eri toimijoiden välillä Kirjaukset esim. mobiili Kirjallinen toimeksiantosopimus asiakasasiakirjalain mukaan tehtävä, kun palvelunjärjestäjä hankkii palveluja toiselta palvelunantajalta Yhtenäinen, rakenteinen kirjaus -> asiakkaalla oikeus pyytää tarkistaa häntä koskevat rekisteritiedot ja vaatia niiden korjaamista Jatkuva prosessi -> henkilöstön koulutus Vastuutahojen nimeäminen 21
Tietolähteet ja linkkejä http://www.tietosuoja.fi/fi/ Suomen yrittäjät, yrittäjän tietosuojaopas https://arjentietosuoja.fi/fi/#/front http://www.valvira.fi/sosiaalihuolto/sosiaalihuollonvalvonta/omavalvonta/kysymyksia_ja_vastauksia https://thl.fi/fi/web/tiedonhallinta-sosiaali-jaterveysalalla/tietojarjestelmapalvelut/sosiaalihuollon-tiedonhallinta/kantapalvelujen-kayttoonotto/ennen-kayttoonottoa-tehtavatvalmistelut/tietoturvan-ja-tietosuojan-omavalvontasuunnitelma http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisterijatietosuojaselosteet.html https://verkkokoulut.thl.fi/fi/web/kanta 22
Kiitos! Heli.peltola@palvelukoulutus.fi Heli Peltola 12.3.2018 23