EU:n tietosuojaasetus: valmis?

Samankaltaiset tiedostot
Metsäteollisuuden toimialakatsaus

Verkkokaupan kehittyminen ja sen juridiset haasteet. Kirsi Putkonen, Partner, VT, Ernst & Young Oy Lapin Matkailuparlamentti

Matkailutoimiala digitaalisessa murroksessa, EY. Finnish Lapland Tourist Board, kevätseminaari Kirsi Putkonen, Partner, VT

Kommentit HSL-lipputuen kustannusvaikutuksia koskevasta selvityksestä Järvenpään kaupunki

Hyvä hallinto ja sisäinen valvonta

Tekoäly ja koneoppiminen suomalaisyrityksissä. Kyselytutkimuksen tulokset 04/2018

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

T E R H O N E V A S A L O

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Helsingin seudun kauppakamari Yritysrahoituksen uudet mahdollisuudet

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Teknologia avusteiset palvelutverkostopalaveri

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Informaatiovelvoite ja tietosuojaperiaate

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Haminan tietosuojapolitiikka

Oulun Maanmittauskerho ry. Tietosuojaseloste

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

EU:N TIETOSUOJA-ASETUKSET WALMU

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuoja KERÄÄTKÖ TALLENNATKO KÄYTÄTKÖ HENKILÖTIETOJA? Mitä henkilötiedot ovat? Paremmat säännöt pienten yritysten kannalta.

EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Mikä GDPR? General Data Protection Regulation

GDPR-pikaopas. Demand more. Puh

LSPeL Porin toiminta-alueen kevätseminaari

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Organisaatioluvan hakeminen

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Ajankohtaista tietosuoja-asetuksesta

Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus palokuntien kannalta

Tietosuojavaltuutetun toimiston tietoisku

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

GDPR Tietosuoja-asetus

EU:n tietosuoja-asetus palokuntien kannalta

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

WORKSPACE OY REKISTERISELOSTEET

GDPR. General Data Protection Regulation, eli Tietosuoja-asetus

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

EU:n tietosuoja-asetus Matti Sarmela

Tietosuojafoorumi

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Tietosuoja-asetus ja sen kansallinen implementointi

EU:n tietosuoja-asetus

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuojaasiat. yhdistysten näkökulmasta

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Riskienhallinta ja suojaavuus kirjanpidon näkökulmasta

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Kaupunginhallitus Liite EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF

DIG1 TYÖKALU GDPR- HALLINTAAN GDPR ONLINE ASSESSMENT TOOL

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

EU:n tietosuoja-asetus 2016

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:n tietosuoja-asetus (GDPR)

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Salon kaupunki , 1820/ /2018

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Vaikutustenarviointi GDPR:n mukaan

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

VISMA SEVERA. GDPR webinaari

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Henkilötietojen käsittelyn ehdot

UKTY ry:n asiakasrekisterin tietosuojaseloste

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

EU-TIETOSUOJAN KOKONAISUUDISTUS

Tämä seloste koskee henkilötietojen käsittelyä palvelussa Kauppakeskuksen asiakasrekisteri

Transkriptio:

EU:n tietosuojaasetus: oletko valmis?

Sisällys Mitä sinun tulee tietää uudesta EU:n tietosuoja-asetuksesta? 3 Onko yrityksesi valmis EU:n tietosuoja-asetukseen? 5 Miten EY voi auttaa sinua valmistautumaan? 6 Yhteystiedot 7

Mitä sinun tulee tietää uudesta EU:n tietosuoja-asetuksesta? Elämme uutta tietosuojan aikakautta. Muutokseen ovat vaikuttaneet seuraavat tekijät: Mediassa on raportoitu kasvava määrä suuren luokan tietomurtoja. Kuluttajat ja lainsäätäjät ovat huolissaan henkilötietojen käsittelystä. Safe Harborin kuolema Uusi EU:n tietosuoja-asetus tietosuojan virstanpylväs Lähes neljä vuotta käytyjen kovien neuvotteluiden ja useiden asetusluonnosten jälkeen Euroopan parlamentti ja Euroopan unionin neuvosto pääsivät sopuun tietosuojauudistuksesta 17. joulukuuta 2015. EU:n yleinen tietosuoja-asetus muuttaa yritysten maailmaa. Se tuo mukanaan tiukempia tietosuojavaatimuksia. Niiden noudattamatta jättämisestä voi seurata tuntuvia sakkoja, jotka voivat nousta jopa 20 miljoonaan euroon tai 4 prosenttiin yrityksen liikevaihdosta. Asetus korvaa EU:n henkilötietodirektiivin 95/46/EY, joka on ollut perustana eurooppalaiselle tietosuojasääntelylle sen voimaantulosta eli vuodesta 1995 lähtien. Tietosuoja-asetuksella on merkittävä vaikutus yrityksiin kaikilla teollisuuden aloilla tuoden mukanaan sekä positiivisia että negatiivisia muutoksia liiketoiminnalle kustannusten ja työmäärän muodossa. Tietosuojalainsäädäntö harmonisoidaan kaikissa 28 EU:n jäsenvaltiossa, mikä tarkoittaa sitä, että ylikansallisten yritysten on helpompi navigoida vaikeaselkoisessa tietosuojaympäristössä. Uudet yritysten järjestelmiin rekisteröityjen henkilöiden oikeudet, kuten oikeus tulla unohdetuksi ja tietojen siirto-oikeus sekä pakollinen ilmoitusvelvollisuus tietoturvaloukkauksista, kasvattavat todennäköisesti yritysten sääntelytaakkaa. Yritysten tulee arvioida tämänhetkisen tietosuojansa nykytila suunnitellakseen seuraavat askeleet ja päättääkseen, mitä toimia niiden tulee tehdä ennen toukokuuta 2018. Yritysten tulee toimia nyt varmistaakseen, että ne ovat valmiita noudattamaan uutta asetusta sen voimaanastumishetkellä 25. toukokuuta 2018. EU:n tietosuoja-asetus: oletko valmis? 3

EU:n tietosuoja-asetuksen keskeisimmät muutokset Seuraamukset Laajennettu soveltamisala Tietosuojavastaava (Data Protection Officer, DPO) Osoitusvelvollisuus Tietosuojaa koskeva vaikutustenarviointi (Privacy Impact Assessment, PIA) Suostumus Tietoturvaloukkaukset ja ilmoitusvelvollisuus Rekisteröidyn oikeudet Privacy by design - Sisäänrakennettu tietosuoja Käsittelijöiden velvollisuudet Tietosuoja-asetuksen rikkomisesta aiheutuvat sakot ovat merkittäviä. Sakkoja voidaan määrätä jopa 4 % yrityksen koko vuotuisesta maailmanlaajuisesta liikevaihdosta tai korvaus voi nousta aina 20 miljoonaan euroon saakka. Uutta asetusta sovelletaan kaikkiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin EU:n alueella ja yrityksiin, joiden kohderyhmänä ovat EU:n kansalaiset. Jos yrityksen ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista käsittelyä, joka kohdistuu arkaluonteisiin henkilötietoihin, sen tulee nimittää tietosuojavastaava. Yritysten tulee kyetä osoittamaan noudattavansa tietosuoja-asetusta henkilötietojen käsittelyssä: Kartoittamalla tietojen käsittelyn nykytila ja ottamalla tietosuoja osaksi toimintojen suunnittelua ja mallinnusta. Dokumentoimalla tietosuojaperiaatteiden käytännön toteutusta, prosesseja ja menettelytapoja. Dokumentointi tulee pyydettäessä olla valvontaviranomaisen saatavilla. Varmistamalla sisäänrakennettu ja oletusarvoinen tietosuoja. Minimoimalla tietojen käsittelyä ja tietojen säilytystä. Yritysten tulee tehdä tietosuojaa koskeva vaikutustenarviointi, kun ne suorittavat riskialtista tai laajamittaista henkilötietojen käsittelyä. Rekisteröidyn tulee voida vapaasti valita suostumuksensa henkilötietojen käsittelyyn ja antaa se tarkennetusti tiettyyn käyttötarkoitukseen. Rekisteröityjä tulee myös informoida heidän oikeudestaan peruuttaa suostumuksensa. Suostumuksen tulee olla täsmällinen, kun kyse on arkaluonteisista henkilötiedoista tai rajat ylittävästä tietojensiirrosta. Rekisterinpitäjä; ilmoitus valvontaviranomaisille on tehtävä 72 tuntia loukkauksen ilmitulosta. Ilmoituksen voi jättää tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai velvollisuuksiin kohdistuvaa riskiä. Yritysten tulee huolehtia dokumentoinnista. Mikäli vahingon riski henkilölle on korkea, myös henkilöä on informoitava. Oikeus tulla unohdetuksi. Oikeus tietojen siirtämiseen. Oikeus vastustaa profilointia, eli esimerkiksi oikeus olla olematta automaattisen päätöksenteon kohteena. Yrityksiä ohjaava periaate, jonka mukaan yritysten tulisi suunnitella ja rakentaa tietosuoja osaksi liiketoimintaprosessiensa ja uusien järjestelmiensä kehittämistä. Yksityisyysasetukset tulee asettaa oletusarvoisesti korkealle tasolle. Tietosuoja-asetus tuo mukanaan uusia velvollisuuksia henkilötietojen käsittelijöille. Seuraamuksia voidaan määrätä myös käsittelijöille. 4 EU:n tietosuoja-asetus: oletko valmis?

Onko yrityksesi valmis EU:n tietosuoja-asetukseen? Nyt on aika aloittaa valmistautuminen. Kiinnitä huomiota seuraaviin osa-alueisiin: Laajennettu soveltamisala Oletko henkilötietojen käsittelijä tai rekisterinpitäjä ja käsittelet henkilötietoja EU:n alueella tai käsittelet EU-kansalaisten henkilötietoja? Tietosuojavastaavat Suoritatko laajaa systemaattista valvontaa (mukaan lukien työntekijöiden henkilötiedot) tai käsitteletkö suurta määrää arkaluonteisia henkilötietoja? Uudet oikeudet Tiedätkö kuinka noudatat uusia oikeuksia: oikeutta tulla unohdetuksi, oikeutta siirtää tiedot ja oikeutta vastustaa profilointia? Osoitusvelvollisuus Onko tietosuojan hallinnointi varmistettu ja oletko valmis osoittamaan, kuinka noudatat yleisen tietosuoja-asetuksen vaatimuksia? Sisäänrakennettu tietosuoja Suunnitteletko ja rakennatko tietosuojan osaksi liiketoimintojesi ja uusien järjestelmiesi kehitystä? Ilmoitusvelvollisuus Pystytkö ilmoittamaan valvontaviranomaisille tietoturvaloukkauksesta 72 tunnin kuluessa? EU:n tietosuoja-asetus: oletko valmis? 5

Miten EY voi auttaa sinua valmistautumaan? Toimenpide Kohde Kuvaus Aikataulu Tietosuojan pikakartoitus Korkean tason arvio tietosuojan nykytilasta Korkean tason arvio yrityksen tietosuojan nykytilasta ja valmiuksista suhteessa tietosuojaasetuksen uusiin vaatimuksiin 1 päivä Tietosuojan nykytilan arviointi Kokonaisvaltainen arvio tietosuojan nykytilasta GAP- ja riskianalyysi Kehityssuunnitelman laatiminen Nykyisten henkilötietojen käsittelytoimien ja -prosessien kartoittaminen Henkilötietokartoitus Henkilötietovirrat ml. siirrot ETA-alueen ulkopuolelle Liiketoiminnan kannalta kriittisten osa-alueiden tunnistaminen Konkreettiset toimenpiteet puutteiden korjaamiseksi Toimenpiteiden aikataulutus ja priorisointi Tarvittaessa avustaminen kehityssuunnitelman käytännön toteutuksessa 2 4 viikkoa riippuen yrityksen koosta ja monimutkaisuudesta Tietosuojan kehitysohjelma Kokonaisvaltainen arvio tietosuojan nykytilasta Kehitysohjelman suunnittelu ja implementointi Kehitysohjelman jatkuva tuki Vaatimustenmukaisuuden kehittäminen ja jatkuvuus Tietosuojan kehitysohjelma sisältää seuraavien asioiden suunnittelun ja toteutuksen Kokonaisvaltainen arvio tietosuojan nykytilasta GAP- ja riskianalyysi Konkreettiset toimenpiteet puutteiden korjaamiseksi Kehitysohjelman jatkuva tuki Tietosuojan hallinnointi, roolit ja vastuut Henkilöstön ohjaus ja neuvonta Henkilötietojen elinkaaren hallinta Hallintaprosessit Toimittajien hallinta Pääsyhallinta Raportointi ja seuranta Vaatimustenmukaisuuden kehittäminen ja jatkuvuus 3 12 kuukautta riippuen tietosuojan nykytilasta ja yrityksen koosta Muut tietosuojapalvelut Koulutukset Vaikutusten arvioinnit (PIA) Hallintaprosessien laadinta Juridinen analyysi Juridisten dokumenttien laadinta Tietosuojakoulutukset Henkilöstön ohjaus ja neuvonta Tietosuojaa koskevan vaikutustenarviointien suorittaminen (PIA) järjestelmille ja projekteille Rekisteröityjen oikeuksia ja tietoturvaloukkauksia koskevien hallintaprosessien määritteleminen Avustaminen tietojen siirrossa ulkomaille Tietosuojapolitiikoiden tarkastaminen ja laatiminen Rekisterinpitäjän ja henkilötietojen käsittelijän sopimusten tarkastaminen ja muotoilu tietosuojanäkökulmat huomioiden Rekisteri- ja tietosuojaselosteiden laatiminen Binding Corporate Rules (BCRS) laatiminen Arvioidaan tapauskohtaisesti, riippuen toimeksiannon laajuudesta 6 EU:n tietosuoja-asetus: oletko valmis?

EY:n yhteyshenkilöt Lisätietoja antavat: Kaakkois-Suomi ja Pirkanmaa Senior Legal Counsel Teemu Summanen p. +358 50 324 9086 teemu.summanen@fi.ey.com Lounais-Suomi Senior Legal Counsel Tom Edelman p. +358 400 979 067 tom.edelman@fi.ey.com Pohjanmaa Legal Counsel Joe Gummerus p. +358 40 350 7334 joe.gummerus@fi.ey.com Legal Counsel Ilkka Puikkonen p. +358 40 834 6648 ilkka.puikkonen@fi.ey.com Pohjois-Suomi ja Itä-Suomi Partner, Legal Services Kirsi Putkonen p. +358 50 548 0730 kirsi.putkonen@fi.ey.com Legal Intern Jari Piittinen p. +358 40 162 4687 jari.piittinen@fi.ey.com Uusimaa Partner, Legal Services Riitta Sedig p. +358 40 555 1687 riitta.sedig@fi.ey.com Legal Counsel Silja Järvinen p. +358 50 406 8650 Silja.jarvinen@fi.ey.com EU:n tietosuoja-asetus: oletko valmis? 7

EY Assurance Tax Transactions Advisory EY lyhyesti EY on globaali tilintarkastuksen, verotuksen, liikejuridiikan, ja yritysjärjestelyiden asiantuntija ja liikkeenjohdon konsultti. Näkemyksemme ja korkealaatuiset palvelumme vahvistavat luottamusta pääomamarkkinoiden ja talouden toimintaan kaikkialla maailmassa. Kasvatamme huippuosaajia, joiden yhteistyöllä lunastamme lupauksemme ja rakennamme parempaa työ- ja liike-elämää sekä toimivampaa maailmaa asiakkaillemme, omalle henkilöstöllemme ja yhteisöille, joissa toimimme. Lisätietoja löydät internetistä www.ey.com/fi. Voit myös seurata meitä twitterissä: @EY_Suomi. EY viittaa globaaliin organisaatioomme ja saattaa viitata yhteen tai useampaan Ernst & Young Global Limitedin jäsenyhtiöön, joista kukin on erillinen oikeushenkilö. Ernst & Young Global Limited, joka on Yhdistyneen kuningaskunnan lakien mukainen yhtiö (company limited by guarantee), ei tarjoa palveluja asiakkaille. Lisätietoja organisaatiostamme löytyy osoitteesta ey.com. 2018 Ernst & Young Oy. Kaikki oikeudet pidätetään. Tässä julkaisussa olevat tiedot on tarkoitettu käytettäväksi ainoastaan yleisluonteisena tiedon lähteenä. Mikäli tarvitsette asiantuntijaneuvoja, suosittelemme ottamaan yhteyttä asiantuntijaan, joka voi avustaa yksittäisissä kysymyksissä. ey.com/fi ey.com/fi/gdpr B17012fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute