Mitä kansainvälisesti toimivan yhtiön hallituksen ja johdon tulee tietää tietosuojasääntelyn muutoksista?

Samankaltaiset tiedostot
T E R H O N E V A S A L O

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietoturvapäivä. Tietoturva nyt ja tulevaisuudessa Mitä uusi tietosuoja-asetus tarkoittaa? Fiarone Oy

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Ajankohtaista tietosuoja-asetuksesta

10 Yksityiselämän suoja

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

EU:n tietosuoja-asetuksen voimaantulo ja vaikutukset

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Salon kaupunki , 1820/ /2018

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Salon kaupunki , 1820/ /2018

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

Salon kaupunki / /2018

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Muuttuva tietosuojasääntely ja markkinoinnin trendit

Haminan tietosuojapolitiikka

Tietoturva ja johdon vastuu

Kaupunginhallitus Liite EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF

Teknologia avusteiset palvelutverkostopalaveri

SESSIO 8. Tietoturvallista terveydenhuoltoa. Kansalaisten luottamus tietoturvaan ja tietosuojaan

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Pilvipalvelut ja henkilötiedot

EU:n tietosuoja-asetus

Salon kaupunki / /2018

EU:n tietosuoja-asetus - vaikutukset kuntiin. Lakiklinikka Kuntamarkkinat OTT, VT lakimies Ida Sulin

IF-INFO MEKLAREILLE

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Digitaalisen liiketoiminnan edellytysten luominen

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Tietosuojavaltuutetun esittelypuheenvuoro

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

Tietosuojavaltuutetun toimiston tietoisku

EU:n tietosuojaasetus: valmis?

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

EU-TIETOSUOJA-ASETUS JA TIETOSUOJAN VASTUUKYSYMYKSET

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU:N YLEINEN TIETOSUOJ ASETUS JA KLIININEN TU TKIMUS

EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

LSPeL Porin toiminta-alueen kevätseminaari

Informaatiovelvoite ja tietosuojaperiaate

SMC:n tytäryhtiöt Euroopassa kunnioittavat yksityisyyttäsi ja sitoutuvat pitämään henkilötietosi suojattuina.

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Euroopan tietosuojavaltuutettu

Koulutuskiertue

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Työelämän tietosuojaan liittyvät ajankohtaiset kysymykset

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Rekisteritutkimuksen tulevaisuuden näkymät ja tietosuoja, ml. EU:n tietosuoja-asetus

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU:n tietosuoja-asetus palokuntien kannalta

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Varustekorttirekisteri - Tietosuojaseloste

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Tietosuoja-asetus (GDPR)

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Uusi tietosuoja-asetus 2016 vaatimukset yhteisöille ja henkilökunnalle? Teppo Laine Asianajaja, osakas

MITEN TOTEUTAN TIETOSUOJAN TEHOKKAASTI?

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

EU:n tietosuoja-asetus palokuntien kannalta

EU:n tietosuoja-asetus Matti Sarmela

Lähetetyt työntekijät Kysymyksiä lähettävästä yrityksestä

Ti Tietoturvan Perusteet : Politiikka

GDPR-pikaopas. Demand more. Puh

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

GDPR. aka. Euroopan tietosuoja-asetus

TIETOSUOJAILMOITUS DIDIVE-HANKE

EU:n tietosuoja-asetus (GDPR)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Eläketurvakeskuksen tietosuojapolitiikka

Transkriptio:

Mitä kansainvälisesti toimivan yhtiön hallituksen ja johdon tulee tietää tietosuojasääntelyn muutoksista? Henkilökohtainen vastuu? Partner Jarno Vanto 2 Jarno Vanto

TIETOSUOJASÄÄNTELYN LÄHTÖKOHTIA Henkilötiedot (esim. nimi, osoite, IP-osoite, puhelinnumero, sosiaaliturvatunnus, HR-arviot) ovat yritykselle tärkeä omaisuuserä Henkilötietojen käsittelyä (kerääminen, käyttö, luovutus, tietojen siirto maan rajojen ulkopuolelle jne.) koskevia lakeja yli 90 maassa Tietosuojadirektiivi ( Direktiivi ) on implementoitu kaikissa EU:n jäsenmaissa (Suomessa henkilötietolaissa) Direktiivi kieltää henkilötietojen siirrot EU-maista EU:n ulkopuolelle sellaisiin maihin, kuten esimerkiksi Intiaan tai Yhdysvaltoihin, jotka eivät tarjoa riittävää suojaa henkilötiedoille (esim. Suomessa sijaitsevalla serverillä olevaan henkilöstötietokantaan pääsy Intiasta käsin on Direktiivin ja henkilötietolain mukainen siirto) Rekisterinpitäjä, esim. mikä tahansa yritys, ja viime kädessä yrityksen johto, on vastuussa soveltuvien tietosuojalakien noudattamisesta Direktiivin nojalla säädettyjen kansallisten lakien noudattamatta jättämisellä voi olla vakavat seuraukset (joissakin EU-maissa satojen tuhansien eurojen sakot, sekä vakavissa tapauksissa vankeus). Tuleva Tietosuoja-asetus ( Asetus ) (odotettu voimaantulo vuonna 2015), kasvattaa sakkoja 5% yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaan euroon, kumpi vain on suurempi Asetus harmonisoi henkilötietojen käsittelyn sääntelyn EU:ssa 3 Jarno Vanto

MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: 4 Jarno Vanto

MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: MPR News (US National Public Radio 8.12.2014): The Target breach was the first in a series that one cyber security report called "a rampage of attacks on U.S retailers," and made data security a top-of-mind issue for many. The PwC Information Security Survey says protecting data is no longer an issue that concerns only IT professionals; the impact has extended to the boardroom. Target has put the total cost of its data breach at around $235 million, with insurance covering about 40 percent of that. Company officials declined to comment for this story, but are rolling out new card readers and payment cards that are more secure. Target has also hired a new chief information officer and a new chief information security officer. 5 Jarno Vanto

MIKSI YRITYKSEN JOHDON TULISI VÄLITTÄÄ TIETOSUOJASTA? Hallituksen ja johdon vastuu on todellinen: Suomi: Suomen tietosuojavaltuutetun ohjeet korostavat, että yhtiön johto on vastuussa tietosuojasäännösten noudattamisesta. Osakeyhtiölain 1 luvun 8 :n mukaan yhtiön johdon pääasiallinen tehtävä on huolellisesti toimien edustaa yhtiön etua. Osakeyhtiölain mukaisten yleisten tehtävien ohella yhtiön johdon täytyy varmistaa, että yhtiö noudattaa myös muuta yhtiöön soveltuvaa lainsäädäntöä; esimerkiksi henkilötietolakia, työntekijän turvallisuuteen liittyviä säännöksiä, sekä ympäristölainsäädäntöä. Osakeyhtiölain 22 luvun 1.1 :n mukaan yhtiön johtohenkilön on korvattava vahinko, jonka hän on tehtävässään 1 luvun 8 :ssä säädetyn huolellisuusvelvoitteen vastaisesti tahallaan tai huolimattomuudesta yhtiölle aiheuttanut. UK: Hallituksen jäsen on henkilökohtaisesti vastuussa kaikista Data Protection Act:in loukkauksista, joihin hän antoi suostumuksensa, joihin hän kannusti, tai jotka tapahtuivat hänen laiminlyöntinsä seurauksena. Irlanti: Jos on yhtiön johdon toimesta on tapahtunut Data Protection Act:in mukainen rikkomus, joka on todistettavasti aiheutunut yrityksen johtoon kuuluvan henkilön tai tällaisena esiintyvän henkilön suostumuksen tai laiminlyönnin seurauksena, kyseinen henkilö on rangaistusvastuussa kyseisestä rikkomuksesta. Muut seuraamukset: Epäsuotuisa julkisuus, joka voi johtaa maineen vahingoittumiseen sekä tulonmenetykseen. Menetetyt mahdollisuudet ja tuhlatut resurssit. Viranomaisten aiempaa tarkempi valvonta tulevaisuudessa. 6 Jarno Vanto

MITÄ ON EDESSÄ TIETOSUOJA-ASETUS ASETUKSEN PÄÄKOHDAT: Tietosuojavastaava: Vaaditaan yrityksiltä jotka (i) käsittelevät yli 5000 rekisteröidyn tietoja yhtämittaisen 12 kk jakson aikana; tai (ii) joiden keskeisiin tehtäviin kuuluu erityisiä tietoryhmiä (esim. terveystiedot), paikkatietoja, lapsia tai työntekijöitä koskevien tietojen käsittely suurissa rekisteröintijärjestelmissä; tai (iii) jonka keskeiset tehtävät muodostuvat sellaisesta tietojen käsittelystä, joka edellyttää luonteensa, laajuutensa tai tarkoituksensa vuoksi rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Raportoi suoraan johdolle. Ilmoitusvelvollisuus tietoturvaloukkauksista: Valvontaviranomaiselle ilman aiheetonta viivytystä. Jos tietoturvaloukkaus todennäköisesti vaikuttaa haitallisesti rekisteröidyn, kuten työntekijän, henkilötietojen suojaan, yksityisyyteen, oikeuksiin tai perusteltuihin etuihin, tulee rekisteröityä koskevasta tietoturvaloukkauksesta ilmoittaa tälle ilman aiheetonta viivytystä. Data protection by design and by default (sisäänrakennettu ja oletusarvoinen tietosuoja) = IT-systeemejä suunnitellessa henkilötietojen suojan tulisi olla built in Riskianalyysi kattaa yrityksen vuosittaiset tietojenkäsittelyoperaatiot Tietosuojavaikutusten arviointi, kun toteutetaan uusia menetelmiä Dawn raids : Ilman varoitusta, tietosuojavaltuutettulla pääsy kaikkiin henkilötietoihin ja kaikkiin tehtävän suorittamiseksi tarvittaviin dokumentteihin ja tietoon; pääsy kaikkiin toimitiloihin, mukaan lukien tietojenkäsittelyvälineisiin ja -keinoihin. Johtava valvontaviranomainen/ One Stop Shop : Pääkonttorin sijaintimaan tietosuojaviranomainen toimii johtavana valvontaviranomaisena, joka on vastuussa koko yrityksen tietojenkäsittelyn valvonnasta kaikissa EU:n jäsenmaissa Rangaistukset: a) kirjallinen varoitus ensimmäisestä ja tahattomasta noudattamatta jättämisestä; b) säännölliset, kausittaiset tietosuoja-auditoinnit; c) sakko, joka voi olla jopa 100 000 000 EUR tai 5% vuosittaisesta maailmanlaajuisesta liikevaihdosta (kumpi on korkeampi), kun kyseessä on yritys 7 Jarno Vanto

MITÄ ON EDESSÄ TIETOSUOJA-ASETUS Yrityksen sisäiset sitovat tietosuojasäännöt ( BCR ): Henkilötietoja ei voi siirtää (esim. antaa pääsyä henkilöstöhallinnon tarkoituksiin) EU:n ulkopuolelle maihin, joiden ei katsota tarjoavan riittävää tietosuojan tasoa. Esim. Yhdysvallat ja Intia ovat tällaisia maita. BCR:t ovat tietosuojaviranomaisen hyväksymät konsernin toimintasäännöt siitä, miten konserni käsittelee ja siirtää henkilötietoja konsernin sisäisesti maailmanlaajuisesti. BCR:t mahdollistavat henkilötietojen maailmanlaajuisen siirron ja saatavuuden konsernin sisällä. BCR:t ovat jo käytettävissä oleva instrumentti tietosuojaviranomaisten yhteistyömekanismin kautta, mutta Asetus tuo ne lain tasolle suurempien monikansallisten yhtiöiden osalta. BCR:n elementit: Laajuus: datakategoriat, käsittelyn tarkoitukset, BCR:n piiriin kuuluvat yhtiöt ja rekisteröityjen ryhmät, maat Oikeudellisesti sitova luonne Yleiset tietosuojaperiaatteet Rekisteröityjen oikeudet ja keinot oikeuksien toteuttamiseksi EU:n alueella olevan rekisterinpitäjän vastuu koskien BCR:n liittyvää rikkomusta EU:n ulkopuolella (paitsi milloin ko. rekisterinpitäjä todistettavasti ei ole vastuussa rikkomukseen johtaneesta tapahtumasta) Miten BCR:istä ilmenevä tieto välitetään rekisteröidylle Tietosuojavastaavan tehtävät (sisältäen mm. konsernin sisäisen valvonnan, BCR:n noudattamisen varmistamisen, kouluttamisen sekä valitusten käsittelyn) Konsernin sisäiset mekanismit BCR:n noudattamisen varmistamiseksi (säännölliset auditoinnit) Mekanismit BCR:n muutosten raportointiin, tallentamiseen, ja näiden muutosten raportoimiseen valvontaviranomaiselle Yhteistyömekanismit valvontaviranomaisen kanssa BCR:n noudattamisen varmistamiseksi (verifiointitietojen antaminen viranomaiselle) 8 Jarno Vanto

TIETOSUOJAVASTAAVA Edellytykset: Tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus Teknisen osaamisen hallinta koskien sisäänrakennettua ja oletusarvoista tietosuojaa sekä tietoturvaa Toimialakohtainen tieto yrityksen koon sekä käsiteltävän tiedon arkaluonteisuuden mukaisesti Kyky suorittaa auditointeja, konsultaatioita, dokumentointia ja lokitiedostojen analysointia Valmiudet työskennellä työntekijöiden edustajien kanssa Rekisterinpitäjän tulee mahdollistaa tietosuojavastaavan osallistuminen syventävään koulutukseen velvollisuuksien suorittamiseen vaadittavan erityisosaamisen ylläpitämiseksi Raportoi C-tason johdolle sekä hallitukselle 9 Jarno Vanto

TIETOSUOJAVASTAAVA Päätehtävät: Tiedottaa, informoida ja opastaa yritystä Asetuksen sille asettamista velvollisuuksista Valvoa yrityksen käytäntöjen toteuttamista henkilötietojen suojan näkökulmasta, mukaan lukien velvollisuuksien määrittämien, mukana olevan henkilöstön kouluttaminen tietojenkäsittelyoperaatioihin, sekä asiaan liittyvät auditoinnit Valvoa Asetuksen toteuttamista sekä varmistaa, että rekisteröityjä informoidaan, ja että he voivat harjoittaa Asetuksen heille suomia oikeuksia Varmistaa Asetuksen vaatiman dokumentaation ylläpito Henkilötietojen käsittelyä koskevien loukkausten dokumentoinnin, tiedoksiannon ja kommunikoinnin valvonta Tietosuojavaikutusten arvioinnin suorittaminen Monitoroida vastauksia tietosuojaviranomaisen pyyntöihin, ja omien valtuuksiensa rajoissa tehdä yhteistyötä tietosuojaviranomaisen kanssa tämän pyynnöstä tai tietosuojavastaavan omasta aloitteesta Toimia kontaktina tietosuojaviranomaiseen nähden sekä konsultoida omasta aloitteestaan tietosuojaviranomaista, jos tämä on tarkoituksenmukaista Informoida työntekijöiden edustajia työntekijöiden henkilötietojen käsittelystä 10 Jarno Vanto

MITÄ TEIDÄN YRITYKSESSÄNNE PITÄISI TEHDÄ? To Do List: Selvittäkää millaista dataa ja minne (i) yhtiön sisällä liikkuu ja (ii) yhtiön palveluntarjoajille liikkuu Auditoikaa yhtiön tietosuoja- ja tietoturvakäytännöt Miettikää mihin tietosuoja voidaan organisatorisesti yhtiössänne sijoittaa Asetuksen tasolla keskeiset rangaistuksen arvioinnissa huomioonotettavat seikat liittyvät siihen, onko yhtiö ryhtynyt riittäviin compliance-toimenpiteisiin Katsokaa onko D&O vakuutuksenne piiriin otettu tietosuojaa koskevat kysymykset ja onko yrityksenne vakuutettu tällaisten riskien osalta Luokaa yritykseenne prosessi henkilötietovuotojen hallintaan muistakaa US discovery jos yrityksenne toimii siellä Huolehtikaa että työntekijänne ovat saaneet asemansa edellyttämän koulutuksen tietosuoja-asioista Tavoitteena data protection compliance program 11 Jarno Vanto

YHTEYSTIEDOT Jarno Vanto Attorney at law, Partner, New York Direct +1 212 535 2556 Mobile +1 917 767 5058 Email jarno.vanto@borenius.com Attorneys-At-Law Borenius LLP 65 Broadway Suite 503, New York, NY 10006 Tel. +1 212 535 2556 Fax +1 347 269 3269 www.borenius.com/newyork 12 Jarno Vanto

13 Jarno Vanto

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute