GDPR 25.5.2018 TIETOSUOJAKOULUTUS Hilkka Lehtinen Järjestöt mukana muutoksessa Keski-Pohjanmaalla Kosti ry
Tull u t voim aan 25.4.201 6 Sove l taminen alkaa 25.5. 2 0 1 8 EU:N YLEINEN TIETOSUOJA -ASETUS N y k y i s en he nkilötietolain p ä ä p i i r t e e t säil y v ä t U u s i a velvoi tteita rekist e r i n p i t ä j i l l e j a oike u ksia rekisteröidylle Vira n omaistehtävät tiet o s u ojava ltuutetulle (w w w.tietosuoja.fi) G D P R tulee sanoista Ge n e r a l D a t a Prot e ction Regulation
ASETUKSEN TARKOITUS JA SOVELTAMINEN Tulee soveltaa aina, kun yhdistyksessä käsitellään henkilötietoja (nimi tai muita tietoja, jotka voidaan yhdistää henkilöön) Tulee huomioida, jos rekisterissä on yksikin henkilö Koskee tietojärjestelmiä, joihin tallennetaan henkilötietoja ja manuaalista käsittelyä, kuten paperisia nimilistoja Tarkoituksena lisätä käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä Ei koske yksityishenkilöiden omaan käyttöön kerättyä tietoa C O M P A N Y. C O M
MIKÄ ON HENKILÖTIETO? Tiet o, jonka perusteella v o i d a a n s a a d a s elv i l l e, ken estä on kyse Es im. henkilön nimi, pos t i o s o i t e, s ähk ö postiosoite, henkil ö t u n n u s, s ynt y mäaika, henkilönume r o, k u v a, puhe l utallenteet, videotal l e n t e e t, tiet o k o neen IP-osoite, la i t e I D, s orm e njälki, auton rekis t e r i t u n n u s Ei e s i m erkik si nimikirjai m e t
HENKILÖTIETOJEN KÄSITTELY R e k i s t erinpi täjän tulee i n f o r m o i d a h e n k i l ö t i e t o j en käsi t t e lystä avoimesti, s e l k e ä s t i j a ym m ä rrettävästi Käsi t t e lyn p erusteisiin ja t o i m i n t a t a p o i h i n t u l e e kiin n i t tää hu omiota->jatk u v a a r v i o i n t i H e n k i l ötieto jen keräämine n j a s ä i l y t t ä m i n e n o n m a h d ollista aina, kun si l l e o n p e r u s t e e t Aset u ksen tarkoitus ei o l e e s t ä ä h e n k i l ö t i e t o j e n käsi t t e lyä, v aan luoda yh d e n m u k a i s e t k ä y t ä n n öt
PERUSTEET KÄSITTELYLLE Rekisterinpitäjän on tunnistettava minkä lain perusteella henkilötietoja käsitellään Tietojen kerääminen pitää perustua tarpeeseen -> jatkuva arviointi Käsittelyn perusteet (vähintään yksi tulee täyttyä): Suostumus Sopimus Lakisääteinen velvoite Elintärkeiden etujen suojaaminen Yleinen etu ja julkinen valta Oikeutettu etu
PERUSTEET KÄSITTELYLLE Suostumus: vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu Suullinen tai kirjallinen Peruuttamisen tulee olla yhtä helppoa kuin suostumuksen antamisen Alle 13-vuotiaiden henkilötietojen käsittelylle huoltajan suostumus (ikäraja tarkentuu myöhemmin, kuitenkin 13-16 vuotta) Sopimus: Määriteltävä tarkka sisältö ja perustavoite Esim. liiton ja paikallisyhdistyksen välinen sopimus jäsenrekisterin rinnakkaiskäytöstä Lakisääteinen velvoite: Esim. työnantajan tulee luovuttaa työntekijän palkkatiedot veroviranomaisille
PERUSTEET KÄSITTELYLLE Elintärkeiden etujen suojaaminen: Hätätilanteet, kuten luonnonkatastrofit tai epidemiat Yleinen etu ja julkinen valta: Esim. henkilötietojen käsittely tieteellisen tai historiallisen tutkimuksen tai tilastoinnin tarkoituksia varten Oikeutettu etu Rekisteröity on rekisterinpitäjän jäsen, asiakas tai alainen
TIETOSUOJAPERIAATTEET Tietojen minimointi: kerätään vain ne tiedot, mitä tarvitaan Tietojen ajantasaisuus: virheelliset tiedot korjataan tai poistetaan Tietojen säilytys: vanhat tiedot hävitetään, jos ei ole perusteita säilytykselle Rekisteröidyllä on oikeus vaatia tietojen poistamista Tietosuojan suunnittelu: rekisterinpitäjän tulee olla tietoinen tiedon määrästä, käsittelyn laajuudesta ja säilytysajoista (elinkaari) Tulee hahmottaa kokonaiskuva henkilötietojen käsittelyn nykytilasta C O M P A N Y. C O M
RISKIENHALLINTA R i s k i p e r u s t e i n e n l ä h e s t y m i s t a p a : h e n k i l ö t i e t o j e n k ä s i t t e l y n a i h e u t t a m a t r i s k i t r e k i s t e r ö i d y n o i k e u k s i l l e A r k a l u o n t e i s t e n t i e t o j e n k e r ä ä m i s e e n j a s ä i l y t y k s e e n k i i n n i t e t t ä v ä e r i t y i s t ä h u o m i o t a T o i m e n p i t e e t r i s k i e n m i n i m o i m i s e k s i T i e t o t u r v a l o u k k a u k s i s t a i l m o i t u s v i i v e e t t ä t i e t o s u o j a v a l t u u t e t u l l e j a r e k i s t e r ö i d y i l l e C O M P A N Y. C O M
REKISTERINPITÄJÄ JA KÄSITTELIJÄ R e k i s t erinpi täjä määritte l e e h e n k i l ö t i e t o j e n käsi t t e lyn ta rkoitukset ja k e i n o t j a o n ensi s i j aisess a vastuussa Esim. yhteisö on vastuus s a j ä s e n t e n s ä t i e d o i s t a, työn a ntaja on vastuussa t y ö n t e k i j ö i d e n t i e d o i s t a Käsi t t e lijäks i kutsutaan t a h o a, j o n k a t e h t ä v i i n kuul u u henkilötietojen k ä s i t t e l y e s i m. t y ö -, toim e ksianto-, alihankin t a - t a i y h t e i s t y ö s u h t e e ss a Esim. jäsenkirjeen posti t t a m i n e n u l k o p u o l i s e n palv e luntarjoajan toimes t a
TIETOSUOJAVASTAAVA toim i i yhteys henkilönä vi r a n o m a i s v a l v o n t a a n j a reki s t e röidyn oikeuksiin l i i t t y e n ei o l e vastuu ssa henkilöt i e t o j e n k ä s i t t e l y n lain m ukaisuudesta vaan v a s t u u k u u l u u edel l een organisaation j o h d o l l e orga n isaation on julkistet t a v a tiet o s u ojava staavan yht e y s t i e d o t j a ilm oi t e ttava ne valvontav i r a n o m a i s e l l e Tule e nimittää, kun y din t ehtävänne edellyttä v ä t a r k a l u o n t e i s t e n t i e to j e n l a a j a m i t t a i s t a k ä s i t t e l y ä y din t ehtävänne edellyttä v ä t i h m i s t e n l a a j a m i t t a is t a, s ä ä n n ö l l i s t ä j a j ä r j e s t e l m ä l l i s t ä s eur a ntaa Täll ä h etkell ä sosiaali- ja t e r v e y d e n h u o l l o n p a l v e l u i t a t a r j o a v i l l a o n v e l v o l l i s u u s nimi t t ä ä tiet osuojavastaa v a v o i m a s s a o l e v a n k an s a l l i s e n l a i n s ä ä d ä n n ö n n o j a l l a
YHTEYSHENKILÖ Organisaatioissa on hyvä nimetä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioiminen ja yhteyshenkilönä toimiminen rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyen TIETOSUOJASELOSTE Laaditaan jokaisesta henkilörekisteristä http://www.tietosuoja.fi/fi/index/materiaali a/lomakkeet/rekisterijatietosuojaselosteet.html SELOSTE KÄSITTELYTOIMISTA Ei ole pakollinen alle 250 työntekijän organisaatiossa, mutta voidaan laatia sisäiseen käyttöön Helpottaa henkilötietojen käsittelyn laajuuden osoittamista
POHDITTAVAA Mitä tietoja kerätään? Montako eri henkilölistaa yhdistyksellä on? Mitä tietoja listat pitävät sisällään? Mihin kerättäviä tietoja tarvitaan? Mistä tiedot on kerätty? Antaako rekisteröity aina itse tietonsa? Onko käsittelyyn tarvittu suostumus? Tarvitaanko jatkossa suostumus? Missä tiedot säilytetään? Kenellä niihin on pääsy? Siirretäänkö tietoja järjestelmästä toiseen? Tallennetaanko tietoja useaan paikkaan? Kauanko tietoja säilytetään? Mihin säilyttäminen perustuu? Miten vanhentuneet tiedot hävitetään? Liittyykö henkilötietojen käsittelyyn riskejä? Käsitelläänkö arkaluonteisia tietoja? Miten riskienhallinta on huomioitu?
KIITOS! C O M P A N Y. C O M