Case-esimerkki havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä

Samankaltaiset tiedostot
Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

EU:n tietosuoja-asetus (GDPR)

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Viittomakielet lainsäädännössä Lyhyt katsaus

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Tämä tietosuojaseloste koskee Loikka Kontakti ry:n kaikkia palveluja, yhteystietorekisteriä, lipunmyyntiä ja verkkosivustoa.

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Arviomuistio julkisista kuulutuksista annetun lain (34/1925) uudistamistarpeista

Tietosuojaasiat. yhdistysten näkökulmasta

Oulun Maanmittauskerho ry. Tietosuojaseloste

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Rekisteri- ja tietosuojaseloste

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Rekisteri- ja tietosuojaseloste

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Rekisteri- ja tietosuojaseloste

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Liisa Saviluoto, puh

Pilvipalvelut ja henkilötiedot

Termit. Tietosuojaseloste

Kielellisten oikeuksien seurantaindikaattorit // Uppföljningsindikatorer för språkliga rättigheter

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

GDPR Tietosuoja-asetus

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietosuojaseloste. Trimedia Oy

ANNAsport Oy:n Asiakasrekisterin tietosuojaseloste

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Sosiaaliset mediat ja tietosuoja. Juha Kontturi IT -suunnittelija Turun ammattikorkeakoulu

Tiedon elinkaaren hallinta Henkilötietojen suoja

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Paikkatiedon luovuttamisen pelisäännöt

Kolarin kunnan tietosuojapolitiikka

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

2 Yhteydenotot tietosuoja-asioissa Kaikki yhteydenotot voi lähettää sähköpostilla osoitteeseen

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Oy Raita Environment Ltd: n henkilötietojen käsittelyohjeet Versio - päivämäärä:

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

1. Henkilötietojen käsittely

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Tietopolitiikka Yhteentoimivuus ja lainsäädäntö , Sami Kivivasara ICT-toimittajien tilaisuus

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

DLP ratkaisut vs. työelämän tietosuoja

IF-INFO MEKLAREILLE

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Tieto uudesta blogipostauksesta -sähköpostilista (listalle liittyvien suostumukseen perustuen) Kommentin jättäneiden tiedot

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Käyttöehdot ja evästekäytäntö

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Mitä huomioida viestittäessä tietosuojakysymyksistä. Irene Leino, yritysvastuuasioidenpäällikkö, Suomen UNICEF

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Ulkoistaminen ja henkilötiedot

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

1 (5) EU:n yleinen tietosuoja-asetus, artiklat GEOLOGIAN TUTKIMUSKESKUS TIETOSUOJASELOSTE GTK/151/00.19/2016

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Pääomavaatimusten poistaminen

Tietosuojaseloste (päivitetty )

1 Tietosuojapolitiikka

EU TIETOSUOJA- ASETUS

Rekisteri- ja tietosuojaseloste

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Koulutuskiertue

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Digital by Default varautumisessa huomioitavaa

Pyrimme vastaamaan muutaman arkipäivän kuluessa rekisteriä koskeviin kysymyksiin.

Rekisteri- ja tietosuojaseloste

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Transkriptio:

2.9.2019 JUDO-hankkeen työpaja 6 Kimmo Janhunen Case-esimerkki havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Kimmo Janhunen johtava asiantuntija Hallinto- ja ohjausosasto Tietoyksikkö

Agenda Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Case-esimerkkejä OM lausuntopyyntö yleisestä tietosuoja-asetuksesta Yhteenveto

Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Käsitelläänkö henkilötietoja? Usein päädytään vastaukseen kyllä. Joidenkin palveluiden osalta on ollut epäselvyyttä sisältävätkö palvelun keräämät tai palveluun syötettävät tiedot henkilötietoja Huom. aiempi kysymys siitä muodostuuko henkilötietolain tarkoittama henkilörekisteri, ei enää yleistä tietosuoja-asetusta sovellettaessa ole relevantti Huom. yleistä tietosuoja-asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn Rekisterinpitäjyys? Joidenkin palveluiden osalta on ollut epäselvyyttä rekisterinpitäjyydestä Joidenkin palveluiden osalta arvioidaan yhteisrekisterinpitäjyyttä Olemassa olevat yhteiset palvelut, tietovarannot ja tietojärjestelmät Uudet teknologiat, palvelut sekä näiden käyttöehdot

Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Viranomaisten lakisääteiset tehtävät ja keskinäinen sopiminen Missä tilanteissa viranomaiset voivat sopia keskenään henkilötietojen käsittelystä sopimuksin, kun perustuslain mukana henkilötietojen suojasta ja viranomaisten tehtävistä ja toimivallasta on säädettävä lailla? Erityisesti palvelukeskukset sekä poikkihallinnolliset prosessit ja käsittelyketjut Tietoturvallisuudesta ja tietosuojasta sopiminen Organisaatio- tai palvelukohtaisen turvallisuussopimuksen ja liitteiden, erillisen tietosuojasopimuksen (esim. tietojenkäsittelysopimus) vai palvelun käyttöehtojen kautta? Kuvaukset turvallisuus- ja tietoturvajärjestelyistä Kuvaukset henkilötietojen käsittelystä Riskiarvioiden yhteensovittaminen

Yleisiä havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä Palveluiden tietoturvallisuuden ja tietosuojan arviointi Tällä hetkellä ei ole yleisesti saatavilla yhtä sertifikaattia, standardia tai arviointikriteeristöä, jonka kautta sekä tietoturvallisuus että tietosuoja tulisivat kattavasti arvioiduiksi Turvallisuuden hallinta on muuttunut yhä enemmän riskiarviointiperusteiseksi Kun riskiarvion perusteella valikoituvat tietoturvavaatimukset ja tietoturvatoimenpiteet, niin vastaavasti näiden toteutumisen arviointi kytkeytyy enemmän toimialakohtaiseksi tai tiettyjen tietojen ja toimintojen riskitasoon Huom. vain tietoturvallisuuden arvioinnista on aiemmin säädetty Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011)

Case: Havaintoja Microsoftin palveluihin liittyvistä kysymyksistä Euroopan tietosuojaviranomaisella (EDPS) on käynnissä Microsoftin käyttöehtojen tutkinta https://edps.europa.eu/press-publications/press-news/press-releases/2019/edpsinvestigates-contractual-agreements_en Alankomaat ovat sopineet erilliset käyttöehdot Microsoftin kanssa tiettyjen palveluiden osalta Alankomaiden keskushallinnolle https://www.privacycompany.eu/en/new-dpia-on-microsoft-office-and-windowssoftware-still-privacy-risks-remaining-long-blog Taustalla erityisesti tietosuojakysymykset laadituista tietosuojan vaikutusten arvioinneista https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protectionimpact-assessment-windows-10-enterprise

Case: Havaintoja Microsoftin palveluihin liittyvistä kysymyksistä Alankomaiden uusissa käyttöehdoissa tietosuojakysymysten riskejä on hallittu teknisin, hallinnollisin ja sopimuksellisin keinoin Uusien ehtojen mukaan mm.: Microsoft toimii vain henkilötietojen käsittelijänä Henkilötietoja käsitellään vain kolmeen tarkoitukseen (1. palvelun toimittaminen ja kehittäminen 2. palvelun ylläpito ja 3. turvallisuus; aiemman kahdeksan sijaan) Tietoja palvelujen käytöstä ei käsitellä profilointi-, analytiikka-, markkinatutkimus tai mainos-tarkoituksiin (vain asiakkaan erikseen pyytäessä) Sallivat tehokkaan auditointioikeuden Alankomaiden keskusviranomaisille

Case: Havaintoja Googlen palveluihin liittyvistä kysymyksistä Useiden Googlen palveluiden käyttöehtojen kautta, Google varaa itselleen oikeuden käsitellä henkilötietoja omiin tarkoituksiinsa Juridisesti tällöin on kyseessä henkilötietojen luovuttaminen viranomaiselta Googlelle (tai yhteisrekisterinpito). Molempiin tilanteisiin liittynee sovittamattomia ristiriitoja yleisen tietosuojaasetuksen ja kotimaisen lain kanssa Viranomaisten kannattaa tarkkailla myös Google-haun tuloksista löytyvää kysymysten ja vastausten automaattista palstaa kansalaiset saattavat erehtyä luulemaan viranomaisen viralliseksi palvelukanavaksi

Case: Havaintoja Googlen palveluihin liittyvistä kysymyksistä Viranomaisten kannattaa tarkkailla Google-haun tuloksia: oma organisaatio ja palvelut Esim. hakutuloksien kautta kopio/fake-sivustoilla saatetaan houkutella tilausansoihin Googlelle poistopyyntö ja ilmoitus Kilpailu- ja kuluttajavirastolle Esim. organisaation hakutuloksiin on syntynyt sivu, jossa myös Kysymyksiä ja vastauksia sekä Arvostelut palstat. Kansalaiset saattavat erehtyä luulemaan viranomaisen viralliseksi palvelukanavaksi Googleen voi rekisteröityä, jos näitä haluaa hallita

Case: Havaintoja palveluiden evästeisiin liittyvistä kysymyksistä

Case: Havaintoja palveluiden evästeisiin liittyvistä kysymyksistä Useissa palveluissa käytetään evästeitä, joiden avulla teknisesti kerätään myös henkilötietoja tai sellaiseksi yhdisteltävissä olevia tietoja (esim. iposoite tai muita tietoja, joita yhdistelemällä voi tunnistaa ihmisen) Tällöin sovellettavaksi tulee yleinen tietosuoja-asetus sekä sähköisen viestinnän palveluista annetun laki Kaikesta henkilötietojen keräämisestä on toimitettava informaatiota palvelun käyttäjille Palveluntarjoajien kannattaa kiinnittää huomiota teknisiin ratkaisuihin ja myös tukipalveluiden tosiasialliseen tietojen keruuseen oli käyttötarkoituksena sitten palvelun käytön seuranta, kehittäminen, tilastointi, analytiikka tai toisen palvelun tai tukipalvelun käyttäminen oman palvelun kautta sekä informoida oman palvelun käyttäjiä näistä

OM lausuntopyyntö yleisestä tietosuojaasetuksesta Oikeusministeriö pyytää lausuntoja lausuntopalvelun kautta yleisen tietosuoja-asetuksen toimivuudesta ja soveltamisen kokemuksista Lausuntoaikaa on jäljellä vielä kaksi viikkoa, viimeistään 17.9.2019 Kannustamme organisaatioita vastaamaan kaivataan mm. tunnistamianne hyötyjä, haasteita sekä kommentteja Linkki lausuntopyyntöön https://www.lausuntopalvelu.fi/fi/proposal/participation?proposalid=2df6ebd7-975e-4169- a0de-edd9ab3d7217

Yhteenveto Viimeaikaiset havainnot palveluiden tietoturva- ja tietosuojakysymyksistä ovat jatkoa aiempaan kehitykseen keskiössä sopimukset ja käyttöehdot Palvelutarjonnan osalta: toiminnallisuudet kehittyvät, palvelut kytkeytyvät enemmän toisiinsa, uusia palveluita tulee ja käyttöehdot muuttuvat Palveluiden suunnittelun ja kehittämisen osalta nyt ja jatkossa tulee huomioida useita vaatimuslähteitä arvioida riskejä ja vaikutuksia useasta näkökulmasta sekä varautua vaatimusten ja palveluympäristöjen muutoksiin Jatkossa vaaditaan enemmän seurantaa sekä muutosten, riippuvuuksien ja vaatimusten hallintaa

OIKEUSMINISTERIÖ kimmo.janhunen@om.fi Kimmo Janhunen johtava asiantuntija www.oikeusministerio.fi Facebook: facebook.com/oikeusministerio Twitter: twitter.com/oikeusmin @oikeusmin Käyntiosoite: Eteläesplanadi 10, Helsinki Postiosoite: PL 25, 00023 Valtioneuvosto Vaihde: 029 516 001

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute