EU:n tietosuoja-asetus ja sen vaikutukset tietojärjestelmien suunnitteluun ja kehittämiseen

Samankaltaiset tiedostot
Muuttuva tietosuojasääntely ja markkinoinnin trendit

DLP ratkaisut vs. työelämän tietosuoja

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

T E R H O N E V A S A L O

Pilvipalvelut ja henkilötiedot

EU:n tietosuoja-asetus ja sähköposti

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:N UUSI TIETOSUOJALAINSÄÄ- DÄNTÖ

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Digitaalisen liiketoiminnan edellytysten luominen

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

GDPR READY 2018 KOULUTUSOHJELMA EU:N TIETOSUOJA-ASETUS. Terho Nevasalo, partner

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

EU:N UUSI TIETOSUOJA- ASETUS

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Sopimus henkilötietojen käsittelystä (DPA)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuojavaltuutetun toimiston tietoisku

Sisävesidirektiivin soveltamisala poikkeussäännökset. Versio: puheenjohtajan ehdotus , neuvoston asiakirja 8780/16.

IF-INFO MEKLAREILLE

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

EU:n tietosuoja-asetuksen liiketoimintavaikutukset yrityksille

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Työelämän tietosuojaan liittyvät ajankohtaiset kysymykset

VISMA SEVERA. GDPR webinaari

AJANKOHTAISTA TIETOSUOJASSA

GDPR-pikaopas. Demand more. Puh

EU:n lääketutkimusasetus ja eettiset toimikunnat Suomessa Mika Scheinin

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Ajankohtaista tietosuoja-asetuksesta

6762/14 hkd/sj/hmu 1 LIITE I DG D 2B FI

Tietosuoja-asetus ja sen kansallinen implementointi

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n tietosuoja-asetus

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Informaatiovelvoite ja tietosuojaperiaate

Vaikutustenarviointi GDPR:n mukaan

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

EU:N TIETOSUOJA-ASETUKSET WALMU

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Sopimuksen liite Henkilötietojen käsittelyn ehdot

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

CySec Ice Wall Oy. Aki Pitkäjärvi (CSO/CTO/DPO) Eurooppalainen tietosuoja-asetus. GDPR General Data Protection Regulation

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Naisjärjestöjen Keskusliitto

Sofia Wilson

Teknologia avusteiset palvelutverkostopalaveri

Lääkkeiden hyvät jakelutavat estämässä lääkeväärennösten pääsyä laillisiin jakelukanaviin. Sidosryhmätilaisuus Fimea Anne Junttonen

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Käsittelyä koskevat tarkemmat tiedot, kuten käsittelyn luonne, henkilötietojen tyyppi ja rekisteröityjen ryhmät, on kuvattu jäljempänä.

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Oikeusministeröin vastine hallintovaliokunnalle osoitettuihin asiantuntijalausuntoihin asiassa U 21/2012 vp

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Etämyynnin asema lainsäädännössä

Tieteellinen tutkimus ja EU:n tietosuoja-asetus

Mikä GDPR? General Data Protection Regulation

EU TIETOSUOJA- ASETUS

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Tietosuojafoorumi

GDPR Tietosuoja-asetus

Transkriptio:

EU:n tietosuoja-asetus ja sen vaikutukset tietojärjestelmien suunnitteluun ja kehittämiseen itsmf:n aamiaisseminaari Jukka Lång, asianajaja, CIPP/E

Sisältö EU:n tietosuojauudistus Viisi keskeisintä muutosta suunnittelun ja kehittämisen kannalta Valvonta ja sanktiot Tietosuojan toimeenpaneminen omassa organisaatiossa

IT:N JA TIETOTURVAN JURIDISOITUMINEN

Lainsäädäntö murroksessa Uusi lainsäädäntö vaikuttaa olennaisesti tietoturva-ammattilaisten toimintakenttään EU:n yleinen tietosuoja-asetus NIS-direktiivi (Ehdotus direktiiviksi toimenpiteistä korkeatasoisen verkko- ja tietoturvan varmistamiseksi koko EU:ssa)

Muita trendejä Digitalisoituminen Verkottuneet tietojärjestelmät Teknologian käytön ja työn tekemisen uudet tavat Kyberuhat Datalähtöiset uudet liiketoimintamallit

Lähde: Maailman talousfoorumi, 2015 projektit

Käytännön havaintoja Tietosuojan ja tietoturvan merkityksen kasvuun ollaan vasta monissa organisaatioissa heräämässä Usein epäselvää kenen vastuulle tietosuojavelvoitteista huolehtiminen kuuluu Erityisesti kansainvälisille yrityksille haastava toimintakenttä Suomen työelämän tietosuojasääntelyssä monia merkittäviä kansallisia erityispiirteitä

TIETOSUOJA-ASETUS

Tietosuoja-asetuksen pitkä taival Komission ehdotus tammikuu 2012 Neuvoston versio kesäkuu 2015 Lopullinen hyväksyminen alkuvuosi 2016 (arvio) 2012 2013 2014 2015 2016 Parlamentin versio maaliskuu 2014 HaV:n lausunto joulukuu 2015 Trilogineuvotteluiden ratkaisu joulukuu 2015

Uuden sääntelyn voimaantulo Kahden vuoden siirtymäaika lopullisesta hyväksymisestä Tietosuoja-asetuksen voimaantuloaika toukokuu 2018 Siirtymäaikana muun kansallisen tietosuojalainsäädännön uudelleenarviointi ja sovittaminen asetuksen sisältöön

Mikä muuttuu? Yksilöiden oikeudet laajenevat Yksilöille tehokkaampi kontrolli omiin tietoihinsa Yritysten velvollisuudet lisääntyvät Riskit kasvavat Valvonta tehostuu Viranomaisille keinot tulla otetuksi vakavasti Kansainvälisen liiketoiminnan edellytykset parantuvat Unioninlaajuiset sisämarkkinat ja viranomaisbyrokratian väheneminen

Harmonisaatio Digital Single Market Kansallisten erojen poistaminen Ei kuitenkaan johda täydelliseen yhdenmukaisuuteen Erityissääntelyn alainen toiminta Suomen työelämän tietosuojasääntely säilynee erityispiirteenä Asetuksen sallima jousto

Asetuksen kustannusvaikutukset = välittömät kustannukset = välilliset kustannukset

Viisi keskeisintä muutosta suunnittelun ja kehittämisen kannalta 1. Hallinnollisen tietoturvan rakentaminen 2. Vaatimus sisäänrakennetusta tietosuojasta 3. Toimijoiden tilivelvollisuus 4. Data Portability -velvoite 5. Sopimusriskit

Hallinnolliseen tietoturvaan boostia tietosuoja-asetuksesta Asetuksen velvoitteet tukevat tietoturvallisuuden rakentamista Esimerkkilista tietoturvan toteuttamisessa tarpeellisista toimista Henkilötietojen pseudonyymisointi Toimenpiteiden säännöllinen testaaminen Auditoinnit Tietosuojaa koskevat vaikutustenarvioinnit (PIAs) Velvollisuus nimittää, tietyin kriteerein, tietosuojavastaava

1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja käsittelijän on tarvittaessa toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten: a) henkilötietojen julkaiseminen salanimellä ja salaus; b) kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. 2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti tietojenkäsittelyn aiheuttamiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. 3. Jäljempänä 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisen hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan. 4. Rekisterinpitäjän ja käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, saa käsitellä niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai kansallisessa lainsäädännössä toisin vaadita. Artikla 32, Käsittelyn turvallisuus

Vaatimus sisäänrakennetusta tietosuojasta (privacy by design) Velvollisuus järjestää tietojenkäsittely tavalla, jonka avulla asetus, tietosuojaperiaatteet ja rekisteröidyn oikeudet tulevat tehokkaasti huomioiduiksi kaikessa tietojenkäsittelyssä Kohdistuu myös ohjelmistokehitykseen Velvoittaa laaja-alaisen suunnitteluun Saattaa johtaa lakiperusteisen riskin siirtymiseen ITpalveluntarjoajille Vaatimuksen täyttymisestä vastaa rekisterinpitäjän roolissa oleva yritys (eli asiakas) Velvoite voidaan sopimusehdoilla siirtää käsittelijän (eli toimittajan) kannettavaksi

Osoitusvelvollisuus tietoturvan toteuttamisesta Compliance Vaatimustenmukaisuus Lainsäädännön noudattamisen varmistaminen Do it Accountability Tilivelvollisuus Lainsäädännön noudattamisen osoittaminen Prove it

Osoitusvelvollisuus käytännössä Kannustin dokumentointiin ( paper trail ) Käännetty näyttötaakka Toimintojen sertifiointi

Oikeus siirtää tiedot järjestelmästä toiseen (data portability) Yksilön oikeus viedä mukanaan omat tietonsa Mahdollistaa tietojen siirrettävyyden yritysten välillä Tietojen jälleenkäyttöarvo kasvaa Kilpailuedellytykset ja markkinoille pääsy parantuvat Oikeus rajautuu vain osaan tiedoista Rekisteröidyn suostumukseen tai sopimukseen perustuva käsittely Rekisteröidyn itsensä antama tai tuottama tieto Tiedot annettava sähköisessä jatkokäytön mahdollistavassa muodossa Mikä tahansa sähköinen muoto käy

Sopimusvelvoitteet Tietosuojasta ja tietoturvasta tulossa IT-alan sopimusten kipupiste Uusi sääntely muuttaa riskiasetelmia ja sopimusperusteista riskienjakoa Nimenomainen velvollisuus sopia seikoista, jotka nykyään jätetty avoimiksi, eli käytännössä rekisterinpitäjän vastuulle Vahinkojen todennäköisyys ja suuruus kasvavat, markkinakäytännöt murroksessa Yksityiskohtaisempia sopimusehtoja ja vastuunrajoituksia Hintavaikutukset IT-palveluihin

[ ] governed by a contract [ ] binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects, the obligations and rights of the controller and stipulating in particular that the processor shall: a) process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, [ ]; b) ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; c) take all measures required pursuant to Article 30 [data security]; d) respect the conditions referred to in paragraphs 1a and 2a for enlisting another processor [sub-processing]; e) taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller s obligation to respond to requests for exercising the data subject s rights laid down in Chapter III; f) assist the controller in ensuring compliance with the obligations pursuant to Articles 30 to 34 [prior consultation] taking into account the nature of processing and the information available to the processor; g) at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of data processing services, and delete existing copies unless Union or Member State law requires storage of the data; h) make available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. The processor shall immediately inform the controller if, in his opinion, an instruction breaches this Regulation or Union or Member State data protection provisions. Artikle 28(3), Processor

VALVONTA JA SANKTIOT

Enimmäissanktiot 4 % globaalista liikevaihdosta* 20 000 000 Kumpi enemmän *edellinen tilikausi

Sanktion suuruuden määräytyminen - huomioon otettavia tekijöitä - action to mitigate the damage suffered by data subjects; - the degree of co-operation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; - the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; - adherence to approved codes of conduct or approved certification mechanisms - the nature, gravity and duration of the infringement having regard to the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; - the intentional or negligent character of the infringement; - any relevant previous infringements by; - Compliance with the measures previously ordered against the controller or processor; - the categories of personal data affected by the infringement

TOIMEENPANEMINEN

Organisaatiolle tietosuojavastaava? Velvollisuus nimittää tietosuojavastaava vain: 1) julkisella sektorilla; 2) jos organisaation ydintoimintoihin liittyvä käsittely edellyttää säännönmukaista ja laajamittaista rekisteröityjen tarkkailua; tai 3) jos organisaation ydintoiminnot muodostuvat arkaluonteisten henkilötietojen käsittelystä

Deployment of enterprise security governance practices moderates the cost of cyber crime. Companies that employ expert staff have cyber crime costs save an average of $1.5 [million] and those that appoint a high-level security leader reduce costs by an average of $1.3 million. Ponemon Institute: Cost of Cyber Crime Study 2015

Asetuksen haltuunoton askelmerkit 1. Tietosuojafunktion perustaminen Tehtävien ja vastuiden määritteleminen Implementation Plan Data Flow -analyysi 2. Tietosuojan compliance-ohjelma ( Privacy Program ) Sisäinen ohjeistus (Policy/Rule/Principles) sekä prosessit Johdon omistajuus ja systemaattinen raportointi ja valvonta Riskienhallinta (velvoitteiden huomioiminen toiminnassa) 3. Auditointi

Kiitos Jukka Lång Head of Data Protection, Marketing & Consumers Partner, LL.M., M.A., CIPP/E Tel. +358 40 719 4317 Email: jukka.lang@dittmar.fi Twitter: @JukkaLang

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute