EU:n tietosuoja-asetus verkkokaupan näkökulmasta

Samankaltaiset tiedostot
EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojan toteuttaminen käytännössä

Tietosuojasta menestystekijä?!

Täyttyvätkö uudet tietosuojavaatimukset?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Termit. Tietosuojaseloste

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja-asetuksen sudenkuopat

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Haminan tietosuojapolitiikka

Tietosuojaseloste 1 (5)

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Salon kaupunki , 1820/ /2018

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Salon kaupunki / /2018

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Varustekorttirekisteri - Tietosuojaseloste

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Salon kaupunki / /2018

Salon kaupunki , 1820/ /2018

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

OUKA/10235/ /2017

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojaseloste 1 (5)

GDPR Tietosuoja-asetus

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Rekisteriseloste, Espoon kaupunki

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

WORKSPACE OY REKISTERISELOSTEET

Dahua-kameravalvonta Kupariteollisuuspuistossa - tietosuojaseloste

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojaseloste 1 (6)

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Rekisteri- ja tietosuojaseloste 1 (5) EU:n yleinen tietosuoja-asetus (2016/679 GDPR)

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuojaseloste/Rekisterinpitäjän informointi rekisteröidylle

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuojaseloste 1 (6)

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24 ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

siniset tarkoittavat linkkejä

SELOSTE TIETOSUOJA-ASETUKSEN INFORMOINTIVELVOITTEEN EDELLYTTÄMISTÄ TIEDOISTA. Laatimispvm 1. Rekisterinpitäjä

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Tietosuojaseloste 1 (5)

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot


Tietosuojaseloste Espoon kaupunki

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Tampereen Aikidoseura Nozomi ry

TIETOSUOJASELOSTE. Wessmanninkatu 2, Äänekoski , raija.tuhkanen[at]aanekoski.fi

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Organisaatioluvan hakeminen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste 1 (5)

OPPILASREKISTERISELOSTE

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Tietosuojaseloste Espoon kaupunki

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuojaseloste 1 (5) Hyväksytty tietosuoja-asetuksen toimeenpanoprojektissa Tuula Antola, elinkeinojohtaja

Ajankohtaista tietosuoja-asetuksesta

INHUNT LAW OY:N TIETOSUOJAILMOITUS

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

T E R H O N E V A S A L O

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Onnen Asunnot LKV Onnen Asunnot on Lastumäki-yhtiöt Oy:n aputoiminimi, Y-tunnus:

Tietoturva yhdistyksessä

Tietosuojavastaava ja yhteystiedot: Essi Mangström Myllyjärventie 1, Vieremä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Transkriptio:

EU:n tietosuoja-asetus verkkokaupan näkökulmasta Verkkokauppakoulutus 14 Kaupan liitto 28.10.2014 Eija Warma, asianajaja, LL.M. (US) 1

Henkilötiedon käsittelyn elinkaari Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja - käytännöt Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet Huolehdi ilmoitukset viranomaiselle Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kielto-oikeuden käyttö Ylläpidä tietosuojaohjeistukset ja rekisteriselosteet - Huolehdi saatavuudesta tietoja kerättäessä Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (komission mallisopimuslaus ekkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 2

Uusi tietosuoja-asetus - aikataulu Data Protection Directive 95/46/EC 25 January 2012 European Commission s proposal for new data protection rules 17 December 2012 The Albrecht Report 31 May 2013 The European Council s compromise proposal: Key issues Chapters 1-4 21 October 2013 The Committee on Civil Liberties, Justice and Home Affairs (LIBE) voting on the proposal 12 March 2014 The European Parliament voted for the proposal The final decision is postponed over the elections to end of the year 2014 June 2014 The European Council voted on the proposal 3

Mikä käytännössä muuttuu vai muuttuuko mikään? 4

Soveltamisala 2/3 art. Aineellinen soveltamisala: Osittain tai kokonaan automatisoitu henkilötietojen käsittely Manuaalinen käsittely, joka muodostaa rekisterin osan Alueellinen soveltamisala: Käsittely suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai käsittelijän toimipaikassa Unionissa asuvia rekisteröityjä koskevien tietojen käsittely, jossa rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittely liittyy: Tavaroiden tai palvelujen tarjoamiseen, tai Rekisteröityjen käyttäytymisen seurantaan 5

Rekisteröidyn oikeuksien käyttäminen 12 art. Laadittava mekanismit, joiden avulla rekisteröity voi käyttää hänelle kuuluvia oikeuksiaan Jos käsittely automatisoitu, pyynnöt sähköisesti Rekisterinpitäjän vastattava kuukauden kuluessa Kirjallisesti tai sähköisesti, jos pyyntö esitetty sähköisesti Rekisterinpitäjän ilmoitettava kieltäytymisen syyt ja informoitava valitusmahdollisuudesta Jos pyynnöt ovat kohtuuttomia tai toistuvia, voidaan periä maksu tai jättää pyydetty toimi suorittamatta 6

Oikeus tulla unohdetuksi 17 art. Oikeus vaatia tietojen poistamista ja kieltää tietojen edelleen levittäminen tarpeettomaksi käyneet tiedot suostumuksen peruuttamisen jälkeen rekisteröity on kieltänyt tietojensa käsittelyn asetuksen säännöksiä ei muutoin noudateta Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet ilmoittaakseen tietoja käsitteleville kolmansille osapuolille, mikäli rekisteröity käyttää hänelle kuuluvaa oikeuttaan 7

Oikeus siirtää tiedot järjestelmästä toiseen 18 art. ( Data Portability ) Oikeus saada kopio omista tiedoista jäsennellyssä ja yleisesti käytettävässä muodossa Oikeus vaatia omien tietojen siirtämistä järjestelmästä/palvelusta toiseen, jos käsittely perustuu suostumukseen tai sopimukseen Report 17.12.2012: tämä oikeus yhdistettäisiin rekisteröidyn yleiseen tiedonsaantioikeuteen (art. 15). 8

Profilointi 20 art. Määritelmä (art. 4): profiling means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a natural person or to analyse or predict in particular that natural person s performance at work, economic situation, location, health, personal preferences, reliability or behaviour; Lähtökohtana profiloinnin kielto Edellytykset profilointi tapahtuu osana sopimusta tai sen solmimisen yhteydessä profilointi perustuu lakiin profilointi perustuu suostumukseen 9

Henkilötietojen käsittelijä 26/27 art. Käsittelijän annettava takeet, että riittävä tietoturva huomioidaan ja käsittely täyttää asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun Sovittava kirjallisesti henkilötietojen käsittelystä Käsittelijän tallennettava kirjallisesti rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet 10

Asiakirjat ( rekisteriseloste ) 28 art. Jokaisen rekisterinpitäjän ja käsittelijän säilytettävä asiakirjat kaikista käsittelytoimista Ei koske rekisterinpitäjiä/käsittelijöitä: jos luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista tarkoitusta, tai yritys (henkilöstö alle 250) ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona Asiakirjoissa oltava seuraavat tiedot: rekisterinpitäjä, tietosuojavastaava, käsittelyn tarkoitus, kuvaus rekisterin tietoryhmistä, kenelle tietoja luovutetaan/siirretään, milloin tiedot tuhotaan ja kuvaus art. 22.3 tarkoitetuista mekanismeista 11

Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle 31 art. Jos tapahtuu tietoturvaloukkaus, ilmoitettava viranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 72 tunnin kuluessa sen ilmitulosta Käsittelijän ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle heti kun se on tullut ilmi Ilmoituksessa: kuvattava tietoturvaloukkaus, tietosuojavastaavan yhteystiedot, suositeltavat toimenpiteet joilla lievennetään loukkauksen mahdollisia haittavaikutuksia, kuvattava tietoturvaloukkauksen seurauksia, kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut/toteuttanut loukkauksen johdosta Rekisterinpitäjän dokumentoitava KAIKKI henkilötietojen tietoturvaloukkaukset; ml. vaikutukset ja toteutetut korjaavat toimenpiteet 12

Tietoturvaloukkauksista ilmoittaminen rekisteröidylle 32 art. Kun tietoturvaloukkauksella todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle/yksityisyydelle, ilmoitettava myös rekisteröidylle ilman aiheetonta viivytystä Tässä ilmoituksessa annettava ainakin tietosuojavastaavan yhteystiedot ja suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkausten mahdollisia haittavaikutuksia Ei tarvitse ilmoittaa rekisteröidylle, jos osoittaa valvontaviranomaisia tyydyttävällä tavalla, että toteuttanut asianmukaiset tekniset suojatoimenpiteet JA ko. toimenpiteitä sovellettu loukkauksen kohteena oleviin tietoihin. Tällaisten toimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole kolmansille osapuolille ymmärrettävässä muodossa 13

Tietosuojaa koskeva vaikutustenarviointi 33/34 art. Jos henkilötietojen käsittelyyn liittyy riskejä, laadittava arvio suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle Erityisiä riskejä liittyy seuraaviin käsittelytoimiin: profilointi, terveyteen/seksuaaliseen suuntautumiseen liittyvät tiedot, videovalvonta suuressa mittakaavassa, lapsia tai geneettisiä/biometrisiä tietoja koskevat suuren mittakaavan rekisteröintijärjestelmät, jos valvontaviranomainen katsoo tarpeelliseksi Arvio pitää sisällään: yleiskuvaus käsittelytoimista ja arvio riskeistä toimet, joilla riskeihin on tarkoitus puuttua takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja vaatimusten noudattaminen 14

Tietosuojavastaavan nimeäminen 35 art. Rekisterinpitäjän/käsittelijän nimitettävä tietosuojavastaava aina kun: käsittelyä suorittaa viranomainen tai julkishallinnon elin käsittelyä suorittaa yritys, jossa vähintään 250 henkilöä rekisterinpitäjän/käsittelijän tehtävät muodostuvat sellaisista toimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Yritysryhmä voi nimittää vain yhden tietosuojavastaavan määräajaksi voi olla myös ulkopuolinen taho Otettava huomioon henkilön ammattipätevyys, erit. tietosuojalainsäädäntöä ja alan käytäntöjä koskeva asiantuntemus sekä valmius suorittaa hänelle määrätyt tehtävät 15

Siirrot kolmansiin maihin 40-45 art. Mekanismit pysyvät ennallaan Riittävän tietosuojatason omaavat maat Siirto asianmukaisten takeiden perusteella Siirto yritystä koskevien sitovien sääntöjen perusteella Binding Corporate Rules Poikkeukset 16

Hallinnolliset seuraamukset 79 art. 250.000 tai 0,5% globaalista liikevaihdosta Asetuksen edellyttämien prosessien laatimatta jättäminen rekisteröityjen esittämiä pyyntöjä varten Rekisteröidyn tarkastus-, korjaamis-, kielto-, yms. pyyntöihin vastaamatta jättäminen Maksun periminen tarkastusoikeuden käyttämisestä LIBE KOMITEA JA PARLAMENTTI: EUR 100 000 000 tai 5 % globaalista vuotuisesta liikevaihdosta, kumpi on suurempi 17

Hallinnolliset seuraamukset 79 art. 500.000 tai 1% globaalista liikevaihdosta Rekisteröidyn informointi ei ole selkeää Tarkastusoikeuden kieltäytymiselle ei esitetä (selkeitä) perusteita Oikeutta tulla unohdetuksi laiminlyödään Data portability -velvoite laiminlyödään Yhteisrekisterinpitäjyyden vastuita ei ole määritelty Sananvapautta, työntekijän henkilötietojen käsittelyä, historiantutkimusta, tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytysten laiminlyönti 18

Hallinnolliset seuraamukset 79 art. 1.000.000 tai 2% globaalista liikevaihdosta Käsittelyperusteen laiminlyönti Vaatimukset täyttävän tietosuojavastaavan nimittämättä jättäminen Rekisteröidyn kielto-oikeuksien laiminlyönti Sertifikaatin väärinkäyttö Profilointia koskevien säännösten laiminlyönti Kansainvälisten siirtojen velvoitteiden laiminlyönti Suunnittelu- ja tietoturvavelvoitteiden laiminlyönti Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Edustajan nimittämättä jättäminen Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Tietoturvaloukkausta koskevan ilmoitusvelvollisuuden laiminlyönti Vaikutusarvioinnin laiminlyönti Salassapitovelvollisuuden takaamista koskevien sääntöjen laiminlyönti Tietojen käsittely ilman viranomaisen ennakkolupaatai kuulemista 19

Kiitos! Ota yhteyttä: Eija Warma, asianajaja, LL.M. (US) Asianajotoimisto Castrén & Snellman Oy eija.warma@castren.fi 20

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute