Miksi tarvitaan tietotilinpäätös?

Samankaltaiset tiedostot
PwC:n nimikkeistökartoitus

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

Taloushallinto kehittyvässä liiketoiminnassa maaliskuu 2013

Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry

Listayhtiöiden vuoden 2011 tilinpäätökset Kesäkuu 2012

Tarkastusvaliokuntaa koskevia säännöksiä

Vuoden Arviointikertomuskilpailun palaute

Palkkarakennekyselyn tuloksista Sisäiset tarkastajat ry Kari Storckovius Kuukausikokous BDO Oy tammikuu 2011

Kaukolämpöliiketoiminnan yhtiöittäminen ja alv Siikajoen kunta

Yleisohje konsernitilinpäätöksen laatimisesta huhtikuu 2017

Ongelmia Venäjällä: kolme käytännön tapausta

Uudistuva säätiölaki - koulutus ja RAY - säätiöt -keskustelutilaisuus

Energia-alan näkymät ja investointikyky Energiateollisuuden kevätseminaari Turku

Selvitys nimitystoimikunnista suomalaisissa pörssiyhtiöissä

Raportti tilikauden 2016 tilintarkastuksesta. Pöytyän kunta

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

DIF- Tietopankkiaamiainen

Sosiaalialan kehittämishanke*

Yritysvastuu osana yrityskauppoja toukokuu 2016

Eläketurvakeskuksen tietosuojapolitiikka

Rekisteritutkimuksen tulevaisuuden näkymät ja tietosuoja, ml. EU:n tietosuoja-asetus

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Haminan tietosuojapolitiikka

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

17th Annual Global CEO Survey Poimintoja Suomen tutkimustuloksista Heikki Paija

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

T E R H O N E V A S A L O

10 Yksityiselämän suoja

GDPR Tietosuoja-asetus

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuojavaltuutetun toimiston tietoisku

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Pilvipalvelut ja henkilötiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

EU:N TIETOSUOJA-ASETUKSET WALMU

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Vaikutustenarviointi GDPR:n mukaan

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Teknologia avusteiset palvelutverkostopalaveri

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Informaatiovelvoite ja tietosuojaperiaate

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

TIETOSUOJATYÖN ORGANISOINTI

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuoja-asetus (GDPR)

Ulvilan kaupungin tietosuojapolitiikka

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

IF-INFO MEKLAREILLE

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

SIJOITUSRISKIEN TARKASTELU 1/2 1

SAFE HARBOR muutokset ja sen vaikutukset suomalaisille yrityksille

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Kaupunginhallitus Liite EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

GDPR-pikaopas. Demand more. Puh

EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

ASETUS TULEE, OLE VALMIS! MIKÄ MUUTTUU? MILLOIN?

EU:n tietosuoja-asetus

Tietosuojaseloste 1 (6)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Mikä GDPR? General Data Protection Regulation

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

Suomen Tilaajavastuu Oy:n palvelut ja tietosuojaasetuksen. Mika Huhtamäki ja Antti-Eemeli J. Mäkinen

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

GDPR. Timo Kokkonen Webinaari

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Tietosuojaseloste 1 (6)

Omistusstrategian vaihtoehdot KPMG:n näkemys

TIETOSUOJAPOLITIIKKA

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

EU:n tietosuoja-asetus (GDPR)

Varustekorttirekisteri - Tietosuojaseloste

Transkriptio:

www.pwc.fi Miksi tarvitaan tietotilinpäätös? Lakimiehen kulma Maria Parker 6.6.2014

EU:n uusi tietosuoja-asetus Rekisterinpitäjän tilintekokykyisyys Ehdotuksen mukaan rekisterinpitäjien tulee pystyä osoittamaan noudattavansa lakia eli toteutettava soveltuvia ja tehokkaita toimenpiteitä tietosuojaperiaatteiden toteuttamiseksi ja kyettävä todistamaan tämä. Ehdotuksen mukaan jokaisen rekisterinpitäjän ja käsittelijän on säilytettävä asiakirjat kaikista vastuullaan tapahtuvista käsittelytoimista (tiettyjä poikkeuksia). Tietosuojavaltuutettu suosittelee, että rekisterinpitäjät ja käsittelijät laatisivat säännöllisesti ns. tietotilinpäätöksen ( Laadi tietotilinpäätös 24.4.2012 ). - Siinä kuvattaisiin tietojen käsittelyn nykytila sekä arvioitaisiin tietosuojan ja tietoturvan toteutuminen. - Tietotilinpäätös toimisi johdon ja riskienhallinnan strategisena työvälineenä, sisäisen ja ulkoisen valvonnan apuvälineenä ja olisi omiaan osaltaan rakentamaan luottamusta sidosryhmien keskuudessa. 2

Tietotilinpäätöksen ydin tiedonhallinnan järjestäminen lakisääteisten velvoitteiden vuoksi Liikkeelle tietopääomasta ja sen hallinnoinnista Lakisääteisiä ja muita velvoitteita Tietosuojaregulaatio Toimialaregulaatio Julkisuusvaatimukset laissa ja muutoin Salassapidon ja läpinäkyvyyden hallinta Luottamuksen rakentaminen sisälle ja ulos Tietotilinpäätöksen rooli tuloksen säännöllisenä raportointina Tulos syntyy tarkastasteltaessa organisaation tiedon virtoja sisältä Varmentaa tietovirtojen käsittelyn lainmukaisuuden toteutumisen 3

Tietosuojaperiaatteet Varmistus (tulevan) lainsäädännön noudattamisesta Privacy by design Henkilötietojen käsittely on suunniteltava ennalta prosessina. Privacy by default Rekisterinpitäjä velvoitetaan rakentamaan tietoturvallinen suojattu palvelu oletusarvoisesti. Nykyään kuluttaja huolehtii muun muassa oman sähköpostinsa tietoturvasta. Right to be forgotten Oikeus vaatia tietojen poistamista ja kieltää edelleen levittäminen, erityisesti sosiaalisen median palveluissa. Right to data portability Oikeus saada tiedot rekisterinpitäjältä jäljennöksenä yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen ja oikeus siirtää tiedot palveluntarjoajalta toiselle. 4

Soveltuvat ja tehokkaat toimenpiteet Tietosuojaperiaatteiden suojan toteutus Onko tiedonhallinta järjestetty lainsäädännön mukaan? Määritelty käsiteltävät ja säilytettävät tiedot? Määritelty tiedon arvo myös salassapito ja julkisuusvaatimukset huomioon ottaen Määritelty tiedon käsittelytavat tiedon kaikissa voimassaolon vaiheissa? Määritelty tiedon säilyttämisen tilat, tavat, tasot ja muoto? Määritelty tiedon käsittelyn tasot tiedonsaantioikeudet, käyttöoikeudet? = > Testi: Kykeneekö organisaatio todistamaan toimenpiteiden tehon? Dokumentaatiot tiedon tilan hallinnasta rekisteröitymisien todentaminen? Tietopalvelujen tuotantokykyisyys? 5

EU:n uusi tietosuoja-asetus tuo käsittelijälle lisää velvollisuuksia tiedonhallinnan järjestämiseksi Käsittelijälle lisää velvollisuuksia - Rekisterinpitäjän lukuun henkilötietoja käsittelevän annettava takeet, että riittävä tietoturva huomioidaan ja käsittely täyttää asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojan. - Laadittava kirjallinen sopimus. Tietosuojaa koskeva vaikutustenarviointi ennen käsittelyn aloittamista - Kun tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä. Producer - sääntely velvoittaisi lähinnä softan tekijöitä Profilointi - Lähtökohtaisesti kielletty. 6

EU:n uusi tietosuoja-asetuksen mukainen ilmoitusvelvollisuus Ilmoitusvelvollisuus tietoturvaloukkauksista laajenee Ehdotuksen mukaan rekisterinpitäjän tulee ilmoittaa henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin (Muutos: 72h) kuluessa sen ilmitulosta. Esimerkiksi rikoslain mukainen tietomurto ja henkilörekisteririkos Myös rekisteröidylle, jonka tietoja loukkaus koskee, tulee ilmoittaa tietyissä tilanteissa. Johto, tietosuojasta ja tietoturvasta vastaavat: Tarkistettava myös tietoturvaa koskevat järjestelyt, käytännöt ja ohjeistukset. Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (johto, IT-vastaava, lakimies ja viestintä). 7

Säilyttämisvelvoite Jokaisella rekisterinpitäjällä ja käsittelijällä Koskee siis controller- ja processor- roolissa olevia Käytännön haasteet kirkastuvat tietotilinpäätöstä tehdessä: Access rights liian laajaa, unohdetaan IT-palvelujen toimittajat Tietoa otettava ja säilytettävä järjestelmässä onko järjestelmä vain prosessikaavio miten käytännössä -> työn ohjauksen haasteet Tiedon virtojen käsittely ja säilyttäminen eri tasoissa - käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä Tietoa hallinnoidaan päällekkäisesti Arkistoinnin haasteet Dokumentaatio organisaation vastuulla tapahtuvista käsittelytoimista 8

Tietotilinpäätös prosessien kuvaajana Status check ja Sustainability check Status check: Tietojen käsittelyn nykytila Sanity Check: Kartoitetaan organisaation tietopääoman tila Kuvataan organisaation hallinnassa olevia tietovarantoja Compatibility Check Kuvataan organisaation tietovirtoja Kartoitetaan tietovarantojen hallinnan ja tietovirtojen yhteentoimivuutta Sustainability check: Tietosuojan toteutuminen ja kestävyys 9

Tietotilinpäätös välineenä Strategic, Internal & External Toolbox Strategisesti johdon ja riskienhallinnan työväline Kuvastaa miten tietopääomaa hallinnoidaan Raportti tietopääoman johtamisessa esille tulevista asioista Business Development Tool tukee liiketoiminnan kehittämistä ja sen seurantaa Valvonnallisesti lakisääteistä tilinpäätöstä täydentämään Sisäisen ja ulkoisen valvonnan tulisi kiinnittää huomiota itse tietotilinpäätösprosessiin Ei voida kokonaan automatisoida Ulkoisesti rakentaa luottamusta sidosryhmien keskuudessa Raportti tiedonkäsittelyn keskeisistä seikoista 10

EU:n uusi tietosuoja-asetus Tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän tulisi tietyin edellytyksin nimittää oma riippumaton tietosuojavastaava - Tietojenkäsittelyä suorittava yritys, jossa on vähintään 250 työntekijää Muutosehdotus: oikeushenkilö, joka käsittelee vähintään 500 rekisteröidyn tietoja vuodessa. - Rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät sellaisia käsittelytoimia, jotka luonteensa, laajuutensa ja / tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Muutosehdotus: jotka edellyttävät järjestelmällistä seurantaa tai profilointia. Tehtävänä neuvoa, seurata henkilötietojen suojaan liittyvien toimintamenetelmien sekä lainsäädännön täytäntöönpanoa ja soveltamista sekä seurata yhtiön käytäntöjä muiltakin osin. 11

Esimerkki tietotilinpäätöstiedot Case ICT - Eritelty keskeisin tietojen käsittelyä ohjaava sisäinen ohjeistus sekä lainsäädäntö - Koottu tietojen käsittelyn tärkeimmät tunnusluvut - Antaa kokonaiskuvan tietojen käsittelyn nykytilasta - Antaa arvion tietosuojan, tietoturvan ja yksityisyyden suojan toteutumisesta - Kirjattu toteutetut ja ehdotetut kehittämistoimenpiteet - Kirjattu havainnot toiminnan mittaamisen kehittämistarpeista - Tarkoitettu ensisijaisesti johdolle toiminnan ja tietosuojan kehittämisen työkaluksi - Suunnittelun, toiminnan ohjauksen, raportoinnin ja johtamisen tukena - Varmistetaan hyvän tietojenkäsittelytavan ja hyvän hallintotavan toteutuminen - Varmistetaan lainsäädännön noudattaminen - Täyttää (lainmukaisen) raportointivelvollisuuden tietosuojavaltuutetulle lokitietojen käsittelystä 12

Tietosuojavaltuutetun toimiston kanta 13

OPERATIONS - Sales database - Customer data - Supplier data - Marketing database FINANCE - Pricing data - Log and networks usage data - Payment data - Invoicing data - Book-keeping data - Controller data TIETO ASSETS - Networks & cloud - Services and product data - IPR and R&D - Other confidential data - Quality Assurance PEOPLE - HR database - Recruitment database - Alumni database - Testing and health care data - Payroll data 14

Compliance aloitettava uuden EU:n tietosuojaasetuksen vaatimustasolle jo nyt Voimaantulo aikaisintaan v. 2015 kahden vuoden siirtymäajalla. Suurta osaa ehdotuksen sisältämistä velvoitteista noudatettava jo nyt. Velvoitteiden laiminlyönnistä merkittäviä hallinnollisia seuraamuksia tietosuojavaltuutetun määräyksestä, enimmillään 1 milj. euroa tai 2 % yrityksen globaalista liikevaihdosta. - Tämä koskee lähtökohtaisesti kaikkia velvoitteita. Johto, tietosuojasta ja tietoturvasta vastaavat: Varmista jo nyt, että organisaatiosi henkilötietojen käsittely on nykyisen lain mukaista ja täsmennä tarvittaessa toimintatapoja. Siten siirtymä uuden regulaation piiriin ei ole niin suuri, kun käsittelyn oikeudellinen suunnittelu on kunnossa. 15

EU:n uusi tietosuoja-asetus Yhteenveto ja toimenpiteet Tietojen kartoitus Sisäiset tarkastusmenetelmät (tietotilinpäätös) Ohjeistukset, policy-asiakirjat, koulutus ja valvonta (yhteistoimintamenettely) Tietosuojavastaavan nimeäminen Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely Ilmoitukset tietoturvaloukkauksista Toimintasuunnitelma poikkeustilanteiden varalle. Vastuut organisaatiossa. Tietosuojavelvoitteiden täyttäminen on ennakoivaa riskienhallintaa ja edellyttää tietoturvasta huolehtimista johdon asia, mutta edellyttää henkilöstöltä osaamista. Henkilötietojen käsittelyn järjestäminen sääntelyn vaatimusten mukaisesti tuo organisaatiollenne kilpailuetua ja luottamusta asiakkaiden keskuudessa. 16

Kiitos! Lisätietoja: Maria Parker Lakipalvelut +358 40 726 8707 maria.parker@fi.pwc.com This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Oy, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2012 PricewaterhouseCoopers Oy. All rights reserved. In this document, refers to PricewaterhouseCoopers Oy which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute