EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään?

Samankaltaiset tiedostot
EU:n tietosuoja-asetus verkkokaupan näkökulmasta

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojan toteuttaminen käytännössä

Tietosuojasta menestystekijä?!

Täyttyvätkö uudet tietosuojavaatimukset?

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Haminan tietosuojapolitiikka

Tietosuoja-asetuksen sudenkuopat

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Termit. Tietosuojaseloste

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Salon kaupunki , 1820/ /2018

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

GDPR Tietosuoja-asetus

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Salon kaupunki / /2018

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

UKTY ry:n asiakasrekisterin tietosuojaseloste

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojaseloste 1 (5)

WORKSPACE OY REKISTERISELOSTEET

Ajankohtaista tietosuoja-asetuksesta

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Organisaatioluvan hakeminen

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Varustekorttirekisteri - Tietosuojaseloste

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tietosuoja-asetus (GDPR)

Tiedon elinkaaren hallinta Henkilötietojen suoja

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste/Rekisterinpitäjän informointi rekisteröidylle

Tietosuoja-asetus Immo Aakkula Arkistointi

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Tietosuojaseloste 1 (6)

Tietosuojavaltuutetun toimiston tietoisku

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tietosuojaseloste Espoon kaupunki

siniset tarkoittavat linkkejä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

GDPR-pikaopas. Demand more. Puh

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste Espoon kaupunki

Tietoturva yhdistyksessä

OUKA/10235/ /2017

Rekisteri- ja tietosuojaseloste

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tampereen Aikidoseura Nozomi ry

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Pilvipalvelut ja henkilötiedot

SELOSTE TIETOSUOJA-ASETUKSEN INFORMOINTIVELVOITTEEN EDELLYTTÄMISTÄ TIEDOISTA. Laatimispvm 1. Rekisterinpitäjä

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Informaatiovelvoite ja tietosuojaperiaate

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Dahua-kameravalvonta Kupariteollisuuspuistossa - tietosuojaseloste

EU:n tietosuojaasetus: valmis?

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Tietosuoja-asetus ja sen kansallinen implementointi

Rekisteri- ja tietosuojaseloste

Tietosuojaseloste 1 (6)

Tietosuojaseloste 1 (5)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tietosuojaseloste Espoon kaupunki

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Tietosuojaseloste Espoon kaupunki

T E R H O N E V A S A L O

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

OPPILASREKISTERISELOSTE

Teknologia avusteiset palvelutverkostopalaveri

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Transkriptio:

EU:n tietosuoja-asetus mikä muuttuu vai muuttuukö mikään? TDWI Finland 11.11.2014 Eija Warma, Counsel Data Protection & Privacy 1

Data privacy is a consequence of data protection measures taken 2

Henkilötiedon käsittelyn elinkaari Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja - käytännöt Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet Huolehdi ilmoitukset viranomaiselle Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kielto-oikeuden käyttö Ylläpidä tietosuojaohjeistukset ja rekisteriselosteet - Huolehdi saatavuudesta tietoja kerättäessä Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (komission mallisopimuslaus ekkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 3

Uusi tietosuoja-asetus - aikataulu Data Protection Directive 95/46/EC 25 January 2012 European Commission s proposal for new data protection rules 17 December 2012 The Albrecht Report 31 May 2013 The European Council s compromise proposal: Key issues Chapters 1-4 21 October 2013 The Committee on Civil Liberties, Justice and Home Affairs (LIBE) voting on the proposal 12 March 2014 The European Parliament voted for the proposal The final decision is postponed over the elections to end of the year 2014 June 2014 The European Council voted on the proposal 4

Mikä käytännössä muuttuu vai muuttuuko mikään? 5

Soveltamisala 2/3 art. Aineellinen soveltamisala: Osittain tai kokonaan automatisoitu henkilötietojen käsittely Manuaalinen käsittely, joka muodostaa rekisterin osan Alueellinen soveltamisala: Käsittely suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai käsittelijän toimipaikassa Unionissa asuvia rekisteröityjä koskevien tietojen käsittely, jossa rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittely liittyy: Tavaroiden tai palvelujen tarjoamiseen, tai Rekisteröityjen käyttäytymisen seurantaan 6

Henkilötietojen käsittelijä 26/27 art. Käsittelijän annettava takeet, että riittävä tietoturva huomioidaan ja käsittely täyttää asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun Sovittava kirjallisesti henkilötietojen käsittelystä Käsittelijän tallennettava kirjallisesti rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet 7

Asiakirjat ( rekisteriseloste ) 28 art. Jokaisen rekisterinpitäjän ja käsittelijän säilytettävä asiakirjat kaikista käsittelytoimista Ei koske rekisterinpitäjiä/käsittelijöitä: jos luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista tarkoitusta, tai yritys (henkilöstö alle 250) ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona Asiakirjoissa oltava seuraavat tiedot: rekisterinpitäjä, tietosuojavastaava, käsittelyn tarkoitus, kuvaus rekisterin tietoryhmistä, kenelle tietoja luovutetaan/siirretään, milloin tiedot tuhotaan ja kuvaus art. 22.3 tarkoitetuista mekanismeista 8

Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle 31 art. Jos tapahtuu tietoturvaloukkaus, ilmoitettava viranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 72 tunnin kuluessa sen ilmitulosta Käsittelijän ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle heti kun se on tullut ilmi Ilmoituksessa: kuvattava tietoturvaloukkaus, tietosuojavastaavan yhteystiedot, suositeltavat toimenpiteet joilla lievennetään loukkauksen mahdollisia haittavaikutuksia, kuvattava tietoturvaloukkauksen seurauksia, kuvattava toimenpiteet, joita rekisterinpitäjä ehdottanut/toteuttanut loukkauksen johdosta Rekisterinpitäjän dokumentoitava KAIKKI henkilötietojen tietoturvaloukkaukset; ml. vaikutukset ja toteutetut korjaavat toimenpiteet 9

Tietoturvaloukkauksista ilmoittaminen rekisteröidylle 32 art. Kun tietoturvaloukkauksella todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle/yksityisyydelle, ilmoitettava myös rekisteröidylle ilman aiheetonta viivytystä Tässä ilmoituksessa annettava ainakin tietosuojavastaavan yhteystiedot ja suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkausten mahdollisia haittavaikutuksia Ei tarvitse ilmoittaa rekisteröidylle, jos osoittaa valvontaviranomaisia tyydyttävällä tavalla, että toteuttanut asianmukaiset tekniset suojatoimenpiteet JA ko. toimenpiteitä sovellettu loukkauksen kohteena oleviin tietoihin. Tällaisten toimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole kolmansille osapuolille ymmärrettävässä muodossa 10

Tietosuojaa koskeva vaikutustenarviointi 33/34 art. Jos henkilötietojen käsittelyyn liittyy riskejä, laadittava arvio suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle Erityisiä riskejä liittyy seuraaviin käsittelytoimiin: profilointi, terveyteen/seksuaaliseen suuntautumiseen liittyvät tiedot, videovalvonta suuressa mittakaavassa, lapsia tai geneettisiä/biometrisiä tietoja koskevat suuren mittakaavan rekisteröintijärjestelmät, jos valvontaviranomainen katsoo tarpeelliseksi Arvio pitää sisällään: yleiskuvaus käsittelytoimista ja arvio riskeistä toimet, joilla riskeihin on tarkoitus puuttua takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja vaatimusten noudattaminen 11

Tietosuojavastaavan nimeäminen 35 art. Rekisterinpitäjän/käsittelijän nimitettävä tietosuojavastaava aina kun: käsittelyä suorittaa viranomainen tai julkishallinnon elin käsittelyä suorittaa yritys, jossa vähintään 250 henkilöä rekisterinpitäjän/käsittelijän tehtävät muodostuvat sellaisista toimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa Yritysryhmä voi nimittää vain yhden tietosuojavastaavan määräajaksi voi olla myös ulkopuolinen taho Otettava huomioon henkilön ammattipätevyys, erit. tietosuojalainsäädäntöä ja alan käytäntöjä koskeva asiantuntemus sekä valmius suorittaa hänelle määrätyt tehtävät 12

Siirrot kolmansiin maihin 40-45 art. Mekanismit pysyvät ennallaan Riittävän tietosuojatason omaavat maat Siirto asianmukaisten takeiden perusteella Siirto yritystä koskevien sitovien sääntöjen perusteella Binding Corporate Rules Poikkeukset 13

Hallinnolliset seuraamukset 79 art. 250.000 tai 0,5% globaalista liikevaihdosta Asetuksen edellyttämien prosessien laatimatta jättäminen rekisteröityjen esittämiä pyyntöjä varten Rekisteröidyn tarkastus-, korjaamis-, kielto-, yms. pyyntöihin vastaamatta jättäminen Maksun periminen tarkastusoikeuden käyttämisestä LIBE KOMITEA JA PARLAMENTTI: EUR 100 000 000 tai 5 % globaalista vuotuisesta liikevaihdosta, kumpi on suurempi 14

Hallinnolliset seuraamukset 79 art. 500.000 tai 1% globaalista liikevaihdosta Rekisteröidyn informointi ei ole selkeää Tarkastusoikeuden kieltäytymiselle ei esitetä (selkeitä) perusteita Oikeutta tulla unohdetuksi laiminlyödään Data portability -velvoite laiminlyödään Yhteisrekisterinpitäjyyden vastuita ei ole määritelty Sananvapautta, työntekijän henkilötietojen käsittelyä, historiantutkimusta, tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytysten laiminlyönti 15

Hallinnolliset seuraamukset 79 art. 1.000.000 tai 2% globaalista liikevaihdosta Käsittelyperusteen laiminlyönti Vaatimukset täyttävän tietosuojavastaavan nimittämättä jättäminen Rekisteröidyn kielto-oikeuksien laiminlyönti Sertifikaatin väärinkäyttö Profilointia koskevien säännösten laiminlyönti Kansainvälisten siirtojen velvoitteiden laiminlyönti Suunnittelu- ja tietoturvavelvoitteiden laiminlyönti Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Edustajan nimittämättä jättäminen Valvontaviranomaisen kiellon tai määräyksen noudattamatta jättäminen Tietoturvaloukkausta koskevan ilmoitusvelvollisuuden laiminlyönti Vaikutusarvioinnin laiminlyönti Salassapitovelvollisuuden takaamista koskevien sääntöjen laiminlyönti Tietojen käsittely ilman viranomaisen ennakkolupaatai kuulemista 16

Miten valmistautua tulevaan? 17

Henkilötiedon käsittelyn elinkaari Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja - käytännöt Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet Huolehdi ilmoitukset viranomaiselle Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kielto-oikeuden käyttö Ylläpidä tietosuojaohjeistukset ja rekisteriselosteet - Huolehdi saatavuudesta tietoja kerättäessä Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Kansainvälisten tiedonsiirtojen hallinta - Varmista tietojen sijainti - Varmista riittävä tietosuojan taso EU:n ulkopuolisissa maissa (komission mallisopimuslaus ekkeet, BCR, Safe Harbor) Ylläpidä rekisteröidyn oikeuksia - Tarkastusoikeus - Oikeus vaatia tietojen korjausta /poistoa - Kielto-oikeus Ylläpidä tietoturvaa ja poista tarpeeton tieto - Pidä tieto ajantasaisena, oikeana ja suojeltuna - Hävitä tarpeettomat tiedot säännöllisesti Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 18

Kiitos! Eija Warma, Counsel, Data Protection & Privacy Asianajotoimisto Castrén & Snellman Oy eija.warma@castren.fi 19

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute