GDPR READY 2018 KOULUTUSOHJELMA EU:N TIETOSUOJA-ASETUS. Terho Nevasalo, partner

Samankaltaiset tiedostot
E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Teknologia avusteiset palvelutverkostopalaveri

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetus ja sähköposti

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Henkilötietojen käsittelyn ehdot. 1. Yleistä

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

T E R H O N E V A S A L O

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:N TIETOSUOJA-ASETUKSET WALMU

Ajankohtaista tietosuoja-asetuksesta

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Vaikutustenarviointi GDPR:n mukaan

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

GDPR Tietosuoja-asetus

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietoturva yhdistyksessä

Henkilötietojen käsittelyn ehdot

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus (GDPR)

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste 1 (6)

Varustekorttirekisteri - Tietosuojaseloste

Tietosuoja-asetus Immo Aakkula Arkistointi

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuojaseloste 1 (5)

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Haminan tietosuojapolitiikka

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Sopimus henkilötietojen käsittelystä (DPA)

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

TIETOSUOJAILMOITUS DIDIVE-HANKE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

TIETOSUOJAA KOSKEVAT EHDOT

Tietosuojaseloste 1 (5)

Tämä henkilötietojen käsittelyä ja tietosuojaa koskeva sopimusliite on tehty seuraavien sopijapuolten (Rekisterinpitäjä ja Toimittaja) välillä.

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojaseloste Espoon kaupunki

Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

INHUNT LAW OY:N TIETOSUOJAILMOITUS

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU:n tietosuoja-asetus

LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

Uusi tietosuoja-asetus 2016 vaatimukset yhteisöille ja henkilökunnalle? Teppo Laine Asianajaja, osakas

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

GDPR-pikaopas. Demand more. Puh

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Tietosuojaseloste Espoon kaupunki

Kolarin kunnan tietosuojapolitiikka

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:n tietosuoja-asetus (2016/679)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

Tietosuojaseloste 1 (5)

Tietosuojaseloste Espoon kaupunki

Henkilötietojen käsittelyn ehdot

Tietosuojaseloste 1 (6)

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

1. Tausta ja tarkoitus. 2. Määritelmät

Transkriptio:

GDPR READY 2018 KOULUTUSOHJELMA EU:N TIETOSUOJA-ASETUS Terho Nevasalo, partner 31.5.2016 1

NYKYINEN SÄÄNTELY TULEVAT MUUTOKSET GDPR READY 2018 KICK-OFF! Ohjelma 31.5.2016 08.30-09.00 Aamukahvit ja verkottumista 09.00-09.15 Tilaisuuden avaus, Terho Nevasalo ja Rasmus Roiha 09.15-10.00 Tietosuoja-asetuksen muutokset yleisellä tasolla, osa I o Oman roolin tunnistaminen henkilötietojen käsittelyssä o Rekisteröidyn oikeudet o Rekisterinpitäjän velvollisuudet, mikä muuttuu? 10.00-10.15 Tauko 10.15-10.45 Tietosuoja-asetuksen muutokset yleisellä tasolla, osa II o Käsittelijän roolin muuttuminen, uudet vastuut ja velvoitteet o Oho! Käsittelyssä tapahtui moka kuka vastaa ja kuka maksaa? 2

NYKYINEN SÄÄNTELY TULEVAT MUUTOKSET Miksi koulutusohjelma? Hyväksytty EU:n yleinen tietosuoja-asetus, joka korvaa henkilötietodirektiivin ja kansalliset tietosuojalait (Suomessa henkilötietolain) Aikataulu: EU:n tietosuoja-asetus hyväksytty huhtikuussa 2016 Voimaan 25.5.2018 alkaen Muuttaa merkittävästi henkilötietojen käsittelyyn liittyviä oikeuksia ja velvollisuuksia (erit. käsittelijän osalta) Koulutusohjelman tarkoituksena on 1) havainnollistaa asetuksen sisältö sekä, 2) antaa valmiudet varautua asetuksen asettamiin vaatimuksiin ennen asetuksen voimaantuloa Koulutusohjelman seuraavat osat syksyllä/alkutalvella 2016 Yleisestä yksityiskohtaiseen! 3

HENKILÖTIETOLAINSÄÄDÄNNÖN TERMEJÄ Henkilötieto o Kaikkea tunnistettua ja tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa Rekisteröity o Luonnollinen henkilö, jota henkilötieto koskee (esim. yksittäistä henkilöä koskeva henkilötieto sähköisessä rekisterissä) Suostumus o Mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojen käsittelyn Rekisterinpitäjä (controller) o Esim. yritys, joka yksin tai yhdessä toisen tahon kanssa määrää henkilötietojen käsittelyn tarkoitukset ja keinot Käsittelijä (processor) 4 o Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun

EU:N TIETOSUOJA-ASETUS PÄHKINÄNKUORESSA Sama sääntely koko EU-alueelle; yrityksille ja rekisteröidyille yhden luukun periaate (one-stop-shop) Käsittelijöille itsenäinen vastuuasema suhteessa rekisteröityihin ja valvontaviranomaisiin Rekisterinpitäjien ja käsittelijöiden hallinnollisten velvollisuuksien merkittävä lisääntyminen: riskianalyysit ja vaikutustenarvioinnit sekä tietyissä tapauksissa tietosuojavastaavan nimittäminen Tietojenkäsittelyjärjestelmät: sisäänrakennettu ja oletusarvoinen tietosuoja elinkaarimalli ja henkilötietojen käsittelyn minimointi Valvontaviranomaisille sakotusoikeus Tietosuojasta tulee kilpailuoikeutta 5

ESIMERKKI: ICT-PALVELUIDEN SOPIMUSVERKOSTOT JA PILVIPALVELUT IT-toimittajan alihankkija (AMS-service) USA EU/ETA PILVIPALVELUT IT-toimittajan alihankkija (Iaas. Paas etc.) Rekisteröity (palvelun asiakas) Asiakas, Suomi ( pääkonttori ) Sopimusehdot tietosuojavelvoitteista ja vastuun jakamisesta osapuolten kesken Tietojen siirto EU:n/ETA:n ulkopuolelle One-stop-shop -periaate IT-toimittaja (SaaS-palveluntuottaja) 6

REKISTERÖIDYN OIKEUDET ENTISTÄ VAHVEMPINA Rekisteröidyn oikeus määrätä henkilötiedoista vahvistuu; rekisteröidyn oikeus tutustua omiin henkilötietoihinsa parantuu henkilötietojen käsittelyyn tarvitaan henkilön yksilöity, tietoinen ja yksiselitteinen suostumus rekisteröidyllä on oikeus siirtää tietoja palveluntarjoajalta toiselle (data portability) rekisteröidyllä on oikeus saada korjattua mahdolliset virheelliset henkilötiedot tai poistaa ne oikeus rajoittaa henkilötietojensa käsittelyä rekisteröidyllä oikeus "tulla unohdetuksi alaikäisten henkilötietojen käsittelyyn vanhempien lupa (13v-16v) 7

MILLOIN HENKILÖTIETOJEN KÄSITTELY OIKEUTETTUA Henkilötietojen käsittely on lainmukaista, jos sille on vähintään yksi seuraavista perusteista (6 art.): o Rekisteröidyn suostumus o Sopimuksen täytäntöön paneminen tai edeltävien toimenpiteiden toteuttaminen o Rekisterinpitäjän lakisääteisen velvoitteen noudattaminen o Rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaaminen o Rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on alaikäinen o Tarpeen yleisen edun vuoksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi toteutetun tehtävän suorittamiseksi 8

REKISTERINPITÄJÄN JA KÄSITTELIJÄN SUHDE Missä roolissa toimitaan? Toimiiko yritys käsittelijänä ja rekisterinpitäjänä Oman yrityksen työntekijöitä koskevat tiedot vs., Asiakasyrityksen palvelusopimuksella luovuttamat henkilötiedot Rekisterinpitäjän ja käsittelijän väliselle sopimussuhteelle nimenomaisia sisältövaatimuksia; toisaalta sopimusvapaus tehtävien jakamisessa Sopimussuhteessa määriteltävä mm., miten rekisteröityjen oikeudet käytännössä toteutetaan (esim. tietojen tarkastus, poisto ja oikaisu) Rekisteröity/tietosuojavaltuutettu voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään että käsittelijään Olennaista jatkossa: sopimuksissa syytä määritellä tarkasti, mistä kumpikin osapuoli käytännössä vastaa; lisäksi huolehdittava siitä, että sopimukset kattavat kaikki pakolliset lausekkeet 9

Organisaatio: Johdon ja työntekijöiden tehtävä- ja vastuujako Tietosuojavastaavan nimittäminen Salassapitovelvoitteet Henkilöstön kouluttaminen Compliance-ohjelma Prosessit ja toimintatavat: Tietojen käsittelyperusteet Kirjanpito käsittelytoimista Rekisteröityjen oikeudet Vaikutusten- ja riskienarviointi Tietoturvaloukkausilmoitukset Tietojen siirto EU:n/ ETA:n ulkopuolelle REKISTERINPITÄJÄN VELVOLLISUUDET - JA HENKILÖTIETOJEN KÄSITTELIJÄ OSANA KOKONAISUUTTA REKISTERINPITÄJÄ: ACCOUNTABILITY Lawfulness, fairness and transparency Purpose limitation Data minimisation Sisäänrakennettu ja oletusarvoinen tietosuoja Accuracy Storage limitation Integrity and confidentiality Henkilötietojen käsittelijä: Rekisterinpitäjä saa käyttää ainoastaan GDPR:n laatuvaatimukset täyttäviä käsittelijöitä Tekniikka: State of the art -teknologia Tietojenkäsittelyn turvallisuus Sopimukset ja dokumentit: Sopimusten tietosuojalausekkeet Organisaatioon, prosesseihin ja toimintatapoihin liittyvät asiakirjat Käytössä, testattuna ja toimivana, 25.5.2018 mennessä

YLEISIÄ VELVOLLISUUKSIA - REKISTERINPITÄJÄ Toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan asetusta Otettava huomioon käsittelyn luonne, laajuus, asiayhteys, tarkoitukset, yksilöiden oikeuksiin ja vapauksiin kohdistuvien riskien todennäköisyys ja vakavuus Toteutettava toimenpiteet sen varmistamiseksi, että sen alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, saa käsitellä niitä ainoastaan ohjeiden mukaisesti Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, eheys ja luottamuksellisuus Osoituksena velvollisuuksien noudattamisesta: Hyväksyttyjen käytännesääntöjen noudattaminen Hyväksytyn sertifiointimekanismin noudattaminen 11

HENKILÖTIETOJEN KÄSITTELIJÄ ASEMA JA VASTUU 12

HENKILÖTIETOJEN KÄSITTELIJÄN OIKEUDELLINEN ASEMA, YLEISTÄ Käsittelee henkilötietoja rekisterinpitäjän asemassa olevan organisaation puolesta ja lukuun ei sallittua käsitellä henkilötietoja omiin tarkoituksiin Sopimussuhteessa määriteltävä mm., miten rekisteröityjen oikeudet käytännössä toteutetaan siis mm.: rekisteröidyn oikeus tarkastaa sekä saada oikaistuksi ja poistetuksi tietoja Rekisteröity (sekä valvontaviranomainen) voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään että käsittelijään (huom. kuitenkin: ei vastuuta, jos rekisterinpitäjä/käsittelijä voi osoittaa, ettei ole vastuussa ao. virheestä) Rekisterinpitäjän antamilla henkilötietojen käsittelyn ohjeilla keskeinen merkitys: mutta henkilötietojen käsittelijällä velvollisuus arvioida tilanne ja noudattaa asetuksen määräyksiä o o Tulkinta: mitä asioita käsittelijän pitää selvittää/tietää? Käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos ohjeistus hänen mielestään rikkoo tätä asetusta taikka unionin tai jäsenvaltion tietosuojasäännöksiä. 13

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA SOPIMUS KÄSITTELIJÄN VELVOLLISUUDET Sopimuksessa henkilötietojen käsittelijä sidotaan rekisterinpitäjään Vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet Lisäksi erityisesti säädetään, että henkilötietojen käsittelijä mm.: Käsittely ainoastaan rekisterinpitäjän kirjallisten ohjeiden mukaisesti, Toteuttaa kaikki 30 artiklassa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet koskien tietoturvallisuutta; Sovittava käytännöt alihankkijoiden käyttämiseksi (rekisterinpitäjän erityinen ennakkolupa); Auttaa rekisterinpitäjää vastaamaan rekisteröityjen tietopyyntöihin vaikutustenarvioinnin tekemistä ja valvontaviranomaisen ennakkokuulemista noudatetaan; Palauttaa tai poistaa tietojenkäsittelypalvelun tarjoamisen päätyttyä ko. henkilötiedot; sallii rekisterinpitäjän tai sen nimittämän auditoijan suorittamat tarkastukset. Pääsääntöisesti palvelusopimukset eivät kata uuden tietosuoja-asetuksen vaatimuksia! 14

HENKILÖTIETOJEN KÄSITTELYN TURVALLISUUS Toteutettava state of the art tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason, esimerkiksi: o Henkilötietojen pseudonymisointi ja salaus; o Varmistettava jatkuva järjestelmien ja palveluiden luottamuksellisuus, eheys, käyttökelpoisuus ja vikasietoisuus; o Järjestelmä palauttaa datan ja mahdollistaa pääsyn dataan teknisissä ongelmatilanteissa; o Järjestelmässä prosessit teknisten ja organisatoristen tietoturvamenetelmien säännöllistä testausta varten sekä niiden tehokkuden arvioimista varten Varmistettava, että jokainen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, saa käsitellä niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti Turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti; o tietojenkäsittelyn aiheuttamiin riskeihin à erityisesti henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen tai luvattoman luovuttamisen vuoksi Hyväksyttyjen käytännesääntöjen tai sertifiointia voidaan käyttää keinoa osoittaakseen, että tietoturvavaatimuksia noudatetaan

SEURAAMUKSET: VAHINGONKORVAUSVASTU Vastuu vahingoista GDPR:n mukaan: Kenelle tahansa aiheutuneet aineelliset tai aineettomat vahingoista tietojenkäsittelystä, joka ei ole asetuksen mukaista Koskee sekä rekisterinpitäjä- että käsittelijäasemassa olevia organisaatioita Vastuunjako: 1) rekisterinpitäjä vastuussa vahingosta, joka on aiheutunut käsittelystä, joka ei ole GDPR:n mukainen; 2) henkilötietojen käsittelijä vastuussa ainoastaan, jos se ei ole noudattanut käsittelijöille osoitettuja GDPR:n velvoitteita tai se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti 16

SEURAAMUKSET: VAHINGONKORVAUSVASTU Todistustaakka rekisterinpitäjällä tai käsittelijällä: Osoitettava, ettei ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta Yhteisvastuu: Jos useampi osallistuja tietojenkäsittelyssä, ja ne ovat vastuussa aiheutuneesta vahingosta, kukin rekisterinpitäjä tai käsittelijä vastuussa koko vahingosta (takautumisoikeus muita vahingonaiheuttajia kohtaan) Sopimuksen osapuolilla mahdollisuus sopia korvausvastuun jakamisesta keskinäisessä suhteessaan sopimusehdot kannattaa laatia huolellisesti 17

SEURAAMUKSET: HALLINNOLLISET SAKOT 1) Vähäisemmät tietosuojarikkomukset, mm. koskien artiklojen 8,10, 23-39a määräyksiä (rekisterinpitäjän ja käsittelijän velvollisuuksien rikkominen, artiklat 8, 10, 23 39a) 2) Merkittävät tietosuojarikkomukset, mm. henkilötietojen käsittelyn perusperiaatteiden rikkominen, siirto kolmansiin maihin, rekisteröityjen oikeuksien toteutuminen (Art. 5-7,9,12-20, 40-44) Lähtökohta: sakkojen määrääminen oltava yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa 18 1) Sakko enintään 10 Meur, tai 2 prosenttia edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta (kumpi suurempi) 2) Sakko enintään 20 Meur tai 4 prosenttia edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta (kumpi suurempi)

KÄYTÄNNÖN TOIMENPITEET - COMPLIANCE Nykytilan arviointi - Käsittelyn perusteet - Roolin tunnistus Sopimusten läpikäynti - Palvelu- ja alihankintasopimusten tarkastus Tietojärjestelmät Dokumentaatio - Tietosuojan käsikirja - Tietojärjestelmiin liittyvien käsittelyprosessien läpikäynti 2016 2017 2018 Vuositarkastus - Vuosittainen status check, onko tarvetta laajemmalle arvioinnille Koulutusohjelmassa tullaan vuosien 2016-2018 käymään yksityiskohtaisesti läpi rekisterinpitäjän ja käsittelijän velvollisuuksia varmista paikkasi ohjelmassa! 19

SPECIALIZED IN THE ESSENTIAL Terho Nevasalo Partner terho.nevasalo@hpplaw.fi Mobile +358 40 5587581 Hammarström Puhakka Partners Attorneys Ltd Bulevardi 1 A, FI-00100 Helsinki, Finland Tel. +358 9 474 21 Fax +358 9 474 2222 www.hpplaw.com

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute