Verkostokehittäjät-hanke 22.9.2016 Tietosuoja ja tietoturvallisuus 1
2
Esityksen sisältö Käsitteitä Juridiikkaa Miksi? Rekisteröidyn oikeudet Rekisterinpitäjän velvollisuudet Rekisterinpitäjän tarkistuslista Tietoturvan toteuttaminen Tietosuojavastaava Linkkejä 3
4
Käsitteitä Tietosuoja tarkoittaa henkilötietojen turvallista käsittelyä siten, ettei henkilöiden yksityisyyden suojaa tai oikeusturvaa vaaranneta. Tietoturvallisuus muodostuu sellaisista käytännön toimenpiteistä, joiden tarkoituksena on varmistaa tiedon saatavuus, eheys ja käytettävyys sekä tietojen salassapito ja tietojen rajatut käyttöoikeudet. 5
Käsitteitä Henkilötieto Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Rekisteröity Rekisteröidyllä tarkoitetaan henkilöä, jota henkilötieto koskee. Rekisterinpitäjä Rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. 6
Käsitteitä Arkaluonteiset tiedot Henkilötietolain mukaan arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan: Rotua tai etnistä alkuperää; henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista; rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta; henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia; henkilön seksuaalista suuntautumista tai käyttäytymistä; henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. 7
8
9
Juridiikkaa Henkilötietojen suojaamista säätelevät lukuisat lait, ainakin HENKILÖTIETOLAKI TIETOYHTEISKUNTAKAARI TYÖELÄMÄN TIETOSUOJALAKI JULKISUUSLAKI LAKI SÄHKÖISESTÄ ASIOINNISTA LAKI TIETOYHTEISKUNNAN PALVELUISTA LAKI SANANVAPAUDEN KÄYTTÄMISESTÄ POTILASLAKI RIKOSLAKI SOSIAALIHUOLLON ASIAKASLAKI SOSIAALIHUOLTOLAKI 10
Juridiikkaa Kansallisten lakien yllä tietosuojaa ohjaa jatkossa EU:n tietosuoja-asetus Tullee voimaan 1.1.2018 Vaikutukset syytä ottaa kaikkien huomioon jo nyt 11
Miksi? Tietojen suojauksella turvataan mm: oikeuksiemme puolustaminen perusoikeuksiemme toteutuminen ihmisarvoinen kohtelu yksilön itsemääräämisoikeus kunnia syrjimättömyys yhdenvertaisuus kansalaisina sananvapaus osallistuminen yhteiskunnalliseen päätöksentekoon 12
13
Rekisteröidyn oikeudet Oikeus tietää, vaikuttaa ja päättää missä omia tietoja on, miten niitä käsitellään, mihin niitä voidaan luovuttaa ja miten ne voi poistaa Tarpeellisuus- ja virheettömyysvaatimus, oikeus korjata omat tiedot Oikeus vaatia, että tiedot käsittelee ihminen esim. pisteytys Oikeus saada tiedot koneellisessa muodossa Mahdollisuus kilpailuttaa tiedoilla Oikeus tietojen poistoon (tulla unohdetuksi) 14
15
Rekisterinpitäjän velvollisuuksia Suunnitella rekisterin käyttö asianmukaisiin tarkoituksiin Huolehtia tietojen huolellisesta säilyttämisestä ja virheettömyydestä Huolehtia, että tiedot on suojattu ja niitä luovutetaan vain asianmukaisiin tarkoituksiin Huolehtia tietojen poistosta asianmukaisen tarpeen päätyttyä Kertoa rekisteröidylle rekisteröinnistä ja rekisteröidyn oikeudet (rekisteriseloste) 16
Rekisterinpitäjän tarkistuslista Määrää tietosuojavastaava Analysoi henkilötietovarastot ja poista turhat Tee riskiarvio, muista sopimuskumppanit Laadi ohjeet ja suunnitelmat Huolehdi tietoturvasta, käytä salauksia Huolehdi henkilöstön osaamisesta Valvo tietojen käyttöä Tunnista lainsäädäntö ja käytä lakeja 17
18
Tietoturvan toteuttaminen Toimintaa ohjaavat Tietoturvapolitiikka ja Tietosuojaperiaatteet Julkiset rekisteriselosteet laadittu kaikista rekistereistä Kohtelemme oikeudenmukaisesti ja yhdenvertaisesti kaikkia toimintamme piirissä olevia ihmisiä: työntekijöitä, asukkaita, asiakkaita, yhteistyökumppaneita. Tietoturva ja henkilötietojen suojaaminen on kaikkien tehtävä, vastuu ylimmällä johdolla. 19
Tietoturvan toteuttaminen Fyysinen suojaus Lukitut tilat ja kaapit Henkilöiden tunnistaminen ja ohjaaminen Digitaalinen suojaus Tunnistautuminen Pääsynhallinta, käyttöoikeudet Palomuurit, salaukset Käytön valvonta Käyttäjähallinnan prosessit sujuvat ja täsmälliset 20
Tietoturvan toteuttaminen, työntekijät Jokainen allekirjoittaa vaitiolositoumuksen Jokainen täyttää tietosuojatyökirjan, jonka avulla varmistetaan, että työntekijä käsittelee vain työssään tarvitsemia tietoja tietää tietojen luovutuksen edellytykset ja toimintatavat ymmärtää rekisteröidyn oikeudet ja omat velvollisuudet Työntekijöiden koulutuksesta huolehditaan Myös työntekijät ovat rekisteröityjä ja heidän oikeuksistaan on huolehdittava 21
22
Työkirja, esimerkki 23
Tietoturvan toteuttaminen, muut sidosryhmät Ulkoistamisessa huomioitu tietoturvallisuus ja tietosuoja-asiat Esimerkiksi toimittajasopimuksissa huolehditaan turvallisen ja suojatun tiedonkäsittelyn toteutumisesta Yhtä lailla myös yhteistyötahoista pidetyt rekisterit suojattava asianmukaisesti 24
Tietoturvan toteuttaminen, ohjeet ja koulutukset Johdetaan tietoturvapolitiikasta ja tietosuojaperiaatteista Julkaistaan intranetissä Koko henkilöstö koulutetaan perusteisiin Tietoturvallisuuskortti Uusien työntekijöiden perehdytyksen yhteyteen tietopaketti 25
26
Tietosuojavastaava Pakollinen mm. käsiteltäessä arkaluontoisia tietoryhmiä sähköisesti Yritysryhmällä voi olla yhteinen Yhteystiedot julkistettava ja ilmoitettava tietosuojavaltuutetun toimistoon 27
Tietosuojavastaavan tehtäviä Erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa EI päätä johdon puolesta Osallistuu henkilötietojen käsittelyn suunnitteluun tietoturva- ja tietosuojaohjeiden valmisteluun ja ylläpitoon Suojausmenetelmien luomiseen, seuraamiseen ja valvontaan tietosuojakoulutusten toteuttamiseen henkilöstön ja rekisteröityjen tukemiseen tietosuoja-asioissa Toimii yhdyssiteenä viranomaisiin Raportoi johdolle tietosuojan tilasta ja kehitystarpeista 28
Seuraamukset Mikäli henkilötietojen suojaaminen laiminlyödään voi sakko enimmillään olla 20 M tai 4% liikevaihdosta, riippuen kumpi on suurempi (v. 2018 alusta) Tietoturvallisuuden laiminlyömisestä seurauksena voi pahimmillaan olla mittaamatonta vahinkoa yrityksen tai yhteisön toimintaedellytyksille ja maineelle 29
30
Linkkejä Tietosuoja-asioista, tietosuojavaltuutettu: Tietosuoja.fi Tietoturvan suunnittelusta ja toteutuksesta: Tietojesiturvaksi.fi 31
Kiitos! 32