Digitaalisen liiketoiminnan tietosuojafoorumi Päivi Antikainen Tietoliiketoimintayksikön johtaja

Samankaltaiset tiedostot
Trafin tietotilinpäätös

Tietotilinpäätös. Vastuullinen liikenne. Rohkeasti yhdessä.

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojafoorumi

Mikä GDPR? General Data Protection Regulation

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

IF-INFO MEKLAREILLE

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Ajankohtaista tietosuoja-asetuksesta

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

EU:n tietosuoja-asetus (GDPR)

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetus (GDPR)

#Liikennelabra goes avoin data

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Tietosuoja-asetus ja sen kansallinen implementointi

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU:n tietosuoja-asetus Matti Sarmela

T E R H O N E V A S A L O

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Haminan tietosuojapolitiikka

EU TIETOSUOJA- ASETUS

Teknologia avusteiset palvelutverkostopalaveri

Eläketurvakeskuksen tietosuojapolitiikka

Tiedon elinkaaren hallinta Henkilötietojen suoja

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Miten valmistautua EU:n tietosuoja-asetukseen?

GDPR. Timo Kokkonen Webinaari

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja Euroopassa ja yhteistyö. Helena Raula Juhta/VAHTI tietosuojan yhteishankkeen päätöseminaari

GDPR-pikaopas. Demand more. Puh

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

GDPR Tietosuoja-asetus

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Vaikutustenarviointi GDPR:n mukaan

EU:N UUSI TIETOSUOJA- ASETUS

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuojatehtävät. Järvenpään kaupungissa

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Selonteko julkisen talouden suunnitelmasta vuosille Liikenne- ja viestintävaliokunta Osastopäällikkö Tomi Harju

EU:n tietosuoja-asetus ja tieteellinen tutkimus

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Selonteko julkisen talouden suunnitelmasta vuosille Liikenne- ja viestintävaliokunta Hallintojohtaja Juhani Nikula

EU:n tietosuoja-asetus - vaikutukset kuntiin. Lakiklinikka Kuntamarkkinat OTT, VT lakimies Ida Sulin

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Tietosuoja-asetus Immo Aakkula Arkistointi

Alltime Oy Tietosuoja-Asetus (GDPR)

Koulutuskiertue

Ulvilan kaupungin tietosuojapolitiikka

Eu:n uusi tietosuojaasetus

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Kolarin kunnan tietosuojapolitiikka

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Sofia Wilson

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Kokemuksia ja näkemyksiä tietosuojaasetuksen

EU:N TIETOSUOJA-ASETUKSET WALMU

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

1 Tietosuojapolitiikka

Hanki myös itse koulutusta säännöllisesti UKK-dokumentin tekeminen Verkkokoulutusohjelma testeineen Blogi/muu sisäinen viestintä

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

TIETOSUOJAPOLITIIKKA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tutkittavan informointi ja suostumus

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

SELVITYKSIÄ JA OHJEITA UTREDNINGAR OCH ANVISNINGAR. Miten valmistautua EU:n tietosuoja-asetukseen?

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Transkriptio:

Digitaalisen liiketoiminnan tietosuojafoorumi 22.11.2016 Päivi Antikainen Tietoliiketoimintayksikön johtaja 1

Tietosuojafoorumin tavoitteet Lisätä yritysten valmiuksia tietosuoja-asetuksen voimaantuloon Hyvien käytäntöjen jakaminen Keskustella tietosuoja-asetuksen luomista uudenlaisista mahdollisuuksista tiedon hyödyntämiseen Tukea tietosuoja-asetuksen kansallista säädösvalmistelua 2

Päivän teema: tietosuoja-asetuksen siirtymäaika ja osoitusvelvollisuus 12.30 13.50 Alustukset Tietosuoja-asetus: ajankohtaiskatsaus ja johdatus päivän teemaan, Reijo Aarnio, tietosuojavaltuutettu Näin meillä lähdettiin liikkeelle Tietotilinpäätös, Leila Hanhela- Lappeteläinen, Trafi Tietosuoja kuntoon tietosuojasta kilpailuetua, Harri Vilander, Nixu Oyj Kahvitauko 14.00 Työpajat 14.30 Työpajojen purku 3

EU:n yleinen tietosuoja-asetus: Osoitusvelvollisuus LVM:n tietosuojafoorumi 22.11.2016 Tietosuojavaltuutettu Reijo Aarnio TIETOSUOJAVALTUUTETUN TOIMISTO

Ajankohtaiskatsaus Euroopan unionin tasolla Kansallisella tasolla Tietosuojavaltuutetun toimiston tasolla TIETOSUOJAVALTUUTETUN TOIMISTO 2

Osoitusvelvollisuus Organisaation tulee kyetä osoittamaan, että se on huolehtinut tietosuoja-asetuksen mukaisista velvoitteista ( documented compliance ) 1) Tunnistetaan tietosuoja-asetuksen asettamat velvoitteet omalle toiminnalle 2) Dokumentoidaan tarvittaessa toimintaperiaatteet velvollisuuksien toteutumiselle TIETOSUOJAVALTUUTETUN TOIMISTO 3

Toimintaohjeita henkilötietoja käsitteleville organisaatioille 1) Määritä tietosuojan isäntä 2) Toimi ennakoivasti 3) Analysoi henkilötietovarantosi 4) Tee riskiarvio; arvio myös sopimuksesi 5) Käsittelyn oikeusperusteen määrittäminen 6) Ota huomioon rekisteröityjen oikeudet 7) Toimiiko organisaatioisi kansainvälisellä tasolla? 8) Huolehdi tietoturvasta 9) Henkilötietojen tietoturvaloukkaus 10) Seuraa tiedottamista TIETOSUOJAVALTUUTETUN TOIMISTO 4

Määritä tietosuojan isäntä (tietosuojavastaava) Tuleeko organisaatiossa tietosuoja-asetuksen mukaan nimetä tietosuojavastaava (vrt. 37 art.) Tietosuojavastaava voidaan nimittää, vaikka asetus ei tähän velvoita Tehtävänä on muun muassa seurata, että organisaatiossa noudatetaan tietosuojalainsäädäntöä ja toimia tarvittaessa valvontaviranomaisen yhteyspisteenä tietosuojavastaava ei esim. vastaa henkilötietojen käsittelyn lainmukaisuudesta! TIETOSUOJAVALTUUTETUN TOIMISTO 5

Toimi ennakkoivasti Ennakointi halvempaa! Tietosuoja-asetuksesta seuraavien toimenpiteiden laatu ja laajuus riippuu esimerkiksi käsiteltävistä henkilötiedoista ja nykyisistä käytännöistä Erityisesti organisaation johdon tulee olla tietoinen lainsäädännössä tapahtuvista muutoksista sekä niiden vaikutuksesta organisaation omiin toimintoihin TIETOSUOJAVALTUUTETUN TOIMISTO 6

Analysoi henkilötietovarantosi Tietosuojaan liittyvien juridisten kysymysten tunnistaminen jo henkilötietojen käsittelyä sisältävien prosessien suunnitteluvaiheessa Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet Osoitusvelvollisuus Käytännössä osoitusvelvollisuus edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia Hyväksytyt käytännesäännöt ja sertifiointimekanismit Tietotilinpäätös TIETOSUOJAVALTUUTETUN TOIMISTO 7

Tee riskisarvio; arvio myös sopimuksesi Tietosuoja-asetus perustuu riskiperusteiselle lähestymistavalle Trust management Jotta voidaan toteuttaa sisäänrakennettua ja oletusarvoista tietosuojaa, on rekisterinpitäjän tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä Korkea riski? Tietosuojaa koskeva vaikutustenarviointi Valvontaviranomaisella velvollisuus ylläpitää ja julkaista luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan tietosuojan vaikutustenarviointi TIETOSUOJAVALTUUTETUN TOIMISTO 8

Tietosuojaa koskeva vaikutustenarviointi on tehtävä silloin, kun käsittelyyn kohdistuu korkea riski (35 art.) Korkea riski? Huomioon etenkin: Uusi teknologia Käsittelyn luonne Käsittelyn laajuus Käsittelyn asiayhteys ja tarkoitus Milloin pakollinen? Systemaattinen ja kattava profilointi Laajamittainen arkaluonteisten tietojen käsittely Laajamittainen ja järjestelmällinen yleisölle avoimen paikan valvonta Jäsenvaltion lainsäädännön nojalla Poikkeukset Tietosuojaa koskeva vaikutusten arviointi on tehty kansallisessa lainsäädännössä. JOLLEI jäsenvaltion laki tätä edellytä Samaa arvioita voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittely toimiin TIETOSUOJAVALTUUTETUN TOIMISTO

Ennakkokuuleminen Jos rekisterinpitäjällä ei ole keinoja riskin pienentämiseksi, on sen kuultava tietosuojaviranomaista Henkilötietolain mukainen rekisterinpitäjän velvollisuus ilmoittaa automaattisesta henkilötietojen käsittelystä valvontaviranomaiselle puolestaan poistuu asetuksen soveltamiseen siirryttäessä TIETOSUOJAVALTUUTETUN TOIMISTO 10

Tee riskisarvio; arvio myös TIETOSUOJAVALTUUTETUN TOIMISTO sopimuksesi Rekisterinpitäjän tulisi arvioida myös henkilötietojen käsittelyyn liittyvät sopimukset tietosuoja-asetuksen valossa Ulkoistetaanko tietojen käsittelyyn liittyviä tehtäviä toimeksisaajille? pakottavat lainsäännökset (28 art.) Tietosuoja-asetuksessa henkilötietojen käsittelijän roolia ja velvoitteita on terävöitetty henkilötietolakiin nähden 11

Mikä on käsittelyn oikeusperuste Organisaation tulisi selvittää, kokevatko sen käyttämät käsittelyperusteet muutoksia asetuksen soveltamiseen siirryttäessä? Käsittelyn oikeusperuste vaikuttaa mm. siihen, mitä henkilötietojen käsittelyyn liittyviä oikeuksia rekisteröidyllä on Henkilötietolain mukainen käsittely tietosuojalautakunnan luvan perusteella? Oikeutettu etu TIETOSUOJAVALTUUTETUN TOIMISTO 12

Suostumukselle on asetettu tietosuojaasetuksessa osittain tiukemmat edellytykset Lapsille palveluita tarjoavien rekisterinpitäjien tulee huomioida, että asetus antaa erityistä suojaa lapsien henkilötiedoille Vanhempainvastuunkantajan suostumus Alle 16-vuotiaat. Tätä alhaisempi ikäraja, joka voi olla vähintään 13 vuotta, voidaan määritellä kansallisella lainsäädännöllä TIETOSUOJAVALTUUTETUN TOIMISTO 13

Ota huomioon rekisteröityjen TIETOSUOJAVALTUUTETUN TOIMISTO oikeudet Rakenna luottamusta huolehtimalla läpinäkyvyydestä ja avoimuudesta Rekisteröidyn oikeudet tulisi ottaa huomioon henkilötietojen käsittelyyn liittyviä prosesseja suunniteltaessa miten rekisteröityjen oikeuksien toteuttaminen tapahtuu käytännöntasolla? Miten nykyiset prosessit ja tietojärjestelmät taipuvat asetuksen tuomiin muutoksiin? 14

Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ) Oikeus käsittelyn rajoittamiseen Oikeus siirtää tiedot järjestelmästä toiseen Vastustamisoikeus Automatisoidut päätökset, profilointi mukaan luettuna Oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa TIETOSUOJAVALTUUTETUN TOIMISTO 15

Toimiiko organisaatiosi kansainvälisesällä tasolla One-Stop-Shop, yhteistyö ja yhdenmukaisuus Pääsääntönä rekisterinpitäjän päätoimipaikan valvontaviranomainen on toimivaltainen TIETOSUOJAVALTUUTETUN TOIMISTO 16

Huolehdi tietoturvasta, suojaa tiedon koko elinkaari Selvitä, vastaako tietojen suojaamista koskevat käytänteet ja toimenpiteet tietosuojaasetuksen henkilötietolakia yksityiskohtaisempaa sääntelyä Suojaamisvelvoite koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää TIETOSUOJAVALTUUTETUN TOIMISTO 17

Riskiperusteinen lähestymistapa koskee myös henkilötietojen asianmukaista suojaamista Tietojen suojaamisesta tulee huolehtia kaikissa käsittelyn vaiheissa elinkaarimallin mukaisesti Pseudonymisoitu henkilötieto on edelleen henkilötieto! TIETOSUOJAVALTUUTETUN TOIMISTO 18

Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa Muun muassa, että käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus ja eheys taataan ja että vikatilanteessa tietojen saatavuus voidaan palauttaa nopeasti Lisäksi asetus edellyttää, että otetaan käyttöön menettely, jolla teknisten ja organisatoristen toimenpiteiden tehokkuutta tutkitaan säännöllisesti TIETOSUOJAVALTUUTETUN TOIMISTO 19

Henkilötietojen tietoturvaloukkaus Rekisterinpitäjän velvollisuus pääsääntöisesti ilmoittaa henkilötietojen 72 h kuluessa tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle Suunnitella prosessit ja toimintaohjelmat myös mahdollisten tietoturvaloukkausten varalle, jotta organisaatio pystyy toimimaan tehokkaasti vahingon tunnistamiseksi, selvittämiseksi, minimoimiseksi ja toimintakykyisyyden palauttamiseksi TIETOSUOJAVALTUUTETUN TOIMISTO 20

Seuraa tiedottamista WP 29 laatii ohjeistuksia tietosuoja-asetuksen tulkinnasta Asetusinstrumentin harmonisointifunktio Siirtymäaikana on tarkoitus toteuttaa asetuksen edellyttämät muutokset kansalliseen lainsäädäntöön OM:n TATTI-työryhmän puitteissa Tietosuojavaltuutetun toimiston verkkosivut www.tietosuoja.fi TIETOSUOJAVALTUUTETUN TOIMISTO 21

NÄIN MEILLÄ LÄHDETTIIN LIIKKEELLE Tietotilinpäätöksen laatiminen Tietosuojafoorumi 22.11.2016 Leila Hanhela-Lappeteläinen Johtava asiantuntija Vastuullinen liikenne. Rohkeasti yhdessä.

Trafin tietotilinpäätöksen viitekehys Vastuullinen liikenne. Rohkeasti yhdessä.

Liikenteen viranomainen Vastuullinen liikenne. Rohkeasti yhdessä.

Trafin toiminnan perusta 24.11.2016 Liikenteen turvallisuusvirasto 4

Tunnuslukuja Budjetti 138 M Henkilöstö 528 Luovutetut tietoyksiköt 500 milj. Tietojärjestelmien käyttäjiä 40 000 Ajoneuvot 5 milj. Kauppalaivat 1 100 Ilma-alukset 1 500 Rautatiekalusto 11 800 Ajokortit 3,7 milj. Merenkulun pätevyydet 51 000 Ilmailun lupakirjat 7 400 Rautateiden kelpoisuudet 1 100 24.11.2016 Liikenteen turvallisuusvirasto 5

Mikä ja miksi tietotilinpäätös? Liikenteen turvallisuusvirasto

on työkalu sekä informaatioväylä, joiden avulla Trafi osoittaa tiedon osalta tilintekokykyisyytensä ennen kaikkea luottamuksenrakentajana Trafin menettelytapoihin tietojenkäsittelyssä ja tiedonhallinnassa 24.11.2016 Liikenteen turvallisuusvirasto 7

Miten tietotilinpäätös Trafissa tehtiin? Vastuullinen liikenne. Rohkeasti yhdessä.

Tietotilinpäätöksen toteutunut aikataulu Projektin vaiheet Päätöspisteet ja muut etapit = Trafi-Kehitysverkosto = Ohry = Salkku-jory 2015 2016 Lokakuu Marraskuu Joulukuu Tammikuu Helmikuu Maaliskuu Huhtikuu Toukokuu Trafi-jory 1.10.2015 Aloituspäätös 8.4-15.4.2016 Kommentointi Suunnitteluvaihe Tietotilinpäätös valmis Toteutusvaihe Säännölliset projektikokoukset, työnyrkin kokoukset, työpajat Ohjausryhmän kokoukset joulukuussa 2015 sekä helmi-, maalis- ja huhtikuussa 2016 Tarkistusvaihe jatkuva seuranta, projektin päätyttyä jälkiseuranta lokakuu 2016 Liikenteen turvallisuusvirasto

Trafin tietotilinpäätös 2015 Liikenteen turvallisuusvirasto

Mistä Trafin tietotilinpäätös koostuu? 1 Tietojohtajan katsaus 2 Johdanto 3 Liikenne- ja viestintäministeriön hallinnonalan konserniohjaus ja Trafin strategiset päämäärät 3.1 Liikenne- ja viestintäministeriön hallinnonalan konsernistrategia 3.2 Trafin strategiset päämäärät 3.3 Tieto konsernistrategian ja Trafin strategisten päämäärien edistäjänä 4 Tiedon johtamisen lähtökohdat ja periaatteet 4.1 Keskeiset käsitteet 4.2 Lainsäädännön viitekehys ja valtiokonsernin ohjaus 4.3 Rekisterinpitäjän vastuut tietosuoja- ja tietoturvanäkökulmasta 4.4 Rekisteröidyn oikeudet 4.5 Tietosuoja-asetuksen keskeiset vaikutukset rekisteripitäjän vastuisiin ja rekisteröidyn oikeuksiin 8 24.11.2016 Liikenteen turvallisuusvirasto 11

24.11.2016 Liikenteen turvallisuusvirasto 12

24.11.2016 Liikenteen turvallisuusvirasto 13

Mistä Trafin tietotilinpäätös koostuu? 5 Tiedonhallinta 5.1 Tiedon elinkaari 5.2 Tiedonhallinta Trafissa 6 Tietoinventaario ja keskeiset tunnusluvut 6.1 Trafin tietopääoma 6.2 Tietovirrat 6.3 Trafin tietoturva tiedon suojaamisen näkökulmasta 24.11.2016 Liikenteen turvallisuusvirasto 14

24.11.2016 Liikenteen turvallisuusvirasto 15

Mistä Trafin tietotilinpäätös koostuu? 7 Tietojen hyödyntäminen Trafissa vuonna 2015 7.1 Avoin data 7.2 Paikkatieto 7.3 Ilmailun onnettomuus-, vaaratilanne- ja poikkeamailmoitukset Trafissa 7.4 Tilastotoiminta 7.5 Trafi kehittää sähköisiä palveluita 7.6 Liikennelabra ja kokeilut Tieto Trafin strategisena päämääränä 24.11.2016 Liikenteen turvallisuusvirasto 16

Käytännön vinkkejä Suunnittele työn laajuus ja aikataulu Sitouta johto ja henkilöstö Perusta projekti, työryhmä tms. Laadi viestintäsuunnitelma Jalkauta havaitut kehittämiskohteet operatiiviseen toimintaan Aikatauluta tietotilinpäätös osaksi vuosikelloa Tee tietotilinpäätöksestä oman organisaatiosi näköinen ROHKEASTI YHDESSÄ! Research.microsoft.com 24.11.2016 Liikenteen turvallisuusvirasto 17

Linkki 24.11.2016 tietotilinpäätökseen Liikenteen turvallisuusvirasto 18

Liikenteen turvallisuusvirasto Kumpulantie 9, 00520 Helsinki PL 320, 00101 Helsinki Puhelin 029 534 5000 www.trafi.fi Vastuullinen liikenne. Rohkeasti yhdessä.

TIETOSUOJA KUNTOON - TIETOSUOJASTA KILPAILUETUA Harri Vilander Tietosuojafoorumi 22.11.2016

AGENDA 1. Case pilvipalvelun tarjoaja 2. Case Privacy by Design 2

1. CASE PILVIPALVELUN TARJOAJA 3

CASE 1: PILVIPALVELUN TARJOAJA LÄHTÖTILANNE Yritys, jonka asiakkaina globaalit suuryritykset. Pilvipalvelu käsittelee asiakkaan kannalta erittäin liiketoimintakriittistä dataa sekä henkilötietoja. Huomattava määrä asiakaskyselyitä siitä, miten tietosuojasta ja -turvasta huolehditaan organisaatiossa ja palvelun toteutuksessa. Vastaaminen kyselykohtaisesti erittäin työlästä. 21.11.16 Nixu 4

CASE 1: PILVIPALVELUN TARJOAJA RATKAISU TIETOSUOJAN JA TIETOTURVAN KEHITYS Nykytilanteen kartoitus ja hallintamallin määritys puuttuvin osin. WHITE PAPER White Paper dokumentin laatiminen ja julkaisu potentiaalisille asiakkaille tietosuojan ja tietoturvan merkityksestä ja hallinnasta. ISO 27001 - SERTIFIKAATTI Kansainvälisesti tunnetun sertifikaatin hankkiminen osoituksena hyvin hoidetusta tietoturvasta. 21.11.16 Nixu 5

CASE 1: PILVIPALVELUN TARJOAJA KEY TAKEAWAYS Toimintatapojen sekä roolien ja vastuiden selkiyttäminen vähentää toistuvaa turhaa työtä ja pienentää riskiä. White Paper ja sertifikaatti luottamuksen kasvattajana sekä liiketoiminnan ja asiakaskunnan kasvun apuna. Sama lähestymistapa on sovellettavissa henkilötietojen käsittelyyn sitten kun virallisia GDPR-sertifiointeja tulee saataville. 21.11.16 Nixu 6

2. CASE PRIVACY by DESIGN 7

CASE 2: PRIVACY BY DESIGN HAASTE & RATKAISU Globaalin henkilötietoja käsittelevän digitaalisen palvelun toteuttamiseen liittyvät tietosuojakysymykset. Yrityksen omaa in-house kehitystyötä Tietosuojakysymyksiä ratkottu puutteellisesti ad-hoc mallilla Tietosuoja-asiantuntijan mukaan ottaminen kehitystyöhön. Tietosuojakontrollien määrittäminen ja implementointi yhdessä arkkitehdin ja kehittäjien kanssa. Tietosuojariskien tunnistaminen ja hallinta sekä dokumentointi aikaisessa vaiheessa paljon ennen palvelun julkaisua. 21.11.16 Nixu 8

CASE 2: PRIVACY BY DESIGN KEY TAKEAWAYS KEHITYSPROSESSI Tietosuojavaatimusten tunnistaminen ja toteuttaminen systemaattiseksi osaksi kehitysprosessia. AJOITUS Mahdollisimman aikaisessa kehitystyön vaiheessa, sillä (lähes) valmiin palvelun muuttaminen on kallista/ tehotonta. Ad-hoc toiminnan merkittävä Toistetaan aina uutta vähentyminen ja tietoiset kehitettäessä (palvelu/ päätökset liittyen toiminnallisuus). henkilötietojen käsittelyyn. 21.11.16 Nixu 9 VIESTINTÄ Kuluttajien kasvava kiinnostus tietosuojaa kohtaan. Edellä mainitut mahdollistavat läpinäkyvän viestinnän henkilötietojen käsittelystä.

YHTEENVETO 10

MENESTYVÄ ORGANISAATIO? KILPAILUETUA Tietosuoja ja tietoturva ei ole ainoastaan komplianssikysymys Tietosuojaa ei ajatella toimintaa rajoittavana tekijänä Tilivelvollisuuden täyttäminen luottamuksen kasvattajana 21.11.16 Nixu 11 ASIAKASLUPAUS Avoimuus Rehellisyys Toiminnan läpinäkyvyys Välittäminen TYÖKALUJA Privacy by design & default Selkeä ja avoin viestintä ja kunnollinen dokumentointi Selkeästi määritellyt vastuut ja toimivat prosessit Käyttäjien oikeuksien kunnollinen toteuttaminen

www.nixu.com /nixuoy @nixutigerteam /company/nixu-oy

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute