Ulkoistaminen ja henkilötiedot

Samankaltaiset tiedostot
Pilvipalvelut ja henkilötiedot

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Henkilötietojesi käsittelyn tarkoituksena on:

Biopankkien toimintojen yhdistäminen. Lakiperusta

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

REKISTERISELOSTE Henkilötietolaki (523/99) 10

EU:n tietosuoja-asetus ja tieteellinen tutkimus

REKISTERISELOSTE Henkilötietolaki (523/99) 10

GDPR Tietosuoja-asetus

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tiedon elinkaaren hallinta Henkilötietojen suoja

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Tutkittavan informointi ja suostumus

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

REKISTERISELOSTE Henkilötietolaki (523/99) 10

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

T E R H O N E V A S A L O

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

alueen turvallisuuden lisääminen; sekä

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

GDPR. Timo Kokkonen Webinaari

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

10 Yksityiselämän suoja

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

TIETOSUOJA SÄÄDÖKSISSÄ

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Tampereen Aikidoseura Nozomi ry

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tietosuoja-asetus (GDPR)

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Organisaatioluvan hakeminen

Ajankohtaista tietosuoja-asetuksesta

Informaatiovelvoite ja tietosuojaperiaate

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Politiikka: Tietosuoja Sivu 1/5

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

KILOMETRIVERO JA TIETOSUOJA

Tietosuoja- ja rekisteriseloste

Kangasalan Moottorikerhon tietosuojakäytännöt

Teknologia avusteiset palvelutverkostopalaveri

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Termit. Tietosuojaseloste

Salon kaupunki , 1820/ /2018

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Henkilötietojesi käsittelyn tarkoituksena on:

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

YLEISTÄ TÄSTÄ DOKUMENTISTA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojavaltuutetun toimiston puheenvuoro

Sofor Oy:n asiakasrekisterin henkilörekisteriseloste

SESSIO 8. Tietoturvallista terveydenhuoltoa. Kansalaisten luottamus tietoturvaan ja tietosuojaan

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Nimi Tampereen kaupunki, kiinteistötoimi. Aila Taura p Marjut Malo-Siltanen p ja Jaana Rimpi-Muhonen p.

Liisa Saviluoto, puh

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Tietosuojaseloste Jäsenet, luottamushenkilöt ja vapaaehtoistoimijat

IF-INFO MEKLAREILLE

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

Työelämän tietosuojaan liittyvät ajankohtaiset kysymykset

GDPR. aka. Euroopan tietosuoja-asetus

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Sivu x/x Laatimispvm: Päivitetty/tarkastettu:

Salon kaupunki / /2018

Henkilötietolain (523/1999) 36 :ään perustuva biopankin ilmoitusvelvollisuus

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

Tietosuojavaltuutetun esittelypuheenvuoro

Rekisteri- ja tietosuojaseloste

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Transkriptio:

Ulkoistaminen ja henkilötiedot Titta Penttilä Senior Security Manager, Information Security Corporate Security, TeliaSonera 28.11.2012, Tietoturva 2013 fi.linkedin.com/in/tpenttila titta.penttila@teliasonera.com

Sisältö Käsitteet tutuiksi Millä edellytyksillä henkilötietoja voi siirtää ulkoistuskumppanille? Tietosuojalainsäädännön huomioiminen ulkoistamisprosessin eri vaiheissa Lukuvinkkejä 2

Käsitteet tutuiksi hieman yksinkertaistaen Henkilötieto Tiedot, jotka voidaan yhdistää henkilöön tai hänen perheeseensä (pidempi määritelmä 26 sivua ks. Working party opinion 4/2007 ) Käsittely Kaikki mahdolliset toimenpiteet, jotka voivat kohdistua henkilötietoihin Henkilörekisteri Joukko henkilötietoja joita käytetään samaan tarkoitukseen (huom! Käyttötarkoitus ratkaisee eli tiedot voivat sijaita eri järjestelmissä) Rekisterinpitäjä ( controller ) rekisterin omistaja, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty Käsittelijä ( processor ) taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 3

Henkilötietojen siirto vai luovutus? Siirto Rekisterinpitäjä -> Käsittelijä Kyse on siirrosta, vaikka henkilötiedot eivät siirry fyysisesti käsittelijälle, jos tiedot ovat käsittelijän saatavilla (esim. etäyhteys). Rekisterinpitäjä säilyy edelleen rekisterinpitäjänä ja vastuullisena. Käsittelijällä ei ole itsenäistä oikeutta henkilötietojen käsittelyyn, vaan se toimii aina rekisterinpitäjän toimeksiannosta tämän lukuun ja tämän ohjeiden mukaan. Lähtökohtaisesti ei edellytä rekisteröidyn suostumusta. Esim. alihankinta- ja ulkoistustilanteet Luovutus Rekisterinpitäjä -> Rekisterinpitäjä Rekisterinpitäjän oikeudet siirtyvät uudelle rekisterinpitäjälle. Luovutuksen saajalla on itsenäinen oikeus käsitellä henkilötietoja. Vaatii usein rekisteröidyn suostumuksen. Esim. liiketoimintasiirto 4

Henkilötietojen siirtämisen edellytykset HENKILÖTIETOJEN KÄSITTELYN LAILLISUUS Yleiset edellytykset: esim. asiakkassuhde, työsuhde, suostumus Periaatteet: suunnittelu-/huolellisuusvelvollisuus, tarpeellisuus, virheettömyysja avoimuus, tietoturvallisuus, luottamuksellisuus Käyttötarkoitussidonnaisuus JA RIITTÄVÄ TIETOSUOJAN TASO Suomi, EU ja ETA-maat (& Komission hyväksymät maat) Yhtenäinen säädöstausta (EU tietosuojadirektiivi) ja henkilötietojen vapaa liikkuvuus Data transfer agreement (DTA) HtietoL: annettava asianmukaiset selvitykset ja sitoumukset Muut maat Tietosuojan taso vaihtelee, joten vaaditaan erityisiä takeita Etenemisvaihtoehdot: Komission vakiosopimuslausekkeet Erityiset poikkeusperusteet Itsearviointi 5

Henkilötietojen siirto Ulkoistaja Oy Kumppani Oy Käsittelyn suunnittelu REKISTERI- SELOSTE SOPIMUS & OHJEET Käsittelyn rajat HENKILÖREKISTERI käyttötarkoituksensa vuoksi yhteenkuuluva tietojoukko Henkilötietoja Henkilötietoja Henkilötietoja fyysinen siirto Rekisterinpitäjä; vastaa viimekädessä käsittelyn lainmukaisuudesta. Käsittelijä; käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaan. Lähtökohtaisesti sovelletaan rekisterinpitäjän maan lakia. 6

Ulkoistamisprosessin vaiheet Regulaatio Sisäiset ohjeet Asiakasvaateet Riskinottohalukkuus Suunnittelu Toteutus Toiminta Exit Ulkoistaminen Kertaluonteinen tapahtuma, jossa ulkoistamisen kohde siirretään kumppanille Palvelun ostaminen Ulkoistamisen tapahduttua jatkuu palveluiden ostaminen partnerilta. 7

Suunnitteluvaihe osa 1: Business case Mitä tietoja ollaan siirtämässä kumppanille? henkilötiedot, tunnistamistiedot jne. Mihin maahan tietoja ollaan siirtämässä? Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy? Lait, rekisteriseloste, sisäiset ohjeet/prosessit ja mahdolliset asiakasvaateet Mikä on kyseisten tietojen merkitys yhtiön kannalta? business impact assessment Mitä uhkia ja riskejä tietojen siirtoon liittyy ja mitä keinoja on riskien pienentämiseen? Juridisia esteitä on harvoin - tärkeää onkin miettiä, onko ulkoistaminen liiketoiminnan kannalta kokonaisuutena järkevää! 8

Suunnitteluvaihe osa 2: Ulkoistuskumppanin valinta ja sopimus Vaatimukset tarjouspyynnön liitteeksi Ehdokkaiden tietosuojan tason todentaminen Itsearviointi esim. ISF Security health check Sertifikaatit esim. ISO 27001 Auditointi Henkilötietojen käsittelyä koskevat vaatimukset osaksi sopimusta mm. Salassapitolausekkeet Data transfer agreement (EU/ETA:n sisällä) Mm. oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan, noudatettava soveltuvaa lainsäädäntöä ja varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi Komission vakiosopimuslausekkeet (jos siirto EU/ETA:n ulkopuolelle) Yhteiset prosessit / toimintamallit Alihankkijoiden käyttäminen Sanktiot esim. sopimussakko Sopimuksen päättymisen seuraukset 9

Toteutus, toiminta ja exit Toteutusvaihe Tavoitteena on, että ulkoistettavat toiminnot siirretään saumattomasti kumppanille Kumppanin henkilöstön koulutus Tietojen turvallinen siirtäminen ja käyttöoikeuksien hallinta Toimintavaihe Toiminnot on siirretty kumppanille ja kumppani tarjoaa sopimuksenmukaista palvelua ulkoistaneelle yritykselle sopimuksen voimassaoloajan Raportointi, auditointi, muutosten huomiointi Exit sopimuksen päättyminen Huomioitava jo sopimuksen tekovaiheessa Varmistuttava tietojen asianmukaisesta siirtämisestä / tuhoamisesta 10

Onnistumisen ainekset Ymmärretään henkilötietojen tärkeys ja rekisterinpitäjän vastuu Vastuuta ei voi ulkoistaa Tietosuojan merkitys korostuu nyky-yhteiskunnassa ja ihmisten tietoisuus lisääntyy nopeasti Juridisia sanktioita suurempi riski on, asiakkaiden luottamuksen menettäminen Valmistautumiseen ja selvityksiin varataan riittävästi aikaa ja resursseja Lainsäädännön asettamien vaatimusten selvittäminen Riskien arviointi Kumppanin valinta ja kattava sopimus Tietosuoja ja turva varmistetaan koko ulkoistamisen elinkaaren ajan 11

Lukuvinkkejä Henkilötiedon käsite: Data Protection Working party opinion 4/2007 the concept of personal data WP 136 (http://ec.europa.eu/justice/policies/privacy/docs/wpd ocs/2007/wp136_en.pdf) Ulkoistaminen ja henkilötiedot Data Protection Working party opinion 05/2012 on Cloud Computing (http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf) Tietosuojavaltuutetun toimisto: Henkilötietojen siirto ulkomaille henkilötietolain mukaan (http://www.tietosuoja.fi/uploads/7nr20lwabx4vu.pdf) Tietosuojavaltuutetun toimisto: henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset (http://www.tietosuoja.fi/uploads/fqfq98_1.pdf) 12

KYSYMYKSIÄ? KOMMENTTEJA? Esitys perustuu AaltoPro:n 7. Tietoturvallisuuden koulutusohjelmaan laatimaani tutkielmaan: sonera_security twitter.com/sonera_security Outsourcing and Transfer of Personal Data Voit ladata sen osoitteessa: www.slideshare.net/sonera KIITOS! 13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute