TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Samankaltaiset tiedostot
32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Kasva tietoturvallisena yrityksenä

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Teknologia avusteiset palvelutverkostopalaveri

Tietosuojavaltuutetun toimiston tietoisku

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

KPMG:n tietosuojaselvitys. kpmg.fi

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

32E Markkinoiden juridinen toimintaympäristö. Luento 2 Case 2: Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa 18.1.

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Hankkeen riippumattoman arvioinnin keskeisiä havaintoja. Janne Vesa

Ulvilan kaupungin tietosuojapolitiikka

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

2.3 Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

Sopimus henkilötietojen käsittelystä (DPA)

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Vaikutustenarviointi GDPR:n mukaan

Whistleblowing-järjestelmät suomalaisyhtiöissä. Väärinkäytösepäilyjen raportointi osana hyvän hallintotavan kehittämistä

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Palvelutorin onnistumisen edellytykset

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Mikä GDPR? General Data Protection Regulation

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Haminan tietosuojapolitiikka

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

EU:n tietosuoja-asetus (GDPR)

DLP ratkaisut vs. työelämän tietosuoja

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

KPMG Audit Committee Member Survey. Sisäisen valvonnan ja hyvän hallintotavan kehittäminen tarkastusvaliokunnan jäsenen näkökulmasta

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

2.3. Tilaaja sitoutuu huolehtimaan henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön mukaisista rekisterinpitäjän velvollisuuksista.

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

LBOyrityskauppojen. vaikutus Suomen pääomamarkkinoilla. Elokuu 2012

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Hanki myös itse koulutusta säännöllisesti UKK-dokumentin tekeminen Verkkokoulutusohjelma testeineen Blogi/muu sisäinen viestintä

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

1 Tietosuojapolitiikka

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Salon kaupunki , 1820/ /2018

GDPR Tietosuoja-asetus

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

EU:n tietosuoja-asetus

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Henkilötietojen käsittelyn ehdot

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

EU:n tietosuoja-asetus ja sähköposti

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Salon kaupunki , 1820/ /2018

TIETOSUOJAPOLITIIKKA

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

HTML5 - Vieläkö. Antti Pirinen

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

LSPeL Porin toiminta-alueen kevätseminaari

Salon kaupunki / /2018

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Sukupolvenvaihdos ja verotus

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Salon kaupunki / /2018

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

Muuntautuvan palvelusisällön haasteet hankintasopimuksen sisällön kannalta

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Kolarin kunnan tietosuojapolitiikka

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietosuojavastaavan elämää

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojaseloste 1 (6)

Osakassopimus. päivän vara? Vesa Ellonen

Tietosuojaseloste 1 (5)

EU:N TIETOSUOJA-ASETUKSET WALMU

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Transkriptio:

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA FINNET-LIITTO 17.1.2017 Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Mitä on osoitusvelvollisuus? 2

Osoitusvelvollisuuden periaate ( accountability ) EU:n yleinen tietosuoja-asetus 24 artikla: Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. 3

Osoitusvelvollisuuden periaate ( accountability ) Tiedon elinkaaren hallinta Tietosuojan hallinnointi Sopimukset ja alihankkijat Sanktiot! Varmennus & auditoinnit Koulutus ja tietoisuus Sisäiset arvioinnit Läpinäkyvyys Tietovuotojen hallinta Dokumentaatio Auditoinni t OSOITUS- Riskianalyysit VELVOLLISUUS Tietosuojavastaava Kv. tiedonsiirrot Kumppanuuksien hallinta Rekisteröityjen oikeuksien toteuttaminen Hyvä Riskilähtöisyys hallintotapa Johtaminen ja vastuutus Koulutus Valvonta Politiikat / ohjeistukset / dokumentaatio Tietosuojavastaava Privacy by Design 4

Privacy by design mitä se tarkoittaa käytännössä? Asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet toteutettuna siten, että henkilötietojen käsittely vastaa tietosuoja-asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun Esim. tietojenkäsittelyn minimointi, tiedon anonymisointi ja salaus Tai konkreettisemmin, 1. Proaktiivisesti, ei reaktiivisesti Ehkäisevää, ei korjaavaa 2. Tietosuojan toteutuminen default-asetuksena 3. Tietosuoja integroituna ratkaisuihin 4. Täydet toiminnallisuudet Positiivinen summa, ei nollasummapeliä 5. Tiedon suojaaminen koko elinkaaren ajan 6. Selkeys ja läpinäkyvyys Avoimuuden korostaminen 7. Käyttäjäkeskeisyys Minimivaatimusten täyttämisestä kohti lähtökohtaista ja ennakoivaa tietosuojan huomiointia Cavoukian - Reed: Big Privacy: Bridging Big Data and the Personal Data Ecosystem through Privacy by Design (2013) 5

Riskilähtöinen toimintatapa 6

Osoitusvelvollisuuden periaate ja riskilähtöisyys Asetuksen yleisluontoiset vaatimukset, esim. 32 artikla (tiedon suojaaminen) Osa asetuksen vaatimuksista jää mm. tietoturvan luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys Osoitusvelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti Riskianalyysit välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen Vaatii tulkintaa mutta tuo myös joustavuutta ja mahdollisuuksia. Urheiluseuran jäsenrekisteri vs. potilastietorekisteri 7

Tietosuojaa koskeva vaikutustenarviointi ( DPIA ) Rekisterinpitäjän tulee suorittaa vaikutustenarviointi korkeita riskejä sisältävissä suunnitelluissa henkilötietojen käsittelytavoissa (art. 35): Arkaluonteisten tietojen käsittely; Uudet tietojenkäsittelytekniikat ja -prosessit; Uudet tietojenkäsittelytarkoitukset; Uusien järjestelmien ja palvelujen käyttöönotto; Erityiset riskit; Profilointi Jne. Arviointi mahdollisimman varhaisessa vaiheessa Jos korkeita riskejä tunnistetaan, tulee neuvotella valvontaviranomaisen kanssa Tavoitteena kehitysprosessiin vaikuttaminen ja riskien pienentäminen Riskilähtöisyys ja Privacy by Design Tietosuojaviranomainen laatii listan DPIAn vaativista tapauksista 8

Tyypillinen tietosuojan GDPR-kehitysprojekti Kesto arviolta 12 16 viikkoa Kesto TBD Vaihe 1 Op. johtotason työpaja, jossa identifioidaan kriittisimmät toiminta-alueet, prosessit & teknologia ja potentiaaliset ongelma-alueet Vaihe 2 Gap-analyysi valituilla alueilla Riskianalyysi Korjaussuositukset Vaihe 3 Vaiheistetun tiekartan laatiminen priorisoidut kehityshankkeet Vaihe 4 Kehitystyö vaiheen 3 tiekartan perusteella KPMG:n asiantuntijatuki Asiakkaan viestintästrategia henkilöstölle ja sidosryhmille Asiakkaan asiantuntijoiden osallistuminen KPMG toimeksiannon hallinnointi Vaatimustenmukaisuus 9

Kriittisiä teemoja tietosuojan kehittämisessä Riskien arviointi Tietosuojan hallinnointi ja politiikkojen luonti / jalkautus Rekisterinpidon perusedellytysten varmistaminen (oikeusperusteet, käsittelytarkoitukset) Henkilötietojen ja tietovirtojen kartoittaminen; järjestelmien identifiointi Prosessit ja tiedon elinkaaren hallinta Sopimukset: Alihankinta ja henkilötietojen luovutukset Rekisteröityjen oikeuksien toteuttaminen Tietosuoja-asetuksen vaatimukset ICT:lle ja sen hallinnoinnille 10

Osoitusvelvollisuus ja riskilähtöisyys käytännössä, esimerkki EU:n tietosuoja-asetus 33 artikla: Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle Lievennys: ei tarvitse tehdä, mikäli loukkauksesta ei todennäköisesti aiheudu yksilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä Ilmoitus tehtävä myös rekisteröidyille, mikäli loukkauksesta saattaa johtua merkittäviä riskejä yksilöiden oikeuksille ja vapauksille Edellytykset ilmoituksen tekemiselle oltava olemassa Alihankintasopimukset merkittävässä roolissa Riskilähtöisesti toimiminen vähentää sanktio- ja maineriskejä 11

Riittävä tietoturvan taso 12

Tiedon suojaamisvelvoite artikla 32 Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja käsittelijän on tarvittaessa toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten a) henkilötietojen julkaiseminen salanimellä ja salaus; b) kyky taata henkilötietoja käsittelevien järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Käytännesääntöjen tai 41 artiklan mukaisen hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että vaatimuksia noudatetaan. 13

Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Muutoshallinta Käyttövaltuushallinta Käyttövaltuushallinta Pääsynvalvonta Tietojärjestelmien käytön valvonta Häiriönhallinta Muutoshallinnan toimintatapojen tulee sisältää ohjeet myös henkilötietojen ja sähköisen viestinnän tietojen käsittelyyn Pääsy henkilötietoihin tulee rajata mm. käyttövaltuuksin vain niihin, joilla on työtehtäviensä perusteella tarve päästä tietoihin Rekisterinpitäjän tulee kontrolloida myös tietoihin pääsyä EU:n ulkopuolelta esim. ylläpitotoimien yhteydessä Autentikointimenetelmien tulee vahvuudeltaan vastata suojattavan tiedon tasoa Sellaisissa järjestelmissä, jolla käsitellään henkilötietoja, tulee olla riittävä lokitus Häiriönhallinnan toimintatapojen tulee sisältää ohjeet myös henkilötietojen ja sähköisen viestinnän tietojen käsittelyyn 14

Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Tietoturvaloukkausten selvittäminen Järjestelmien luokittelu Rekisteröidyn oikeudet Varmistukset Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Järjestelmien ja organisaation kyvykkyyksien tulee riittävällä tavalla tukea tämän vaatimuksen toteuttamista Henkilötietojen käsittelyyn käytettävät järjestelmät tulee luokitella. Luokiteltua tietoa tulee käsitellä vain sen suojaustasoa vastaavilla järjestelmillä Järjestelmien tulee tukea rekisteröidyn oikeuksien toteuttamista siten, että voidaan a) tunnistaa henkilötiedot, b) yksilöidä henkilötiedot koskemaan tiettyä henkilöä, c) koota ne teknisesti yhteen, d) välittää kopio niistä rekisteröidylle, e) korjata näitä tietoja/rajoittaa tietojen käsittelyä, ja f) tuhota nämä tiedot tarvittaessa. Henkilötietorekisterit tulee varmuuskopioida tai kahdentaa riittävällä tavalla (huom! rekisteröityjen oikeudet ja säilytysajat) 15

Tiedon suojaamisvelvoite artikla 32 Osa-alue Kontrollit Pseudonymisointi / salaus Anonymisointi Tiedonsiirrot Kannettavat muistivälineet Tietoturvatestaus ja auditoinnit Sovelluskehitys Rekisterinpitäjän tulee riskiarvion perusteella harkita tiedon pseudonymisointia tai salaamista, erityisesti arkistointia ja tietojenkäsittelyn ulkoistustapauksia koskien Rekisterinpitäjän tulee arvioida, onko henkilöiden tunnistaminen välttämätöntä tiedonkäsittelyn tarkoitusten kannalta vai riittäisivätkö anonymisoidut tiedot (vaihtoehto tiedon tuhoamiselle) Henkilötietojen tiedonsiirto tulee olla riittävästi suojattu, erityisesti organisaation sisäverkon ulkopuolella Kannettavat muistivälineet ja/tai niille siirrettävät tiedot tulee olla riittävästi suojattu Järjestelmien tietoturvallisuutta ja tietoturvallisuuden hallintaa tulee arvioida säännöllisesti Tietosuoja- ja tietoturvavaatimukset tulee huomioida jo järjestelmiä suunniteltaessa ja kehitettäessä 16

Tietosuojadokumentaatio 17

Tietosuojadokumentaatio 1/2 1. Tietosuojastrategia 2. Tietosuojapolitiikka 3. Alempitasoinen ohjeistus 4. Tietoturvapolitiikka 5. Tiedonhallintapolitiikka 6. Käyttövaltuuspolitiikka 7. Lokipolitiikka 8. Varmistuspolitiikka 18

Tietosuojadokumentaatio 2/2 1. Alihankkijoiden valintaa ohjaava dokumentti 2. Alihankintasopimukset 3. Seloste käsittelytoimista 4. Henkilötietojen käsittelyn ohjeistus tietojenkäsittelijöille 5. Riskienhallintaperiaatteet 6. Rekisteriselosteet / muut tiedonannot 7. Prosessien, toimenpiteiden ja näiden perusteiden dokumentointi 8. Tietosuojan vuosikello 19

Kiitos Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM) Advisory / Cyber Security P. 020 760 3530 mikko.viemero@kpmg.fi www.hackingthroughcomplexity.fi 20

2017 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name and logo are registered trademarks or trademarks of KPMG International.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute