EU:N TIETOSUOJA-ASETUKSET WALMU 1
EU:N TIETOSUOJA-ASETUKSET EU:n tietosuoja-asetuksen huomioiminen järjestötoiminnassa GDPR = General Data Protection Regulation = EU:n tietosuoja-asetus = Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 2
ASIAT MITKÄ MUUTTUU? Keskeiset termit ja määritelmät Mikä muuttuu? Kahdeksan vinkkiä tietosuoja-asetuksen huomioimiseen käytännössä Tietosuoja ja teknologia Mistä lisää tietoa, osaamista ja neuvontaa? WALMU 3
Luonnollisen henkilön tietojen suojaaminen Asettaa vaatimuksia Hallinnollinen Riskit Lainsäädäntö määrittelee Tekninen Työkalut Keinot toteuttaa
KESKEISET KÄSITTEET Henkilötieto: Luonnolliseen ja tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Rekisteri: Jäsennetty, henkilötietoja sisältävä tietojoukko. Rekisterinpitäjä: Luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisen kanssa määrittelee käsittelyn tarkoituksen ja keinot Henkilötietojen käsittelijä: Luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
KESKEISET KÄSITTEET Käsittely: Henkilötietoihin kohdistuva automaattinen tai manuaalinen toimenpide kuten tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, haku, levittäminen, yhdistäminen, poistaminen Erityisesti suojattavat henkilötiedot: Tiedot, joista ilmenee luonnollisen henkilön rotu, etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys. Lisäksi seksuaalisuuteen ja terveydentilaan liittyvät tiedot, geneettiset tiedot ja biometriset tiedot. Tietoturvavastaava: Data Protection Officer: Selvitä tarvitseeko organisaatiosi nimittää.
MIKÄ MUUTTUU? Sanktiot kasvavat: Hallinnolliset sakot ja kasvaneet vahingonkorvausvelvollisuudet rekisteröidyille. Vastuu ensisijaisesti rekisterinpitäjällä.. Kukin tietokäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. 82 artikla Mutta myös henkilötietojen käsittelijällä Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti 82 artikla
MIKÄ MUUTTUU? Osoitusvelvollisuus: Rekisterinpitäjällä velvollisuus osoittaa että 5 artiklan kohdan 1 henkilötietojen käsittelyä koskevia periaatteita on noudatettu Ilmoitus viranomaisille 72h kuluessa tietoturvaloukkauksesta: Loukkaus tapahtuu Henkilötietojen käsittelijä havaitsee Henkilötietojen käsittelijä ilmoittaa rekisterinpitäjälle Rekisterinpitäjä ilmoittaa viranomaisille Ilman aiheetonta viivytystä 33artikla, kohta 2 Viivytyksettä ja mahdollisuuksien mukaan 72 tunnin kuluessa ilmitulosta 33artikla, kohta 1
MIKÄ MUUTTUU? Oikeus tulla unohdetuksi: Rekisterinpitäjällä on pyydettäessä velvollisuus poistaa rekisteröidyn tiedot, jos henkilötietojen käsittelyyn ei ole perusteita. 17 artikla Lasten tietojen erityisasema: Vanhemmilta tarvitaan suostumus alle 16-vuotiaiden lasten tietojen käsittelyyn ja tietojen käsittelyä koskevan tiedotuksen pitää olla selkeätä. Poikkeuksena ennaltaehkäisevät neuvontapalvelut. Tiedonsiirto EU-alueen ulkopuolelle: Henkilötietoja saa siirtää EU:n luvalla tai asianmukaisia suojatoimia soveltaen. Rekisterinpitäjän ja henkilötietojen käsittelijän pitää varmistaa, saako henkilötiedon siirtää. 44 artikla
VINKKEJÄ KÄYTÄNTÖÖN Selvitä minne henkilötietoa on tallennettu ja keillä on pääsy siihen. Muista myös sähköpostilaatikoissa, paperilla ja kortistoissa olevat tiedot Kartoita tallennettu henkilötieto rekisterikohtaisesti: Mitä tietoa on kerätty? Onko perusteet tiedon keräämiseen? Ovatko kerätyt tiedot ajantasalla? Käsitteletkö erityisryhmiin kuuluvien henkilöiden tietoja? Tunnista keskeiset prosessit: Kerääminen Käsittely ja hävittäminen Rekisteriselosteen ylläpito Valmiudet viranomaisilmoituksiin Käyttöoikeudet
VINKKEJÄ KÄYTÄNTÖÖN Sovi ja nimeä vastuut Johto Tietosuojavastaava tai- koordinaattori Pääkäyttäjät Muut käyttäjät Henkilötiedon säilytys ja hävittäminen jäsenen erotessa Onko säilyttäminen perusteltua Onko säilyttäminen huomioitu rekisteriselosteessa? Miten säilyttämisestä viestitään erottaessa? Miten varmistat oikeellisuuden?
VINKKEJÄ KÄYTÄNTÖÖN Tarkasta liittymislomakkeet Onko suostumus henkilötietojen käsittelyyn pyydetty oikein? Varmista suhde rekisteriselosteeseen. Varmista henkilöstön ja aktiivien osaaminen Panosta tietoiskuihin sekä helposti omaksuttaviin vinkkeihin, joilla teet tiedonsuojasta näkyvän osan arkea. Päivitä rekisteriseloste vuosittain Onko selkeä ja ymmärrettävä? Miten toiminnan muuttuminen vaikuttaa tiedonkeruun perusteisiin?
TIETOSUOJA JA TEKNOLOGIA Tekniikka ja käytännöt Hahmota tiedonkäsittelyn koko prosessi ja tunnista riskit. Kokonaisuus on yhdistelmä tekniikkaa, pelisääntöjä ja koulutusta. Tiedot omalla palvelimella vai pilvipalvelussa? Ulkoistettaessa henkilötietojen käsittely Pilvi palveluun painopiste siirtyy oman prosessin hallinnasta sopimuksiin. Voit siirtää osan vastuista sopimuksellisesti pilvipalvelun tarjoajalle.
Mitä pitää ottaa huomioon pilvipalveluita käytettäessä? Onko käsittelyä koskeva sopimus riittävä? - Kansainväliset toimittajat - Vakiintuneet toimittajat - Startupit Missä tiedot sijaitsevat? - Henkilökohtaiset pilvipalvelut - Omien laitteiden käyttö Riittävätkö tiedonkäsittelijän turvatoimet? Onko tietojen säilyttämisestä ja poistamisesta sovittu?
YKSILLÖINEN OHJELMISTO WALMU 15