Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto Jari Ala-Varvi 03 / 2017 30.3.2017 1
Miksi? GDPR tietosuoja-asetus astui voimaan 25.5.2016 ja siirtymäaika päättyy 24.5.2018 Perusoikeuksien suoja monimutkaistuvassa yhteiskunnassa Euroopan ihmisoikeussopimus 8 Artikla oikeus nauttia yksityis- ja perhe-elämään, kotiin ja kirjeenvaihtoon kohdistuvaa kunnioitusta Samojen perusoikeuksien toteutuminen myös monimutkaistuvassa teknologiaympäristössä Markkinoiden ja kilpailun edistäminen Vahvistaa avoimuutta ja läpinäkyvyyttä kuluttajien ja markkinoiden välisessä toiminnassa ja lisätä luottamusta markkinoihin ja siellä toimiviin yrityksiin Digitaalitalouden kehitys sisämarkkinoiden ja EU-kumppanien alueella (Digital Single Market) 30.3.2017 2
Tärkeät käsitteet, artikla 4 Henkilötieto ja rekisteröity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella Rekisterinpitäjä luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Taho, jonka vuoksi henkilötietoja kerätään ja käsitellään Henkilötietojen käsittelijä luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Toimii rekisterinpitäjän ohjauksessa ja valvonnassa 30.3.2017 3
Rekisterinpitäjän velvoitteet Täydentää rekisterinpitäjän ja käsittelijän vastuita ja velvollisuuksia sekä toteutustapaa. Tuo uutena mm. Riskiperusteinen lähestymistapa Riskit on arvioitava, dokumentoitava ja niihin varautumisen toimenpiteet suunniteltava dokumentoidusti Sisäänrakennettu ja oletusarvoinen tietosuoja (Privacy by design/default) Palvelut on oltava oletusarvoisesti tietoturvallisia ja tietosuojan huomioivia rekisteröityjen edut ja oikeudet huomioiden Osoitusvelvollisuus (accountability) ennen riitti, että kertoo toimivansa lain mukaan, nyt se pitää voida osoittaa Ilmoitusvelvollisuus tietosuojaloukkauksista viranomaiselle ja rekisteröidyille Edellyttää kykyä havainnoida loukkaukset! Tietosuojan vaikutustenarviointi tietyissä olosuhteissa PIA: Privacy Impact Assessment / DPIA: Data Protection Impact Assesment Tietosuojavastaavan nimeäminen tietyissä olosuhteissa Tietoturvakontrollien korostuminen henkilötietojen suojaamisessa Henkilötietojen siirtoon liittyviä velvoitteita 30.3.2017 4
Rekisteröidyn oikeudet Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Rekisteröidyn oikeus saada pääsy tietoihinsa Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta Oikeus siirtää tiedot järjestelmästä toiseen Vastustamisoikeus Automatisoidut yksittäispäätökset (viranomaiset) ja profilointi Oikeus tulla informoiduksi henkilötietojentietoturvaloukkauksista Lasten erityisasema Oikeus saada valvontaviranomaiselta apua Oikeus luottaa tietoturvaan 30.3.2017 5
Miten aloitan? Tietosuoja-asetuksen velvoitteiden käyttöönotto on käytännössä projekti, jossa Tunnistetaan ja dokumentoidaan henkilötietorekisterit, henkilötietojen elinkaari sekä tietovirrat organisaatiossa Suoritetaan riskienarviointi ja tietoturvatestaukset Suunnitellaan ja tehdään käyttöönottosuunnitelma riskikontrolleille Erityistilanteissa ja tarvittaessa voidaan joutua tekemään vaikutustenarviointi sekä nimeämään tietosuojavastaava. Aloitukseen löytyy internetistäkin lukuisia ohjeita Esim: http://www.tietosuojakuntoon.fi Ota oppaaksi henkilötietolaki, tietosuojavaltuutetun toimisto http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6jfq8 WnQ7/Ota_oppaaksi_henkilotietolaki.pdf 30.3.2017 6
Vaikeaa? Asetuksen velvoitteet pystyy jokainen täyttämään Se on aikaa vievää, jolloin ulkopuolinen asiantuntija voi tulla kysymykseen, mutta asetus itsessään ei vaadi ihmeitä Muutama vinkki Integroi riskien käsittely nykyiseen riskienhallintaprosessiin Käytä nykyistä IT-dokumentaatio ja rekisteriselosteita kohteiden tunnistamiseen Osallista jokaisen henkilöstöryhmän edustaja alusta asti avoimeen keskusteluun - auttaa myös kohteiden tunnistamisessa Pyydä sopimuskumppaneilta ja asiakkailta tietoa, mitä he toivovat sinulta Aloita pala kerrallaan tärkeimmästä ja vakioi käsittelyprosessi - helpottaa laajentamisessa 7
Mitä sitten konreettisesti pitäisi saada aikaan? Osoitusvelvollisuuden täyttymiseksi organisaatiosta olisi hyvä löytyä: (VAHTI-ohjetta 1/2016 mukaillen) tietosuojapolitiikka ja -organisoituminen; roolit ja vastuut ja kokousten muistiot tietosuojaselosteet, tarvittaessa seloste käsittelytoimista henkilötietojen tietovirtakuvaukset ja tietosäilöjen kuvaukset kuvaukset rekisteröityjen oikeuksien takaamiseksi tehdyistä toimenpiteistä tehdyt tietosuojan riskien arvioinnit hallintakeinoineen ja seurantamuistioineen tietoturvatestauksen tulokset Sisäänrakennetun ja oletusarvoisen tietosuojan toteuttaminen Henkilötietoja käsittelevälle henkilöstölle suunnattavat ohjeet ja koulutussuunnitelma Dokumentaatio mahdollisista henkilötietojen loukkauksista Mahdollisesti tietotilinpäätös keinona toteuttaa osoitusvelvollisuus 8
Kiitos mielenkiinnosta! Jos jokin jäi askarruttamaan, kysy lisää: info@opsec.fi Opsec Oy 03 / 2017 30.3.2017 9