Tietosuojasta menestystekijä?! Miten valmistautua EU:n uuden tietosuoja-asetuksen vaatimuksiin? ProCom johtajajaos 30.8.2017
Tervetuloa! Eija Warma Partner Elect eija.warma@castren.fi @EijaWarma Laura Teirikko Senior Associate laura.teirikko@castren.fi @LauraTeirikko @CastrenS #CastrenPrivacy 2
Kauppalehti 19.9.2016 3
Uusi tietosuoja-asetus GDPR 25.5.2018 Mikä muuttuu? 4
Henkilötiedon käsittelyn elinkaari asetuksen voimaantulon jälkeen Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja käytännöt Sisäänrakennettu ja oletusarvoinen tietosuoja Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet ja mahdolliset käytännesäännöt Hanki mahdolliset sertifioinnit Tee tarvittaessa vaikutustenarviointi ja nimitä tietosuojavastaava Muista ulkoistaessa kirjallinen tietojenkäsittelysopimus Henkilötietoja kerätessä, informoi rekisteröityjä asetuksessa määritellyn mukaisesti (Huolehdi ilmoitukset viranomaiselle) Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kieltooikeuden käyttö Ylläpidä tietosuojaohjeistukset, rekisteriselosteet, käytännesäännöt ja sertifikaatit - Huolehdi saatavuudesta tietoja kerättäessä Tilintekovelvollisuus - Huolehdi, että voit osoittaa vaatimustenmukaisuuden Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Ylläpidä rekisteröidyn oikeuksia Kansainvälisten - Tarkastusoikeus tiedonsiirtojen hallinta - Oikeus vaatia tietojen - Varmista korjausta /poistoa tietojen sijainti - Kielto-oikeus - Varmista - Oikeus siirtää tiedot riittävä järjestelmästä toiseen tietosuojan taso Ylläpidä tietoturvaa ja EU:n poista tarpeeton tieto ulkopuolisissa - Pidä tieto maissa (esim. ajantasaisena, oikeana komission ja suojeltuna mallisopimuslaus - Hävitä tarpeettomat ekkeet, BCR, tiedot säännöllisesti Privacy Shield) - Huolehdi ilmoitukset henkilötietojen tietoturvaloukkauksista viranomaiselle ja rekisteröidyille Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 5
Käsittelyperusteet suostumus ja oikeutettu etu Suostumuksen määritelmä Vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu Aktiivinen toimi Oikeutettu etu Osoittaa selkeästi rekisteröidyn hyväksyvän henkilötietojensa käsittelyä koskevan ehdotuksen hiljainen suostumus ei enää mahdollinen Asiakassuhde Suoramarkkinointitarkoitukset Verkkosivut ja sosiaalinen media Konsernin sisäinen käsittely Oikeutettu etu edellyttää intressipunnintaa 6
Yksilön oikeudet vahvistuvat Parantaa tarkastus- ja kielto-oikeutta Säätää oikeuden tulla unohdetuksi Oikeus tietojen siirrettävyyteen Suoraan rekisterinpitäjältä toiselle, jos teknisesti mahdollista Oikeus vastustaa käsittelyä Aina oikeus vastustaa käsittelyä suoramarkkinointiin, ml. profilointi Informointivelvoitteen vahvistuminen Oikeuksien käytön mahdollisuus tarjottava selkeästi, helposti, läpinäkyvästi jne. 7
Informointivelvoite Informointihetki: keräyshetki, jos tiedot kerätään rekisteröidyltä itseltään, muutoin kohtuullisen ajan kuluessa Annettavat tiedot vastaavat pääasiassa nykyistä tietosuojaselostetta Lisäksi kerrottava tietojen säilytysaika (tai sen määräytymisperuste), valitusoikeus, suostumuksen peruutusoikeus, ja mahdollinen profilointi Informointi asiakaspalveluelementtinä -> tietosuojasta menestystekijä? 8
Käsittelijät sääntelyn piiriin Käsittelijä taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Nykyään ei juurikaan suoraan laista tulevia velvoitteita käsittelijöille Asetus: Huomioitava vaatimukset käsittelijän omassa toiminnassa Kirjallinen sopimus Itsenäisesti seuraamusten piirissä Konsernissa mietittävä vastuunjakoa rekisterikohtaisesti Useita rekisterinpitäjiä, vai rekisterinpitäjä(t) ja käsittelijä(t)? 9
Ilmoitukset tietoturvaloukkauksista Viranomaiselle Sisältö Viim. 72 h havaitsemisesta, mikäli vuoto todennäköisesti johtaa riskeihin rekisteröidyn oikeuksille Rekisteröidylle Jos vuoto aiheuttaa riskin rekisteröidyn oikeuksille Ilman aiheetonta viivytystä & selkeästi Huom. Poikkeuksia ilmoitusvelvollisuudesta Mitä vuotanut ja kuinka paljon? Mitkä ovat seuraukset & toimenpiteet? DPO:n yhteystiedot, suositukset rekisteröidyille Viestintä mukaan 10
Sakkouhka MEUR 10 / 2% MEUR 20 / 4% 11
Viestinnän check list Asiakasdatan käsitteleminen Missä keräätte asiakasdataa? Esim. verkkosivut, some, tapahtumat, markkinointi Mikä on peruste käsittelylle? Esim. oikeutettu etu, sopimus tai suostumus Suoramarkkinointiluvat? Sähköiseen suoramarkkinointiin nimenomainen suostumus Informaatio henkilötietojen käsittelystä Miten ja missä informoitte henkilötietojen käsittelystä? Sopimukset, verkkosivut, mobiilisovellus, suoramarkkinointiviestit, tapahtumat Henkilötietojen luovuttaminen Luovutatteko henkilötietoja? Henkilöllä oikeus saada tieto siitä, mihin yritys heidän tietojaan luovuttaa jos käsittely perustuu suostumukseen, tämä tieto on annettava suostumuksen yhteydessä 12
Viestinnän check list Henkilötietojen käsittelijät Oletteko ulkoistaneet henkilötietojen käsittelyn esim. markkinointia varten? Sopimukset kuntoon Asiakaspalvelu sosiaalisessa mediassa Informointi Muista yksityisyyden suoja Sisäiset ohjeistukset ja koulutukset henkilötietojen käsittelystä Tietosuoja asiakaspalveluelementtinä Onko henkilötietojen käsittely organisaatiossanne osa asiakaspalvelua ja viestintää? Voisiko tietosuojasta tulla yrityksenne myyntivaltti? 13
Miten valmistautua? 14
Valmistautuminen.. Näe tämä mahdollisuutena tehdä asiat paremmin. Sitouta johto raportoi säännöllisesti. Analysoi tiedonkäsittelyn todellinen merkitys toiminnalle. Priorisoi. jaa tietoa. osallista kollegat. Käännä vaatimukset positiivisen kilpavarustelun draiveriksi ja menestystekijäksi. 15
Muistilista keskeisistä vaatimuksista Johdon tuki / sisäinen viestintä Tietosuoja-asioiden vastuuttaminen / tietosuojavastaava Tietovirta- / järjestelmäkuvaukset Henkilötietojen tunnistaminen Tarvittava sisäinen dokumentaatio: periaatteet, ohjeistukset, politiikat Oletusarvoisen ja sisäänrakennetun tietosuojavaatimusten huomioiminen (privacy by design/privacy by default) Vaikutusten arviointi (DPIA) Yhteydenpito viranomaisen kanssa 16
Muistilista keskeisistä vaatimuksista Tietoturvavaatimukset Sopimustenhallinta Rekisteröityjen riittävä informointi Suostumustenhallinta Rekisteröityjen oikeuksien hallinnointi / varmistaminen Kansainväliset tiedonsiirrot Tietoturvaloukkausilmoitukset Henkilöstön koulutus / tiedon jakaminen Sisäinen tarkastus / tietosuojatilinpäätös 17
Privacy has historically been viewed as an impediment to innovation and progress, but that s so yesterday and so ineffective as a business model. Without user trust, technologies can t move forward. - Ann Cavoukian, Ontario Information and Privacy Commissioner Privacy Program Management, IAPP Publication (2013) 18
Eija Warma & Laura Teirikko 19