Tietosuojahankkeen esittely ota tietosuojaasetuksen vaatimukset haltuun! Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto
EU:n yleinen tietosuoja-asetus Yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja -vapauksien suojelua ja varmistaa henkilötietojen vapaan liikkuvuuden jäsenvaltioiden välillä Soveltaminen 25.5.2018 lukien Asetus on jo voimassa! Ei enää uutta perälautaa! Suoraan sovellettava asetus; sisältää kansallista liikkumavaraa Henkilötietolaki (523/1999) kumotaan Tilalle tietosuojalaki, TATTI- työryhmän mietintö http://www.privacy-regulation.eu/fi/index.htm 12.9.2017 2
Tietosuojassa on luottamuksesta, osaamisesta ja oikeusturvasta Organisaation tietosuojaosaaminen turvaa asiakkaiden tietosuojan ja henkilötietoja käsittelevien oikeusturvan Tietojen asiallisesti perustellusta ja oikeaoppisesta sujuvasta käsittelystä tiedon elinkaaren eri vaiheissa Tietojen kerääminen, tallentaminen, käyttö, yhdistäminen, siirto, luovuttaminen, arkistointi, säilyttäminen, hävittäminen ja muu käsittely Tietosuoja hyvin hoidettuna on mahdollistaja ja menestystekijä 3
EU:n yleinen tietosuoja-asetus 2 art. Sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista sekä sellaisten henkilötietojen käsittelyyn, muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa Ei sovelleta mm. henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa 12.9.2017 4
Muutoksia suhteessa henkilötietolakiin mm.: Sisäänrakennettu ja oletusarvoinen tietosuoja Uusia velvollisuuksia rekisterinpitäjälle Riskilähtöinen toiminta Tietosuojavastaava nimitysvelvollisuus Korostaa rekisterinpitäjän vastuuta ohjeistaa omaa henkilökuntaa ja henkilötietojen käsittelijöitä Myös henkilötietojen käsittelijöillä oma vastuu Sopimukset kuntoon, hankintamenettely Hallinnolliset sakot Velvollisuus ilmoittaa tietoturvaloukkauksista ->>>>>>>OSOITUSVELVOLLISUUS Ohje: Tietosuoja-asetuksen huomioiminen kilpailutettaessa julkisia hankintoja https://www.kuntaliitto.fi/asiantuntijapalvelut/laki/tietosuoja 12.9.2017 5
12.9.2017 6
JUHTA tietosuojan yhteishanke: VERKKOKOULUTUSTA,OSAAMISEN TESTAAMISTA JA TYÖPAJOJA KOKO JULKISELLE SEKTORILLE YHDESSÄ 12.9.2017 7
#tuki2018 #stöd2018 Yhteishankkeen tavoite Lisätä yleistä tietosuojaan ja tietoturvaan liittyvää osaamista Tukea julkishallinnon organisaatioita tietosuojaasetuksen osoitusvelvollisuuden toteuttamisessa Parantaa riskienhallintaa, tietoturvapoikkeamien ja jatkuvuuden hallintaa julkishallinnon organisaatioissa 12.9.2017 8
Tietosuoja ja -turvaosaamisen kehittämistä Videokoulutusta, nettitestejä, lisämateriaalia, työpajoja Materiaali tuotetaan Juhta asiantuntijaryhmän tietoturva, tietosuoja ja varautuminen toimesta, lisäksi materiaali tarkistetaan tietosuojavaltuutetun toimistossa Materiaali maksutonta ja avointa julkishallinnolle, ilmoittautumismenettely Tavoitteena, että 80 % henkilöstöstä suorittaa Arjen tietosuojaan liittyvän nettitestin VAHTI tulee kysymään organisaatioilta tilannetta 30.11.2017 ja 30.3.2018 12.9.2017 9
#tuki2018 #stöd2018 Materiaalit ja verkkotallenteet Ensimmäinen video Arjen tietosuoja + nettitesti + materiaali on julkaistu, kaikki löytyvät arjentietosuoja.fi sivustolta, sivustolta löytyvät myös ilmoittautumislinkit työpajatilaisuuksiin ja materiaaleihin Työpajojen tallenteet ja materiaalit löytyvät VM/Vahtisivustolta JUHTA-VAHTI-yhteishankkeiden materiaalit Julkishallinnon organisaatioille on lähtenyt 28.6.2017 VAHTIkirje, jossa on useita tehtäviä, joista osa on valtionhallinnon organisaatioille velvoittavia, kunnille suosituksia 10
www.arjentietosuoja.fi Tietosuoja yhteishanke työpaja #2-18.8.2017 12
Videoita tulossa Työpaikan tietosuoja Osio johdolle ja esimiehille (syyskuussa) Yhteinen osio laajennus Arjen tietosuojaan Tietosuoja henkilötietoja käsitteleville (suunniteltu marraskuu) Osio ICT:lle ja tietohallinnolle (marraskuu) Osiot opetustoimen, SOTE:n henkilöstölle (joulukuu) Osio hallinnon-, talouden- markkinointi ja henkilöstöhallinnon henkilöstölle (tammikuu) Videot ja testit julkaistaan avoimesti ja löytyvät arjentietosuoja.fi -sivustolta 12.9.2017 13
Työpajat Tavoitteena edistää tietosuojan osoitusvelvollisuuden toteuttamista sekä riskienhallinnan, tietoturvapoikkeamien ja tietosuojaloukkausten hallinnan prosesseja Pidetään VM:n tiloissa Mariankadulla n. kuukauden välein KPMG valmistelee materiaalin, mitä työpajoissa työstetään edelleen Materiaalit tarkastutetaan tietosuojavaltuutetun toimistossa ja oikeusministeriössä Tarkoituksena saada yhteisiä ohjeita ja menettelytapoja Työpajojen ohjelma ja ilmoittautuminen lähetetään yhteyshenkilöiden kautta Striimaus, mahdollisuus katsoa myös myöhemmin 12.9.2017 14
Työpajoja 2017 1. Tietosuojan osoitusvelvollisuus ja riskienhallinta osa 1 (yleinen osuus) 12.6.2017 2. Tietojärjestelmien lokittaminen, valvonta ja raportointi, lokien säilyttäminen ja riskienhallinta osa 2 (ISO 31000-prosessin soveltaminen) 18.8.2017 3. Tietoturvallisuuden toteuttaminen organisaation toiminnassa mitä asetus edellyttää ja miten se käytännössä toteutetaan? Riskienhallinta osa 3, riskien hallinta ja toimenpiteiden seuranta sekä arviointityöpajojen toteuttaminen 4.9.2017 4. Rekisterinpitäjän velvollisuuksien toteuttaminen (politiikat, prosessit, Privacy by design, perustiedot henkilötietojen käsittelystä, lailliset käsittelyperusteet, käsittelyn periaatteet, tiedon elinkaaren hallinta, tiedonantovelvoitteet, dokumentaatio jne) ja riskienhallinta osa 4, tietosuojanäkökulma, 29.9.2017 5. Vaatimusten huomioiminen uusia palveluita ja tietojärjestelmiä kehittäessä, ennakkokuulemiset, vaikutustenarviointi sekä tietosuojan ja tietoturvallisuuden huomioiminen hankinnoissa ja sopimuksissa, 25.10.2017 15
6. Tietosuojavastaavan rooli sekä vastuut sekä kuinka tehtävän hoitaminen onnistuu menestyksekkäästi ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 1 taustaa, havainnointikyky sekä reagointi kuinka tietosuojaloukkaukset voidaan tunnistaa? Tiedonannot ja viranomaisille ja rekisteröidyille, 17.11.2017 7. Rekisteröidyn oikeuksien toteuttaminen, lasten erityisaseman huomioiminen ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 2 tarvittavien prosessien ja kyvykkyyksien kehittäminen sekä ohjeistus ja koulutus, tarvittava yhteistyö eri toimijoiden kesken. 8.12.2017 16
Työpajoja 2018 8. Suostumukset (sovellettavuus, muoto, hallinta) ja uuden rekisteriselostemallin luominen ja tietosuojaselosteet ja tietoturvapoikkeama- ja tietosuojaloukkaustilanteiden hallinta, osa 4(Case esimerkki ja harjoitus), tammikuu 2018 9. Sopimukset ja hankinnat, tietojen luovuttaminen ja siirtäminen, helmikuu 2018 10. Jatkuvuussuunnittelun peruskäsitteet ja määritelmät, organisaation toimintaympäristö, jatkuvuuden hallinnan johtaminen tietosuojanäkökulma, helmikuu 2018 11. Jatkuvuuden hallintajärjestelmän suunnittelu tietosuojan näkökulmasta, maaliskuu 2018 12. Jatkuvuuden hallintajärjestelmän suunnittelu ja jatkuvuuden tukitoiminnot tietosuojan näkökulmasta, huhtikuu 2018 13. Jatkuvuudenhallinnan toteuttaminen tietosuojan näkökulmasta, toukokuu 2018 14. BIA-ohjeen läpikäynti, kesäkuu 2018 15. Tietosuojan hallinnan mittaaminen, arviointi ja kehittäminen, elokuu 2018 16. Häiriötilanneharjoitus - suunnittelu yhteistyössä JUHTA/VAHTI, syyskuu 2018 17. Häiriötilanneharjoituksen purku, yhteistyössä JUHTA/VAHTI, lokakuu 2018 18. Yhteishankkeen päätöstilaisuus Säätytalolla, joulukuu 2018 17
Työpajojen suunnitellut tuotokset Osoitusvelvollisuuden toteuttaminen Riskienhallinnan opas/dpia-prosessin kuvaus Prosessit, tiedon elinkaaren hallinta ja Privacy by design Rekisteröidyn oikeudet ja niiden toteuttaminen Henkilötietoihin kohdistuvien tietoturvaloukkausten hallinta ja ilmoitusprosessi Tietosuojavastaavan asema ja tehtävät Henkilötietojen siirrot/luovutukset 12.9.2017 18
KIITOS MIELENKIINNOSTA, KYSYMYKSIÄ? Tuula Seppo Erityisasiantuntija Tietoyhteiskunta Suomen Kuntaliitto ry +358 50 428 8255 tuula.seppo[at]kuntaliitto.fi Twitter @tuula_seppo Seppo, Tuula (2017). Pro gradu Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen vaatimukset rekisterinpitäjälle http://epublications.uef.fi/pub/urn_nbn_fi_uef- 20170658/urn_nbn_fi_uef-20170658.pdf