CySec Ice Wall Oy Aki Pitkäjärvi (CSO/CTO/DPO) Eurooppalainen tietosuoja-asetus GDPR General Data Protection Regulation
GDPR 2015 EU:n parlamentti vahvisti GDPR:n Parantaa kansalaisten oikeutta tietosuojaan Vaatii henkilötietojen luottamuksellista käsittelyä Tietojen tallentajien ja säilyttäjien vastuu kasvaa Siirtymäaika 2v (päättyy 25.5.2018)
General Data Protection Regulation on EU-asetus, joka määrittelee, miten EUkansalaisten henkilötietojen käsittely ja yksityisyydensuoja tulee järjestää. Tietosuoja-asetus koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät EU- kansalaisten henkilödataa myös silloin, kun organisaatio sijaitsee EUalueen ulkopuolella. Henkilödataksi käsitetään käytännössä kaikki yksityishenkilöön liittyvä informaatio, esimerkiksi nimi, sosiaalisen median kanaviin ladattu kuva, sähköpostiosoite, potilastiedot, tilitiedot, ym. Euroopan parlamentin Kansalaisvapauksien sekä sisä- ja oikeusasioiden valiokunta LIBE hyväksyi uuden tietoturva-asetuksen luonnoksen 17.12.2015 äänin 48 4. Asetusta oli valmisteltu Euroopan parlamentin, Eurooppaneuvoston sekä Komission kesken vuodesta 2012 alkaen. Euroopan neuvosto ja Euroopan Parlamentti vahvistivat asetuksen toukokuussa 2016, josta alkoi siirtymäaika aina 25.5.2018 saakka. Sword of Damocles, Richard Westall v. 1812
Ketä koskee Täydellä voimalla kaikkia 250+ henkilön yrityksiä sekä kaikkia julkisin varoin toimivia entiteettejä Seuraamussakkona vakavasta rikkeestä 20 m tai 4% yrityksen globaalista liikevaihdosta (kumpi näistä on suurempi). Lievemmän rikkeen sanktio on edellisestä puolet (10 m tai 2%). PK-yrityksille jäsenvaltiot säätävät GDPR:n kanssa sopusoinnussa olevat lievemmät säännöt sanktioineen (vaatimukset: vaikuttava, suhteessa edellisiin, oikein toimimiseen kannustava).
Periaatteita Perusperiaatteet tiedon tallennuksesta ja käsittelystä pätevät Reiluus ja laillisuus korostuvat Läpinäkyvyyttä, tallennuksen tarpeellisuutta ja säilytysaikoja korostetaan fairness lawfulness transparency consistent purpose data minimisation accuracy time limitation integrity confidentiality accountability
Yrityksen velvollisuuksia Nimettävä tietosuojavastaava eli Data Protection Officer / DPO Jos toimija on julkinen yhteisö Toiminnan laajuus vaatii säännöllistä valvontaa Suojattujen tietojen käsittelyn laajuus on suurta Yritysten tulee täyttää riittävän valmiuden kriteerit DPO vastaa organisaation riittävistä valmiuksista käsitellä luottamuksellisia tietoja Uhkana seuraamussakko (Yritys, toimitusjohtaja, hallitus, DPO, erikseen nimetyt toimijat, jne.)
Erityisesti huomioitavia Biometrisen datan ja terveystietojen käyttö Profilointia varten suostumus Yksityisyyden ulottuvuudet tulee selvittää yleisön odotettavissa oleva osaamistaso huomioiden (= vaatimus selkokielestä)
Tiedon lähteen oikeuksia Oikeus saada kopio itseään koskevasta materiaalista Oikeus vaatia tietojaan poistettavaksi Oikeus vaatia tiedon käsittelyn epäämistä Oikeus vaatia tiedon siirtämistä toiselle toimijalle the right to receive a copy of the data the right to data erasure the right to object to processing the right to data portability
Ilmoitusvelvollisuus Kyberturvaan liittyvät tapahtumat (väärinkäyttö, rikos, jne.) lakkaa olemasta asianomistaja-asia Kyberrikokset yleiselle syyttäjälle tutkintaviranomaisena poliisi Velvollisuus ilmoittaa jokaiselle, jonka tietoja on mahdollisesti väärinkäytetty Havainnosta ilmoitukseen aikaa 72h
5 askelta maaliin Rakenna kattava tiedonhallintamalli Varmista, että yrityksen käsittelemien tietojen alkuperä ja oikeellisuus ovat kunnossa. Luetteloi ja ristiviittaa sovellukset, joilla tietoa käsitellään ja säilytetään Huomioi kolmannet osapuolet Vastuuta tietojen omistajat em. seikkojen kirjaamisesta Analysoi ero olemassa olevan ja vaaditun välillä Tarkista mitkä vaatimukset tulevat hoidetuiksi jo nykyisillä menettelyillä Suunnittele ja ota käyttöön tarvittavat uudet kontrollit Varmista muutettavien menettelyjen toimivuus GDPR-yhteensopivassa formaatissaan Rakenna puuttuvien kontrollien menettelyt viipymättä käyttökuntoon Huolehti tietojen salauksesta Salaamalla estetään tallenteiden varastaminen keittiön kautta Valmistaudu todistamaan tietosuoja-asetuksen noudattaminen ja tietojen jäljitettävyys Seuraa vuoden aikana markkinoille tulevia sertifiointiratkaisuja sekä näihin liittyviä palveluja Harkitse vakavasti ulkopuolisen auditoijan käyttöä turvaamisrakenteen tarkastamisessa Varmista, että käytössäsi on alallasi vallitsevan käytännön mukaisesti selkeästi minimivaatimukset täyttävät sovellukset, turvaamismenettelyt sekä niitä tukevat laite- ja ohjelmistoratkaisut
Kiitokset mielenkiinnostane! Aki Pitkäjärvi CSO/CTO/DPO CySec Ice Wall Oy aki.pitkajarvi@cysec.fi 8.4.2017