Kokemuksia ja näkemyksiä tietosuojaasetuksen

Samankaltaiset tiedostot
1 Tietosuojapolitiikka

Ulvilan kaupungin tietosuojapolitiikka

Tietosuojavastaavan elämää

Eläketurvakeskuksen tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

GDPR Tietosuoja-asetus

TIETOSUOJATYÖN ORGANISOINTI

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

OHJELMA TIETOSUOJAVASTAAVAN KOULUTUSOHJEMA

Tietosuojatehtävät. Järvenpään kaupungissa

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

OHJELMA TIETOSUOJAVASTAAVAN KOULUTUSOHJEMA

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Teknologia avusteiset palvelutverkostopalaveri

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus (GDPR)

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Kertausta lähtökohtiin liittyen

Kaupunginhallitus Liite 2 203

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietosuoja-asetus ja sen kansallinen implementointi

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Haminan tietosuojapolitiikka

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Easy GDPR Ohjeet ja käyttö

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuojaseloste Espoon kaupunki

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Varustekorttirekisteri - Tietosuojaseloste

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Espoon kaupunki

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

T E R H O N E V A S A L O

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJAPOLITIIKKA

Tietosuojan etukäteinen vaikutustenarviointi (DPIA)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuojaseloste Espoon kaupunki

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Salon kaupunki , 1820/ /2018

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Salon kaupunki / /2018

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Salon kaupunki / /2018

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojakysely 2018

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Rekisteriseloste, Espoon kaupunki

IF-INFO MEKLAREILLE

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Easy GDPR Ohjeet ja käyttö

Vaikutustenarviointi GDPR:n mukaan

KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018

Tietosuoja-asetus Immo Aakkula Arkistointi

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Tietosuojakysely 2019

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

ASIAKKAIDEN HENKILÖTIETOJEN KÄSITTELY KAUPUNGIN VUOKRATALOYHTIÖSSÄ. Lakimies Sanna Mäkilä, Helsingin kaupungin asunnot Oy

Organisaatioluvan hakeminen

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Politiikka: Tietosuoja Sivu 1/5

Hanki myös itse koulutusta säännöllisesti UKK-dokumentin tekeminen Verkkokoulutusohjelma testeineen Blogi/muu sisäinen viestintä

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

AJANKOHTAISTA TIETOSUOJASSA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Ohjeet tietosuoja-asetuksen mukaisiin tietopyyntöihin ja muihin rekisteröidyn oikeuksiin reagoimiseksi

TIETOSUOJAVASTAAVA PROJEKTI SOPIMUS

Transkriptio:

Kokemuksia ja näkemyksiä tietosuojaasetuksen soveltamisesta JUHTA:n toteuttamat tietosuojayhteishankkeet, Työpaja # 4 Annina Hautala, ryhmäpäällikkö, Poliisihallitus 1

Esityksen teemat Tietosuojatyön organisointi -esimerkki Henkilötietojen käsittelyyn sovellettavan lainsäädännön tunnistaminen Kokemuksia tietosuojapolitiikasta Ajatuksia tietosuojanhallintamalliin liittyen Tietojärjestelmien muutostarpeet ja niiden vaikutusten arviointi Tietosuojaa koskeva vaikutustenarviointi 2

Tietosuojatyön organisointiesimerkki isompaan organisaatioon Organisaation johto / "keskustoiminnot" Tietosuojavastaava Tietosuojaryhmä Yksikkö/toimiala Yksikkö/toimiala Yksikkö/toimiala Paikalliset tietosuojan vastuuhenkilöt Tietosuojaverkosto Yhteistyössä tietoturvallisuusja organisaatioturvallisuus-/ riskienhallintaorganisaation kanssa Huom! tietosuojan varmistaminen ja huomiointi on kaikkien tehtävä 3

Esimerkki tietosuojalainsäädäntökehikon tunnistamisesta Henkilöstön tiedot Sovellettava 25.5.2018 Eu:n yleinen tietosuojaasetus Tietosuojalaki Aseluvat Tuntomerkkitiedot Julkisuuslaki, tietoturvallisuusasetus Ns. rikosasioiden tietosuojadirektiivi Tiedonhallintalainsäädäntö Passi-/henkilökorttitiedot henkilökuulutustiedot "Direktiivin toimeenpanolaki" Erityislainsäädäntö; PolHetiL Tutkintaja virkaaputiedot Tiedonhallinta (mm. arkistointi) Sovellettava 6.5.2018 4

Kokemuksia tietosuojapolitiikasta 1(3) Tietosuojapolitiikan tulisi sisältää ylimmän johdon sitoumukset ja linjaukset koskien tietosuojaa. Näitä voisivat olla esim. tietosuojatavoitteet organisointiin ja vastuisiin liittyvät linjaukset sitoutuminen tietosuojavaatimusten täyttämiseen ja toiminnan jatkuvaan kehittämiseen keskeisimmät toteutuskeinot sekä seuranta- ja arviointitavat 5

Kokemuksia tietosuojapolitiikasta 2(3) Tietosuojapolitiikkaa laadittaessa on hyvä pyrkiä sovittamaan se organisaation henkilötietojen käsittelyn tarkoitukseen ja organisaation tarpeisiin Ei saa unohtaa rekisteröityjen oikeuksia ja vaatimusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta Tietosuojapolitiikan tulisi ohjata toiminnan tavoitteiden asettamista Tärkeää on huolehtia, että tietosuojapolitiikka on koko henkilöstön tiedossa 6

Kokemuksia tietosuojapolitiikasta 3(3) Tietosuoja-asetus ohjaa siihen, että useimmiten pelkkä politiikkatason asiakirja ei riitä Täydennettävä yksityiskohtaisemmilla hallintakeinoilla ja ohjeistuksella ja muulla dokumentaatiolla Tietosuojapolitiikka toimii yhtenä osoitusvelvollisuuden välineenä Tietoturvapolitiikka ei riitä korvaamaan tietosuojapolitiikkaa Tietoturvasta ja tietosuojasta voi olla usein perusteltua laatia yhteinen politiikka On järkevää pyrkiä siihen, että tietosuojapolitiikka on kiteytetty ja tiivis paketti 7

Esimerkkiajatuksia tietosuojanhallintamallin vuosikellosta _ Tietosuojan visio Vuosisuunnittelu, ml. vuosikellon päivittäminen ja auditointisuunnitelma Tietosuojatavoitteiden, ml. kehitystoimien tilannekatselmointi Tietosuojaorganisaation tapaaminen Auditointien ja muiden tarkastusten toteuttaminen Toimintaympäristön arviointi Jatkuvaa työtä (mm.) Tietojen käsittelyn seuranta + valvonta, ml. lokiselvitykset Tietosuojan huomiointi hankkeissa, hankinnoissa + "perustoiminnassa" (ml. vaikutustenarviointi- ja ennakkokuuleminen) Tietosuojapoikkeamien seuranta ja hallinta, riskienhallinta Tietosuojan ja osaamisen kehittäminen Viestintä ja sidosryhmäyhteistyö Tietosuojatavoitteiden toteutumisen seuranta, palaute Lokajoulukuu Tammimaaliskuu Tietotilinpäätöksen laatiminen, johdolle raportointi Tietosuojaorganisaation tapaaminen Käyttövaltuuksien ajantasaisuuden tarkastaminen ja tarvittaessa päivittäminen Tietosuojariskien arviointi ja analyysi (ml. hallintatoimet) Tietosuojan vastuunjakotaulukon katselmointi ja päivittäminen Tietosuojaorganisaation tapaaminen Tietoturva- ja tietosuojapolitiikan, tietosuojamääräysten ja -ohjeiden katselmointi sekä päivittäminen Huhtikesäkuu Heinäsyyskuu Tietosuojaselosteiden katselmointi ja päivittäminen Tietosuojakoulutustarpeiden arviointi ja kouluttaminen Turvallisuussopimustilanteen katselmointi ja tarvittavat päivitykset Tietosuojaorganisaation tapaaminen 8

Tietojärjestelmien muutostarpeet ja niiden vaikutusten arviointi (esimerkki) Velvoite Tietosuoja-asetus 19 art; Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 artiklan, 17 artiklan 1 kohdan ja 18 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää. Käytännön tulkinta Edellyttääkö uudistuksia/ millaisia? Vastuutaho Toteutusaikataulu Kustannusarvio 9

Ajatuksia tietosuojaa koskevasta vaikutustenarviointiprosessista ja sen luomisesta 1(3) Vaikutustenarviointiprosessi mahdollisimman yksinkertaiseksi ja riittävän kevyeksi Auta laatimista esim. ennakkokysymyksillä Vaikutustenarvioinnin dokumentoinnissa kannattaa hyödyntää olemassa olevia materiaaleja Esim. suojaustoimia kuvattaessa Huomioon myös viestintätavan vaikutus Tärkeää olisi ymmärryttää vaikutustenarviointi mahdollisuudeksi toiminnan kehittämiseen! Ei kannata miettiä pelkästään, milloin arviointi on lainsäädännön mukaan pakko tehdä 10

Ajatuksia tietosuojaa koskevasta vaikutustenarviointiprosessista ja sen luomisesta 2(3) Selkeät roolit ja vastuut! Esim. Tietosuojavastaava/tietosuoja-asiantuntijat luo toteutusmallin ja tarjoaa välineet sekä osallistuu neuvomalla / tukea antamalla pyydettäessä Tietosuojavastaava valvoo vaikutustenarviointien toteutusta Toiminnan/projektin vastuuhenkilö huolehtii, että vaikutustenarviointi tulee tehdyksi ja raportoiduksi Substanssiasiantuntijat osallistuvat vaikutustenarvioinnin tekemiseen tuomalla siinä tarvittavan asiantuntemuksen toiminnasta ja sen tarpeista Toiminnan "omistaja" / projektin ohjausryhmä käsittelee/hyväksyy tuloksen Tietosuojan valvontaviranomainen jos tulokset osoittavat korkean riskin, jota ei pienennetä toimenpiteillä, kuultava ennakkoon 11

Ajatuksia tietosuojaa koskevasta vaikutustenarviointiprosessista ja sen luomisesta 3(3) Toteutuskeinoja on erilaisia ja niitä kannattaa hyödyntää monipuolisesti, esim. työpajat dokumentaation, järjestelmien sekä prosessien katselmoinnit haastattelut kyselyt asioiden visualisointi Liikkeellelähtö mahdollista kevyesti pilotilla Kokeillaan ja kehitetään 12

Menestyksekästä tietosuojatyötä! Kiitos Annina Hautala, ryhmäpäällikkö, VT Poliisihallitus, Poliisin tietopalvelukeskus, tietosuojaryhmä puh. 0295 480 181 (vaihde) etunimi.sukunimi@poliisi.fi 13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute