Elinkeino- ja työmarkkinatiedote 6/ (13)

Samankaltaiset tiedostot
Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n tietosuoja-asetus

Tietosuojavaltuutetun toimiston tietoisku

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Termit. Tietosuojaseloste

Informaatiovelvoite ja tietosuojaperiaate

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuojaasiat. yhdistysten näkökulmasta

Koulutuskiertue

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Tietosuoja-asetus (GDPR)

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tutkittavan informointi ja suostumus

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Henkilötietojen huolellinen käsittely marttayhdistyksissä. Reijo Petrell, Marttaliiton hallinto- ja talousjohtaja

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Tietoturva yhdistyksessä

Henkilötietojen käsittelyn ehdot palveluntuottajille

TIETOSUOJA ASETUKSEN SOVELTAMINEN ALKAA TOUKOKUUSSA 1. SELVITÄ, MITÄ HENKILÖTIETOJA KÄSITTELET

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Kolarin kunnan tietosuojapolitiikka

Mikä GDPR? General Data Protection Regulation

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Haminan tietosuojapolitiikka

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

GDPR. Timo Kokkonen Webinaari

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tampereen Aikidoseura Nozomi ry

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Rekisteri- ja tietosuojaseloste

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Varustekorttirekisteri - Tietosuojaseloste

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tiedon elinkaaren hallinta Henkilötietojen suoja

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste 1 (5)

EU:n tietosuoja-asetus palokuntien kannalta

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Henkilötietosuoja ja tiekunta. Nina Raitanen 2018

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Henkilötietojesi käsittelyn tarkoituksena on:

EU:n tietosuoja-asetus ja sähköposti

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste. Rekisterin pitäjä. Rekisterin nimi. Henkilötietojen käsittelyn tarkoitukset ja peruste. Käsiteltävät henkilötiedot

EU:n tietosuoja-asetus (GDPR)

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Organisaatioluvan hakeminen

LSPeL Porin toiminta-alueen kevätseminaari

Tietosuojaseloste 1 (6)

UUSI TIETOSUOJA-ASETUS. Kasvufoorumi ry Y-tunnus:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Relipe Oy. Tilitoimiston asiakasrekisterin TIETOSUOJASELOSTE

TIETOSUOJASELOSTE. Pvm: EU:n yleinen tietosuoja-asetus (GDPR) Rekisterinpitäjä

EU:n tietosuoja-asetus palokuntien kannalta

EU:n tietosuoja-asetus Matti Sarmela

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Teknologia avusteiset palvelutverkostopalaveri

IF-INFO MEKLAREILLE

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Taloyhtiön tietosuojakäytännöt

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Transkriptio:

Elinkeino- ja työmarkkinatiedote 6/2017 1 (13) Uusi tietosuoja-asetus EU:ssa on tullut voimaan tietosuoja-asetus. Henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista 25.5.2018 alkaen. Suomessa säädetään lisäksi uusi tietosuojalaki, jonka sisältöä ja voimaantuloa ei ole vielä vahvistettu. Tietosuoja-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetuksessa on säädetty aiempaa tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Valvontaviranomainen voi esimerkiksi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja hallinnollisia sakkoja. Ketä tietosuoja-asetus koskee? Henkilötietojen käsittelyssä on huomioitava tietosuojalainsäädäntö. Käytännössä lähes jokainen yritys käsittelee henkilötietoja, sillä henkilötietorekisteri muodostuu esimerkiksi työntekijöiden henkilötiedoista. Myös asiakas- tai markkinointirekisterit ovat henkilörekistereitä, jos niihin on tallennettu henkilötietoja. Tietosuoja-asetus koskee kaikkia, jotka käsittelevät henkilötietoja. Asetusta sovelletaan sekä yksityisellä että julkisella sektorilla riippumatta esimerkiksi henkilötietojen käsittelyn laajuudesta, käsiteltävien henkilötietojen luonteesta tai käytetystä teknologiasta. Mikä on henkilötieto ja -rekisteri? Henkilötiedoilla tarkoitetaan tietosuoja-asetuksessa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen tekijän perusteella. Rekisterillä tarkoitetaan tietosuoja-asetuksessa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein. Kaikki rekisterit kuuluvat tietosuoja-asetuksen piiriin riippumatta toteuttamistavasta tai siitä, miten rekisteriä ylläpidetään. Esimerkiksi työntekijöistä ylläpidettävä excel-taulukko on henkilörekisteri, koska se sisältää henkilötietoja. Samaan henkilörekisteriin kuuluvat kaikki samaa käyttötarkoitusta varten kerätyt henkilötiedot. Samaan rekisteriin sisältyviä tietoja voi olla esimerkiksi osittain sähköisesti ja osittain paperilla. Samaan rekisteriin sisältyviä tietoja voi olla myös eri paikoissa tai eri henkilöiden hallussa.

Elinkeino- ja työmarkkinatiedote 6/2017 2 (13) Mitä pitää tehdä? Yrityksen on ennen 25.5.2018 varmistuttava, että henkilötietojen käsittely on tietosuojaasetuksen mukaista. Tietosuoja-asetus edellyttää seuraavia toimenpiteitä: 1. Kartoita henkilötietojen käsittelyn nykytila Tässä kartoituksessa voidaan esimerkiksi kuvata mitä henkilötietoja yrityksen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, mitä henkilötietoja yrityksen toiminnassa pitää käsitellä, millä perusteella henkilötietoja käsitellään, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. 2. Arvioi tietosuojaasetuksen vaikutukset Kun henkilötietojen käsittelyn nykytila on kartoitettu, on mietittävä, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetuksen sääntely henkilötietojen käsittelylle tarkoittaa. Henkilötietojen käsittelylle on aina oltava asetuksessa säädetty peruste. Henkilötietoja voidaan käsitellä esimerkiksi sopimuksen täyttämiseksi tai lakisääteisten velvoitteiden hoitamiseksi.

Elinkeino- ja työmarkkinatiedote 6/2017 3 (13) 3. Toteuta tietosuojaperiaatteita Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Henkilötietojen käsittelyä asetuksessa ohjaavat seuraavat periaatteet: henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, henkilötietojen on oltava asianmukaisia ja olennaisia, henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä, henkilötietoja saa säilyttää vain niin kauan kuin tarpeen, henkilötietoja on käsiteltävä turvallisesti (suojaaminen luvattomalta ja lainvastaiselta käytöltä) 4. Osoita, että noudatat tietosuojaperiaatteita ja tietosuoja-asetusta Yrityksen on pystyttävä osoittamaan, että tietosuojaperiaatteita ja tietosuoja-asetusta noudatetaan. Aiemmin on riittänyt, että säännöksiä noudatetaan, mutta tietosuoja-asetuksen mukaan asia on erikseen osoitettava. Yrityksen on arvioitava, mitä tietosuojaperiaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Käytännössä yrityksen on suunniteltava ja dokumentoiva henkilötietojen käsittely. Yrityksen tulee käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Yrityksen on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei jaeta ilman henkilön suostumusta. Kun yritys määrittää käsittelytavat ja käsittelee henkilötietoja, pitää toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet. Näillä toimenpiteillä tarkoitetaan suojatoimenpiteitä kuten esimerkiksi henkilöstön koulutusta, henkilöstölle annettuja ohjeita ja määräyksiä, salassapitositoumuksia, tilavalvontaa, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa ja tietojen salausta.

Elinkeino- ja työmarkkinatiedote 6/2017 4 (13) 5. Laadi seloste henkilötietojen käsittelystä Tietosuoja-asetuksen mukaan rekisterinpitäjien ja henkilötietojen käsittelijöiden on pääsääntöisesti ylläpidettävä selostetta sen vastuulla olevista käsittelytoimista, jotta voidaan osoittaa, että ne ovat asetuksen mukaisia. Selosteen on asetuksen mukaan oltava kirjallisessa muodossa ja se on pyydettäessä toimitettava viranomaiselle. 6. Varmista, että toteutat rekisteröidyn oikeuksia Yrityksen yhtenä velvollisuutena on toteuttaa rekisteröidyn oikeuksia. Rekisteröidyn oikeudet on otettava huomioon henkilötietojen käsittelyssä. Rekisterinpitäjän on pyynnöstä toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle. Rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista. Rekisteröidyllä on oikeus oikaista tietoja ja oikeus pyytää tietojen poistamista.

Elinkeino- ja työmarkkinatiedote 6/2017 5 (13) 7. Arvioi mahdolliset riskit Tietosuoja-asetuksessa yrityksen velvoitteet määräytyvät riskiperusteisen lähestymistavan perusteella. Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Yrityksen on tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen. Käytännössä maa- ja vesirakennusalan yritysten henkilötietojen käsittelyyn liittyvät riskit ovat yleensä melko pieniä, jolloin ei edellytetä erityistä vaikutustenarviointia. 8. Varmistu tietoturvasta ja määritä suojatoimet Yrityksen tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetusta. Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi. Toimenpiteiden avulla varmistetaan asianmukainen turvallisuustaso, kun otetaan huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa. Yrityksen tulee määrittää asianmukaiset suojatoimet. Tällöin otetaan huomioon käytettävissä oleva tekniikka, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

Elinkeino- ja työmarkkinatiedote 6/2017 6 (13) 9. Varaudu henkilötietojen tietoturvaloukkauksiin Tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta. Rekisterinpitäjä voi jättää tietoturvaloukkausta koskevan ilmoituksen tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan. Osana henkilötietojen käsittelyn suunnittelua tulisi suunnitella prosessit myös mahdollisten tietoturvaloukkausten varalle, jotta tietoturvaloukkaukseen liittyvien ilmoitusvelvollisuuksien täyttäminen olisi mahdollista. Yrityksessä tulisi suunnitella miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan. Erilaisia tilanteita varten tulisi laatia toimintaohjeet ja huolehtia osaamisesta kriisitilanteessa.

Elinkeino- ja työmarkkinatiedote 6/2017 7 (13) Mistä lisätietoa? Koulutusta Tietosuojavaltuutettu ohjeistaa tarkemmin tietosuojaan liittyvistä asioista: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html Tietosuojavaltuutetun toimisto on julkaissut oppaan tietosuoja-asetukseen valmistautumisesta: http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltu utetuntoimisto/oppaat/1em8rt7if/miten_valmistautua_eun_tietosuojaasetukseen.pdf Euroopan komission esite auttaa pk-yrityksiä valmistautumaan uusiin sääntöihin. Esite voi olla avuksi henkilötietojen käsittelyn suunnittelussa selventämällä henkilötietojen käsittelyyn liittyviä oikeuksia ja velvollisuuksia: http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuoj avaltuutetuntoimisto/tiedotteet/z0pdcbww7/data_protection_infographic_fi- LR.pdf Tietosuoja nykytilakartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, joka on organisaation sisäisen tarkastelun tuloksena laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista. Tietosuojavaltuutetun toimisto on julkaissut oppaan tietotilinpäätöksen tekemisestä. Tietotilinpäätös on raportti, joka syntyy organisaation sisäisen tarkastelun tuloksena ja antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Tietotilinpäätös kuvaa myös henkilötietolain mukaisen hyvän tietojenkäsittelytavan noudattamista. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuoj avaltuutetuntoimisto/tiedotteet/6jecjrdjj/laadi_tietotilinpaatos.pdf Yritys voi arvioida henkilötietojen käsittelyn tietosuojaa ja tietoturvaa tee-se-itse -tarkastuksen avulla. Materiaali on saatavilla http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuoj avaltuutetuntoimisto/oppaat/6jfqkrtvj/tietosuojan_ja_tietoturvan_tee_se_itse_tarkastus.pdf Koulutusta tietosuoja-asetuksesta järjestää esimerkiksi Kauppakamarin Koulutus: https://www.kauppakamarikauppa.fi/koulutukset.html Katso myös lähimmän Kauppakamarin paikallinen koulutustarjonta Kauppakamarien omilta sivuilta: https://kauppakamari.fi/k2/kauppakamarit/etsi-oma-kauppakamarisi/ Yritysakatemia järjestää koulutuksia ympäri Suomen: https://www.yritysakatemia.fi/koulutukset/kaikki_koulutukset/uusi_tietosuojaasetus_-_tietosuojasaantelyn_uudistus.3535.html INFRA ry on laatinut liitteenä olevan esimerkkikysymysluettelon, jonka avulla voidaan kartoittaa tietosuojan nykytila ja laatia dokumentaatio, jolla osoitetaan, että tietosuoja-asetusta noudatetaan. Ohjeistus on laadittu sen perusteella, mitä tämänhetkisen tiedon mukaan yritysten edellytetään tekevän noudattaakseen tietosuoja-asetusta. Täsmennämme ohjeistusta ja tiedotamme tarkemmin, kun kansallinen lainsäädäntö vahvistuu.

Elinkeino- ja työmarkkinatiedote 6/2017 8 (13) Selvitys henkilötietojen käsittelystä ja tietosuojasta Seuraavassa esitetään esimerkkikysymyksiä, joiden perusteella yritys voi kartoittaa tietosuojan nykytilan sekä laatia dokumentaation, jolla yritys osoittaa noudattavansa tietosuoja-asetusta. Dokumentaatio voidaan laatia käyttämällä apuna esimerkkikysymyksiä ja niissä käsiteltyjä aiheita. Yrityksen on laadittava dokumentaatio omasta näkökulmastaan, joten valmista mallia ei ole olemassa. Tietosuoja-asetuksen lisäksi on noudatettava kansallista lainsäädäntöä. Tällä hetkellä Suomessa on voimassa henkilötietolaki, jota on ehdotettu kumottavaksi samalla, kun on ehdotettu säädettäväksi uusi tietosuojalaki. Tietosuojalain sisällöstä tai voimaantulosta ei ole vielä tarkkaa tietoa. Tämä ohjeistus on laadittu tietosuoja-asetuksen perusteella. Täsmennämme ohjeistusta, kun tietosuojalain sisältö varmistuu. Yrityksen tietosuojan nykytilan kartoittaminen Pvm: Yrityksen on kartoitettava tietojenkäsittelyn nykytila. Nykytilan osalta arvioidaan tilannetta ennen tietosuoja-asetuksen voimaantuloa. 1. Mitä henkilötietoja yrityksen hallussa on? työntekijöiden nimet, yhteystiedot, henkilötunnukset ym. asiakkaiden nimet, yhteystiedot ym. yhteistyökumppaneiden nimet, yhteystiedot ym. huom: henkilötiedoilla ei tarkoita yritystä koskevia tietoja. 2. Miten tietosuojaperiaatteet on otettu huomioon? Henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Tietoja kerätään vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötiedot ovat täsmällisiä ja ne päivitetään tarvittaessa. Henkilötietoja säilytetään vain tarpeellisen ajan. Henkilötietoja käsitellään luottamuksellisesti ja turvallisesti. 3. Mitä henkilötietoja yrityksen toiminnassa pitää käsitellä? työntekijöiden nimet, yhteystiedot, henkilötunnukset ym. asiakkaiden nimet, yhteystiedot ym. yhteistyökumppaneiden nimet, yhteystiedot ym. 4. Millä perusteella henkilötietoja käsitellään? Henkilötietoja käsitellään lakisääteisten velvoitteiden hoitamiseksi. Henkilötietoja käsitellään sopimusvelvoitteiden hoitamiseksi. Henkilötietoja käsitellään rekisteröidyn suostumuksella (tällöin suostumukset pitää olla olemassa). 5. Miten tietoturvasta on huolehdittu? Mitä konkreettisia toimenpiteitä tietoturvan varmistamiseksi on tehty?

Elinkeino- ja työmarkkinatiedote 6/2017 9 (13) 6. Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu? Mitä konkreettisia toimenpiteitä henkilötietojen käsittelyyn liittyvään riskienhallintaan liittyen on tehty? 7. Muuta tietosuojaan liittyvää? Nykytilakartoituksen jälkeen on mietittävä, miten varmistutaan, että henkilötietojen käsittely on jatkossa tietosuoja-asetuksen mukaista. Tietosuoja-asetuksen mukainen henkilötietojen käsittely Pvm: 1. Henkilötietojen käyttäminen Millä perusteella henkilötietoja käsitellään? Tietosuoja-asetuksen mukaisia perusteita: o rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten o käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä o käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Lakisääteisten velvoitteiden hoitamista on esimerkki palkkakirjanpito, työaikakirjanpito, työnantajamaksujen maksaminen ja muut lakisääteiset työnantajavelvoitteet, joiden hoitamiseksi työnantaja on pidettävä työntekijöistä henkilörekisteriä Lakisääteisten velvoitteiden hoitamista on myös työntekijätietojen ilmoittaminen pääurakoitsijalle/verohallinnolle. Asiakasrekisterissä voi olla henkilötietoja sopimusten täyttämiseksi esimerkiksi tilanteessa, jossa tehdään töitä kuluttaja-asiakkaalle. Henkilötiedoilla tarkoitetaan luonnollisten henkilöiden tietoja. Pelkästään yritystä koskevat tiedot eivät ole henkilötietoja. Mihin tarkoitukseen henkilötietoja käytetään? työnantajavelvoitteiden hoitaminen lakisääteisten velvoitteiden hoitaminen (esim. työntekijätietojen ilmoittaminen Verohallinnolle) asiakkuuksien hoitaminen jne. Mitä henkilötietoja kerätään ja käsitellään? työntekijöiden nimet, yhteystiedot, henkilötunnukset ym. asiakkaiden nimet, yhteystiedot ym. yhteistyökumppaneiden nimet, yhteystiedot ym. jne.

Elinkeino- ja työmarkkinatiedote 6/2017 10 (13) Ovatko arkaluonteiset ja salassa pidettävät henkilötiedot luokiteltu erikseen? Arkaluonteisia tietoja ovat esimerkiksi tiedot työntekijöiden terveydentilasta Henkilötunnusta saa käsitellä vain, jos henkilötunnuksen tallettaminen on tärkeää rekisteröidyn yksiselitteiseksi yksilöimiseksi. Henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Mistä ja miten henkilötietoja kerätään? työsuhteen alkaessa työntekijöiden henkilötiedot asiakkaiden tiedot tilausta tai sopimusta tehdessä jne. Miten tietosuojaperiaatteet otetaan huomioon henkilötietojen käsittelyssä? Henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Tietoja kerätään vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Henkilötiedot ovat täsmällisiä ja ne päivitetään tarvittaessa. Henkilötietoja säilytetään vain tarpeellisen ajan. Henkilötietoja käsitellään luottamuksellisesti ja turvallisesti. 2. Henkilötietojen säilyttäminen ja luovutus Kuinka kauan henkilötietoja säilytetään? Tietoja ei saa säilyttää kauemmin kuin on tarpeellista kyseiseen tarkoitukseen Työsuhteen perusteella kerättäviä henkilötietoja voi olla tarpeen säilyttää o Miten ja milloin vanhentuneet tiedot poistetaan? o o niin kauan kuin työntekijä voi esittää työsuhteeseensa liittyviä vaatimuksia (palkkasaatavat vanhenevat kahdessa tai viidessä vuodessa saatavasta riippuen). niin kauan kuin Verohallinto voi oikaista verotusta (viiden vuoden ajan verotuksen päättymistä seuraavan vuoden alusta). niin kauan kuin työntekijä voi vaatia työnantajaa toimittamaan työtodistuksen (Työnantajalla on velvollisuus antaa työtodistus, jos työntekijä pyytää sitä kymmenen vuoden kuluessa työsuhteen päättymisestä. Työnantajan tulee siten säilyttää vähintään kymmenen vuoden ajan tiedot palveluksessaan olleiden työntekijöiden työsuhteen kestosta sekä siitä, minkälaisia työtehtäviä he tekivät.) Luovutetaanko henkilötietoja? Jos kyllä, kenelle ja mihin tarkoitukseen? Miten varmistutaan, onko vastaanottajalla oikeus käsitellä luovutettuja henkilötietoja?

Elinkeino- ja työmarkkinatiedote 6/2017 11 (13) 3. Henkilötietojen käsittelijät Kuka saa käsitellä henkilötietoja ja millä perusteella? Työnantajan erikseen nimeämä henkilö, jonka työtehtäviin henkilötietojen käsittely kuuluu Miten henkilötietojen käsittelyyn liittyvät tehtävät, vastuualueet, vastuuhenkilöt ja heidän sijaisuusjärjestelyt on määritelty? Miten henkilötietojen käsittelijöitä on koulutettu? Onko osaaminen ajan tasalla? Miten yritys varmistuu, ettei henkilötietoja käsitellä laajemmin kuin peruste edellyttää tai etteivät tiedot leviä? työnantaja on tehnyt vaitiolo- ja salassapitosopimukset työntekijöiden, jotka käsittelevät henkilötietoja, kanssa Miten yrityksessä on varmistettu, että koko henkilöstö ja kaikki organisaation tasot ymmärtävät vastuunsa tietosuojasta ja tietoturvasta? Yrityksessä on laadittu tietosuojaohje Ovatko tietosuojaa ja tietoturvallisuutta koskevat periaatteet ja ohjeet henkilöstön tiedossa ja saatavana? Onko henkilötietojen käsittelytehtäviä annettu ulkopuolisten tehtäväksi? Jos kyllä, miten sopimuksissa otettu huomioon kaikki tietosuojan ja tietoturvan velvoitteet? Miten henkilötiedot ja käsittely on suojattu? tekniset menetelmät tms. Miten henkilötietojen käsittelyä valvotaan? omavalvonta, satunnaistarkastukset tms. Miten henkilötietojen oikeellisuudesta varmistutaan? Työntekijän henkilötiedot tarkistetaan henkilötodistuksesta tms. Tarvitseeko yritys tietosuojavastaavan? 4. Tietojenkäsittelyprosessi ja seloste henkilötietojen käytöstä Kuvaa tietojenkäsittelyprosessi ja tietosuojaperiaatteiden noudattaminen Kuvaus, miten yrityksessä käsitellään henkilötietoja ja noudatetaan tietosuojaperiaatteita Laadi seloste henkilötietojen käsittelystä Ks. Tietosuojavaltuutetun ohjeet: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisterijatietosuojaselosteet.html Mistä seloste on saatavilla? Yrityksen internetsivuilla, extranetissä tms.

Elinkeino- ja työmarkkinatiedote 6/2017 12 (13) 5. Henkilötietojen käyttöön liittyvät riskit Mitä riskejä henkilötietojen käsittelyyn liittyy? tietomurrot, tulipalo, varkaudet tms. Kuinka suuria riskejä henkilötietojen käsittelyyn liittyy? Onko riskien toteutuminen todennäköistä? Laadi riskien perusteella tietosuojaa ja tietoturvaa koskevat ohjeet tekniset menetelmät, toimintatavat tms. tietomurrot, tulipalo, varkaudet tms. 6. Rekisteröidyn oikeudet 7. Tietoturva Miten rekisteröidyn oikeudet on huomioitu? Onko ja miten rekisteröityjä on informoitu rekisteristä? Miten rekisteröity saa tarkastaa rekisteriin kerätyt tiedot? Miten tietoja on mahdollista korjata? Miten rekisteröity voi poistua rekisteristä? Miten tietoturva on huomioitu? Miten henkilötietojen tietoturvaloukkauksiin on varmistauduttu? Onko tietojen turvalliseen käsittelyyn, säilytykseen ja hävittämiseen olemassa tarvittavat turvalliset välineet? Onko tehty riittävät toimenpiteet murto-, palo- ja kiinteistövahinkojen ehkäisemiseksi? Miten tietojen varmuuskopiointi on järjestetty? Pääsevätkö vierailijat tiloihin, joissa säilytetään henkilötietoja? Onko laadittu vierailusäännöt ja järjestetty kulunvalvonta? Miten järjestelmiin pääsee käsiksi, edellyttääkö järjestelmän käyttö henkilökohtaista käyttäjätunnusta ja salasanaa? Vaihdetaanko salasanat riittävän usein? Miten toimitaan, jos salasana unohtuu? Huolehtiiko joku siitä, että käyttöoikeudet poistetaan tai niitä muutetaan, jos henkilö jää pois yrityksen palveluksesta tai hänen työtehtävänsä muuttuvat? Onko varmistettu, että järjestelmän käyttöoikeudet vastaavat käyttäjän työtehtävien mukaisia tarpeita päästä järjestelmään? Onko jatkuva virustentorjunta järjestetty? Onko tietosuoja ja tietoturvallisuus otettu huomioon hankittaessa tietovälineitä ja sovellutuksia? Onko mahdollista jälkikäteen todeta, kuka on katsonut, lisännyt tai poistanut tietoja järjestelmästä, koska tämä on tapahtunut ja mihin tietoihin toimenpide on kohdistunut? Onko käyttöoikeudet rajattu vain työtehtävissä tarvittaviin tietoihin? Miten henkilötietojen käytön ja käsittelyn lainmukaisuutta valvotaan? Mitä tietovälineitä käytetään henkilötietojen tallentamiseen? Ovatko henkilötietoja sisältävät tietovälineet varastoitu sellaiseen paikkaan, johon on

Elinkeino- ja työmarkkinatiedote 6/2017 13 (13) pääsy vain siihen oikeutetulla henkilökunnalla? Miten tietovälineitä tarvittaessa hävitetään? Onko yrityksessä annettu määräykset henkilörekisteriin liittyvien manuaalisten asiakirjojen käsittelystä? Miten järjestelmästä otettavia tulosteita käsitellään ja säilytetään? Mitä asiakirjoja arkistoidaan, miten ja minne? Onko yrityksessä olemassa ajan tasalla oleva luettelo verkkoyhteyksistä ja yhteydenpitovälineistä? Miten tietoa siirretään? Onko olemassa järjestely, jolla estetään ulkopuolisten pääsy sisäiseen verkkoon? Onko varmistettu, että sisäisessä verkossa sivullisilla ei ole pääsyä henkilötietoihin? Käytetäänkö sähköpostia henkilötietojen siirtämiseen? Mikäli sitä käytetään, on varmistuttava, että sen käyttö täyttää tietosuojan toteutumisen edellytykset. Ovatko säilytys- ja arkistointitilat ja kaapit riittävän turvallisia sekä paloja murtosuojattuja? Ovatko toiminnan keskeytysriskit (esimerkiksi ATK-laitteiston rikkoutumiset tai voimansaannin keskeytykset) kartoitettu ja onko niihin riittävästi varauduttu? Miten tietojenkäsittelyn jatkuvuus on varmistettu?

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute