Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa?

Samankaltaiset tiedostot
EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

EU:n tietosuoja-asetus (GDPR)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

1 Tietosuojapolitiikka

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU TIETOSUOJA- ASETUS

IF-INFO MEKLAREILLE

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojavaltuutetun toimiston tietoisku

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

LSPeL Porin toiminta-alueen kevätseminaari

Kaupunginhallitus Liite EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF

MPS Prewise aamiaistilaisuus klo Tietosuoja tiukentuu, oletko valmis?

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

GDPR. Timo Kokkonen Webinaari

Kaupunginhallitus Liite 2 203

EU:n tietosuoja-asetus (2016/679)

EU:n tietosuoja-asetus (GDPR)

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Termit. Tietosuojaseloste

Eläketurvakeskuksen tietosuojapolitiikka

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU:N TIETOSUOJA-ASETUKSET WALMU

EU:n uusi tietosuoja-asetus

Tietoturva yhdistyksessä

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Pilvipalvelut ja henkilötiedot

TIETOSUOJAPOLITIIKKA

GDPR Tietosuoja-asetus

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Kolarin kunnan tietosuojapolitiikka

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Suomen Tilaajavastuu Oy:n palvelut ja tietosuojaasetuksen. Mika Huhtamäki ja Antti-Eemeli J. Mäkinen

Eu:n uusi tietosuojaasetus

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuojaseloste Espoon kaupunki

VISMA SEVERA. GDPR webinaari

Asiakaskokemus ja käyttäjäturvallisuus sovelluskehityksen keskiössä

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

GDPR-pikaopas. Demand more. Puh

GDPR. aka. Euroopan tietosuoja-asetus

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

DIG1 TYÖKALU GDPR- HALLINTAAN GDPR ONLINE ASSESSMENT TOOL

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Tietoturva- ja tietosuojapolitiikka

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

TIETOSUOJAKOULUTUS. Hilkka Lehtinen Järjestöt mukana muutoksessa Keski-Pohjanmaalla Kosti ry

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Teknologia avusteiset palvelutverkostopalaveri

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

SOS-LAPSIKYLÄN YRITYS- JA YHTEISTYÖKUMPPANIREKISTERIN TIETOSUOJASELOSTE

MITÄ OPETTAJAN TULEE TIETÄÄ TIETOSUOJA-ASETUKSESTA?

Hyvä sovellus- järjestelmäsalkun hallinta

Henkilötietojen käsittelyä koskevat erityisehdot ( DPA ) Suomen Tilaajavastuu Oy

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Informaatiovelvoite ja tietosuojaperiaate

Strafican tietosuojakäytäntö

KOSKIEN SAUMA-SOVELLUKSIA

Mikä GDPR? General Data Protection Regulation

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

TIETOSUOJA JA TIETOTURVA PIETARSAARENSEUDUN SEURAKUNTAYHTYMÄSSÄ

TIETOSUOJAPOLITIIKKA. Turun kaupunki

UKTY ry:n asiakasrekisterin tietosuojaseloste

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Transkriptio:

Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa? Projektipäivät 31.10.2017 Esa Toivonen, Senior Portfolio Advisor, Thinking Portfolio esa.toivonen@thinkingportfolio.com https://www.thinkingportfolio.com/fi

Esityksen sisältö 1. Yleisesti EU-tietosuojasta ja salkunhallinnasta 2. EU-tietosuoja ja projektisalkku 3. Salkkurakenteen ja tietomallin soveltaminen osana EUtietosuojaa 4. Esimerkkejä näkymistä eri salkuista liittyen EU-tietosuojaan 5. Tietosuojan luokittelu ja selvitys osana salkunhallintaa (esimerkit) 2017 Thinking Portfolio

Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa? Kenen vastuulla ja keneen se vaikuttaa? Mitä se edellyttää projektisalkun raportoinnilta jatkossa? Miten EU-tietosuoja tulee huomioida ohjausryhmän ja johdon päätöksenteossa? Mistä tiedän onko projektissani EU-tietosuojan mukainen velvoite? Tuleeko tietosuojavastaavan olla jatkossa osa projektiorganisaatiota? Miten laaditaan projektisalkusta rekisteriseloste? Miten projektisalkku on osana organisaation tietotilinpäätöstä?

Yleistä EU-tietosuojasta Laki hyväksyttiin keväällä 2016, ja sitä ryhdytään soveltamaan täysimääräisesti kahden vuoden siirtymäajan jälkeen 25.5.2018. Silloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista sanktion uhalla. Vastuu on aina organisaatiolla itsellään eikä sitä voi ulkoistaa. Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, tulisi sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen ulkoistettu palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys. Ei ole riittävää, että rekisterinpitäjä noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa (esim. rekisterit sisältävä sovellussalkku, projektisalkku ja palvelusalkku). Tapa osoittaa tämä on toteuttaa vapaaehtoinen tietotilinpäätös josta käy ilmi mm. lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen ja eheys ja luottamuksellisuus. tietosuoja.fi

Yleisesti EU-tietosuojasta ja salkunhallinnasta Salkunhallinnan avulla voidaan tuoda EU-tietosuoja osaksi organisaation arkea ja hyvää yrityskulttuuria. Tietosuoja on koko organisaation asia eikä vain lakimiesten, tietosuojavastaavien tai tilintarkastajien asia. Salkunhallinta tuo järjestelmällistä otetta ja suunnitelmallisuutta henkilötietojen hallintaan ja tukee toimeenpanon seurantaa (esim. tietosuojan mittaamista). Salkunhallinta on mm. tilintarkastajalle ja muille tarkastajille konkreettinen näyttö hyvästä tietosuojariskien hallinnasta, tunnistamisesta ja varautumisesta. Tietosuojan periaatteet, ohjeistukset ja jatkuva raportointi ovat osana salkunsalkunhallinnan ohjeistusta. Kun tietosuojaa ohjeistetaan ja dokumentoidaan voidaan hyödyntää keskitettyä salkunhallinnan tietokantaa.

EU-tietosuojasta ja projektisalkusta Projektisalkku tekee näkyväksi mikäli jo projektin aikana on tarve käsitellä henkilötietoja ja jos niin miksi (viit. Rekisteröity henkilö on projektin aikana osallinen sidosryhmänä tai resurssina viit. asiakas tai työsuhde perustelu) Projektikortti voi sisältää yhteenvedon projektin EU-tietosuojasta ja sen vaatimuksesta ko. projektiin Projektin riskienhallintaan voidaan sisällyttää tietosuojariskit sekä osana projektiriskejä tai lopputuloksen riskejä. Projektin priorisointiin voidaan lausua EU-tietosuoja kytkentä ja siten käsitellä eri prioriteetillä EU-tietosuojan vaatimukset sisältävät projektit. Projektisuunnitelman tulee sisältää tehtäviä joilla varmistetaan ja osoitetaan näyttö, että jo projektivaiheessa tietosuojakysymykset ovat esillä ja niitä aktiivisesti käsitelty. EU-tietosuojasta voidaan tehdä tietomalliin erillinen tehtäväluokka esim. GDPRmilestone tai GDPR Task jolloin näiden mukaan ohjausryhmä ja projektipäällikkö voi varmistua, että riittävät tehtävät on tehty. EU-tietosuojan tarkastuspisteet ja tehtävät voivat siis olla projektisalkkussa oma valmis pohjansa joka aktivoidaan projekteihin joissa EU-tietosuojaan on kytkentä.

Ohjausryhmän rooli EU-tietosuojaan liittyen Ohjausryhmän tehtävänä on varmistaa, että EU-tietosuojaan liittyvä vaatimustenmukaisuus on tiedostettu ja huomioitu osana päätöksentekoa jokaisesta projektista. Huomioidaan, että projektin lopputuloksena voi syntyä esim. tuote, palvelu tai sovellus jonka EU-tietosuojaan liittyvien kontrollien rakentaminen on projektin vastuulla. Vastaavasti on voitu määritellä, että EU-tietosuojavastuu alkaa projektin lopputuloksen hyödyntämisvaiheessa jolloin projektin omistajalla on keskeinen rooli. Tietosuojavaatimuksen täyttäminen ei kuulu silloin projektin budjettiin. Projekti voi tehdä muutokset jo olemassa olevaan tuotteeseen, palveluun tai vaikka sovellukseen johon EU-tietosuoja liittyy. Mahdollinen muutos voi muuttaa henkilötiedon käsittelyn luonnetta, käyttötarkoitusta tai edellyttää rekisteriin muutosta tai uutta lupaa rekisteröidyltä henkilöltä. Onko mahdollisen luvan hakeminen rekisteröidyltä projektin vastuulla vai aloittaako esim. uudistettu palvelu käynnistyessään lupaprosessin tarvitsemaansa rekisteriin? Mitä jos projektiorganisaatio on juridisesti eri kuin lopputulosta hyödyntävä ja rekisteristä jatkossa vastaava organisaatio? Hyvä huomioida, että tietosuojasta sopimiseen on varattava projekteissa jatkossa aikaa ellei tietosuojakäytännöt ole jo vakiintunut osa projektityötä ja päätöksentekoa. Tietosuoja on tärkeä vastuukysymys joka on sisäistettävä ennen projektin aloituspäätöstä.

EU-tietosuojasta ja projektisalkusta Projektin edistymisraporttiin voidaan nostaa tietosuoja omaksi kohdakseen sanalliseen tulkintaan tai tarkastuspisteiksi (milestones) jotka tämän tarkastus on vastuutetulle esim. tietosuojavastaavalle. Projektin loppuraportti voi sisältää todisteen, että suunnitelman mukaiset tietosuojatehtävät on suoritettu suunnitelman mukaisesti ja EU-tietosuojaa ei ole laiminlyöty. Projekti päättyy vasta kun nämä tehtävät on suoritettu. Projektin jälkiarvioinnissa voidaan myös huomioida tietosuoja ja projektin lopputuloksesta riippuen voidaan raportoida todistus miten tietosuoja on jalkautettu esim. osaksi uutta palvelua tai sovellusta. Tärkeä varmistaa tietosuojavastuiden siirtyminen projektilta sen lopputulokselle ja vastaanottavalle omistajalle. Esim. päätetään miten projektilta siirretään mm. testiympäristö jossa osana testausta tarvitaan henkilötietoja. Projektin vastaanottanut tuleva rekisterinpitäjä hakee tarvittaessa rekisteröidyltä luvan tietojen käyttöön myös testiympäristössä.

Onko projektissani EU-tietosuojan mukainen velvoite? 1. Hyvä lähtökohta on jos projektin aikana tai sen lopputulos käsittelee henkilötietoja täytyy EU-tietosuojan vaatimukset aina arvioida. 2. On hyvä, että projektit joihin liittyy riippuvuus henkilötietoihin johdetaan sovitulla tavalla. Luodaan politiikka mm. projektin päätöksentekoon, projektin rooleihin, projektin hyväksyntäpisteisiin, ohjausryhmätyöhön, muistiorakenteeseen ja riskienhallintaan. 3. Tietosuojavastaava tulee olla rooli joka on mukana projektin katselmoinnissa mutta sama henkilö ei välttämättä voi olla projektin resurssina jotta voi tehdä riippumattoman tehtäväänsä tietosuojavastaavana. Tietosuojavastaavat työparina voisivat katselmoida ja osallistua ristikkäin eri projekteihin. 4. Tietosuojavastaava voi tuottaa vastaavan palvelun projektille kuin esim. IT-arkkitehti, kontrolleri, IT-tarkastaja tai lakimies. Arkkitehti osallistuu kun projektilla on merkitystä kokonaisarkkitehtuuriin, talouskontrolleri kun kyseessä on investointiprojekti tai lakimies jos projektiin liittyy vaikka hankintoja tai kilpailutusta jne. Tietosuojavastaava tuottaa arvon silloin kun projektiin liittyy EU-henkilötietoja. 5. Muista olla tarkkana ketterien projektien kanssa ja huolehdi, että myös niihin rakennetaan selkeät kontrollit EU-tietosuojan varmistamiseksi.

Esimerkki salkun EU-tietosuojaohjeistuksesta

Tietosuoja osana projektisalkkua (ISO29190)

Tietotilinpäätöksen esimerkki raportit

Kiitos mielenkiinnosta! Lue lisää: www.thinkingportfolio.com Oletko kiinnostunut Thinking Portfolio Avec Kehittämisverkostosta? Tule osastollemme käymään niin keskustellaan lisää eri RoundTable teemoista!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute