Pikaopas tietosuojaasetuksen käyttöönottoon

Samankaltaiset tiedostot
E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Informaatiovelvoite ja tietosuojaperiaate

Salon kaupunki / /2018

Teknologia avusteiset palvelutverkostopalaveri

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste 1 (5)

Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Salon kaupunki , 1820/ /2018

TIETOSUOJAILMOITUS DIDIVE-HANKE

Salon kaupunki , 1820/ /2018

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

WORKSPACE OY REKISTERISELOSTEET

Tietosuojaseloste 1 (6)

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Vaikutustenarviointi GDPR:n mukaan

Tietosuojaseloste Espoon kaupunki

Haminan tietosuojapolitiikka

Tietosuojaseloste 1 (5)

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.


GDPR-pikaopas. Demand more. Puh

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Organisaatioluvan hakeminen

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Mikä GDPR? General Data Protection Regulation

Tietosuojaseloste Espoon kaupunki

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Tietosuojaseloste Espoon kaupunki

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

EU:n tietosuoja-asetus (GDPR)

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojaseloste Espoon kaupunki

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste Espoon kaupunki

Tietoturva yhdistyksessä

Tietosuojaseloste Espoon kaupunki

Rekisteriseloste, Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Tietosuojavaltuutetun toimiston tietoisku

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Tietosuojaseloste 1 (6)

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojaseloste Espoon kaupunki

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Tietosuojaseloste 1 (6)

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Termit. Tietosuojaseloste

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

EU:N TIETOSUOJA-ASETUKSET WALMU

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Tietosuojaseloste Espoon kaupunki

OUKA/10235/ /2017

Transkriptio:

GDPR tulee - oletko valmis? Pikaopas tietosuojaasetuksen käyttöönottoon verkkoasema.fi

Tervehdys ystäväni! GDPR - niin mikä? GDPR on laaja uudistus, jonka vaikutuksia ei oikein vielä kukaan osaa kokonaisuudessaan arvioida. Suunnittelu ja toteutus voi tuntua vaikealta tästä syystä. Moni asia täsmentyykin vasta siirtymäajan kuluessa, joten on ihan luonnollista tuntea olonsa epätietoiseksi. Juuri tästä syystä me täällä Verkkoasemalla haluamme auttaa sinua kertomalla mahdollisimman paljon aiheesta siirtymäajan aikana. Näin olemme yhdessä valmiina ensi toukokuussa, kun uutta asetusta aletaan soveltamaan. Outi Arontie Web developer outi.arontie@verkkoasema.fi

GDPR Otetaan termit haltuun Ensimmäisessä blogikirjoituksessani käsittelin tietoturvaa osana yritysturvallisuutta ja lupasin jatkaa tietoturva-aihetta EU:n tietosuoja-asetuksen (GDPR) tiimoilta. Asetus on tullut jo voimaan, ja elämme nyt kahden vuoden siirtymäaikaa. Uutta asetusta aletaan soveltamaan 25.5.2018. Osallistuin heinäkuussa koulutukseen, missä Kari-Matti Lehti, HPP Asianajotoimistosta kertoi tulevasta EU:n tietosuoja-asetuksesta. Koulutus herätti sekalaisia tunteita innostuksesta ahdistukseen ja epätoivoon. Olen lukenut kesän mittaan aiheesta paljon lisää, ja yritän nyt tiivistää mistä on konkreettisesti kysymys. Kyseessä on todella suuri muutos lainsäädäntöön. Asetuksen tavoitteena ei kuitenkaan ole hankaloittaa yrittäjän elämää, vaan helpottaa Euroopan ulkopuolisten yritysten toimintaa Euroopassa yhtenäistämällä tietosuojalainsäädäntöä ja parantaa yksilön oikeuksia. Lisäksi tehostetaan täytäntöönpanon valvontaa sekä tehdään institutionaalisia järjestelyitä. EU:n yleiseen tietosuoja-asetukseen sisältyviä muutoksia: Käsitteet kuten suostumus, geneettiset tiedot ja biometriset tiedot märitellään tarkemmin. Henkilötietojen käsittelijöiden vastuut säännellään tarkemmin, erityisesti rekisterinpitäjien mutta myös rekisterinpidossa avustavien osalta. Organisaatiolle ei riitä se, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa. Organisaatioilla on velvollisuus ilmoittaa suurista tietoturvaloukkauksista. Organisaatioiden on nimitettävä tietosuojavastaava julkisella sektorilla. Yrityksille tämä on pakollista, kun päätoiminnassa seurataan henkilötietoja laajassa mittakaavassa tai käsitellään arkaluontoisia henkilötietoja laajalti. Rekisteröidyllä on oikeus saada itseään koskevat tiedot koneluettavassa muodossa. Rekisteröidyllä on oikeus siirtää henkilöja kaikki muut antamansa tiedot toiseen järjestelmään silloin, kun hän on itse antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen. Säädetään tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Jäsenvaltioiden tietosuojaviranomaisten yhteistyötä varten luodaan uusi, niin sanottu yhdenmukaisuusmekanismi ja yhden luukun mekanismi. Valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kunkin tapauksen olosuhteet asianmukaisesti huomioon ottaen. Hallinnollisen sakon maksimi on 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta kokonaisliikevaihdosta, jos sen osuus on suurempi kuin 20 miljoonaa euroa. Lähde: Tietosuojakäsikirja johdolle (A. Andreasson, J. Koivisto ja A. Ylipartanen 2016)

Sakot tulevat olemaan niin suuria, että ne voivat ajaa yrityksiä konkurssiin, joten tietoturvasta tulee kilpailukeino. Kun tutustuu asetukseen ja siitä kirjoitettuihin teksteihin, törmää väistämättä seuraaviin termeihin: Henkilötieto (personal data) on kaikkea tunnistettua ja tunnistettavissa olevaa luonnollista henkilöä koskevaa tietoa (myös esim. IP-osoite tai auton rekisterinumero) Rekisteröity (data subject) on luonnollinen henkilö, jota henkilötieto koskee (esim. yksittäistä henkilöä koskeva henkilötieto sähköisessä rekisterissä) Suostumus (consent) on mikä tahansa vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojen käsittelyn Rekisterinpitäjä (controller) on esim. yritys, joka yksin tai yhdessä toisen tahon kanssa määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä (processor) on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Lähteet: Koulutus 12.7.2017 Kari-Matti Lehti, HPP Asianajotoimisto Tietosuojakäsikirja johdolle (A. Andreasson, J. Koivisto ja A. Ylipartanen) 2016

Yrityksissä pitääkin nyt miettiä, missä roolissa kulloinkin toimitaan? Toimiiko yritys käsittelijänä vai rekisterinpitäjänä? Oman yrityksen työntekijöitä koskevat tiedot vs. asiakasyrityksen palvelusopimuksella luovuttamat henkilötiedot? Miten näissä tilanteissa tulee toimia ja millainen palvelusopimus kannattaa tehdä? Laki asettaa rekisterinpitäjän ja käsittelijän väliselle sopimussuhteelle nimenomaisia sisältövaatimuksia, vaikka toisaalta annetaan sopimusvapaus tehtävien jakamisessa. Sopimussuhteessa on määriteltävä mm. miten rekisteröityjen oikeudet käytännössä toteutetaan. Miten toteutetaan esim. tietojen tarkastus, poisto ja oikaisu? Jatkossa rekisteröity voi kohdistaa korvausvaatimuksensa sekä rekisterinpitäjään että käsittelijään. Lisäksi tietosuojavaltuutettu voi määrätä sakkorangaistuksen.. Jatkossa onkin olennaista, että sopimuksissa on määritelty tarkasti, mistä kumpikin osapuoli käytännössä vastaa. Lisäksi tulee huolehtia siitä, että sopimukset kattavat kaikki asetuksen mukanaan tuomat ns. pakolliset lausekkeet. Rekisterinpitäjän on toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan asetusta. On otettava huomioon käsittelyn luonne, laajuus, asiayhteys, tarkoitukset, yksilöiden oikeuksiin ja vapauksiin kohdistuvien riskien todennäköisyys ja vakavuus. Rekisterinpitäjän on myös toteutettava toimenpiteet sen varmistamiseksi, että sen alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, voi käsitellä niitä ainoastaan ohjeiden mukaisesti. Kyseessä ei ole pelkästään valtava lakimuutos, vaan valtava ohjelmistoprojekti. Miten toteutetaan teknisesti tietojen siirron mahdollisuus, miten kerätään rekisteröidyltä suostumus ja miten sen suostumuksen voi perua? Monessa yrityksessä tulee valitettavasti kova kiire saattaa kaikki ohjelmistot ja prosessi lain vaatimalle tasolle ennen toukokuun 2018 loppua. Vielä ei varmastikaan ole liian myöhäistä, mutta kyllä viimeistään nyt on aloitettava. Seuraavassa osassa kerron tarkemmin rekisteröidyn oikeuksista ja sen jälkeen rekisterinpitäjän velvollisuuksista.

Rekisteröidyn oikeudet Tietosuojan tarkoituksena on suojata ihmisten yksityiselämää, ja siihen kuuluu kunkin oikeus henkilötietoihinsa. Rekisteröidyn oikeuksien toteuttaminen on yksi rekisterinpitäjän tärkeimmistä velvollisuuksista. kuin henkilötietoja kerätään: Rekisteröidyllä on oikeus päästä käsiksi tietoihinsa. Rekisteröidyn pyyntöihin tietojen tarkastamista, korjaamista tai poistamista koskien, tulee vastata ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Mikäli rekisteröidyn pyyntö on monimutkainen tai niitä on tullut määrällisesti useita, voi rekisterinpitäjä soveltaa kahden kuukauden lisäaikaa. Rekisterinpitäjän on varmistettava rekisteröidyn henkilöllisyys tällaisten pyyntöjen yhteydessä. Rekisteröidyn tiedonsaantioikeus Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista. Uusia viestittäviä asioita ovat asetuksen mukaan henkilötietojen säilytysajan ja tietosuojavastaavan yhteystietojen ilmoittaminen. Rekisterinpitäjän tulee ilmoittaa rekisteröidyille helposti ymmärrettävässä muodossa esimerkiksi seuraavat kohdat ennen Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on nimitetty) Mihin tarkoituksiin henkilötietoja käsitellään ja mikä on käsittelyn oikeusperusta (esim. palvelun tarjoamiseksi rekisteröidyn suostumuksella) Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat Jos henkilötietoja siirretään kolmanteen maahan, miten tietosuojan riittävyydestä on huolehdittu ja mistä rekisteröity voi saada siitä lisätietoja Henkilötietojen säilytysaika tai kriteerit sille, miten säilytysaika määräytyy Rekisteröidyn oikeudet ja miten rekisteröidyt voivat niitä käyttää Oikeus tehdä valitus valvontaviranomaiselle Mihin henkilötietojen antamisen vaatimus perustuu, onko rekisteröidyn pakko toimittaa tiedot ja mitkä ovat seuraukset tietojen antamatta jättämisestä Liittyykö käsittelyyn automaattista päätöksentekoa tai profilointia, millainen käsittelylogiikka niihin liittyy, sekä niiden merkitys ja seuraukset rekisteröidyille.

Mikäli rekisterinpitäjä kerää henkilötietoja muista lähteistä kuin suoraan rekisteröidyiltä, on lisäksi ilmoitettava kerättävät tiedot sekä mistä henkilötiedot on saatu ja onko tiedot saatu yleisesti saatavilla olevista lähteistä. Rekisterinpitäjän antama kuvaus henkilötietojen käsittelystä tulee pitää julkisesti saatavilla ja sen ajantasaisuus tulee tarkistaa säännöllisesti. Rekisteröidyllä tulee olla oikeus tarkistaa tietonsa sekä varmistaa tietojensa käsittelyn lainmukaisuus. Nykyisen lainsäädännön perusteella rekisterinpitäjän on rekisteröidyn pyytäessä ilmoitettava käsitelläänkö häntä koskevia henkilötietoja vai ei, sekä toimitettava jäljennös käsiteltävistä henkilötiedoista. Näiden lisäksi rekisterinpitäjän tulee jatkossa ilmoittaa seuraavat kohdat: Henkilötietojen käsittelyn tarkoitukset Käsiteltävät henkilötietoryhmät Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat Henkilötietojen säilytysaika tai kriteerit, miten säilytysaika määräytyy Rekisteröidyn oikeudet ja miten rekisteröidyt voivat niitä käyttää Oikeus tehdä valitus valvontaviranomaiselle Jos henkilötietoja ei kerätä suoraan rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot Liittyykö käsittelyyn automaattista päätöksentekoa tai profilointia, millainen käsittelylogiikka niihin liittyy, sekä käsittelyn merkitys ja seuraukset rekisteröidyille Jos henkilötietoja siirretään kolmanteen maahan se, miten tietosuojan riittävyydestä on huolehdittu. Rekisteröidyllä on oikeus saada ilman aiheetonta viivästystä epätarkat ja virheelliset tiedot oikaistua. Lisäksi hänellä on oikeus saada henkilötiedot poistettua, jos: henkilötietoja ei tarvita enää niihin tarkoituksiin, joita varten ne kerättiin peruuttaa suostumuksen rekisteröity vastustaa käsittelyä henkilötietoja on käsitelty lainvastaisesti. Asetusteksti ei aseta vaatimuksia poiston tekniselle toteutukselle, ja käytettävissä onkin ainakin seuraavat vaihtoehdot: Tietojen merkitseminen niin, ettei niitä enää voi käsitellä tuotantojärjestelmissä. Tietojen salaaminen vahvalla nykyaikaisella salausalgoritmilla, ja kunkin rekisteröidyn yksilöllisellä salausavaimella (joka on voitava tuhota ylikirjoittamalla). Tietojen ylikirjoittaminen.

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä ja profilointia. Rekisterinpitäjä ei saa tällöin enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy. Uutuutena asetus tuo oikeuden siirtää tiedot järjestelmästä toiseen. Käytännössä tämä tarkoittaa sitä, että rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa. Tämän jälkeen hän voi toimittaa ne toiselle rekisterinpitäjälle. Tiedot voidaan toimittaa myös automaattisesti järjestelmästä toiseen. Käsittely on perustuttava suostumukseen tai sopimukseen ja käsittely on tehtävä automatisoidusti. Siirto-oikeus ei kuitenkaan velvoita rekisterinpitäjiä suunnittelemaan tai toteuttamaan keskenään yhteensopivia järjestelmiä, vaan tiedot voidaan siirtää esimerkiksi siirrettävällä muistivälineellä. Manuaalisten työvaiheiden minimoimiseksi siirto-oikeuden toteuttaminen kannattanee kuitenkin pyrkiä toteuttamaan tietojärjestelmämuutoksilla. Kuten jo aiemmassa kirjoituksessani totesin, kyseessä on valtavan lakimuutoksen lisäksi kyseessä massiivinen tietojenkäsittelyn projekti. Digitaalisten palveluiden luotettavuus tulee saamaan tulevaisuudessa entistä suuremman roolin.yrityksissä kannattaakin mielestäni jo nyt suunnitella huolella prosessi, jonka mukaan rekisteröityjen pyynnöt käsitellään, jotta pyyntöihin pystytään vastaamaan vaaditussa ajassa. Lisäksi kannattaa kehittää tietojärjestelmiä, jotta aikaa vievät manuaaliset työvaiheet rekisteröityä koskevien tietojen keräämiseksi saadaan minimoitua. Kannattaa myös pitää mielessä edellisten kirjoitusteni riskienhallinnan ja tietoturvan näkökulmat näitä suunnitelmia tehdessä, sillä rekisterinpitäjällä on velvollisuus tehdä ilmoitus henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille. Nyt tiedät rekisteröidyn oikeudet. Seuraavaksi esittelen sinulle varsinaiset rekisterinpitäjän velvollisuudet. Lähde: Valtiovarainministeriö EU-tietosuojan kokonaisuudistus VAHTI-raportti - 1/2016

Rekisterinpitäjän velvollisuudet Nyt keskitymme tietosuojatyön organisointiin. Rekisterinpitäjän tietosuojavelvollisuudet koskettavat kaikkia organisaation käsittelemiä henkilötietoja. Jotta tietosuojasta voidaan huolehtia organisaation laajuisesti huomioiden kaikki käsiteltävät tiedot, tulee tietosuojan hallinnointi ja vastuut määritellä organisaatiossa huolella. Lisäksi on varattava riittävästi resursseja koko organisaation tietosuojatehtävien toteuttamiseen. Erityisesti riittävät aikaresurssit nousivat esille useissa lähteissä. EU:n yleinen tietosuoja-asetus lisää johdon velvoitteita, joten riittävä aiheeseen perehtyminen on ehdoton edellytys tietosuojatyön onnistumiselle. Tietosuojavastaava Yrityksissä on nimitettävä tietosuojavastaava, jos: ydintehtävät muodostuvat käsittelytoimista, jotka ovat luonteelta sellaisia, että ne edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa, tai ydintehtävät muodostuvat käsittelytoimista, jotka kohdistuvat henkilötietojen erityisiin tietoryhmiin, rikostuomioihin tai rikoksia koskeviin tietoihin.

Tietosuojavastaavan asema Riippumaton asema organisaatiossa. Raportoi suoraan rekisterinpitäjän tai käsittelijän ylimmälle johdolle. Otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkiin tietosuojaan liittyviin kysymyksiin. Pätevyysvaatimus tietosuojan alalta: tietosuojalainsäädäntötuntemus, lain vaatimusten soveltamisosaaminen ja alan käytäntöjen tuntemus. Voi olla rekisterinpitäjän tai käsittelijän palkkalistoilla, tai ulkoistettu palveluntuottajalle. Taattava tarvittavat resurssit sekä asianmukainen pääsy henkilötietoihin ja niiden käsittelytoimiin tietosuojavastaavan tehtävien hoitamiseksi. Tehtävä yhteistyötä useiden organisaation yksiköiden kanssa. Julkinen yhteyspiste valvontaviranomaisen ja rekisteröityjen suuntaan. Salassapitovelvollisuus. Ei saa erottaa tai rangaista tietosuojavastaavan tehtävien hoitamisen vuoksi. Voi suorittaa muitakin tehtäviä tietosuojavastaavan tehtävien ohella kuitenkin niin, ettei niistä aiheudu eturistiriitoja. Tietosuojavastaavan tehtävänkuva Tietosuojavastaava on organisaation johdon tietosuojan erityisasiantuntija ja lisäresurssi. Johdon ja tietosuojavastaavan välille tulisi muodostua mutkaton yhteistyösuhde. Tietosuojavastaavan tulee pystyä lähestymään johtoa oma-aloitteisesti ja rohkeasti. Tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. Asetuksen vaatimusten täytäntöönpano ja soveltaminen organisaatiossa. Organisaation neuvonta ja ohjaus kaikissa tietosuojakysymyksissä. Dokumentaation laatimisen, saatavuuden ja säilyttämisen valvonta. Ilmoitusvelvollisuuden toteutumisen seuranta. Vaikutustenarviointien tekemisen tukeminen ja valvonta. Yhteistyö valvontaviranomaisen kanssa. Tietosuojan tietoisuusohjelman rakentaminen ja kouluttaminen henkilöstölle. Rekisteröityjen oikeuksien toteuttamisen tukeminen. Käsittelytoimiin liittyvän riskin asianmukainen huomiointi tehtävien suorittamisessa.

Tietosuojaorganisaatio Tietosuojavastaavan lisäksi voi olla hyvä muodostaa tietosuojaorganisaatio. Tietosuojatyö on laaja-alaista ja koskettaa lähes kaikkia organisaation yksiköitä, joten on suositeltavaa muodostaa tietosuojaorganisaatio, joka koostuu useamman yksikön jäsenistä. Yksiköitä, joista tietosuojaorganisaatio on suositeltavaa muodostaa, ovat: henkilötietoja käsittelevät yksiköt, kuten esimerkiksi asiakaspalvelu, henkilöstöhallinto, palvelutuotanto, myynti ja markkinointi yksiköt, jotka vastaavat henkilötietoja käsittelevien järjestelmien, sovellusten tai palvelujen hankinnasta, kehityksestä, käyttöönotosta tai ylläpidosta, kuten esimerkiksi hankinta-, IT-, tietoturva- ja tuotekehitys-yksikkö. Tietosuojaorganisaation tavoitteena on viedä tietosuojatyö käytäntöön ja saattaa se osaksi organisaation operatiivista toimintaa. Lisäksi on raportoitava esimerkiksi uusista henkilötietojen käsittelyä koskettavista hankkeista, muutoksista ja haasteista, jotta asetuksen määrittelemä osoitusvelvollisuus voidaan toteuttaa. Tietosuojaorganisaatio ja sen tehtävät kannattaakin siis suunnitella niin, että organisaation olemassa olevaa organisaatiorakennetta, yhteistyörakenteita ja prosesseja hyödynnetään mahdollisimman paljon. Näin ei tarvitse tehdä kaikkea aivan uusiksi. Tietosuojaorganisaation säännölliset ja määrämuotoiset tehtävät on hyvä määritellä ja ryhmitellä jonkinlaiseen vuosikelloon. Näin voidaan taata niiden hoitamiseen tarvittava aika ja seurata niiden toteutumista. Säännöllisiin tehtäviin kuuluvat tietosuojaorganisaation tapaamiset, tietosuojadokumentaation katselmointi ja päivitys, koulutustarpeen arviointi, riskiarvio ja johdon raportointi. Näiden säännöllisten tehtävien lisäksi tietosuojaorganisaation vastuulle voivat kuulua operatiiviset tietosuojatehtävät, kuten rekisteröityjen pyyntöihin vastaaminen, tietosuojan vaikutustenarviointien laatiminen, vaatimusmäärittelyt tuotekehityksessä ja hankinnoissa, sopimusvaatimusten määrittelyt ja käsittelyn seurannan tehtävät. Tietosuojaorganisaation ja tietosuojavastaavan tehtävien suunnitteluun ja määrittelyyn kannattaa paneutua hyvissä ajoin. Mitä tarkemmin tehtävät on jaettu ja määritelty, sitä todennäköisemmin yllätyksiltä vältytään. Prosesseja joudutaan hiomaan varmasti vielä siirtymäajan päätyttyäkin, mutta toimiva runko olisi hyvä saada valmiiksi siirtymäajan kuluessa. Tietosuojatyöhön on varattava riittävästi resursseja. Erityisesti riittävä aika on tärkeää. Pelkästään tietosuojamaailmaan perehtyminen vaatii aikaa. Lisäksi jatkuva oman osaamisen kartuttaminen on tärkeää. Tästä syystä suosittelen lämpimästi tietosuojatyön aloittamista välittömästi. Oman osaamisen lisäämiseen on tarjolla erilaisia koulutuksia ja oppaita. Ja yrityksessä kannattaa viimeistään nyt aloittaa kartoitus, mihin kaikkeen GDPR tulee vaikuttamaan. Aikaresurssit kuluvat koko ajan ja toukokuu 2018 lähestyy. Lähteet: EU-tietosuojan kokonaisuudistus - VAHTI-raportti - 1/2016 Tietosuojavaltuutetun toimisto: Miten valmistautua EU:n tietosuoja-asetukseen? Andreasson, Koivisto & Ylipartanen: Tietosuojakäsikirja johdolle Andreasson, Koivisto & Ylipartanen: Osaava tietosuojavastaava

Miten edetään? Muista nämä: 1. Ideointi = Mihin tämä vaikuttaa työssäsi? 2. Kartoitus = Kokonaiskuvan muodotus 3. Selvitys = Kevääseen valmistautuminen 4. Toiminta! = Kääritään hihat ja ryhdytään hommiin! Jäikö jokin kohta askarruttamaan? Ota yhteyttä, niin jutellaan lisää. Tule vaikka piipahtamaan Torikatu 26:ssa ja tarjoan sinulle neuvojen lisäksi kahvit. Ystävällisin terveisin, Outi Timanttista digiä, joka tuo tuloksia. Asiantuntijavinkit: verkkoasema.fi/blogi Verkkoasema Oy 020 735 0299 Torikatu 26, 90100 Oulu verkkoasema.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute