32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Samankaltaiset tiedostot
32E Markkinoiden juridinen toimintaympäristö. Luento 2 Case 2: Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa 18.1.

TIETOSUOJA- ASETUKSEN HUOMIOINTI YRITYSTASOLLA. FINNET-LIITTO Mikko Viemerö (KTL, CIPP/E, CIPM, CIPT, CISA, CISM)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU TIETOSUOJA- ASETUS

Kolarin kunnan tietosuojapolitiikka

Tietosuoja-asetus (GDPR)

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tulevat säädösmuutokset ja tietosuoja

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:n tietosuoja-asetus (GDPR)

KPMG:n tietosuojaselvitys. kpmg.fi

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Teknologia avusteiset palvelutverkostopalaveri

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Hankkeen riippumattoman arvioinnin keskeisiä havaintoja. Janne Vesa

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuojavaltuutetun toimiston tietoisku

EU:n tietosuoja-asetus (GDPR)

Tietoturva yhdistyksessä

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Koulutuskiertue

GDPR Tietosuoja-asetus

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

IF-INFO MEKLAREILLE

EU:n tietosuoja-asetus ja sähköposti

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Whistleblowing-järjestelmät suomalaisyhtiöissä. Väärinkäytösepäilyjen raportointi osana hyvän hallintotavan kehittämistä

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

EU:n yleisen tietosuoja-asetuksen soveltaminen alkaa vaikutukset yhdistysten ja säätiöiden toimintaan

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

EU:n uusi tietosuoja-asetus

Liiketoiminta Venäjän muuttuneessa Business-ympäristössä. Risto Rausti ja Taija Kaivola

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

LBOyrityskauppojen. vaikutus Suomen pääomamarkkinoilla. Elokuu 2012

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

T E R H O N E V A S A L O

Sukupolvenvaihdos ja verotus

HTML5 - Vieläkö. Antti Pirinen

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Palvelutorin onnistumisen edellytykset

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

EU:N TIETOSUOJA-ASETUKSET WALMU

Kasva tietoturvallisena yrityksenä

KPMG Audit Committee Member Survey. Sisäisen valvonnan ja hyvän hallintotavan kehittäminen tarkastusvaliokunnan jäsenen näkökulmasta

Pilvipalvelut ja henkilötiedot

Yleiset sopimuspohjat Kuopion kaupunki

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

Osakassopimus. päivän vara? Vesa Ellonen

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

DLP ratkaisut vs. työelämän tietosuoja

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Termit. Tietosuojaseloste

Rekisteri- ja tietosuojaseloste

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Ulvilan kaupungin tietosuojapolitiikka

Työoikeuden sudenkuopat Jyväskylä

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

TIETOSUOJAPOLITIIKKA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

EU:N UUSI TIETOSUOJA- ASETUS

Muuntautuvan palvelusisällön haasteet hankintasopimuksen sisällön kannalta

1 Tietosuojapolitiikka

Mikä GDPR? General Data Protection Regulation

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Tietosuojalainsäädännön uudistus

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Tietosuoja-asetuksen velvoitteet ja vastuut

MPS Prewise aamiaistilaisuus klo Tietosuoja tiukentuu, oletko valmis?

LSPeL Porin toiminta-alueen kevätseminaari

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

EU:n tietosuoja-asetus (GDPR)

Tietosuoja-asetus Immo Aakkula Arkistointi

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Transkriptio:

32E28100 - Markkinoiden juridinen toimintaympäristö Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa 16.1.2017 Mikko Viemerö (CIPP/E, CIPM, CIPT, CISA, CISM) KPMG Cyber Security 0

TIETOSUOJAN LAINSÄÄDÄNTÖKENTTÄ 1

TIETOSUOJAN LAINSÄÄDÄNTÖ Henkilötietodirektiivi (95/46/EY) Henkilötietolaki (523/1999) Sähköisen viestinnän tietosuojadirektiivi (2002/58/EY) Tietoyhteiskuntakaari (917/2014) Laki yksityisyydensuojasta työelämässä (759/2004) Tulossa: EU:n yleinen tietosuoja-asetus ( GDPR ) & eprivacy-asetus Huomioitava: Julkisuuslaki (621/1999) Tietosuoja = Yksityisyyden suoja henkilötietojen käsittelyssä Alakohtaista erityissääntelyä Tietoturvallisuutta sääntelee mm. Kansallinen tietoturva-asetus (681/2010) NIS-direktiivi (2016/1148/EU) 2

TIETOSUOJA vs. TIETOTURVA Tietosuoja Vaatimukset lainsäädännöstä Compliance Tietoturva Vaatimukset yleensä standardeista ym. Riskienhallinta 3

TIETOSUOJAN PERUSTEET 4

TIETOSUOJAN PERUSTEET Määritelmiä Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity ; Kynnys henkilötiedon määritelmän täyttymiselle on matala, esim. IP-osoitteet ja pseudonymisoidut tiedot tulkitaan henkilötiedoiksi (huom. myös toxic combinations ) Huom! Arkaluonteiset henkilötiedot Henkilötietojen käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista; Henkilörekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu ( looginen rekisteri ); Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti (vrt. henkilötietojen käsittelijä). 5

TIETOSUOJAN PERUSTEET Henkilötietojen käsittelyn perusteet, mm. Henkilötietojen käsittelyn periaatteet Rekisteröidyn suostumus Asiakkuussuhteen hoito Sopimuksen täytäntöönpano Työsuhde Muu laista johtuva velvoite Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen 6

TIETOSUOJAN PERUSTEET Rekisteröidyn oikeudet Tiedonsaantioikeus ( rekisteriseloste / tietosuojaseloste) Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ) Oikeus käsittelyn rajoittamiseen Oikeus siirtää tiedot järjestelmästä toiseen Vastustamisoikeus 7

EU:N YLEINEN TIETOSUOJA- ASETUS 8

Toimeksiannon vaiheet EU:N YLEINEN TIETOSUOJA-ASETUS EU:n yleinen tietosuoja-asetus korvaa henkilötietolain Asetus hyväksyttiin 14.4.2016 Kahden vuoden siirtymäaika velvoittava 25.5.2018 Vaatimuksia tehostetaan tuntuvilla sanktioilla (jopa 20 MEUR / 4% globaalista liikevaihdosta) Asetuksen tarkoitus on yhtenäistää henkilötietojen käsittelyn sääntely EU:n alueella selkeyttää toimivaltakysymyksiä tehostaa viranomaisyhteistyötä selkeyttää sääntelyn käsitteitä ottaa kantaa uusiin ilmiöihin ja teknologioihin vahvistaa rekisteröityjen asemaa ja oikeuksia velvoittaa rekisterinpitäjät toimimaan suunnitelmallisesti ja osoittamaan toimiensa vaatimustenmukaisuus 9

Toimeksiannon vaiheet TIETOSUOJA-ASETUKSEN VAATIMUKSET Uudet säännökset, mm. Osoitusvelvollisuuden periaate Tietosuoja vaikutustenarvioinnit ( PIA ) Privacy by Design ja Privacy by Default Tietovuotoilmoitukset Tietosuojavastaava Right to erasure Henkilötietojen siirrettävyys Yhden luukun periaate (viranomaisten yhteistyö) Tiukennukset entisiin vaatimuksiin, mm. Säännösten sovellettavuus (henkilötiedon määritelmä/anonyymidata/pseudonyymidata) Vaatimukset tehokkaalle suostumukselle Tuntuvat sanktiot asetuksen vaatimusten vastaisista toimista ja velvollisuuksien laiminlyönnistä Kv. tiedonsiirrot Rekisterinpitäjän ja tietojenkäsittelijän välinen suhde ( sopimusten uudelleenarviointi) Henkilötietojen käsittelyn oikeusperusteet Korotetut toimeenpanovaltuudet viranomaisille EU:n ulkopuolisten rekisterinpitäjien velvollisuus nimetä edustaja EU:n sisällä Tietojenkäsittelytoimien dokumentointivelvollisuus 10

OSOITUSVELVOLLISUUDEN PERIAATE ( ACCOUNTABILITY ) EU:n tietosuoja-asetus 24 artikla Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä yksilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. 11

REKISTERINPITÄJÄN OSOITUSVELVOLLISUUS, mm. Tiedon elinkaaren hallinta Tietosuojan hallinnointi ja vastuutus Tietovuotojen hallinta Sopimukset ja alihankkijat Kumppanuuksien hallinta Sanktiot! Sisäiset Varmennus arvioinnit & auditoinnit Dokumentaatio Riskilähtöisyys Hyvä hallintotapa Auditoinnit Riskianalyysit Koulutus ja tietoisuus Kv. tiedonsiirrot Läpinäkyvyys OSOITUS- VELVOLLISUUS Tietosuojavastaava Koulutus Rekisteröityjen oikeuksien toteuttaminen Johtaminen ja vastuutus Valvonta Privacy by Design Politiikat / ohjeistukset / dokumentaatio Tietosuojavastaava 12

OSOITUSVELVOLLISUUDEN PERIAATE JA RISKILÄHTÖISYYS Asetuksen yleisluontoiset vaatimukset, esim. 32 art. (tiedon suojaaminen) Osa asetuksen vaatimuksista jää mm. tietoturvan luonteesta johtuen melko yleiselle tasolle, jättäen tulkinnanvaraa esimerkiksi tietoturvan tason määrittelemisessä Rekisterinpitäjän vastuulle jää viime kädessä päättää esim. tiedon suojaamiseen käytettävien kontrollien järeydestä ja arvioida niiden riittävyys Valittavien kontrollien sekä resurssien käytön tulee perustua riskiarvioon, käsiteltävien henkilötietojen luonteeseen ja teknologian tasoon Tilivelvollisuuden periaate täydentää asetuksen vaatimuksia, mitoittaa kontrolleja ja ohjaa toimimaan riskilähtöisesti Riskianalyysit välttämätön apuväline rajallisten resurssien tehokkaaseen kohdistamiseen Päätösten perusteet ja dokumentointi osa tilivelvollisesta toimintaa Urheiluseuran jäsenrekisteri vs. potilastietorekisteri 13

TIETOSUOJAN IMPLEMENTOINTI 14

KRIITTISIÄ TEEMOJA TIETOSUOJAN KEHITTÄMISESSÄ Riskien arviointi Tietosuojan hallinnointi ja politiikkojen luonti / jalkautus Rekisterinpidon perusedellytysten varmistaminen (oikeusperusteet, käsittelytarkoitukset) Henkilötietojen ja tietovirtojen kartoittaminen; järjestelmien identifiointi Prosessit ja tiedon elinkaaren hallinta Sopimukset: Alihankinta ja henkilötietojen luovutukset Rekisteröityjen oikeuksien toteuttaminen Tietosuoja-asetuksen vaatimukset ICT:lle ja sen hallinnoinnille 15

KPMG Cyber Security Mikko Viemerö mikko.viemero@kpmg.fi P. 020 760 3530 KPMG:n Kyberturvallisuusblogi: www.hackingthroughcomplexity.fi 2017 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.

Liite: KPMG TYÖNANTAJANA 17

KPMG Suomessa Perustettu vuonna 1926, perustajina K.A. Widenius, Edvin Sederholm ja Juho Someri Suomen vanhin tilintarkastustoimisto Yksi johtavista asiantuntijaorganisaatioista Suomessa Rovaniemi Oulu Kokkola Kajaani Liikevaihto vuonna 2014: 98,7 milj. euroa Yli 900 asiantuntijaa 23 paikkakunnalla Vaasa Seinäjoki Kuopio Joensuu Jyväskylä Mikkeli Pori Tampere Lahti Lappeenranta Turku Hämeenlinna Kouvola Salo Kotka Lohja Maarianhamina Helsinki 18

Liikevaihdon ja henkilöstön jakauma 2014 47,7 milj. 48,3 % 46 % 27 milj. 27,4 % 24 milj. 24,3 % 21 % 20 % 13 % Tilintarkastus Neuvontapalvelut Vero- ja lakipalvelut Tilintarkastus Neuvontapalvelut Vero- ja lakipalvelut Tukitoiminnot 19

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute