EU:n uusi tietosuoja-asetus

Samankaltaiset tiedostot
Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Usein kysyttyjä kysymyksiä tietosuojasta

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetus (GDPR)

Termit. Tietosuojaseloste

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Tietoturva yhdistyksessä

EU:n tietosuoja-asetus (GDPR)

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

EU:n tietosuoja-asetus (GDPR)

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tulevat säädösmuutokset ja tietosuoja

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Kolarin kunnan tietosuojapolitiikka

GDPR Tietosuoja-asetus

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN LASTENSUOJELUSSA

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n tietosuoja-asetus ja sähköposti

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

LSPeL Porin toiminta-alueen kevätseminaari

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

GDPR-pikaopas. Demand more. Puh

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Informaatiovelvoite ja tietosuojaperiaate

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Eu:n uusi tietosuojaasetus

Rekisteri- ja tietosuojaseloste

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Salon kaupunki , 1820/ /2018

YLEISTÄ TÄSTÄ DOKUMENTISTA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Tutkittavan informointi ja suostumus

Henkilötietolain uudistus

Koulutuskiertue

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Teknologia avusteiset palvelutverkostopalaveri

Soluto Oy. EU-tietosuojadirektiivi eli GDPR. Jani-Petteri Pohjonen

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Salon kaupunki / /2018

Kangasalan Moottorikerhon tietosuojakäytännöt

GDPR. aka. Euroopan tietosuoja-asetus

1. Yleiset Periaatteet

EU:n tietosuoja-asetus

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Tietosuoja. Julkisten ja hyvinvointialojen liitto JHL

Salon kaupunki , 1820/ /2018

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

EU:n tietosuoja-asetus 2016

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Salon kaupunki / /2018

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

Asiakkaan on hyväksyttävä tämän tietosuojaselosteen ehdot käyttääkseen Samppalinnan Kesäteatterin palveluita.

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tässä tietosuojaselosteessa kuvataan Kouvolan Korttelikotiyhdistys ry:n toteuttamat asiakastietojen käsittelyn tavat.

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

Tiedon elinkaaren hallinta Henkilötietojen suoja

Tietosuoja tutkimuksessa. Arja Kuula-Luumi (Tietoarkisto) Tutkimusaineistojen anonymisointi -seminaari Tampereen yliopisto

Dahua-kameravalvonta Kupariteollisuuspuistossa - tietosuojaseloste

Transkriptio:

GDPR EU:n uusi tietosuoja-asetus Mikä on uusi tietosuoja-asetus? Miten asetus vaikuttaa tapahtumien järjestämiseen? Juho Harmaa Lyyti Oy

Asetuksen tavoite: Jokaisella on oikeus suojata henkilökohtaiset tietonsa

EU:n tietosuoja-asetus Velvoitteet voimaan 25.5.2018 alkaen EU:n kattava ja yhteinen tietosuoja-laki, yhtenäistää jäsenmaiden käytäntöjä Muuttaa Suomessa lainsäädäntöä ja osin virkamieskoneistoa Koskee EU:ssa tietoja käsitteleviä toimijoita, myös ulkomaisia Pääpaino on lisätä velvoitteita ja ennakoimisvelvollisuutta lisäämällä sanktioita ja keskittämällä valtaa Helpottaa toimintaa EU-alueella

Mikä on henkilötieto? HENKILÖTIETO: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. HENKILÖREKISTERI: Mikä tahansa jäsenneltyjä henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Mikä on henkilötieto? REKISTERINPITÄJÄ (Asiakas): Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. HENKILÖTIEDON KÄSITTELIJÄ (Lyyti): Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. KÄSITTELY: Toiminto tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin; joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.

Käsittelyn periaatteet? Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Tietojen minimointi Käyttötarkoitussidonnaisuus Osoitusvelvollisuus Eheys ja luottamus Täsmällisyys Säilytyksen rajoittaminen

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: Milloin minulla on oikeus pitää rekisteriä? Sopimuksen täytäntöönpanoa varten Rekisteröidyn suostumus Lakisääteinen velvoite Elintärkeiden etujen suojelu Yleinen etu tai julkinen tehtävä Rekisterinpitäjän tai kolmannen oikeutettu etu

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Kohtuullisuus ja läpinäkyvyys tarkoittavat sitä, että yrityksen tulee ylläpitää rekisteriä järkevissä rajoissa ja viestiä siitä rehellisesti. Onko minulla tarve luoda lista näistä henkilötiedoista? Rekisteröidyllä tulee olla selkeä kuva siitä, mitä tietoa hänestä kerätään ja missä tilanteessa. Pitkät ja vaikeasti ymmärrettävät sopimukset eivät tähän päde. Läpinäkyvyyttä parantaa suuremmissa yrityksissä Data Protection Officer, jonka tehtävä on huolehtia sääntöjen toteutumisesta. Henkiöllä on oikeus saada ilmainen sähköinen kopio henkilötiedoistaan. Hänellä on myös oikeus saada käyttöönsä itseään koskevat tiedot sellaisessa muodossa, että ne voidaan antaa toisen toimijan käyttöön.

Käyttötarkoituksen sidonnaisuus Henkilö myöntää rekisteröintiluvan vain siihen tarkoitukseen, jonka hän erikseen hyväksyy. Jos aiot käyttää tietoa muuhunkin, sinun pitää kysyä siihen lupa. Rekistereihin tulee tallentaa vain sitä tietoa, joka on tarkoituksenmukaista sen ylläpitämiselle.

Tietojen minimointi Myös ns. integriteettisuoja tai Privacy by Design. Tämä tarkoittaa mm. sitä, että ainoastaan rekisterin tarkoituksen kannalta tarpeelliset tiedot saa tallentaa ja että henkilötiedot saa luovuttaa vain sellaisten henkilöiden käyttöön, jotka tarvitsevat niitä tietojen käsittelyyn.

Täsmällisyys & säilytyksen rajoittaminen Tiedot pitää pystyä pitämään ajantasaisena. Henkilön tulee itse pystyä tarkistamaan tietonsa, joko manuaalisen tai automaattisen prosessin kautta. Hänellä on oikeus korjata virheelliset tiedot. Rekisterinpitäjän tulee huolehtia siitä, että vanhat ja turhat tiedot poistetaan.

Eheys ja luottamus Tavoitteena on, että jokaisella on oikeus henkilökohtaisten tietojensa suojaukseen. Rekisterinpitäjän tulee varmistaa, että tiedot ovat riittävällä tasolla suojattuja. Rekisterinpitäjät voivat tehdä vaikutuksen arviointeja (DPIA). Rekisterinpitäjän tulee varmistaa, että kukaan ulkopuolinen ei ole päässyt muokkaamaan tietoja. Mikäli rekisteröidyn tietoja siirretään EU:n ulkopuolelle, on häne annettava siihen erikseen suostumuksensa. Mikäli tapahtuu tietovuoto, on rekisterinpitäjällä ilmoitusvelvollisuus asiasta 72 tunnin sisällä.

Osoitusvelvollisuus Rekisterinpitäjällä on käänteinen osoitusvelvollisuus. Hänen tulee pystyä todistamaan, että on tehnyt riittäväst turvatakseen ylläpitämiensä rekisterien turvallisuuden. Laiminlyönti voi johtaa sakkoihin jotka ovat enintään 20 miljoonaa euroa, tai 4% yrityksen globaalista liikevaihdosta.

Miten tietosuoja-asetus vaikuttaa tapahtumien järjestämiseen?

Voinko enää kutsua ihmisiä sähköpostilla? Asetuksen tultua voimaan, voit edelleen lähtökohtaisesti kutsua. Sähköpostitse suoramarkkinointia ei saa tehdä kuluttajille ilman suostumusta tai muuta lupaa. Tarkempien tietojen rekisteröimiseen tarvitset aina luvan tai muun hyväksytyn syyn rekisterille. Suostumusta pyydettäessä tulee osallistujalla olla selkeä kuva siitä, mihin hän antaa suostumuksensa. Vastaanottajilla on aina oikeus perua viestintälupa.

Suostumus Lyytissä Lyyti tarjoaa ilmoittautumissivulle valmiit kysymykset suostumuksen antamisesta. Suostumuksessa vaaditaan 1) lupa rekisteriselosteen hyväksymisestä & ilmoittautumisesta 2) lupa käyttää tietoja esim. markkinointiviestinnässä Käyttäjä voi halutessaan muokata tai poistaa kysymyksien pakollisuutta.

Mitä nykyisille rekistereille tapahtuu? Mitä rekistereitä meillä on ja miten ne on kerätty? On äärimmäisen tärkeää, että omaat hyvät rekisteriselosteet ja säilytät kussakin rekisterissä vain tarpeelliset tiedot. Miten esimerkiksi asiakas ja jälkimarkkinointirekisteri eroavat? Asetuksen tultua voimaan, myös vanhojen rekisterien on oltava ajan tasalla.

Suostumus Lyytissä Lyyti tallentaa organisaatiollesi tietopankin annetuista suostumuksista ja ylläpitää ajantasaista tietoa. Käyttäjä näkee selkeän yhteenvedon siitä, kuinka moni osallistuja on antanut luvan rekisteröintiin, viestintään, sekä listan osallistujista, joilta on pyydettävä lupa ennen asetuksen voimaantuloa. Käyttäjän on mahdollista tuoda ja muokata suostumuksia Lyytistä sekä rajapinnan kautta.

Mitä sopimusmuutoksia tulee? Kaikkien organisaatioiden tulee päivittää rekisteriselosteensa vastaamaan uutta tietosuojaasetusta(=seloste käsittelytoimista) Rekisteriselosteessa tulee ilmaista rekisterin käyttötarkoitus, kerättävät tiedot, sekä niiden säilytyksen kesto. Tämän lisäksi organisaation tulee solmia tietojenkäsittelysopimus kaikkien käyttämiensä palveluiden kanssa, joissa henkilötietoja käsitellään.

Sopimukset Lyytissä Lyyti tarjoaa asiakkailleen oletuspohjan tapahtumajärjestäjän rekisteriselosteessa (seloste käsittelytoimista). Käyttäjillä on Lyytissä työkalu, jossa he voivat ylläpitää ja päivittää organisaationsa rekisteriselosteita. Lähetämme valmiin käsittelysopimuspohjan kaikille asiakkaillemme. Haluttaessa voimme myös neuvotella erillisen sopimuksen.

Mitä tietoja saan kerätä? Tapahtumanjärjestäjän tulee pohtia tarkkaan, mitä tietoja hänen tarvitsee kerätä tapahtumaa varten. Turhien, herkkäluontoisten tai käyttötarkoitukseen sopimattomien tietojen kerääminen ei ole sallittua Onko esim. HETUn tai kotiosoitteen kerääminen oikeasti tarpeellista tai perusteltua?

Mitä palveluja voin käyttää GDPR:n voimaanastumisen jälkeen? Rekisterinpitäjä on aina vastuussa ylläpitämistään tiedoista ja niiden turvallisuudesta, vaikka ne olisivatkin ulkopuolisessa palvelussa. Nyt on tärkeää tarkistaa, mitä palveluita käyttää (CRM- järjestelmät, laskutusjärjestelmät, muut verkkopalvelut). Kysy, miten palvelut huolehtivat GDPR-yhteensopivuudesta. Kysy, säilytetäänkö ja käsitelläänkö tietoja EU:n alueella. Mikäli näin ei tehdä, muista, että sinun tulee mainita siitä selkeästi rekisteröidyille.

Turvallisuus on entistä tärkeämpää Uusi asetus korostaa huomattavasti sitä, että henkilötietojen tulee olla turvassa ja ulkopuolisten koskemattomissa. Pohdi, pääsevätkö tietoihin käsiksi vain tarpeelliset ihmiset. Suhtautuvatko käyttämäsi palvelu myšös vakavasti tietoturvaan? Ovatko ne varautuneet siihen riittävästi? Tietovuoto tapahtuu useimmiten vahingossa. Noudata aina varovaisuutta, kun käsittelet henkilölistoja. Jos vahinko sattuu, on sinulla velvollisuus ilmoittaa siitä tietosuojavaltuutetulle. Tutustu jo etukäteen velvollisuuteesi!

Osallistujalla on oikeus tarkistaa tietonsa Henkilöllä on oikeus tarkistaa, mitä tietoja hänestä on rekisteröity. Rekisterinpitäjän tulee pystyä antamaan tiedot ilman kohtuutonta viivästystä. Henkilöllä on oikeus myös korjata tai poistaa rekisteritietonsa.

Rekisterinpitäjän työkalut Lyyti tarjoaa kaikille asiakkailleen työkalut hakea, muokata ja poistaa rekisteröityjä. Nykyisiin palvelumalleihin liitetään uusi Compliance Center-palvelu, jonka avulla rekisterinpitäjän velvollisuudet on mahdollista toteuttaa helposti ja perusteellisesti. Compliance Centeristä on mahdollista ladata rekisteröidyn tiedot suoraan PDF-tiedostona, tai konekielisessä muodossa.

Alaikäisen tietojen rekisteröinti Jos verkkopalvelussa kerätään tietoja alle 16-vuotiaalta, rekisterinpitäjän tulee pystyä todentamaan, että tämä tapahtuu vanhempien/huoltajan luvalla.

Lyytin muistilista Tarkista rekisterit ja markkinointilistat. Pidä huolta, että rekisterisi ovat ajan tasalla ja sinulla on lupa viestiä. Tarkista, että sinulla on suostumukset tai muut luvat rekisteröityihin tietoihin. Kysy, ovatko kaikki käyttämäsi palvelut ja ohjelmistot yhteensopivia tietosuoja-asetuksen kanssa. Pohdi, miten voit täyttää velvoitteesi esimerkiksi rekisteröidyn tietopyynnön noudattamisesta tai rekisteritietojen poistamisesta. Suunnittele, miten keräät alaikäisten osallistujien vanhempien suostumuksen.

Yhdessä yhteensopivaksi Olemme valmiita tarjoamaan työkalut ja valmiuden GDPR:n mukaiseen palveluun tästä päivästä alkaen. Lähestymme kaikkia asiakkaitamme vaiheittain ja autamme heitä huomioimaan tietosuoja-asetuksen vaatimukset.