Mikä GDPR? General Data Protection Regulation

Samankaltaiset tiedostot
Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

Tietosuoja-asetus (GDPR)

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojavaltuutetun toimiston tietoisku

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus Matti Sarmela

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU:n tietosuoja-asetus (GDPR)

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Teknologia avusteiset palvelutverkostopalaveri

IF-INFO MEKLAREILLE

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Miten valmistautua EU:n tietosuoja-asetukseen?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietoturva yhdistyksessä

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU TIETOSUOJA- ASETUS

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Käsittele ja säilytä henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille

Tietosuojaasiat. yhdistysten näkökulmasta

Kolarin kunnan tietosuojapolitiikka

Koulutuskiertue

Haminan tietosuojapolitiikka

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

GDPR Tietosuoja-asetus

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

EU:n yleisen tietosuoja-asetuksen vaikutus ammattiyhdistyksen toimintaan

Eu:n uusi tietosuojaasetus

Käsittele ja säilytä yhdistyksen henkilötietoja oikein - EU:n tietosuoja-asetus tuo velvoitteita yhdistyksille koulutus Rovaniemi 14.5.

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Informaatiovelvoite ja tietosuojaperiaate

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuoja-asetus Immo Aakkula Arkistointi

TIETOSUOJAPOLITIIKKA

Vaikutustenarviointi GDPR:n mukaan

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

EU:n tietosuoja-asetus 2016

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Eläketurvakeskuksen tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.


EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Tietosuoja käytännössä

SELVITYKSIÄ JA OHJEITA UTREDNINGAR OCH ANVISNINGAR. Miten valmistautua EU:n tietosuoja-asetukseen?

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

GDPR. Timo Kokkonen Webinaari

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja-asetus ja sen kansallinen implementointi

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

EU:n tietosuoja-asetus palokuntien kannalta

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

EU:n tietosuoja-asetus palokuntien kannalta

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Organisaatioluvan hakeminen

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU:n tietosuoja-asetus (GDPR)

LSPeL Porin toiminta-alueen kevätseminaari

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Tietosuojaseloste 1 (6)

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

GDPR-pikaopas. Demand more. Puh

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

EU:n tietosuoja-asetus

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

EU:n tietosuoja-asetus ja tietosuoja arjessa. GDPR General Data Protection Regulation

Tietosuojainfo. Tietosuojavastaava Tapani Rinne, Salon kaupunki

Henkilötietojen huolellinen käsittely marttayhdistyksissä. Reijo Petrell, Marttaliiton hallinto- ja talousjohtaja

MITÄ OPETTAJAN TULEE TIETÄÄ TIETOSUOJA-ASETUKSESTA?

Salon kaupunki / /2018

Opetusalan Ammattijärjestö OAJ. Tietosuojakoulutus AKOL

Transkriptio:

Mikä GDPR? General Data Protection Regulation EU:n yleinen tietosuoja-asetus Koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa Siirtymäaika menossa Sovelletaan 25.5.2018 alkaen Tavoitteena parantaa yksilön oikeuksia parantaa luottamusta Online-palveluihin edistää EU:n digitaalisten sisämarkkinoiden kehittymistä yhdenmukaistamalla lainsäädäntöä tehostetaan täytäntöönpanon valvontaa sekä laajennetaan tietosuojavaltuutetun oikeuksia puuttua ongelmiin.

Tietosuoja Tietoturva Tietosuoja Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä Tietoturva Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

Henkilötiedot ja arkaluonteiset tiedot Henkilötietoja ovat mm. Nimi, hetu, osoite, sähköpostiosoite, Sosiaalisen median profiilit yms. itsestäänselvyydet Myös IP-osoite ja esim. auton rekisterinumero Esim. pelkästään IP-osoite ei kerro henkilöstä mitään, mutta muuhun tietoon liitettäessä, IP-osoite on mahdollista yksilöidä yksittäiseen henkilöön Kaikki, minkä avulla on mahdollista tunnistaa henkilö Arkaluonteiset tiedot kuvaavat rotua tai etnistä alkuperää yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia

1 2 3 4 5 Kartoita tietojen käsittelyn nykytila ja ota tietosuoja osaksi toimintojen suunnittelua ja mallinnusta Arvioi henkilötietojen käsittelyyn liittyvät riskit ja toimenpiteet riskin minimoimiseksi Tee tarvittaessa tietosuojaa koskeva vaikutustenarviointi ja kuule valvontaviranomaista Selvitä millä perusteella käsittelet henkilötietoja Henkilötietojen käsittelijän rooli; käytätkö toisen organisaation tietojenkäsittelypalveluita? 6 7 8 9 10 11 Mitä rekisteröidyn oikeuksia liittyy toimintaasi ja miten toteutat rekisteröidyn oikeuksia? Toimiiko organisaatiosi usean jäsenvaltion alueella? Selvitä kuka on johtava valvontaviranomainen. Arvioi asianmukaiset suojatoimenpiteet riskiperusteisesti, suojaa koko henkilötiedon elinkaari. Valmistaudu ilmoittamaan tietoturvaloukkauksista! Selvitä tuleeko organisaation nimittää tietosuojavastaava. Seuraa tietosuojavaltuutetun toimiston julkaisemia tietosuojaasetukseen liittyviä ohjeita Lähde: Oikeusministeriö, Tietosuojavaltuutetun toimisto, Helsinki 2017

1 Kartoita tietojen käsittelyn nykytila ja ota tietosuoja osaksi toimintojen suunnittelua Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta. mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen organisaation sisäisen tarkastelun tuloksena laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista. Tietosuojaperiaatteita ovat: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi tietojen täsmällisyys tietojen säilytyksen rajoittaminen tietojen eheys ja luottamuksellisuus rekisterinpitäjän osoitusvelvollisuus

2 Arvioi henkilötietojen käsittelyyn liittyvät riskit ja toimenpiteet riskin minimoimiseksi Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

3 Tee tarvittaessa tietosuojaa koskeva vaikutustenarviointi ja kuule valvontaviranomaista Kun todennäköisesti korkea riski rekisteröidyn näkökulmasta, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi. Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tehtävä erityisesti silloin, kun otetaan käyttöön uutta teknologiaa taikka, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja. tehtävä myös mikäli on kyse kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista sekä tilanteissa, joissa on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. Vaikutuksenarvioinnin tekeminen on suositeltavaa myös muulloin, koska se edesauttaa osoitusvelvollisuuden toteuttamista ja rekisterinpitäjän velvollisuuksien selvittämisessä

4 Selvitä millä perusteella käsittelet henkilötietoja Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste. Suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, yleinen etu ja oikeutettu etu Rekisterinpitäjän on siirtymäajan aikana selvitettävä, vaikuttaako tietosuoja-asetus sen käyttämiin käsittelyn oikeusperusteisiin. Asetuksen mukaiset käsittelyn oikeusperusteet eroavat joiltakin osin henkilötietolain mukaisiin perusteisiin verrattuna. Tietosuoja-asetus antaa henkilötietolaista poiketen erityistä suojaa lasten henkilötiedoille. Lapsen henkilötietojen käsittely suostumuksen perusteella suoraan lapselle edellyttää vanhempainvastuunkantajan suostumusta tai valtuutusta. Asetuksessa lapseksi määritellään alle 16-vuotiaat.

5 Henkilötietojen käsittelijän rooli; käytätkö toisen organisaation tietojenkäsittelypalveluita? Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle käsittelijän roolia ja velvoitteita on terävöitetty henkilötietolakiin nähden. Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset. hyväksytyt käytännesäännöt tai sertifiointimekanismit. Säädetään myös muun muassa siitä, mistä seikoista rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa on erityisesti sovittava. Siirtymäaikana on syytä tarkastaa henkilötietojen käsittelyyn liittyvät sopimukset niin, että ne vastaavat asetuksessa säädettyjä ehtoja. Rekisterinpitäjä Käsittelijä Rekisteröity

6 Mitä rekisteröidyn oikeuksia liittyy toimintaasi ja miten toteutat rekisteröidyn oikeuksia? Rekisterinpitäjän yhtenä velvollisuutena on toteuttaa rekisteröidyn oikeuksia. otettava huomioon prosessien ja tietojärjestelmien suunnittelussa. On varmistuttava, että prosessit ja tietojärjestelmät taipuvat tietosuoja-asetuksen tuomiin muutoksiin myös rekisteröityjen oikeuksien osalta. Rekisterinpitäjän tulee selvittää rekisteröidyn oikeudet ja miten niiden toteuttaminen käytännössä toteutetaan. Rekisteröidyn oikeudet: Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta Oikeus siirtää tiedot järjestelmästä toiseen Vastustamisoikeus Automatisoidut yksittäispäätökset ja profilointi

7 Toimiiko organisaatiosi usean jäsenvaltion alueella? Selvitä kuka on johtava valvontaviranomainen Tietosuoja-asetuksen myötä rekisterinpitäjän ei tarvitse asioida kuin yhden jäsenvaltion valvontaviranomaisen kanssa. Toimivaltainen valvontaviranomainen määräytyy one-stop-shopmekanismin eli yhden luukun periaatteen mukaisesti rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan tai päätoimipaikan mukaan. Päätoimipaikan määrittyminen riippuu esimerkiksi siitä, millainen organisaation rakenne on ja miten sen henkilötietojen käsittelyyn liittyvät toiminnot on järjestetty. Lisäksi tulee huomioida, että asetuksessa annettu päätoimipaikan määritelmä eroaa rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

8 Arvioi asianmukaiset suojatoimenpiteet riskiperusteisesti ja suojaa koko elinkaari Siirtymäaikana rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetuksen sääntelyä. Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi. Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa Tietoturva Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.

9 Valmistaudu ilmoittamaan tietoturvaloukkauksista! Rekisterinpitäjän on tehtävä ilmoitus valvontaviranomaiselle 72 tunnin kuluessa loukkauksen ilmitulosta. Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta myös rekisteröidyille, jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan.

10 Selvitä tuleeko organisaation nimittää tietosuojavastaava Tietosuojavastaavan tehtävänä on mm. seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet valvontaviranomaisen sekä rekisteröityjen yhteyspiste Vastuu henkilötietojen käsittelyn lainmukaisuudesta kuuluu edelleen organisaation johdolle. Yrityksellä velvollisuus nimittää tietosuojavastaava jos ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin. Tietosuojavastaava voidaan nimittää, vaikkei asetus tähän nimenomaisesti velvoita. Otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä. Tietosuojavastaavan on oltava riippumaton

11 Seuraa tietosuoja-valtuutetun toimiston julkaisemia tietosuoja-asetukseen liittyviä ohjeita Moni asia täsmentyy vasta siirtymäajan kuluessa, joten on tärkeää seurata tiedottamista. Tietosuojatyöryhmän tulkintaohjeet ovat keskeisessä roolissa asetusta tulkittaessa. Ensimmäiset rekisterinpitäjille ja henkilötietojen käsittelijöille tehtävät ohjeet keskittyvät: oikeuteen siirtää tiedot järjestelmästä toiseen korkean riskin käsitteeseen ja tietosuojaa koskevaan vaikutustenarviointiin sertifiointiin Tietosuojavastaavaan Tietosuojavaltuutetun toimisto julkaisee tietosuoja-asetukseen liittyviä ohjeita verkkosivuillaan. Tietotilinpäätöksen ohjeistus: http://www.tietosuoja.fi/material/attachments/tietosuojavalt uutettu/tietosuojavaltuutetuntoimisto/oppaat/6jfpznvch/la adi_tietotilinpaatos.pdf Tietoturvapolitiikan ohjeistus: https://www.viestintavirasto.fi/viestintavirasto/virastonesittel yjatehtavat/riskienhallinta/tietoturvapolitiikka.html

12 Seuraa myös #verkkiksen kirjoituksia aiheesta Ladattava pikaopas GDPR:stä Seuraamme myös jatkossa ohjeistuksen kehittymistä ja julkaisemme tarvittaessa lisää opastusta Blogi-kirjoitus tietoturvasta yritysturvallisuuden näkökulmasta riskienhallintaa

MITEN ETEENPÄIN? Ideointia Kartoitusta Selvitystä Toimintaa Mihin tämä voisi vaikuttaa sinun työssäsi? Muodostetaan yksittäisten ideoiden ja ajatusten pohjalta kokonaiskuva Selvitetään, miten pitää toimia, jotta olemme keväällä valmiita Kääritään hihat ja aletaan hommiin!

Outi Arontie tietosuojavastaava Verkkoasema Oy +358 45 641 1460 outi.arontie@verkkoasema.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute