Tietosuojakoulutus Suomen Golfliitto ry 24.11.2017
Uusi tietosuoja-asetus GDPR 25.5.2018 Mikä muuttuu? 2
Data privacy is a consequence of data protection measures taken 3
Henkilötiedon käsittelyn elinkaari asetuksen voimaantulon jälkeen Toimenpiteet ennen käsittelyn aloittamista Toimenpiteet henkilötietojen käsittelyn aikana Toimenpiteet käsittelyn perusteen lakattua Määritä: käsittelyn tarkoitus, käsittelyn kannalta tarpeellinen tieto, tietojen säilyttämis- ja hävittämisajat ja käytännöt Sisäänrakennettu ja oletusarvoinen tietosuoja Määritä riittävät tietoturvatoimet Laadi ohjeistus henkilötietojen käsittelylle ja tarvittavat rekisteriselosteet ja mahdolliset käytännesäännöt Hanki mahdolliset sertifioinnit Tee tarvittaessa vaikutustenarviointi ja nimitä tietosuojavastaava Muista ulkoistaessa kirjallinen tietojenkäsittelysopimus Henkilötietoja kerätessä, informoi rekisteröityjä asetuksessa määritellyn mukaisesti (Huolehdi ilmoitukset viranomaiselle) Yt-menettely Hallinnoi ja ylläpidä tarvittavat suostumukset - Huomioi erityisesti kieltooikeuden käyttö Ylläpidä tietosuojaohjeistukset, rekisteriselosteet, käytännesäännöt ja sertifikaatit - Huolehdi saatavuudesta tietoja kerättäessä Tilintekovelvollisuus - Huolehdi, että voit osoittaa vaatimustenmukaisuuden Hallinnoi luovutuksia - Ylläpidä säännönmukaiset luovutukset - Varmista ad-hoc - luovutusten lainmukaisuus Ylläpidä rekisteröidyn oikeuksia Kansainvälisten - Tarkastusoikeus tiedonsiirtojen hallinta - Oikeus vaatia tietojen - Varmista korjausta /poistoa tietojen sijainti - Kielto-oikeus - Varmista - Oikeus siirtää tiedot riittävä järjestelmästä toiseen tietosuojan taso Ylläpidä tietoturvaa ja EU:n poista tarpeeton tieto ulkopuolisissa - Pidä tieto maissa (esim. ajantasaisena, oikeana komission ja suojeltuna mallisopimuslaus - Hävitä tarpeettomat ekkeet, BCR, tiedot säännöllisesti Privacy Shield) - Huolehdi ilmoitukset henkilötietojen tietoturvaloukkauksista viranomaiselle ja rekisteröidyille Siirrä tiedot mahdolliselle seuraavalle käsittelijälle Varmista kaikkien henkilötietojen lopullinen hävittäminen Varmista tietojen myöhempi hävitys, jos tietoja on säilytettään pidempään 4
Muutama erityinen teema 5
1. Tietosuoja-asetus sääntelee hyvin laajaa tietojoukkoa Suojaa annetaan henkilötiedolle ja sen käsittelylle Henkilötietoina pidetään kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja: nimi, henkilötunnus, sijaintitieto, verkkotunnistetieto, IP-osoite, laite tunnisteet, jne Pseudonymisoitu tieto Tietoja ei voida enää yhdistää tiettyyn henkilöön käyttämättä lisätietoja Anonyymi tieto 6
2. Tilintekovelvollisuus johtaa toimintaa Voi sisältää Yksityiskohtainen tietojenkäsittelykirjanpito Tietovirtakuvaukset: mistä kerätään, missä käsitellään, minne luovutetaan Maantieteellinen sijaintipaikka Säilytysajat Vaikutustenarviointi Privacy by Design / Privacy by Default Tietosuojavastaavan nimittäminen Huom. ei enää nykyisenkaltaista ilmoitusvelvollisuutta tietosuojaviranomaiselle 7
3. Käsittelijät sääntelyn piiriin Käsittelijä taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Nykyään ei juurikaan suoraan laista tulevia velvoitteita käsittelijöille Asetus: Huomioitava vaatimukset käsittelijän omassa toiminnassa Kirjallinen sopimus Itsenäisesti seuraamusten piirissä Konsernissa mietittävä vastuunjakoa rekisterikohtaisesti Useita rekisterinpitäjiä, vai rekisterinpitäjä(t) ja käsittelijä(t)? 8
4. Yksilön oikeudet vahvistuvat Parantaa tarkastus- ja kielto-oikeutta Säätää oikeuden tulla unohdetuksi Oikeus tietojen siirrettävyyteen Suoraan rekisterinpitäjältä toiselle, jos teknisesti mahdollista Automaattisen päätöksenteon rajoitukset ja oikeus vastustaa mm. profilointia Rekisterinpitäjän osoitettava huomattavan tärkeä ja perusteltu syy (esim. lainsäädännöllinen oikeus/velvoite) Informointivelvoitteen vahvistuminen 9
Miten valmistautua? 10
Valmistautuminen.. Näe tämä mahdollisuutena tehdä asiat paremmin. Sitouta johto raportoi säännöllisesti. Analysoi tiedonkäsittelyn todellinen merkitys toiminnalle. Priorisoi. jaa tietoa. osallista kollegat. Käännä vaatimukset positiivisen kilpavarustelun draiveriksi ja menestystekijäksi. 11
Muistilista keskeisistä vaatimuksista Johdon tuki / sisäinen viestintä Tietosuoja-asioiden vastuuttaminen / tietosuojavastaava Tietovirta- / järjestelmäkuvaukset Henkilötietojen tunnistaminen Tarvittava sisäinen dokumentaatio: periaatteet, ohjeistukset, politiikat Oletusarvoisen ja sisäänrakennetun tietosuojavaatimusten huomioiminen (privacy by design/privacy by default) Vaikutusten arviointi (DPIA) Yhteydenpito viranomaisen kanssa 12
Muistilista keskeisistä vaatimuksista Tietoturvavaatimukset Sopimustenhallinta Rekisteröityjen riittävä informointi Suostumustenhallinta Rekisteröityjen oikeuksien hallinnointi / varmistaminen Kansainväliset tiedonsiirrot Tietoturvaloukkausilmoitukset Henkilöstön koulutus / tiedon jakaminen Sisäinen tarkastus / tietosuojatilinpäätös 13
If your shop assistant was an app? Kuvasitaatti: https://www.theguardian.com/technology/2015/jan/12/shopkeeperspermissions-apps-smartphone-privacy 14
Kiitos! Eija Warma asianajaja, LL.M. (US), CIPP/E eija.warma@castren.fi Twitter: @EijaWarma #CastrenPrivacy Asianajotoimisto Castrén & Snellman Oy 15