MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA YRITYSTOIMINNAN KANNALTA?

Samankaltaiset tiedostot
5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tietoturva yhdistyksessä

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

EU:n tietosuoja-asetus (GDPR)

Tietosuojavaltuutetun toimiston tietoisku

Kolarin kunnan tietosuojapolitiikka

Termit. Tietosuojaseloste

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Tietosuoja-asetus (GDPR)

GDPR Tietosuoja-asetus

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU:n tietosuoja-asetus ja sähköposti

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Usein kysyttyjä kysymyksiä tietosuojasta

Tulevat säädösmuutokset ja tietosuoja

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

LSPeL Porin toiminta-alueen kevätseminaari

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n tietosuoja-asetus

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

EU:N TIETOSUOJA-ASETUKSET WALMU

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

Teknologia avusteiset palvelutverkostopalaveri

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n uusi tietosuoja-asetus

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:n tietosuoja-asetus (2016/679)

1. Yleiset Periaatteet

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio


Varustekorttirekisteri - Tietosuojaseloste

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tampereen Aikidoseura Nozomi ry

Organisaatioluvan hakeminen

Salon kaupunki , 1820/ /2018

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

GDPR-pikaopas. Demand more. Puh

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Salon kaupunki , 1820/ /2018

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Tietosuojaseloste 1 (6)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

EU:n tietosuoja-asetus (GDPR)

Henkilötietojen käsittelyn ehdot. 1. Yleistä

T E R H O N E V A S A L O

EU TIETOSUOJA- ASETUS

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Informaatiovelvoite ja tietosuojaperiaate

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

TIETOSUOJAPOLITIIKKA. Versio: 1.0

Työnhakijarekisterin tietosuojaseloste

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Koulutuskiertue

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

TIETOSUOJAPOLITIIKKA

Tietosuoja-asetus Immo Aakkula Arkistointi

Transkriptio:

MITÄ EU:N TIETOSUOJA-ASETUS TARKOITTAA YRITYSTOIMINNAN KANNALTA? KESKI-SUOMEN XXVI MATKAILUPARLAMENTTI 2017 15.11.2017 Pekka Vepsäläinen Tikkasec Oy Pekka Vepsäläinen +358 40 152 2628 pekka.vepsalainen@tikkasec.fi @pveps @tikkasec

Twitter: @pveps @tikkasec

HAASTE

Laki muuttuu EU:n tietosuoja-asetus astui voimaan toukokuussa 2016 Lain keskeinen tehtävä on suojella EU-kansalaisten henkilötietoja ja oikeuksia Toisaalta tietosuojalainsäädännön yhtenäistäminen EU:n jäsenmaiden välillä Laki koskee kaikkia organisaatioita, jotka käsittelevät EU-kansalaisten henkilötietoja 2 vuoden siirtymäaika päättyy 25.5.2018

Tietosuoja-asetuksen sisältö ja tavoite Kansalaisille enemmän oikeuksia Rekisterinpitäjille uusia velvollisuuksia Viranomaisille laajempia valtuuksia EU-tasolla vahva, yhtenäinen ja kattava tietosuojan kehys Digitaalisten sisämarkkinoiden kehittyminen (Digital Single Market) Twitter: @pveps @tikkasec

Kivinen tie Lähes satasivuinen laki työllistää varsin paljon: Miten lähdetään purkamaan lakitekstiä? Mikä on nykytila suhteessa asetuksen vaatimuksiin? Mistä löydetään käytännön ratkaisut ja kumppanit havaittuihin kehittämistarpeisiin? Millä aikataululla ja resursseilla velvoitteet voidaan toteuttaa?

GDPR PERUSKÄSITTEET

GDPR Peruskäsitteet - Henkilötieto Tietosuoja-asetus ei yksiselitteisesti määrittele, mikä on henkilötietoa. Asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa. Henkilötietoja voivat näin ollen tilanteesta riippuen olla esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IPosoite, jne. 4 artikla, kohta 1: henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella

GDPR Peruskäsitteet - Rekisteröity Rekisteröity (data subject) Luonnollinen henkilö, jonka henkilötietoa kerätään ja/tai käsitellään Tietosuoja-asetus ei koske kuolleita henkilöitä

GDPR Peruskäsitteet - Käsittely Henkilötietojen käsittelyä manuaalisesti tai automaattisesti. Käsittelyä on tietojen kerääminen, tallentaminen, järjestäminen, muokkaaminen, haku, tietojen luovuttaminen, jne. Käsittelystä säädetään asetuksessa useissa eri artikloissa, esim. 29 artikla: Tietojen käsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa 30 artikla: Seloste käsittelytoimista 32 artikla: Käsittelyn turvallisuus 4 artikla, kohta 2: käsittelyllä toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

GDPR Peruskäsitteet - Rekisteri Rekisteri on henkilötietojen tietojoukko, joka voi sijaita yhdessä tai useammassa tietojärjestelmässä, myös manuaaliset järjestelmät huomioiden Esimerkiksi käyttäjärekisteri ja jäsenrekisteri ovat henkilörekistereitä Verkkokauppoihin ja kirjautumista vaativiin palveluihin syntyy väistämättä henkilörekisteri 4 artikla, kohta 6: rekisterillä mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

GDPR Peruskäsitteet - Rekisterinpitäjä Rekisterinpitäjä (data controller) Luonnollinen henkilö, yritys, viranomainen, yhdistys, laitos tai säätiö. Juridisessa vastuussa rekisteristä, joka määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot. 4 artikla, kohta 7: rekisterinpitäjällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

GDPR Peruskäsitteet - Käsittelijä Käsittelijä (data processor) Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta Esim. digitaalisten palveluiden toimittajat käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa Käsittelijän on käsiteltävä henkilötietoja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan 4 artikla, kohta 8: henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

GDPR Peruskäsitteet - Suostumus Suostumus (consent): henkilön antama lupa tallentaa ja käsitellä omia henkilötietojaan Rekisteröidyn vapaaehtoinen ja informoitu suostumus Oltava yksiselitteinen tahdonilmaus henkilötietojen käsittelylle Jatkossa ns. Opt-in! Rasti ruutuun, jos ET halua, että sinulle lähetetään markkinointiviestejä Vs. Rasti ruutuun, jos HALUAT, että sinulle lähetetään markkinointiviestejä 4 artikla, kohta 11: rekisteröidyn suostumuksella mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

GDPR Peruskäsitteet - Tietosuojavastaava Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tietosuojavastaavan tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Tietosuojavastaava ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle. Tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

GDPR Peruskäsitteet Henkilötietojen tietoturvaloukkaus Henkilötietojen tietoturvaloukkaus voi tapahtua niin tietomurron kuin inhimillisen virheen seurauksena Vahingossa tai lainvastaisesti tuhottu, hävitetty, muutettu tai luvatta luovutettu Pääsy tietoihin, urkinta, ilman lupaa Useimmiten inhimillisen virheen seurauksena tapahtunut vahinko 4 artikla, kohta 12: henkilötietojen tietoturvaloukkauksella tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

Twitter: @pveps @tikkasec

Tietosuojan integrointi tietoturvallisuuteen Tietosuojalla tarkoitetaan lähinnä yksilön (rekisteröity) yksityisyyden ja luottamuksen turvaamista tietosisällöllisesti Tietosuojassa siis kysymys rekisteröidyn oikeuksista ja niihin liittyvistä prosesseista Tietoturva on puolestaan yleisemmällä tasolla tiedon luottamuksellisuuden, eheyden ja saatavuuden turvaamista erilaisin teknologisin (palomuurit, virustorjunta, jne.) ja hallinnollisin (prosessit jne.) menetelmin Tietoturvan kehitysprojekteja liittyen tietosuojaan, esim. Pääsynhallinta, (access management) Identiteetin ja käyttövaltuuksien hallinta (IDM&IAM) Lokihallinta ja SIEM (tietoturvatiedon ja tapahtumien hallinta)

Tietosuojan integrointi tietoturvallisuuteen /2 Tietosuojan ja tietoturvan integrointi käytännössä Integroi yhteneväisyydet Poista päällekkäisyydet Tietoturvaa ja tietosuojaa tulee molempia toteuttaa riskilähtöisesti Panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin TIETOTURVAN JATKUVA JOHTAMINEN TUNNISTA SUOJATTAVAT KOHTEET TUNNISTA SUOJATTAVIIN KOHTEISIIN KOHDISTUVAT RISKIT ANALYSOI RISKIT JA VALITSE TÄRKEIMMÄT RISKIT JOTKA TULEE KÄSITELLÄ TUNNISTA JA TOTEUTA RISKIN POISTAMISEKSI / PIENENTÄMISEKSI TARVITTAVAT TOIMENPITEET REAGOI TOTEUTUNEISIIN RISKEIHIN JA OTA OPIKSI RISKIENHALLINTA

Tietosuojan integrointi tietoturvallisuuteen /2 Tietoturvallisuus toteutuu Tietojärjestelmissä Vaihe 1 Menetelmä a Menetelmä b Vaihe 2 Menetelmä c Vaihe 3 Menetelmä d Menetelmä e Menetelmä f Prosesseissa Viestinnässä

Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä

Perusperiaatteet henkilötietojen käsittelyssä 1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia: a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys b) Käyttötarkoitussidonnaisuus mihin tarkoitukseen tietoja kerätään? c) Tietojen minimointi ei kerätä/säilytetä turhaa tietoa d) Täsmällisyys tiedot ajan tasalla e) Säilytyksen rajoittaminen vain niin kauan kuin tarpeen f) Eheys ja luottamuksellisuus tietoturvan toteutuminen 2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu -> osoitusvelvollisuus (Tietosuoja-asetus 5. artikla)

Käsittelyn lainmukaisuus Rekisteröity on antanut suostumuksensa Käsittely on tarpeen sopimuksen täytäntöön panemiseksi, Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna

Rekisteröidyn oikeudet Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Jatkossa yritysten tulee antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi Rekisteröidyn oikeus saada pääsy omiin tietoihin Rekisteröidyillä oikeus saada itseään koskevat tiedot koneluettavassa muodossa Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi Huomioitava muu lainsäädäntö, ts. mitä tietoja pitää lain mukaan säilyttää rekistereissä (esim. kirjanpitolaki) Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta Oikeus siirtää tiedot järjestelmästä toiseen Rekisteröidyllä oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen Vastustamisoikeus Oikeus vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

Rekisterinpitäjän velvollisuudet Tietosuoja-asetus tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilivelvollisuus / osoitusvelvollisuus). Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa Ts. pystyttävä dokumentoidusti osoittamaan, että tietosuojaa toteutetaan tietosuoja-asetuksen mukaisesti

Rekisterinpitäjän velvollisuudet: Tietosuojarikkomuksista ilmoitusvelvollisuus Nykytila: henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus tietosuojavaltuutetulle sisältyy vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin (617/2009). Jatkossa jokainen organisaatio on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta niin valvontaviranomaiselle kuin rekisteröidyillekin Jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä Yrityksillä on siis oltava valmiuksia tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin

Rekisterinpitäjän velvollisuudet: Esimerkki tietosuojarikkomuksen ilmoituksesta Lähde: EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016 https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016

Rekisterinpitäjän velvollisuudet: Avoimuus Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista, ( rekisteriseloste ) mm. Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on nimitetty) Mihin tarkoituksiin henkilötietoja käsitellään ja mikä on käsittelyn oikeusperusta (esim. palvelun tarjoamiseksi rekisteröidyn suostumuksella) Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat Jos henkilötietoja siirretään kolmanteen maahan, miten tietosuojasta on huolehdittu ja mistä rekisteröity voi saada siitä lisätietoja

GDPR Keskeiset vaikutukset Epäonnistumisen vaikutuksia organisaatiotasolla, mm. Taloudelliset vahingot ja rikosoikeudelliset seuraamukset Menetetyn aineettoman omaisuuden aiheuttama vahinko Arkaluonteisen tiedon menettämisen aiheuttamat vahingot Kilpailuedun ja maineen menetys Asiakkaiden ja yhteistyökumppaneiden menetys Sanktiot maksimissaan: 2% / 10M, 4% / 20 M Johdonmukaisempi soveltaminen ja tehokas täytäntöönpano Asian käsittely asianomaista lähellä olevassa tietosuojaviranomaisessa ja oikeusistuimessa Parhaimmillaan voi olla yritykselle kilpailuetu huolehdimme yksityisyydestäsi

Rekisteröidyn oikeudet - suoramarkkinointi Nykytila: Henkilötietolaissa eroteltu toisistaan henkilötietojen käsittely suoramarkkinointitarkoituksiin Esim. suostumuksen tai asiakassuhteen perusteella Pysyvän markkinointirekisterin perustamisella, kun henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten Markkinointiviestin yhteydessä informoitava, mistä henkilötiedot on hankittu GDPR ei juurikaan yksityiskohtaista suoramarkkinointia koskevia sääntöjä tietojenkäsittelyn osalta Poikkeuksena vastustamisoikeus: Rekisteröidyllä milloin tahansa ja maksutta oikeus vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin Muutos nykyiseen: Opt-in Opt-outin sijaan Lisäksi sähköistä suoramarkkinointia koskevia säännöksiä edelleen myös sähköisen viestinnän tietosuojadirektiivissä, sekä tietoyhteiskuntakaaressa

Tietosuojatoimijoiden asema & vastuut Rekisterinpitäjän velvollisuus on varmistaa, että käsittelyssä noudatetaan asetuksen määräyksiä Sisäiset prosessit Ulkoistettujen palvelujen sopimukset Kaiken muun voit ulkoistaa, paitsi vastuun" Tietojen käsittelijän on noudatettava rekisterinpitäjän ohjeistuksia Käsittelystä on sovittava kirjallisesti Käsittely vain rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti Vastuussa käsittelyn turvallisuudesta Tietosuojavastaavan tehtävänä on seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Toimii valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä Ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle!

Tietosuojarikkomusten käsittely /2 Tietosuojaviranomaisella on useita keinoja puuttua ongelmiin: varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä (vs. rekisteröidyn oikeudet) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle

Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä) Pykälän 1 momentissa säädettäisiin, että henkilö, joka muutoin kuin yleisessä tietosuojaasetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksessa, tietosuojalaissa tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely ( urkinta ) ilman käsittelyn oikeuttavaa perustetta Esim. silkasta uteliaisuudenhalusta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista

Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä) Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1 4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä. Rangaistavaa voisi olla muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.

Vahingonkorvaus rekisteröidylle Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta

Mitä toimenpiteitä tulisi jokaisessa organisaatiossa toteuttaa?

Dokumentointivelvoitteet Tilivelvollisuuden vuoksi on tehtävä paljon erilaista dokumentaatiota Tietosuojaselosteet, rekisteriselosteet Tiedon käsittelyn prosessit Dokumentoidut riskianalyysit Sopimukset tietojen käsittelijöiden kanssa oltava kirjallisena ja niissä sovittava käsittelystä Ohjeistukset tietojen käsittelijöille Tietoturvallisuuteen liittyvä dokumentaatio

Käytännön muutoksia arkipäivään Riskien arviointi pitäisi ottaa jatkuvaksi käytännöksi Henkilökunnan kouluttaminen ja tietoisuuden lisäys Erityisesti rohkaisu ja motivointi tuomaan esille puutteita Tietosuojan kehittämisen vuosikello Jatkuva kehittäminen

Tietoturvan kehittäminen tietosuojan näkökulmasta Tietosuoja-asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaiset tekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely on turvattua. Riskianalyysi Turvallinen verkko- ja järjestelmäarkkitehtuuri Pääsynhallinta Päivitysten ja muutosten hallinta Fyysinen turvallisuus Henkilöstöturvallisuus (ml. Tietoturvatietoisuus, koulutus) Toiminnan jatkuvuuden hallinta (tietojen varmuuskopiointi, toipumissuunnitelmat ) Tietoturvallisuuden hallinta (roolit, vastuut, )

Tietosuoja-asetuksen huomiointi hankinnoissa Tietosuoja hankinnoissa Henkilötietojen käsittelyn lainmukaisuuden varmistaminen Rekisterinpitäjällä on lähtökohtaisesti ns. ankara vastuu. Henkilötietojen käsittelijän vastuu on toissijaista. Käsittelijä on vastuussa vain, jos se ei ole noudattanut tietosuoja-asetuksessa käsittelijälle nimenomaisesti asetettuja velvoitteita tai rekisterinpitäjän ohjeistusta Vastuut ja velvoitteet sopimuksiin!

Yhteenveto: Mikä muuttuu? Eräissä tapauksissa jopa vähemmän sääntelyä ja määräyksiä Aiemmin vaadittu lupa tietosuojalautakunnalta rekisteröidyn elintärkeän edun suojaamiseksi muissa kuin yksittäistapauksissa -> lupamenettely poistuu, mutta vastuu rekisterinpitäjällä! Myös tietosuojalautakunnan toiminta lakkaa Jatkossa yleinen velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta Tietosuoja-asetuksen seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin sakkoihin Aiemmin painottunut vahvasti rikosoikeudelliseen järjestelmään

Yhteenveto: Suurimmat haasteet Osoitusvelvollisuus (5 artikla) Organisaation tulee pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä toimitaan asetuksen mukaisesti Dokumentaatiovelvoitteet, mm. kuvaukset henkilörekistereistä ja henkilötietojen käsittelyn prosessit Rekisteröidyn oikeuksien toteutuminen Rekisteri/tietosuojaselosteet, joissa kerrotaan tietojen käsittelystä Suostumuslomakkeet / suostumuksen peruuttaminen Rekisteröidyn pääsy omiin tietoihinsa Ilmoitukset tietosuojaloukkauksista Sopimusten tarkistaminen Henkilötietojen käsittelystä pitää sopia selkeästi (oltava kirjallinen sopimus) Mm. Artikla 24: Rekisterinpitäjän tulee varmistaa, että käytetyt tietojärjestelmät ovat asetuksenmukaisia Tietoturvan kehittäminen Toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen ja niiden käsittelyn turvaamiseksi Henkilöstön koulutus

Tietosuojaprojektin perusaskeleet Johdon sitoumus tietosuojan kehittämiseen Kartoita tietojen käsittelyn nykytila ja listaa henkilötietorekisterit. Ota huomioon myös mahdolliset henkilötietojen käsittelyn ulkoistukset. Päivitä prosessit asetuksen mukaisiksi. Hanki henkilöiltä lupa tietojen keräämiseen. Nimeä organisaatioon tietosuojavastaava

Tietosuojaprojektin perusaskeleet Tarkista sopimustilanne asiakkaiden, palveluntuottajien, alihankkijoiden sekä toimittajien kanssa. Varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sopimuksen sisältö on tietosuoja-asetuksen vaatimusten mukainen. Dokumentoi tietoturvakäytännöt Laadi tietotilinpäätös Arjen tietosuojakoulutus http://tietosuoja.vahtiohje.fi

Esimerkki työkalusta / palvelusta, jonka avulla voidaan tehdä nykytilan kartoitus, ja tarvittava dokumentointi.

Kyberturvallisuuden kehittämisprojekteja julkiselle sektorille Tietosuojan kehittämisprojekteja pksektorille Tietosuojakoulutuksia yrityksille ja julkisille organisaatioille

GDPR ja HR: Kuinka varautua tietosuoja-asetukseen henkilöstöhallinnon näkökulmasta? Keski-Suomen kauppakamarin koulutus 23.11. klo 8:30-12:30 (sis. lounas) 1. EU:n tietosuoja-asetuksen yleiskatsaus a. Johdatus tietosuojaan: GDPR tausta ja peruskäsitteet CASE-esimerkin kautta tarkasteltuna b. Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä 2. Käytännön CASE-esimerkkejä HR-prosesseista ja -järjestelmistä, joihin tietosuoja-asetus väistämättä vaikuttaa a. Tietosuoja-asetus ja työsuhteen elinkaari: CASE-esimerkit tietosuoja-asetuksen huomioimisesta henkilötietojen käsittelyssä b. Kuinka tietosuoja-asetus tulisi huomioida henkilöstöhallinnon prosesseissa ja HR-järjestelmissä? c. Mitä tulee huomioida esim. työhaastatteluja ja soveltuvuusarviointeja järjestettäessä? 3. Tietosuoja-asetuksen huomioiminen sopimuksissa a. Mitä tulisi huomioida järjestelmätoimittajien kanssa tehtävissä sopimuksissa ja ohjeistuksissa? b. Millaisia vaatimuksia hankittavalle järjestelmälle tai palvelulle tulisi asettaa? c. Miten lähestyä nykyisiä sopimuskumppaneita? https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-ja-hr-kuinka-varautua-tietosuoja-asetukseenhenkilostohallinnon-nakokulmasta/587/ Pekka Vepsäläinen +358401522628 pekka.vepsalainen@tikkasec.fi Twitter: @pveps @tikkasec

OTA YHTEYTTÄ JA KYSY LISÄÄ! Pekka Vepsäläinen Tikkasec Oy 040 152 2628 pekka.vepsalainen@tikkasec.fi Pekka Vepsäläinen +358 40 152 2628 pekka.vepsalainen@tikkasec.fi @pveps @tikkasec

Lähdeluettelo Tietosuoja-asetus http://eur-lex.europa.eu/legal-content/fi/txt/html/?uri=oj:l:2016:119:full&from=fi Tietosuojavaltuutetun toimiston ohjeistukset http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016 https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016 Pekka Vepsäläinen +358401522628 pekka.vepsalainen@tikkasec.fi Twitter: @pveps @tikkasec

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute