Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Samankaltaiset tiedostot
Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Teknologia avusteiset palvelutverkostopalaveri

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

GDPR Tietosuoja-asetus

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietoturva yhdistyksessä

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

GDPR-pikaopas. Demand more. Puh

IF-INFO MEKLAREILLE

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:n tietosuoja-asetus (GDPR)

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

EU:n tietosuoja-asetukseen valmistautuminen FCG-konsernissa ja Kuntarekry-palvelussa

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus (GDPR)

EU:N TIETOSUOJA-ASETUKSET WALMU

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

GDPR. Timo Kokkonen Webinaari

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Kolarin kunnan tietosuojapolitiikka

Usein kysyttyjä kysymyksiä tietosuojasta

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Ajankohtaista tietosuoja-asetuksesta

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

EU:n tietosuoja-asetus ja tieteellinen tutkimus

EU:n tietosuoja-asetus Matti Sarmela

Haminan tietosuojapolitiikka

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

EU TIETOSUOJA- ASETUS

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Tietosuojatehtävät. Järvenpään kaupungissa

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

EU:n tietosuoja-asetus 2016

EU:n uusi tietosuoja-asetus

GDPR tietosuoja asetus. Heli Peltola Suomen Palvelukoulutus Geriwell Oy

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

GDPR. General Data Protection Regulation, eli Tietosuoja-asetus

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

Ulvilan kaupungin tietosuojapolitiikka

Tietosuojavaltuutetun toimiston tietoisku

Opetusalan Ammattijärjestö OAJ. Tietosuojakoulutus AKOL

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Mikä GDPR? General Data Protection Regulation

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Soluto Oy. EU-tietosuojadirektiivi eli GDPR. Jani-Petteri Pohjonen

EU-TIETOSUOJAN KOKONAISUUDISTUS

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tietosuojalainsäädännön uudistus

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuoja-asetuksen velvoitteet ja vastuut

Tietosuoja-asetus ja sen kansallinen implementointi

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Tietosuoja Perttu Marttila / SoulCore. Julkisten ja hyvinvointialojen liitto JHL

Tietosuojauudistus - Välityömarkkinat. Sanni Harju

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisterinpitäjän ja käsittelijän velvollisuuksien sekä vastuiden jako. Miten EU:n tietosuoja-asetus vaikuttaa sopimiseen?

EU:n tietosuoja-asetus (GDPR)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

EU:N YLEINEN TIETOSUOJA- ASETUS

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietosuoja tutkimuksessa. Arja Kuula-Luumi (Tietoarkisto) Tutkimusaineistojen anonymisointi -seminaari Tampereen yliopisto

Alltime Oy Tietosuoja-Asetus (GDPR)

Älä anna tietosuoja-asetuksen turruttaa Sertifioinnilla kilpailuetua - Inspectan tietopäivä

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Vaikutustenarviointi GDPR:n mukaan

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Uusi EU:n tietosuoja-asetus, mitä muuttuu ja mihin suuntaan

Koulutuskiertue

Informaatiovelvoite ja tietosuojaperiaate

EU:n tietosuoja-asetus

Tulevat säädösmuutokset ja tietosuoja

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Termit. Tietosuojaseloste

Salon kaupunki , 1820/ /2018

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Transkriptio:

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto Jari Ala-Varvi 03 / 2017 30.3.2017 1

Miksi? GDPR tietosuoja-asetus astui voimaan 25.5.2016 ja siirtymäaika päättyy 24.5.2018 Perusoikeuksien suoja monimutkaistuvassa yhteiskunnassa Euroopan ihmisoikeussopimus 8 Artikla oikeus nauttia yksityis- ja perhe-elämään, kotiin ja kirjeenvaihtoon kohdistuvaa kunnioitusta Samojen perusoikeuksien toteutuminen myös monimutkaistuvassa teknologiaympäristössä Markkinoiden ja kilpailun edistäminen Vahvistaa avoimuutta ja läpinäkyvyyttä kuluttajien ja markkinoiden välisessä toiminnassa ja lisätä luottamusta markkinoihin ja siellä toimiviin yrityksiin Digitaalitalouden kehitys sisämarkkinoiden ja EU-kumppanien alueella (Digital Single Market) 30.3.2017 2

Tärkeät käsitteet, artikla 4 Henkilötieto ja rekisteröity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella Rekisterinpitäjä luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Taho, jonka vuoksi henkilötietoja kerätään ja käsitellään Henkilötietojen käsittelijä luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun Toimii rekisterinpitäjän ohjauksessa ja valvonnassa 30.3.2017 3

Henkilötietojen käsittelyn oikeutus Käsittelylle on aina oltava tarve. Rekisteröidyn oma suostumus Sellaisen sopimuksen täytäntöönpano, jossa rekisteröity on sopimusosapuolena (esim. tilaus / palvelusopimus / työoikeus ) Rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Rekisteröidyn elintärkeiden etujen suojelemiseksi Lisäksi on täytettävä kaikki muut asetuksen velvoitteet mm. edellä mainittujen asioiden hallinnasta ja dokumentoinnista. 5.1.2018 4

Rekisterinpitäjän velvoitteet Täydentää rekisterinpitäjän ja käsittelijän vastuita ja velvollisuuksia sekä toteutustapaa. Tuo uutena mm. Riskiperusteinen lähestymistapa Riskit on arvioitava, dokumentoitava ja niihin varautumisen toimenpiteet suunniteltava dokumentoidusti Sisäänrakennettu ja oletusarvoinen tietosuoja (Privacy by design/default) Palvelut on oltava oletusarvoisesti tietoturvallisia ja tietosuojan huomioivia rekisteröityjen edut ja oikeudet huomioiden Osoitusvelvollisuus (accountability) ennen riitti, että kertoo toimivansa lain mukaan, nyt se pitää voida osoittaa Ilmoitusvelvollisuus tietosuojaloukkauksista viranomaiselle ja rekisteröidyille Edellyttää kykyä havainnoida loukkaukset! Tietosuojan vaikutustenarviointi tietyissä olosuhteissa PIA: Privacy Impact Assessment / DPIA: Data Protection Impact Assesment Tietosuojavastaavan nimeäminen tietyissä olosuhteissa Tietoturvakontrollien korostuminen henkilötietojen suojaamisessa Henkilötietojen siirtoon liittyviä velvoitteita 30.3.2017 5

Uutta nykyiseen käsittelijälle Lisää velvollisuuksia käsittelijälle Uutena mm. Velvollisuus käsitellä henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden ja lainsäädännön mukaisesti Varmistettava henkilöstön salassapitovelvollisuus Tehtävä riskiarviot ja niihin perustuvat suojaustoimet kuten salaus; varmistaa luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden; palautumisen varmistus; turvallisuuden tason säännöllinen testaus Ilmoitusvelvollisuus tietoturvaloukkauksesta rekisterinpitäjälle viivytyksettä Rekisterinpitäjän ja käsittelijän laadittava kirjallinen sopimus mille asetettu muotovaatimuksia. Myös käsittelijään voi kohdistua taloudellisia sanktioita 5.1.2018 6

Julkishallinnon osalta Viranomaisrekisterien erottaminen muista rekistereistä Rekisterien käsittelyn pelisäännöt julkisista harkinnanvaraisesti julkisista salassapidettävistä tiedoista Asianosaisen tiedonsaantioikeus rekistereistä Sopimukset ulkoisten käsittelijöiden kanssa 7

Rekisteröidyn oikeudet 1. 2. 3. 4. 5. 6. Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi Oikeus käsittelyn rajoittamiseen Rekisterinpitäjän velvollisuus ilmoittaa vastaanottajille henkilötietojen oikaisusta, poistosta ja rajoituksesta Oikeus siirtää tiedot järjestelmästä toiseen 7. Vastustamisoikeus (yleinen etu, julkinen valta tai oikeutettujen etujen suojaaminen, 6. art. e, f) 8. 9. 10. 11. 12. Automatisoidut yksittäispäätökset ja profilointi Oikeus tulla informoiduksi henkilötietojen tietoturvaloukkauksista Lasten erityisasema Oikeus saada valvontaviranomaiselta apua Oikeus luottaa tietoturvaan 30.3.2017 8

Miten aloitan? Tietosuoja-asetuksen velvoitteiden käyttöönotto on käytännössä projekti, jossa Tunnistetaan ja dokumentoidaan henkilötietorekisterit, henkilötietojen elinkaari sekä tietovirrat organisaatiossa Suoritetaan riskienarviointi ja tietoturvatestaukset Suunnitellaan ja tehdään käyttöönottosuunnitelma riskikontrolleille Erityistilanteissa ja tarvittaessa voidaan joutua tekemään vaikutustenarviointi sekä nimeämään tietosuojavastaava. Aloitukseen löytyy internetistäkin lukuisia ohjeita Esim: http://www.tietosuojakuntoon.fi Ota oppaaksi henkilötietolaki, tietosuojavaltuutetun toimisto http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6jfq8 WnQ7/Ota_oppaaksi_henkilotietolaki.pdf 30.3.2017 9

Vaikeaa? Asetuksen velvoitteet pystyy jokainen täyttämään Se on aikaa vievää, jolloin ulkopuolinen asiantuntija voi tulla kysymykseen, mutta asetus itsessään ei vaadi ihmeitä Muutama vinkki Integroi riskien käsittely nykyiseen riskienhallintaprosessiin Käytä nykyistä IT-dokumentaatio ja rekisteriselosteita kohteiden tunnistamiseen Osallista jokaisen henkilöstöryhmän edustaja alusta asti avoimeen keskusteluun - auttaa myös kohteiden tunnistamisessa Pyydä sopimuskumppaneilta ja asiakkailta tietoa, mitä he toivovat sinulta Aloita pala kerrallaan tärkeimmästä ja vakioi käsittelyprosessi - helpottaa laajentamisessa 10

Mitä sitten konreettisesti pitäisi saada aikaan? Osoitusvelvollisuuden täyttymiseksi organisaatiosta olisi hyvä löytyä: tietosuojapolitiikka ja -organisoituminen; roolit ja vastuut ja kokousten muistiot tietosuojaselosteet, tarvittaessa seloste käsittelytoimista henkilötietojen tietovirtakuvaukset ja tietosäilöjen kuvaukset kuvaukset rekistero ityjen oikeuksien takaamiseksi tehdyistä toimenpiteistä tehdyt tietosuojan riskien arvioinnit hallintakeinoineen ja seurantamuistioineen tietoturvatestauksen tulokset Sisaä nrakennetun ja oletusarvoisen tietosuojan toteuttaminen Henkiloẗietoja ka sitteleva lle henkilo sto lle suunnattavat ohjeet ja koulutussuunnitelma Dokumentaatio mahdollisista henkiloẗietojen loukkauksista Mahdollisesti tietotilinpaäẗo s keinona toteuttaa osoitusvelvollisuus 11

Tiedotus ja koulutus Henkilöstön osallistaminen ja tiedonhankinta Projektin määrittely Taustatietojen ja dokumentaation kerääminen Toteutuksen työnjako ja vastuut Kohteiden tunnistus Henkilötietorekisterien ja tietovirtojen tunnistaminen ja kuvaaminen Tietojen elinkaaren selvitys Tietoturvatestaukset Nykyisten kontrollikeinojen ja henkilötietoon kohdistuvien haavoittuvuuksien tunnistaminen Tietosuojan vaikutustenarviointi (DPIA / PIA) Laajuus määräytyy asetuksen perusteella (art. 35) Toiminnalliset ja tekniset riskit (osittain edelliseltä) Riskien ja seurausten tunnistaminen Riskikarttojen luonti ja kontrollikeinojen suunnittelu Raportointi ja kontrollikeinojen implementointisuunnitelma Välittömät tietoturvakontrollit Kehityssuunnitelma ja vuosikello Tarvittaessa sopimusten muutokset 5.1.2018 13

Kiitos mielenkiinnosta! Jos jokin jäi askarruttamaan, kysy lisää: info@opsec.fi Opsec Oy 03 / 2017 30.3.2017 14

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute