EU:n yleisen tietosuoja-asetuksen soveltaminen alkaa vaikutukset yhdistysten ja säätiöiden toimintaan

Samankaltaiset tiedostot
Tietoturva yhdistyksessä

Teknologia avusteiset palvelutverkostopalaveri

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuoja-asetus (GDPR)

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Tietosuojavaltuutetun toimiston tietoisku

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

GDPR Tietosuoja-asetus

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Tietosuoja käytännössä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Ajankohtaista tietosuoja-asetuksesta

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuoja-asetus Immo Aakkula Arkistointi

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

EU:n tietosuoja-asetus (GDPR)

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Kolarin kunnan tietosuojapolitiikka

Mikä GDPR? General Data Protection Regulation

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

TIETOSUOJAPOLITIIKKA

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

LSPeL Porin toiminta-alueen kevätseminaari

Tampereen Aikidoseura Nozomi ry

Organisaatioluvan hakeminen

Salon kaupunki , 1820/ /2018

EU TIETOSUOJA- ASETUS

Pilvipalvelut ja henkilötiedot

Tietosuojaasiat. yhdistysten näkökulmasta

Salon kaupunki / /2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Salon kaupunki / /2018

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Salon kaupunki , 1820/ /2018

EU:n tietosuoja-asetus ja tieteellinen tutkimus

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

EU:n tietosuoja-asetus 2016

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

INHUNT LAW OY:N TIETOSUOJAILMOITUS

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Usein kysyttyjä kysymyksiä tietosuojasta

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä


T E R H O N E V A S A L O

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Koulutuskiertue

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

EU:N UUSI TIETOSUOJA- ASETUS

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Varustekorttirekisteri - Tietosuojaseloste

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Tietosuojaseloste 1 (6)

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

Transkriptio:

EU:n yleisen tietosuoja-asetuksen soveltaminen alkaa vaikutukset yhdistysten ja säätiöiden toimintaan 21.11.2017 Ilkka Vuorenmaa, Senior Manager, Legal Counsel

Esityksen rakenne Tietosuoja perusteet (Mikä tietoturva sitten on?) EU:n yleinen tietosuoja-asetus mistä on kysymys? Rekisterinpitäjän velvollisuudet Rekisteröidyn oikeudet Tietosuojan kehitysprojekti osana organisaation toiminnan kehittämistä 2

Tietosuoja: Perusteet

Henkilötieto HetiL 3 : Henkilötieto - Kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Uusi Tietosuoja-asetus (GPDR), 26 ja 30 alkukappale - Kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien, verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin. 4

Tietosuoja Tietosuoja ja tietoturva - Tietosuoja: henkilötietojen suojaa koskevat periaatteet yksityisyyden suoja - Tietoturva: tiedon suojaamista teknisin ja organisatorisin keinoin Henkilötieto suojan kohteena - Kaikki tieto, jonka avulla luonnollinen henkilö (rekisteröity) voidaan joko suoraan tai epäsuorasti tunnistaa (tunnistettavuuskriteeri) Rekisterinpitäjä (controller) - Määrittelee tietojenkäsittelyn tarkoitukset ja keinot Käsittelijä (processor) - Käsittelee henkilötietoja rekisterinpitäjän lukuun 5

Arkaluonteinen henkilötieto ja henkilötietojen käsittely HetiL 11 : Arkaluonteinen henkilötieto 1) rotua tai etnistä alkuperää; 2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista; 3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta; 4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia; 5) henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka 6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. Henkilötietojen käsittely - Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. 6

Käsittelyperuste (art 6) Käsittelyn lainmukaisuus 1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi; e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi; f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja - vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. 7

Rekisteri-/Tietosuojaseloste Rekisterinpitäjä Henkilörekisterin nimi Henkilötietojen käsittelyn tarkoitus Rekisteröitävät tiedot Säännönmukaiset tietolähteet Henkilötietojen luovuttaminen Rekisterin suojaus Tietojen tarkastusoikeus ja korjaaminen Muut rekisteröidyn oikeudet 8

EU:n yleinen tietosuoja-asetus mistä on kysymys?

Johdanto GDPR eli Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuojaasetus) GDPR:n soveltaminen alkaa 25.5.2018 suoraan sovellettavaa oikeutta Kotimaisen erityissääntelyn tarkistaminen ja sopeuttamistarve Henkilötietodirektiivi 95/46/EY kumotaan 25.5.2018 OM:n työryhmä: henkilötietojen suojaa koskevan kansallisen lainsäädännön tarkistaminen Vaikka GDPR suoraan sovellettava, jäsenvaltioilla määrätyissä kohdissa kansallista liikkumavaraa (erit. julkinen sektori) Koska GDPR:n soveltaminen alkaa pian, organisaatioiden aloitettava toimenpiteet jo nyt vaikka lainsäädännön tarkistaminen kesken 10

GDPR miksi tästä kohistaan? TIETOSUOJAHALLINNON LAATUVAATIMUKSET Laaja soveltamisala; esim. kaikki henkilötietoja käsittelevät Suomessa toimivat yhdistykset, säätiöt ja yritykset HALLINNOLLISET SAKOT ja muut seuraamukset Hallinnollinen sakko max. 20 000 000 euroa tai (yritys) 4 % edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta, sen mukaan kumpi on suurempi TIETOSUOJA TYÖVÄLINEENÄ JA MENESTYSTEKIJÄNÄ Yleinen digitalisoituminen, Data & Analytics, IoT, MyData, BigData, etälääketiede/e-health (Liike-)toimintamallien yhteensovittaminen tietosuojan kanssa Rekisteröidyn oikeudet laajenevat Rekisteröidyille uusia oikeuksia vastaavasti rekisterinpitäjille lisää velvollisuuksia ja vastuita 11

EU:n yleinen tietosuoja-asetus Uudet säännökset, mm. Osoitusvelvollisuuden periaate Tietosuoja vaikutustenarvioinnit ( PIA ) Privacy by Design ja Privacy by Default Tietovuotoilmoitukset Tietosuojavastaava Right to erasure (ei absoluuttinen) Henkilötietojen siirrettävyys palvelusta toiseen Yhden luukun periaate (eri maiden viranomaisten yhteistyö) Tiukennukset entisiin vaatimuksiin, mm. Säännösten sovellettavuus (henkilötiedon määritelmä/anonyymidata/pseudonyymidata) Vaatimukset tehokkaalle suostumukselle Tuntuvat sanktiot asetuksen vaatimusten vastaisista toimista ja velvollisuuksien laiminlyönnistä Kansainväliset tiedonsiirrot (EU:n ulkopuolelle) Rekisterinpitäjän ja tietojenkäsittelijän välinen suhde ( sopimusten uudelleenarviointi) Henkilötietojen käsittelyn oikeusperusteet Korotetut toimeenpanovaltuudet viranomaisille EU:n ulkopuolisten rekisterinpitäjien velvollisuus nimetä edustaja EU:n sisällä Tietojenkäsittelytoimien dokumentointivelvollisuus 12

Seuraamukset pähkinänkuoressa riskit organisaatioille Vahingonkorvausvelvollisuus Asetuksen vastainen menettely aiheuttanut vahinkoa - kuka tahansa (rekisteröity, kolmas, käsittelijä, toinen rekisterinpitäjä jne.) Käsittelijä siltä osin kuin rikkonut asetuksessa nimenomaan käsittelijälle säädettyä velvollisuutta tai toiminut vastoin rekisterinpitäjän (lainmukaisia) ohjeita Yhteisvastuu, jos useampia rekisterinpitäjiä tai käsittelijöitä Valvontaviranomaisten määräämät seuraamukset Varoitus, huomautus, määräys toteuttaa rekisteröidyn oikeus, määräys noudattaa asetuksen säännöksiä, tietojenkäsittelyn rajoittaminen tai kielto, sertifikaatin poistaminen, kv-tietojensiirron keskeyttäminen, hallinnollinen sakko Rikosoikeudellinen vastuu jäsenvaltion oikeuden nojalla edelleen mahdollinen Hallinnollinen sakko Määrää arvioitaessa otettava huomioon lieventävät ja koventavat seikat Kustakin rikkomuksesta voidaan määrätä erillinen seuraamus. Ylärajat kuitenkin: Enintään 10.000.000 euroa tai enintään 2 % edellisen tilikauden globaalista liikevaihdosta: Esim. lapsen suostumus, privacy by design, ulkomaisen rekisterinpitäjän edustajan asettaminen, käsittelijän velvollisuudet, dokumentointivelvollisuus, tietovuotoilmoitus, DPIA, tietosuojavastaavan nimittäminen, sertifiointi Enintään 20.000.000 euroa tai enintään 4 % edellisen tilikauden globaalista liikevaihdosta: Esim. tietojenkäsittelyn perusperiaatteet, käsittelyn laillisuus ja käsittelyperusteet, suostumuksen edellytykset, rekisteröityjen oikeudet, kv-henkilötietojen siirrot, valvontaviranomaisen määräämän toimenpiteen vastainen menettely 13

Rekisterinpitäjän velvollisuudet

GDPR:n osoitusvelvollisuus OSOITUSVELVOLLISUUS Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Eheys ja luottamuksellisuus Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Käsittelyn oikeusperuste Art. 6 11 Rekisteröityjen oikeuksien toteuttaminen Art. 12 22 Rekisterinpitäjän yleisvelvoitteet Art. 24 26, 30, 31, 37 39 Ulkoistukset ja kv-siirrot Art. 28 29, 44 50 Käsittelyn turvallisuus ja riskiarviointi Art. 32 36, 40 43 Organisatoriset toimenpiteet Tekniset toimenpiteet 15

Privacy by design, privacy by default Oletusarvoinen ja sisäänrakennettu tietosuoja Rekisterinpitäjällä on velvollisuus: Ottaa tietosuojavaatimukset huomioon järjestelmien ja toimintamallien suunnitteluvaiheessa Huolehtia siitä, että sen tarjoama asiointiympäristö/palvelu on lähtökohtaisesti turvallinen ja tietosuojavaatimukset täyttävä 16

Tietosuojavastaava organisaation tueksi Tietosuojavastaava avustaa organisaatiota Lakisääteisten velvoitteiden hoitamisessa Henkilötietojen käsittelyn suunnittelussa, dokumentoinnissa ja arvioinnissa Tietosuojan ja tietoturvan tilan ja kehitystarpeiden riippumattomassa arvioinnissa Osoitusvelvollisuuden toteuttamisessa Tietosuojavastaava on organisaation erityisasiantuntija Mahdollisimman riippumaton asema Raportointi suoraan johdolle Tuki sekä johdolle että henkilöstölle Tavoitteena vaatimusten mukainen tietosuojan laatutaso HUOM. Ei ole vastuussa organisaation tietosuojasta kokonaisuutena, vastuu toimivalla johdolla 17

Henkilötietojen käsittelyn ulkoistaminen Rekisterinpitäjä Alihankkija eli henkilötietojen käsittelijä Alihankkijan alihankkija eli henkilötietojen käsittelijän käyttämä henkilötietojen käsittelijä Rekisterinpitäjä (data controller) Määrittelee henkilötietojen käyttötarkoitukset ja keinot Henkilötietojen käsittelijä (data processor) Käsittelee henkilötietoja rekisterinpitäjän lukuun sen ohjeiden mukaisesti; kysymys rekisterinpitäjän rekisterin käytöstä Koko alihankintaketju; kaikki käsittelevät rekisterinpitäjän puolesta ja lukuun Sopimus henkilötietojen käsittelystä, toimeksiantosopimus GDPR:n sisältövaatimukset Vrt. henkilötietojen siirto EU:n ulkopuolelle 18

TIETOVUOTOILMOITUS LAKISÄÄTEISEKSI EU:n tietosuoja-asetus 31 artikla (kons. luonnos): Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle without undue delay and, where feasible, not later than 72 hours after having become aware of it. ilmoitus lähtökohtaisesti myös rekisteröidyille ensimmäinen yleinen tiedonantovelvoite tietovuototapauksissa tehostetaan kovennetuilla oikeudellisilla seuraamuksilla ei tarvitse tehdä, mikäli riskejä rekisteröityjen yksityisyyden suojalle ei ole 19

Henkilötietojen siirto EU:n alueen ulkopuolelle GDPR:n mukaiset henkilötietojen siirtämisen perusteet Siirto mahdollinen ainoastaan GDPR:n 5 luvussa säädetyin edellytyksin Komission päätös tietosuojan riittävyydestä (45 art.) vrt. Safe Harbor -päätöksen kumoaminen ja uusi Privacy Shield Asianmukaisten suojatoimien soveltaminen, mm. seuraavat (46 art.): Komission ja tietosuojaviranomaisen vakiolausekkeet, vrt. model clauses Yritystä koskevat sitovat säännöt, vrt. binding corporate rules Hyväksytyt käytännesäännöt tai sertifiointimekanismit yhdessä sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi Yksilöllisesti neuvotellut sopimuslausekkeet (edellyttää toimivaltaisen valvontaviranomaisen lupaa) Erityistilanteita koskevat poikkeukset, mm. rekisteröidyn nimenomainen suostumus (49 art.) Vrt. esim. käytännössä ICT-palvelut, joissa palvelun tuottaja hyödyntää alihankintaa ja pilvipalveluja 20

Rekisteröidyn oikeudet

Rekisteröidyn tiedonsaantioikeudet ja pääsy omiin tietoihin Rekisteröidyn kontrolli omiin tietoihin paranee Läpinäkyvyys ja avoimuus Rekisteröidyn pyynnöt Vastattava ilman aiheetonta viivytystä, max. 1 kk Pääsyoikeus omiin tietoihin (art. 15) Käsitelläänkö henkilötietoja? Miten, mitä ja kuinka kauan käsitellään? Informointivelvollisuus laajenee: + käsittelyn peruste + oikeutetut intressit + henkilötietojen vastaanottajat + kv-tietojensiirtojen tapauksessa peruste tietojensiirrolle + säilytysaika tai kriteerit sen määrittelemiseksi + rekisteröidyn uudet oikeudet + oikeus peruuttaa suostumus + oikeus valittaa valvontaviranomaiselle + sisältääkö käsittely automatisoitua päätöksentekoa / profilointia 22

Tietojen korjaaminen, poistaminen ja rajoittaminen Oikeus saada virheelliset tiedot korjatuiksi (art. 16) - HetiL virheettömyysvaatimus (9.2 ) + tiedon korjaaminen (29 ) - Oikeus täydentää, jos tiedot ovat epätäydelliset Oikeus tulla unohdetuksi (art. 17) - EUT: Google Spain - Ei absoluuttinen oikeus - Oikeus saada itseään koskevat tiedot poistetuiksi viivytyksettä - Rekisterinpitäjän informoitava muita rekisterinpitäjiä pyynnöstä poistaa tiedot Oikeus rajoittaa käsittelyä (art. 17 a) 23

Käsittelyn vastustaminen Rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä (art. 19) Jos henkilötietojen käsittely perustuu julkiseen etuun, viranomaistehtävään tai rekisterinpitäjän tai kolmannen tahon oikeutettuun etuun - Rekisterinpitäjän lopetettava käsitteleminen, ellei pysty esittämään pakottavaa oikeutettua perustetta tietojen käsittelylle Pakottava peruste vs. rekisteröidyn oikeudet ja vapaudet Oikeudellisten vaatimusten turvaaminen Suoramarkkinointitarkoitukset - Rekisterinpitäjän aina lopetettava käsittely Tieteellinen ja historiallinen tutkimus, tilasto - Paitsi jos julkinen etu edellyttää 24

Rekisteröidyn oikeussuojakeinot Oikeus tehdä valitus valvontaviranomaisille (art. 73) - Mikä tahansa tietosuoja-asetuksen vastainen menettely - Asuinpaikan, työskentelypaikan tai loukkauksen tapahtumapaikan viranomainen - Muutoksenhakuoikeus valvontaviranomaisen päätöksen johdosta (art. 74) - Ei rajoita muita hallinnollisia tai oikeudellisia oikeussuojakeinoja Kanne rekisterinpitäjää tai käsittelijää vastaan (art. 75) - Rekisterinpitäjän tai käsittelijän sijoittautumispaikan tuomioistuimessa - Rekisteröidyn kotipaikan tuomioistuimessa Oikeus vahingonkorvaukseen (art. 77) - Kärsitystä vahingosta Rikosilmoitus 25

Tietosuojan kehitysprojekti osana organisaation toiminnan kehittämistä

Tietosuojan hallinnointi käytännössä Tietosuoja-asiat oltava kunnossa jo nyt ja myös EU-tietosuoja-asetuksen voimaantullessa 5/2018 Toimiva johto on vastuussa tietosuojastakin Toimintaprosessi: Tehdään toiminta- ja riskianalyysi; mitä tietoja, mihin tarkoitukseen yms Vastuiden ja raportoinnin määrittely, resursointi (ml. tietosuojavastaava) Laaditaan riittävät politiikat ja ohjeistukset; tietosuojapolitiikka, rekisteriselosteet yms Tehdään alihankintasopimuksien analysointi ja muokkaus; vastuut, prosessit Henkilöstön koulutus ja osaamisen ylläpito; alkukoulutus ja päivityskoulutus Riittävä henkilötietojen käsittelyn valvonta; lokit Tiedon elinkaaren hallinta; säilytysajat ja tiedonmäärä Rekisterinpitäjän muiden velvollisuuksien toteuttaminen; viranomaisilmoitukset, rekisteröityjen oikeudet Turvataan tietoturva; oma + yhteistyökumppanit 27

Rekisterinpitäjän velvollisuudet Tietosuojan kehitystyö Vrt. henkilötietojen käsittelijä; myös sen otettava nämä aiheet huomioon, kun käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun Asiakirjat Tietosuojan seuranta, valvonta ja toimenpiteet Tietosuojan toimintaperiaatteet, ml. rekisteröityjen oikeuksien toteuttamisen mahdollistaminen Tietosuojaseloste (tiedottaminen rekisteröidylle), tietosuojapolitiikka ja raportit/ tietotilinpäätös, seloste käsittelytoimista, ohjeistus henkilötietojen käsittelijälle, sopimukset (toimeksiantosopimus, data processing agreement -liite, luovutus- ja yhteistyösopimukset) jne. Tietosuojan vuosikello, yleinen riskiarviointi ja DPIA:t/ennakkokuulemiset, sopimusneuvottelut seurantakauden aikana (tietosuojaa koskevat sopimusehdot) Organisaation tietosuojaa koskevat käytännöt ja menettelyt; ml. läpinäkyvä tiedottaminen ja viestintä, tietojen toimittaminen rekisteröidylle, vastaaminen rekisteröityjen pyyntöihin (pääsyoikeus, oikaisuoikeus, oikeus tulla unohdetuksi), oikeus rajoittaa käsittelyä, oikeus siirtää tiedot toiseen järjestelmään, oikeus vastustaa käsittelyä Suunnittelu ja perusteet, organisatoriset ja tekniset toimenpiteet Toteutettava tarvittavat määrämuotoisen ja vastuutetun tietosuojan hallinnoinnin toimenpiteet, joilla voidaan varmistaa ja osoittaa, että GDPR:ää noudatetaan; Tarvittaessa toimenpiteitä tarkistettava ja päivitettävä Sisäänrakennettu ja oletusarvoinen tietosuoja Privacy by design and default Tietosuojavastaava 28

Lyhyt, yksinkertaistettu yhteenveto GDPR:n merkityksestä ja eräistä pääkohdista Organisaatioiden tulisi saattaa tietosuoja GDPR:n mukaiselle vaatimustasolle 25.5.2018 mennessä Mainitusta päivästä alkaen henkilötietojen käsittelyyn sovelletaan GDPR:n säännöksiä. Resitaali 171: Tämän asetuksen soveltamisen alkamispäivänä suoritettavana olevat käsittelyt olisi saatettava tämän asetuksen mukaisiksi [ ]. Jos käsittelyjen saattaminen asetuksen mukaiseksi ei jostain syytä määräaikaan mennessä onnistuisi, ks. asetuksen mukaiset seuraamukset Missä ja miten henkilötietoja organisaatiossa käsitellään? Nykytilan selvittämisen ja arvioinnin perusteella voidaan tehdä ratkaisut tarvittavista ja organisaation valitsemista kehitystoimenpiteistä. Missä roolissa organisaatio toimii, rekisterinpitäjän vai henkilötietojen käsittelijän roolissa vai kummassakin? Rekisterinpitäjä on GDPR:n 5 artiklan mukaisen osoitusvelvollisuuden mukaisesti vastuussa henkilötietojen käsittelystä; henkilötietojen käsittelijä puolestaan käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun eli käyttää rekisterinpitäjän rekisteriä. Sama yritys voi toimia omien rekistereidensä osalta rekisterinpitäjänä ja myös käsitellä henkilötietojen käsittelijänä muiden rekisterinpitäjien henkilötietoja niiden puolesta ja lukuun. 29

Lyhyt, yksinkertaistettu yhteenveto GDPR:n merkityksestä ja eräistä pääkohdista Lyhyesti rekisterinpitäjän roolissa toimivan organisaation osoitusvelvollisuudesta Järjestettävä henkilötietojen käsittely GDPR:n mukaisesti ja lisäksi pystyttävä kysyttäessä osoittamaan, että käsittely on siten järjestetty (esittämällä GDPR:n mukaista aineistoa). Tietosuojahallinnon järjestäminen organisaatiossa Hallinto tulisi järjestää siten, että GDPR:n mukaiset rekisteröityjen oikeudet (mm. oikeus saada tietoja, poisto-oikeus, siirto-oikeus) ja sen lisäksi muutkin rekisterinpitäjän velvollisuudet voidaan toteuttaa. Organisaation henkilörekisterit ja henkilötietojen käsittelyn elinkaari Kehitystyön yhteydessä tulisi tunnistaa, millaisia henkilötietoja kerätään ja käsitellään, mikä yhtiö määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot (rekisterinpitäjä), mihin tarkoitukseen tiedot on kerätty (käyttötarkoitussidonnaisuus) ja miten henkilötietojen tietosuoja on järjestetty sekä millaisia käsittelytoimenpiteitä tietoihin kohdistuu (esim. käsittelyn ulkoistukset, siirrot EU:n ulkopuolelle) niiden keräämisestä aina tietojen poistamiseen/anonymisointiin asti henkilötietojen käsittelyn koko elinkaari huomioon ottaen. 30

Lyhyt, yksinkertaistettu yhteenveto GDPR:n merkityksestä ja eräistä pääkohdista Lyhyesti henkilötietojen käsittelijän velvollisuuksista Rekisterinpitäjä saa käyttää ainoastaan GDPR:n vaatimukset täyttäviä henkilötietojen käsittelijöitä (mm. 32 art. mukaiset käsittelyn turvallisuuden varmistamiseen liittyvät toimenpiteet). Henkilötietojen käsittelijä saa käsitellä rekisterinpitäjän henkilötietoja ainoastaan rekisterinpitäjän kanssa tehdyssä toimeksiantosopimuksessa määritellyllä tavalla, rekisterinpitäjän antaman ohjeistuksen mukaisesti ja noudattaen sovellettavaa lainsäädäntöä (GDPR ja mahd. kansall. erityislainsäädäntö kansall. liikkumavaran puitteissa). Vastaavasti rekisterinpitäjällä on velvollisuus huolehtia em. reunaehtojen toteutumisesta henkilötietojen käsittelyn ulkoistuksessa henkilötietojen käsittelijälle. Riskilähtöisyys ja riskien arviointi Henkilötietoja kerättäessä ja käsiteltäessä tulisi tehdä riskiarviointia ja sen perusteella tehdä päätöksiä mm. tarpeellisista teknisistä ja organisatorisista toimenpiteistä henkilötietojen asianmukaisen turvallisuustason varmistamiseksi. GDPR:n 35 art. edellyttää erityisen vaikutustenarvioinnin (DPIA) tekemistä ennen ns. korkean riskin sisältävien käsittelyjen toteuttamista. Organisaation tietosuoja-asiakirjojen tarkistus ja niiden muutokset tai päivitykset Tietosuojaseloste (tiedottaminen rekisteröidylle), tietosuojapolitiikka ja raportit/ tietotilinpäätös, seloste käsittelytoimista, ohjeistus henkilötietojen käsittelijälle, sopimukset (toimeksiantosopimus, data processing 2016 KPMG Oy Ab, a agreement Finnish limited liability company and -liite, a member firm luovutus- of the KPMG network of independent ja yhteistyösopimukset) member firms affiliated with KPMG International Cooperative, a yms. Swiss entity. All rights reserved. 31

TIETOSUOJAN HALLINNOINTI JOHDON MUISTILISTA Toimiva johto on aina vastuussa mm. seuraavien asioiden järjestämisestä: i. Riskianalyysit ii. iii. iv. Vastuiden ja raportoinnin määrittely, resursointi (ml. tietosuojavastaava) Riittävät politiikat ja ohjeistukset ( Tietosuojapolitiikka, rekisteriselosteet ym.) Henkilöstön koulutus ja osaamisen ylläpito v. Riittävä henkilötietojen käsittelyn valvonta ( Lokitus) vi. vii. viii. ix. Salassapitositoumusten hankkiminen henkilöstöltä Tiedon elinkaaren hallinta ( Säännösten noudattaminen, käyttäjäpiirin rajaaminen jne.) Rekisterinpitäjän muiden velvollisuuksien toteuttaminen (mm. viranomaisilmoitukset, rekisteröityjen oikeudet) Tietoturva (oma + yhteistyökumppaneiden) ( Sopimukset, kontrolliympäristö jne.) x. Tietosuojan arviointi ja kehittäminen ( Auditoinnit) 32

Pohdittavia aiheita Käsitelläänkö henkilötietoa? Missä? Mitä henkilötietoja ja miksi? Kuka vastaa tietosuojaan liittyvistä asioista organisaatiossa ja kuka tekee päätökset? Mihin käsittelyä ulkoistettu? Sopimussuhteiden tarkistaminen (oikeudet, velvollisuudet ja vastuu)? Siirretäänkö henkilötietoja EU:n ulkopuolelle? Siirtoperusteiden määrittäminen Riskienarviointi ja huolellinen suunnittelu! Compliance accountabilityn edellytyksenä 33

Neljä hyvää syytä valita KPMG 1 2 3 4 Kokenut juristitiimi KPMG:n lakipalveluissa työskentelee kymmenkunta tietosuojajuridiikkaan erikoistunutta juristia, joten KPMG:n lakipalveluilla on tarvittavat resurssit sekä pienempiin että suurempiin tietosuojan projekteihin organisaation tarpeiden mukaisesti. Juristeillamme on myös hyödyllistä toimialakokemusta mm. ICTalan ja terveydenhuoltoalan tietosuojakysymyksistä. Tarvittaessa voimme hyödyntää KPMG:n kansainvälistä verkostoa palveluiden tuottamisessa. EU:n yleinen tietosuoja-asetus käytännön kokemusta tulkitsemisesta ja soveltamisesta KPMG:n tietosuojajuristit ovat käytännössä tulkinneet ja soveltaneet EU:n yleisen tietosuoja-asetuksen mukaisia vaatimuksia tietosuojatoimeksiannoissa, ja tunnemme aiheeseen liittyvät haasteet. Teknologian ja juridiikan yhteensovittaminen yhteistyötä KPMG:n tietoturva-asiantuntijoiden kanssa KPMG:n lakipalvelut ja tietoturva-asiantuntijat tekevät tarvittaessa tiivistä yhteistyötä tietosuojatoimeksiannoissa parhaan mahdollisen palvelun takaamiseksi organisaatiolle. Compliance-kokemus yhdistettynä tietosuojan kehitystyöhön KPMG:n asiantuntijoiden kokemus organisaation compliance-kysymyksissä tukee tietosuojan kehitystyötä ja EU:n yleisen tietosuoja-asetuksen vaatimusten toteuttamista organisaatiossa. 34

Kiitos Ilkka Vuorenmaa, Senior Manager, Legal Counsel ilkka.vuorenmaa@kpmg.fi Tel 040-561 8302 KPMG lakipalvelut Juridiikka on enemmän

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute