Uusi tietosuojaasetus käytännössä MPY Palvelut Oyj Toni Sivupuro
Sisältö EU tietosuoja-asetus Henkilörekisteri Asetuksen tavoitteet Yksilön oikeudet Yksilön oikeudet käytännössä Suostumus henkilötietojen käsittelyyn Rekisterinpitäjän velvollisuuksia Tietosuojaperiaatteet Osoitusvelvollisuus käytännössä Vastuu henkilörekisterin käsittelystä Ilmoitusvelvollisuus Suositeltavia toimenpiteitä Tietolähteitä
EU tietosuoja-asetus EU-tietosuoja-asetus koskettaa kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa Asetus tuli voimaan 25.5.2016 ja 2 vuoden siirtymäaika päättyy keväällä 2018 Koskettaa kaikkia EU-maita ja korvaa kansalliset lait asetuksella kumotaan nykyinen EU:n henkilötietodirektiivi Suomessa kansallisia lainsäädäntötoimenpiteitä Tietosuojalaki tulee 05/2018 mennessä
Henkilörekisteri Henkilötieto = sellaiset rekisteröityä (esim. työntekijää/asiakas) tai hänen ominaisuuksiaan tai elinolosuhteitaan koskevat merkinnät, jotka voidaan tunnistaa häntä koskeviksi Huomioitava ei-henkilötiedon muuttuminen henkilötiedoksi jos se yhdistetään toiseen tietoon/rekisteriin, esimerkiksi sosiaalisen median käyttäjätunnukset ja asiakasrekisterit Henkilörekisteri = käyttötarkoituksensa vuoksi yhteen kuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään automaattisesti tai joka on järjestetty manuaalisesti Rekisterinpitäjä = se, jonka käyttöä varten henkilörekisteri on perustettu ja jolla on oikeus määrätä henkilörekisterin käytöstä Käsittelijä = henkilö joka käsittelee rekisterissä olevia henkilötietoja
Asetuksen tavoitteet Yhtenäistää lain tulkintaa sekä käytäntöjä koko EU:n alueella Valvonnan tehostaminen koko EU:n alueella Tukea digitaalitalouden kehitystä sisämarkkinoilla Yksilön oikeuksien vahvistaminen ja henkilötietojen suoja
Yksilön oikeudet Tiedonsaantioikeus Tietojen oikaisuvelvollisuus Tietojen poisto, oikeus tulla unohdetuksi Tietojen käsittely, oikeus kieltää tietojen käsittely Tietojen siirto järjestelmästä/palveluntarjoajalta toiselle
Yksilön oikeudet käytännössä Voit olla yhteydessä sellaiseen yritykseen, jonka hallussa on henkilötietojasi ja pyytä näistä sähköistä tiedostoa tai dokumenttia. Esimerkiksi: CSV tai muu vastaava tiedostomuoto. Kuitenkin sellainen, joka on yleisesti käytössä oleva ja mahdollistaa tietojen siirron toiseen järjestelmään. *Oikeus siirtää tietoja palveluntarjoajien välillä syntyy, kun tiedot on luovutettu rekisteröidyn toimesta rekisterin pitäjälle. Tiedot on toimitettava vähintään kuukauden kuluessa pyynnöstä.
Yksilön oikeudet käytännössä -jatkoa Voit pyytää yritystä oikaisemaan tietosi, poistamaan ne tai kieltämään osaa itseäsi koskevaa henkilötietojen käsittelyä. Yrityksellä on oikeus vastustaa sellaisten tietojen poistamista, jotka on tarpeellisia palvelun tarjoamisen kannalta tai yritys on velvoitettu säilyttämään tietoja muun lain puitteissa Kieltäytymisestä on kuitenkin annettava kirjallinen vastaus ja selvitys miksi pyyntöön ei suostuta.
Suostumus henkilötietojen käsittelyyn Perustuu vapaaehtoisuuteen tai sopimukseen On täsmällisesti määritetty On ennalta ilmoitettu ja ymmärrettävästi kysytty suostumus minkä henkilö itse antaa tekemällä jonkin toimenpiteen. Hyväksymällä tämän ja luovuttamalla henkilötietosi saat -15% alennuksen, mikäli et normaalin hintainen ei ole vapaaehtoinen Alaikäisen lapsen kohdalla suostumus on kysyttävä uudestaan kun täyttää 16 vuotta. (Ikäraja voi muuttua kansallisessa lainsäädännössä)
Rekisterinpitäjän velvollisuudet Rekisterinpitäjän velvollisuudet Tietosuojaperiaatteet (osin samat henkilötietolaissa) Osoitusvelvollisuus Henkilörekisterin käsittely Ilmoitusvelvollisuus Seuraamukset rikkomuksista Tietosuojaviranomainen (kansallinen) voi määrätä rekisterinpitäjälle sakkoa Määräytyy henkilötietoja koskevan rikkeen vakavuudesta. (kaksi luokkaa)
Tietosuojaperiaatteet Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Tietojen täsmällisyys Tietojen säilytyksen rajoittaminen Tietojen eheys ja luottamuksellisuus Rekisterinpitäjän osoitusvelvollisuus
Osoitusvelvollisuus käytännössä Henkilötietojen käsittelyprosessien dokumentointia Nykytilanteen kartoittaminen Käsittelyprosessin riskiarviointi Toimintasuunnitelma ja konkreettiset muutostarpeet, niin organisatoriset kuin tekniset toimenpiteet Toimintasuunnitelman toteuttaminen ja seuranta Rekisteriselosteen / Tietosuojaselosteen laatiminen ja päivittäminen
Vastuu henkilörekisterin käsittelystä Vastuu henkilörekisteristä on rekisterinpitäjällä.. Aina! Henkilötietojen käsittelyä on säädeltävä sopimuksella, joka sitoo käsittelijän rekisterinpitäjään Käsittelijän vastuu: käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo EU asetusta taikka unionin tai jäsenvaltion tietosuojasäännöksiä Vastuu alihankkijoista: rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet
Ilmoitusvelvollisuus Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet. Laadi prosessi tai toimintamalli ilmoitusvelvoitteen täyttämiseksi. Huomioi että ilmoitus on kyettävä tekemään 72h kuluessa havainnosta. Henkilötietojen käsittelijän on tehtävä ilmoitus rekisterin pitäjälle ilman aiheetonta viivytystä. Rekisteröidylle on ilmoitettava sellaisissa tapauksissa, joista rekisteröidylle voi aiheutua korkea riski henkilöiden oikeuksille ja vapauksille
Suositeltavat toimenpiteet Määritä tietosuojasta vastuullinen Tietosuojavastaava on pakollinen julkisilla toimijoilla Ja sellaisilla organisaatioilla, jossa käsittely on joko ydintehtävää tai laajaa (n. 5000 käsittelyä 12 kk. Tarkastelujaksolla mitattuna) Tunnista henkilörekisterit ja relevantit prosessit Tee riskiarvio Laadi henkilötietojen käsittelyohjeet sekä rekisteriseloste Laadi toimintasuunnitelma Kuinka huolehdit teknisestä tietoturvasta Miten Koulutat / kouluttaudut Miten käyttöä, prosesseja sekä lainmukaisuutta valvotaan Kuinka dokumentaatiota ja raportointia ylläpidetään
Tietolähteet Suomalaiset: http://www.tietosuoja.fi/fi/ https://arjentietosuoja.fi/fi/ http://www.tietosuoja.fi/material /attachments/tietosuojavaltuutett u/tietosuojavaltuutetuntoimisto/o ppaat/1em8rt7if/miten_valmista utua_eun_tietosuojaasetukseen.pdf EU: http://ec.europa.eu/newsroom/a rticle29/news.cfm?item_type=13 58 https://ec.europa.eu/info/strateg y/justice-and-fundamentalrights/data-protection_en http://eur-lex.europa.eu/legalcontent/en/txt/?uri=uriserv:oj. L_.2016.119.01.0001.01.ENG&to c=oj:l:2016:119:toc
Kiitos!