EU: n tietosuoja-asetus ja käytännön toimet

Samankaltaiset tiedostot
Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuoja-asetus (GDPR)

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

EU:n tietosuoja-asetus ja sähköposti

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietoturva yhdistyksessä

Teknologia avusteiset palvelutverkostopalaveri

Tulevat säädösmuutokset ja tietosuoja

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU:N TIETOSUOJA-ASETUKSET WALMU

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Kolarin kunnan tietosuojapolitiikka

GDPR Tietosuoja-asetus

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

EU TIETOSUOJA- ASETUS

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

EU:n tietosuoja-asetus (GDPR)

EU:n uusi tietosuoja-asetus

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietosuojavaltuutetun toimiston tietoisku

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Salon kaupunki , 1820/ /2018

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Salon kaupunki / /2018

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetus Immo Aakkula Arkistointi

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Salon kaupunki , 1820/ /2018

Tietosuojaseloste 1 (6)

Usein kysyttyjä kysymyksiä tietosuojasta

EU:n tietosuoja-asetus (GDPR)

Salon kaupunki / /2018

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Henkilötietojen käsittelyn ehdot. 1. Yleistä

DLP ratkaisut vs. työelämän tietosuoja

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

EU:n yleisen tietosuoja-asetuksen vaikutus ammattiyhdistyksen toimintaan

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Tietosuojakoulutus. Suomen Golfliitto ry Castrén & Snellman

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Organisaatioluvan hakeminen

Tietosuojaseloste 1 (5)

32E Markkinoiden juridinen toimintaympäristö. Tietosuojalainsäädännön soveltaminen käytännön liiketoiminnassa

Tietosuojalainsäädännön uudistus

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Informaatiovelvoite ja tietosuojaperiaate

LSPeL Porin toiminta-alueen kevätseminaari

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

Ajankohtaista tietosuoja-asetuksesta

Koulutuskiertue

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Varustekorttirekisteri - Tietosuojaseloste

1. Tausta ja tarkoitus. 2. Määritelmät

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n tietosuoja-asetus

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Tietosuojaseloste Espoon kaupunki

Transkriptio:

EU: n tietosuoja-asetus ja käytännön toimet Aamukahvikoulutus,16.1.2018 OTM, FM Kimmo Kajander 1

EU:n tietosuoja-asetus ja käytännön toimet Tietosuoja-asetus hyvin lyhyesti ja mikä muuttuu? Sopimukset, HR, markkinointi ja järjestelmät Käytännön toimet organisaatiossa 3 Tietosuoja-asetus hyvin lyhyesti ja mikä muuttuu? 4 2

Myynti HR??? Markkinointi Tuotanto MIKSI? MISSÄ? LIIKETOIMINTA PROSESSIT TIETOSUOJA MITEN? MILLOIN? MITÄ? Tietojärjestelmät Kontrollit TIETO- TURVA - Ohjeet Tietosuoja Tietosuoja siis tarkoittaa ihmisten oikeutta omiin tietoihinsa Henkilötietoja ovat kaikki sellaiset tiedot, jotka voidaan yhdistää henkilöön tai tämän perheeseen Tietosuoja-lainsäädäntö määrittelee mitä henkilötietoa saa kerätä sekä miten saa käsitellä sekä kenelle sen saa näyttää Vakiintunut jako tietoturvaan (information security) ja tietosuojaan (data protection) Tietoturva Saatavuus tai käytettävyys (engl. availability) Luottamuksellisuus (engl. confidentiality) Eheys (engl. integrity) Vrt. Kiistämättömyys tai rehellisyys tai aitous 6 3

Perustuslaki (ja EU:n perusoikeuskirja) Tietosuoja lainsäädännössä Henkilötietolaki (kumotaan) on henkilötietojen käsittelyn yleislaki. Lain säännöksiä sovelletaan kaikkeen henkilötietojen käsittelyyn, ellei muissa laeissa ole vastaavia erityissäännöksiä. Henkilötietolailla on myös saatettu voimaan Euroopan Unionin henkilötietodirektiivi. Lakia viranomaisten toiminnan julkisuudesta sovelletaan henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä Laki yksityisyyden suojasta työelämässä on koottu keskeisimmät työelämän tietosuojakysymykset Tietoyhteiskuntakaari turvaa viestinnän luottamuksellisuutta ja yksityisyyden suojaa sähköisessä viestinnässä Euroopan unionin antamia tietosuojaa koskevia kansainvälisiä normeja ja ohjeita Eri lainsäädännössä viittauksia ja täsmennyksiä tietosuojaan liittyen TULOSSA: Tietosuoja-asetus ja uusia direktiivejä (2018) 7 EU:n Tietosuoja-asetus Velvoitteet voimaan 25.5.2018 alkaen, asetus annettu huhtikuussa 2016 EU:n kattava ja yhteinen tietosuoja-laki Perustuu paljolti nykyiseen tietosuojadirektiiviin Muuttaa Suomessa lainsäädäntöä ja osin virkamieskoneistoa Koskee EU-kansalaisten tietoja käsitteleviä, myös ulkomaisia toimijoita Pääpaino on lisätä velvoitteita ja ennakoimisvelvollisuutta lisäämällä sanktioita ja keskittämällä valtaa Helpottaa toimintaa EU-alueella, luo uusia mahdollisuuksia? OSOITUSVELVOLLISUUS ja SISÄÄNRAKENNETTU TIETOSUOJA 8 4

Keskeiset termit Henkilötieto (art. 4) kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella Henkilörekisteri (art. 4) mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Käsittely (art. 4) toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista, 9 Keskeiset termit Rekisterinpitäjä (art. 4) luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Henkilötietojen käsittelijä (art. 4) luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 10 5

Periaatteet ja lainmukaisuus Käsittelyä koskevat periaatteet (art. 5) Kohtuullisuus, lainmukaisuus ja läpinäkyvyys lainmukaisuus, käyttötarkoitussidonnaisuus tietojen minimointi täsmällisyys säilytyksen rajoittaminen eheys ja luottamuksellisuus OSOITUSVELVOLLISUUS Käsittelyn lainmukaisuus (art. 6) Sopimuksen täytäntöönpano Suostumus Lakisääteinen velvoite Elintärkeiden etujen suojelu Yleinen etu tai julkinen tehtävä Rekisterinpitäjän tai kolmannen oikeutettu etu 11 Sopimukset, HR, markkinointi ja järjestelmät 12 6

Vaikutukset sopimuksiin? Sakko / Seuraamusmaksu Sakko / Seuraamusmaksu Rekisterinpitäjä Kumpi maksaa? Käsittelijä Vaatimus Vaatimus Vahinko Henkilörekisteri CC BY-AT 3.0 https://commons.wikimedia.org/wiki/file:iceberg.jpg Vastuun jakautuminen Keskeistä tietoja käsittelevien osapuolten välillä - Käsittelyn oikeuttamisperuste + käsittelyn turvallisuus - Rekisterinpitäjän antamat dokumentoidut ohjeet Sovittava vastuista ja reagointivelvoitteista Art. 82: pelkkä sopimus alihankkijan/käsittelijän kanssa ei vapauta yhteisvastuusta ulkopuolisiin nähden Art. 82 mukaan käsittelijä vastuussa, jos ei ole noudattanut rekisterinpitäjän ohjeita tai lain säännöksiä Rekisterinpitäjä tai käsittelijä vastuusta vapaa omalta osaltaan, jos osoittaa, ettei millään tavoin ole vastuussa vahingon aiheuttaneesta tapahtumasta 7

Esimerkki Itse kun tekee saa juuri sellaisen kuin tulee Yritys Oy Esimerkki Alihankintasuhde luo aina roolijaon rekisterinpitäjään ja henkilötiedon käsittelijään Yritys Oy Alihankkija 8

Esimerkki Käytätkö sinä tai alihankkijasi pilvipalvelua alihankintaketjun jatkeena? Yritys Oy Pilvipalvelu Alihankkija Esimerkki Tietosuoja-asetus edellyttää, että EUkansalaisten henkilötietoja voidaan siirtää kolmansiin maihin vain, jos nämä maat takaavat riittävän tietosuojan tason Yritys Oy Alihankkija Palvelimet Pilvipalvelu 9

Yritys B Oy Esimerkki Käsitteletkö yhteisrekisterinpitäjänä henkilötietoa ja kuka on sopinut ja kenen kanssa mistäkin käsittelystä? Yritys A Oy Pilvipalvelu Palvelimet Alihankkija Vaikutukset sopimuksiin? Tietosuojasta sopiminen 1/2 Tunnista sopimuksen henkilötietoulottuvuus Kuka huolehtii tietosuojasta Käsittelyn oikeuttamisperuste + käsittelyn turvallisuus Tunne ja varmista koko toimitusketju Sovi vahingonkorvausvastuista ja eri vahinkotyypeistä Alihankintaan tarvitaan aina rekisterinpitäjän kirjallinen ennakkolupa! Pelkkä (sopimus)paperi ei suojele ei ole varaa puolustautua tai pelkkä sopiminen ei vapauta vastuusta ulkopuolisiin nähden» OSOITUSVELVOLLISUUS 20 CC BY-AT 3.0 https://commons.wikimedia.org/wiki/file:iceberg.jpg 10

Vaikutukset sopimuksiin? Tietosuojasta sopiminen 2/2 Tietosuojaosio/ liite, jossa sovitaan esim. Artiklaan 28 mukaiset asiat Määritelmät ja lainsäädännön noudattaminen Tietoturva & tietoturvavuotoihin reagointi IT- ja muut tietojenkäsittelysäännöt Rekisteröityjen ihmisten oikeudet Henkilötiedon käsittely: Tiedon omistajuus, anonymisointi, pseudonymisointi, poistaminen, luovutukset, siirtäminen, alihankkijat, arvioinnit ja auditoinnit Vahingonkorvausmääritelmät ja vastuut jos ei muualla sovittu 21 CC BY-AT 3.0 https://commons.wikimedia.org/wiki/file:iceberg.jpg Työsuhteen aikana Laki tietosuojasta työelämässä Työnantaja saa käsitellä ainoastaan työsuhteen kannalta välttämättömiä henkilötietoja Rekrytointi Tarkoitussidonnaisuus!!! Tietojen säilytysaika? Googlaus tai tämän edustajan tulee kerätä tiedot ensisijaisesti työntekijältä tai työnhakijalta itseltään, muiden tietojen suhteen tarvitaan suojasta työelämässä 4 ) Työsuhteen päättymisen jälkeen 24kk kanneaika 10v Työtodistus 50v palkkatiedot?!? Henkilöstöhallinto (Laki yksityisyyden 22 11

Esimerkki Henkilöstötutkimus Sairaspoissaolot Henkilöstöluettelo Palkkakirjanpito Pikkujoulujen ilmoittautumislista Markkinointi Asiakasrekisteri on eri asia kuin markkinointirekisteri Usein selvä ero, joskus veteen piirretty viiva Suoramarkkinointirekisterin pitäminen on sallittua, mutta henkilöllä oikeus pyytää itseään poistettavaksi Eri säännöt B2B ja B2C markkinoinnissa Suoramarkkinointi sisänsä sallittua, mutta Sähköinen suoramarkkinointi EI ilman kuluttajan lupaa EIKÄ jos yritys on kieltänyt Entä evästeet eli ns. cookiet? 24 12

ASPA-hlö Esimerkki Myyntiliidi excel Joulukorttilähetyslista Markkinointitietokanta Kirjapito aineisto Asiakkaiden tapaamisten muistiinpanot Paperilla oleva piiripäällikön kontaktilista Messujen arvonnan vastauslaput Tietojärjestelmät 26 13

Tietosuoja ja Tietojärjestelmät Liiketoimintaprosessit toimivat tietojärjestelmien varassa Tietojärjestelmiä ei ole kuitenkaan suunniteltu tietosuojan näkökulmasta rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta sisäänrakennettu tietosuoja (a25) Tietosuoja-asetus tulee asettamaan huomattavia haasteita vanhoille ympäristöille 27 Tietojärjestelmiltä (ainakin) vaadittavat mekanismit Henkilötietojen käsittelyn arvioimiselle (a5: osoitusvelvollisuus) Esim. mahdolliset tiedon käsittelyn lokit, järjestelmäarkkitehtuuri Suostumus annettava nimenomaisesti ja antajan ymmärrettävä merkitys ja voitava myös peruuttaa (art. 7) Iän vahvistus: ikäraja 16v, mutta voidaan sallia kansallisesti ikärajaksi 13v (art. 8) Tiedot, joita rekisteröidylle on toimitettava (a13 ja a14) Omien tietojen tarkastaminen (a15) Tietojen oikaiseminen (a16) Oikeus tulla unohdetuksi (a17) Käsittelyn rajoittaminen (a18) Muutosten ilmoittaminen myös muille joille henkilötietoja on luovutettu (a19) Oikeus siirtää tiedot (koneluettavasti) toiseen järjestelmään (art. 20) Tietoturvaloukkausilmoitukset (a33 ja a34) Vahinkojen minimoiminen (a82) Jne 28 14

Käytännön toimet organisaatiossa Käytännön toimet, kolme pääaluetta: 1. Henkilötiedon ja henkilörekisterien sekä ulkoistustilanteiden tunnistaminen 2. Tietosuojaselosteet, vaikutustenarviointi(?), tietosuojavastaava(?), tietoturva, järjestelmien muutokset, sopimusten tarkastaminen, ohjeet ja prosessit 3. Henkilötiedon elinkaaren hallinta ja henkilötietoprosessien jatkuva ylläpito (esim. vuosikello, tietotilinpäätös) 15

Palkkakirjanpito Kirjapito aineisto Henkilöstötutkimus ERPjärjestelmä Tuotannon systeemi Palkkakirjanpito Joulukorttil ähetyslista MyyntiLIIDIT excel Sairaspois saolot Asiakkaiden tapaamisten muistiinpanot Markkinointitietokanta Asiakastietokanta ASPA-hlö Henkilöstöluettelo Henkilöst öluettelo Paperilla oleva piiripäällikön kontaktilista Messujen arvonnan vastauslaput Pikkujoulujen ilmoittautumislista Järjestelmä X Prosessi Y Henkilörekisterin perustaminen - Seloste (13-14a ja 30a) - Mitä tietoa ja miksi? - Miten kauan? - Henkilöryhmät? - Käsittelyprosessien kuvaus - Tietoturvan tason arviointi - Riskiarvio Onko korkea riski? Kyllä Ei Vaikutustenarviointi - Artikla 35 Ei Onko henkilötietoa? Kyllä Onko alihankintaa? Ei Tietoturvaratkaisut Kyllä Käsittelijä vai Rekisterinpitäjä? Rek.pit. tai molemmat Rekisteröidyn oikeuksien toteutuminen Käsittelyn ohjeet Käsittelijä Sopimusasiat - Artikla 28 - Ohjeet - Vastuut Valvonta Auditointi/dokumentointi Henkilötiedonkäsittely 16

Tietosuojaselosteet Uuden asetuksen myötä nykyiset rekisteriselosteet muuttuvat tietosuojaselosteiksi Joitakin sisällöllisiä muutoksia Useita eri käyttötarkoituksia (mm. a13, a14) Joitakin koskee vielä laajemman selosteen laatimisvelvoite (a30) Jos et aio tehdä mitään muuta, niin käy ainakin nykyiset selosteet läpi ja laadi puuttuvat selosteet! 33 Tietosuojavastaava Tietosuojavastaava on uusi virallinen rooli, jonka tarkoitus on toimia rajapintana rekisterinpitäjän ja valvovan viranomaisen välillä Suurimman osan ei tarvitse nimittää Edellyttää laajamittaista tai erityisen korkean riskin henkilötietoa Voi olla myös ulkoinen taho Jos oma henkilö, osittain korotettu irtisanomissuoja Toimivaltuudet suoraan asetuksesta Pääasiassa tehtävä valvoa ja varmistaa, että rekisterinpitäjän tietosuoja kunnossa ei henkilökohtaisesti kuitenkaan vastaa siitä 34 17

Vaikutustenarviointi (DPIA) Asetuksen 35 artiklan mukaan on henkilörekisteriin liittyen tehtävä erityinen vaikutustenarviointi Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin. Asetuksessa luettelo vaikutustenarvioinnin tuloksena syntyvistä asiakirjoista Ei koske suurinta osaa henkilörekistereistä Riskiarvio perustuu rekisterinpitäjän omaan arvioon ja myös vastuu jää sitä myötä rekisterinpitäjälle Eri aloilla saattaa jatkossa olla suosituksia velvoitteeseen liittyen 35 Tietoturva 32 artikla - Käsittelyn turvallisuus 1. huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten; a) henkilötietojen pseudonymisointi ja salaus b) kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi 36 18

Tietoturva 33 artikla - Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle 1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys. 2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. 37 https://kauppakamari.fi/2016/11/29/keskuskauppakamarilta-tietoturvaopas-yrityksille/ 38 19

Henkilötiedon elinkaari Henkilötieto ei ole vain passiivista dataa - sen on liityttävä aina (liiketoiminta)prosessiin Prosessilla on aina alku ja loppu samoin yksittäisellä henkilötiedolla rekisterissä Vain hallitsemalla henkilötiedon elinkaari voidaan todella taata tietosuoja Elinkaareen vaikuttaa käyttötarkoitus ja rekisteröidyn oikeudet Elinkaari sekä henkilörekisterillä että henkilötiedolla 39 KÄSITTELYÄ ENNEN Sisäänrakennettu ja oletusarvoinen tietosuoja Huomioi tulevat muutokset Käsittelyn tarkoitus, kesto, henkilöryhmät, oikeusperuste Tietoturvatoimet Ohjeet henkilöstölle + mahdolliset käytännesäännöt Vaikutustenarviointi? Tietosuojavastaava? Rekisteröidyn informointi Sertifioinnit? Tietojenkäsittelysopimus YT-menettely KÄSITTELY Tiedon määrä Suostumusten hallinnointi (tarvittaessa) Ylläpidä Ohjeistukset ja rekisteriselosteet Käytännesäännöt ja sertifikaatit Osoituskyky (esim. tietotilinpäätös) Tietoturva ja kyky reagoida poikkeamiin Hallinnoi Käsittelytoimia Tiedon määrää (säilytysajat ja perusteet) henkilötiedon luovutuksia KV-tiedonsiirtojen hallinta Tiedon sijainti ja tietoturvataso Rekisteröidyn oikeudet Korjaus/poisto/tarkastus/kielto-oikeus Oikeus siirtää tiedot koneluettavasti Ilmoitukset tietoturvaloukkauksista Viranomaiset ja rekisteröity KÄSITTELYN JÄLKEEN Tietojen siirto myös koneluettavasti Henkilötietojen hävittäminen Tietojen siirto toiseen rekisteriin Arkistoitavien henkilötietojen hävittäminen myöhemmin t 20

Tietosuoja ei ole projekti vaan Jatkuva tapa toimia Osa liiketoimintaprosesseja Tietosuojan vuosikello Vuosikelloajattelu on (vain) yksi tapa jäsennellä toistuvaa tekemistä Tyypillisesti osa taloushallintoa ja markkinointia Toimii myös tietosuojan käynnistysprojektin runkona Päätavoite jaksottaa työ siten, että vuoden aikana kaikki tulee hoidettua, jotta tietosuoja on kunnossa ja on uskottava kyky osoittaa tietosuojavaatimustenmukaisuus Tietotilinpäätös on looginen lopputulos kellon kierroksesta 41 Muutosarvio per rekisteri (tehdyt / tulevat) Metriikan arviointi DPIA / vastaava selvitys Tietosuojan vuosikello esimerkki Ohjeiden päivitys Ja henkilöstön koulutus Tietovarastojen siivous ja turhien rekistereiden purkaminen Tietotilinpäätös Tietosuojabudjetti Lakimuutokset Sopimusanalyysi Tietoturvaauditointi Alihankkijoiden auditointi 21

Tietotilinpäätös - Perinteistä tilinpäätöstä vastaava vuosiselonteko tietojenkäsittelystä - Keino osoittaa tietosuojan taso ja tietojenkäsittelyn tilanne - (Tieto)johtamisen työkalu - Esimerkkejä ja aineistoa: - http://vrk.fi/tietotilinpaatos - https://www.trafi.fi/tietopalvelut/tietotilinpaatos - http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojav altuutetuntoimisto/oppaat/6jfpznvch/laadi_tietotilinpaatos.pdf 43 Tietotilinpäätös - Mitä tietoon liittyviä prosesseja ja mitä tietovarantoja organisaation hallussa on - Yleinen kuvaus organisaation tietoarkkitehtuurista - Organisaation hallussa olevien tietojen laatu ja käytettävyys - Tietojenkäsittelyyn liittyvät menettelytavat ja periaatteet - Tietojen suojaustaso ja keskeiset periaatteet - Tietojenkäsittelyn ja käytön valvonta ja kontrollit - Rekisteröityjen oikeuksien toteuttaminen - Tulossa olevat tai jo havaitut organisaationi liittyvät muutokset sekä niihin liittyvät kehittämistoimet - Tietosuojan oraganisointi 44 22

Esimerkki projektirunko 1. Vastuuta tietosuoja johtoryhmätasolle! 2. Tutustu uuteen tietosuoja-asetukseen 3. Arvioi henkilötietojen käsittelyn tilanne ja tunnista henkilörekisterit 4. Sopimukset, tietosuojakulttuuri ja organisointi 5. Varmistakaa myös käytännön mekanismit esim. IT:n osalta 6. Luokaa prosessi asetuksen asettamien vaatimusten täyttämiseksi ja vaadittavan dokumentaation sekä käytänteiden ylläpitämiseksi 45 Projektin lopputuotteet (ainakin) Tietosuojatiimi/henkilöt nimetty Monialainen (Ainakin: johto/yleishallinto, henkilöstöhallinto, IT, viestintä) Lista henkilörekistereistä ja niihin kuhunkin liittyen henkilörekisteriä koskeva tietosuojaseloste (a13-14 ja a30) tiedon elinkaari ja hajautusnäkökulma arvio tiedon kriittisyydestä (mahdollinen) vaikutustenarviointidokumentti henkilörekisteriä koskeva sisäinen dokumentaatio Tietoturva-asiat Rekisterin kehityspolku esim. tietojärjestelmien muutosprojektisuunnitelmat Ulkoistustilanteissa lisäksi huolehdi ja dokumentoi rekisteriä koskeva sopimus ja sen yhteensopivuus 28 artiklan kanssa Alihankintaa koskevat ohjeet ja vastuunrajaukset alihankkijan auditointi ja siihen liittyvä dokumentaatio Riittävät tiedot ulkoistuksesta myös tietosuojaselosteessa Henkilötietoprosessi Kriisisuunnitelma Tiedotussuunnitelma Palautussuunnitelma Jatkuvuussuunnitelma Tiedon elinkaarimallit Vuosikello yms. 46 23

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute