eu:n tietosuoja-asetus (gdpr) - autoliitto · •eu:n yleinen tietosuoja-asetus on tullut....
TRANSCRIPT
EU:n tietosuoja-asetus (GDPR)
Autoliiton liittokokous 19.5.2018
Aleksi Nieminen
HR Legal Services Oy
Sisältö
• Tietosuoja-asetus – taustat ja vaikutukset
• Keskeiset käsitteet ja roolit
• Henkilötietojen käsittely tietosuoja-asetuksen mukaisesti
• Rekisteröityjen oikeudet
• Tietoturvaloukkaukset ja yleisimmät tietosuojariskit
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietosuoja-asetuksen taustasta
• EU:n yleinen tietosuoja-asetus on tullut.
• Tietosuoja-asetus on jo voimassa. Sitä sovelletaan 25.5.2018 alkaen.
• Ensisijaisena tavoitteena tietosuojalakien harmonisointi koko EU:ssa.
• Tavoitteena sähköisten palveluiden luottamuksen parantaminen, oma data –palveluiden (eAsiointi, My Car My Data palvelut) yleistyminen sekä digitaalitalouden kehittäminen.
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietosuoja-asetus lyhyesti
• Asetus koskee luonnollisten henkilöiden henkilötietojen (esim. nimi, puhelinnumero, jäsennumero, sähköpostiosoite, ajoneuvon rekisterinumero) suojaa.
• Se asettaa velvollisuuksia tahoille, jotka keräävät, tallentavat tai muutoin käsittelevät henkilötietoja.
• Asetuksen velvoitteiden noudattamatta jättäminen on sanktioitu.
• Tietosuoja-asetuksessa jonkin verran liikkumavaraa – jäsenvaltiot voivat tiettyjä kohtia täsmentää erityislainsäädännöllä. Esim. työelämän tietosuojalaki.
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietosuoja-asetus lyhyesti
• Asetus koskee henkilötietojen käsittelyä eli kaikkea toimintaa, jota kohdistetaan henkilötietoihin (tallentaminen, kerääminen, luovuttaminen, siirtäminen, ym.).
• Tietosuoja-asetus ei koske tietoja jotka koskevat pelkästään oikeushenkilöiden (yritykset, säätiöt, yhdistykset) tietoja (Esim. Autoliitto ry, y-tunnus, Hämeentie 105 A Helsinki, [email protected]).
• Tietosuoja-asetus ei koske yksityishenkilön henkilökohtaista tai kotitaloutta koskevaa toimintaa.
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietosuoja-asetuksen vaikutukset
• Korostettu vastuu henkilötietojen käsittelyssä sanktioiden uhalla
• Lainsäädäntö teknologiariippumatonta
• Henkilötietojen käsittelyn nykyiset periaatteet säilyvät valtaosin
• Tunnettava omat prosessit, joissa henkilötietoja käsitellään
• Huomioitava roolit (rekisterinpitäjä/käsittelijä)
• Arvioitava henkilötietojen käsittelyyn liittyviä riskejä ja niiden vaikutuksia
• Dokumentoitava toimintaa ja sen lainmukaisuutta
• Tiedotettava rekisteröidyille tarkemmin
• Oltava valmiudet rekisteröityjen oikeuksista huolehtimiseen
• Resursoitava, ohjeistettava, valmennettava
• Henkilötietojen käsittelyn ulkoistamistilanteet hoidettava asetuksen mukaisesti (tietoturva, toimeksiantosopimus jne.)
• Tietosuojatyö on jatkuvaa toimintaa!
© HR Legal Services Oy 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Tietosuojaa koskevat käsitteet ja roolit 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Keskeiset käsitteet: • Mikä on henkilötieto?
• Mitä henkilörekistereitä Autoliitolla on?
• Kuka on rekisteröity?
• Roolit • Rekisterinpitäjä?
• Käsittelijä?
• Yhteisrekisterinpitäjät?
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Henkilötiedon käsite
© HR Legal Services Oy
Jos pystyt yhdistämään tiedon henkilöön nähtyäsi hieman vaivaa asian eteen
se on henkilötietoa
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Yhdistäminen
Suorat henkilötiedot Epäsuorat henkilötiedot
Mikä on henkilötieto?
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com © HR Legal Services Oy
Mikä on henkilörekisteri? Kuka on rekisterinpitäjä?
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn: Joka on automaattista tai manuaalista kun henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa Tietojoukon käyttötarkoitus yksilöi henkilörekisterin. Kun on olemassa henkilörekisteri, on aina olemassa rekisterinpitäjä. Rekisterinpitäjä on se joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
Esimerkkejä Autoliiton henkilörekistereistä • Jäsenrekisterit
• Yhdistyksenjäsenrekisteri
• Moottorilehden tilausrekisteri + muu jäsenmarkkinointi
• Tapahtuma- ja koulutusosallistumiset
• Tie- ja matkanjatkamispalvelut • Asiakasrekisteri
• Kumppani / palveluntuottajarekisteri
• AL-kauppa
• Työsuhde- ja palkanlaskentarekisterit
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Jaottelun merkitys on lähinnä työnjaollinen. Käyttötarkoitus yksilöi rekisterin.
Roolit 1/2
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Rekisterinpitäjä
Autoliiton ulkoinen palvelun tarjoaja
(Käsittelijä)
• Toimii Autoliiton lukuun ja toimeksiannosta käsitellessään jäsenten henkilötietoja.
• Esim. Jäsenrekisterin hallinnassa käytettävän tietojärjestelmän toimittaja.
• Esim. hinauspalveluyrittäjät kun toteuttavat tiepalveluita jäsenille.
Rekisteröidyt: • Jäsenet
• Määrittelee sen miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään.
• Kerää ja käsittelee henkilötietoja jäsenluettelon ylläpitämiseksi.
• Kerää ja käsittelee henkilötietoja tiepalveluiden toteuttamiseksi.
• Määräsisältöinen tietojenkäsittelysopimus.
• Rekisterinpitäjän oikeudet / velvollisuudet.
• Käsittelijän oikeudet / velvollisuudet.
• Käsittelyn tietoturva.
Roolit 2/2
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Autoliitto ry (Rekisterinpitäjä)
Autoliiton X osasto ry
(Rekisterinpitäjä) Yhteisrekisterinpitäjät: • Molemmat
määrittelevät miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään.
• Molemmat vastaavat jäsenten henkilötietojen käsittelystä omassa toiminnassaan.
Yhteisrekisterinpitäjät
Rekisteröidyt: • Jäsenet
© HR Legal Services Oy 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Rekisterinpitäjän vastuut ja velvollisuudet henkilötietojen käsittelyssä? Osoitusvelvollisuus
•Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Huolellisuus
•Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla
Käyttötarkoitussidonnaisuus
•Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi) Tarpeellisuus
•Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys)
Virheettömyys
•Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen) Säilytysaika
•Tietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys ja luottamuksellisuus) Tietoturvallisuus
Käsittelyn yleisperiaatteet
© HR Legal Services Oy 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Henkilötietojen elinkaari sekä käsittelyn periaatteet ja velvollisuudet
Suunnittelu
Kerääminen
Ylläpito ja säilytys
Siirrot ja luovutukset
Käsittelyn päättyminen
Rekisteröidyn oikeudet
Käsittelyn lainmukaisuus (oikeusperusteet) Riskiarvioit (+ vaikutustenarvioinnit tietyissä tilanteissa)
Käyttötarkoitussidonnaisuus Informointivelvollisuus Tarpeellisuusvaatimus (tietojen minimointi)
Virheettömyysvaatimus (täsmällisyys) Tietoturvallisuus Säilytysaika (säilytyksen rajoittaminen)
Henkilötietojen käsittelijän velvollisuudet Toimeksiantosopimus Tietoturvallisuus
Tietojen poistaminen/arkistointi
© HR Legal Services Oy 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Rekisterinpitäjän vastuut pähkinänkuoressa
• Autoliitto ja Autoliiton osastot rekisterinpitäjinä vastaavat: • Henkilötietojen käsittelyn lainmukaisuudesta ja osoitusvelvollisuuden
täyttämisestä.
• Rekisteröidyn oikeuksien toteuttamisesta.
• Tietoturvallisesta henkilötietojen käsittelystä.
• Siitä, että käytetyt palveluntarjoajat (käsittelijät) käsittelevät henkilötietoja turvallisesti.
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Ajankohtaista: Sopimus yhteisrekisterinpidosta + tietosuojaselostemalli
• Autoliitto ja Autoliiton osastot yhteisrekisterinpitäjiä suhteessa yhteisiin jäseniinsä (tietosuoja-asetuksen 26 artikla)
• Yhteisrekisterinpitäjien syytä sopia erityisesti seuraavista seikoista: • Mitä tietoja yhteisrekisterinpito koskee
• Tietoturvallisesta henkilötietojen käsittelystä
• Rekisteröityjen oikeuksien toteuttamisesta (mukaan lukien informoinnista)
• Autoliiton ja osastojen molempien huolehdittava rekisteröityjen informoinnista oman toimintansa osalta • Tietosuojaselostemalli
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
© HR Legal Services Oy
Rekisteröityjen oikeudet vahvistuvat
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Rekisteröityjen oikeudet
• Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä (mm. tietosuojaseloste) • Huom! Informointi toteutettava kun henkilötiedot kerätään
• Rekisteröidyn oikeus saada pääsy tietoihin
• Oikeus tietojen oikaisemiseen / korjaamiseen
• Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”).
• Oikeus käsittelyn rajoittamiseen.
• Oikeus siirtää tiedot järjestelmästä toiseen. • Kun käsittely perustuu suostumukseen tai sopimukseen • Jäsennelty ja koneluettava muoto
• Vastustamisoikeus • Automatisoidut päätökset, profilointi mukaan luettuna + suoramarkkinointi
Oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa.
Rekisteröidyn omiin oikeuksiinsa liittyvään pyyntöön reagoitava 1 kk kuluessa
© HR Legal Services Oy
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietoturvaloukkaukset ja yleisimmät tietosuojariskit
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Yleisten tietosuojariskien osalta huomioitava:
© HR Legal Services Oy
Säilytetäänkö manuaali arkistoja lukituissa tiloissa?
Osataanko tuhota tiedot kaikista mahdollisista paikoista säilytysajan päättymisen jälkeen?
Kenellä on pääsy tietoihin?
Missä tietoja säilytetään? (tietojärjestelmät / manuaali arkistot)
Eihän tietoja säilytetä pilvipalveluissa joiden kanssa ei ole virallista sopimusta (esim. dropbox tai trello)?
Lukitaanko työpisteet ja toimitilat kun niitä ei valvota?
Onko salasanojen ja käyttäjätunnusten käsittelystä muodostettu ohjeistukset?
Onko tietojärjestelmien käyttöoikeuksia voimassa, vaikka ei pitäisi?
Onko pääsy järjestelmiin suojattu salasanoilla?
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
Säilytetäänkö tietoja muistitikuilla? Onko muistitikkujen tiedostot muistettu lukita?
Jos tietoja säilytetään tietojärjestelmissä, onko tietojen käytettävyys varmistettu vikojen tai hyökkäysten varalta? (esim. varmuuskopiointi)
Tietoturvaloukkauksista
• Tietoturvaloukkaus tarkoittaa henkilötietojen vahingossa tapahtuvaa tai lainvastaista tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka pääsyä henkilötietoihin. • Esim. inhimillinen erehdys, tekninen vika, haittaohjelma tai
palvelunestohyökkäys.
• Seuraukset: • Taloudelliset tai sosiaaliset vahingot rekisteröidyille, mainevahinko, tietosuoja
sanktiot (viranomainen, rekisteröidyt)
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy
Tietoturvaloukkauksista
•Rekisterinpitäjän tulee ilmoittaa valvontaviranomaiselle (ja rekisteröidylle) tietoturvaloukkauksesta: •Viranomaiselle ilman aiheetonta viivytystä (heti kun
tiedossa) – väh. 72 tunnin sisällä. • Rekisteröidyille viipymättä, jos tietovuoto aiheuttaa
suuren riskin rekisteröidyn henkilötietojen suojalle (aineettomat ja aineelliset riskit).
• Ilmoituksessa kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia haittavaikutusten lieventämiselle
© HR Legal Services Oy
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com
© HR Legal Services Oy