eu:n tietosuoja-asetus (gdpr) - autoliitto · •eu:n yleinen tietosuoja-asetus on tullut....

EU:n tietosuoja-asetus (GDPR)

Autoliiton liittokokous 19.5.2018

Aleksi Nieminen

HR Legal Services Oy

Sisältö

• Tietosuoja-asetus – taustat ja vaikutukset

• Keskeiset käsitteet ja roolit

• Henkilötietojen käsittely tietosuoja-asetuksen mukaisesti

• Rekisteröityjen oikeudet

• Tietoturvaloukkaukset ja yleisimmät tietosuojariskit

19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com

© HR Legal Services Oy

Tietosuoja-asetuksen taustasta

• EU:n yleinen tietosuoja-asetus on tullut.

• Tietosuoja-asetus on jo voimassa. Sitä sovelletaan 25.5.2018 alkaen.

• Ensisijaisena tavoitteena tietosuojalakien harmonisointi koko EU:ssa.

• Tavoitteena sähköisten palveluiden luottamuksen parantaminen, oma data –palveluiden (eAsiointi, My Car My Data palvelut) yleistyminen sekä digitaalitalouden kehittäminen.



Tietosuoja-asetus lyhyesti

• Asetus koskee luonnollisten henkilöiden henkilötietojen (esim. nimi, puhelinnumero, jäsennumero, sähköpostiosoite, ajoneuvon rekisterinumero) suojaa.

• Se asettaa velvollisuuksia tahoille, jotka keräävät, tallentavat tai muutoin käsittelevät henkilötietoja.

• Asetuksen velvoitteiden noudattamatta jättäminen on sanktioitu.

• Tietosuoja-asetuksessa jonkin verran liikkumavaraa – jäsenvaltiot voivat tiettyjä kohtia täsmentää erityislainsäädännöllä. Esim. työelämän tietosuojalaki.



Tietosuoja-asetus lyhyesti

• Asetus koskee henkilötietojen käsittelyä eli kaikkea toimintaa, jota kohdistetaan henkilötietoihin (tallentaminen, kerääminen, luovuttaminen, siirtäminen, ym.).

• Tietosuoja-asetus ei koske tietoja jotka koskevat pelkästään oikeushenkilöiden (yritykset, säätiöt, yhdistykset) tietoja (Esim. Autoliitto ry, y-tunnus, Hämeentie 105 A Helsinki, [email protected]).

• Tietosuoja-asetus ei koske yksityishenkilön henkilökohtaista tai kotitaloutta koskevaa toimintaa.



Tietosuoja-asetuksen vaikutukset

• Korostettu vastuu henkilötietojen käsittelyssä sanktioiden uhalla

• Lainsäädäntö teknologiariippumatonta

• Henkilötietojen käsittelyn nykyiset periaatteet säilyvät valtaosin

• Tunnettava omat prosessit, joissa henkilötietoja käsitellään

• Huomioitava roolit (rekisterinpitäjä/käsittelijä)

• Arvioitava henkilötietojen käsittelyyn liittyviä riskejä ja niiden vaikutuksia

• Dokumentoitava toimintaa ja sen lainmukaisuutta

• Tiedotettava rekisteröidyille tarkemmin

• Oltava valmiudet rekisteröityjen oikeuksista huolehtimiseen

• Resursoitava, ohjeistettava, valmennettava

• Henkilötietojen käsittelyn ulkoistamistilanteet hoidettava asetuksen mukaisesti (tietoturva, toimeksiantosopimus jne.)

• Tietosuojatyö on jatkuvaa toimintaa!

© HR Legal Services Oy 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com

Tietosuojaa koskevat käsitteet ja roolit 19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com


Keskeiset käsitteet: • Mikä on henkilötieto?

• Mitä henkilörekistereitä Autoliitolla on?

• Kuka on rekisteröity?

• Roolit • Rekisterinpitäjä?

• Käsittelijä?

• Yhteisrekisterinpitäjät?



Henkilötiedon käsite


Jos pystyt yhdistämään tiedon henkilöön nähtyäsi hieman vaivaa asian eteen

se on henkilötietoa


Yhdistäminen

Suorat henkilötiedot Epäsuorat henkilötiedot

Mikä on henkilötieto?

19.5.2018 - Aleksi Nieminen - Kuvat: https://www.pexels.com © HR Legal Services Oy

Mikä on henkilörekisteri? Kuka on rekisterinpitäjä?



Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn: Joka on automaattista tai manuaalista kun henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa Tietojoukon käyttötarkoitus yksilöi henkilörekisterin. Kun on olemassa henkilörekisteri, on aina olemassa rekisterinpitäjä. Rekisterinpitäjä on se joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

Esimerkkejä Autoliiton henkilörekistereistä • Jäsenrekisterit

• Yhdistyksenjäsenrekisteri

• Moottorilehden tilausrekisteri + muu jäsenmarkkinointi

• Tapahtuma- ja koulutusosallistumiset

• Tie- ja matkanjatkamispalvelut • Asiakasrekisteri

• Kumppani / palveluntuottajarekisteri

• AL-kauppa

• Työsuhde- ja palkanlaskentarekisterit



Jaottelun merkitys on lähinnä työnjaollinen. Käyttötarkoitus yksilöi rekisterin.

Roolit 1/2



Rekisterinpitäjä

Autoliiton ulkoinen palvelun tarjoaja

(Käsittelijä)

• Toimii Autoliiton lukuun ja toimeksiannosta käsitellessään jäsenten henkilötietoja.

• Esim. Jäsenrekisterin hallinnassa käytettävän tietojärjestelmän toimittaja.

• Esim. hinauspalveluyrittäjät kun toteuttavat tiepalveluita jäsenille.

Rekisteröidyt: • Jäsenet

• Määrittelee sen miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään.

• Kerää ja käsittelee henkilötietoja jäsenluettelon ylläpitämiseksi.

• Kerää ja käsittelee henkilötietoja tiepalveluiden toteuttamiseksi.

• Määräsisältöinen tietojenkäsittelysopimus.

• Rekisterinpitäjän oikeudet / velvollisuudet.

• Käsittelijän oikeudet / velvollisuudet.

• Käsittelyn tietoturva.

Roolit 2/2



Autoliitto ry (Rekisterinpitäjä)

Autoliiton X osasto ry

(Rekisterinpitäjä) Yhteisrekisterinpitäjät: • Molemmat

määrittelevät miksi jäsenten henkilötietoja kerätään ja miten niitä käsitellään.

• Molemmat vastaavat jäsenten henkilötietojen käsittelystä omassa toiminnassaan.

Yhteisrekisterinpitäjät

Rekisteröidyt: • Jäsenet


Rekisterinpitäjän vastuut ja velvollisuudet henkilötietojen käsittelyssä? Osoitusvelvollisuus

•Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Huolellisuus

•Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla

Käyttötarkoitussidonnaisuus

•Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi) Tarpeellisuus

•Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (täsmällisyys)

Virheettömyys

•Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen) Säilytysaika

•Tietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus käyttäen asianmukaisia teknisiä tai organisatorisia toimia (eheys ja luottamuksellisuus) Tietoturvallisuus

Käsittelyn yleisperiaatteet


Henkilötietojen elinkaari sekä käsittelyn periaatteet ja velvollisuudet

Suunnittelu

Kerääminen

Ylläpito ja säilytys

Siirrot ja luovutukset

Käsittelyn päättyminen

Rekisteröidyn oikeudet

Käsittelyn lainmukaisuus (oikeusperusteet) Riskiarvioit (+ vaikutustenarvioinnit tietyissä tilanteissa)

Käyttötarkoitussidonnaisuus Informointivelvollisuus Tarpeellisuusvaatimus (tietojen minimointi)

Virheettömyysvaatimus (täsmällisyys) Tietoturvallisuus Säilytysaika (säilytyksen rajoittaminen)

Henkilötietojen käsittelijän velvollisuudet Toimeksiantosopimus Tietoturvallisuus

Tietojen poistaminen/arkistointi


Rekisterinpitäjän vastuut pähkinänkuoressa

• Autoliitto ja Autoliiton osastot rekisterinpitäjinä vastaavat: • Henkilötietojen käsittelyn lainmukaisuudesta ja osoitusvelvollisuuden

täyttämisestä.

• Rekisteröidyn oikeuksien toteuttamisesta.

• Tietoturvallisesta henkilötietojen käsittelystä.

• Siitä, että käytetyt palveluntarjoajat (käsittelijät) käsittelevät henkilötietoja turvallisesti.



Ajankohtaista: Sopimus yhteisrekisterinpidosta + tietosuojaselostemalli

• Autoliitto ja Autoliiton osastot yhteisrekisterinpitäjiä suhteessa yhteisiin jäseniinsä (tietosuoja-asetuksen 26 artikla)

• Yhteisrekisterinpitäjien syytä sopia erityisesti seuraavista seikoista: • Mitä tietoja yhteisrekisterinpito koskee

• Tietoturvallisesta henkilötietojen käsittelystä

• Rekisteröityjen oikeuksien toteuttamisesta (mukaan lukien informoinnista)

• Autoliiton ja osastojen molempien huolehdittava rekisteröityjen informoinnista oman toimintansa osalta • Tietosuojaselostemalli




Rekisteröityjen oikeudet vahvistuvat


Rekisteröityjen oikeudet

• Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä (mm. tietosuojaseloste) • Huom! Informointi toteutettava kun henkilötiedot kerätään

• Rekisteröidyn oikeus saada pääsy tietoihin

• Oikeus tietojen oikaisemiseen / korjaamiseen

• Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”).

• Oikeus käsittelyn rajoittamiseen.

• Oikeus siirtää tiedot järjestelmästä toiseen. • Kun käsittely perustuu suostumukseen tai sopimukseen • Jäsennelty ja koneluettava muoto

• Vastustamisoikeus • Automatisoidut päätökset, profilointi mukaan luettuna + suoramarkkinointi

Oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa.

Rekisteröidyn omiin oikeuksiinsa liittyvään pyyntöön reagoitava 1 kk kuluessa




Tietoturvaloukkaukset ja yleisimmät tietosuojariskit


Yleisten tietosuojariskien osalta huomioitava:


Säilytetäänkö manuaali arkistoja lukituissa tiloissa?

Osataanko tuhota tiedot kaikista mahdollisista paikoista säilytysajan päättymisen jälkeen?

Kenellä on pääsy tietoihin?

Missä tietoja säilytetään? (tietojärjestelmät / manuaali arkistot)

Eihän tietoja säilytetä pilvipalveluissa joiden kanssa ei ole virallista sopimusta (esim. dropbox tai trello)?

Lukitaanko työpisteet ja toimitilat kun niitä ei valvota?

Onko salasanojen ja käyttäjätunnusten käsittelystä muodostettu ohjeistukset?

Onko tietojärjestelmien käyttöoikeuksia voimassa, vaikka ei pitäisi?

Onko pääsy järjestelmiin suojattu salasanoilla?


Säilytetäänkö tietoja muistitikuilla? Onko muistitikkujen tiedostot muistettu lukita?

Jos tietoja säilytetään tietojärjestelmissä, onko tietojen käytettävyys varmistettu vikojen tai hyökkäysten varalta? (esim. varmuuskopiointi)

Tietoturvaloukkauksista

• Tietoturvaloukkaus tarkoittaa henkilötietojen vahingossa tapahtuvaa tai lainvastaista tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka pääsyä henkilötietoihin. • Esim. inhimillinen erehdys, tekninen vika, haittaohjelma tai

palvelunestohyökkäys.

• Seuraukset: • Taloudelliset tai sosiaaliset vahingot rekisteröidyille, mainevahinko, tietosuoja

sanktiot (viranomainen, rekisteröidyt)



Tietoturvaloukkauksista

•Rekisterinpitäjän tulee ilmoittaa valvontaviranomaiselle (ja rekisteröidylle) tietoturvaloukkauksesta: •Viranomaiselle ilman aiheetonta viivytystä (heti kun

tiedossa) – väh. 72 tunnin sisällä. • Rekisteröidyille viipymättä, jos tietovuoto aiheuttaa

suuren riskin rekisteröidyn henkilötietojen suojalle (aineettomat ja aineelliset riskit).

• Ilmoituksessa kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia haittavaikutusten lieventämiselle



eu:n tietosuoja-asetus (gdpr) - autoliitto · •eu:n yleinen tietosuoja-asetus on tullut....

Documents