eu:n yleinen tietosuoja-asetus - verkkoasema · eu:n yleinen tietosuoja-asetus •koskee kaikkea...

EU:n yleinen tietosuoja-asetus• Koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa• Siirtymäaika menossa

• Sovelletaan 25.5.2018 alkaen• Tavoitteena

• parantaa yksilön oikeuksia• parantaa luottamusta Online-palveluihin• edistää EU:n digitaalisten sisämarkkinoiden kehittymistä yhdenmukaistamalla

lainsäädäntöä• tehostetaan täytäntöönpanon valvontaa sekä • laajennetaan tietosuojavaltuutetun oikeuksia puuttua ongelmiin.

Mikä GDPR?General Data Protection Regulation

Outi Arontie | tietosuojavastaava | Verkkoasema Oy

TietosuojaTietosuojaan kuuluvat

ihmisten yksityiselämän suoja ja muut sitä

turvaavat oikeudet henkilötietoja

käsiteltäessä

Tietosuoja ♥ Tietoturva

TietoturvaTietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.


Henkilötietoja ovat mm.• Nimi, hetu, osoite, sähköpostiosoite,

Sosiaalisen median profiilit yms. ”itsestäänselvyydet”

• Myös IP-osoite ja esim. auton rekisterinumero

• Esim. pelkästään IP-osoite ei kerro henkilöstä mitään, mutta muuhun tietoon liitettäessä, IP-osoite on mahdollista yksilöidä yksittäiseen henkilöön

• Kaikki, minkä avulla on mahdollista tunnistaa henkilö

Henkilötiedot ja arkaluonteiset tiedot

Arkaluonteiset tiedot kuvaavat• rotua tai etnistä alkuperää• yhteiskunnallista, poliittista tai uskonnollista

vakaumusta tai ammattiliittoon kuulumista• rikollista tekoa, rangaistusta tai muuta rikoksen

seuraamusta• terveydentilaa, sairautta tai vammaisuutta taikka

häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia

• henkilön seksuaalista suuntautumista tai käyttäytymistä

• henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia


1 2 3Kartoita tietojen

käsittelyn nykytila ja ota

tietosuoja osaksi

toimintojen suunnittelua

ja mallinnusta

Arvioi henkilötietojen

käsittelyyn liittyvät riskit ja

toimenpiteet riskin

minimoimiseksi

Tee tarvittaessa

tietosuojaa koskeva

vaikutustenarviointi

ja kuule

valvontaviranomaista

4 5

Selvitä millä

perusteella käsittelet

henkilötietoja

Henkilötietojen käsittelijän

rooli; käytätkö toisen

organisaation

tietojenkäsittely-

palveluita?

Lähde: Oikeusministeriö, Tietosuojavaltuutetun toimisto, Helsinki 2017

6 7 8

Mitä rekisteröidyn

oikeuksia liittyy

toimintaasi ja miten

toteutat rekisteröidyn

oikeuksia?

Toimiiko organisaatiosi

usean jäsenvaltion

alueella? Selvitä kuka

on johtava valvonta-

viranomainen.

Arvioi asianmukaiset

suojatoimenpiteet

riskiperusteisesti, suojaa

koko henkilötiedon

elinkaari.

9 10

Valmistaudu

ilmoittamaan

tietoturva-

loukkauksista!

Selvitä tuleeko

organisaation nimittää

tietosuojavastaava.

11

Seuraa tietosuoja-

valtuutetun toimiston

julkaisemia tietosuoja-

asetukseen liittyviä

ohjeita

1Kartoita tietojen käsittelyn nykytila ja ota

tietosuoja osaksi toimintojen suunnittelua

• Organisaation on hahmotettava kokonaiskuvahenkilötietojen käsittelyn nykytilasta.

• mitä henkilötietovarantoja sen hallussa on, • miten tietosuojaperiaatteet on otettu huomioon,• toimintaan liittyvät henkilötietovirrat, • henkilötietojen käsittelyn oikeusperusteet,• miten tietoturvasta on huolehdittu ja • miten henkilötietojen käsittelyyn liittyvä

riskienhallinta on toteutettu. • Kartoituksen voi tehdä esimerkiksi laatimalla

tietotilinpäätöksen • organisaation sisäisen tarkastelun tuloksena

laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista.

Tietosuojaperiaatteita ovat:• käsittelyn lainmukaisuus, kohtuullisuus

ja läpinäkyvyys• käyttötarkoitussidonnaisuus• tietojen minimointi• tietojen täsmällisyys• tietojen säilytyksen rajoittaminen• tietojen eheys ja luottamuksellisuus• rekisterinpitäjän osoitusvelvollisuus


Arvioi henkilötietojen käsittelyyn liittyvät riskit ja

toimenpiteet riskin minimoimiseksi

Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimeton suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

2


Tee tarvittaessa tietosuojaa koskeva

vaikutustenarviointi ja kuule valvontaviranomaista

• Kun todennäköisesti korkea riski rekisteröidyn näkökulmasta, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

• Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

• Tehtävä erityisesti silloin, kun otetaan käyttöön uutta teknologiaa taikka, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja.

• tehtävä myös mikäli on kyse kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista

• sekä tilanteissa, joissa on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.

• Vaikutuksenarvioinnin tekeminen on suositeltavaa myös muulloin, koska se edesauttaa osoitusvelvollisuuden toteuttamista ja rekisterinpitäjän velvollisuuksien selvittämisessä

3


Selvitä millä perusteella käsittelet henkilötietoja

• Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste.

• Suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, yleinen etu ja oikeutettu etu

• Rekisterinpitäjän on siirtymäajan aikana selvitettävä, vaikuttaako tietosuoja-asetus sen käyttämiin käsittelyn oikeusperusteisiin.

• Asetuksen mukaiset käsittelyn oikeusperusteet eroavat joiltakin osin henkilötietolain mukaisiin perusteisiin verrattuna.

• Tietosuoja-asetus antaa henkilötietolaista poiketen erityistä suojaa lasten henkilötiedoille.

• Lapsen henkilötietojen käsittely suostumuksen perusteella suoraan lapselle edellyttää vanhempainvastuunkantajan suostumusta tai valtuutusta.

• Asetuksessa lapseksi määritellään alle 16-vuotiaat.

4


Henkilötietojen käsittelijän rooli; käytätkö toisen

organisaation tietojenkäsittelypalveluita?

• Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle

• käsittelijän roolia ja velvoitteita on terävöitetty henkilötietolakiin nähden.

• Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset.

• hyväksytyt käytännesäännöt tai sertifiointimekanismit.

• Säädetään myös muun muassa siitä, mistä seikoista rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa on erityisesti sovittava.

• Siirtymäaikana on syytä tarkastaa henkilötietojen käsittelyyn liittyvät sopimukset niin, että ne vastaavat asetuksessa säädettyjä ehtoja.

5


RekisterinpitäjäKäsittelijäRekisteröity

Mitä rekisteröidyn oikeuksia liittyy toimintaasi

ja miten toteutat rekisteröidyn oikeuksia?

• Rekisterinpitäjän yhtenä velvollisuutena on toteuttaa rekisteröidyn oikeuksia.

• otettava huomioon prosessien ja tietojärjestelmien suunnittelussa.

• On varmistuttava, että prosessit ja tietojärjestelmät taipuvat tietosuoja-asetuksen tuomiin muutoksiin myös rekisteröityjen oikeuksien osalta.

• Rekisterinpitäjän tulee selvittää rekisteröidyn oikeudet ja miten niiden toteuttaminen käytännössä toteutetaan.

Rekisteröidyn oikeudet:• Oikeus saada läpinäkyvää informaatiota

henkilötietojen käsittelystä• Rekisteröidyn oikeus saada pääsy tietoihin• Oikeus tietojen oikaisemiseen ja oikeus tulla

unohdetuksi• Oikeus käsittelyn rajoittamiseen ja

rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta

• Oikeus siirtää tiedot järjestelmästä toiseen• Vastustamisoikeus • Automatisoidut yksittäispäätökset ja

profilointi

6


Toimiiko organisaatiosi usean jäsenvaltion alueella?

Selvitä kuka on johtava valvontaviranomainen

• Tietosuoja-asetuksen myötä rekisterinpitäjän ei tarvitse asioida kuin yhden jäsenvaltion valvontaviranomaisen kanssa.

• Toimivaltainen valvontaviranomainen määräytyy one-stop-shop-mekanismin eli yhden luukun periaatteen mukaisesti rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan tai päätoimipaikan mukaan.

• Päätoimipaikan määrittyminen riippuu esimerkiksi siitä, millainen organisaation rakenne on ja miten sen henkilötietojen käsittelyyn liittyvät toiminnot on järjestetty.

• Lisäksi tulee huomioida, että asetuksessa annettu päätoimipaikan määritelmä eroaa rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

7


Arvioi asianmukaiset suojatoimenpiteet

riskiperusteisesti ja suojaa koko elinkaari8

• Siirtymäaikana rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetuksen sääntelyä.

• Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi.

• Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen.

• Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa Tietoturva

• Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamistaja valvontaa.


Valmistaudu ilmoittamaan tietoturvaloukkauksista!9

• Rekisterinpitäjän on tehtävä ilmoitus valvontaviranomaiselle 72 tunninkuluessa loukkauksen ilmitulosta.

• Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan.

• Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta myös rekisteröidyille, jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet.

• Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan.


Selvitä tuleeko organisaation nimittää

tietosuojavastaava10

• Tietosuojavastaavan tehtävänä on mm. seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet

• valvontaviranomaisen sekä rekisteröityjen yhteyspiste• Vastuu henkilötietojen käsittelyn lainmukaisuudesta kuuluu edelleen organisaation

johdolle.• Yrityksellä velvollisuus nimittää tietosuojavastaava jos ydintehtävät muodostuvat

• henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa

• laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

• Tietosuojavastaava voidaan nimittää, vaikkei asetus tähän nimenomaisesti velvoita.• Otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus

tietosuojalainsäädännöstä ja alan käytänteistä. • Tietosuojavastaavan on oltava riippumaton


Seuraa tietosuoja-valtuutetun toimiston julkaisemia

tietosuoja-asetukseen liittyviä ohjeita11

• Moni asia täsmentyy vasta siirtymäajan kuluessa, joten on tärkeää seurata tiedottamista.

• Tietosuojatyöryhmän tulkintaohjeet ovat keskeisessä roolissa asetusta tulkittaessa.

• Ensimmäiset rekisterinpitäjille ja henkilötietojen käsittelijöille tehtävät ohjeet keskittyvät:

• oikeuteen siirtää tiedot järjestelmästä toiseen • korkean riskin käsitteeseen ja tietosuojaa

koskevaan vaikutustenarviointiin • sertifiointiin • Tietosuojavastaavaan

• Tietosuojavaltuutetun toimisto julkaisee tietosuoja-asetukseen liittyviä ohjeita verkkosivuillaan.


Tietotilinpäätöksen ohjeistus:http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf

Tietoturvapolitiikan ohjeistus:https://www.viestintavirasto.fi/viestintavirasto/virastonesittelyjatehtavat/riskienhallinta/tietoturvapolitiikka.html

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf

https://www.viestintavirasto.fi/viestintavirasto/virastonesittelyjatehtavat/riskienhallinta/tietoturvapolitiikka.html

Seuraa myös #verkkiksen kirjoituksia aiheesta12

• Ladattava pikaopas GDPR:stä• Seuraamme myös jatkossa

ohjeistuksen kehittymistä ja julkaisemme tarvittaessa lisää opastusta

• Blogi-kirjoitus tietoturvasta yritysturvallisuuden näkökulmasta

• riskienhallintaa


https://www.verkkoasema.fi/oppaat/gdpr-pikaopas/

https://www.verkkoasema.fi/blogiarkisto/tietoturva-osa-yritysturvallisuutta/

Ideointia Kartoitusta Selvitystä Toimintaa

Mihin tämä voisi

vaikuttaa sinun

työssäsi?

Muodostetaan

yksittäisten

ideoiden ja

ajatusten pohjalta

kokonaiskuva

Selvitetään,

miten pitää

toimia, jotta

olemme keväällä

valmiita

Kääritään hihat ja

aletaan hommiin!

MITEN ETEENPÄIN?


Outi ArontietietosuojavastaavaVerkkoasema Oy+358 45 641 [email protected]

eu:n yleinen tietosuoja-asetus - verkkoasema · eu:n yleinen tietosuoja-asetus •koskee kaikkea...

Documents