Käytännön kokemuksia tietosuoja-asetukseen liittyvistä asiakascaseista

Talent Base Aamiaistilaisuus 25.11

1© Castrén & Snellman

2© Castrén & Snellman

Kansalliset toimenpiteet• Oikeusministeriö on asettanut työryhmän

selvittämään, mitä muutoksia asetus edellyttää suomalaiseen lainsäädäntööno Toimikausi 17.2.2016-16.2.2018o Työryhmän ehdotukset kansallisiksi

lakimuutoksiksi valmiit 31.5.2017 mennessä o Jäsenvaltiot voivat säätää tarkemmin mm.

terveystietojen sekä työntekijöiden henkilötietojen käsittelystä

3© Castrén & Snellman

”Accountability” kantavana periaatteena

- mitä se tarkoittaa käytännössä?

Mitä teemme, mitkä ovat palvelumme?

4© Castrén & Snellman

Havaintoja tietosuoja-auditeista• Epäselvää, mitä tietoja kerätään, millä perusteella ja

mihin tarkoituksiin• Tietojen säilytysaika epäselvä – useimmiten tiedot

jäävät järjestelmiin pitkiksi ajoiksi• Roolit epäselviä – rekisterinpitäjä vai käsittelijä?• Palveluntarjoajien kanssa ei ole sovittu

henkilötietojen käsittelystä eikä ulkoistusilmoituksia ole tehty

• Tietojen sijainti epäselvä (EU:n sisällä vai ei)• Sisäiset vastuut epäselvät – kuka vastaa esim.

rekisteröityjen pyyntöihin ja miten?

5© Castrén & Snellman

Privacy by design&default• Mitä privacy by design & default tarkoittaa

käytännössä?• Oletusarvoinen tietosuoja• Lainsäädännön vaatimukset

palveluihin&tuotteisiin

6© Castrén & Snellman

Rekisteröidyn oikeudet vahvistuvatMitä se tarkoittaa käytännössä?

Kilpailuvaltti!

Mikä on tietovuoto?Miten ja milloin laadimme tietovuotoihin liittyvän ilmoituksen

käytännössä?Viestintä mukaan!

7© Castrén & Snellman

Muuta huomioitavaa?Sopimukset

© Castrén & Snellman 8

9© Castrén & Snellman

Ulkoistammeko henkilötietojen käsittelyä?• Mikä katsotaan henkilötietojen käsittelyn

ulkoistamiseksi?• Mitä velvollisuuksia se tuo tullessaan?• Onko palveluntarjoajalla velvollisuuksia?

• Vrt. henkilötietolain vähäiset velvoitteet käsittelijöille & asetuksen uudet vaatimukset

• Suuri muutos vastuiden jakautumisessa• Miten tietosuojavastuista sovitaan

käytännössä?

10© Castrén & Snellman

Uudet hallinnolliset seuraamukset• Tapauskohtainen kokonaisvaltainen

harkinta• Muita seuraamuskeinoja myös käytössä• Riippuen rikkomuksen luonteesta:

o MEUR 10 tai 2% globaalista liikevaihdostao MEUR 20 tai 4% globaalista liikevaihdosta

11© Castrén & Snellman

Kukaan ei ole valmis…

12© Castrén & Snellman

Valmistautuminen uusiin vaatimuksiin Vastaako tämän päivän toiminta henkilötietolain

vaatimuksia? auditointi Nimeä vastuuhenkilö(-t) / tietosuojavastaava Tunnista henkilötiedot/järjestelmät/prosessit/roolit Määrittele rekisterinpitäjät tarpeet ja tahtotila Laadi projektisuunnitelma ja aikataulut Seuraa kansallisen lainsäädännön kehitystä Käy läpi olemassa olevat IT-sopimukset Laadi tarvittavat dokumentit / toimintasuunnitelmat Jaa tietoa organisaatiossa

13Kuva: http://www.smartinsights.com/marketplace-analysis/digital-marketing-laws/marketing-implications-of-the-eu-general-data-protection-regulation-gdpr/

14© Castrén & Snellman

Kiitos!

Kaisa Keski-VähäläCounselkaisa.keski-vahala@castren.fi Twitter: #CastrenPrivacy

Asianajotoimisto Castrén & Snellman Oy