PYYDÄ TARJOUS

Ota yhteyttä ja pyydä tarjous! Sovitaan tapaaminen, käydään läpi tavoitteenne ja annamme tarjouksen liiketoiminnallenne sopivasta ratkaisusta.

Seuraa meitä Somessa

EU:n tietosuoja-asetus ja sen vaikutukset

EU:n tietosuoja-asetus ja sen vaikutukset

 

EU:n yleistä tietosuoja-asetusta alettiin soveltamaan täysimääräisenä 25.5. 2018. Tietosuoja-asetus on suoraan sovellettavaa pakottavaa lainsäädäntöä EU:n alueella. Tietosuojan tulee olla sisäänrakennettuna kaikkeen organisaation toimintaan, sillä täsmentymättömät toimintavelvoitteet tarkentuvat vasta käytännössä.

Lähtökohtana on suojella kuluttajaa ja turvata heidän oikeutensa koskien henkilötietojen käsittelyä. Asetus koskee käytännössä kaikkia EU:n alueella toimivia yrityksiä, järjestöjä ja organisaatioita jotka käsittelevät EU:n alueella sijaitsevien henkilöiden henkilötietoja riippumatta siitä, käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella. Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille.

Asiat, jotka tulee huomioida koskien sovellettavaa lainsäädäntöä.

  • Valitse tietosuoja-asioista vastaava henkilö
  • Tee henkilötiedoista inventaario, mitä henkilötietoja missäkin järjestelmässä
  • Tee henkilötietojen käsittelijöiden kanssa kirjalliset käsittelysopimukset
  • Varmista että organisaation omalle henkilöstölle sekä henkilötietojen käsittelijöille on laadittu ja toimitettu tarvittava ohjeistus henkilötietojen käsittelystä
  • Prosessi koskien henkilötietojen tietoturvaloukkauksia
  • Prosessi tietopyyntöjen vastaanottamiseen ja käsittelyyn
  • Tee henkilötietojen käsittelyä koskevat selosteet
  • Huolehdi osaamisesta
  • Valvo henkilötietojen käyttöä
  • Seuraa tiedottamista (www.tietosuoja.fi ja www.fordione.fi)

EU:n yleinen tietosuoja-asetus tuli sellaisenaan sovellettavaksi jäsenvaltioissa ja se koskee kaikenlaista henkilötietojen käsittelyä. Asetus sisältää kansallista liikkumavaraa mahdollistaen jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa asetuksen mukaiset muutokset toteutetaan tietosuojalailla, joka tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsemmennetään tietosuoja-asetusta ja sitä sovelletaan rinnakkain asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Asetuksen velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla; valvontaviranomainen voi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja merkittäviä hallinnollisia sakkoja.

Tietoturvan on oltava kunnossa. Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa. Tietosuoja-asetuksen merkittävimpiä muutoksia on osoitusvelvollisuus (accountability). Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan, että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa.

Tilintekovelvollisuusperiaate tarkoittaa, että organisaatioiden tulee osoittaa asetuksenmukaisuutensa ja riittävät tietosuojaan tähtäävät toimenpiteet, jotka täytyy todistaa dokumentaatiolla.

Näitä ovat mm. tietosuojapolitiikka, tietosuojaselosteet, tietoarkkitehtuuri- ja tietovirtakuvaukset, koulutusmateriaalit, sertifioinnit, tietotilinpäätösraportointi, roolit, vastuut, prosessit, työohjeet ym.

Organisaation johdon ja esimiesten rooli tietosuojan toteutumisessa

Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät tyypillisesti henkilötietojen käsittelyä koskevat päätökset eli käyttävät rekisterinpitäjälle kuuluvaa määräysvaltaa. Johto ja esimiehet toimivat myös esimerkkinä henkilötietojen käsittelyssä sillä he myös käsittelevät henkilötietoja esimerkiksi rekrytointien yhteydessä. Jollei heitä tunnu kiinnostavan tietosuojaan liittyvät asiat, niin tämä heijastuu koko henkilökuntaan.

Tietosuoja-asetuksen suurimmat muutokset

  • Osoitus- ja dokumentointivelvollisuus
  • Tietosuojavastaavan  nimittäminen ja tehtävät
  • Tietoturvaloukkauksista ilmoittaminen
  • Vahingonkorvaus, hallinnolliset sakot ja niihin varautuminen
  • Rekisteröityjen laajemmat oikeudet
  • Tiukentuneet suostumuksen edellytykset
  • Tietosuojaa koskeva vaikutustenarviointi
  • Rajoitukset profiloinnille
  • Henkilötietojen käsittelijöiden velvollisuudet ja sanktiot
  • Sisäänrakennettu ja oletusarvoinen tietosuoja

Rajoitteita

Asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan.

  • Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.
  • Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.

Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein.

Käsitteistöä

Rekisterinpitäjä on taho, joka yksin tai yhdessä toisten tahojen kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan.

Rekisteröity on luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen henkilö tai oikeushenkilö voi kohtuuden rajoissa käyttää.

Henkilötietojen käsittelijä on taho, se todellinen tietoja tallentava, kokoava ja säilyttävä jne. esim. palveluntarjoaja.

Yhteisrekisterinpitäjät päättävät yhdessä yhden tai useamman organisaation kanssa, ”miksi” ja ”miten” henkilötietoja käsitellään.

Tietosuoja on ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. Tietosuojan tarkoituksena on varmistaa, ettei tietoja käytetä ilman aiheetta ja turvata tiedon kohteen yksityisyys sekä edut, oikeudet ja vapaudet sekä oikeusturva.

Tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, saatavuuden ja eheyden turvaamiseen tarkoitetut keinot. Ne toimenpiteet ja (tekniset) keinot, joilla (kaikkia) tietoja pyritään suojaamaan. Tiedot voivat olla mitä tahansa dataa; mittaustuloksia, autojen rekisterinumeroita, rahansiirtoja tai kaupan kuukausiraporttia varten kerättyjä myyntilukuja

Henkilötietoja ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietoja ovat esimerkiksi:

  • nimi, osoite, IP-osoite
  • henkilötunnus, kulttuurinen profiili
  • sormenjälki kuvana, terveystiedot
  • sähköpostiosoite, verkkotunnistetiedot
  • luottokortin numero, tulot
  • henkilö jäljitettynä sijaintiin esim. matkapuhelimen avulla
  • joissakin tapauksissa myös puhelinnumero ja ajoneuvon rekisterinumero

 

Varmista, että sinulla on oikeus käsitellä henkilötietoja

Henkilötietoja saa käsitellä, jos siihen on vähintään yksi seuraavista syistä:

  • Suostumus (rekisteröity antaa luvan esim. sähköiseen suoramarkkinointiin)
  • Oikeutettu etu (asiakkuus, jäsenyys, työsuhde, sopimus)
  • Sopimus (henkilö tilaa tavaroita, jolloin syntyy asiakassuhde)
  • Lakisääteinen velvoite (osakasluettelo, palkkatiedot, kuitteja säilytetään sähköisessä tositearkistossa)
  • Elintärkeä etu (ihmishenkien suojeleminen, henkilölle toimitetaan vaarallinen tavara)
  • Yleinen etu (tutkimus, arkistointi)

Osoitusvelvollisuus

Osoitusvelvollisuuden (accountability) avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen
  • eheys ja luottamuksellisuus

Seloste käsittelytoimista

Asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Tarkoituksena on, että dokumentaation pohjalta saa ajantasaisen kokonaiskuvan organisaation harjoittamasta henkilötietojen käsittelystä ja osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.

Selostetta käsittelytoimista ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidylle suunnatun informaation tuottamisessa. Informaation tulee olla rekisteröidyn saatavilla maksutta. Sen tulisi olla saatavilla esim. organisaation verkkosivuilla ja kuvata henkilötietojen käsittely tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa.

Mitä GDPR (General Data Protection Regulation)  käytännössä tarkoittaa?

Tietosuoja oletukseksi – Privacy by Default, Privacy by Design

  • Oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
  • Tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
  • Henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
  • Jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset
  • Palvelussa tulee oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset
  • Järjestelmissä oltava olettamana tietosuojan turvaaminen
  • Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun

Tilivelvollisuus – Accountability

  • Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.
  • Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan noudattavansa laki. Aiemmin ”Do It”, nyt ”Prove It”
  • Velvoittaa dokumentointiin

Ilmoitus tietojen vuotamisesta – Data Breach Notification

  • Vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa
  • Rekisterinpitäjällä on velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta viivytyksettä myös rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle
    • Ei kuitenkaan vaadita jos;
    • on toteutettu asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu niitä ( erityisesti salaus)
    • on toteutettu jatkotoimenpiteet, joilla varmistetaan, ettei korkea riski enää todennäköisesti toteudu
    • ilmoitus vaatisi kohtuutonta vaivaa. Tällöin on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla
  • Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle
  • Loukkaukset on dokumentoitava

Tietoturvaloukkauksista on ilmoitettava vähintään:

  • Kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät
  • Ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta saa lisätietoa
  • Kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • Kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi

Oikeus tulla unohdetuksi – Right to be Forgotten

  • Kun henkilötietoja ei enää tarvita, ne tulee hävittää järjestelmästä, ellei käsittelylle ole laillista perustetta
  • Henkilö voi vaatia, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne alun perin kerättiin, ellei käsittelylle ole laillista perustetta
  • Henkilötiedot saa pyynnöstä huolimatta säilyttää muun muassa silloin, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi/rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • Rekisteröity peruuttaa suostumuksensa tai vastustaa käsittelyä eikä oikeusperustetta käsittelylle ole
  • Henkilöllä on oikeus saada omat tiedot käyttöönsä yleisesti käytettävässä tiedonsiirtomuodossa
  • Saattaa edellyttää muutoksia niin toimintatapoihin kuin tietojärjestelmiin

Oikeus tietojen siirtämiseen – Right to Data Portability

  • Rekisteröidyn pitää halutessaan pystyä viemään tietonsa mukanaan toiselle palveluntarjoajalle
  • Rekisteröidyllä on oikeus vaatia, että tiedot siirretään suoraan rekisterinpitäjältä toiselle
    • (Henkilötietojen vapaan liikkuvuuden tukemiseksi EU:ssa ja rekisterinpitäjien välisen kilpailun edistämiseksi)
  • Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään
    • (Tämä oikeus koskee vain rekisteröidyn toimittamia tietoja ts. oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot)
  • Helpottaa palveluntarjoajan vaihtamista ja edistää sisämarkkinoiden uusien palveluiden kehittämistä
    • (Tietojen jälleenkäyttöarvo kasvaa)

Käyttäjien profilointiin rajoituksia

  • Rekisteröidyllä on lähtökohtaisesti oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyyn
    • (Esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista)
  • Yritykset eivät saa käyttää eivätkä myydä keräämiään luonnolliseen henkilöön liittyviä tietoja ilman lupaa
  • Luonnollinen henkilö voi itse määrätä, haluaako hän automaattisen profiloinnin piiriin
  • Tällaiset toimenpiteet ovat kuitenkin sallittavia
    • Jos ne ovat hyväksytty laissa
    • Toteutettu sopimuksen tekemisen tai sen täytäntöönpanon yhteydessä
    • Rekisteröity on antanut niihin muuten suostumuksensa

Lasten henkilötietojen rekisteröinti – Age of Consent

Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tämä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palveluiden käyttämiseen. Rekisterkinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Tietosuojavastaava – Data privacy officer

  • Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy henkilöiden säännöllinen ja järjestelmällinen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely.
  • Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Niissä tilanteissa, joissa tietosuojavastaavan nimittäminen ei ole nimenomaisesti velvollisuus, on organisaatiossa kuitenkin syytä määritellä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioiminen organisaation toiminnassa ja joka voi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
  • Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
  • Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
  • Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan.
  • Tietosuojavastaava ei vastaa tietosuojan toteutumisesta. Vastuu on aina organisaation johdolla.

Hallinnolliset seuraamukset – Administrative sanctions

  • Valvontaviranomainen voi määrätä henkilötietojen käsittelyä, keskeyttää henkilötietojen käsittelemisen ja antaa sakkoja jonka määrä voi olla 20 miljoonaa € tai 4 % kansainvälisestä vuotuisesta liikevaihdosta.
  • Tämän lisäksi vahinkoa kärsinyt osapuoli voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä sekä oikeus tehdä valitus valvontaviranomaiselle
  • Käytettävissä on myös lievempiä keinoja, kuten varoitus, huomautus, rekisterinpitäjälle annettavat määräykset, käsittelyä koskevien rajoitusten asettaminen, keskeytysmääräyksen asettaminen.
  • Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuosi.
  • Entäpä maineriski?

Jos rekisterinpitäjä rikkoo asetusta, viranomainen voi;

  • Varoittaa siitä, aiotut käsittelytoimet ovat todennäköisesti asetuksen vastaisia
  • Antaa huomautuksen, jos käsittelytoimet ovat olleet asetuksen vastaisia
  • Määrätä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn oikeuksien käyttöä
  • Määrätä saattamaan käsittelytoimet asetuksen mukaisiksi, tarvittaessa tietyllä tavalla ja määräajassa
  • Asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, myös käsittelykiellon
  • Pitää sisäistä rekisteriä asetuksen rikkomisista ja niiden vuoksi toteutetuista toimenpiteistä (kuten varoituksista ja seuraamuksista)
  • Määrätä sakkoa em. korjaavien toimenpiteiden lisäksi tai asemasta olosuhteista riippuen

Vaikutus sopimussuhteisiin

  • Sopimuskanta sekä sopimusperäiset järjestelyt arvioitava myös tietosuojanäkökulmasta.
  • Valitaan vain sellaisia toimittajia, joiden toimittamien tuotteiden tietosuojataso vastaa asetuksen vaatimuksia
  • Tietosuojavaatimukset kannattaa asettaa jo tarjouspyynnössä ja liittää ne osaksi tarjouspyynnön perusteella tehtävää sopimusta
  • Perinteisesti: Rekisterinpitäjä ensisijaisessa vastuussa
    • Sekä suhteessa rekisteröityihin että viranomaisiin
  • Nykyään: Käsittelijän vastuuasema ja riskit muuttuivat merkittävästi asetuksen myötä, osin ensisijaisessakin vastuussa (yhdessä rekisterinpitäjän kanssa)
    • Vastuuta voidaan lisäksi kanavoida sopimuksellisesti => käsittelijän riskitaso kasvaa merkittävästi
  • Säilytetäänkö pilvessä?
  • Miten huomioidaan alihankintaketjut?
  • Ovatko vanhat sopimukset asetuksen mukaisia?
  • Asetuksessa luetellaan yksityiskohtaisesti, mistä asioista on sovittava

Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti

  • Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti
  • Sopimuksessa on oltava ainakin seuraavat seikat käsiteltyinä;
    • käsittelyn kohde ja kesto
    • käsittelyn luonne ja tarkoitus
    • henkilötietojen tyyppi ja rekisteröityjen ryhmät
    • rekisterinpitäjän velvollisuudet ja oikeudet
  • Käsittelijän velvollisuudet on mainittava sopimuksessa nimenomaisesti joita ovat:
    • velvollisuus noudattaa rekisterinpitäjän (dokumentoituja) ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
    • huolehtia salassapitovelvollisuudesta
    • palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös jos tiedot lainsäädännön mukaan säilytettävä)
    • antaa rekisterinpitäjälle kaikki ne tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista varten

Asetus vaikuttaa vääjäämättä jokaisen henkilötietoja käsittelevän organisaation toimintaan

Kun organisaatio on kartoittanut henkilötietojen käsittelyn nykytilan, seuraavaksi tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetuksen sääntely sen suorittamalle henkilötietojen käsittelylle tarkoittaa. Käsittelyn yhteydessä on toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät.

Neljä askelta tietosuoja-asioiden haltuun ottamiseksi

1. Tietosuoja on pidettävä johdon agendalla

  • Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan
  • Laadittava selosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset
  • Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet
  • Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä
  • Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (esim. johto, HR, IT-vastaava, lakimies ja viestintä)

2. Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa

  • Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
  • Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
  • Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
  • Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
  • Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
  • Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
  • Hallinnoidaanko tietoa päällekkäisesti
  • Arkistoinnin haasteet

3. Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa, esimerkiksi laatimalla tietotilinpäätös.

Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.

  • Tunnistaa tietosuojaa koskevat kysymykset ja otettava ne huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä/kehitetään tietojärjestelmiä
  • On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseks.
  • Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle

4. Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset

  • Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida
  • Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja
  • Sisäiset tarkastusmenetelmät esim. tietotilinpäätös
  • Ohjeistukset, koulutus ja valvonta
  • Toimintasuunnitelma poikkeustilanteiden varalle
  • Laaditaan suunnitelma: miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan
  • Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
  • Vastuut organisaatiossa

 

Tietosuoja arjessa

Viestintä

  • Käytä selkeää kieltä
  • Kerro kuka ole, kun pyydät tietoja
  • Kerro miksi käsittelet heidän tietojaan, kuinka kauan niitä säilytetään ja kenelle ne luovutetaan

Suostumus

  • Pyydä ihmisiltä selkeä suostumus tietojen käsittelyyn
  • Keräätkö tietoja lapsilta sosiaalista mediaa varten? Tarkista ikäraja, joka määrittää, tarvitaanko vanhemman suostumus

Tarkastelu ja siirto

  • Anna ihmisille mahdollisuus tarkastella tietojaan ja siirtää ne toiselle yritykselle

Varoitukset

  • Tiedota ihmisille tietoturvaloukkauksista, jos heihin kohdistuu vakava uhka

Pyyhi tiedot

  • Anna ihmisille ”oikeus tulla unohdetuksi
  • Pyyhi heidän henkilötietonsa, jos he sitä pyytävät, mutta vain, jos sille ei ole lakisääteistä estettä

Profilointi

  • Jos käytät profilointi oikeudellisesti velvoittavien sopimusten (esim. lainat) hakemusten käsittelyyn, sinun on
    • kerrottava siitä asiakkaillesi;
    • varmistettava, että prosessin tarkistaa ihminen eikä kone, jos hakemukseen vastataan kielteisesti;
    • tarjottava hakijalle oikeus riitauttaa päätös

Markkinointi

  • Anna ihmisille oikeus kieltäytyä suoramarkkinoinnista, johon käytetään heidän antamiaan tietoja

Arkaluonteisten tietojen turvaaminen

  • Toteuta ylimääräisiä suojatoimia terveyttä, rotua, sukupuolista suuntautuneisuutta, uskontoa ja poliittisia näkemyksiä koskevien tietojen turvaamiseksi

Tietojen siirto EU:n ulkopuolelle

  • Tee oikeudellisia järjestelyjä siirtäessäsi tietoja maihin, joita EU:n viranomaiset eivät ole hyväksyneet

 

Tiedon elinkaarenhallinnan tietosuojariskejä

  • Kerätään liikaa henkilötietoja
  • Henkilötietojen käsittelytarkoituksia ei ole määritelty
  • Käsitellään vanhentuneita / virheellisiä / epärelevantteja tietoja
  • Käsitellään tietoja lainvastaisiin tai käsittelyn tarkoituksen vastaisiin tarkoituksiin
  • Käsittelijöiden piiri ei ole minimoitu
  • Tietosuojatoimintojen tilasta ei saada tietoa mittareiden ja raportoinnin puutteellisuuden vuoksi
  • Henkilötietoihin on pääsy asiattomilla, valvontaa ei ole järjestetty tai se on puutteellista
  • Ei suojata tietoja riittävällä tasolla

 

… ja lopuksi, kysy itseltäsi ainakin nämä;

 

  1. Tiedetäänkö mitä henkilötietoja kerätään?
  2. Kenellä on pääsy henkilötietoihin?
  3. Missä henkilötietoja säilytetään?
  4. Onko henkilötietojen käsittely kuvattu?
  5. Siirretäänkö / luovutetaanko / käsitelläänkö henkilötietoja organisaation ulkopuolella?
  6. Täyttääkö sopimukset kolmansien osapuolien kanssa GDPR -vaatimukset?
  7. Tiedostetaanko yrityksessänne millä edellytyksillä ja mitä tarkoitusta varten henkilötietoja voidaan kerätä, tallettaa ja käsitellä?
  8. Onko jokaisesta henkilörekisteristä laadittu julkisesti saatavilla olevat rekisteri- ja tietosuojaselosteet?
  9. Onko yrityksenne johdon taholta huolehdittu siitä, että henkilötietojen käsittelyyn liittyvät vastuut ja tehtävät on määritelty asianmukaisesti?
  10. Tunnistatko milloin toiminnassa muodostuu henkilötietoja, kun esimerkiksi suunnittelet sähköistä kaupankäyntiä?
  11. Voidaanko osoittaa, että kerätyt henkilötiedot ovat henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia?
  12. Tiedetäänkö millaisten henkilötietojen käsittely on kiellettyä ja millä edellytyksillä niitä voidaan käsitellä?
  13. Tunnistatko rekisteröidyn oikeudet henkilötietojen käsittelyyn, milloin rekisteröidyllä on yleensä oikeus tarkastaa itseään koskevat tiedot sekä vaatia virheellisen tiedon oikaisua sekä kieltää henkilötietojensa käsittely ja miten oikeudet toteutetaan?
  14. Noudattaako yritys yleisiä tietosuojaperiaatteita ja kerrotaanko niistä esimerkiksi yrityksen kotisivuilla?
  15. Tiedättekö milloin organisaatiolla on tietosuoja-asetuksen mukainen ilmoitusvelvollisuus joista täytyy tehdä ilmoitus valvovalle viranomaiselle ja rekisteröidylle itselleen?
  16. Onko organisaatiolle nimetty tietosuojavastaava?
  17. Pystytäänkö todistamaan että henkilötietojen keräämiseen on saatu rekisteröidyn suostumus?
  18. Onko organisaatiolla johdon hyväksymä tietoturva- ja suojapolitiikka?
  19. Onko organisaatiossa tietoturvallisuuteen liittyviä tiedotteita, ohjeita ja koulutusta?
  20. Onko organisaatiolla viestintäsuunnitelma, strategia ja politiikka?

 

Tietoturvallisuuden Toiminnanohjaus™

Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™ -palvelun avulla EU:n tietosuoja-asetuksen vaatimusten täyttäminen helpottuu olennaisesti. Se ottaa kantaa niin olemassa oleviin kuin vaadittaviin hallintomalleihin ja sen avulla analysoidaan organisaation henkilötietoja käsittelevät prosessit nopeasti ja kattavasti.

Lopputuloksena syntyy tietotilinpäätös, jonka avulla asetuksen osoitusvelvollisuus voidaan täyttää ja joka varmistaa, että tietoturvallisuus on johdon agendalla.

Joustavuutensa ja kustannustehokkuutensa ansiosta se voidaan sovittaa kaiken kokoisille organisaatioille sopivaksi.

Soita meille tai jätä yhteydenottopyyntö TÄSTÄ