Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Pekka Vepsäläinen +358 40 152 2628 [email protected] @pveps @tikkasec
MITÄ EU:N TIETOSUOJA-ASETUS
TARKOITTAA YRITYSTOIMINNAN
KANNALTA?
KESKI-SUOMEN XXVI MATKAILUPARLAMENTTI 2017
15.11.2017
Pekka Vepsäläinen
Tikkasec Oy
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Twitter: @pveps @tikkasec
Twitter: @pveps @tikkasec #GDPR #tietosuoja
HAASTE
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢EU:n tietosuoja-asetus astui voimaan toukokuussa 2016
➢ Lain keskeinen tehtävä on suojella EU-kansalaisten henkilötietoja ja oikeuksia
➢Toisaalta tietosuojalainsäädännön yhtenäistäminen EU:n jäsenmaiden välillä
➢ Laki koskee kaikkia organisaatioita, jotka käsittelevät EU-kansalaisten henkilötietoja
➢2 vuoden siirtymäaika päättyy 25.5.2018
Laki muuttuu
Twitter: @pveps @tikkasec
Tietosuoja-asetuksen sisältö ja tavoite
Kansalaisille
enemmän
oikeuksia
Rekisterinpitäjille
uusia
velvollisuuksia
Viranomaisille
laajempia
valtuuksia
EU-tasolla
vahva,
yhtenäinen ja
kattava
tietosuojan
kehys
Digitaalisten
sisämarkkinoiden
kehittyminen (Digital
Single Market)
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Lähes satasivuinen laki työllistää varsin paljon:
➢Miten lähdetään purkamaan lakitekstiä?
➢Mikä on nykytila suhteessa asetuksen vaatimuksiin?
➢Mistä löydetään käytännön ratkaisut ja kumppanit havaittuihin kehittämistarpeisiin?
➢Millä aikataululla ja resursseillavelvoitteet voidaan toteuttaa?
Kivinen tie
Twitter: @pveps @tikkasec #GDPR #tietosuoja
GDPR PERUSKÄSITTEET
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuoja-asetus ei yksiselitteisesti määrittele, mikä on henkilötietoa.
➢Asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa.
➢Henkilötietoja voivat näin ollen tilanteesta riippuen olla esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IP-osoite, jne.
➢ 4 artikla, kohta 1: ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella
GDPR Peruskäsitteet - Henkilötieto
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Rekisteröity (data subject)➢Luonnollinen henkilö, jonka
henkilötietoa kerätään ja/tai käsitellään• Tietosuoja-asetus ei koske
kuolleita henkilöitä
GDPR Peruskäsitteet - Rekisteröity
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Henkilötietojen käsittelyä manuaalisesti tai automaattisesti.
➢Käsittelyä on tietojen kerääminen, tallentaminen, järjestäminen, muokkaaminen, haku, tietojen luovuttaminen, jne.
➢Käsittelystä säädetään asetuksessa useissa eri artikloissa, esim.• 29 artikla: Tietojen käsittely rekisterinpitäjän tai
henkilötietojen käsittelijän alaisuudessa
• 30 artikla: Seloste käsittelytoimista
• 32 artikla: Käsittelyn turvallisuus
➢ 4 artikla, kohta 2: ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista
GDPR Peruskäsitteet - Käsittely
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Rekisteri on henkilötietojen tietojoukko, joka voi sijaita yhdessä tai useammassa tietojärjestelmässä, myös manuaaliset järjestelmät huomioiden
➢Esimerkiksi käyttäjärekisteri ja jäsenrekisteri ovat henkilörekistereitä• Verkkokauppoihin ja kirjautumista vaativiin
palveluihin syntyy väistämättä henkilörekisteri
➢4 artikla, kohta 6: ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,
GDPR Peruskäsitteet - Rekisteri
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Rekisterinpitäjä (data controller)
➢ Luonnollinen henkilö, yritys, viranomainen, yhdistys, laitos tai säätiö.
➢ Juridisessa vastuussa rekisteristä, joka määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu
➢ Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa • rekisterin käyttötarkoitus,
• kerättävät tiedot ja niiden tietolähteet,
• rekisterin suojaus sekä
• rekisterinpitäjän yhteystiedot.
➢ 4 artikla, kohta 7: ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
GDPR Peruskäsitteet - Rekisterinpitäjä
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Käsittelijä (data processor)
➢ Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta• Esim. digitaalisten palveluiden toimittajat
käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa
➢ Käsittelijän on käsiteltävä henkilötietoja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti
• paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan
➢4 artikla, kohta 8: ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
GDPR Peruskäsitteet - Käsittelijä
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Suostumus (consent): henkilön antama lupa tallentaa ja käsitellä omia henkilötietojaan• Rekisteröidyn vapaaehtoinen ja
informoitu suostumus
• Oltava yksiselitteinen tahdonilmaushenkilötietojen käsittelylle
• Jatkossa ns. ”Opt-in”!• ”Rasti ruutuun, jos ET halua, että sinulle
lähetetään markkinointiviestejä”
• Vs.
• ”Rasti ruutuun, jos HALUAT, että sinulle lähetetään markkinointiviestejä”
➢4 artikla, kohta 11: rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,
GDPR Peruskäsitteet - Suostumus
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojenkäsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaanlainsäädännön asettamat velvoitteet.
➢Tietosuojavastaavan tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. ➢ Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan
yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.
➢Tietosuojavastaava ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle.
➢Tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.
GDPR Peruskäsitteet - Tietosuojavastaava
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Henkilötietojen tietoturvaloukkaus voi tapahtua niin tietomurronkuin inhimillisen virheen seurauksena• Vahingossa tai lainvastaisesti tuhottu,
hävitetty, muutettu tai luvatta luovutettu
• Pääsy tietoihin, ”urkinta”, ilman lupaa
➢Useimmiten inhimillisen virheen seurauksena tapahtunut vahinko
➢4 artikla, kohta 12: ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
GDPR Peruskäsitteet – Henkilötietojen tietoturvaloukkaus
Twitter: @pveps @tikkasec
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuojalla tarkoitetaan lähinnä yksilön (rekisteröity) yksityisyyden ja luottamuksen turvaamista tietosisällöllisesti• Tietosuojassa siis kysymys rekisteröidyn oikeuksista ja niihin liittyvistä prosesseista
➢Tietoturva on puolestaan yleisemmällä tasolla tiedon luottamuksellisuuden, eheyden ja saatavuuden turvaamista erilaisin teknologisin (palomuurit, virustorjunta, jne.) ja hallinnollisin (prosessit jne.) menetelmin
➢Tietoturvan kehitysprojekteja liittyen tietosuojaan, esim.• Pääsynhallinta, (access management)
• Identiteetin ja käyttövaltuuksien hallinta (IDM&IAM)
• Lokihallinta ja SIEM (tietoturvatiedon ja tapahtumien hallinta)
Tietosuojan integrointi tietoturvallisuuteen
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Tietosuojan integrointi tietoturvallisuuteen /2
➢Tietosuojan ja tietoturvan integrointi käytännössä• Integroi yhteneväisyydet
• Poista päällekkäisyydet
➢Tietoturvaa ja tietosuojaa tulee molempia toteuttaa riskilähtöisesti• Panostukset sinne minne ne on järkevää laittaa ja missä vaikutus on suurin
TUNNISTA
SUOJATTAVAT
KOHTEET
TUNNISTA
SUOJATTAVIIN
KOHTEISIIN
KOHDISTUVAT
RISKIT
ANALYSOI RISKIT JA
VALITSE TÄRKEIMMÄT
RISKIT JOTKA TULEE
KÄSITELLÄ
TUNNISTA JA TOTEUTA
RISKIN POISTAMISEKSI /
PIENENTÄMISEKSI
TARVITTAVAT
TOIMENPITEET
REAGOI
TOTEUTUNEISIIN
RISKEIHIN JA OTA
OPIKSI
RISKIENHALLINTA
TIETOTURVAN JATKUVA JOHTAMINEN
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Tietosuojan integrointi tietoturvallisuuteen /2
➢Tietoturvallisuus toteutuu
• Tietojärjestelmissä
• Prosesseissa
• Viestinnässä
Vaihe 1
Menetelmä a
Menetelmä b
Vaihe 2
Menetelmä cVaihe 3
Menetelmä d
Menetelmä e
Menetelmä f
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Tietosuoja-asetuksen keskeiset
vaikutukset henkilötietojen
käsittelyssä
Twitter: @pveps @tikkasec #GDPR #tietosuoja
1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
b) Käyttötarkoitussidonnaisuus – mihin tarkoitukseen tietoja kerätään?
c) Tietojen minimointi – ei kerätä/säilytetä turhaa tietoa
d) Täsmällisyys – tiedot ajan tasalla
e) Säilytyksen rajoittaminen – vain niin kauan kuin tarpeen
f) Eheys ja luottamuksellisuus – tietoturvan toteutuminen
2. Rekisterinpitäjän on pystyttävä osoittamaan, että 1. kohtaa on noudatettu
-> ”osoitusvelvollisuus”
(Tietosuoja-asetus 5. artikla)
Perusperiaatteet henkilötietojen käsittelyssä
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Rekisteröity on antanut suostumuksensa
➢Käsittely on tarpeen sopimuksen täytäntöön panemiseksi,
➢Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
➢Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
➢Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
➢Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi
• ”Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna”
Käsittelyn lainmukaisuus
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä• Jatkossa yritysten tulee antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten
heidän tietojaan käsitellään ja miksi
➢ Rekisteröidyn oikeus saada pääsy omiin tietoihin• Rekisteröidyillä oikeus saada itseään koskevat tiedot koneluettavassa muodossa
➢ Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi• Huomioitava muu lainsäädäntö, ts. mitä tietoja pitää lain mukaan säilyttää rekistereissä (esim. kirjanpitolaki)
➢ Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
➢ Oikeus siirtää tiedot järjestelmästä toiseen• Rekisteröidyllä oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään
silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen
➢ Vastustamisoikeus• Oikeus vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa
• Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.
Rekisteröidyn oikeudet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuoja-asetus tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilivelvollisuus / osoitusvelvollisuus). • Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan
rekisterinpitäjän on pystyttävä kysyttäessä osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa
➢Ts. pystyttävä dokumentoidusti osoittamaan, että tietosuojaa toteutetaan tietosuoja-asetuksen mukaisesti
Rekisterinpitäjän velvollisuudet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Nykytila: henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus
tietosuojavaltuutetulle sisältyy vahvasta sähköisestä tunnistamisesta ja
sähköisistä luottamuspalveluista annettuun lakiin (617/2009).
➢ Jatkossa jokainen organisaatio on velvollinen ilmoittamaan
henkilötietojen tietoturvaloukkauksesta niin valvontaviranomaiselle kuin
rekisteröidyillekin
• Jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille
• Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72
tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta
viivytystä
➢Yrityksillä on siis oltava valmiuksia tietoturvaloukkausten havaitsemiseen,
niistä ilmoittamiseen sekä vahinkojen minimointiin
Rekisterinpitäjän velvollisuudet: Tietosuojarikkomuksista ilmoitusvelvollisuus
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Rekisterinpitäjän velvollisuudet: Esimerkki tietosuojarikkomuksen ilmoituksesta
Lähde: EU-tietosuojan kokonaisuudistus VAHTI-raportti – 1/2016 https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista, (”rekisteriseloste”) mm.• Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on
nimitetty)
• Mihin tarkoituksiin henkilötietoja käsitellään ja mikä on käsittelyn oikeusperusta(esim. palvelun tarjoamiseksi rekisteröidyn suostumuksella)
• Jos henkilötietoja luovutetaan kolmansille osapuolille, henkilötietojen vastaanottajat
• Jos henkilötietoja siirretään kolmanteen maahan, miten tietosuojasta on huolehdittu ja mistä rekisteröity voi saada siitä lisätietoja
Rekisterinpitäjän velvollisuudet: Avoimuus
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Epäonnistumisen vaikutuksia organisaatiotasolla, mm.• Taloudelliset vahingot ja rikosoikeudelliset seuraamukset
• Menetetyn aineettoman omaisuuden aiheuttama vahinko
• Arkaluonteisen tiedon menettämisen aiheuttamat vahingot
• Kilpailuedun ja maineen menetys
• Asiakkaiden ja yhteistyökumppaneiden menetys
➢Sanktiot maksimissaan: 2% / 10M€, 4% / 20 M€
➢ Johdonmukaisempi soveltaminen ja tehokas täytäntöönpano• Asian käsittely asianomaista lähellä olevassa tietosuojaviranomaisessa ja
oikeusistuimessa
➢Parhaimmillaan voi olla yritykselle kilpailuetu ”huolehdimme yksityisyydestäsi”
GDPR Keskeiset vaikutukset
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Nykytila: Henkilötietolaissa eroteltu toisistaan henkilötietojen käsittely suoramarkkinointitarkoituksiin
• Esim. suostumuksen tai asiakassuhteen perusteella
• Pysyvän markkinointirekisterin perustamisella, kun henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten
• Markkinointiviestin yhteydessä informoitava, mistä henkilötiedot on hankittu
➢ GDPR ei juurikaan yksityiskohtaista suoramarkkinointia koskevia sääntöjä tietojenkäsittelyn osalta• Poikkeuksena vastustamisoikeus: Rekisteröidyllä milloin tahansa ja maksutta oikeus
vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin
• Muutos nykyiseen: Opt-in Opt-outin sijaan
➢ Lisäksi sähköistä suoramarkkinointia koskevia säännöksiä edelleen myös sähköisen viestinnän tietosuojadirektiivissä, sekä tietoyhteiskuntakaaressa
Rekisteröidyn oikeudet - suoramarkkinointi
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Rekisterinpitäjän velvollisuus on varmistaa, että käsittelyssä noudatetaan asetuksen
määräyksiä
• Sisäiset prosessit
• Ulkoistettujen palvelujen sopimukset
• ”Kaiken muun voit ulkoistaa, paitsi vastuun"
➢ Tietojen käsittelijän on noudatettava rekisterinpitäjän ohjeistuksia
• Käsittelystä on sovittava kirjallisesti
• Käsittely vain rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti
• Vastuussa käsittelyn turvallisuudesta
➢ Tietosuojavastaavan tehtävänä on seurata henkilötietojen käsittelyn lainmukaisuutta ja
auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet.
• Toimii valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä
• Ei ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen
organisaation johdolle!
Tietosuojatoimijoiden asema & vastuut
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Tietosuojaviranomaisella on useita keinoja puuttua ongelmiin:• varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat
todennäköisesti tämän asetuksen säännösten vastaisia
• antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia
• määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä (vs. rekisteröidyn oikeudet)
• määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi
• määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle
• asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto
• määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta
• peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi
• määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta
• määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle
Tietosuojarikkomusten käsittely /2
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Pykälän 1 momentissa säädettäisiin, että henkilö, joka muutoin kuin yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksessa, tietosuojalaissa tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi
• tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa
➢ Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely (”urkinta”) ilman käsittelyn oikeuttavaa perustetta
• Esim. silkasta uteliaisuudenhalusta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista
Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä)
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1–4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta.
• Tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä.
• Rangaistavaa voisi olla muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.
Työsuhdeperusteiset & rikosoikeudelliset seuraamukset (TATTI-työryhmä)
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta
Vahingonkorvaus rekisteröidylle
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Mitä toimenpiteitä tulisi
jokaisessa organisaatiossa
toteuttaa?
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tilivelvollisuuden vuoksi on tehtävä paljon erilaista dokumentaatiota• Tietosuojaselosteet, rekisteriselosteet
• Tiedon käsittelyn prosessit
• Dokumentoidut riskianalyysit
• Sopimukset tietojen käsittelijöiden kanssa oltava kirjallisena ja niissä sovittava käsittelystä
• Ohjeistukset tietojen käsittelijöille
• Tietoturvallisuuteen liittyvä dokumentaatio
Dokumentointivelvoitteet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Riskien arviointi pitäisi ottaa jatkuvaksi käytännöksi
➢Henkilökunnan kouluttaminen ja tietoisuuden lisäys• Erityisesti rohkaisu ja motivointi tuomaan
esille puutteita
➢Tietosuojan kehittämisen vuosikello• Jatkuva kehittäminen
Käytännön muutoksia arkipäivään
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuoja-asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaisettekniset ja hallinnolliset toimenpiteet, jotta henkilötietojen käsittely on turvattua. • Riskianalyysi
• Turvallinen verkko- ja järjestelmäarkkitehtuuri
• Pääsynhallinta
• Päivitysten ja muutosten hallinta
• Fyysinen turvallisuus
• Henkilöstöturvallisuus (ml. Tietoturvatietoisuus, koulutus)
• Toiminnan jatkuvuuden hallinta (tietojen varmuuskopiointi, toipumissuunnitelmat…)
• Tietoturvallisuuden hallinta (roolit, vastuut, …)
Tietoturvan kehittäminen tietosuojan näkökulmasta
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tietosuoja hankinnoissa
• Henkilötietojen käsittelyn lainmukaisuuden varmistaminen
➢Rekisterinpitäjällä on lähtökohtaisesti ns. ankara vastuu.
➢Henkilötietojen käsittelijän vastuu on toissijaista.
• Käsittelijä on vastuussa vain, jos se ei ole noudattanut tietosuoja-asetuksessa
käsittelijälle nimenomaisesti asetettuja velvoitteita tai rekisterinpitäjän ohjeistusta
➢Vastuut ja velvoitteet sopimuksiin!
Tietosuoja-asetuksen huomiointi hankinnoissa
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Eräissä tapauksissa jopa vähemmän sääntelyä ja määräyksiä• Aiemmin vaadittu lupa tietosuojalautakunnalta rekisteröidyn elintärkeän edun
suojaamiseksi muissa kuin yksittäistapauksissa -> lupamenettely poistuu, mutta vastuu rekisterinpitäjällä!
• Myös tietosuojalautakunnan toiminta lakkaa
➢ Jatkossa yleinen velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta
➢Tietosuoja-asetuksen seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin sakkoihin• Aiemmin painottunut vahvasti rikosoikeudelliseen järjestelmään
Yhteenveto: Mikä muuttuu?
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Osoitusvelvollisuus (5 artikla)• Organisaation tulee pystyä osoittamaan, että henkilötietojen säilytyksessä ja käsittelyssä toimitaan
asetuksen mukaisesti
• Dokumentaatiovelvoitteet, mm. kuvaukset henkilörekistereistä ja henkilötietojen käsittelyn prosessit
➢ Rekisteröidyn oikeuksien toteutuminen • Rekisteri/tietosuojaselosteet, joissa kerrotaan tietojen käsittelystä
• Suostumuslomakkeet / suostumuksen peruuttaminen
• Rekisteröidyn pääsy omiin tietoihinsa
• Ilmoitukset tietosuojaloukkauksista
➢ Sopimusten tarkistaminen• Henkilötietojen käsittelystä pitää sopia selkeästi (oltava kirjallinen sopimus)
• Mm. Artikla 24: Rekisterinpitäjän tulee varmistaa, että käytetyt tietojärjestelmät ovat asetuksenmukaisia
➢ Tietoturvan kehittäminen• ”Toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja
organisatoriset toimenpiteet” henkilötietojen ja niiden käsittelyn turvaamiseksi
• Henkilöstön koulutus
Yhteenveto: Suurimmat haasteet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢ Johdon sitoumus tietosuojan
kehittämiseen
➢ Kartoita tietojen käsittelyn nykytila ja
listaa henkilötietorekisterit.
• Ota huomioon myös mahdolliset
henkilötietojen käsittelyn ulkoistukset.
➢ Päivitä prosessit asetuksen mukaisiksi.
• Hanki henkilöiltä lupa tietojen keräämiseen.
➢ Nimeä organisaatioon
tietosuojavastaava
Tietosuojaprojektin perusaskeleet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Tarkista sopimustilanne
asiakkaiden, palveluntuottajien,
alihankkijoiden sekä toimittajien
kanssa.
• Varmista, että henkilötietojen käyttöä ja
käytäntöjä koskeva sopimuksen sisältö on
tietosuoja-asetuksen vaatimusten
mukainen.
➢Dokumentoi tietoturvakäytännöt
➢ Laadi tietotilinpäätös
➢Arjen tietosuojakoulutus
• http://tietosuoja.vahtiohje.fi
Tietosuojaprojektin perusaskeleet
Twitter: @pveps @tikkasec #GDPR #tietosuoja
Esimerkki työkalusta / palvelusta, jonka avulla voidaan tehdä nykytilan kartoitus, ja tarvittava dokumentointi.
Twitter: @pveps @tikkasec #GDPR #tietosuoja
➢Kyberturvallisuuden kehittämisprojekteja
julkiselle sektorille
➢ Tietosuojan kehittämisprojekteja pk-
sektorille
➢ Tietosuojakoulutuksia yrityksille ja julkisille
organisaatioille
Pekka Vepsäläinen +358401522628 [email protected] Twitter: @pveps @tikkasec
Keski-Suomen kauppakamarin koulutus 23.11. klo 8:30-12:30 (sis. lounas)
1. EU:n tietosuoja-asetuksen yleiskatsaus
a. Johdatus tietosuojaan: GDPR tausta ja peruskäsitteet CASE-esimerkin kautta tarkasteltuna
b. Tietosuoja-asetuksen keskeiset vaikutukset henkilötietojen käsittelyssä
2. Käytännön CASE-esimerkkejä HR-prosesseista ja -järjestelmistä, joihin tietosuoja-asetus väistämättä vaikuttaa
a. Tietosuoja-asetus ja työsuhteen elinkaari: CASE-esimerkit tietosuoja-asetuksen huomioimisesta henkilötietojen käsittelyssä
b. Kuinka tietosuoja-asetus tulisi huomioida henkilöstöhallinnon prosesseissa ja HR-järjestelmissä?
c. Mitä tulee huomioida esim. työhaastatteluja ja soveltuvuusarviointeja järjestettäessä?
3. Tietosuoja-asetuksen huomioiminen sopimuksissa
a. Mitä tulisi huomioida järjestelmätoimittajien kanssa tehtävissä sopimuksissa ja ohjeistuksissa?
b. Millaisia vaatimuksia hankittavalle järjestelmälle tai palvelulle tulisi asettaa?
c. Miten lähestyä nykyisiä sopimuskumppaneita?
https://kskauppakamari.fi/fi-fi/article/koulutukset/gdpr-ja-hr-kuinka-varautua-tietosuoja-asetukseen-henkilostohallinnon-nakokulmasta/587/
GDPR ja HR: Kuinka varautua tietosuoja-asetukseen henkilöstöhallinnon näkökulmasta?
Pekka Vepsäläinen +358 40 152 2628 [email protected] @pveps @tikkasec
OTA YHTEYTTÄ
JA KYSY LISÄÄ!
Pekka VepsäläinenTikkasec Oy040 152 [email protected]
Pekka Vepsäläinen +358401522628 [email protected] Twitter: @pveps @tikkasec
➢Tietosuoja-asetus• http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=FI
➢Tietosuojavaltuutetun toimiston ohjeistukset• http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html
➢EU-tietosuojan kokonaisuudistus VAHTI-raportti – 1/2016• https://www.vahtiohje.fi/web/guest/vahti-raportti-1/2016
Lähdeluettelo