Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä toimiin

243 visualizaciones

Publicado el

Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen.

Webinaarissa käsitellään seuraavat aiheet:
- EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?
- Miten tietosuoja-asetukseen pitää valmistautua?
- Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?

Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ
https://www.documenthouse.fi/otayhteytta

Publicado en: Empresariales
  • Sé el primero en comentar

Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä toimiin

  1. 1. E R O O N P A P E R E I S T A 30.8.2017 EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä toimiin
  2. 2. E R O O N P A P E R E I S T A Tänään äänessä 30.8.2017 2 Markus Myhrberg Partner, asianajaja, varatuomari Lexia Asianajotoimisto Oy Erkki-Jussi Welling Myyntijohtaja Document House Oy Kaj Seeste Markkinointijohtaja Document House Oy
  3. 3. E R O O N P A P E R E I S T A Agenda  EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa?  Miten tietosuoja-asetukseen pitää valmistautua?  Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan? 30.8.2017 3
  4. 4. EU:n tietosuoja-asetus 30.8.2017 Markus Myhrberg Asianajaja, VT
  5. 5. Yleinen tietosuoja-asetus: Mistä on kyse? • Asetus tullut voimaan toukokuussa 2016, mutta sitä sovelletaan 25.5.2018 lähtien. – Siirtymäaika tarjoaa mahdollisuuden saada käytännöt ja järjestelmät asetuksen mukaisiksi ennen soveltamisen aloittamista. • Asetus korvaa aiemman henkilötietodirektiivin • Asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa – Kansallisia poikkeuksia on kuitenkin lukuisia – Suomen osalta työryhmän mietintö ja luonnos tietosuojalaiksi – Kansallisen lainsäädännön tarkentaminen vielä käynnissä • Vaatimukset kasvavat > Läpinäkyvyyttä, ennakoimista, kuvaamista, organisaatio- ja järjestelmävaatimuksia ja sanktioita 30.8.2017 5
  6. 6. Yleinen tietosuoja-asetus: Tunnista oma roolisi? • Henkilötieto: tunnistettuun tai tunnistettavissa olevaan (suoraan tai epäsuoraan) luonnolliseen henkilöön liittyvät tiedot, esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto, sijainti- tai verkkotunnistetieto, henkilötunnus. • Rekisteri: mikä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. • Rekisterinpitäjä (data controller): taho, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot • Henkilötietojen käsittelijä (data processor): taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun – Käsittelijälle uusia velvollisuuksia mm. sopimukset ja alihankkijakielto • Rekisterinpitäjän ja käsittelijän välisen sopimuksen vähimmäissisältö määräytyy asetuksen perusteella 30.8.2017 6
  7. 7. Rekisterinpitäjän velvollisuudet > osoitusvelvollisuus Noudatettava henkilötietojen käsittelyssä Pystyttävä osoittamaan noudattaminen Lainmukaisuus, kohtuullisuus, läpinäkyvyys1 Käyttötarkoitusidonnaisuus2 Tietojen minimointi3 Täsmällisyys4 Säilytyksen rajoittaminen5 Eheys ja luottamuksellisuus6 30.8.2017 7
  8. 8. Rekisteröityjen oikeudet laajenevat • Oikeus – saada tietoa henkilötietojen käsittelystä – tarkistaa henkilötiedot – oikaista virheelliset henkilötiedot – tietojen siirtämiseen – ”tulla unohdetuksi” – rajoittaa henkilötietojen käsittelyä – vastustaa henkilötietojen käsittelyä (markkinointi, automatisoitu päätöksenteko ml. profilointi) – saada ilmoitus tietoturvaloukkauksesta • Informointi – Tietosuojaselosteet – ja käytännöt • Asetuksessa tarkemmat menettelysäännöt oikeuksien toteuttamiselle: – Erityiset määräajat – Pääsääntöisesti maksutta, kirjallisesti tai tapauskohtaisesti sähköisesti 30.8.2017 8
  9. 9. Miten täyttää velvollisuuksia? TIETOSUOJAVASTAAVA • Voidaan nimittää myös silloin, kun siihen ei ole velvollisuutta • Seuraa tietosuojalainsäädännön jalkauttamista ja toimii yhteyspisteenä • Tunnista velvollisuutesi ja dokumentoi käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden toteuttaminen • Tunne myös alihankkijasi prosessit, tarkista ja tee sopimukset • Varmista käsittelyn perusteet DOKUMENTOINTI JA PROSESSITNYKYTILA-ANALYYSI JA TIETOTILINPÄÄTÖS • Tee analyysi nykytilasta • Tunnista rekisterit ja tietolähteet • Kartoita käsiteltävät tiedot, sijainti ja tietovirrat • Tietosuoja on toimintapa – muista säännölliset päivitykset ja raportointi • Riskiperusteinen lähestyminen • Osaksi eri prosesseja esim. tuotekehitys ja riskianalyysit • Erityisten tietoluokkien tunnistaminen VAIKUTUSTENARVIOINTI TIETOTURVA • Tee toimenpidesuunnitelma tietosuojaloukkauksen varalle • Sisäiset ja ulkoiset auditoinnit • Anonymisointi ja pseudonymisointi • Huolehdi avoimuudesta ja läpinäkyvyydestä • Pidä saatavilla selosteet ja käytännöt • Tietosuojapolitiikka • Huomioi tietopyynnöt, kiellot VIESTINTÄSUUNNITELMA JA SELOSTEET/KÄYTÄNNÖT 30.8.2017 9
  10. 10. Tietosuojauudistuksen haltuunoton askelmerkkejä Valmistautumisen jakaminen useaan eri projektiin voi helpottaa haltuunottoa: 1. Ulkoiset prosessit: • Onko henkilötietojen kerääminen ja käsittely lainmukaista, miten toteutan rekisteröityjen oikeudet, siirränkö henkilötietoja muille tahoille, tarvitseeko sopimuksia muokata? 2. Sisäiset prosessit: • Onko yrityksen sisäisiä tietoturvakäytäntöjä tarvetta muuttaa, entä henkilökunnan koulutus? 3. Teknologia: • järjestelmät saatava vastaamaan asetuksen vaatimuksia ennen 25.5.2018 4. Dokumentaatio • Osoitusvelvollisuuden täyttäminen edellyttää riittävää dokumentointia, esimerkiksi järjestelmien tietoturvaloukkauksista ilmoittamisen ja sisäisten prosessien osalta 30.8.2017 10
  11. 11. Miten tietosuoja-asetukseen pitää valmistautua?
  12. 12. E R O O N P A P E R E I S T A Miten tietosuoja-asetukseen pitää valmistautua?  Yhdeksän askelta, joilla saat yrityksesi asetuksen mukaiseen kuntoon: 1. Selvitä, mitä henkilötietoja yrityksessänne käsitellään 2. Perehdy uusiin vaatimuksiin yrityksenne näkökulmasta 3. Hyödynnä tilaisuus kehittää liiketoimintaanne 4. Aseta tavoitetila henkilötietojen suojalle ja tietoturvalle 5. Suunnittele tarvittavat muutokset järjestelmiin infraan ja käytäntöihin 6. Toteuta tarvittavat muutokset 7. Varaudu tietoturvaloukkauksiin ja odottamattomiin tilanteisiin. 8. Kehitä valmius pysyä ajan tasalla. 9. Aloita jo tänään! 30.8.2017 12
  13. 13. E R O O N P A P E R E I S T A 1. Selvitä, mitä henkilötietoja yrityksessänne käsitellään  Tunnista, mitä henkilötietoja yrityksessänne on käytössä  Selvitä, missä tiedot sijaitsevat ja millä järjestelmillä niitä käsitellään. Huomioi myös esimerkiksi:  Excelit  Sähköpostit  Paperiarkistot  Skannatut dokumentit  Valvontakameradata  Huomioi mahdollinen rajat ylittävä tiedonsiirto.  Luo kokonaiskuva siitä, kuka tietoja käsittelee. Miten ja miksi? Tarve on saattanut muuttua tai poistua kokonaan. Selvitä lailliset perusteet henkilötietojen käsittelylle ja määrittele keiden vastuulla niiden suojaaminen yrityksessäsi on. 30.8.2017 13
  14. 14. E R O O N P A P E R E I S T A 2. Perehdy uusiin vaatimuksiin yrityksenne näkökulmasta  Muodosta kokonaiskuvan pohjalta käsitys uudistuksen asettamista muutostarpeista.  Selvitä, mitä muutoksia vaatimus sisäänrakennetusta ja oletusarvoisesta tietosuojasta edellyttää teiltä. Arvioi, mitä tietosuojaperiaatteiden (kuten käyttötarkoitussidonnaisuus, tietojen minimointi ja tietojen eheys) toteuttaminen käytännössä tarkoittaa.  Huomioi osoitusvelvollisuus ja valmistaudu dokumentoimaan tehdyt ratkaisut, päätökset, toimintamalli, järjestelmät ja käsittelytoimenpiteet. Selvitä, miten rekisteröityjen uudet oikeudet vaikuttavat toimintaanne ja valmistaudu vastaamaan uusiin viranomaisvelvoitteisiin. 30.8.2017 14
  15. 15. E R O O N P A P E R E I S T A 3. Hyödynnä tilaisuus kehittää liiketoimintaanne  Asetukseen valmistauduttaessa yritys joutuu läpivalaisuun, koska henkilötietoja käsitellään isossa osassa yrityksen toimintoja.  Hyödynnä tehtävää työtä niin, että valmistautuminen ei olekaan pelkkä kuluerä vaan hanke, jonka tuloksena yrityksesi toimii entistä tehokkaammin.  Koska asetuksen velvoitteiden täyttäminen todennäköisesti vaatii muutoksia toimintatapoihin, järjestelmiin ja tietotekniikkaan, hyödynnä samalla tilaisuus karsia turhia rönsyjä ja ei-tuottavaa työtä ja ottaa käyttöön järjestelmiä ja tekniikkaa, jotka paitsi täyttävät velvoitteet, myös alentavat kustannuksia ja virtaviivaistavat yrityksesi toimintaa. 30.8.2017 15
  16. 16. E R O O N P A P E R E I S T A 4. Aseta tavoitetila henkilötietojen suojalle ja tietoturvalle  Tee riskien arviointi ja tunnista korkean riskin kohteet. Määrittele tietojen elinkaari ja suunnittele asianmukaiset suojatoimet.  Ota huomioon käytettävissäsi oleva tekniikka, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys, tarkoitukset ja riskit.  Selvitä mahdolliset toimialakohtaiset käytännesäännöt, testaaminen, sertifioinnit ja auditoinnit. 30.8.2017 16
  17. 17. E R O O N P A P E R E I S T A 5. Suunnittele tarvittavat muutokset järjestelmiin infraan ja käytäntöihin  Suunnittele, miten ja millä aikataululla tavoitetilaan päästään käytännössä.  Selvitä yksityiskohdat liittyen tarvittaviin muutoksiin tietojärjestelmiin, laitteisiin ja verkkoyhteyksiin.  Suunnittele, miten yrityksesi käytännössä toimii uusien vaatimusten mukaisesti: selvitä tarvittavat muutokset käytäntöihin, organisaatioon, rooleihin, vastuihin, oikeuksiin, ohjeisiin ja muuhun dokumentaatioon.  Aikatauluta tehtävät ja päätä kenen vastuulla kukin tehtävä on. 30.8.2017 17
  18. 18. E R O O N P A P E R E I S T A 6. Toteuta tarvittavat muutokset  Vie suunnitelma käytäntöön ja toteuta muutokset asetuksen aikataulu huomioiden.  Teetä tarvittavat muutokset järjestelmiin, laitteisiin ja verkkoyhteyksiin. Testaa muutokset ja ota uudistetut järjestelmät käyttöön.  Toteuta suunnitellut muutokset organisaatioon, rooleihin ja vastuisiin. Tuota ohjeet henkilökunnalle ja kouluta henkilöstö uusiin käytäntöihin ja työtapoihin.  Tiedota hankkeen etenemisestä tarpeen mukaan työntekijöitä. Asiakkaita ja muita sidosryhmiä, jotka joko käsittelevät tietoja tai joiden tietoja käsitellään. 30.8.2017 18
  19. 19. E R O O N P A P E R E I S T A 7. Varaudu tietoturvaloukkauksiin ja odottamattomiin tilanteisiin  Hyvään riskienhallintaan kuuluu luoda toimintasuunnitelma erilaisia odottamattomia tilanteita varten.  Paitsi tietovarkauksista ja –murroista, näitä tilanteita voi syntyä mm. tulipalon, vesivahingon, omaisuusrikoksen, vahingonteon tai laite- tai kaapelirikon seurauksena.  Kehitä valmiudet havaita tietosuojaloukkaukset ja luo suunnitelma näiden tilanteiden varalle. Sisällytä suunnitelmaan ohjeet viranomaisyhteydenpitoon, asiakkaille viestimiseen ja mediaraportointiin.  Tee myös suunnitelmat odottamattomista tilanteista palautumiseen (tietojen palautus jne.). Varmista, että henkilöt, joiden tehtävänä on toimia näissä tilanteissa, ymmärtävät, mitä pitää tehdä. 30.8.2017 19
  20. 20. E R O O N P A P E R E I S T A 8. Kehitä valmius pysyä ajan tasalla  Liiketoiminnan digitalisoituessa yritykseen ulkoa tulevien muutospaineiden tiheys kasvaa ja reagointiaika lyhenee.  Yrityksen järjestelmien verkottuessa laitteiden, ohjelmistojen ja palveluiden kehitys avaa mahdollisuuksia myös rikollisille ja kiusantekijöille.  Kehitä itsellesi valmius pysyä mukana muutoksissa ja reagoida niin, että liiketoimintasi ei kärsi. Nimeä henkilö, jonka vastuulla on arvioida edellä kuvatut asiat – mahdollisesti käyttäen ulkopuolista auditointia tai apua – säännöllisin väliajoin uudestaan. 30.8.2017 20
  21. 21. E R O O N P A P E R E I S T A 9. Aloita jo tänään!  Apua asioiden edistämisessä voit saada esimerkiksi meiltä ja lisäksi kannattaa tutustua seuraaviin kohteisiin:  Asetuksen teksti  Oikeusministeriön työryhmän ehdotus kansallisista täsmennyksistä  Tietosuojavaltuutetun toimiston verkkosivut  Tietosuojavaltuutetun toimiston rekisterinpitäjille suunnattu opas ”Miten valmistautua EU:n tietosuoja-asetukseen?”  Valtionvarainministeriön VAHTI-raportti 1/2016 EU-tietosuojan kokonaisuudistuksesta julkisen hallinnon ICT:ssä  Keskuskauppakamarin tietoturvaopas yrityksille 30.8.2017 21
  22. 22. E R O O N P A P E R E I S T A Mitä pitikään muistaa? 30.8.2017 22
  23. 23. E R O O N P A P E R E I S T A 30.8.2017 23 9 • Aloita jo tänään! • Seuraavaksi esittelemme miten saat valtavan helpotuksen tekemiseesi:
  24. 24. Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan?
  25. 25. E R O O N P A P E R E I S T A Nyt on mahdollisuus kehittää omaa toimintaa TOIMINTATAPAUUDISTUS TEHOSTAMINEN Mistä löydän oikeat ja brändinmukaiset sisällöt dokumentteihin? Miten dokumenttien ja sisältöjen laatu varmistetaan? Mitkä ja missä ovat keskeiset dokumenttipohjat? Minne tallennan luomani dokumentit niin että muutkin löytävät ne? Ovatko sisällöt varmasti ajan tasalla? Mihin järjestelmiin pitää viedä kulloisenkiin toimeen liittyvää tietoa? 30.8.2017 25
  26. 26. E R O O N P A P E R E I S T A 30.8.2017 26Missä Document House on hyvä? Compliance Määräysten, säädöksien ja ohjeiden mukaan toimiminen Brand & Content Yritysilmeen ja asiakirjasisällön johtaminen Sustainability Ympäristöarvojen ja kestävän kehityksen varmistaminen E R O O N P A P E R E I S T A
  27. 27. E R O O N P A P E R E I S T A Mitkä asiat ratkaisemme EU:n tietosuoja- asetukseen liittyen? Dokumenttikanta ”GDPR Approved” 1. Paperi- arkistojen digitointi metatiedoilla GDPR-OK Posti, sähköposti, ym. ulkoa tuleva tieto 2. Saapuvien dokumenttien metatiedot- taminen GDPR-OK Arkistot GDPR-OK 3. Uusien dokumenttien tuottaminen metatiedoilla Henkilöstö 30.8.2017 27
  28. 28. E R O O N P A P E R E I S T A Paperiarkistojen digitointi  Digitoimalla paperinen arkisto päästään merkittäviin kustannussäästöihin, ympäristöystävällisesti sekä saadaan tieto mm. EU:n tietosuoja-asetuksen vaatimusten mukaisesti toteutettua  Yksinkertaisuus: digitoitu arkisto on käytettävissä missä ja milloin vain  Mitattavuus: hyllymetrit ja neliöt muuttuvat biteiksi  Tehokkuus: tiedonhakuaika nopeutuu tunneista sekunteihin  Käytettävyys: tieto yhdessä muodossa, helposti hyödynnettävissä 30.8.2017 28
  29. 29. E R O O N P A P E R E I S T A Digitointiprosessi, jossa huomioidaan EU:n tietosuoja-asetus 30.8.2017 29 1. Lähdeaineiston vastaanotto 2. Aineiston tarkistus 3. Aineiston esikäsittely 4. Kuvantaminen 5. Lähdeaineiston jälkikäsittely •Arkistointi •Palautus •Tietoturvallinen tuhoaminen 6. Kuvanparannus 7. Indeksointi eli tietojen poiminta 8. Laadun tarkistus - oikeellisuus 9. Toimitus 10 . Työn sulkeminen - Raportointi
  30. 30. E R O O N P A P E R E I S T A Saapuvien tietojen vieminen järjestelmiin EU:n tietosuoja-asetuksen vaatimukset huomioiden 30.8.2017 30
  31. 31. Uusien dokumenttien luonti
  32. 32. E R O O N P A P E R E I S T A EU:n tietosuoja-asetusratkaisu on työkaluissa, jotka teillä on jo todennäköisesti käytössä Ohjattu luonti Ohjattu tallennus Tietointegroitavuus Sisältöpankki Automaattipäivitys Kehityskanava 30.8.2017 32
  33. 33. E R O O N P A P E R E I S T A Onko ratkaisun käyttäminen vaikeaa? Käyttöliittymä / Word: Tuoteominaisuudet: Ohjattu luonti Automaattipäivitys Ohjattu tallennus Sisältöpankki Kehityskanava Tietointegroitavuus …myös Powerpoint ja Excel 30.8.2017 33
  34. 34. E R O O N P A P E R E I S T A Käytännön esimerkki - etätyösopimus 29.8.2017 34 3 2 1 4 5
  35. 35. E R O O N P A P E R E I S T A Käytännön esimerkki - etätyösopimus 29.8.2017 35 6 7 Etc…
  36. 36. Arvoisa osallistuja: Kiitos osallistumisestasi ja mukavaa päivänjatkoa! Toimitamme Sinulle webinaaritallenteen lähiaikoina.
  37. 37. E R O O N P A P E R E I S T A Yhteystiedot  Kaj Seeste  kaj.seeste@documenthouse.fi  0400 928 169  Erkki-Jussi Welling  erkki-jussi.welling@documenthouse.fi  040 730 9051  Markus Myhrberg  markus.myhrberg@lexia.fi  040 505 5343 30.8.2017 37

×