SlideShare una empresa de Scribd logo
1 de 36
Descargar para leer sin conexión
Käsittelytoimien luettelo ja
tietosuojainformaation
vaatimukset
16.12.2022
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
“
”Tietosuojasta huolehditaan, jotta
jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten
niitä voidaan käyttää.”
2
Rekisterinpitäjän vastuulla olevat selosteet
GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
▪ ”Rekisteriseloste”
▪ Organisaation sisäinen (ei-julkinen)
▪ Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
▪ Kattaa yleensä kaiken henkilötietojen
käsittelyn organisaatiossa
▪ Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
▪ Yleensä tietosuojavastaava ylläpitää
▪ Erilainen rekisterinpitäjällä ja
henkilötietojen käsittelijällä
2. Rekisteröityjen informointi
▪ ”Tietosuojaseloste”
▪ Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
▪ Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
▪ Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
▪ Sisältää myös rekisteröityjen oikeudet
▪ Rekisterinpitäjä laatii
4
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
5
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
henkilötietojen käsittelyn
selosteesta ja rekisteröityjen
informoinnista.
Rekisteröidylle ei saa yllätyksiä, mitä
tietoja ja miten hänestä käsitellään.
Oikeus-
peruste
Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
6
Rekisterinpitäjän seloste käsittelytoimista ja rekisteröityjen ryhmät
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
7
GDPR ohjaa käsittelemään
rekisteröityjä organisaation
tasolla ryhminä eri
käsittelytarkoitusten mukaan,
ei erillisinä rekistereinä.
▪ Yli 250 työntekijän organisaatio → seloste on pakollinen
▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos
▪ henkilötietojen käsittely ei ole satunnaista
▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille
▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
▪ Selosteen muoto on vapaa (kuvassa Tietosuojavaltuutetun malli)
Kuvaa käsittelytoimet ja henkilötiedot ryhmittäin
8
▪ 1. Kuvaa ryhmät (tai rekisterit), joiden henkilötietoja käsitellään
▪ Esim. asiakkaat, työntekijät, markkinointirekisterissä olevat, opiskelijat, potilaat
▪ 2. Kuvaa, mihin tarkoituksiin henkilötietoja käsitellään
▪ Esim. asiakassuhde, työsuhde, markkinointi, opetus, terveyspalvelut
▪ Nyrkkisääntö: kuvaa sitä tarkemmin, mitä epätavanomaisempi käyttötarkoitus on
▪ 3. Kuvaa henkilötietoryhmät eli mitä henkilötietoja käsitellään
▪ Esim. yksilöintitiedot kuten nimi ja syntymäaika, yhteystiedot, tiedot asiakkaan
tilaamista palveluista, niiden toimittamisesta ja laskuttamisesta
▪ Yleensä tietojen kategoriataso riittää, esim. ”yhteystiedot” sen sijaan, että luetellaan
”sähköpostiosoite, puhelinnumero, katuosoite, postinumero ja -toimipaikka”
Lähde: TSV, Rekisterinpitäjän seloste käsittelytoimista, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
Henkilötietojen vastaanottajat
9
▪ Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja siirretään tai luovutetaan.
▪ Yhteisrekisterinpitäjät
▪ Henkilötietojen käsittelijät
▪ Muut, joille tietoja luovutetaan esim. henkilö, yritys, yhdistys, viranomainen
▪ Kerro kunkin vastaanottajan tyyppi (esim. mitä käsittelyä tekee), toimiala ja sijainti.
▪ Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle.
▪ Lakiin perustuvaa tietojen luovutusta viranomaisille (esim. tilastotiedot) ei tarvitse kuvata
rekisteriselosteessa, koska heitä ei pidetä GDRP:n tarkoittamina vastaanottajina.
▪ Kuvaa tietojen siirrot EU:n ulkopuolelle tai kansainväliselle järjestölle. Selosteessa tulee
kertoa GDPR:n mukainen siirtoperuste:
▪ EU-komission hyväksymät maat (artikla 45)
Andorra, Argentiina, Kanada (kaupall. org.), Färsaaret, Guernsey, Israel, Mansaari, Jersey,
Uusi-Seelanti, Etelä-Korea, Iso-Britannia, Sveitsi, Uruguay
▪ Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46)
▪ Yritystä koskevat sitovat säännöt (artikla 47)
▪ Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49)
Lähde: TSV, Rekisterinpitäjän seloste käsittelytoimista, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
EU:n hyväksymät maat: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Vastaanottajien kartoitus on
usein työläs tehtävä…
10
Henkilötietojen käsittelijän seloste käsittelytoimista
11
Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa käsittelijälle henkilötietoja
tiettyä tarkoitusta varten
Rekisteröidyn informointi
(13 artikla)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
Seloste käsittelytoimista
(30 artikla)
Mahdolliset muut käsittelijät
12
Sopimus henkilötietojen käsittelystä
13
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
Milloin henkilötietojen käsittelijän on tehtävä seloste käsittelytoimista?
14
▪ 1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää
▪ Selosteen on tällöin katettava kaikki käsittelytoimet.
▪ 2. Seloste käsittelytoimista on tehtävä myös, kun henkilötietojen käsittely:
▪ aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
▪ ei ole satunnaista tai
▪ käsiteltävät henkilötiedot sisältävät erityisiä henkilötietoryhmiä tai rikostuomioihin
ja rikkomuksiin liittyviä henkilötietoja.
▪ Satunnaista käsittelyä ei tarvitse sisällyttää selosteeseen, ellei siihen ole muuta
perustetta, kuten todennäköinen riski rekisteröityjen oikeuksille ja vapauksille tai
erityiset henkilötietoryhmät.
▪ Seloste on henkilötietojen käsittelijän sisäiseen käyttöön ja annettava tarvittaessa
valvontaviranomaiselle. Ei tarvitse julkaista.
Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
Henkilötietojen käsittelijän selosteen sisältö
15
▪ Käsittelijän tai tämän edustajan nimi ja yhteystiedot
▪ Tietosuojavastaava nimi ja yhteystiedot
▪ Rekisterinpitäjien tai näiden edustajien nimet ja
yhteystiedot
▪ Viittaus rekisterinpitäjien kanssa tehtyihin sopimuksiin
▪ Rekisterinpitäjien lukuun suoritettavat käsittelyiden ryhmät
▪ Tiedot henkilötietojen siirroista kolmanteen maahan tai
kansainväliselle Järjestölle
▪ Kuvaus teknisistä ja organisatorisista turvatoimista
Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
Rekisteröityjen informointi
16
Rekisteröityjen informointi
17
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi hoitaa
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
Rekisteröityjen informoinnin sisältö
Lähde: TSV, 2018, Informointivelvoitteen edellyttämät tiedot, https://tietosuoja.fi/documents/6927448/8214536/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot/419957bd-
fd5a-4090-9c64-cf4769b10570/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot.pdf/
18
Tieto GDPR:n artiklat Tarkoitus
Rekisterinpitäjän ja mahdollisen edustajan nimi ja
yhteystiedot
13.1(a), 14.1(a) Yhteydenotto rekisterinpitäjään
Tietosuojavastaavan yhteystiedot 13.1(b), 14.1(b) Yhteydenotto tietosuojavastaavaan
Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn
oikeusperuste
13.1(c), 14.1(c) Tietoa käsittelystä
Jos käsittely perustuu oikeutettuun etuun, rekisterinpitäjän
tai kolmannen osapuolen oikeutetut edut
13.1(d), 14.2(b) Oikeutettujen etujen lainmukaisuuden osoitus
rekisteröidylle. Tasapainotestin suoritus.
Henkilötietoryhmät 14.1(d) Tiedot, joita ei ole saatu suoraan rekisteröidyltä
Henkilötietojen vastaanottajat 13.1(e), 14.1(e) Tietoa käsittelystä
Tietojen siirrot kolmansiin maihin, siirtoperusteista ja
käytettävistä suojatoimista
13.1(f), 14.1(f) Tietoa käsittelystä
Henkilötietojen säilyttämisaika tai sen kriteerit 13.2(a), 14.2(a) Tietoa käsittelystä, minimointiperiaate
Rekisteröidyn oikeudet
Oikeus peruuttaa suostumus
Oikeus tehdä valitus valvontaviranomaiselle
13.2(b), 14.2(c),
13.2(c), 14.2(d),
13.2(d), 14.2(e)
Tiivistelmä rekisteröidyn oikeuksista, ohjeet
suostumuksen peruuttamiseen ja tietoa valituksen
teosta
Onko henkilötietoja annettava lain tai sopimuksen teon
vuoksi
13.2(e) Tietoa käsittelystä
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde 14.2(f) Tietoa käsittelystä
Käytetäänkö automaattista päätöksentekoa tai profilointia 13.2(f), 14.2(g) Tietoa käsittelystä
REKIST. OIKEUDET
OIKEUSPERUSTEEN
MUKAAN
Suostumus Sopimus Lakisääteiset
velvoitteet
Yleinen etu tai
julkinen tehtävä
Rekisterinpitäjän
oikeutettu etu
Elintärkeiden
etujen
suojaaminen
Oikeus saada tietoa
henkilötietojen
käsittelystä
Kyllä Kyllä Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä, ellei kyse ole
laissa olevasta
poikkeuksesta
Kyllä Kyllä
Oikeus saada pääsy
tietoihin
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus poistaa tiedot Kyllä, perumalla
suostumuksen
Kyllä, jos tietoja ei
enää tarvita sop.
Ei Ei Kyllä Kyllä
Oikeus rajoittaa
tietojen käsittelyä
Kyllä Kyllä Ei Kyllä Kyllä Kyllä
Oikeus vastustaa
tietojen käsittelyä
Ei Ei Ei Kyllä Kyllä Ei
Oikeus siirtää tiedot
järjestelmästä toiseen
Kyllä Kyllä Ei Ei Ei Ei
Oikeus olla joutumatta
autom. päätöksenteon
kohteeksi ilman laillista
perustetta
Kyllä, mutta
rekisteröity voi
antaa
suostumuksen
automaattiseen
päätöksentekoon
Kyllä, paitsi jos
autom. päät. on
välttämätöntä
sopimuksen tekoon
tai täyttämiseen
Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
Rekisteröityjen pyyntöihin vastaaminen
20
▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
▪ Rekisteröidyn tulee yksilöidä pyyntönsä:
▪ Nimi ja yhteystiedot
▪ Mitä tietoja pyyntö koskee
▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
▪ Missä muodossa haluaa tiedot
▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
Tarkastusoikeuden rajoittaminen
21
▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin
kuin se on välttämätöntä:
▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien
syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan
haitan välttämiseksi
▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi
▪ yleisen turvallisuuden suojelemiseksi
▪ kansallisen turvallisuuden suojelemiseksi
▪ muiden henkilöiden oikeuksien suojelemiseksi
▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä
tarkastaa tätä koskevien tietojen lainmukaisuuden.
▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle.
▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle.
▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi,
rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
Kysymys: montako eri tietosuojaselostetta?
22
▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä
rekisteröityjen ryhmiä ja henkilötietoja.
▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen
tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin.
▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste.
▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista
tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan
yksityiskohtaisemmin esimerkiksi eri tietoryhmistä.
▪ Ylätason tietosuojaselosteen tulee sisältää:
▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet.
▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä.
▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä.
Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
• Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja
tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri
tietosuojaselosteet?
Riskiarviointi ja kuvaus suojatoimista
Henkilötietojen
käsittelyn määrittely
(peruste, tarkoitukset ja
keinot)
Rekisteröidyille ja
heidän oikeuksiinsa
kohdistuvan riskin
arviointi
Tasapainotesti, jos
käsittelyn perusteena on
oikeutettu etu
Vaikutustenarviointi, jos
henkilötietojen
käsittelyyn voi kohdistua
korkea riski
Tietosuojan varmistavat
tekniset ja
organisatoriset
suojatoimet
Rekisterinpitäjän seloste
käsittelytoimista
Rekisteröityjen
informointi
Sopimukset ja ohjeet
henkilötietojen
käsittelijöille
Seuranta ja kehitys
Henkilötietojen käsittelyn riskienhallinta
24
Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-
asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja.
▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää.
▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset
suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta.
▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja.
▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
▪ Riski voi olla korkeampi, kun
▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset)
▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi)
▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta.
25
Esimerkkejä henkilötietoihin liittyvistä riskeistä
26
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
27
Henkilötietoihin kohdistuvan riskin taso
28
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA)
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista
▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen
henkilön oikeuksien ja vapauksien kannalta korkean riskin”
▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea.
▪ Suositeltavaa myös epäselvissä tapauksissa.
▪ Vaikutustenarviointi tulee tehdä erityisesti, kun:
▪ otetaan käyttöön uutta teknologiaa
▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä
▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista
▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta
▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi:
▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät
▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla
valvontaviranomaista (nk. ennakkokuuleminen).
▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti.
▪ Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-
9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
29
TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi
Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen
30
• Päätös olla käsittelemättä tietyn tyyppisiä tietoja
• Käsittelyn kohteen täsmentäminen tai rajaaminen
• Säilytysaikojen lyhentäminen
• Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto
• Henkilötietojen anonymisointi tai pseudonymisointi
• Kirjallisten käsittelyohjeiden käyttöönotto
• Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin
• Toisenlaisen tekniikan käyttäminen
• Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto
• Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista
• Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
Tekniset ja organisatoriset suojatoimet
31
Hallinto ja toimintakulttuuri
• Tietosuoja ja sen
läpinäkyvyys on keskeinen
osa toimintaperiaatteita
• Tietoturvapolitiikka ja sen
käytännöt on määritelty
• Seloste käsittelytoimista ja
informointi rekisteröidyille
tehty
• Rekisteröityjen pyyntöihin
on varauduttu
Henkilöstön toimintamallit
• Henkilöstön roolit ja vastuut
on määritelty
• Salassapitovelvollisuus
• Koulutukset ja uusien
työntekijöiden perehdytys
• Työsuhteiden päättymiselle
on toimintamalli
• Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
• Henkilötietojen käsittelylle
on selvät ohjeistukset
• Suostumukset ja kiellot
huomioitu toiminnassa
• Tietosuoja on huomioitu
mm. netin, sähköpostin ja
somen käyttöohjeissa
• Rekisteröidyt voivat hallita
itse tietojaan
• Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
• Tiloihin pääsy on valvottua
ja avaimista pidetään kirjaa
• Ulkopuolisten pääsy
henkilöstön työpisteisiin on
estetty
• Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä ilmoitetaan
• Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
• Rekisteröidyt tunnistetaan,
kun tietoja kerätään
• Rekisteröidyt tunnistetaan,
kun he käyttävät
oikeuksiaan
• Asiointi tapahtuu ennalta
nimettyjen henkilöiden
kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso
ja palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Kuvaus teknisistä ja organisatorisista turvatoimista
32
▪ Kerro selosteessa esimerkiksi:
▪ millä tavoilla tiedot on suojattu organisaation ulkopuolisilta
▪ miten käyttöoikeudet on rajattu organisaation sisällä
▪ millä tavalla käyttöä valvotaan
▪ Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista,
joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation
sisäistä informaatiota voidaan liittää tähän yhteyteen.
▪ Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi
tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille.
Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
33
▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen
käsittelyssä ei ole estettä.
▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä
on tällöin rekisterinpitäjällä.
▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
▪ Jos esim. Google- tai MS Forms-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää
lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation Google Workspacessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
Lakisääteisiin tehtäviin suostumus ei sovellu.
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
34
▪ Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
35
36
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

Más contenido relacionado

La actualidad más candente

Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 

La actualidad más candente (20)

Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Tietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 

Similar a Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset

Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaSuomen metsäkeskus
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleHarto Pönkä
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 

Similar a Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset (20)

Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Mita tsa muutti suomessa
Mita   tsa muutti suomessaMita   tsa muutti suomessa
Mita tsa muutti suomessa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
EU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössäEU:n tietosuoja-asetus käytännössä
EU:n tietosuoja-asetus käytännössä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuojasta ym.
Tietosuojasta ym.Tietosuojasta ym.
Tietosuojasta ym.
 

Más de Harto Pönkä

Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenHarto Pönkä
 

Más de Harto Pönkä (20)

Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
 
Informaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
 

Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset

  • 1. Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset 16.12.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 2
  • 4. GDPR:n mukaiset selosteet 1. Seloste käsittelytoimista ▪ ”Rekisteriseloste” ▪ Organisaation sisäinen (ei-julkinen) ▪ Pakollinen yli 250 hengen organisaatioissa ja mm. silloin, kun henkilötietojen käsittely on jatkuvaa ▪ Kattaa yleensä kaiken henkilötietojen käsittelyn organisaatiossa ▪ Henkilötietojen käsittelyn osoitusvelvollisuuden perusta ▪ Yleensä tietosuojavastaava ylläpitää ▪ Erilainen rekisterinpitäjällä ja henkilötietojen käsittelijällä 2. Rekisteröityjen informointi ▪ ”Tietosuojaseloste” ▪ Julkinen / oltava saatavilla tilanteessa, jossa henkilötietoja saadaan, tai toimitettava rekisteröidylle kk:n sisällä ▪ Tarkoittaa kaikkea rekisteröidyille kerrottavaa tietoa h.t. käsittelystä ▪ Voi kattaa kaikki eri rekisterit tai olla rekisterikohtainen ▪ Sisältää myös rekisteröityjen oikeudet ▪ Rekisterinpitäjä laatii 4
  • 5. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 5 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä henkilötietojen käsittelyn selosteesta ja rekisteröityjen informoinnista. Rekisteröidylle ei saa yllätyksiä, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 6. Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 6
  • 7. Rekisterinpitäjän seloste käsittelytoimista ja rekisteröityjen ryhmät Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista 7 GDPR ohjaa käsittelemään rekisteröityjä organisaation tasolla ryhminä eri käsittelytarkoitusten mukaan, ei erillisinä rekistereinä. ▪ Yli 250 työntekijän organisaatio → seloste on pakollinen ▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos ▪ henkilötietojen käsittely ei ole satunnaista ▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille ▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja ▪ Selosteen muoto on vapaa (kuvassa Tietosuojavaltuutetun malli)
  • 8. Kuvaa käsittelytoimet ja henkilötiedot ryhmittäin 8 ▪ 1. Kuvaa ryhmät (tai rekisterit), joiden henkilötietoja käsitellään ▪ Esim. asiakkaat, työntekijät, markkinointirekisterissä olevat, opiskelijat, potilaat ▪ 2. Kuvaa, mihin tarkoituksiin henkilötietoja käsitellään ▪ Esim. asiakassuhde, työsuhde, markkinointi, opetus, terveyspalvelut ▪ Nyrkkisääntö: kuvaa sitä tarkemmin, mitä epätavanomaisempi käyttötarkoitus on ▪ 3. Kuvaa henkilötietoryhmät eli mitä henkilötietoja käsitellään ▪ Esim. yksilöintitiedot kuten nimi ja syntymäaika, yhteystiedot, tiedot asiakkaan tilaamista palveluista, niiden toimittamisesta ja laskuttamisesta ▪ Yleensä tietojen kategoriataso riittää, esim. ”yhteystiedot” sen sijaan, että luetellaan ”sähköpostiosoite, puhelinnumero, katuosoite, postinumero ja -toimipaikka” Lähde: TSV, Rekisterinpitäjän seloste käsittelytoimista, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
  • 9. Henkilötietojen vastaanottajat 9 ▪ Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja siirretään tai luovutetaan. ▪ Yhteisrekisterinpitäjät ▪ Henkilötietojen käsittelijät ▪ Muut, joille tietoja luovutetaan esim. henkilö, yritys, yhdistys, viranomainen ▪ Kerro kunkin vastaanottajan tyyppi (esim. mitä käsittelyä tekee), toimiala ja sijainti. ▪ Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle. ▪ Lakiin perustuvaa tietojen luovutusta viranomaisille (esim. tilastotiedot) ei tarvitse kuvata rekisteriselosteessa, koska heitä ei pidetä GDRP:n tarkoittamina vastaanottajina. ▪ Kuvaa tietojen siirrot EU:n ulkopuolelle tai kansainväliselle järjestölle. Selosteessa tulee kertoa GDPR:n mukainen siirtoperuste: ▪ EU-komission hyväksymät maat (artikla 45) Andorra, Argentiina, Kanada (kaupall. org.), Färsaaret, Guernsey, Israel, Mansaari, Jersey, Uusi-Seelanti, Etelä-Korea, Iso-Britannia, Sveitsi, Uruguay ▪ Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46) ▪ Yritystä koskevat sitovat säännöt (artikla 47) ▪ Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49) Lähde: TSV, Rekisterinpitäjän seloste käsittelytoimista, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista EU:n hyväksymät maat: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
  • 10. Vastaanottajien kartoitus on usein työläs tehtävä… 10
  • 12. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa käsittelijälle henkilötietoja tiettyä tarkoitusta varten Rekisteröidyn informointi (13 artikla) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen Seloste käsittelytoimista (30 artikla) Mahdolliset muut käsittelijät 12
  • 13. Sopimus henkilötietojen käsittelystä 13 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
  • 14. Milloin henkilötietojen käsittelijän on tehtävä seloste käsittelytoimista? 14 ▪ 1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää ▪ Selosteen on tällöin katettava kaikki käsittelytoimet. ▪ 2. Seloste käsittelytoimista on tehtävä myös, kun henkilötietojen käsittely: ▪ aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai ▪ ei ole satunnaista tai ▪ käsiteltävät henkilötiedot sisältävät erityisiä henkilötietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. ▪ Satunnaista käsittelyä ei tarvitse sisällyttää selosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröityjen oikeuksille ja vapauksille tai erityiset henkilötietoryhmät. ▪ Seloste on henkilötietojen käsittelijän sisäiseen käyttöön ja annettava tarvittaessa valvontaviranomaiselle. Ei tarvitse julkaista. Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
  • 15. Henkilötietojen käsittelijän selosteen sisältö 15 ▪ Käsittelijän tai tämän edustajan nimi ja yhteystiedot ▪ Tietosuojavastaava nimi ja yhteystiedot ▪ Rekisterinpitäjien tai näiden edustajien nimet ja yhteystiedot ▪ Viittaus rekisterinpitäjien kanssa tehtyihin sopimuksiin ▪ Rekisterinpitäjien lukuun suoritettavat käsittelyiden ryhmät ▪ Tiedot henkilötietojen siirroista kolmanteen maahan tai kansainväliselle Järjestölle ▪ Kuvaus teknisistä ja organisatorisista turvatoimista Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
  • 17. Rekisteröityjen informointi 17 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi hoitaa viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 18. Rekisteröityjen informoinnin sisältö Lähde: TSV, 2018, Informointivelvoitteen edellyttämät tiedot, https://tietosuoja.fi/documents/6927448/8214536/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot/419957bd- fd5a-4090-9c64-cf4769b10570/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot.pdf/ 18 Tieto GDPR:n artiklat Tarkoitus Rekisterinpitäjän ja mahdollisen edustajan nimi ja yhteystiedot 13.1(a), 14.1(a) Yhteydenotto rekisterinpitäjään Tietosuojavastaavan yhteystiedot 13.1(b), 14.1(b) Yhteydenotto tietosuojavastaavaan Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste 13.1(c), 14.1(c) Tietoa käsittelystä Jos käsittely perustuu oikeutettuun etuun, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut 13.1(d), 14.2(b) Oikeutettujen etujen lainmukaisuuden osoitus rekisteröidylle. Tasapainotestin suoritus. Henkilötietoryhmät 14.1(d) Tiedot, joita ei ole saatu suoraan rekisteröidyltä Henkilötietojen vastaanottajat 13.1(e), 14.1(e) Tietoa käsittelystä Tietojen siirrot kolmansiin maihin, siirtoperusteista ja käytettävistä suojatoimista 13.1(f), 14.1(f) Tietoa käsittelystä Henkilötietojen säilyttämisaika tai sen kriteerit 13.2(a), 14.2(a) Tietoa käsittelystä, minimointiperiaate Rekisteröidyn oikeudet Oikeus peruuttaa suostumus Oikeus tehdä valitus valvontaviranomaiselle 13.2(b), 14.2(c), 13.2(c), 14.2(d), 13.2(d), 14.2(e) Tiivistelmä rekisteröidyn oikeuksista, ohjeet suostumuksen peruuttamiseen ja tietoa valituksen teosta Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi 13.2(e) Tietoa käsittelystä Mistä henkilötiedot on saatu, mahdollinen julkinen lähde 14.2(f) Tietoa käsittelystä Käytetäänkö automaattista päätöksentekoa tai profilointia 13.2(f), 14.2(g) Tietoa käsittelystä
  • 19. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  • 20. Rekisteröityjen pyyntöihin vastaaminen 20 ▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun. ▪ Rekisteröidyn tulee yksilöidä pyyntönsä: ▪ Nimi ja yhteystiedot ▪ Mitä tietoja pyyntö koskee ▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta ▪ Missä muodossa haluaa tiedot ▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys. ▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa. ▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
  • 21. Tarkastusoikeuden rajoittaminen 21 ▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin kuin se on välttämätöntä: ▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi ▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi ▪ yleisen turvallisuuden suojelemiseksi ▪ kansallisen turvallisuuden suojelemiseksi ▪ muiden henkilöiden oikeuksien suojelemiseksi ▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa tätä koskevien tietojen lainmukaisuuden. ▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle. ▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle. ▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi, rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
  • 22. Kysymys: montako eri tietosuojaselostetta? 22 ▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja henkilötietoja. ▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin. ▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. ▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietoryhmistä. ▪ Ylätason tietosuojaselosteen tulee sisältää: ▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. ▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä. ▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf • Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet?
  • 23. Riskiarviointi ja kuvaus suojatoimista
  • 24. Henkilötietojen käsittelyn määrittely (peruste, tarkoitukset ja keinot) Rekisteröidyille ja heidän oikeuksiinsa kohdistuvan riskin arviointi Tasapainotesti, jos käsittelyn perusteena on oikeutettu etu Vaikutustenarviointi, jos henkilötietojen käsittelyyn voi kohdistua korkea riski Tietosuojan varmistavat tekniset ja organisatoriset suojatoimet Rekisterinpitäjän seloste käsittelytoimista Rekisteröityjen informointi Sopimukset ja ohjeet henkilötietojen käsittelijöille Seuranta ja kehitys Henkilötietojen käsittelyn riskienhallinta 24
  • 25. Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja- asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf ▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja. ▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. ▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää. ▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta. ▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja. ▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. ▪ Riski voi olla korkeampi, kun ▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset) ▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti ▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi) ▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. ▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta. 25
  • 26. Esimerkkejä henkilötietoihin liittyvistä riskeistä 26 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 27. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit 27
  • 28. Henkilötietoihin kohdistuvan riskin taso 28 Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 29. Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista ▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin” ▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea. ▪ Suositeltavaa myös epäselvissä tapauksissa. ▪ Vaikutustenarviointi tulee tehdä erityisesti, kun: ▪ otetaan käyttöön uutta teknologiaa ▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä ▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista ▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta ▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi: ▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät ▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). ▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti. ▪ Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 29
  • 30. TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen 30 • Päätös olla käsittelemättä tietyn tyyppisiä tietoja • Käsittelyn kohteen täsmentäminen tai rajaaminen • Säilytysaikojen lyhentäminen • Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto • Henkilötietojen anonymisointi tai pseudonymisointi • Kirjallisten käsittelyohjeiden käyttöönotto • Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin • Toisenlaisen tekniikan käyttäminen • Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto • Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista • Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
  • 31. Tekniset ja organisatoriset suojatoimet 31 Hallinto ja toimintakulttuuri • Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita • Tietoturvapolitiikka ja sen käytännöt on määritelty • Seloste käsittelytoimista ja informointi rekisteröidyille tehty • Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit • Henkilöstön roolit ja vastuut on määritelty • Salassapitovelvollisuus • Koulutukset ja uusien työntekijöiden perehdytys • Työsuhteiden päättymiselle on toimintamalli • Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta • Henkilötietojen käsittelylle on selvät ohjeistukset • Suostumukset ja kiellot huomioitu toiminnassa • Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa • Rekisteröidyt voivat hallita itse tietojaan • Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta • Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa • Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty • Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan • Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen • Rekisteröidyt tunnistetaan, kun tietoja kerätään • Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan • Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia
  • 32. Kuvaus teknisistä ja organisatorisista turvatoimista 32 ▪ Kerro selosteessa esimerkiksi: ▪ millä tavoilla tiedot on suojattu organisaation ulkopuolisilta ▪ miten käyttöoikeudet on rajattu organisaation sisällä ▪ millä tavalla käyttöä valvotaan ▪ Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista, joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen. ▪ Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille. Lähde: TSV, Henkilötietojen käsittelijän seloste käsittelytoimista, https://tietosuoja.fi/henkilotietojen-kasittelijan-seloste-kasittelytoimista
  • 33. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 33 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google- tai MS Forms-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation Google Workspacessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 34. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. Lakisääteisiin tehtäviin suostumus ei sovellu. ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa. ▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 34
  • 35. ▪ Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 35