Osoitusvelvollisuus | Kaikilla yrityksillä on velvoite tehdä ja dokumentoida tietosuojatoimet.

GDPR PIKAKURSSI | SELVITÄ YRITYKSESI TIETOSUOJATASO TUNNNISSA!

TIETOSUOJA-ASETUKSEN VELVOITTEET PIENYRITTÄJÄLLE – OSA 1

Mitä osoitusvelvollisuus ja dokumentointivelvoite tarkoittaa?

Osoitusvelvollisuus on yksi GDPR-asetuksen olennaisimmista muutoksista verrattuna aikaisempaan tietosuojalakiin. Terminä osoitusvelvollisuus tarkoittaa sitä, että jokin taho on tilivelvollinen jonkin asian suhteen, ja että ulkopuolinen taho voi määrätä velvoitteen noudattamatta jättämisestä sanktion.

”Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen osoitusvelvollisuuden vaatimukset. Osoitusvelvollisuus tarkoittaa myös dokumentointivelvollisuutta, käytännössä tiettyjen toimenpiteiden tekemistä ja kirjaamista.”

Lähde: Tietosuojavaltuutetun toimisto os. tietosuoja.fi

 

Rekisterinpitäjän ja henkilötietojen käsittelijän täytyy pystyä erilaisin dokumentein osoittamaan, että se on huomioinut lainsäädännön velvoitteet toiminnassaan.

Osoitusvelvollisuus on yksi GDPR-asetuksen olennaisimmista muutoksista verrattuna aikaisempaan tietosuojalakiin. Terminä osoitusvelvollisuus tarkoittaa sitä, että jokin taho on tilivelvollinen jonkin asian suhteen, ja että ulkopuolinen taho voi määrätä velvoitteen noudattamatta jättämisestä sanktion.

 

Rekisteripitäjällä täytyy olla näyttöä siitä, että se

  • on aktiivisesti pyrkinyt tunnistamaan olemassa olevat tietosuoja- ja tietoturvariskit
  • toteuttaa tarpeellisia ja riittäviä teknisiä toimenpiteitä riskien minimoimiseksi
  • on tehnyt riittävät konkreettiset ja inhimilliset järjestelyt organisaation sisällä
  • kunnioittaa henkilötietojen kohteena olevien tietosuojaa.

 

GDPR – sakko ja sanktiot

Tietosuojaviranomaisella on valtuudet

  • antaa varoitus
  • antaa huomautus
  • määrätä vastaamaan rekisteröidyn pyyntöön
  • määrätä henkilötietojen oikaisusta tai poistosta
  • määrätä rekisterinpitäjä ilmoittamaan tietoturvaloukkauksesta rekisteröidylle
  • määrätä korjaavia toimenpiteitä
  • peruttaa sertifiointi
  • rajoittaa käsittelyä
  • asettaa keskeytysmääräys
  • määrätä kielto henkilötietojen siirtämiselle kolmansiin maihin, EU:n alueen ulkopuolelle.

Katso tästä D-Fence Oy:n keräämiä esimerkkejä Suomessa annetuista GDPR-sakoista.

Miten osoitat noudattavasi tietosuojasäädöksiä?

Mitä tietosuoja-asiakirjoja tarvitset osoitusvelvollisuuden todentamiseen?

Käytännössä yritykselle kannattaa laatia kattava tietoturvan- ja tietosuojan omavalvontasuunnitelma / tietoturvasuunnitelma, sekä tehdä tarvittavat liitteet, sopimukset ja ohjeistukset.

Kuvaukset tietosuojan toteutumisesta

  • tietojärjestelmien ja laitteiden suojauksen periaatteet, toteuttaminen ja seuranta
  • henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio
  • toimitilojen ja työtilojen tietosuojakäytännöt
  • henkilötietoja käsittelevien, ja mahdollisten yhteisrekisterinpitäjien roolit ja vastuut
  • sopimukset ja ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
  • seloste käsittelytoimista asiakirja viranomaisille

Rekisteröidyn oikeudet ja informointi

  • tietosuojaselosteet, ja niiden toimitus ja päivityskäytännöt
  • informointi- ja päivityskäytännöt käsittelyn aikana
  • tarkastus ja poistopyynnöt, sekä toimintaohjeet henkilöstölle
  • kieltojen ja suostumusten dokumentointi, sekä toimintaohjeet
  • tasapainotestit oikeutetun edun arvioimiseen

Riskit ja tietoturvaloukkaukset

  • menettely virhe-, ongelma- ja uhkatilanteessa
  • henkilötietojen tietoturvaloukkausten dokumentointi, sekä toimintaohjeet
  • koulutus kehittäminen ja osaamisen seuranta
  • mahdolliset riskit ja niihin varautuminen, sekä vaikutustenarvioinnit
  • kehittämiskohteet

Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio

  • tietosuojavastaavan rooli ja vastuut, sekä ohjeistaminen
  • tietosuojavastaavan palvelusopimus
  • tietosuojavastaavan yhteystietojen julkistaminen ja ilmoittaminen
  • dokumentit päätöksistä, joissa on poikettu tietosuojavastaavan suosituksista.

Tarkemman listan tarvittavista dokumenteista löydät Tietosuojavaltuutetun toimiston sivuilta: tietosuoja.fi/osoitusvelvollisuus

Kuten huomaat, useimpien yrittäjien tuntema tietosuojaseloste on vain pieni osa osoitusvelvollisuuden vaatimuksista. Sen lisäksi kannattaakin tehdä asiakirjat, joissa kuvataan muut lain vaatimat tiedot.

Asiakirjojen mallista tai ei ole mitään varsinaisia standardeja, sillä pääasia on, että ne sisältävät kaikki GDPR-asetuksen vaatimat tiedot. Osoitusvelvollisuuden laajuuteen vaikuttaa organisaation koko, henkilötietojen määrä ja käsiteltävien henkilötietojen tyyppi (arkaluontoisuus).

Osoitusvelvollisuus on syytä olla kunnossa, erityisesti mahdollisessa tietovuoto- tai tietomurtotapauksessa, sillä yritysjohto on aina vastuussa tietojen suojaamisesta. Kun voit osoittaa, että yrityksessäsi on tehty asianmukaiset tietosuojatoimet, voit välttyä sanktioilta myös tietovuodon sattuessa.

Hakkerit ovat aina edellä muita, eikä tietosuoja ole koskaan aukoton. Tavanomaisesti tietovuodot aiheutuvat kuitenkin virheiden tai huolimattomuuden seurauksena. Siksi tietosuojatoimet kannattaakin suunnitella ja toteuttaa huolellisesti.

 

GDPR helposti -palvelut | Laita osoitusvelvollisuus kuntoon verkkovalmennuksen tai tietosuojapaketin avulla!

GDPR kuntoon kuukaudessa | Premium-valmennus

Autan sinua hoitamaan yrityksesi tietoturva- ja tietosuoja-asiasi kuntoon niin, että voit olla turvallisin mielin, eikä sinun tarvitse pelätä viranomaisia, tai muuten olla epävarma siitä, teetkö asiat oikein.

Tämän Premium-valmennuksen jälkeen sinulla on kaikki tarvittavat asiakirjat kunnossa ja osaat itsenäisesti päivittää niitä myös jatkossa. Valmennus on kertamaksullinen, ja kurssialustalla oleva valmennusmateriaali jää pysyvästi käyttöön.

Valmennus soveltuu yrittäjille, ovat valmiita sitoutumaan valmennukseen 110%, ja joita uskon voivani auttaa.

Tutustu tästä

Tietosuojapaketti PREMIUM

Valmiiksi laadittu GDPR-asiakirjapaketti, joka sopii kaikille yrityksille, lukuun ottamatta sote-alan yrityksiä.

Tietosuojapaketti sisältää Tietosuojan- ja tietoturvallisuuden omavalvontasuunnitelman, sekä kaikki tarvittavat liitteet, joiden avulla saat osoitusvelvollisuuden kuntoon vaivattomasti.

Tietosuojapaketti PREMIUM tehdään kattavan puhelinhaastattelun perusteella ja voit päivittää sitä myös itse. Palvelu on kertamaksullinen.

Tutustu tästä

Tietosuojapaketti SOTE

Valmiiksi laadittu GDPR-asiakirjapaketti sosiaali- ja terveysalan yrityksille.

Tietosuojapaketti sisältää uuden asiakastietolain vaatiman tietoturvasuunnitelman, sekä kaikki tarvittavat liitteet. Paketin avulla saat samalla kuntoon sote-alan tietosuojavaatimukset, sekä osoitusvelvollisuuden.

Tietosuojapaketti SOTE tehdään kattavan puhelinhaastattelun perusteella ja voit päivittää sitä myös itse. Palvelu on kertamaksullinen.

Tutustu tästä

Kun laitat osoitusvelvollisuuden kuntoon, parannat samalla myös yrityksesi tietosuojan- ja tietoturvan tasoa

Osoitusvelvollisuus ei ole pelkästään lakisääteinen velvoite. Kun laitat osoitusvelvollisuuden vaatimat asiakirjat kuntoon, huomaat mahdolliset puutteet tietosuojan tasossa, ja osaat tehdä parannuksia myös käytännön tasolla, jolloin tietosuojatasosi paranee.

Lain vaatimat asiakirjat eivät ole täysin turhia viranomaisvaatimuksia, vaan täysin perusteltuja dokumentteja tietosuojatason arviomiseksi ja parantamiseksi. Tietosuoja-asiakirjoista on hyötyä myös esimerkiksi työntekijöiden ja alihankkijoiden ohjeistamisessa.

Henkilötiedon tunnistettavuuden poistaminen siten, ettei  yhdistäminen rekisteröityyn ole enää mahdollista.

Lue lisää ja katso myös linkit sivun alaosasta: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Ks. kohta erityinen henkilötietoryhmä

Rekisteröidyn henkilötietojen tulee olla luotettavia, oikeita ja ajantasaisia. Tietoja saa ja kuuluu päivittää/muuttaa vain silloin, kun ne oikeasti muuttuvat tai tarkentuvat. Henkilötietoja ei saa kuitenkaan kerätä enempää, kuin on ennalta sovittu.

Elintärkeiden etujen suojaaminen on yksi lainmukainen käsittelyperuste. Se sopii käsittelyperusteeksi silloin, kun kyse on esimerkiksi elämän tai terveyden suojaamisesta.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Epäsuorat tiedot eivät yksinään riitä henkilön tunnistamiseen, mutta niitä yhdistelemällä henkilö voidaan tunnistaa. Tällaisia tietoja ovat mm. asuinalue, sukupuoli tai ikä. 

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Arkaluontoisia, eli erityisiä henkilötietoja ovat sellaiset henkilötiedot, joista ilmenee henkilön: rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisten tai biometrinen tietojen käsittely (esim. DNA, sormenjälki, kasvojentunnistus, iiristunnistus), terveyttä koskevia tietoja tai seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja.

Lue lisää: Erityiset henkilötietoryhmät | Arkaluontoisia tietoja on oikeus käsitellä vain poikkeuksellisesta syystä.

Evästeet ovat koodinpätkiä, joilla kerätään tietoa verkkosivujen kävijöistä. Evästeet jakautuvat välttämättömiin ja ei välttämättömiin evästeisiin. Toimintaevästeiden tarkoituksena on parantaa sivujen käytettävyyttä.

Analyysievästeiden tarkoituksena puolestaan on tarkoitus kerätä tietoa sivuilla vierailleen käyttäytymisestä. Tietoa voidaan käyttää esim. tilastointiin, analysointiin, profilointiin, sekä sivuston eri toimintojen parantamiseen

Linkit: Tietosuojavaltuutettu Anu Taluksen kommentit evästeasiaan. ja Traficomin 5/20 päivitetty evästeohjeistus.

Henkilötietoja, joista ilmenee henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia. Geneettiset tiedot sisältävät tietoa henkilön fysiologiasta tai terveydentilasta. Tietoa voidaan saada myös biologisesta näytteestä analysoimalla.

Kaikki luonnollista henkilöä, henkilön ominaisuuksia tai elinolosuhteita kuvaavat merkinnät, joista henkilö tai hänen perheenjäsenensä voidaan tunnistaa. Yksittäisiä tietoja, joiden avulla henkilön voi helposti tunnistaa ovat mm. nimi, henkilötunnus ja valokuva.

Myös epäsuorat tiedot ovat henkilötietoja, vaikka tiedot eivät yksinään riitä henkilön tunnistamiseen. Epäsuoria tietoja yhdistelemällä henkilö voidaan tunnistaa. Tällaisia tietoja ovat mm. asuinalue, sukupuoli tai ikä.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Palveluntarjoaja (yritys/yksityinen elinkeinonharjoittaja / viranomainen / yhdistys), joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja rekisterinpitäjän lukuun, ja toimii rekisterinpitäjän ohjeiden mukaan. Esim. kirjanpidon tai palkanmaksun hoitava ulkopuolinen yritys, markkinointitoimisto, IT-konsultti. Myös palveluita hallinnoivat yritykset, kuten esimerkiksi laskutuspalveluita tarjoava ohjelmistoyritys voi olla henkilötietojen käsittelijä, vaikka se ei varsinaisesti käsittelisikään tietoja. Henkilötietojen käsittelyksi lasketaan myös se, että yrityksen henkilöstöllä on tarvittaessa pääsy järjestelmään ja sen sisältämiin henkilötietoihin esimerkiksi silloin, kun palvelun toimivuudessa on ongelmia.

Katso myös kohta: ”Kolmas osapuoli”.

Henkilötietoihin kohdistuva automaattinen tai manuaalinen toimenpide: henkilötietojen kerääminen, säilyttäminen, käyttäminen, hakeminen, järjestäminen, jäsentäminen, siirtäminen, käytön suunnittelu, muokkaaminen, poistaminen, tuhoaminen ja luovuttaminen. Ts. kaikki henkilötietoihin kohdistuvat toimenpiteet.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Henkilötietojen käsittelysopimus (ja henkilötietojen käsittelijän ohjeet)

Kun yritys käyttää toiminnassaan ulkopuolisia palveluntarjoajaa, eli esimerkiksi tilitoimistoa tai ohjelmistoa, täytyy palveluntarjoajalle antaa kirjalliset ohjeet, sekä tehdä asianmukainen sopimus henkilötietojen käsittelystä. Rekisterinpitäjän täytyy pystyä osoittaa tietosuojan toteutuminen myös niiltä osin, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun.

Lue erityisesti siniset laatikot: ”Läpinäkyvyys ja jäljitettävyys” ja ”Mistä on sovittava, kun henkilötietoja käsitellään rekisterinpitäjän lukuun?”

Lue myös: artikla 28 EU yleinen tietosuoja-asetus ”Henkilötietojen käsittelijä”

Yritys tai muu organisaatio, jolle on luovutettu henkilötietoja, ja jolla on oikeus niiden käsittelyyn tai pääsy tietoihin.
tietosuoja.fi – informointivelvoitteen edellyttämät tiedot:  ”Käsite ”vastaanottaja” määritellään asetuksen 4.9 artiklassa siten, että sillä ei tarkoiteta vain kolmansia osapuolia. Näin ollen rekisterinpitäjät, yhteisrekisterinpitäjät ja henkilötietojen käsittelijät, joille henkilötiedot siirretään tai luovutetaan, ovat artiklan nojalla ”vastaanottajia”.

Kyberturvallisuus on turvallisuuden osa-alue. Sillä pyritään sähköisten järjestelmien verkkojen yhteiskunnalliseen turvallisuuteen. Kyberturvallisuuteen liittyy riskien tunnistaminen ja ennaltaehkäisy, sekä varautuminen mahdollisiin ongelmiin (haittaohjelmat, laiteviat, tietomurrot ym.). Kyberturvallisuudella pyritään takaamaan tietoturvallisuus myös mahdollisten kriisien aikana.

Lainmukaisia käsittelyperusteita on kuusi. Perusteita ovat rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Perusteella tarkoitetaan siis lainmukaista perustetta, eikä perustetta voi keksiä itse.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Henkilötiedot ovat niihin oikeutettujen henkilöiden käytettävissä etukäteen määritellyssä vasteajassa. Tämä on erityisen tärkeää esim. terveydenhuollossa, jossa potilaan henki voi olla sen varassa, ovatko tiedot käytettävissä juuri silloin, kun niitä tarvitaan.

Erilaiset henkilötiedot ja järjestelmät ovat vain sellaisten henkilöiden käytettävissä, joilla on oikeus niiden käyttöön. Henkilötiedot on suojattu asianmukaisesti, eli riittävän hyvin riskeihin nähden.

Minimointi­velvoite / minimaali­suusvelvoite

Minimointivelvotteeseen liittyy henkilötietojen määrän, käsittelyn, käsittelijöiden määrän ja säilytyksen minimointi.

Lue lisää: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Oikeusperuste /peruste / käsittelyperuste

Henkilötietoja saa kerätä vain, mikäli tietojen keräämiselle on lainmukainen peruste. Henkilötietojen keräämisen oikeusperuste on määriteltävä tietosuojaselosteessa, ts. rekisteröityä täytyy informoida siitä, millä oikeusperusteella hänen tietonsa kerätään.

Oikeusperusteita ovat rekisteröidyn (vapaaehtoinen) suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Oikeutettu etu

Oikeutettu etu on tietosuojalaissa ympäripyöreä käsite. Oikeutetulla edulla viitataan yleensä ihmisen perusoikeuksiin. Perusoikeuksiin liittyviä lakeja ovat kansalliset perusoikeudet,
kansainväliset ihmisoikeudet ja Euroopan unionin perusoikeudet. Oikeutettu etu täytyy olla todellinen ja perusteltu. Kun henkilötietoja käsitellään oikeutetun edun perusteella, täytyy käsittelystä tehdä ns. tasapainotesti, jossa arvioidaan onko käsittely lainmukaista, tarpeellista ja oikeasuhtaista.

Lue lisää: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Osoitusvelvollisuus (dokumentointivelvoite)

Velvollisuus todistaa /toteen näyttää viranomaisille, että on noudattanut tietosuojalakia- ja asetusta. Terminä osoitusvelvollisuus tarkoittaa sitä, että jokin taho on tilivelvollinen jonkin asian suhteen, ja että ulkopuolinen taho voi määrätä velvoitteen noudattamatta jättämisestä sanktion. Rekisterinpitäjällä on velvoite dokumentoida tietosuojatoimet, jotta rekisterinpitäjä voi osoittaa noudattavansa tietosuojasäädöksiä, sekä vakuuttaa että se on aktiivisesti pyrkinyt tunnistamaan kaikki tietosuojaan liittyvät riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, se voi aiheuttaa maineriskin lisäksi hallinnollisia seuraamuksia.

Rekisterinpitäjän täytyy pystyä erilaisin dokumentein osoittaa, että rekisterinpitäjä on mm.

  • tehnyt tarvittavat ja riittävät turvatoimet henkilötietojen suojaamiseksi (koneet/laitteet ja fyysiset tilat)
  • kouluttanut ja ohjeistanut henkilöstön toimimaan turvallisesti
  • huolehtinut rekisteröidyn informoinnista (esim. tietosuojaselosteella) asianmukaisesti
  • tehnyt asianmukaiset sopimukset yritykseen lukuun toimivien henkilötietojen käsittelijöiden kanssa
  • aktiivisesti pyrkinyt tunnistamaan kaikki tietosuojaan liittyvät riskit ja tehnyt asianmukaiset riskiarviot (esim. vaikutustenarvioinnit, tasapainotestit, siirrot ja luovutukset EU-alueen ulkopuolelle)
  • varautunut tietoturvaloukkauksiin tekemällä asianmukaiset suunnitelmat ja ohjeistukset
  • huomioinut toiminnassaan tietosuoja- ja tietoturvatason säännöllisen seurannan

Lue lisää: Osoitusvelvollisuus | Kaikilla yrityksillä on velvoite tehdä ja dokumentoida tietosuojatoimet.

Profilointi

Henkilötietojen automaattista käsittelyä, jossa kerätyn tiedon avulla arvioidaan / analysoidaan henkilön ominaisuuksia tai piirteitä, jotka liittyvät henkilön työhön, taloudelliseen tilanteeseen, terveydentilaan, mieltymyksiin, kiinnostuksen kohteisiin, käyttäytymiseen, liikkeisiin, sijaintiin tai luotettavuuteen. Profiloinnin tarkoituksena on usein ennakoida tulevaa käyttäytymistä. Profilointia käytetään esim. sosiaalisen median palveluissa ja päätelaitteilla olevissa sovelluksissa. Profilointi on sallittua vain tietyissä tilanteissa.

Lue lisää: https://www.minilex.fi/a/ihmistä-ei-saa-arvioida-koneellisesti

Pseudonymisointi

Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Pseudonymisoidut tiedot täytyy säilyttää erillään rekisteröidyn muista henkilötiedoista.

Lue lisää ja katso myös linkit sivun alaosasta: Minimointivelvoite ja EU:n tietosuoja-asetus | Henkilötietoja saa kerätä ja käsitellä vain silloin, kun se on välttämätöntä.

Rekisterinpitäjä

Rekisterinpitäjä on ihminen tai organisaatio, joka määrittelee, mihin henkilötietojen käsittelyt tarkoitukset ja keinot. Organisaatio ihmisten muodostama yhteenliittymä, joka toimii tiettyjen tavoitteiden saavuttamiseksi. Organisaatioita ovat mm. yritykset, yhdistykset/seurat, järjestöt, poliittiset puolueet jne.

Lue lisää: GDPR-asetus on henkilötietojen käsittelyä sääntelevä laki, joka koskee kaikkia yrityksiä.

Rekisteröity

Henkilö, jonka henkilötietoja rekisterinpitäjä tai henkilötietojenkäsittelijä käsittelee. Rekisteröityjä ovat kaikki henkilöt, riippumatta siitä missä asemassa henkilö on. Rekisteröityjä voivat olla esimerkiksi asiakkaat, työntekijät, yhteistyökumppanit, viranomaiset, potentiaaliset asiakkaat jne. Rekisteröityä kuuluu aina informoida, eli antaa nähtäväksi tietosuojaseloste ja tarvittaessa pyytää suostumus henkilötietojen käsittelyyn.

Lue lisää: Tietosuojaselosteen malli ja rekisteröidyn informointi

Rekisteröidyn oikeudet

Rekisteröidyllä on pääsääntöisesti oikeus: saada tietoa henkilötietojensa, käsittelystä, saada pääsy tietoihin, oikaista tietoja, poistaa tiedot ja tulla unohdetuksi, rajoittaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen, vastustaa tietojen käsittelyä ja olla joutumatta automaattisen päätöksenteon kohteeksi. Joissakin tilanteissa rekisteröity ei voi käyttää kaikkia oikeuksiaan. Rekisterinpitäjällä on velvollisuus kertoa rekisteröidylle näistä oikeuksista. Rekisteröityä informoidaan tavanomaisesti tietosuojaselosteen avulla.

Lue lisää:  tietosuoja.fi/rekisteroidyn-oikeudet,  tietosuoja.fi/rekisteroidyn-oikeuksista-poikkeaminen ja  Tietosuojaselosteen malli ja rekisteröidyn informointi

Seloste käsittelytoimista

Seloste käsittelytoimista on kirjallinen tiivis kuvaus yrityksen tekemästä henkilötietojen käsittelystä viranomaisille ja yrityksen sisäiseen käyttöön.

Seuraamuskolleegio

Tietosuojavaltuutetun ja apulaistietosuojavaltuuttujen (Jari Råhman ja Heljä-Tuulia Pihamaa) muodostama seuraamuskollegio, jonka tehtävänä on seuraamusmaksujen määrääminen. Kollegion puheenjohtajana toimii tietosuojavaltuutettu Anu Talus.

Sopimus

Kahden osapuolen välinen oikeustoimi, jossa osapuolet sopivat keskenään jostakin asiasta. Sopimus voi olla kirjallinen tai suullinen. Kirjallinen sopimus on kuitenkin helpompi todistaa.

Suoraan tunnistettavissa oleva / suorat tunnisteet / välittömät tunnisteet

Yksittäisiä tietoja, joiden avulla henkilön voi helposti tunnistaa ovat mm. nimi, henkilötunnus tai valokuva.

Lue lisää: Henkilötietojen käsittely | Mitä henkilötiedot ovat? | Milloin niitä saa kerätä ja käsitellä?

Suoramarkkinointi

Perinteistä suoramarkkinointia on postitse ja puhelimitse tehtävä markkinointi. Sähköistä suoramarkkinointia ovat sähköpostiviestit, tekstiviestit, puheviestit, ääniviestit ja kuvaviestit. Suomessa perinteistä suoramarkkinointia saa tehdä ilman rekisteröidyn suostumusta.

Katso kohta 1. Rekisteröidyn (vapaaehtoinen) suostumus: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Suostumuksen tallentaminen

Kun henkilötietoja kerätään suostumuksen perusteella (eli käsittelyn oikeusperusteena on suostumus), kannattaa suostumus ottaa kirjallisesti, jotta voit tarvittaessa todistaa asian. Suostumuksen tallentaminen kannattaa huomioida esimerkiksi silloin, kun keräät s-postiosoitteita markkinointitarkoituksiin. Onkin tärkeä valita järjestelmä, joka tallentaa suostumuksen automaattisesti. Jos saat rekisteröidyltä suostumuksen esim. s-postin välityksellä, kannattaa suostumus tallentaa esimerkiksi Tietosuojavastaajan s-postiin tai omavalvontasuunnitelman liitteeksi.

Tasapainotesti

Tasapainotesti on kirjallinen kuvaus / arvionti, jonka avulla voidaan päätellä, sopiiko oikeutettu etu lainmukaiseksi käsittelyperusteeksi.

Katso kohta 6. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu: Oikeusperusteen valinta | Miten oikeusperuste vaikuttaa henkilötietojen keräämiseen ja käsittelyyn?

Tietojenkalastelu

Tietojenkalastelu on huijausyritys, jossa yritetään houkutella henkilöltä arkaluonteisia tietoja, kuten salasanoja, käyttäjänimiä ja pankkitietoja. Yleensä tietojenkalastelu tapahtuu sähköpostin tai verkkosivuston kautta, joka näyttää aidoilta, mutta on todellisuudessa väärennös.

Tietojenkalasteluyritykset ovat yleensä hyvin hienostuneita ja saattavat sisältää linkkejä tai liitteitä, jotka näyttävät virallisilta, kuten pankin tai verkkokaupan lähettämältä sähköpostilta. Kun käyttäjä klikkaa linkkiä tai avaa liitteen, hän voi joutua väärennetylle verkkosivustolle, joka pyytää häntä antamaan arkaluonteisia tietoja.

Tietojenkalastelu voi aiheuttaa vakavia seurauksia, kuten taloudellisia menetyksiä ja identiteettivarkauksia. Siksi on tärkeää tunnistaa tietojenkalasteluyritykset ja suojata henkilökohtaisia tietoja asianmukaisilla turvatoimenpiteillä.

Henkilöiden on tärkeää olla varovaisia antaessaan henkilökohtaisia tietojaan ja tarkistaa huolellisesti, että viestit ja verkkosivustot ovat aitoja. Yritysten on myös tärkeää ottaa tietoturva vakavasti ja toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen salaaminen ja tietoturvakoulutus henkilöstölle, tietojenkalasteluyritysten torjumiseksi.

 

Tietoturvaloukkaus / Tietosuojaloukkaus

Tietoturvaloukkaus on tapahtuma, jossa henkilötietoja käsitellään tavalla, joka rikkoo tietoturvasääntöjä tai johtaa henkilötietojen häviämiseen, luvattomaan käyttöön tai joutumiseen vääriin käsiin. Tietoturvaloukkaus voi olla seurausta esimerkiksi tietojärjestelmän häiriöstä, teknisestä viasta, inhimillisestä virheestä tai tietojenkalastelusta.

Tietoturvaloukkaus voi aiheuttaa vakavia seurauksia henkilötietojen käsittelylle, ja se voi vaarantaa henkilöiden yksityisyyden ja turvallisuuden. Siksi tietosuoja-asetus edellyttää, että tietoturvaloukkauksista ilmoitetaan rekisteröidyille, jos ne aiheuttavat korkean riskin henkilötietojen käsittelylle.

Jos tietoturvaloukkaus tapahtuu, on tärkeää toteuttaa nopeasti asianmukaiset toimenpiteet sen rajoittamiseksi ja estämiseksi. Tietoturvaloukkauksesta on myös tärkeää dokumentoida kaikki havainnot, toimenpiteet ja havaitut vaikutukset. Tämä auttaa arvioimaan loukkauksen vakavuutta ja toteuttamaan tarvittavat korjaavat toimenpiteet.

Tietoturvaloukkausten ennaltaehkäisy on avainasemassa henkilötietojen suojaamisessa. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi. Tämä sisältää esimerkiksi tietojärjestelmien ja -verkkojen suojaamisen, koulutuksen henkilöstölle ja turvallisuuspolitiikkojen luomisen.

Kaiken kaikkiaan tietoturvaloukkaukset ovat vakava asia, joka voi aiheuttaa vahinkoa yksityisyydelle ja turvallisuudelle. Siksi on tärkeää tunnistaa tietoturvariskit ja toteuttaa asianmukaiset toimenpiteet niiden hallitsemiseksi ja vähentämiseksi.

Tietoturvaloukkausten dokumentointi

Dokumentointi tietoturvaloukkauksista tarkoittaa tapaa kirjata ylös kaikki tietoturvaloukkaukset ja niihin liittyvät toimenpiteet ja havainnot. Tietoturvaloukkaukset voivat olla esimerkiksi tietojenkalastelu-yrityksiä, tietojen varkauksia tai tietokoneviruksia, jotka vaikuttavat henkilötietojen käsittelyyn.

Tietosuoja-asetus edellyttää rekisterinpitäjältä ja henkilötietojen käsittelijältä dokumentointia kaikista tietoturvaloukkauksista, jotta niitä voidaan arvioida ja käsitellä asianmukaisesti. Dokumentointi on tärkeää, sillä se auttaa selvittämään, mitä henkilötietoja on vaarantunut, kuinka suuri riski vaikutus henkilötietojen käsittelyyn on ja mitä toimenpiteitä on tehty riskin pienentämiseksi tai poistamiseksi.

Dokumentoinnin avulla rekisterinpitäjä voi myös osoittaa, että se on aktiivisesti pyrkinyt suojaamaan henkilötietoja ja noudattamaan tietosuoja-asetusta. Tietosuoja-asetus edellyttää, että rekisterinpitäjän on ilmoitettava henkilötietojen käsittelijälle tietoturvaloukkauksista ja myös ilmoitettava rekisteröidyille, jos loukkaukset aiheuttavat korkean riskin rekisteröityjen oikeuksille ja vapauksille.

Dokumentointi on tärkeä osa tietoturvaloukkauksen hallintaprosessia. Se auttaa rekisterinpitäjää tunnistamaan ja arvioimaan tietoturvaloukkaukset, toteuttamaan tarvittavat toimenpiteet ja välttämään vastaavat tapahtumat tulevaisuudessa. Tietoturvaloukkausten dokumentointi auttaa myös varmistamaan, että rekisterinpitäjä noudattaa tietosuoja-asetuksen velvoitteita ja että se voi osoittaa sen asianmukaisesti valvontaviranomaisille, jos niin vaaditaan.

 

Tietosuoja

Tietosuoja on osa yksityisyyden suojaa, joka taataan perustuslaissa kaikille henkilöille. Tietosuojan tarkoituksena on varmistaa, että henkilötietoja käsitellään lainmukaisesti, ettei henkilötietoja kerätä tarpeettomasti, ettei henkilötietoja käsitellä tarpeettomasti, ja että niitä käsitellään vain silloin, kun käsittelyyn on lainmukainen oikeusperuste

Lue lisää: GDPR-asetus on henkilötietojen käsittelyä sääntelevä laki, joka koskee kaikkia yrityksiä.

Tietosuojaseloste

Tietosuojaseloste on asiakirja, joka sisältää kaikki informaatiovelvoitteen edellyttämät tiedot. Kaikilla yrityksillä ja organisaatioilla täytyy olla asiakirja henkilötietojen lainmukaisesta käsittelystä asiakkaalle. Tietosuojaselosteessa kerrotaan rekisteröidylle hänestä kerätyt henkilötiedot tiiviisti, läpinäkyvästi ja ymmärrettävästi. Tietosuoja-asiakirjaan kirjataan tavat, joilla yritys käyttää, kerää, suojaa ja tarvittaessa siirtää henkilötietoja luotettavasti ja turvallisesti.

Tietosuojavastaava

Tietosuojavastaavan velvollisuudet ovat keskeisiä tietosuoja-asetuksen noudattamisessa. Organisaation sisäinen asiantuntija, tietosuoja-asioissa.
Tietosuojavastaavan velvollisuudet:

Neuvonta: Tietosuojavastaavan on neuvottava rekisterinpitäjää, henkilötietojen käsittelijöitä ja muita työntekijöitä tietosuoja-asetuksen vaatimuksista ja henkilötietojen käsittelyyn liittyvistä riskeistä.

Seuranta: Tietosuojavastaavan on seurattava tietosuoja-asetuksen noudattamista organisaatiossa ja tarkistettava, että henkilötietojen käsittelyprosessit ovat tietosuojan ja tietoturvan kannalta asianmukaisia.

Tietosuojavaikutusten arviointi (DPIA): Tietosuojavastaavan on suoritettava tietosuojavaikutusten arviointeja (DPIA) silloin, kun henkilötietojen käsittely voi aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille.

Viestintä: Tietosuojavastaavan on kommunikoitava tietosuoja-asetuksen vaatimuksista ja organisaation tietosuojastrategiasta organisaation sisällä ja tarvittaessa myös sidosryhmille.

Yhteistyö: Tietosuojavastaavan on yhteistyössä rekisterinpitäjän, henkilötietojen käsittelijöiden ja valvontaviranomaisten kanssa.

Tietojen kirjaaminen: Tietosuojavastaavan on kirjattava henkilötietojen käsittelyyn liittyvät asiat dokumentteihin, kuten selosteisiin ja henkilötietojen käsittelysopimuksiin.

Koulutus: Tietosuojavastaavan on vastuussa organisaation henkilöstön kouluttamisesta tietosuoja-asetuksen vaatimuksista ja henkilötietojen käsittelyyn liittyvistä riskeistä.

Tietosuojavastaavan tehtävänä on siis varmistaa, että organisaatio noudattaa tietosuoja-asetuksen vaatimuksia. Tämä on tärkeää, jotta rekisteröityjen henkilötietojen suoja ja tietosuoja-asetuksen noudattaminen toteutuvat organisaatiossa.

Muuta huomioitavaa:

  • Tietosuojavastaavan yhteystietojen on oltava julkisesti saatavilla esimerkiksi yrityksen verkkosivuilla.
  • Tietosuojavastaavan täytyy olla riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Siksi tietosuojavastaavana ei voi toimia esimerkiksi toimitusjohtaja tai hallituksen edustaja.
  • Tietosuojavastaava on nimitettävä, jos käsitellään laajamittaisesti arkaluontoisia tietoja, henkilötietoja käsitellään säännöllisesti, organisaationne on julkishallinnon toimija. Tietosuojavastaavan voi nimittää myös vapaaehtoisesti.
  • Tietosuojavastaavan yhteystiedot kuuluu ilmoittaa Tietosuojavastaavan toimistoon: tietosuoja.fi/ilmoitus-tietosuojavastaavasta

Lue lisää: tietosuoja.fi/tietosuojavastaavat

Ryhmitelty, saman tyyppisten henkilötietojen ryhmitelty / luetteloitu tietojoukko.
Esim. työntekijät, asiakkaat, markkinointirekisteri, arvontaan osallistuneet, yhteistyökumppanit jne.

Tietosuojaseloste

Tietosuojaseloste on asiakirja, joka sisältää tietoa henkilötietojen käsittelystä. Tietosuojaselosteessa kerrotaan muun muassa, mitä henkilötietoja kerätään, miten niitä käsitellään ja mihin tarkoituksiin niitä käytetään. Selosteessa tulee myös mainita, miten henkilötietoja säilytetään, kuka niitä käsittelee ja kuinka kauan niitä säilytetään.

Tietosuojaseloste on tärkeä asiakirja, koska se antaa rekisteröidyille henkilöille tietoa heidän henkilötietojensa käsittelystä ja auttaa heitä ymmärtämään, miten organisaatio käyttää heidän henkilötietojaan. Seloste antaa rekisteröidyille myös mahdollisuuden tarkastaa, mitä tietoja heistä on tallennettu.

Tietosuojaselosteessa tulee ilmoittaa selkeästi, mitkä ovat henkilötietojen käsittelyn oikeusperusteet, esimerkiksi suostumus tai oikeutettu etu. Selosteessa on myös mainittava rekisteröidyn oikeudet, kuten oikeus tietojen tarkistamiseen ja poistamiseen.

Tietosuojaselosteen sisältö riippuu henkilötietojen käsittelyn laajuudesta ja tarkoituksesta. Esimerkiksi verkkosivujen käyttäjiltä kerättävän tiedon kohdalla tietosuojaselosteessa tulee mainita käyttäjän selaimen IP-osoite, evästeiden käyttö ja käyttäjän toimet sivustolla. Toisaalta työntekijöiden henkilötietojen käsittelyyn liittyen tietosuojaselosteessa tulee mainita työntekijän nimi, henkilötunnus, yhteystiedot, työtehtävät ja palkkatiedot.

Tietosuojaseloste on yksi tärkeimmistä keinoista varmistaa henkilötietojen käsittelyn läpinäkyvyys ja avoimuus. Rekisterinpitäjän on annettava tietosuojaseloste rekisteröidyille henkilöille viipymättä ja viimeistään henkilötietojen keräämisen yhteydessä. Tietosuojaselostetta tulee myös päivittää säännöllisesti, mikäli henkilötietojen käsittelyssä tapahtuu muutoksia.

Tietotilinpäätös

Raportti yrityksen tai muun organisaation tietojenkäsittelyn nykytilasta. Raportti sisältää perustiedot, organisaation hallussa olevat tietovarannot, tietojen käsittelyssä noudatettavat menettelytavat ja periaatteet, tietojen suojaustavat, tietojen käsittelyn seuranta- ja valvontatoimet, selvityksen rekisteröityjen oikeuksien toteutumisesta, sekä arviointi ja kehittämiskohteet.

Tietoturva

Tietoturva on tietojen suojaamista. Turvallisuuteen kuuluvat henkilötietojen suojaaminen luvattomalta ja lainvastaiselta käsittelyltä, sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Tietoturvaa toteutetaan mm. suojaamalla fyysinen ja konkreettinen tietoaineisto, suojaamalla tietojärjestelmien tietoaineisto, säilyttämällä tiedot luottamuksellisina, säilyttämällä tiedot eheinä (muuttumattomine) ja  pitämällä tiedot saatavissa / käytettävissä.

Tietoturvaloukkaus / tietoturvapoikkeama

Tietoturvaloukkaus tarkoittaa henkilötietojen lainvastaista käsittelyä, jonka mahdollisia seurauksia ovat mm. tuhoutuminen, muuttuminen, luvaton pääsy tietoihin ja häviäminen.

Tietoturvasuunnitelma / Tietosuojan- ja tietoturvallisuuden omavalvontasuunnitelma

Yrityksen tai organisaation sisäinen asiakirja, joka sisältää lähes kaikki osoitusvelvollisuuden vaatimat tiedot.

Lue lisää: tietosuoja.fi/osoitusvelvollisuus – Osoita noudattavasi tietosuojasäännöksiä

Valvontaviranomainen / Tietosuojavaltuutettu

Suomessa kansallisena valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto, joka valvoo tietosuojalainsäädännön noudattamista.

Lue lisää: tietosuoja.fi/tietosuojavaltuutetun-toimisto

Vastaanottaja

Henkilö, oikeushenkilö, viranomainen, virasto tai muu toimija, jolle luovutetaan henkilötietoja.

Yksityisyys

Yksityisyys tarkoittaa luonnollisen henkilön oikeutta suojautua ulkopuoliselta puuttumiselta.

Lue lisää: minilex.fi/a/yksityisyyden-suoja-suomessa

Linkit

tietosuoja.fi/osoitusvelvollisuus

https://www.aeondigital.fi/blogi/ohjeet-tietosuojakaytantojen-dokumentointiin/.

⇐ Siirry kurssin esittelyyn

Siirry osaan 2⇒

Kurssin sisältö

  • Mitä osoitusvelvollisuus ja dokumentointivelvoite tarkoittaa?
  • GDPR-sakot ja sanktiot
  • Mitä tietosuoja-asiakirjoja tarvitset osoitusvelvollisuuden todentamiseen?
  • Miten saat osoitusvelvollisuuden kuntoon?

Olet tässä osassa

  • Mikä on tietosuoja-asetuksen tarkoitus?
  • Mitä eroa on tietosuojalla ja tietoturvalla?
  • Ketä tietosuoja-asetus koskee?
  • Roolit ja vastuut henkilötietojen käsittelyssä
  • Tietosuojariskit lyhyesti

Siirry osaan 2

 

  • Milloin henkilötietojen käsittely on sallittua?
  • Mitä henkilötiedot ovat?
  • Mitä arkaluontoiset henkilötiedot ovat, ja kenellä niitä on oikeus käsitellä?

Siirry osaan 3

  • Käyttötarkoitussidonnaisuus
  • Miten toteutat minimoinnin velvoitetta, kun keräät henkilötietoja?
  • Pseudonymisointi ja anonymisointi
  • Välttämätön käsittely ja käsittelyn rajoittaminen.
  • Kauanko henkilötietoja saa säilyttää?

Siirry  osaan 4

  • Mitä GDPR-asetuksen määrittelemät oikeusperusteet tarkoittavat?
  • Mitä rekisteröidyn eri oikeudet tarkoittavat, ja miten tulee toimia, jos rekisteröity haluaa käyttää oikeuksiaan.
  • Oikeusperusteeseen liittyvät dokumentit ja toimenpiteet osoitusvelvollisuuden toteuttamiseksi
  • Sisäiset ja ulkoiset ohjeet käytännössä
  • Käsittelyn eri oikeusperusteita koskevat arviot

Siirry osaan 5

  • Mitä informointivelvoite tarkoittaa?
  • Miten rekisteröityä kuuluu informoida ja millainen tietosuojaselosteen kuuluu olla?
  • Yksitasoinen ja monitasoinen tietosuojaseloste
  • Yksitasoisen tietosuojaselosteen suurimmat ongelmat
  • Kuinka tehdään tietosuojaseloste?

Siirry osaan 6

  • Monitasoiset tietosuojaselosteet ja informointi monitasoisesti
  • Tietosuojatyöryhmän suosittelema monitasoisen tietosuojaselosteen malli
  • Tietosuojaa koskeva hallintapaneeli
  • Push- ja pull-ilmoitukset
  • Henkilötietojen kerääminen liidimagneettien ja yhteydenottolomakkeiden avulla
  • Evästeet ja evästeilmoitukset

Siirry  osaan 7

  • Henkilötietojen siirtäminen ja luovuttaminen
  • Henkilötietojen siirtäminen EU-alueen ulkopuolelle
  • Henkilötietojen käsittelysopimus ja käsittelijän ohjeistaminen

Siirry  osaan 8

  • Mikä on vaikutustenarviointi?
  • Milloin vaikutustenarviointi täytyy tehdä?
  • Mitä hyötyä vaikutustenarvioinnista on?
  • Vaikutustenarvioinnin sisältö

Siirry osaan 9

  • Seloste käsittelytoimista – asiakirjan tarkoitus
  • Todennäköinen riski rekisteröidyn oikeuksille ja vapauksille aiheutuu kun…
  • Rekisterinpitäjän Seloste käsittelytoimista
  • Henkilötietojen käsittelijän Seloste käsittelytoimista

Siirry osaan 10

Haluatko antaa palautetta, onko sinulla kysyttävää, tai tarvitko apua asiakirjojen kanssa?

Ota yhteyttä