Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Tietosuoja-asetuksen mukainen seloste käsittelytoimista

Samankaltaiset esitykset


Esitys aiheesta: "Tietosuoja-asetuksen mukainen seloste käsittelytoimista"— Esityksen transkriptio:

1 Tietosuoja-asetuksen mukainen seloste käsittelytoimista
Antti Ketola,

2 Keskeiset käsitteet lyhyesti 1/2
Nykyinen henkilötietolaki (523/1999, HetiL): rekisteriseloste (HetiL 10 §) tietosuojaseloste (HetiL 10 ja 24 §:t) laajennettu rekisteriseloste Tietosuoja-asetus (2016/679, sovelletaan alkaen): seloste käsittelytoimista (asetuksen artikla 30) Tietoarkisto |

3 Keskeiset käsitteet lyhyesti 2/2
Rekisterinpitäjä = määrittelee käsittelyn tarkoitukset ja keinot (tapauksen mukaan tutkimusorganisaatio tai tutkija/tutkijaryhmä) Funktionaalinen käsite, määrittelee vastuun Käsittelijä = käsittelee henkilötietoja rekisterinpitäjän lukuun esim. Tietoarkisto anonymisoi tutkimusaineiston rekisterinpitäjän toimeksiannosta Henkilötieto = kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (”Rekisteröity”) liittyvät tiedot Tietosuojatyöryhmä, ”Lausunto 4/2007 henkilötietojen käsitteestä” Objektiiviset tiedot Subjektiiviset tiedot (mielipiteet ja arviot) Eivät edellytä varmentamista (voivat olla virheellisiä) ”henkilötietojen käsite kattaa kaiken tiedon, jolla ilmaistaan mitä tahansa tietoa” ei riippuvainen esitystavasta tai tallennusvälineestä Tunnistaminen voi olla tapahtua suoraan tai epäsuorasti Arviossa huomioidaan kohtuullisesti toteutettavissa olevat keinot Tietoarkisto |

4 Yleistä tietosuoja-asetuksen mukaisesta selosteesta 1/3
Tietosuoja-asetus edellyttää laatimaan selosteen käsittelytoimista Kyseessä enemmänkin yleisen tason kuvaus, ei yksityiskohtainen kuvaus henkilötiedoista Auttaa rekisterinpitäjää ja käsittelijää pitämään yleisen tason inventaariota henkilötietojen käsittelytoimista ja noudattamaan lainsäädäntöä Asetus määrittää selosteen minimisisällön ei estettä sisällyttää organisaation omien tarpeiden mukaan muuta metatietoa, ei kuitenkaan mielellään saisi häiritä minimisisällön selkeyttä kaksi muotoa: a) rekisterinpitäjän laatima seloste ja b) käsittelijän laatima seloste Selosteen edellytetään olevan kirjallisessa muodossa (mukaan lukien sähköinen muoto) Tietoarkisto |

5 Yleistä tietosuoja-asetuksen mukaisesta selosteesta 2/3
Selosteella käsittelytoimista läheinen yhteys tietosuoja-asetuksen 6 artiklan 2 kohdan mukaiseen osoitusvelvollisuuteen ”Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta” (johdanto-osan kappale 82) Tietoarkisto |

6 Yleistä tietosuoja-asetuksen mukaisesta selosteesta 3/3
Korvaa tietosuojadirektiiviin (95/46/EC) 18 ja 19 artikloihin perustuvia ilmoitusmenettelyitä HetiL 36 ja 37 §:n ilmoitusvelvollisuudet tietyissä tilanteissa Asetuksessa kuitenkin vielä ilmoituselementtejä (artikla 33 henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle, 36 artiklan ennakkokuuleminen) Ehdotuksessa kansalliseksi tietosuojalaiksi ilmoitusmenettely tieteellisessä tutkimuksessa tietosuojan vaikutustenarvioinnin kautta tietyissä tilanteissa Hallinnollinen sanktio mahdollinen selosteen laatimisen laiminlyönnistä (artikla 84 kohta 4 alakohta a) Enintään euroa, tai jos kyseessä yritys, 2 % edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi Tietoarkisto |

7 Eroja nykyiseen rekisteriselosteeseen: funktiot ja sisältö
Rekisteriselosteen (HetiL) ensisijaiset funktioita Avoimuus Rekisteröityjen informointi Suunnitteluvelvollisuus (HetiL 6 §) Selosteen käsittelytoimista (tietosuoja-asetus) funktioita Osoitusvelvollisuus Oman toiminnan lainmukaisuuden varmistaminen Tietovirtojen hahmottaminen Yhteneväisyyksiä rekisteriselosteen ja selosteen käsittelytoimista sisällöissä Nykyiset rekisteriselosteet voivat olla hyvä lähtökohta laadittaessa asetuksen mukaista selostetta käsittelytoimista Tietoarkisto |

8 Eroja nykyiseen rekisteriselosteeseen: saatavilla pitäminen
Henkilötietolaki 10 §: rekisteriseloste Oletava jokaisen saatavilla rekisterinpitäjän toimipaikassa tai esimerkiksi verkkosivulla voidaan poiketa eräissä erityistilanteissa (mm. valtion turvallisuus) Tietosuoja-asetuksen 30 artikla: seloste käsittelytoimista Saatettava seloste pyynnöstä valvontaviranomaisen saataville Rekisterinpitäjällä on silti yhä informointivelvoite, joka toteutuu etenkin asetuksen artiklojen välityksellä Tietoarkisto |

9 Kenellä on velvollisuus selosteen käsittelytoimista laatimiseen?
Velvollisuus koskee sekä rekisterinpitäjää että käsittelijää Eroja selosteen vähimmäisisällöissä Rekisterinpitäjän määrittäminen tutkimuksissa tärkeää vastuiden selventämiseksi Rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista Käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista Velvollisuus koskee lisäksi tarvittaessa näiden edustajaa Liittyy eräisiin kansainvälisiin tilanteisiin Tietoarkisto |

10 Selosteen käsittelytoimista laatiminen käytännössä
Asetus jättää liikkumavaraa käytännön toteuttamisen kannalta, kunhan selosteeseen sisällytetään vähimmäistiedot Mikäli rekisterinpitäjänä on tutkija/tutkimusryhmä, asetuksen mukainen seloste on hyvin lähellä nykyistä rekisteriselostetta Hyvä muistaa, että organisaatio voi toimia sekä rekisterinpitäjän että käsittelijän rooleissa Voidaan antaa tietosuojavastaavan tehtäväksi “..nothing prevents the controller or the processor from assigning the DPO with the task of maintaining the record of processing operations under the responsibility of the controller or the processor. Such a record should be considered as one of the tools enabling the DPO to perform its tasks of monitoring compliance, informing and advising the controller or the processor. “, (WP 243 rev.01, s. 19) Mikäli valvontaviranomaiset julkaisevat mallipohjia selostetta varten, on nämä hyvä ottaa lähtökohdaksi Tietoarkisto |

11 Nykyinen rekisteriseloste, HetiL 10 §
Sisältö rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot henkilötietojen käsittelyn tarkoitus kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle kuvaus rekisterin suojauksen periaatteista Tietosuojavaltuutetun toimiston mallilomakkeet: Tietoarkisto |

12 Tietoarkisto | www.fsd.uta.fi

13 Tietoarkisto | www.fsd.uta.fi

14 Tietoarkisto | www.fsd.uta.fi

15 Tietoarkisto | www.fsd.uta.fi

16 Seloste käsittelytoimista, sisältö
Seloste käsittelytoimista sisältää rekisterinpitäjän ja käsittelijän kannalta kolme tietokategoriaa Pakolliset tiedot Tarvittaessa annettavat tiedot Mahdollisuuksien mukaan annettavat tiedot Tietoarkisto |

17 Asetuksen mukainen seloste käsitelytoimista rekisterinpitäjän laatimana
1) Pakolliset tiedot rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot käsittelyn tarkoitukset kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat 2) Tarvittaessa annettavat tiedot tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto 3) Mahdollisuuksien mukaan annettavat tiedot eri tietoryhmien poistamisen suunnitellut määräajat yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Tietoarkisto |

18 Asetuksen mukainen seloste käsittelytoimista käsittelijän laatimana
1) Pakolliset tiedot henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät 2) Tarvittaessa annettavat tiedot tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto 3) Mahdollisuuksien mukaan annettavat tiedot yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Tietoarkisto |

19 https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx Tietoarkisto |

20 Tietoarkisto | www.fsd.uta.fi

21 Tietoarkisto | www.fsd.uta.fi

22 Poikkeus laatimisvelvollisuudesta 1/2
Selostetta ei tarvitse laatia tilanteissa, joissa rekisterinpitäjä tai käsittelijä on a) yritys tai järjestö, jolla on b) alle 250 työntekijää Yrityksen määritelmä: taloudellista toimintaa harjoittava luonnollinen henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa Tietoarkisto |

23 Poikkeus laatimisvelvollisuudesta 2/2
Seloste täytyy tästä huolimatta laatia, mikäli jokin seuraavista edellytyksistä täyttyy käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille käsittely ei ole satunnaista käsittely kohdistuu erityisiin tietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin Tietoarkisto |

24 Kiitos


Lataa ppt "Tietosuoja-asetuksen mukainen seloste käsittelytoimista"

Samankaltaiset esitykset


Iklan oleh Google