Tietosuoja-asetuksen mukainen seloste käsittelytoimista

Slides:

Advertisements

Samankaltaiset esitykset

Lasten oikeudet. Lapsen oikeuksien sopimus Maailman laajin ihmisoikeussopimus Hyväksyttiin 1989, Suomessa voimaan maata hyväksynyt, vain Yhdysvallat.

Advertisements

Tietoturvaviikko 2013 Esitys 4/5 Ohje: voit liikkua esityksessä eteen- tai taaksepäin napsauttamalla sivun alareunassa olevaa nuolta Tämän esityksen on.

RISKIENHALLINNAN MALLEJA TTM 21 | YHTEISTYÖSSÄ.

Bioanalyytikon tehtäväsiirrot ja tehtäväkuvan laajentuminen Kaija Sopenlehto Bioanalyytikko (yamk) Suomen Bioanalyytikkoliitto ry.

Yhteistoimintalaki Laki yhteistoiminnasta yrityksissä 2007/334 Aalto-yliopisto Juhani Kauhanen

AVOIMEN DATAN KÄYTTÖ JA HYÖDYNTÄMINEN KOULUTUSTILASTOINNISSA

| Sähköisen viestinnän ja tietosuojan uudistukset HE 48/ Johanna Aho.

Yhdenvertaisuuslaki: mikä muuttui vammaisen henkilön näkökulmasta Valtakunnalliset vammaisneuvostopäivät Liisa Murto Ihmisoikeuslakimies Kynnys/Vike.

1 Työtapaturmista ilmoittaminen 2010 Riikka-Liisa Haapanen

Marjut Salokannel OTT, dosentti  EU:n PSI –direktiivi ja sen uudistaminen  Valtioneuvoston periaatepäätös ( )tietoaineistot avoimesti.

Monipuolista tietoa nuoren elämään liittyvistä asioista yhdestä paikasta asuminen, opiskelu, työ, terveys, miten maailmalle, vapaa-aika ja niin edelleen.

Arviointi osana oppimisprosessia

NYKYTILAN KUVAUS Maaseudun kehittäminen

Yhteistyösopimuksen laadinta

Vilpistä ja sen selvittämisestä | Petri Sjöblom

EU:n yleinen tietosuoja-asetus Immo Aakkula Hallitusneuvos, OKM 19. 4

LSSAVI Valvontaprosessin vaiheet varhaiskasvatuksessa

Lainvalmistelua taustoittava kokous, STM

Vauhtisokeus iskee? Jan von Gerich, Chief Strategist

Sähköinen avustushaku

Lomake-editori Käyttöönottokoulutus

JHKA-jaosto Toni Äikäs / VM JulkICT

Työpajan tuloksia ma klo Verohallinto

JÄSENREKISTERIN REKISTERISELOSTE

Sivisverkon digitaaliset osaamismerkit

EU:n YLEINEN TIETOSUOJA-ASETUS FINNA-konsortioryhmä

Tiedon hallinnan viitearkkitehtuurin osa-alueet

YLEINEN TUKI TEHOSTETTU TUKI ERITYINEN TUKI YLEINEN TUKI

Lissabonin sopimus.

Rakennusmies putosi lämpöeristenipun päältä 2,3 metriä maahan

Pääsihteeri Sanna Kaisa Spoof ,

näkökulmia toimistotyön organisointiin ja kehittämiseen

Osakeyhtiön oikeudellinen riskienhallinta corporate governance, yritysetiikka, juristi “When written in Chinese, the word crisis is composed of two characters.

Yhteentoimivuusmenetelmän soveltaminen rekistereissä

ASA ASA rekisteri Laki 716/2000 Vna työhön liittyvän syöpävaaran torjunnasta Laki 717/2001 Syöpäsairauden aineille ammatissaan altistuvien rekisteristä.

OSALLISTUMISJÄRJESTELMÄT

Yleiset kirjastot ja tietosuoja

Ympäristöriskinarviointi viranomaistoiminnassa

Tiedotustilaisuus koulutusorganisaatioiden vastuuhenkilöille

Saavutettavuusvalvonta

EU:n tietosuoja-asetus (GDPR)

Eu:n uusi tietosuoja-asetus (gdpr)

OPH:n kansainvälistymispalvelut –osaston ohjelmia

TIETOSUOJA-OHJEET JOUKKUEILLE JA JAOSTOILLE

Päätösten lapsivaikutusten arviointi

GDPR:n hyvää syksyn alkua

Avustussääntö Hyvinvointipalvelut Vanhusneuvosto

Markku Kokkonen Kuulemistilaisuus

Viestinnän työkalupakki

GDPR - projektisuunnitelma

YHTEISTOIMINTA YRITYKSISSÄ

Asiakas- ja palveluohjaustyöryhmä helmikuu 2018

OSALLISTUMISJÄRJESTELMÄT

Laadunvarmistuksen työkalut Laadunvarmistus, toimijat ja niiden roolit

Rajat ylittävä terveydenhuolto ja järjestöyhteistyö

Kehittämispäällikkö Eija Lappalainen

LIIKEKAUPAN SOPIMUKSEN SUUNNITTELU KÄYTÄNNÖSSÄ

PERHEPÄIVÄHOIDON TUTKINTOTOIMIKUNNALLE

Ohjaus ja yhteistyö -korin tilanne - JORY 7. 5

SOPIMUKSEN TEKEMINEN EDUSTAJAN VÄLITYKSELLÄ

SOPIMUKSEN TEKEMINEN EDUSTAJAN VÄLITYKSELLÄ

”Projektin nimi” -projekti

Perheoikeudelliset palvelut

Video 4: Avoimen ja yhteisen rajapinnan hallintasuunnitelma

Tietosuoja-asetus ja Finna

REKISTERINPITÄJÄN VELVOLLISUUDET

EU:n uusi tietosuoja-asetus

YHTEISTOIMINTA YRITYKSISSÄ

Case VRK: tietosuojan työkirjat

Tietosuoja järjestötoiminnassa

Esityksen transkriptio:

Tietosuoja-asetuksen mukainen seloste käsittelytoimista Antti Ketola, 7.9.2017

Keskeiset käsitteet lyhyesti 1/2 Nykyinen henkilötietolaki (523/1999, HetiL): rekisteriseloste (HetiL 10 §) tietosuojaseloste (HetiL 10 ja 24 §:t) laajennettu rekisteriseloste Tietosuoja-asetus (2016/679, sovelletaan 25.5.2018 alkaen): seloste käsittelytoimista (asetuksen artikla 30) Tietoarkisto | www.fsd.uta.fi

Keskeiset käsitteet lyhyesti 2/2 Rekisterinpitäjä = määrittelee käsittelyn tarkoitukset ja keinot (tapauksen mukaan tutkimusorganisaatio tai tutkija/tutkijaryhmä) Funktionaalinen käsite, määrittelee vastuun Käsittelijä = käsittelee henkilötietoja rekisterinpitäjän lukuun esim. Tietoarkisto anonymisoi tutkimusaineiston rekisterinpitäjän toimeksiannosta Henkilötieto = kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (”Rekisteröity”) liittyvät tiedot Tietosuojatyöryhmä, ”Lausunto 4/2007 henkilötietojen käsitteestä” Objektiiviset tiedot Subjektiiviset tiedot (mielipiteet ja arviot) Eivät edellytä varmentamista (voivat olla virheellisiä) ”henkilötietojen käsite kattaa kaiken tiedon, jolla ilmaistaan mitä tahansa tietoa” ei riippuvainen esitystavasta tai tallennusvälineestä Tunnistaminen voi olla tapahtua suoraan tai epäsuorasti Arviossa huomioidaan kohtuullisesti toteutettavissa olevat keinot Tietoarkisto | www.fsd.uta.fi

Yleistä tietosuoja-asetuksen mukaisesta selosteesta 1/3 Tietosuoja-asetus edellyttää laatimaan selosteen käsittelytoimista Kyseessä enemmänkin yleisen tason kuvaus, ei yksityiskohtainen kuvaus henkilötiedoista Auttaa rekisterinpitäjää ja käsittelijää pitämään yleisen tason inventaariota henkilötietojen käsittelytoimista ja noudattamaan lainsäädäntöä Asetus määrittää selosteen minimisisällön ei estettä sisällyttää organisaation omien tarpeiden mukaan muuta metatietoa, ei kuitenkaan mielellään saisi häiritä minimisisällön selkeyttä kaksi muotoa: a) rekisterinpitäjän laatima seloste ja b) käsittelijän laatima seloste Selosteen edellytetään olevan kirjallisessa muodossa (mukaan lukien sähköinen muoto) Tietoarkisto | www.fsd.uta.fi

Yleistä tietosuoja-asetuksen mukaisesta selosteesta 2/3 Selosteella käsittelytoimista läheinen yhteys tietosuoja-asetuksen 6 artiklan 2 kohdan mukaiseen osoitusvelvollisuuteen ”Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta” (johdanto-osan kappale 82) Tietoarkisto | www.fsd.uta.fi

Yleistä tietosuoja-asetuksen mukaisesta selosteesta 3/3 Korvaa tietosuojadirektiiviin (95/46/EC) 18 ja 19 artikloihin perustuvia ilmoitusmenettelyitä HetiL 36 ja 37 §:n ilmoitusvelvollisuudet tietyissä tilanteissa Asetuksessa kuitenkin vielä ilmoituselementtejä (artikla 33 henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle, 36 artiklan ennakkokuuleminen) Ehdotuksessa kansalliseksi tietosuojalaiksi ilmoitusmenettely tieteellisessä tutkimuksessa tietosuojan vaikutustenarvioinnin kautta tietyissä tilanteissa Hallinnollinen sanktio mahdollinen selosteen laatimisen laiminlyönnistä (artikla 84 kohta 4 alakohta a) Enintään 10 000 000 euroa, tai jos kyseessä yritys, 2 % edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi on suurempi Tietoarkisto | www.fsd.uta.fi

Eroja nykyiseen rekisteriselosteeseen: funktiot ja sisältö Rekisteriselosteen (HetiL) ensisijaiset funktioita Avoimuus Rekisteröityjen informointi Suunnitteluvelvollisuus (HetiL 6 §) Selosteen käsittelytoimista (tietosuoja-asetus) funktioita Osoitusvelvollisuus Oman toiminnan lainmukaisuuden varmistaminen Tietovirtojen hahmottaminen Yhteneväisyyksiä rekisteriselosteen ja selosteen käsittelytoimista sisällöissä Nykyiset rekisteriselosteet voivat olla hyvä lähtökohta laadittaessa asetuksen mukaista selostetta käsittelytoimista Tietoarkisto | www.fsd.uta.fi

Eroja nykyiseen rekisteriselosteeseen: saatavilla pitäminen Henkilötietolaki 10 §: rekisteriseloste Oletava jokaisen saatavilla rekisterinpitäjän toimipaikassa tai esimerkiksi verkkosivulla voidaan poiketa eräissä erityistilanteissa (mm. valtion turvallisuus) Tietosuoja-asetuksen 30 artikla: seloste käsittelytoimista Saatettava seloste pyynnöstä valvontaviranomaisen saataville Rekisterinpitäjällä on silti yhä informointivelvoite, joka toteutuu etenkin asetuksen 12-14 artiklojen välityksellä Tietoarkisto | www.fsd.uta.fi

Kenellä on velvollisuus selosteen käsittelytoimista laatimiseen? Velvollisuus koskee sekä rekisterinpitäjää että käsittelijää Eroja selosteen vähimmäisisällöissä Rekisterinpitäjän määrittäminen tutkimuksissa tärkeää vastuiden selventämiseksi Rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista Käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista Velvollisuus koskee lisäksi tarvittaessa näiden edustajaa Liittyy eräisiin kansainvälisiin tilanteisiin Tietoarkisto | www.fsd.uta.fi

Selosteen käsittelytoimista laatiminen käytännössä Asetus jättää liikkumavaraa käytännön toteuttamisen kannalta, kunhan selosteeseen sisällytetään vähimmäistiedot Mikäli rekisterinpitäjänä on tutkija/tutkimusryhmä, asetuksen mukainen seloste on hyvin lähellä nykyistä rekisteriselostetta Hyvä muistaa, että organisaatio voi toimia sekä rekisterinpitäjän että käsittelijän rooleissa Voidaan antaa tietosuojavastaavan tehtäväksi “..nothing prevents the controller or the processor from assigning the DPO with the task of maintaining the record of processing operations under the responsibility of the controller or the processor. Such a record should be considered as one of the tools enabling the DPO to perform its tasks of monitoring compliance, informing and advising the controller or the processor. “, (WP 243 rev.01, s. 19) Mikäli valvontaviranomaiset julkaisevat mallipohjia selostetta varten, on nämä hyvä ottaa lähtökohdaksi Tietoarkisto | www.fsd.uta.fi

Nykyinen rekisteriseloste, HetiL 10 § Sisältö rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot henkilötietojen käsittelyn tarkoitus kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle kuvaus rekisterin suojauksen periaatteista Tietosuojavaltuutetun toimiston mallilomakkeet: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Seloste käsittelytoimista, sisältö Seloste käsittelytoimista sisältää rekisterinpitäjän ja käsittelijän kannalta kolme tietokategoriaa Pakolliset tiedot Tarvittaessa annettavat tiedot Mahdollisuuksien mukaan annettavat tiedot Tietoarkisto | www.fsd.uta.fi

Asetuksen mukainen seloste käsitelytoimista rekisterinpitäjän laatimana 1) Pakolliset tiedot rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot käsittelyn tarkoitukset kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat 2) Tarvittaessa annettavat tiedot tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto 3) Mahdollisuuksien mukaan annettavat tiedot eri tietoryhmien poistamisen suunnitellut määräajat yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Tietoarkisto | www.fsd.uta.fi

Asetuksen mukainen seloste käsittelytoimista käsittelijän laatimana 1) Pakolliset tiedot henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät 2) Tarvittaessa annettavat tiedot tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto 3) Mahdollisuuksien mukaan annettavat tiedot yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista Tietoarkisto | www.fsd.uta.fi

https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Tietoarkisto | www.fsd.uta.fi

Poikkeus laatimisvelvollisuudesta 1/2 Selostetta ei tarvitse laatia tilanteissa, joissa rekisterinpitäjä tai käsittelijä on a) yritys tai järjestö, jolla on b) alle 250 työntekijää Yrityksen määritelmä: taloudellista toimintaa harjoittava luonnollinen henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa Tietoarkisto | www.fsd.uta.fi

Poikkeus laatimisvelvollisuudesta 2/2 Seloste täytyy tästä huolimatta laatia, mikäli jokin seuraavista edellytyksistä täyttyy käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille käsittely ei ole satunnaista käsittely kohdistuu erityisiin tietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin Tietoarkisto | www.fsd.uta.fi

Kiitos