Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Työelämän
tietosuoja ja
tietosuojavastaavan
työkalupakki
Tietosuojavastaavan
peruskoulutus 2/3,
Snellman-kesäyliopisto, 2 ...
Työelämän tietosuoja
• Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus
tietää ja päättää omien henkilötietojensa kä...
• Henkilötietojen käsittely työpaikalla
• Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot
• Luottotiedot ja tur...
• Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin
sekä työntekijän työtehtäviin ja työsuht...
• Työnantajan on ensisijaisesti kerättävä työnhakijaa koskevat henkilötiedot
hakijalta itseltään (työelämän tietosuojalaki...
- Saako työnhakijoiden tai työntekijöiden taustoja selvittää
Internetin hakukoneiden kuten Googlen avulla?
- Saako sopivia...
Kuvakaappaus: Iltalehti, 22.7.2019,
https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76-
16b104acd646
Case: mite...
• Henkilö- ja soveltuvuusarviointitestit  Työelämän tietosuojalaki 13 §
– Työnhakijan/työntekijän suostumuksella.
– Vain ...
• Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet,
työyhteystiedot ja valokuvat esim. verkkosivuilla.
– Ty...
Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäv...
- Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja.
Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitä...
- Yrityksen intranetiin kerätään valokuvia mm. vuosijuhlista,
pikkujouluista ja muista tapahtumista.
- Miten valokuvia pit...
- Saako työnantaja laittaa työpaikalle näkyville listauksen, josta
käyvät ilmi eniten poissa olleiden työntekijöiden nimet...
• Kameravalvonta on sallittua VAIN, jos tarkoituksena on:
– työntekijöiden + muiden työnantajan tiloissa olevien henkilöko...
1. Selvitä ensin, onko muita vähemmän yksityisyyteen puuttuvia keinoja käytettävissä.
2. Rajoita kameravalvonta vain hyväk...
- Saako työnantaja paikantaa työntekijöitään?
- Saako paikannuksen tietoja käyttää työajan valvonnassa?
Kysymys: työntekij...
Kysymyksiä
työelämän
tietosuojasta?
Osoitusvelvollisuus ja dokumentointi
• Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan.
• Osoitusvelvollisuus edellyttää tietosuojaperi...
• Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakenn...
Ulkopuoliset henkilötietojen käsittelijät
Tietojen anto ulkopuoliselle taholle?
Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
R...
• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahv...
Riskiarviointi ja GDPR:n työkalut
• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen
kannalta tarpeellisia henkilötietoja
• Velvo...
• Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista
suojatoimista määräytyvät riskiperusteisesti
...
Henkilötietojen käsittelyn riskienhallinta
Henkilötietojen
käsittelyn nykytilan
arviointi
Henkilötietojen
käsittelyn
oikeu...
Tasapainotesti: oikeutettu etu
Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, https://tiet...
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos ri...
• Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena...
Vähintään 2 riskiä  vaikutustenarviointi
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkke...
Esimerkkejä vaik.arvioinnin tarpeesta
Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaank...
Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista...
Vaikutustenarvioinnin
kriteerit
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/83167
11/Vaikutus...
Keskustelu
&
kysymykset
Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Ki...
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Prochain SlideShare
Chargement dans…5
×

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki

237 vues

Publié le

Webinaari Snellman-kesäyliopiston järjestämällä Tietosuojavastaavan peruskurssilla (2 op) 2/3, 20.8.2019, Harto Pönkä, Innowise

Publié dans : Données & analyses
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki

  1. 1. Työelämän tietosuoja ja tietosuojavastaavan työkalupakki Tietosuojavastaavan peruskoulutus 2/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 20.8.2019 Kuva: Pixabay
  2. 2. Työelämän tietosuoja
  3. 3. • Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella. • Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä henkilöstölleen. • Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004) – Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin työnhakijaan. – Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän työsuhteeseen, merimieheen. – Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006) – Laki oltava nähtävillä työpaikalla (23 §) • Työnantajan huomioitava lisäksi mm. – Tietosuojalaki (1050/2018) – Laki sähköisen viestinnän palveluista (917/2014) – Julkisuuslaki (621/1999) – YT-laki (laki yhteistoiminnasta yrityksissä 334/2007) Yleistä työelämän tietosuojasta Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  4. 4. • Henkilötietojen käsittely työpaikalla • Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot • Luottotiedot ja turvallisuusselvitysmenettelyt • Terveydentilatietojen käsittely • Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma • Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus • Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta, työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö, paikantaminen • Sähköpostin ja tietoverkkojen käyttö • Internetin käyttö • YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4 • YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää). Yhteistoimintamenettelyssä käsit. asiat Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  5. 5. • Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin sekä työntekijän työtehtäviin ja työsuhteeseen. • Työnhakulomakkeissa ja haastatteluissa ei tulisi kysyä yksityiskohtaisia terveydentilaan liittyviä tietoja, vaan kysymykset tulee perustua työtehtäviin. – EI: ” Onko sinulla jokin vakava sairaus?” – OK: ”Onko terveydentilassanne jotakin, joka rajoittaa hakemanne työtehtävän hoitamista?” • Suunnittele etukäteen, mitä tietoja on tarpeen kerätä ja laadi tietosuoja- asetuksen mukainen seloste henkilötietojen käsittelystä. • Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi esiin työpaikalla (kehityskeskustelut, poissaolot, lomavuorot jne.). Tarpeellisuusvaatimus Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3, Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  6. 6. • Työnantajan on ensisijaisesti kerättävä työnhakijaa koskevat henkilötiedot hakijalta itseltään (työelämän tietosuojalaki 4§). • Jos työnantaja kerää henkilötietoja muualta, tarvitaan työnhakijan suostumus. – Suostumus ei ole tarpeen, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. • Vakiomuotoinen työnhakulomake ei toimi, jos jonkin tiedon kysyminen on perusteltua toiseen työtehtävään, mutta toiseen ei. – Jokaisen työtehtävän osalta tulisi suunnitella erikseen, mitkä tiedot ovat tarpeen. • Arkaluontoisten henkilötietojen (mm. terveys) käsittelyyn tarvitaan suostumus. • Työ-, virka- ja muissa palvelussuhteissa saadaan käsitellä henkilötunnusta. • Älä kysy työtehtävän kannalta tarpeettomia tietoja ja muista syrjintäkielto. – Esim. siviilisääty, perhesuhteet, lasten hankinta ja lapset, varusmiespalvelu, seurakunta tai uskontokunta, harrastukset, luottamustoimet, poliittiset mielipiteet, etninen alkuperä jne. • Työnantajan on kerrottava vastaamisen vapaaehtoisuudesta ja huolehdittava yleisen tietosuoja-asetuksen mukaisesti informoinnista. • Käytä verkkolomakkeissa salattua nettiyhteyttä (SSL-suojaus eli https://... ) Työnhakijoilta kerättävät tiedot Lisätietoa: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  7. 7. - Saako työnhakijoiden tai työntekijöiden taustoja selvittää Internetin hakukoneiden kuten Googlen avulla? - Saako sopivia työntekijöitä hakea sosiaalisen median palveluista kuten LinkedInistä? Kysymys: saako työnhakijaa googlata? • Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot ensisijaisesti häneltä itseltään. • Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta. – Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja). • Hakijalta voidaan työnhakulomakkeella pyytää suostumus häntä koskevien tarpeellisten tietojen hakuun hakukoneiden ja somepalvelujen avulla. • Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on myös oikeus tarkistaa itseään koskevat tiedot. • Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko- ja somepalveluista kuten LinkedInistä. • Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä, tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.
  8. 8. Kuvakaappaus: Iltalehti, 22.7.2019, https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76- 16b104acd646 Case: miten tarkistaa työnhakijan antamien tietojen oikeellisuus? • GDPR ja työelämän tietosuojalaki lähtevät rekisteröidyn oikeudesta tarkistaa ja korjata tietojaan. – Jos rekisteröity kiistää tietojen oikeellisuuden, tulee tietojen käyttöä rajoittaa kunnes ne on varmistettu (GDPR 18 a). • GDPR:n tietosuojaperiaatteiden mukaan rekisterinpitäjän tulee varmistaa tietojen täsmällisyys. • Rekisterinpitäjä voi pyytää rekisteröityä todistamaan tietojen oikeellisuus. • Verkosta löytyvät tiedot voivat olla virheellisiä, joten ne sopivat huonosti tietojen varmistamiseen. • Työnantaja voi pyytää työnhakijaa koskevia tietoja tämän suostumuksella mm. viranomaisten rekistereistä (esim. opintosuoritukset ovat julkisia tietoja).
  9. 9. • Henkilö- ja soveltuvuusarviointitestit  Työelämän tietosuojalaki 13 § – Työnhakijan/työntekijän suostumuksella. – Vain työtehtävien hoidon edellytysten tai koulutus- ja muun ammatillisen kehittämisen tarpeen selvittämiseksi. – Varmistettava, että testaukseen käytetään luotettavia testausmenetelmiä, suorittajat ovat asiantuntevia ja testauksella saadut tiedot virheettömiä. – Henkilöllä oikeus saada kirjallinen lausunto tuloksesta. • Henkilöluottotiedot  Työelämän tietosuojalaki 4 § • Terveydentilaa koskevat tiedot  Työelämän tietosuojalaki 5 § • Huumausainetestit  Työelämän tietosuojalaki 3 luku • Lasten kanssa työskentelevien rikostausta  Laki lasten kanssa työskentelevien rikostaustan selvittämisestä • Luotettavuuslausunnot  Turvallisuusselvityslaki Muut selvitykset työnhakijasta/-tekijästä Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  10. 10. • Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet, työyhteystiedot ja valokuvat esim. verkkosivuilla. – Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta. – Yhteystietojen julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tavoitettavissa. – Kuvan julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tunnistettavissa. • Työnantajan tulee tarvittaessa perustella tietojen julkaisu. Vaikka suostumusta ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä. • Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. • Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voidaan sanoa, että henkilö ei ole enää kyseisessä työtehtävässä. Työntekijöistä julkaistavat tiedot Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  11. 11. Vaitiolovelvollisuus henkilötiedoista • Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. • Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. • Laissa on lukuisia erityistapauksia, joissa säädetään erikseen salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot, tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.). – Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla rikoslain mukainen salassapitorikos. • Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee varmistua näiden vaitiolovelvollisuudesta esim. sopimuksella. Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120, Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
  12. 12. - Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja. Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitäjä? - Muodostuuko intran uutisista, joissa kerrotaan mm. uusista ja poislähtevistä työntekijöistä, rekisteri? Kysymys: tiedot henkilöstöstä • Yrityksen työntekijöiden tiedot muodostavat henkilörekisterin. Yrityksen oikeusperusteena on tällöin joko sopimus tai rekisterinpitäjän oikeutettu etu. • Yritys voi normaalisti julkaista työntekijöiden nimet, asemat ja työhön liittyvät yhteystiedot esimerkiksi intranetissä ja nettisivuilla sekä luovuttaa niitä mm. asiakkaille työtehtäviin liittyen. • Kun kerätään muiden yritysten yhteyshenkilöiden tietoja, ne muodostavat esimerkiksi asiakas- tai yhteistyökumppaneiden rekisterin. • Työntekijöiden valokuvien julkaisulle esimerkiksi nimitysuutisten yhteydessä kannattaa pyytää suostumus. • Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman suostumusta, sillä kyse on yksityiselämään liittyvistä tiedoista. Sen sijaan voidaan sanoa, että henkilö ei ole paikalla.
  13. 13. - Yrityksen intranetiin kerätään valokuvia mm. vuosijuhlista, pikkujouluista ja muista tapahtumista. - Miten valokuvia pitäisi GDPR:n mukaan käsitellä? - Muodostavatko valokuvat yritykselle rekistereitä? Kysymys: valokuvat tapahtumista • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Jos yritys tallentaa valokuvia henkilöstöstä kuvapankiksi myöhempää tarkemmin määrittelemätöntä käyttöä varten, kyse on henkilötietorekisteristä. • Yleisöltä suljetut yritysten tilat ja tilaisuudet ovat julkisrauhan suojaamia. Jos ulkopuolinen tunkeutuu tällaiseen tilaan, voi kyse olla julkisrauhan rikkomisesta. • Jos joku ulkopuolinen kuvaa tapahtumassa ilman lupaa ja kuvat loukkaavat henkilöiden yksityisyyttä, voi kyse olla salakatselusta. • Yrityksen tilaisuuteen kutsutut vieraat ja esim. toimittajat saavat kuvata. • Yleisölle avoimessa tapahtumassa saa kuvata kuka tahansa. • Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa.
  14. 14. - Saako työnantaja laittaa työpaikalle näkyville listauksen, josta käyvät ilmi eniten poissa olleiden työntekijöiden nimet? - Entä listan työntekijöistä tehtyjen valitusten määristä? Kysymys: sairauspoissaolot ja valitukset • Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy. • Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella. • Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat vaitiolovelvollisia. • Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa. • Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä työntekijöitä voida päätellä niistä. Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
  15. 15. • Kameravalvonta on sallittua VAIN, jos tarkoituksena on: – työntekijöiden + muiden työnantajan tiloissa olevien henkilökohtaisen turvallisuuden varmistaminen – omaisuuden suojaaminen – tuotantoprosessien sujumisen varmistaminen tai edellä mainittuja vaarantavien tilanteiden ennalta estäminen tai selvittäminen – vain työnantajan käytössä olevissa tiloissa • EI kameravalvontaa: – Henkilöstö- ja sosiaalitiloissa, pukeutumistilassa, käymälässä – Henkilökohtaisessa työhuoneessa • Kameravalvonta voidaan kohdistaa tiettyyn työpisteeseen, jos välttämätöntä: – Työntekijään kohdistuvan väkivallan, turvallisuuden tai terveyden uhan vuoksi – Omaisuuteen kohdistuvien rikosten estämiseksi ja selvittämiseksi, jos työntekijän tehtäviin olennaisesti niiden käsittely kuuluu, milloin omaisuus on arvoltaan tai määrältään ”merkittävää”, – Työntekijän pyynnöstä + sovittu työnantajan kanssa ja jos perustuu työntekijän etujen ja oikeuksien varmistamiseen. • EI KOSKAAN: – Työntekijän tai tiettyjen työntekijöiden tarkkailuun työpaikalla. – Ei myöskään työoikeudellisten velvoitteiden valvontaan, esim. työajan noudattaminen. Kameravalvonta työpaikalla Lähde: Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  16. 16. 1. Selvitä ensin, onko muita vähemmän yksityisyyteen puuttuvia keinoja käytettävissä. 2. Rajoita kameravalvonta vain hyväksyttyjen tarkoitusten kannalta välttämättömään. 3. Tietosuoja-asetusta sovelletaan aina työelämän erityislakia täydentävästi myös kameravalvontaan  Onko työntekijöitä informoitu läpinäkyvyysperiaatteen mukaisesti (mm. rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste, henkilötietojen vastaanottajat, tietojen säilytysajat.) 4. Onko sisäinen dokumentointi, mm. seloste käsittelytoimista laadittu? 5. Älä käytä tallenteita muihin kuin etukäteen suunnittelemiisi, hyväksyttäviin ja etukäteen ilmoittamiisi käyttötarkoituksiin. 6. Määrittele, kenellä organisaatiossa on työtehtävien tai asemansa vuoksi oikeus katsoa/käsitellä kameratallenteita rekisterinpitäjän ohjeiden mukaan. Huomioi suojaaminen sivullisilta. 7. Käy ensin YT- tai kuulumismenettely, tiedota sitten kameravalvonnan toteuttamisesta ja tarvittaessa kameroiden sijoittelusta (työpisteeseen kohdistuva valvonta). 8. Huolehdi, että tiloissa, joissa kameravalvontaa käytetään, siitä myös näkyvällä tavalla ilmoitetaan! Kameravalvonnan tarkistuslista Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä kameravalvonnasta, https://tietosuoja.fi/usein-kysyttya-kameravalvonta, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  17. 17. - Saako työnantaja paikantaa työntekijöitään? - Saako paikannuksen tietoja käyttää työajan valvonnassa? Kysymys: työntekijöiden paikannus • Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve. • Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan. • Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus. • Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin). • Paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden valvonnassa, kuten työajan seurannassa. – Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole käytettävissä muita keinoja. – Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen käyttötarkoitukseksi sekä käsitellä se YT-menettelyssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  18. 18. Kysymyksiä työelämän tietosuojasta?
  19. 19. Osoitusvelvollisuus ja dokumentointi
  20. 20. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
  21. 21. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
  22. 22. Ulkopuoliset henkilötietojen käsittelijät
  23. 23. Tietojen anto ulkopuoliselle taholle?
  24. 24. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  25. 25. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  26. 26. Riskiarviointi ja GDPR:n työkalut
  27. 27. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja • Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. • Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei julkaisesti saatavilla, vaan niitä käsitellään suojatusti. • Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tarpeelliset tekniset suojatoimet ja toimenpiteet organisaatiossaan. Esimerkiksi: – Henkilöstön koulutus – Ohjeistukset ja määräykset – Salassapitositoumukset – Tilojen ja tietojärjestelmien valvonta – Tietojärjestelmien tietoturva – Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset – Auditoinnit, tietotilinpäätökset jne. • Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf Oletusarvoinen tietosuoja
  28. 28. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
  29. 29. Henkilötietojen käsittelyn riskienhallinta Henkilötietojen käsittelyn nykytilan arviointi Henkilötietojen käsittelyn oikeusperusteet Tasapainotesti, jos käsittelyn perusteena on oikeutettu etu Vaikutustenarviointi, jos henkilötietojen käsittelyyn voi kohdistua korkea riski Tietosuojan varmistavat tekniset ja organisatoriset suojatoimet Rekisterinpitäjän seloste käsittelytoimista Rekisteröityjen informointi Sopimukset ja ohjeet henkilötietojen käsittelijöille Seuranta ja kehitys
  30. 30. Tasapainotesti: oikeutettu etu Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu 1. Onko oikeutettu etu sopivin käsittelyperuste? 2. Täyttyvätkö perusvaatimukset? Laillinen, selkeästi ilmaistu ja todellinen tarkoitus ja tarve. 3. Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi? 4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet? Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet • Tietojen käsittelyn täytyy olla tarpeen, jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) • Myös yleinen tai yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt). • Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn, joka on lähellä jotain muuta tarkoitusta, johon on muu oikeusperuste (esim. sopimus). • Esimerkkejä: suoramarkkinointi, tieteellinen ja historiallinen tutkimus sekä tilastointi, henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä. • Arkaluontoisten tietojen ja salassa pidettävien henkilötietojen käsittelylle on korkeammat vaatimukset. • Huomioi sekä konkreettiset että mahdolliset seuraukset. Esim. mahdollisuus käyttää tietoja syrjivästi ja rekisteröidylle aiheutuva mielipaha. • Arvioi riskien todennäköisyys, epävarmuustekijät ja seurauksien mahdollinen vakavuus. • Käsittely ei saa olla rekisteröidylle odottamatonta. • Heikossa asemassa olevien rekisteröityjen kuten lasten ja muiden haavoittuvassa asemassa olevien oikeuksien toteutumisessa on oltava huolellisempi. 5. Varmista tietosuojan lisätakeet Tekniset ja toiminnalliset keinot, joilla vähennetään henkilötietoihin kohdistuvia riskejä. Esim. tietojen minimointi, anonymisointi ja korkea tietoturva. 6. Osoita toiminnan lainmukaisuus ja varmista avoimuus Dokumentoi tasapainotestin suoritus ja valmistaudu selittämään käsittelyn perusteet rekisteröidyille. vs.
  31. 31. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  32. 32. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  33. 33. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä. • Vaikutustenarviointi tulee tehdä erityisesti, kun: – otetaan käyttöön uutta teknologiaa – käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista – on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista – on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. • Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea (ks. ao. ohje). • Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). • Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti. • Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi. pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf Milloin on tehtävä vaikutustenarviointi? Lähde: Tietosuojavaltuutetun toimisto, 2017, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html
  34. 34. Vähintään 2 riskiä  vaikutustenarviointi Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä 1. Arviointi tai pisteytys Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia * Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen kameravalvonta. 4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen * Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta. Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  35. 35. Esimerkkejä vaik.arvioinnin tarpeesta Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko todennäköisesti vaikutustenarviointi? Yritys seuraa järjestelmällisesti työntekijöidensä toimintaa, esimerkiksi työntekijöiden työasemia ja toimintaa internetissä jne. - Järjestelmällinen valvonta - Heikossa asemassa olevia rekisteröityjä koskevat tiedot KYLLÄ Sosiaalisen median julkisten tietojen kerääminen profiilien laatimiseksi. - Arviointi tai pisteytys - Tietojen laajamittainen käsittely - Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen - Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot KYLLÄ Heikossa asemassa olevia rekisteröityjä koskevien ja peitenimellä tallennettujen, tutkimushankkeisiin tai kliinisiin tutkimuksiin liittyvien arkaluontoisten henkilötietojen tallentaminen arkistointitarkoituksiin. - Arkaluontoiset tiedot - Heikossa asemassa olevia rekisteröityjä koskevat tiedot - Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta KYLLÄ (useita kriteereitä) Verkkolehti käyttää postituslistaa päivittäisen yleiskoosteen lähettämiseen tilaajilleen - Tietojen laajamittainen käsittely EI (vain 1 kriteeri) Sähköisen kaupankäynnin verkkosivustolla esitetään museoajoneuvojen osia koskevia ilmoituksia, joihin liittyy kyseisellä verkkosivustolla katsottuihin tai hankittuihin tavaroihin perustuva rajoitettu profilointi - Arviointi tai pisteytys EI (vain 1 kriteeri) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  36. 36. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  37. 37. Vaikutustenarvioinnin kriteerit Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/83167 11/Vaikutustenarviointi+fi.pdf/af51e999-5326- 4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  38. 38. Keskustelu & kysymykset
  39. 39. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×