Talent Base Aamiaistilaisuus 25.11.2016 Inhimillinen ja käytännönläheinen tietosuoja Käytännön kokemuksia tietosuoja-asetukseen liittyvistä asiakascaseista. Esittäjä: Kaisa Keski-Vähälä, Counsel, Castrén & Snellman. Tietosuojakonsultointi digitaalisten ratkaisujen suunnitteluun ja kehittämiseen. Tietosuojaohjelmat ja tietosuojakulttuurin rakentaminen. Lue lisää Talent Basen tietosuojapalveluista: http://www.talentbase.fi/palvelut/informaationhallinta/tietosuoja/

1. Käytännön kokemuksia tietosuoja-asetukseen
liittyvistä asiakascaseista
Talent Base Aamiaistilaisuus 25.11
1© Castrén & Snellman

2. Kansalliset toimenpiteet
• Oikeusministeriö on asettanut työryhmän
selvittämään, mitä muutoksia asetus edellyttää
suomalaiseen lainsäädäntöön
o Toimikausi 17.2.2016-16.2.2018
o Työryhmän ehdotukset kansallisiksi lakimuutoksiksi
valmiit 31.5.2017 mennessä
o Jäsenvaltiot voivat säätää tarkemmin mm.
terveystietojen sekä työntekijöiden henkilötietojen
käsittelystä
2© Castrén & Snellman

3. ”Accountability” kantavana periaatteena
- mitä se tarkoittaa käytännössä?
3© Castrén & Snellman
Mitä teemme, mitkä ovat palvelumme?

4. Havaintoja tietosuoja-auditeista
• Epäselvää, mitä tietoja kerätään, millä perusteella ja mihin
tarkoituksiin
• Tietojen säilytysaika epäselvä – useimmiten tiedot jäävät
järjestelmiin pitkiksi ajoiksi
• Roolit epäselviä – rekisterinpitäjä vai käsittelijä?
• Palveluntarjoajien kanssa ei ole sovittu henkilötietojen
käsittelystä eikä ulkoistusilmoituksia ole tehty
• Tietojen sijainti epäselvä (EU:n sisällä vai ei)
• Sisäiset vastuut epäselvät – kuka vastaa esim. rekisteröityjen
pyyntöihin ja miten?
4© Castrén & Snellman

5. Privacy by design&default
• Mitä privacy by design & default tarkoittaa
käytännössä?
• Oletusarvoinen tietosuoja
• Lainsäädännön vaatimukset palveluihin&tuotteisiin
5© Castrén & Snellman

6. 6© Castrén & Snellman
Rekisteröidyn oikeudet vahvistuvat
Mitä se tarkoittaa käytännössä?
Kilpailuvaltti!

7. Mikä on tietovuoto?
Miten ja milloin laadimme tietovuotoihin liittyvän ilmoituksen käytännössä?
Viestintä mukaan!
7© Castrén & Snellman

8. Muuta huomioitavaa?
Sopimukset
© Castrén & Snellman 8

9. Ulkoistammeko henkilötietojen
käsittelyä?
• Mikä katsotaan henkilötietojen käsittelyn
ulkoistamiseksi?
• Mitä velvollisuuksia se tuo tullessaan?
• Onko palveluntarjoajalla velvollisuuksia?
• Vrt. henkilötietolain vähäiset velvoitteet
käsittelijöille & asetuksen uudet vaatimukset
• Suuri muutos vastuiden jakautumisessa
• Miten tietosuojavastuista sovitaan käytännössä?
9© Castrén & Snellman

10. Uudet hallinnolliset seuraamukset
• Tapauskohtainen kokonaisvaltainen harkinta
• Muita seuraamuskeinoja myös käytössä
• Riippuen rikkomuksen luonteesta:
o MEUR 10 tai 2% globaalista
liikevaihdosta
o MEUR 20 tai 4% globaalista
liikevaihdosta
10© Castrén & Snellman

11. Kukaan ei ole valmis…
11© Castrén & Snellman

12. Valmistautuminen uusiin vaatimuksiin
 Vastaako tämän päivän toiminta henkilötietolain
vaatimuksia?  auditointi
 Nimeä vastuuhenkilö(-t) / tietosuojavastaava
 Tunnista henkilötiedot/järjestelmät/prosessit/roolit
 Määrittele rekisterinpitäjät tarpeet ja tahtotila
 Laadi projektisuunnitelma ja aikataulut
 Seuraa kansallisen lainsäädännön kehitystä
 Käy läpi olemassa olevat IT-sopimukset
 Laadi tarvittavat dokumentit / toimintasuunnitelmat
 Jaa tietoa organisaatiossa
12© Castrén & Snellman

13. 13Kuva: http://www.smartinsights.com/marketplace-analysis/digital-marketing-laws/marketing-implications-of-the-eu-general-data-protection-regulation-gdpr/

14. Kiitos!
Kaisa Keski-Vähälä
Counsel
kaisa.keski-vahala@castren.fi
Twitter: #CastrenPrivacy
Asianajotoimisto Castrén &
Snellman Oy
14© Castrén & Snellman