Contenu connexe
Similaire à Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista (20)
Käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
- 2. Kansalliset toimenpiteet
• Oikeusministeriö on asettanut työryhmän
selvittämään, mitä muutoksia asetus edellyttää
suomalaiseen lainsäädäntöön
o Toimikausi 17.2.2016-16.2.2018
o Työryhmän ehdotukset kansallisiksi lakimuutoksiksi
valmiit 31.5.2017 mennessä
o Jäsenvaltiot voivat säätää tarkemmin mm.
terveystietojen sekä työntekijöiden henkilötietojen
käsittelystä
2© Castrén & Snellman
- 4. Havaintoja tietosuoja-auditeista
• Epäselvää, mitä tietoja kerätään, millä perusteella ja mihin
tarkoituksiin
• Tietojen säilytysaika epäselvä – useimmiten tiedot jäävät
järjestelmiin pitkiksi ajoiksi
• Roolit epäselviä – rekisterinpitäjä vai käsittelijä?
• Palveluntarjoajien kanssa ei ole sovittu henkilötietojen
käsittelystä eikä ulkoistusilmoituksia ole tehty
• Tietojen sijainti epäselvä (EU:n sisällä vai ei)
• Sisäiset vastuut epäselvät – kuka vastaa esim. rekisteröityjen
pyyntöihin ja miten?
4© Castrén & Snellman
- 5. Privacy by design&default
• Mitä privacy by design & default tarkoittaa
käytännössä?
• Oletusarvoinen tietosuoja
• Lainsäädännön vaatimukset palveluihin&tuotteisiin
5© Castrén & Snellman
- 6. 6© Castrén & Snellman
Rekisteröidyn oikeudet vahvistuvat
Mitä se tarkoittaa käytännössä?
Kilpailuvaltti!
- 7. Mikä on tietovuoto?
Miten ja milloin laadimme tietovuotoihin liittyvän ilmoituksen käytännössä?
Viestintä mukaan!
7© Castrén & Snellman
- 9. Ulkoistammeko henkilötietojen
käsittelyä?
• Mikä katsotaan henkilötietojen käsittelyn
ulkoistamiseksi?
• Mitä velvollisuuksia se tuo tullessaan?
• Onko palveluntarjoajalla velvollisuuksia?
• Vrt. henkilötietolain vähäiset velvoitteet
käsittelijöille & asetuksen uudet vaatimukset
• Suuri muutos vastuiden jakautumisessa
• Miten tietosuojavastuista sovitaan käytännössä?
9© Castrén & Snellman
- 10. Uudet hallinnolliset seuraamukset
• Tapauskohtainen kokonaisvaltainen harkinta
• Muita seuraamuskeinoja myös käytössä
• Riippuen rikkomuksen luonteesta:
o MEUR 10 tai 2% globaalista
liikevaihdosta
o MEUR 20 tai 4% globaalista
liikevaihdosta
10© Castrén & Snellman
- 12. Valmistautuminen uusiin vaatimuksiin
Vastaako tämän päivän toiminta henkilötietolain
vaatimuksia? auditointi
Nimeä vastuuhenkilö(-t) / tietosuojavastaava
Tunnista henkilötiedot/järjestelmät/prosessit/roolit
Määrittele rekisterinpitäjät tarpeet ja tahtotila
Laadi projektisuunnitelma ja aikataulut
Seuraa kansallisen lainsäädännön kehitystä
Käy läpi olemassa olevat IT-sopimukset
Laadi tarvittavat dokumentit / toimintasuunnitelmat
Jaa tietoa organisaatiossa
12© Castrén & Snellman