tietosuoja - jhlkaikki henkilötieto on tietosuoja-asetuksen alaista! julkisten ja hyvinvointialojen...
TRANSCRIPT
Julkisten ja hyvinvointialojen liitto JHL
Tietosuoja
18.5.2018
Perttu Marttila / SoulCore
Julkisten ja hyvinvointialojen liitto JHL
Koulutuksen sisältö
• Koulutuksen tavoite
• Miten JHL tukee yhdistysten tietosuojaosaamista
• Mikä tietosuoja ja tietosuojaterminologiaa
• Tietosuojan huomioiminen yhdistystoiminnassa
21.5.2018 [Tekijä]
2
Julkisten ja hyvinvointialojen liitto JHL
Paikallisyhdistykset ja tietosuojaosaaminen
21.5.2018
3
JHL Kouluttajat
Yhdistys ja
-toimijat
Tukee
Kouluttaa
Tukee
Kouluttaa
Ohjeistaa
Yhteisrekisteri (jäsenrekisteri)
Tietosuojavastaava: Hannu Viljanen
Tutustuu itsenäisesti
Tarvittaessa ostaa palveluita ulkopuolisilta
Julkisten ja hyvinvointialojen liitto JHL
Miten JHL tukee yhdistyksiä
tietosuojatyössä?
• Kouluttajakoulutus ja ohjeistukset
• JHL tietosuojavastaava tukee kouluttajien työtä
tarvittaessa
• Hannu Viljanen (JHL tietosuojavastaava)
• Tietosuojaan liittyvissä kysymyksissä yhdistykset voivat
saada apua
• JHL kouluttajilta
• Netistä
• Ostamalla apua ulkopuolisilta palveluntarjoajilta
21.5.2018 [Tekijä]
4
Julkisten ja hyvinvointialojen liitto JHL
Yhteisrekisteri - Jäsenrekisteri
• Yhteisrekisteri on usean rekisterinpitäjän yhdessä ylläpitämä henkilörekisteri
• Yhteinen tietosuojavastaava
• Yhteiset rekisteriselosteet
• Yhteiset tietosuojakäytännöt
• HUOM! Paikallisyhdistysten itse ylläpitämät muut henkilörekisterit EIVÄT ole osa yhteisrekisteriä vaan yhdistys toimii näissä itsenäisesti rekisterinpitäjänä
21.5.2018 [Tekijä]
5
Yhteinen henkilörekisteri
(Jäsenrekisteri)
YHTEISREKISTERINPITÄJÄ
Rekisterinpitäjä
JHL
Rekisterinpitäjä
Paikallisyhdistykset
Muista!
Kaikki henkilötieto on tietosuoja-asetuksen alaista!
Julkisten ja hyvinvointialojen liitto JHL
Mikä tietosuoja ja tietosuojaterminologiaa
21.5.2018
6
Julkisten ja hyvinvointialojen liitto JHL
EU:n tietosuoja-asetus (GDPR - General Data Protection Regulation)
• Aletaan soveltaa 25.5.2018
• Tarkoitus • Yksityistä henkilöä suojataan hänen henkilötietojensa vahingolliselta tai ei-
toivotulta käytöltä.
• Yhtenäistää henkilötietojen tietosuojalainsäädännön EU-alueella
• Lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä.
• Tiukemmat seuraamukset • Ohjeistus Varoitus Huomautus Tietojenkäsittelyn keskeyttäminen
Sakko
• Koskee kaikkia rekisterinpitäjiä ja henkilötietoja käsitteleviä organisaatioita
• Tietosuojaan liittyvä lainsäädäntö ja tulkinnat tarkentuvat jatkossa • Uusia asetuksia tulossa (esim. e-Privacy act),
• Kansallinen lainsäädäntö uudistuu (henkilötietolaki korvataan uudella lainsäädännöllä)
• Tulkinnat tarkentuvat
21.5.2018
7
Julkisten ja hyvinvointialojen liitto JHL
Tietosuoja?
• Tietosuojalainsäädäntö ei suojaa tietoa, vaan yksilöä ja hänen oikeuksiaan tietoihinsa.
• Yksilöä suojataan hänen henkilötietojensa vahingolliselta käytöltä.
• TIEDOLLINEN ITSEMÄÄRÄÄMISOIKEUS on henkilön oikeutta päättää itse henkilötietojensa käsittelystä
21.5.2018
8
Yksilön oikeudet
Rekisterinpitäjän
velvollisuudet
Yksityisyyden
suojaaminen
Julkisten ja hyvinvointialojen liitto JHL
Henkilötieto
• Henkilötiedoilla (Personal data) tarkoitetaan kaikkia
tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön, eli rekisteröityyn, liittyviä tietoja.
• Tunnistettavissa olevana pidetään henkilöä, joka voidaan
suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten
• nimen,
• henkilönumeron,
• sijaintitiedon,
• verkkotunnistetietojen taikka yhden tai useamman hänelle
tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen,
taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
21.5.2018
9
Julkisten ja hyvinvointialojen liitto JHL
Erityisen herkät henkilötiedot (Artikla 9)
• Rotu tai etninen alkuperä
• Poliittiset mielipiteet
• Uskonnollinen tai filosofinen vakaumus
• Ammattiliiton jäsenyys
• Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
• Terveyttä koskevat tiedot
• Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot
• Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely
21.5.2018
10
Julkisten ja hyvinvointialojen liitto JHL
Rekisterinpitäjä vs. henkilötietojen käsittelijä
Rekisterinpitäjä
• Perustanut henkilörekisterin omiin tarpeisiinsa (käyttötarkoitus & tarpeellisuus)
• Riittävä tietosuoja ja tietoturva huomioitava
• Määrää henkilörekisterin käytöstä
• EI omista henkilötietoja • Rekisterinpitäjä saanut henkilöltä luvan
joko erillisellä suostumuksella tai on oikeutettu muihin syihin vedoten ylläpitämään rekisteriä
• Henkilö itse omistaa omat tietonsa
• Esimerkki: JHL & paikallisyhdistykset toimivat yhteisrekisterinpitäjänä – Jäsenrekisteri
Käsittelijät
• Käsittelee tietoja rekisterinpitäjän puolesta rekisterinpitäjän lukuun
• Riittävä tietosuoja ja tietoturva huomioitava
• Sallittu vain kirjallisella luvalla
• Henkilötietoja saa käsitellä vain rekisterinpitäjien antamien kirjallisten ohjeiden mukaisesti
• Esimerkki: Tietojärjestelmää ylläpitävä organisaatio käsittelee työnsä yhteydessä henkilötietoja
• ESimerkki2: Markkinointikumppani käyttää jäsenrekisterin tietoja JHL:n toimeksiannosta markkinointityössä
21.5.2018 [Tekijä]
11
Julkisten ja hyvinvointialojen liitto JHL
HENKILÖTIETOJEN
SIIRTO VS. LUOVUTUS
REKISTERINPITÄJÄ
KÄSITTELIJÄ
SIIRTO
Siirto
• Siirrossa ulkoiselle käsittelijälle
käsittely tapahtuu rekisterinpitäjän
lukuun rekisterinpitäjän
henkilörekisterissä.
• Sopimus ja kirjalliset ohjeet
laadittava.
Luovutus
• Rekisterinpitäjä luovuttaa henkilötiedon omasta
rekisteristään toisen rekisterinpitäjän rekisteriin.
• Vastaanottajalla on oikeus käsitellä tietoja.
• Tiedonsaantioikeudet ja luovutusvelvollisuudet.
• Erityisiä velvoitteita jos siirto ulkomaille ja
varsinkin jos siirto EU-alueen ulkopuolelle.
REKISTERINPITÄJÄ LUOVUTUS
Julkisten ja hyvinvointialojen liitto JHL
Yhdistyksen toiminta ja tietosuoja
21.5.2018
13
Julkisten ja hyvinvointialojen liitto JHL
Yleistä henkilötietojen käsittelystä
• Pohtikaa yhdistyksessä mitä ja miten henkilötietoja
käsittelette
• ”tietosuojasilmälasit” päähän ja käykää koko toiminta pikaisesti
läpi
• Missä ja milloin henkilötietoja käsitellään? Mitä henkilötietoja
näissä yhteyksissä kerätään?
• Mihin henkilötietoja näissä yhteyksissä tallennetaan?
• Onko meillä oikeus käsitellä henkilötietoja? Onko kysytty
suostumus?
• Mihin asti henkilötietoja tarvitaan? Milloin voimme poistaa niitä?
Mihin asti saamme henkilötietoja ylipäätään säilyttää?
21.5.2018 [Tekijä]
14
Julkisten ja hyvinvointialojen liitto JHL
Tietosuoja yhdistyksen toiminnassa
vuodesta toiseen
• Yhdistyksen aktiivit ovat vastuussa kunkin vuoden
toiminnasta – myös tietosuojasta
• Jokaisen aktiivin tulisi ymmärtää miten tietosuoja-asiassa
tulisi toimia
• Uudet toimijat on koulutettava ja tietämys siirrettävä
eteenpäin asianmukaisesti.
• Hyvät tietosuojakäytännöt vs. hyvät kokous käytännöt
21.5.2018 [Tekijä]
15
Julkisten ja hyvinvointialojen liitto JHL
Henkilötietojen kerääminen – Viesti henkilölle mitä
ja miksi olet tekemässä
• Kerättäessä henkilötietoja kerro kohteena olevalle henkilölle: • Rekisterinpitäjän tiedot (nimi, yhteystiedot)
• Henkilötietojen käsittelyn tarkoitus
• Mitä henkilötietoja olet keräämässä
• Kuinka kauan henkilötietoja tullaan säilyttämään
• Mihin tietoja säännönmukaisesti luovutetaan • Esim. suoramarkkinointitarkoituksiin (ks. Suostumus)
• Henkilön oikeudet • Tarkastaa omat tietonsa, kieltää tietojensa käsittely, pyytää poistamaan
tietonsa, oikeus perua suostumuksensa milloin tahansa, jne. (ks. Artikla 13)
• Kysy lupa (suostumus) suoramarkkinointi tms. tarkoituksiin
21.5.2018 [Tekijä]
16
Julkisten ja hyvinvointialojen liitto JHL
SUOSTUMUS & SOPIMUS ANTAA OIKEUDEN
KÄSITELLÄ HENKILÖTIETOJA
Henkilötietolaki 8§ (VÄISTYVÄ)
Käsittelyn yleiset edellytykset
Tietosuoja-asetus 6 Artikla
Käsittelyn lainmukaisuus
Suostumus Suostumus
Sopimus ja rekisteröidyn toimeksianto Sopimus
Rekisteröidyn elintärkeä etu Luonnollisen henkilön elintärkeä etu
Lakisääteisyys tai lakiin perustuva tehtävä Lakisääteinen velvoite
Laissa säädetty yleinen etu tai julkisen vallan
käyttäminen
Rekisterinpitäjän tai kolmannen osapuolen
oikeutettu etu
Asiallinen yhteys (asiakkuus, työsuhde, jäsenyys..) Poistuu
Konserni-poikkeus Poistuu
Rekisterinpitäjän toimeksianto Poistuu
Asema tai tehtävä kuvaavat yleisesti saatavissa
olevat tiedot joilla turvataan rekisterinpitäjän tai
tiedot saavan sivullisen oikeuksia ja etuja
Poistuu
Tietosuojalautakunnan lupa Poistuu
17
Julkisten ja hyvinvointialojen liitto JHL
Henkilön oikeudet omiin tietoihinsa
21.5.2018 [Tekijä]
18
Rekisteröidyn oikeus Viittaus asetukseen
Rekisteröidyn oikeus saada pääsy tietoihin 15 Artikla
Oikeus tietojen oikaisemiseen 16 Artikla
Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) 17 Artikla
Oikeus käsittelyn rajoittamiseen 18 Artikla
Oikeus siirtää tiedot järjestelmästä toisen rekisterinpitäjän
järjestelmään
20 Artikla
Oikeus vastustaa automaattista käsittelyä 21 Artikla
Julkisten ja hyvinvointialojen liitto JHL
Pyyntöjen käsittely (JHL prosessi)
Mikäli henkilö käyttää oikeuttaan ja pyytää JHL:ää toimimaan jonkin oikeutensa osalta:
1. Paikallisyhdistys • Ohjaa henkilö aluetoimistoon tai keskustoimistoon
tunnistautumista ja virallista pyyntöä varten
2. Aluetoimisto / Keskustoimisto • Pyyntö kirjataan viralliseen pyyntölomakkeeseen
• Esim. tietopyynnön, poiston tai käsittelyn rajoittamisen osalta henkilö voi valita tietojoukkoja joita voi pyytää käsiteltävän (esim. jäsenmaksutiedot, kurssitiedot, edunvalvontaan liittyvät tapaukset ja yhteydenotot)
• Pyyntö välitetään JHL:n tietosuojavastaavalle ([email protected])
3. Tietosuojatiimi • Käsittelee pyynnön ja toimii pyynnön mukaisesti (eli esim. välittää
tietopyynnön materiaalin pyytäjälle)
21.5.2018 [Tekijä]
19
Julkisten ja hyvinvointialojen liitto JHL
Tietosuojapoikkeamat
• Tietosuojaloukkaus / Tietomurto
• Tiedon luvaton katselu tai käsittely
• Poikkeaman tapahtuessa OTA VÄLITTÖMÄSTI YHTEYTTÄ JHL:n tietosuojavastaavaan ([email protected] / 050 412 8094) • Ilmoitus valvontaviranomaiselle 72 tunnin kuluessa (33 Artikla)
• korkean riski luonnollisten henkilöiden oikeuksille ja vapauksille ilmoitus rekisteröidylle ilman aiheetonta viivytystä. (34 Artikla)
• Henkilötietojen käsittelijän ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niiden yksityiskohdat, niiden vaikutus sekä mihin korjaaviin toimenpiteisiin on kulloinkin ryhdytty.
21.5.2018
20
Julkisten ja hyvinvointialojen liitto JHL
Tietosuojapoikkeama – ilmoitus
(33 Artikla & 34 Artikla)
HUOM! Jos poikkeama liittyy JHL:n jäsenrekisterin tietoihin niin ilmoituksen tekee JHL:n tietosuojavastaava. Muussa tapauksessa yhdistyksen tulee hoitaa ilmoitus itse.
Ilmoituksen minimisisältö: • Tietoturvaloukkauksen kuvaus, loukkauksen kohteeksi joutuneiden
rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
• Tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa.
• Henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset.
• Kuvaus toimenpiteistä, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
• Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä
21.5.2018
21
Julkisten ja hyvinvointialojen liitto JHL
Osoitusvelvollisuus
• Rekisterinpitäjällä ja tietojen käsittelijällä on osoitusvelvollisuus (accountability)
• On pystyttävä osoittamaan, että kaikessa henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta
21.5.2018
22
Tietosuoja-
vastuut
(esim.
tietosuoja-
vastaava)
Vaikutusten-
arvioinnit /
esiselvityk-
set
• Jatkuva
prosessi
Seloste
käsittely-
toimista
Sopimukset
tietojen
käsittelystä
Käytännöt,
ohjeet..
Toiminnan
dokumen-
tointi
•Pyynnöt
•Poikkeamat
•Auditoinnit
•Päätökset,
kokoukset,
toimenpiteet
Dokumentointi
Julkisten ja hyvinvointialojen liitto JHL
Rekisteröidyn oikeudet
Oikeus Selitys
Informointi Oikeus tietää miten hänen tietojaan käsitellään
(etukäteen / ensimmäisen käsittelyn yhteydessä)
Tarkastusoikeus Oikeus saada ote kaikista hänestä tallennetuista
tiedoista
Tietojen siirrettävyys
Oikeus siirtää tietonsa rekisterinpitäjältä toiselle
Ei aiheuta yhdistyksille toimenpiteitä
Rajoittaminen Oikeus rajoittaa henkilötietojensa käsittelyä
Oikaisut Oikeus saada oikaistua henkilötiedoissaan olevat
virheet
Hävittäminen Oikeus saada henkilötietonsa hävitettyä
21.5.2018 [Tekijä]
23
Julkisten ja hyvinvointialojen liitto JHL
Tietojen siivoaminen
• Siivoa pois kaikki henkilötiedot / henkilörekisterit joita et
enää tarvitse
• Tiedostot, paperit, jne.
• Tehkää suunnitelma milloin tiedot on syytä poistaa ja noudattakaa
suunnitelmaa
21.5.2018 [Tekijä]
24
Julkisten ja hyvinvointialojen liitto JHL
Tietojen siirto EU-alueen ulkopuolelle
• Tietosuoja-asetus on laadittu turvaamaan EU-kansalaisten tietosuoja.
• Siirrettäessä tietoja EU-alueen ulkopuolelle joudutaan asetuksen lisäpykälien piiriin • Esim. Henkilötietoja voidaan siirtää EU:n jäsenvaltioiden tai
Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.
21.5.2018 [Tekijä]
25
Julkisten ja hyvinvointialojen liitto JHL
Yhteenveto
21.5.2018
26
Julkisten ja hyvinvointialojen liitto JHL
JHL:n yhdistysten tietosuojatarpeet tiivistetysti
• Tietosuoja-asetus koskee myös yhdistysten toimintaa
• Jäsenrekisteri on JHL:n ja paikallisyhdistyksien
yhteisrekisteri.
• Yhteinen tietosuojavastaava, seloste käsittelytoimista ja
tietosuojakäytännöt
• Käsittele kaikkia henkilötietoja AINA asiaankuuluvasti
• Pidä huoli että keräät ja käsittelet henkilötietoja joihin sinulla on
oikeus
• Pidä huoli että henkilötiedot pysyvät tallessa
• Pidä huoli ettei henkilötietoja jaeta paikoissa tai tahoille joihin ne
eivät kuulu
• Hävitä henkilötiedot kun et niitä enää tarvitse
21.5.2018 [Tekijä]
27
Julkisten ja hyvinvointialojen liitto JHL
KIITOS!
21.5.2018
28