tietosuoja - jhlkaikki henkilötieto on tietosuoja-asetuksen alaista! julkisten ja hyvinvointialojen...

Julkisten ja hyvinvointialojen liitto JHL

Tietosuoja

18.5.2018

Perttu Marttila / SoulCore


Koulutuksen sisältö

• Koulutuksen tavoite

• Miten JHL tukee yhdistysten tietosuojaosaamista

• Mikä tietosuoja ja tietosuojaterminologiaa

• Tietosuojan huomioiminen yhdistystoiminnassa

21.5.2018 [Tekijä]

2


Paikallisyhdistykset ja tietosuojaosaaminen

21.5.2018

3

JHL Kouluttajat

Yhdistys ja

-toimijat

Tukee

Kouluttaa

Tukee

Kouluttaa

Ohjeistaa

Yhteisrekisteri (jäsenrekisteri)

Tietosuojavastaava: Hannu Viljanen

Tutustuu itsenäisesti

Tarvittaessa ostaa palveluita ulkopuolisilta


Miten JHL tukee yhdistyksiä

tietosuojatyössä?

• Kouluttajakoulutus ja ohjeistukset

• JHL tietosuojavastaava tukee kouluttajien työtä

tarvittaessa

• Hannu Viljanen (JHL tietosuojavastaava)

• Tietosuojaan liittyvissä kysymyksissä yhdistykset voivat

saada apua

• JHL kouluttajilta

• Netistä

• Ostamalla apua ulkopuolisilta palveluntarjoajilta

21.5.2018 [Tekijä]

4


Yhteisrekisteri - Jäsenrekisteri

• Yhteisrekisteri on usean rekisterinpitäjän yhdessä ylläpitämä henkilörekisteri

• Yhteinen tietosuojavastaava

• Yhteiset rekisteriselosteet

• Yhteiset tietosuojakäytännöt

• HUOM! Paikallisyhdistysten itse ylläpitämät muut henkilörekisterit EIVÄT ole osa yhteisrekisteriä vaan yhdistys toimii näissä itsenäisesti rekisterinpitäjänä

21.5.2018 [Tekijä]

5

Yhteinen henkilörekisteri

(Jäsenrekisteri)

YHTEISREKISTERINPITÄJÄ

Rekisterinpitäjä

JHL

Rekisterinpitäjä

Paikallisyhdistykset

Muista!

Kaikki henkilötieto on tietosuoja-asetuksen alaista!


Mikä tietosuoja ja tietosuojaterminologiaa

21.5.2018

6


EU:n tietosuoja-asetus (GDPR - General Data Protection Regulation)

• Aletaan soveltaa 25.5.2018

• Tarkoitus • Yksityistä henkilöä suojataan hänen henkilötietojensa vahingolliselta tai ei-

toivotulta käytöltä.

• Yhtenäistää henkilötietojen tietosuojalainsäädännön EU-alueella

• Lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä.

• Tiukemmat seuraamukset • Ohjeistus Varoitus Huomautus Tietojenkäsittelyn keskeyttäminen

Sakko

• Koskee kaikkia rekisterinpitäjiä ja henkilötietoja käsitteleviä organisaatioita

• Tietosuojaan liittyvä lainsäädäntö ja tulkinnat tarkentuvat jatkossa • Uusia asetuksia tulossa (esim. e-Privacy act),

• Kansallinen lainsäädäntö uudistuu (henkilötietolaki korvataan uudella lainsäädännöllä)

• Tulkinnat tarkentuvat

21.5.2018

7


Tietosuoja?

• Tietosuojalainsäädäntö ei suojaa tietoa, vaan yksilöä ja hänen oikeuksiaan tietoihinsa.

• Yksilöä suojataan hänen henkilötietojensa vahingolliselta käytöltä.

• TIEDOLLINEN ITSEMÄÄRÄÄMISOIKEUS on henkilön oikeutta päättää itse henkilötietojensa käsittelystä

21.5.2018

8

Yksilön oikeudet

Rekisterinpitäjän

velvollisuudet

Yksityisyyden

suojaaminen


Henkilötieto

• Henkilötiedoilla (Personal data) tarkoitetaan kaikkia

tunnistettuun tai tunnistettavissa olevaan luonnolliseen

henkilöön, eli rekisteröityyn, liittyviä tietoja.

• Tunnistettavissa olevana pidetään henkilöä, joka voidaan

suoraan tai epäsuorasti tunnistaa erityisesti

tunnistetietojen, kuten

• nimen,

• henkilönumeron,

• sijaintitiedon,

• verkkotunnistetietojen taikka yhden tai useamman hänelle

tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen,

taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

21.5.2018

9


Erityisen herkät henkilötiedot (Artikla 9)

• Rotu tai etninen alkuperä

• Poliittiset mielipiteet

• Uskonnollinen tai filosofinen vakaumus

• Ammattiliiton jäsenyys

• Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten

• Terveyttä koskevat tiedot

• Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot

• Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely

21.5.2018

10


Rekisterinpitäjä vs. henkilötietojen käsittelijä

Rekisterinpitäjä

• Perustanut henkilörekisterin omiin tarpeisiinsa (käyttötarkoitus & tarpeellisuus)

• Riittävä tietosuoja ja tietoturva huomioitava

• Määrää henkilörekisterin käytöstä

• EI omista henkilötietoja • Rekisterinpitäjä saanut henkilöltä luvan

joko erillisellä suostumuksella tai on oikeutettu muihin syihin vedoten ylläpitämään rekisteriä

• Henkilö itse omistaa omat tietonsa

• Esimerkki: JHL & paikallisyhdistykset toimivat yhteisrekisterinpitäjänä – Jäsenrekisteri

Käsittelijät

• Käsittelee tietoja rekisterinpitäjän puolesta rekisterinpitäjän lukuun

• Riittävä tietosuoja ja tietoturva huomioitava

• Sallittu vain kirjallisella luvalla

• Henkilötietoja saa käsitellä vain rekisterinpitäjien antamien kirjallisten ohjeiden mukaisesti

• Esimerkki: Tietojärjestelmää ylläpitävä organisaatio käsittelee työnsä yhteydessä henkilötietoja

• ESimerkki2: Markkinointikumppani käyttää jäsenrekisterin tietoja JHL:n toimeksiannosta markkinointityössä

21.5.2018 [Tekijä]

11


HENKILÖTIETOJEN

SIIRTO VS. LUOVUTUS

REKISTERINPITÄJÄ

KÄSITTELIJÄ

SIIRTO

Siirto

• Siirrossa ulkoiselle käsittelijälle

käsittely tapahtuu rekisterinpitäjän

lukuun rekisterinpitäjän

henkilörekisterissä.

• Sopimus ja kirjalliset ohjeet

laadittava.

Luovutus

• Rekisterinpitäjä luovuttaa henkilötiedon omasta

rekisteristään toisen rekisterinpitäjän rekisteriin.

• Vastaanottajalla on oikeus käsitellä tietoja.

• Tiedonsaantioikeudet ja luovutusvelvollisuudet.

• Erityisiä velvoitteita jos siirto ulkomaille ja

varsinkin jos siirto EU-alueen ulkopuolelle.

REKISTERINPITÄJÄ LUOVUTUS


Yhdistyksen toiminta ja tietosuoja

21.5.2018

13


Yleistä henkilötietojen käsittelystä

• Pohtikaa yhdistyksessä mitä ja miten henkilötietoja

käsittelette

• ”tietosuojasilmälasit” päähän ja käykää koko toiminta pikaisesti

läpi

• Missä ja milloin henkilötietoja käsitellään? Mitä henkilötietoja

näissä yhteyksissä kerätään?

• Mihin henkilötietoja näissä yhteyksissä tallennetaan?

• Onko meillä oikeus käsitellä henkilötietoja? Onko kysytty

suostumus?

• Mihin asti henkilötietoja tarvitaan? Milloin voimme poistaa niitä?

Mihin asti saamme henkilötietoja ylipäätään säilyttää?

21.5.2018 [Tekijä]

14


Tietosuoja yhdistyksen toiminnassa

vuodesta toiseen

• Yhdistyksen aktiivit ovat vastuussa kunkin vuoden

toiminnasta – myös tietosuojasta

• Jokaisen aktiivin tulisi ymmärtää miten tietosuoja-asiassa

tulisi toimia

• Uudet toimijat on koulutettava ja tietämys siirrettävä

eteenpäin asianmukaisesti.

• Hyvät tietosuojakäytännöt vs. hyvät kokous käytännöt

21.5.2018 [Tekijä]

15


Henkilötietojen kerääminen – Viesti henkilölle mitä

ja miksi olet tekemässä

• Kerättäessä henkilötietoja kerro kohteena olevalle henkilölle: • Rekisterinpitäjän tiedot (nimi, yhteystiedot)

• Henkilötietojen käsittelyn tarkoitus

• Mitä henkilötietoja olet keräämässä

• Kuinka kauan henkilötietoja tullaan säilyttämään

• Mihin tietoja säännönmukaisesti luovutetaan • Esim. suoramarkkinointitarkoituksiin (ks. Suostumus)

• Henkilön oikeudet • Tarkastaa omat tietonsa, kieltää tietojensa käsittely, pyytää poistamaan

tietonsa, oikeus perua suostumuksensa milloin tahansa, jne. (ks. Artikla 13)

• Kysy lupa (suostumus) suoramarkkinointi tms. tarkoituksiin

21.5.2018 [Tekijä]

16


SUOSTUMUS & SOPIMUS ANTAA OIKEUDEN

KÄSITELLÄ HENKILÖTIETOJA

Henkilötietolaki 8§ (VÄISTYVÄ)

Käsittelyn yleiset edellytykset

Tietosuoja-asetus 6 Artikla

Käsittelyn lainmukaisuus

Suostumus Suostumus

Sopimus ja rekisteröidyn toimeksianto Sopimus

Rekisteröidyn elintärkeä etu Luonnollisen henkilön elintärkeä etu

Lakisääteisyys tai lakiin perustuva tehtävä Lakisääteinen velvoite

Laissa säädetty yleinen etu tai julkisen vallan

käyttäminen

Rekisterinpitäjän tai kolmannen osapuolen

oikeutettu etu

Asiallinen yhteys (asiakkuus, työsuhde, jäsenyys..) Poistuu

Konserni-poikkeus Poistuu

Rekisterinpitäjän toimeksianto Poistuu

Asema tai tehtävä kuvaavat yleisesti saatavissa

olevat tiedot joilla turvataan rekisterinpitäjän tai

tiedot saavan sivullisen oikeuksia ja etuja

Poistuu

Tietosuojalautakunnan lupa Poistuu

17


Henkilön oikeudet omiin tietoihinsa

21.5.2018 [Tekijä]

18

Rekisteröidyn oikeus Viittaus asetukseen

Rekisteröidyn oikeus saada pääsy tietoihin 15 Artikla

Oikeus tietojen oikaisemiseen 16 Artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) 17 Artikla

Oikeus käsittelyn rajoittamiseen 18 Artikla

Oikeus siirtää tiedot järjestelmästä toisen rekisterinpitäjän

järjestelmään

20 Artikla

Oikeus vastustaa automaattista käsittelyä 21 Artikla


Pyyntöjen käsittely (JHL prosessi)

Mikäli henkilö käyttää oikeuttaan ja pyytää JHL:ää toimimaan jonkin oikeutensa osalta:

1. Paikallisyhdistys • Ohjaa henkilö aluetoimistoon tai keskustoimistoon

tunnistautumista ja virallista pyyntöä varten

2. Aluetoimisto / Keskustoimisto • Pyyntö kirjataan viralliseen pyyntölomakkeeseen

• Esim. tietopyynnön, poiston tai käsittelyn rajoittamisen osalta henkilö voi valita tietojoukkoja joita voi pyytää käsiteltävän (esim. jäsenmaksutiedot, kurssitiedot, edunvalvontaan liittyvät tapaukset ja yhteydenotot)

• Pyyntö välitetään JHL:n tietosuojavastaavalle ([email protected])

3. Tietosuojatiimi • Käsittelee pyynnön ja toimii pyynnön mukaisesti (eli esim. välittää

tietopyynnön materiaalin pyytäjälle)

21.5.2018 [Tekijä]

19

mailto:[email protected]


Tietosuojapoikkeamat

• Tietosuojaloukkaus / Tietomurto

• Tiedon luvaton katselu tai käsittely

• Poikkeaman tapahtuessa OTA VÄLITTÖMÄSTI YHTEYTTÄ JHL:n tietosuojavastaavaan ([email protected] / 050 412 8094) • Ilmoitus valvontaviranomaiselle 72 tunnin kuluessa (33 Artikla)

• korkean riski luonnollisten henkilöiden oikeuksille ja vapauksille ilmoitus rekisteröidylle ilman aiheetonta viivytystä. (34 Artikla)

• Henkilötietojen käsittelijän ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niiden yksityiskohdat, niiden vaikutus sekä mihin korjaaviin toimenpiteisiin on kulloinkin ryhdytty.

21.5.2018

20

mailto:[email protected]


Tietosuojapoikkeama – ilmoitus

(33 Artikla & 34 Artikla)

HUOM! Jos poikkeama liittyy JHL:n jäsenrekisterin tietoihin niin ilmoituksen tekee JHL:n tietosuojavastaava. Muussa tapauksessa yhdistyksen tulee hoitaa ilmoitus itse.

Ilmoituksen minimisisältö: • Tietoturvaloukkauksen kuvaus, loukkauksen kohteeksi joutuneiden

rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät

• Tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa.

• Henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset.

• Kuvaus toimenpiteistä, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

• Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä

21.5.2018

21


Osoitusvelvollisuus

• Rekisterinpitäjällä ja tietojen käsittelijällä on osoitusvelvollisuus (accountability)

• On pystyttävä osoittamaan, että kaikessa henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta

21.5.2018

22

Tietosuoja-

vastuut

(esim.

tietosuoja-

vastaava)

Vaikutusten-

arvioinnit /

esiselvityk-

set

• Jatkuva

prosessi

Seloste

käsittely-

toimista

Sopimukset

tietojen

käsittelystä

Käytännöt,

ohjeet..

Toiminnan

dokumen-

tointi

•Pyynnöt

•Poikkeamat

•Auditoinnit

•Päätökset,

kokoukset,

toimenpiteet

Dokumentointi


Rekisteröidyn oikeudet

Oikeus Selitys

Informointi Oikeus tietää miten hänen tietojaan käsitellään

(etukäteen / ensimmäisen käsittelyn yhteydessä)

Tarkastusoikeus Oikeus saada ote kaikista hänestä tallennetuista

tiedoista

Tietojen siirrettävyys

Oikeus siirtää tietonsa rekisterinpitäjältä toiselle

Ei aiheuta yhdistyksille toimenpiteitä

Rajoittaminen Oikeus rajoittaa henkilötietojensa käsittelyä

Oikaisut Oikeus saada oikaistua henkilötiedoissaan olevat

virheet

Hävittäminen Oikeus saada henkilötietonsa hävitettyä

21.5.2018 [Tekijä]

23


Tietojen siivoaminen

• Siivoa pois kaikki henkilötiedot / henkilörekisterit joita et

enää tarvitse

• Tiedostot, paperit, jne.

• Tehkää suunnitelma milloin tiedot on syytä poistaa ja noudattakaa

suunnitelmaa

21.5.2018 [Tekijä]

24


Tietojen siirto EU-alueen ulkopuolelle

• Tietosuoja-asetus on laadittu turvaamaan EU-kansalaisten tietosuoja.

• Siirrettäessä tietoja EU-alueen ulkopuolelle joudutaan asetuksen lisäpykälien piiriin • Esim. Henkilötietoja voidaan siirtää EU:n jäsenvaltioiden tai

Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.

21.5.2018 [Tekijä]

25


Yhteenveto

21.5.2018

26


JHL:n yhdistysten tietosuojatarpeet tiivistetysti

• Tietosuoja-asetus koskee myös yhdistysten toimintaa

• Jäsenrekisteri on JHL:n ja paikallisyhdistyksien

yhteisrekisteri.

• Yhteinen tietosuojavastaava, seloste käsittelytoimista ja

tietosuojakäytännöt

• Käsittele kaikkia henkilötietoja AINA asiaankuuluvasti

• Pidä huoli että keräät ja käsittelet henkilötietoja joihin sinulla on

oikeus

• Pidä huoli että henkilötiedot pysyvät tallessa

• Pidä huoli ettei henkilötietoja jaeta paikoissa tai tahoille joihin ne

eivät kuulu

• Hävitä henkilötiedot kun et niitä enää tarvitse

21.5.2018 [Tekijä]

27


KIITOS!

21.5.2018

28

tietosuoja - jhlkaikki henkilötieto on tietosuoja-asetuksen alaista! julkisten ja hyvinvointialojen...

Documents