Lyhyt esittely opiskelijoille, joilla työn alla pienyrityksien nettisivuja.

1. GDPR
EU:n yleinen tietosuoja-asetus
1
12.04.2018

2. Tiia Rantanen
2
Senior Developer
Insinööri (mediatekniikka), 2014
tirriainen
tirriainen
tirriainen

3. 3
Zeeland Family
3
Suomen monipuolisin
MARKKINOINNIN PALVELUTOIMISTO
Liikevaihto
15,7
milj. euroa
vuonna 2017
Maailmanlaajuinen
toimituskyky
yhdessä AMIN
Worldwide
verkoston kanssa
(30+ maata)
Liikevoitto
1,1
milj. euroa
vuonna 2017
Aktiivisia asiakkaita
yli
300
Markkina-
johtaja
markkinoinnin ulkoistus-
palveluissa
170+
Markkinoinnin asiantuntijaa
Helsingissä, Turussa,
Tampereella, Jyväskylässä,
Joensuussa ja Oulussa
Ketterät
toiminta-
tavat
yhdessä asiakkaan
kanssa

4. Lähtökohdat
4
Lähde:
https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html

5. Lähtökohdat
5
● Ransomware is now a 1 Billion Dollar Industry
http://blog.intersecexpo.com/ransomware-is-now-a-1-billion-dollar-industry
● IBM: Cost of data breaches hits $4 million on average
http://www.cnbc.com/2016/06/14/cost-of-data-breaches-hits-4-million-on-average-ibm.html
● Cybersecurity spending outlook: $1 trillion from 2017 to 2021
http://www.csoonline.com/article/3083798/security/cybersecurity-spending-outlook-1-trillion-from-2017-to-2021.html
● More than six out of ten organisations hit by data breaches take longer than three
months to notice
http://www.techworld.com/news/security/serious-data-breaches-take-months-spot-analysis-finds-3425734/
● In 2014, it took organisations a median of 205 days to detect attackers in their network
environments.
http://www.itgovernance.co.uk/blog/detecting-cyber-attackers-how-long-does-it-take/
● The average time to identify a breach in the study was 201 days, and the average time
to contain a breach was 70 days.
http://www.cnbc.com/2016/06/14/cost-of-data-breaches-hits-4-million-on-average-ibm.html

6. 6
Tietosuoja-asetus
Euroopan unionin yleinen tietosuoja-asetus tuli voimaan 24. toukokuuta 2016.
Tietosuoja-asetusta sovelletaan kahden vuoden siirtymäajan jälkeen 25.
toukokuuta 2018 alkaen.
Tarkoitus
- ajantasaistaa tietosuojaa koskevaa sääntelyä
- tukea digitaalitalouden kehitystä sisämarkkinoiden alueella
- lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä
- vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä
Kenen pitää noudattaa
- julkinen, yksityinen, kolmas sektori (ei valtio), julkisella sektorilla ei sakkoja
- kaikkien toimijoiden, jotka käsittelee EU:n kansalaisten henkilötietoa

7. Käsitteitä
7
Rekisteri
● Mikä tahansa formaatti, jossa on henkilötietoa (paperi, muistitikku, nettisivu jne)
● Jos on sensitiivistä henkilötietoa, erillinen lainsäädäntö
Rekisterinpitäjä
● Vastaa rekisterin tiedon oikeellisuudesta ja ylläpidosta, sekä kaikesta muusta
rekisteriin liittyvästä (yleensä tilaaja tai asiakas)
● Päävastuullinen
Käsittelijä
● Käsittelee henkilötietoa rekisterinpitäjän ohjeiden ja käsittelysopimuksen mukaisesti
● Myös käsittelijän aliurakoitsijat, eli meillä esimerkiksi Linode, Seravo, HubSpot ja muut
palveluntarjoajat, jotka käsittelevät asiakkaan tietoa meidän nimissä
Rekisteröitynyt
● Yksityinen henkilö, jonka tietoa rekisterissä on

8. 8
Myös yksittäinen IP-osoite
tulkitaan yksilöiväksi
tiedoksi vaikka Suomessa
IP-osoitteet ovatkin
pääosin dynaamisia.

9. 9
9
Rekisteröityneen oikeudet
● Oikeus saada pääsy tietoihin
● Oikeus tietojen oikaisemiseen
● Oikeus poistaa tiedot pysyvästi
● Oikeus siirtää tiedot järjestelmästä toiseen
● Oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia
● Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta
● Oikeus tietää kuka tietoja käsittelee ja miksi (tietosuojaseloste!)
Käsittelyn ikäraja 13 vuotta

10. Rekisterinpitäjän vastuut
10
● Käsittelyn oikeusperusta
● Tietosuojan hallinnointi, roolit ja vastuut
● Riskienhallinta
● Tietosuojan vaikutustenarvioinnit
● Tietoturvallisuuden toteuttaminen
● Poikkeamien hallinta ja ilmoitusvelvollisuus
● Dokumentaatio, politiikat ja ohjeistukset
● Rekisterinpitäjän ja käsittelijän väliset sopimukset
● Rekisterinpitäjän yhteistyövelvoite
● Rekisteroityneen oikeuksien toteutuminen
● Hallinnolliset sakot ja seuraamukset
● Sisäänrakennettu- ja oletusarvoinen tietosuoja

11. 11
11
Rekisterinpitäjän vastuut
● Käsittelyn oikeusperusta
● Tietosuojan hallinnointi, roolit ja vastuut
● Riskienhallinta
● Tietosuojan vaikutustenarvioinnit
● Tietoturvallisuuden toteuttaminen
● Poikkeamien hallinta ja ilmoitusvelvollisuus
● Dokumentaatio, politiikat ja ohjeistukset
● Rekisterinpitäjän ja käsittelijän väliset sopimukset
● Rekisterinpitäjän yhteistyövelvoite
● Rekisteroityneen oikeuksien toteutuminen
● Hallinnolliset sakot ja seuraamukset
● Sisäänrakennettu- ja oletusarvoinen tietosuoja

12. Sisäänrakennettu- ja oletusarvoinen
tietosuoja
12
Sisäänrakennettu tietosuoja (Privacy by Design)
Sisäänrakennetun tietosuojan periaate edellyttää, että tietosuojaperiaatteet otetaan
tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa.
Oletusarvoinen tietosuoja (Privacy by default)
Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee oletusarvoisesti
käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja
saatavilla oloa.
Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet edellyttävät, että tietosuojaa
koskevat kysymykset otetaan huomioon jo siinä vaiheessa, kun suunnitellaan
henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä.
Tietojärjestelmät on jo lähtökohtaisesti rakennettava niin, että ne mahdollistavat
rekisterinpitäjän velvoitteiden toteuttamisen.

13. Suostumuksen perusteella tapahtuva
käsittely
13
Asetuksen mukaan luonnollisen henkilön suostumus on annettava selkeästi suostumusta
ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla.
- Kaikki lomakkeet (esimerkiksi yhteydenotto, kommentointi, postituslistalle liittyminen)
- Rekisteröityminen
- Tietosuojaseloste (nykyinen rekisteriseloste)
- sisältää menettelyt rekisteröityneen oikeuksien toteutumiselle
- Tietoturvan hallinnan kuvaus esim. tietosuojakäytäntö/tietosuojapolitiikka
- Rekisteröityneiden oikeuksien toteutuminen
- 30 päivää pyynnöstä, mutta määräaikaa voidaan tarvittaessa jatkaa enintään
kahdella kuukaudella.
- Esimerkiksi rekisteröityneen tietojen poisto lokaali, staging, varmuuskopiot
Verkkokaupat ovat sopimukseen perustuvaa käsittelyä, mutta niihin pätee soveltuvilta
osin samat säädökset.
B2B-asiakkaiden henkilötietojen käsittely on oikeutettuun etuun perustuvaa käsittelyä ja
siihen pätee löyhempi lainsäädäntö.

14. Tietoturvaloukkaukset
14
Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen
vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton
luovuttaminen taikka pääsy tietoihin.
Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle 72 tunnin
kuluessa loukkauksen ilmitulosta.
Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista
rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan.
Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta myös
rekisteröidyille.
Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja
loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet.

15. Noudattamatta jättämisen hinta
15
Paikalliset tietosuojaviranomaiset valvovat lain noudattamista. Heidän työtään
koordinoidaan EU:n tasolla. Sääntöjen rikkomisen hinta voi olla korkea.

16. Mitä nettisivuilla pitää huomioida?
16
● Tietosuojaseloste (tai vastaava)
○ Mitä tietoja tallennetaan
○ Kuka tietoja tallentaa ja kuinka pitkäksi aikaa
○ Miten rekisteröityneen oikeudet toteutuvat
○ Kenelle kaikille tietoja jaetaan
○ Suojaamisen periaatteet
○ Esimerkki selosteesta
https://www.f-secure.com/fi_FI/web/legal/privacy/website
● Suostumus, kun henkilötietoja kerätään
○ Ei koske b2b, koska oikeutettu etu
● Evästebannereita ei Suomessa tarvitse olla
● Evästeitä ei tarvitse listata yksi kerrallaan
● Evästeiden kiinnittämiseen ei tarvitse lupaa (vielä)

17. Lähteet ja lisälukemista
17
Selvityksiä ja ohjeita 4/2017, Miten valmistautua EU:n tietosuoja-asetukseen?.
Tietosuojavaltuutetun toimisto, Oikeusministeriö.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetun
toimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Euroopan komission julkaisutoimisto. Tammikuu 2017. Ohje pk-yrityksille.
https://drive.google.com/file/d/1odKiBsB1520Bp7Lw1r-TXElKLOJ4B-FN/view?usp=sharing
EU:n yleinen tietosuoja-asetus 2016/679
http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679&from=FI
Sähköisen viestinnän tietosuoja-asetus
https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52017PC0010

18. 18