SlideShare a Scribd company logo

Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita

Harto Pönkä
Harto Pönkä

Webinaari Snellman-kesäyliopiston järjestämällä Tietosuojavastaavan peruskurssilla (2 op) 1/3, 13.8.2019, Harto Pönkä, Innowise

Data & Analytics
1 of 32
Download to read offline
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita Tietosuojavastaavan peruskoulutus 1/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 13.8.2019 Kuva: Pixabay
Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
Tietosuojavastaavan rooli ja tehtävät
• Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu yleiseen tietosuoja-asetukseen. • Tietosuojavastaava on nimitettävä, kun – rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet) – ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai – henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin. • Tietosuojavastaavan voi nimittää myös vapaaehtoisesti. – Tietosuojavastaavan rooli määräytyy aina GDPR:n mukaisesti. Tämän takia voi olla suositeltavampaa nimetä tietosuojasta vastaava henkilö. • Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. • Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja. • Jos tietoturvavastaavaa ei nimitetä, kannattaa dokumentoida sen perustelut. Tarvitsetteko tietosuojavastaavan? Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
• Organisaation on varmistettava, että tietosuojavastaava otetaan mukaan kaikkien henkilötietoja koskevien kysymysten käsittelyyn. – Jos organisaatio tekee päätöksiä, jotka eivät ole GDPR:n ja tietosuojavastaavan neuvojen mukaisia, tietosuojavastaavalle olisi annettava tilaisuus esittää eriävä mielipiteensä ylimmälle johdolle ja päätöksentekijöille. • Eturistiriitojen välttämiseksi tietosuojavastaava ei voi olla asemassa, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. – Esimerkiksi ylemmät johtoasemat (esim. pääjohtaja, hallintopääjohtaja, talousjohtaja, johtava asiantuntijalääkäri, markkinointiosaston päällikkö, henkilöstöpäällikkö tai tietoteknisen osaston päällikkö) voivat aiheuttaa eturistiriidan. – Eturistiriitojen vuoksi tietosuojavastaavaksi ei yleensä tulisi nimittää tietoturvavastaavaa. • Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa antaa tietosuojavastaavalle ohjeita tämän tehtävien hoitamiseen. • Tietosuojavastaavaa ei saa erottaa tai rangaista tehtävien hoitamisen vuoksi. • Tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle. • Tietosuojavastaavalla on salassapitovelvollisuus. • Säännösten noudattaminen on rekisterinpitäjän tai henkilötietojen käsittelijän vastuulla. Tietosuojavastaavat eivät ole vastuussa GDPR:n rikkomisesta. Tietosuojavastaavan asema Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
• Tietosuojavastaavan nimittämisestä ilmoitetaan organisaation henkilöstölle. – Tietosuojatyöryhmän ohje on ilmoittaa henkilöstölle tietosuojavastaavan nimi ja yhteystiedot. • Tietosuojavastaavan yhteystiedot julkaistaan niin, että rekisteröidyt voivat olla häneen yhteydessä. – GDPR ei edellytä, että tietosuojavastaavan nimi olisi julkisesti esillä esimerkiksi nettisivuilla, mutta tietosuojatyöryhmän ohjeen mukaan se ”voi olla hyvän käytännön mukaista”. Organisaatio voi päättää nimen julkaisusta. • Tietosuojavastaavan yhteystiedot tulee liittää rekisteröityjen informointiin. – Rekisteröidyn tulisi saada informoinnin osana tietosuojavastaavan yhteystiedot riippumatta siitä, saadaanko henkilötiedot rekisteröidyltä itseltään tai muulla tavoin. • Tietosuojavastaavan nimi ja yhteystiedot tulee liittää organisaation selosteeseen käsittelytoimista. • Tietosuojavastaavan ilmoittaminen valvontaviranomaiselle: – Tietosuojavastaavan nimittämisen ilmoituslomake: https://tietosuoja.fi/ilmoitus- tietosuojavastaavasta – Tietoturvaloukkauksesta ilmoitettaessa annetaan tietosuojavastaavan nimi ja yhteystiedot. – Ennakkokuulemisen yhteydessä ilmoitetaan tietosuojavastaavan yhteystiedot. Tietosuojavastaavan ilmoittaminen Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
• Tietosuojavastaavalle tulee antaa riittävät resurssit tehtäviinsä, pääsy henkilötietoihin ja käsittelytoimiin sekä koulutusta osaamisen ylläpitämiseen. • Käsittelytoimien luonteesta ja organisaation toiminnasta ja koosta riippuen tietosuojavastaavalle olisi järjestettävä tarvittavat resurssit varmistamalla, että – ylempi johto tukee aktiivisesti tietosuojavastaavan tehtävää – tietosuojavastaavalle varataan riittävästi aikaa tehtävien hoitamiseen – tietosuojavastaavalle järjestetään riittävästi tukea eli varoja, infrastruktuuri (tilat, palvelut, laitteet) ja tarvittaessa henkilöstö – tietosuojavastaavan nimittämisestä ilmoitetaan virallisesti koko henkilöstölle – tietosuojavastaavalle järjestetään pääsy muihin organisaation palveluihin, jotta hän voi saada niiltä olennaista tukea ja tietoa – tietosuojavastaavalle tarjotaan jatkuvasti koulutusta. • Tietosuojavastaavan tueksi voidaan perustaa tiimi tai tietosuojaryhmä. • Jos konsernissa on useita tietosuojavastaavia, tulee heidän yhteistyönsä organisoida ja nimetä esim. tietosuojapäällikkö tai johtava tietosuojavastaava. Tietosuojavastaavan resurssit Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
• Ei muodollisia vaatimuksia, vaan tärkeintä on tehtävään sopiva osaaminen. • Asiantuntemuksen taso – Tason oltava suhteessa organisaation käsittelemien tietojen arkaluonteisuuteen, monimutkaisuuteen ja määrään. – Jos esimerkiksi toiminta on erityisen monimutkaista tai siihen liittyy suuri määrä arkaluonteisia tietoja, tietosuojavastaava voi tarvita tavallista enemmän asiantuntemusta ja tukea. • Ammattipätevyys – Olennaista on, että tietosuojavastaavalla on asiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja että hän tuntee yleisen tietosuoja-asetuksen perusteellisesti. – Tietosuojavastaavalla tulisi olla hyvä käsitys käsittelytoimista ja tietojärjestelmistä sekä rekisterinpitäjän tietoturva- ja tietosuojatarpeista. • Valmiudet tehtävien hoitamiseen – Tarvittavia ominaisuuksia ovat esim. itsenäisyys, rehellisyys ja korkea ammattietiikka. – Tietosuojavastaavalla on keskeinen asema organisaation tietosuojakulttuurin vahvistamisessa ja yleisen tietosuoja-asetuksen olennaisten osien täytäntöönpanon varmistamisessa. • Palvelusopimuksen perusteella toimiva tietosuojavastaava – Eturistiriitojen ehkäisemiseksi on suositeltavaa, että tehtävät kuvataan selkeästi ja kullekin asiakkaalle nimetään yksi henkilö ensisijaiseksi yhteyshenkilöksi ja vastuuhenkilöksi. Tietosuojavastaavan pätevyys Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
• Yleisen tietosuoja-asetuksen noudattamisen seuranta ja neuvonta – Seuraa tietosuojasääntöjen noudattamista ja tuo esiin havaitsemiaan puutteita. – Antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille (esim. tietosuojakoulutukset ja tukimateriaalit). – Priorisoi toimiaan ja keskittyy kysymyksiin, jotka aiheuttavat tavallista suurempia tietosuojariskejä (riskiperusteinen lähestymistapa). – Raportoi organisaation johdolle asioiden kiireellisyys huomioiden (esim. tietoturvaloukkaukset välittömästi ja pitkäaikainen seuranta vuosittain toimintakertomuksena). • Rooli tietosuojaa koskevissa vaikutustenarvioinneissa – Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarviointien toteutusta. • Yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle – On rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa. – On tietosuojavaltuutetun toimiston yhteyshenkilö ja yhteistyötaho. • Muut annetut tehtävät, esim. rooli selosteen ylläpidossa – Muihin tehtäviin sopii ylläpitää sisäistä selostetta henkilötietojen käsittelytoimista. – Organisaation johto voi antaa tietosuojavastaavalle lisäksi muita tehtäviä, mutta ne eivät saa aiheuttaa eturistiriitoja: tietosuojavastaava ei saa olla vastuussa päätöksistä, joita hän valvoo. Tietosuojavastaavan tehtävät Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
Yhteistyö ja tietosuojakulttuuri Tietosuoja- vastaava Organisaation johto Teknologiasta ja tietoturvasta vastaavat Muu henkilöstö Yhteistyö- kumppanit Asiakkaat Henkilöstö- hallinto Tietosuoja- ryhmä Tietosuojasta huolehtiminen on kaikkien vastuulla, mutta tietosuojavastaavan tehtävänä on varmistaa, että siitä tullaan tietoiseksi ja osataan toimia oikein.
Mitä tietosuojavastaava tekee? • Yhteydenpito eri tahoihin • Tietosuojatyön suunnittelu ja koordinointi • Palaverit, arvioinnit, kommentoinnit • Sisäiset koulutukset ja materiaalit • Henkilötietojen käsittelyn seuranta • Raportointi johdolle ja sen avustaminen • Osaamisen ylläpito, mm. tietosuoja.fi:n ja uutisten seuraaminen, kouluttautuminen
Tietosuojavastaavan vuosikello Lähde: Ari Andreasson, 2014, saatavilla: https://opitietosuojaa.fi/fi/48-tyokalupakki/tyon-organisointi/57-tietosuojavastaavan-vuosikello
Seloste ja informointi
• Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Rekisteröityjen informointi (vrt. tietosuojaseloste) – Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet – Pidetään saatavilla / julkaistaan • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n mukaiset selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista Rekisterinpitäjän seloste käsittelytoimista • Yli 250 työntekijän organisaatio  seloste on pakollinen • Alle 250 työntekijän organisaatio  seloste on tehtävä, jos henkilötietojen käsittely ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja • Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
• Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. – Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten informointi on toteutettu. Informointi (tietosuojaseloste) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
- Jos rekisteri koostu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet? Kysymys: montako tietosuojaselostetta? • Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn henkilötietojen käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja niiden tietoja. – Viranomaisten tietojärjestelmistä tulee tehdä tietojärjestelmäseloste (JulkiL), mutta se ei liity rekisteröityjen informointiin / tietosuojaselosteeseen. • Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. • Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoisia tietosuojaselosteita: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä. • Ylätason tietosuojaselosteen tulee sisältää: – Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. – Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla rekisteröidylle yllätyksenä. – Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b- e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
Henkilötietojen käsittelyn perusteita
Mitä henkilötiedoilla on mahdollista tehdä ja mitä ei?
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
• Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja lainmukaisissa erityistapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
• Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Rekisterinpitäjä  tarkoitukset  h.tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste Tietosuojavastaava neuvoo, kouluttaa, seuraa ja raportoi Rekisterinpitäjä päättää ja toimeenpanee, tarvit. kysyy
Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset, joihin ei ole oikeusperustetta OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
Erota oma ja ulkopuolinen rekisteri Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen somepalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Rekisteröidyn henkilötietoja ei saa luovuttaa toiselle rekisterinpitäjälle, jos siitä ei ole kerrottu alun perin rekisteröidylle tai saatu siihen suostumusta. Jos henkilötietoja kerätään organisaation rekisteriin somepalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia rekisterinpitäjän informointivelvollisuudesta. Somepalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite siihen tulee heiltä. Tämä on syytä huomioida tietosuojaselosteessa.
• Suostumus (opt-in) – Sähköinen suoramarkkinointi yksityishenkilöille (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus. • Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi muusta viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Markkinointi, asiakasviestintä ja GDPR
Profilointi  suostumus tai sopimus • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
Käytätkö profilointia markkinoinnissa? Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
Ohjeista ainakin nämä! 1. Organisaation rekisterit ja informointitavat 2. Yleiset tietosuojaperiaatteet 3. Henkilötietojen käsittely eri työtehtävissä • Käsittelytarkoitukset ja oikeusperusteet • Henkilötietojen turvallinen säilytys • Salassa pidettävät tiedot ja asiakirjat 4. Mitkä ovat organisaation omassa hallinnassa olevia pilvipalveluita? 5. Miten tietosuojasta huolehditaan ulkopuolisissa pilvipalveluissa kuten sosiaalisen median palveluissa? 6. Saako työssä käyttää omia laitteita ja pilvipalveluita, ja mitä tällöin tulee huomioida? 7. Miten henkilötietojen käsittelyä seurataan? 8. Uusien rekistereiden teossa huomioitavat asiat ja yhteinen toimintamalli 9. Keneltä saa apua, ongelmista ilmoittaminen, tietosuojavastaava
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

Recommended

Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 

Recommended

Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 

More Related Content

What's hot

Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 

What's hot (20)

Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 

Similar to Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita

Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Eetu Uotinen
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
Tietoturva ja tietoturvaloukkaukset
Tietoturva ja tietoturvaloukkauksetTietoturva ja tietoturvaloukkaukset
Tietoturva ja tietoturvaloukkauksetHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Sonera
 
Sosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016LakimiesliitonKoulutus
 
Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016LakimiesliitonKoulutus
 

Similar to Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita (20)

Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
Tietoturva ja tietoturvaloukkaukset
Tietoturva ja tietoturvaloukkauksetTietoturva ja tietoturvaloukkaukset
Tietoturva ja tietoturvaloukkaukset
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
 
Sosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttöSosiaalisen median opetuskäyttö
Sosiaalisen median opetuskäyttö
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016
 
Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016Tietosuojavastaavan koulutusohjelma 2015-2016
Tietosuojavastaavan koulutusohjelma 2015-2016
 
Mita tsa muutti suomessa
Mita tsa muutti suomessaMita tsa muutti suomessa
Mita tsa muutti suomessa
 

More from Harto Pönkä

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössäHarto Pönkä
 

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Tietoturva hybridityössä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
 

Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita

  • 1. Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita Tietosuojavastaavan peruskoulutus 1/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 13.8.2019 Kuva: Pixabay
  • 2. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  • 4. • Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu yleiseen tietosuoja-asetukseen. • Tietosuojavastaava on nimitettävä, kun – rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet) – ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai – henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin. • Tietosuojavastaavan voi nimittää myös vapaaehtoisesti. – Tietosuojavastaavan rooli määräytyy aina GDPR:n mukaisesti. Tämän takia voi olla suositeltavampaa nimetä tietosuojasta vastaava henkilö. • Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. • Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja. • Jos tietoturvavastaavaa ei nimitetä, kannattaa dokumentoida sen perustelut. Tarvitsetteko tietosuojavastaavan? Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
  • 5. • Organisaation on varmistettava, että tietosuojavastaava otetaan mukaan kaikkien henkilötietoja koskevien kysymysten käsittelyyn. – Jos organisaatio tekee päätöksiä, jotka eivät ole GDPR:n ja tietosuojavastaavan neuvojen mukaisia, tietosuojavastaavalle olisi annettava tilaisuus esittää eriävä mielipiteensä ylimmälle johdolle ja päätöksentekijöille. • Eturistiriitojen välttämiseksi tietosuojavastaava ei voi olla asemassa, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. – Esimerkiksi ylemmät johtoasemat (esim. pääjohtaja, hallintopääjohtaja, talousjohtaja, johtava asiantuntijalääkäri, markkinointiosaston päällikkö, henkilöstöpäällikkö tai tietoteknisen osaston päällikkö) voivat aiheuttaa eturistiriidan. – Eturistiriitojen vuoksi tietosuojavastaavaksi ei yleensä tulisi nimittää tietoturvavastaavaa. • Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa antaa tietosuojavastaavalle ohjeita tämän tehtävien hoitamiseen. • Tietosuojavastaavaa ei saa erottaa tai rangaista tehtävien hoitamisen vuoksi. • Tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle. • Tietosuojavastaavalla on salassapitovelvollisuus. • Säännösten noudattaminen on rekisterinpitäjän tai henkilötietojen käsittelijän vastuulla. Tietosuojavastaavat eivät ole vastuussa GDPR:n rikkomisesta. Tietosuojavastaavan asema Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 6. • Tietosuojavastaavan nimittämisestä ilmoitetaan organisaation henkilöstölle. – Tietosuojatyöryhmän ohje on ilmoittaa henkilöstölle tietosuojavastaavan nimi ja yhteystiedot. • Tietosuojavastaavan yhteystiedot julkaistaan niin, että rekisteröidyt voivat olla häneen yhteydessä. – GDPR ei edellytä, että tietosuojavastaavan nimi olisi julkisesti esillä esimerkiksi nettisivuilla, mutta tietosuojatyöryhmän ohjeen mukaan se ”voi olla hyvän käytännön mukaista”. Organisaatio voi päättää nimen julkaisusta. • Tietosuojavastaavan yhteystiedot tulee liittää rekisteröityjen informointiin. – Rekisteröidyn tulisi saada informoinnin osana tietosuojavastaavan yhteystiedot riippumatta siitä, saadaanko henkilötiedot rekisteröidyltä itseltään tai muulla tavoin. • Tietosuojavastaavan nimi ja yhteystiedot tulee liittää organisaation selosteeseen käsittelytoimista. • Tietosuojavastaavan ilmoittaminen valvontaviranomaiselle: – Tietosuojavastaavan nimittämisen ilmoituslomake: https://tietosuoja.fi/ilmoitus- tietosuojavastaavasta – Tietoturvaloukkauksesta ilmoitettaessa annetaan tietosuojavastaavan nimi ja yhteystiedot. – Ennakkokuulemisen yhteydessä ilmoitetaan tietosuojavastaavan yhteystiedot. Tietosuojavastaavan ilmoittaminen Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 7. • Tietosuojavastaavalle tulee antaa riittävät resurssit tehtäviinsä, pääsy henkilötietoihin ja käsittelytoimiin sekä koulutusta osaamisen ylläpitämiseen. • Käsittelytoimien luonteesta ja organisaation toiminnasta ja koosta riippuen tietosuojavastaavalle olisi järjestettävä tarvittavat resurssit varmistamalla, että – ylempi johto tukee aktiivisesti tietosuojavastaavan tehtävää – tietosuojavastaavalle varataan riittävästi aikaa tehtävien hoitamiseen – tietosuojavastaavalle järjestetään riittävästi tukea eli varoja, infrastruktuuri (tilat, palvelut, laitteet) ja tarvittaessa henkilöstö – tietosuojavastaavan nimittämisestä ilmoitetaan virallisesti koko henkilöstölle – tietosuojavastaavalle järjestetään pääsy muihin organisaation palveluihin, jotta hän voi saada niiltä olennaista tukea ja tietoa – tietosuojavastaavalle tarjotaan jatkuvasti koulutusta. • Tietosuojavastaavan tueksi voidaan perustaa tiimi tai tietosuojaryhmä. • Jos konsernissa on useita tietosuojavastaavia, tulee heidän yhteistyönsä organisoida ja nimetä esim. tietosuojapäällikkö tai johtava tietosuojavastaava. Tietosuojavastaavan resurssit Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 8. • Ei muodollisia vaatimuksia, vaan tärkeintä on tehtävään sopiva osaaminen. • Asiantuntemuksen taso – Tason oltava suhteessa organisaation käsittelemien tietojen arkaluonteisuuteen, monimutkaisuuteen ja määrään. – Jos esimerkiksi toiminta on erityisen monimutkaista tai siihen liittyy suuri määrä arkaluonteisia tietoja, tietosuojavastaava voi tarvita tavallista enemmän asiantuntemusta ja tukea. • Ammattipätevyys – Olennaista on, että tietosuojavastaavalla on asiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja että hän tuntee yleisen tietosuoja-asetuksen perusteellisesti. – Tietosuojavastaavalla tulisi olla hyvä käsitys käsittelytoimista ja tietojärjestelmistä sekä rekisterinpitäjän tietoturva- ja tietosuojatarpeista. • Valmiudet tehtävien hoitamiseen – Tarvittavia ominaisuuksia ovat esim. itsenäisyys, rehellisyys ja korkea ammattietiikka. – Tietosuojavastaavalla on keskeinen asema organisaation tietosuojakulttuurin vahvistamisessa ja yleisen tietosuoja-asetuksen olennaisten osien täytäntöönpanon varmistamisessa. • Palvelusopimuksen perusteella toimiva tietosuojavastaava – Eturistiriitojen ehkäisemiseksi on suositeltavaa, että tehtävät kuvataan selkeästi ja kullekin asiakkaalle nimetään yksi henkilö ensisijaiseksi yhteyshenkilöksi ja vastuuhenkilöksi. Tietosuojavastaavan pätevyys Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 9. • Yleisen tietosuoja-asetuksen noudattamisen seuranta ja neuvonta – Seuraa tietosuojasääntöjen noudattamista ja tuo esiin havaitsemiaan puutteita. – Antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille (esim. tietosuojakoulutukset ja tukimateriaalit). – Priorisoi toimiaan ja keskittyy kysymyksiin, jotka aiheuttavat tavallista suurempia tietosuojariskejä (riskiperusteinen lähestymistapa). – Raportoi organisaation johdolle asioiden kiireellisyys huomioiden (esim. tietoturvaloukkaukset välittömästi ja pitkäaikainen seuranta vuosittain toimintakertomuksena). • Rooli tietosuojaa koskevissa vaikutustenarvioinneissa – Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarviointien toteutusta. • Yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle – On rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa. – On tietosuojavaltuutetun toimiston yhteyshenkilö ja yhteistyötaho. • Muut annetut tehtävät, esim. rooli selosteen ylläpidossa – Muihin tehtäviin sopii ylläpitää sisäistä selostetta henkilötietojen käsittelytoimista. – Organisaation johto voi antaa tietosuojavastaavalle lisäksi muita tehtäviä, mutta ne eivät saa aiheuttaa eturistiriitoja: tietosuojavastaava ei saa olla vastuussa päätöksistä, joita hän valvoo. Tietosuojavastaavan tehtävät Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/3aad84e5-bb59-4e64-bdaf- adc1e5f2d719/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf.pdf
  • 10. Yhteistyö ja tietosuojakulttuuri Tietosuoja- vastaava Organisaation johto Teknologiasta ja tietoturvasta vastaavat Muu henkilöstö Yhteistyö- kumppanit Asiakkaat Henkilöstö- hallinto Tietosuoja- ryhmä Tietosuojasta huolehtiminen on kaikkien vastuulla, mutta tietosuojavastaavan tehtävänä on varmistaa, että siitä tullaan tietoiseksi ja osataan toimia oikein.
  • 11. Mitä tietosuojavastaava tekee? • Yhteydenpito eri tahoihin • Tietosuojatyön suunnittelu ja koordinointi • Palaverit, arvioinnit, kommentoinnit • Sisäiset koulutukset ja materiaalit • Henkilötietojen käsittelyn seuranta • Raportointi johdolle ja sen avustaminen • Osaamisen ylläpito, mm. tietosuoja.fi:n ja uutisten seuraaminen, kouluttautuminen
  • 12. Tietosuojavastaavan vuosikello Lähde: Ari Andreasson, 2014, saatavilla: https://opitietosuojaa.fi/fi/48-tyokalupakki/tyon-organisointi/57-tietosuojavastaavan-vuosikello
  • 14. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Rekisteröityjen informointi (vrt. tietosuojaseloste) – Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet – Pidetään saatavilla / julkaistaan • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n mukaiset selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
  • 15. Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista Rekisterinpitäjän seloste käsittelytoimista • Yli 250 työntekijän organisaatio  seloste on pakollinen • Alle 250 työntekijän organisaatio  seloste on tehtävä, jos henkilötietojen käsittely ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja • Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
  • 16. • Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. – Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten informointi on toteutettu. Informointi (tietosuojaseloste) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  • 17. - Jos rekisteri koostu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet? Kysymys: montako tietosuojaselostetta? • Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn henkilötietojen käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja niiden tietoja. – Viranomaisten tietojärjestelmistä tulee tehdä tietojärjestelmäseloste (JulkiL), mutta se ei liity rekisteröityjen informointiin / tietosuojaselosteeseen. • Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. • Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoisia tietosuojaselosteita: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä. • Ylätason tietosuojaselosteen tulee sisältää: – Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. – Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla rekisteröidylle yllätyksenä. – Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b- e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
  • 19. Mitä henkilötiedoilla on mahdollista tehdä ja mitä ei?
  • 20. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 21. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja lainmukaisissa erityistapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  • 22. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 23. Rekisterinpitäjä  tarkoitukset  h.tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste Tietosuojavastaava neuvoo, kouluttaa, seuraa ja raportoi Rekisterinpitäjä päättää ja toimeenpanee, tarvit. kysyy
  • 24. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset, joihin ei ole oikeusperustetta OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  • 25. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  • 26. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  • 27. Erota oma ja ulkopuolinen rekisteri Rekisteriin kerätyt henkilötiedot (organisaatio rekisterinpitäjänä) Ulkopuolinen somepalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Rekisteröidyn henkilötietoja ei saa luovuttaa toiselle rekisterinpitäjälle, jos siitä ei ole kerrottu alun perin rekisteröidylle tai saatu siihen suostumusta. Jos henkilötietoja kerätään organisaation rekisteriin somepalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia rekisterinpitäjän informointivelvollisuudesta. Somepalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite siihen tulee heiltä. Tämä on syytä huomioida tietosuojaselosteessa.
  • 28. • Suostumus (opt-in) – Sähköinen suoramarkkinointi yksityishenkilöille (sähköposti, tekstiviesti ym.) – Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä. – Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos • markkinoinnissa käytetään automaattista profilointia • tietoja luovutetaan muille tahoille (esim. Facebook tai Google) • Rekisterinpitäjän oikeutettu etu – Perinteinen suoramarkkinointi (puhelimitse ja postitse) – Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista. – B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman etukäteissuostumusta. – Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus. • Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota se selvästi muusta viestinnästä. • Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä ja mistä tietosuojaseloste on luettavissa. • Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista markkinointia he saavat. Markkinointi, asiakasviestintä ja GDPR
  • 29. Profilointi  suostumus tai sopimus • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  • 30. Käytätkö profilointia markkinoinnissa? Facebookiin viedyt asiakastiedostot Nimi, sähköposti, puhelinnumero, syntymäaika, kaupunki, laitetunniste ym. Rekisteriin kerätyt henkilötiedot / tietojärjestelmät Googleen viedyt asiakasluettelot Nimi, sähköposti, puhelinnumero, postinumero, laitetunniste ym. Manuaalinen kohdentaminen Esimerkiksi sähköpostimarkkinointi manuaalisesti valituille kohderyhmille Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
  • 31. Ohjeista ainakin nämä! 1. Organisaation rekisterit ja informointitavat 2. Yleiset tietosuojaperiaatteet 3. Henkilötietojen käsittely eri työtehtävissä • Käsittelytarkoitukset ja oikeusperusteet • Henkilötietojen turvallinen säilytys • Salassa pidettävät tiedot ja asiakirjat 4. Mitkä ovat organisaation omassa hallinnassa olevia pilvipalveluita? 5. Miten tietosuojasta huolehditaan ulkopuolisissa pilvipalveluissa kuten sosiaalisen median palveluissa? 6. Saako työssä käyttää omia laitteita ja pilvipalveluita, ja mitä tällöin tulee huomioida? 7. Miten henkilötietojen käsittelyä seurataan? 8. Uusien rekistereiden teossa huomioitavat asiat ja yhteinen toimintamalli 9. Keneltä saa apua, ongelmista ilmoittaminen, tietosuojavastaava