SlideShare uma empresa Scribd logo

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki

Harto Pönkä
Harto Pönkä

Webinaari Snellman-kesäyliopiston järjestämällä Tietosuojavastaavan peruskurssilla (2 op) 2/3, 20.8.2019, Harto Pönkä, Innowise

Dados e análise
1 de 40
Baixar para ler offline
Työelämän tietosuoja ja tietosuojavastaavan työkalupakki Tietosuojavastaavan peruskoulutus 2/3, Snellman-kesäyliopisto, 2 op Harto Pönkä 20.8.2019 Kuva: Pixabay
Työelämän tietosuoja
• Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella. • Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä henkilöstölleen. • Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004) – Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin työnhakijaan. – Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän työsuhteeseen, merimieheen. – Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006) – Laki oltava nähtävillä työpaikalla (23 §) • Työnantajan huomioitava lisäksi mm. – Tietosuojalaki (1050/2018) – Laki sähköisen viestinnän palveluista (917/2014) – Julkisuuslaki (621/1999) – YT-laki (laki yhteistoiminnasta yrityksissä 334/2007) Yleistä työelämän tietosuojasta Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Henkilötietojen käsittely työpaikalla • Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot • Luottotiedot ja turvallisuusselvitysmenettelyt • Terveydentilatietojen käsittely • Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma • Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus • Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta, työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö, paikantaminen • Sähköpostin ja tietoverkkojen käyttö • Internetin käyttö • YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4 • YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää). Yhteistoimintamenettelyssä käsit. asiat Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin sekä työntekijän työtehtäviin ja työsuhteeseen. • Työnhakulomakkeissa ja haastatteluissa ei tulisi kysyä yksityiskohtaisia terveydentilaan liittyviä tietoja, vaan kysymykset tulee perustua työtehtäviin. – EI: ” Onko sinulla jokin vakava sairaus?” – OK: ”Onko terveydentilassanne jotakin, joka rajoittaa hakemanne työtehtävän hoitamista?” • Suunnittele etukäteen, mitä tietoja on tarpeen kerätä ja laadi tietosuoja- asetuksen mukainen seloste henkilötietojen käsittelystä. • Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi esiin työpaikalla (kehityskeskustelut, poissaolot, lomavuorot jne.). Tarpeellisuusvaatimus Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3, Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Työnantajan on ensisijaisesti kerättävä työnhakijaa koskevat henkilötiedot hakijalta itseltään (työelämän tietosuojalaki 4§). • Jos työnantaja kerää henkilötietoja muualta, tarvitaan työnhakijan suostumus. – Suostumus ei ole tarpeen, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. • Vakiomuotoinen työnhakulomake ei toimi, jos jonkin tiedon kysyminen on perusteltua toiseen työtehtävään, mutta toiseen ei. – Jokaisen työtehtävän osalta tulisi suunnitella erikseen, mitkä tiedot ovat tarpeen. • Arkaluontoisten henkilötietojen (mm. terveys) käsittelyyn tarvitaan suostumus. • Työ-, virka- ja muissa palvelussuhteissa saadaan käsitellä henkilötunnusta. • Älä kysy työtehtävän kannalta tarpeettomia tietoja ja muista syrjintäkielto. – Esim. siviilisääty, perhesuhteet, lasten hankinta ja lapset, varusmiespalvelu, seurakunta tai uskontokunta, harrastukset, luottamustoimet, poliittiset mielipiteet, etninen alkuperä jne. • Työnantajan on kerrottava vastaamisen vapaaehtoisuudesta ja huolehdittava yleisen tietosuoja-asetuksen mukaisesti informoinnista. • Käytä verkkolomakkeissa salattua nettiyhteyttä (SSL-suojaus eli https://... ) Työnhakijoilta kerättävät tiedot Lisätietoa: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
- Saako työnhakijoiden tai työntekijöiden taustoja selvittää Internetin hakukoneiden kuten Googlen avulla? - Saako sopivia työntekijöitä hakea sosiaalisen median palveluista kuten LinkedInistä? Kysymys: saako työnhakijaa googlata? • Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot ensisijaisesti häneltä itseltään. • Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta. – Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja). • Hakijalta voidaan työnhakulomakkeella pyytää suostumus häntä koskevien tarpeellisten tietojen hakuun hakukoneiden ja somepalvelujen avulla. • Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on myös oikeus tarkistaa itseään koskevat tiedot. • Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko- ja somepalveluista kuten LinkedInistä. • Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä, tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.
Kuvakaappaus: Iltalehti, 22.7.2019, https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76- 16b104acd646 Case: miten tarkistaa työnhakijan antamien tietojen oikeellisuus? • GDPR ja työelämän tietosuojalaki lähtevät rekisteröidyn oikeudesta tarkistaa ja korjata tietojaan. – Jos rekisteröity kiistää tietojen oikeellisuuden, tulee tietojen käyttöä rajoittaa kunnes ne on varmistettu (GDPR 18 a). • GDPR:n tietosuojaperiaatteiden mukaan rekisterinpitäjän tulee varmistaa tietojen täsmällisyys. • Rekisterinpitäjä voi pyytää rekisteröityä todistamaan tietojen oikeellisuus. • Verkosta löytyvät tiedot voivat olla virheellisiä, joten ne sopivat huonosti tietojen varmistamiseen. • Työnantaja voi pyytää työnhakijaa koskevia tietoja tämän suostumuksella mm. viranomaisten rekistereistä (esim. opintosuoritukset ovat julkisia tietoja).
• Henkilö- ja soveltuvuusarviointitestit  Työelämän tietosuojalaki 13 § – Työnhakijan/työntekijän suostumuksella. – Vain työtehtävien hoidon edellytysten tai koulutus- ja muun ammatillisen kehittämisen tarpeen selvittämiseksi. – Varmistettava, että testaukseen käytetään luotettavia testausmenetelmiä, suorittajat ovat asiantuntevia ja testauksella saadut tiedot virheettömiä. – Henkilöllä oikeus saada kirjallinen lausunto tuloksesta. • Henkilöluottotiedot  Työelämän tietosuojalaki 4 § • Terveydentilaa koskevat tiedot  Työelämän tietosuojalaki 5 § • Huumausainetestit  Työelämän tietosuojalaki 3 luku • Lasten kanssa työskentelevien rikostausta  Laki lasten kanssa työskentelevien rikostaustan selvittämisestä • Luotettavuuslausunnot  Turvallisuusselvityslaki Muut selvitykset työnhakijasta/-tekijästä Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
• Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet, työyhteystiedot ja valokuvat esim. verkkosivuilla. – Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta. – Yhteystietojen julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tavoitettavissa. – Kuvan julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tunnistettavissa. • Työnantajan tulee tarvittaessa perustella tietojen julkaisu. Vaikka suostumusta ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä. • Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. • Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voidaan sanoa, että henkilö ei ole enää kyseisessä työtehtävässä. Työntekijöistä julkaistavat tiedot Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
Vaitiolovelvollisuus henkilötiedoista • Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. • Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. • Laissa on lukuisia erityistapauksia, joissa säädetään erikseen salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot, tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.). – Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla rikoslain mukainen salassapitorikos. • Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee varmistua näiden vaitiolovelvollisuudesta esim. sopimuksella. Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120, Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
- Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja. Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitäjä? - Muodostuuko intran uutisista, joissa kerrotaan mm. uusista ja poislähtevistä työntekijöistä, rekisteri? Kysymys: tiedot henkilöstöstä • Yrityksen työntekijöiden tiedot muodostavat henkilörekisterin. Yrityksen oikeusperusteena on tällöin joko sopimus tai rekisterinpitäjän oikeutettu etu. • Yritys voi normaalisti julkaista työntekijöiden nimet, asemat ja työhön liittyvät yhteystiedot esimerkiksi intranetissä ja nettisivuilla sekä luovuttaa niitä mm. asiakkaille työtehtäviin liittyen. • Kun kerätään muiden yritysten yhteyshenkilöiden tietoja, ne muodostavat esimerkiksi asiakas- tai yhteistyökumppaneiden rekisterin. • Työntekijöiden valokuvien julkaisulle esimerkiksi nimitysuutisten yhteydessä kannattaa pyytää suostumus. • Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman suostumusta, sillä kyse on yksityiselämään liittyvistä tiedoista. Sen sijaan voidaan sanoa, että henkilö ei ole paikalla.
- Yrityksen intranetiin kerätään valokuvia mm. vuosijuhlista, pikkujouluista ja muista tapahtumista. - Miten valokuvia pitäisi GDPR:n mukaan käsitellä? - Muodostavatko valokuvat yritykselle rekistereitä? Kysymys: valokuvat tapahtumista • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Jos yritys tallentaa valokuvia henkilöstöstä kuvapankiksi myöhempää tarkemmin määrittelemätöntä käyttöä varten, kyse on henkilötietorekisteristä. • Yleisöltä suljetut yritysten tilat ja tilaisuudet ovat julkisrauhan suojaamia. Jos ulkopuolinen tunkeutuu tällaiseen tilaan, voi kyse olla julkisrauhan rikkomisesta. • Jos joku ulkopuolinen kuvaa tapahtumassa ilman lupaa ja kuvat loukkaavat henkilöiden yksityisyyttä, voi kyse olla salakatselusta. • Yrityksen tilaisuuteen kutsutut vieraat ja esim. toimittajat saavat kuvata. • Yleisölle avoimessa tapahtumassa saa kuvata kuka tahansa. • Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa.
- Saako työnantaja laittaa työpaikalle näkyville listauksen, josta käyvät ilmi eniten poissa olleiden työntekijöiden nimet? - Entä listan työntekijöistä tehtyjen valitusten määristä? Kysymys: sairauspoissaolot ja valitukset • Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy. • Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella. • Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat vaitiolovelvollisia. • Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa. • Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä työntekijöitä voida päätellä niistä. Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
• Kameravalvonta on sallittua VAIN, jos tarkoituksena on: – työntekijöiden + muiden työnantajan tiloissa olevien henkilökohtaisen turvallisuuden varmistaminen – omaisuuden suojaaminen – tuotantoprosessien sujumisen varmistaminen tai edellä mainittuja vaarantavien tilanteiden ennalta estäminen tai selvittäminen – vain työnantajan käytössä olevissa tiloissa • EI kameravalvontaa: – Henkilöstö- ja sosiaalitiloissa, pukeutumistilassa, käymälässä – Henkilökohtaisessa työhuoneessa • Kameravalvonta voidaan kohdistaa tiettyyn työpisteeseen, jos välttämätöntä: – Työntekijään kohdistuvan väkivallan, turvallisuuden tai terveyden uhan vuoksi – Omaisuuteen kohdistuvien rikosten estämiseksi ja selvittämiseksi, jos työntekijän tehtäviin olennaisesti niiden käsittely kuuluu, milloin omaisuus on arvoltaan tai määrältään ”merkittävää”, – Työntekijän pyynnöstä + sovittu työnantajan kanssa ja jos perustuu työntekijän etujen ja oikeuksien varmistamiseen. • EI KOSKAAN: – Työntekijän tai tiettyjen työntekijöiden tarkkailuun työpaikalla. – Ei myöskään työoikeudellisten velvoitteiden valvontaan, esim. työajan noudattaminen. Kameravalvonta työpaikalla Lähde: Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
1. Selvitä ensin, onko muita vähemmän yksityisyyteen puuttuvia keinoja käytettävissä. 2. Rajoita kameravalvonta vain hyväksyttyjen tarkoitusten kannalta välttämättömään. 3. Tietosuoja-asetusta sovelletaan aina työelämän erityislakia täydentävästi myös kameravalvontaan  Onko työntekijöitä informoitu läpinäkyvyysperiaatteen mukaisesti (mm. rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste, henkilötietojen vastaanottajat, tietojen säilytysajat.) 4. Onko sisäinen dokumentointi, mm. seloste käsittelytoimista laadittu? 5. Älä käytä tallenteita muihin kuin etukäteen suunnittelemiisi, hyväksyttäviin ja etukäteen ilmoittamiisi käyttötarkoituksiin. 6. Määrittele, kenellä organisaatiossa on työtehtävien tai asemansa vuoksi oikeus katsoa/käsitellä kameratallenteita rekisterinpitäjän ohjeiden mukaan. Huomioi suojaaminen sivullisilta. 7. Käy ensin YT- tai kuulumismenettely, tiedota sitten kameravalvonnan toteuttamisesta ja tarvittaessa kameroiden sijoittelusta (työpisteeseen kohdistuva valvonta). 8. Huolehdi, että tiloissa, joissa kameravalvontaa käytetään, siitä myös näkyvällä tavalla ilmoitetaan! Kameravalvonnan tarkistuslista Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä kameravalvonnasta, https://tietosuoja.fi/usein-kysyttya-kameravalvonta, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
- Saako työnantaja paikantaa työntekijöitään? - Saako paikannuksen tietoja käyttää työajan valvonnassa? Kysymys: työntekijöiden paikannus • Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve. • Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan. • Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus. • Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin). • Paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden valvonnassa, kuten työajan seurannassa. – Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole käytettävissä muita keinoja. – Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen käyttötarkoitukseksi sekä käsitellä se YT-menettelyssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
Kysymyksiä työelämän tietosuojasta?
Osoitusvelvollisuus ja dokumentointi
• Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
• Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
Ulkopuoliset henkilötietojen käsittelijät
Tietojen anto ulkopuoliselle taholle?
Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
Riskiarviointi ja GDPR:n työkalut
• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja • Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. • Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei julkaisesti saatavilla, vaan niitä käsitellään suojatusti. • Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tarpeelliset tekniset suojatoimet ja toimenpiteet organisaatiossaan. Esimerkiksi: – Henkilöstön koulutus – Ohjeistukset ja määräykset – Salassapitositoumukset – Tilojen ja tietojärjestelmien valvonta – Tietojärjestelmien tietoturva – Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset – Auditoinnit, tietotilinpäätökset jne. • Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf Oletusarvoinen tietosuoja
• Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
Henkilötietojen käsittelyn riskienhallinta Henkilötietojen käsittelyn nykytilan arviointi Henkilötietojen käsittelyn oikeusperusteet Tasapainotesti, jos käsittelyn perusteena on oikeutettu etu Vaikutustenarviointi, jos henkilötietojen käsittelyyn voi kohdistua korkea riski Tietosuojan varmistavat tekniset ja organisatoriset suojatoimet Rekisterinpitäjän seloste käsittelytoimista Rekisteröityjen informointi Sopimukset ja ohjeet henkilötietojen käsittelijöille Seuranta ja kehitys
Tasapainotesti: oikeutettu etu Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu 1. Onko oikeutettu etu sopivin käsittelyperuste? 2. Täyttyvätkö perusvaatimukset? Laillinen, selkeästi ilmaistu ja todellinen tarkoitus ja tarve. 3. Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi? 4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet? Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet • Tietojen käsittelyn täytyy olla tarpeen, jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) • Myös yleinen tai yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt). • Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn, joka on lähellä jotain muuta tarkoitusta, johon on muu oikeusperuste (esim. sopimus). • Esimerkkejä: suoramarkkinointi, tieteellinen ja historiallinen tutkimus sekä tilastointi, henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä. • Arkaluontoisten tietojen ja salassa pidettävien henkilötietojen käsittelylle on korkeammat vaatimukset. • Huomioi sekä konkreettiset että mahdolliset seuraukset. Esim. mahdollisuus käyttää tietoja syrjivästi ja rekisteröidylle aiheutuva mielipaha. • Arvioi riskien todennäköisyys, epävarmuustekijät ja seurauksien mahdollinen vakavuus. • Käsittely ei saa olla rekisteröidylle odottamatonta. • Heikossa asemassa olevien rekisteröityjen kuten lasten ja muiden haavoittuvassa asemassa olevien oikeuksien toteutumisessa on oltava huolellisempi. 5. Varmista tietosuojan lisätakeet Tekniset ja toiminnalliset keinot, joilla vähennetään henkilötietoihin kohdistuvia riskejä. Esim. tietojen minimointi, anonymisointi ja korkea tietoturva. 6. Osoita toiminnan lainmukaisuus ja varmista avoimuus Dokumentoi tasapainotestin suoritus ja valmistaudu selittämään käsittelyn perusteet rekisteröidyille. vs.
Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
• Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä. • Vaikutustenarviointi tulee tehdä erityisesti, kun: – otetaan käyttöön uutta teknologiaa – käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista – on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista – on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. • Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea (ks. ao. ohje). • Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). • Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti. • Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi. pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf Milloin on tehtävä vaikutustenarviointi? Lähde: Tietosuojavaltuutetun toimisto, 2017, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html
Vähintään 2 riskiä  vaikutustenarviointi Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä 1. Arviointi tai pisteytys Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia * Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen kameravalvonta. 4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen * Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta. Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Esimerkkejä vaik.arvioinnin tarpeesta Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko todennäköisesti vaikutustenarviointi? Yritys seuraa järjestelmällisesti työntekijöidensä toimintaa, esimerkiksi työntekijöiden työasemia ja toimintaa internetissä jne. - Järjestelmällinen valvonta - Heikossa asemassa olevia rekisteröityjä koskevat tiedot KYLLÄ Sosiaalisen median julkisten tietojen kerääminen profiilien laatimiseksi. - Arviointi tai pisteytys - Tietojen laajamittainen käsittely - Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen - Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot KYLLÄ Heikossa asemassa olevia rekisteröityjä koskevien ja peitenimellä tallennettujen, tutkimushankkeisiin tai kliinisiin tutkimuksiin liittyvien arkaluontoisten henkilötietojen tallentaminen arkistointitarkoituksiin. - Arkaluontoiset tiedot - Heikossa asemassa olevia rekisteröityjä koskevat tiedot - Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta KYLLÄ (useita kriteereitä) Verkkolehti käyttää postituslistaa päivittäisen yleiskoosteen lähettämiseen tilaajilleen - Tietojen laajamittainen käsittely EI (vain 1 kriteeri) Sähköisen kaupankäynnin verkkosivustolla esitetään museoajoneuvojen osia koskevia ilmoituksia, joihin liittyy kyseisellä verkkosivustolla katsottuihin tai hankittuihin tavaroihin perustuva rajoitettu profilointi - Arviointi tai pisteytys EI (vain 1 kriteeri) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Vaikutustenarvioinnin kriteerit Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/83167 11/Vaikutustenarviointi+fi.pdf/af51e999-5326- 4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Keskustelu & kysymykset
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

Recomendados

Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 

Recomendados

Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
Harto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä
 

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?Paljonko digiosaamista on tarpeeksi?
Paljonko digiosaamista on tarpeeksi?
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 

Semelhante a Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki

Semelhante a Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki (20)

Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Tietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 

Mais de Harto Pönkä

Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä
 

Mais de Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 

Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki

  • 3. • Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella. • Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä henkilöstölleen. • Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004) – Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin työnhakijaan. – Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän työsuhteeseen, merimieheen. – Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006) – Laki oltava nähtävillä työpaikalla (23 §) • Työnantajan huomioitava lisäksi mm. – Tietosuojalaki (1050/2018) – Laki sähköisen viestinnän palveluista (917/2014) – Julkisuuslaki (621/1999) – YT-laki (laki yhteistoiminnasta yrityksissä 334/2007) Yleistä työelämän tietosuojasta Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 4. • Henkilötietojen käsittely työpaikalla • Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot • Luottotiedot ja turvallisuusselvitysmenettelyt • Terveydentilatietojen käsittely • Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma • Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus • Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta, työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö, paikantaminen • Sähköpostin ja tietoverkkojen käyttö • Internetin käyttö • YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4 • YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää). Yhteistoimintamenettelyssä käsit. asiat Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 5. • Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin sekä työntekijän työtehtäviin ja työsuhteeseen. • Työnhakulomakkeissa ja haastatteluissa ei tulisi kysyä yksityiskohtaisia terveydentilaan liittyviä tietoja, vaan kysymykset tulee perustua työtehtäviin. – EI: ” Onko sinulla jokin vakava sairaus?” – OK: ”Onko terveydentilassanne jotakin, joka rajoittaa hakemanne työtehtävän hoitamista?” • Suunnittele etukäteen, mitä tietoja on tarpeen kerätä ja laadi tietosuoja- asetuksen mukainen seloste henkilötietojen käsittelystä. • Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi esiin työpaikalla (kehityskeskustelut, poissaolot, lomavuorot jne.). Tarpeellisuusvaatimus Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3, Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 6. • Työnantajan on ensisijaisesti kerättävä työnhakijaa koskevat henkilötiedot hakijalta itseltään (työelämän tietosuojalaki 4§). • Jos työnantaja kerää henkilötietoja muualta, tarvitaan työnhakijan suostumus. – Suostumus ei ole tarpeen, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. • Vakiomuotoinen työnhakulomake ei toimi, jos jonkin tiedon kysyminen on perusteltua toiseen työtehtävään, mutta toiseen ei. – Jokaisen työtehtävän osalta tulisi suunnitella erikseen, mitkä tiedot ovat tarpeen. • Arkaluontoisten henkilötietojen (mm. terveys) käsittelyyn tarvitaan suostumus. • Työ-, virka- ja muissa palvelussuhteissa saadaan käsitellä henkilötunnusta. • Älä kysy työtehtävän kannalta tarpeettomia tietoja ja muista syrjintäkielto. – Esim. siviilisääty, perhesuhteet, lasten hankinta ja lapset, varusmiespalvelu, seurakunta tai uskontokunta, harrastukset, luottamustoimet, poliittiset mielipiteet, etninen alkuperä jne. • Työnantajan on kerrottava vastaamisen vapaaehtoisuudesta ja huolehdittava yleisen tietosuoja-asetuksen mukaisesti informoinnista. • Käytä verkkolomakkeissa salattua nettiyhteyttä (SSL-suojaus eli https://... ) Työnhakijoilta kerättävät tiedot Lisätietoa: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 7. - Saako työnhakijoiden tai työntekijöiden taustoja selvittää Internetin hakukoneiden kuten Googlen avulla? - Saako sopivia työntekijöitä hakea sosiaalisen median palveluista kuten LinkedInistä? Kysymys: saako työnhakijaa googlata? • Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot ensisijaisesti häneltä itseltään. • Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta. – Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja). • Hakijalta voidaan työnhakulomakkeella pyytää suostumus häntä koskevien tarpeellisten tietojen hakuun hakukoneiden ja somepalvelujen avulla. • Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on myös oikeus tarkistaa itseään koskevat tiedot. • Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko- ja somepalveluista kuten LinkedInistä. • Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä, tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.
  • 8. Kuvakaappaus: Iltalehti, 22.7.2019, https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76- 16b104acd646 Case: miten tarkistaa työnhakijan antamien tietojen oikeellisuus? • GDPR ja työelämän tietosuojalaki lähtevät rekisteröidyn oikeudesta tarkistaa ja korjata tietojaan. – Jos rekisteröity kiistää tietojen oikeellisuuden, tulee tietojen käyttöä rajoittaa kunnes ne on varmistettu (GDPR 18 a). • GDPR:n tietosuojaperiaatteiden mukaan rekisterinpitäjän tulee varmistaa tietojen täsmällisyys. • Rekisterinpitäjä voi pyytää rekisteröityä todistamaan tietojen oikeellisuus. • Verkosta löytyvät tiedot voivat olla virheellisiä, joten ne sopivat huonosti tietojen varmistamiseen. • Työnantaja voi pyytää työnhakijaa koskevia tietoja tämän suostumuksella mm. viranomaisten rekistereistä (esim. opintosuoritukset ovat julkisia tietoja).
  • 9. • Henkilö- ja soveltuvuusarviointitestit  Työelämän tietosuojalaki 13 § – Työnhakijan/työntekijän suostumuksella. – Vain työtehtävien hoidon edellytysten tai koulutus- ja muun ammatillisen kehittämisen tarpeen selvittämiseksi. – Varmistettava, että testaukseen käytetään luotettavia testausmenetelmiä, suorittajat ovat asiantuntevia ja testauksella saadut tiedot virheettömiä. – Henkilöllä oikeus saada kirjallinen lausunto tuloksesta. • Henkilöluottotiedot  Työelämän tietosuojalaki 4 § • Terveydentilaa koskevat tiedot  Työelämän tietosuojalaki 5 § • Huumausainetestit  Työelämän tietosuojalaki 3 luku • Lasten kanssa työskentelevien rikostausta  Laki lasten kanssa työskentelevien rikostaustan selvittämisestä • Luotettavuuslausunnot  Turvallisuusselvityslaki Muut selvitykset työnhakijasta/-tekijästä Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 10. • Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet, työyhteystiedot ja valokuvat esim. verkkosivuilla. – Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta. – Yhteystietojen julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tavoitettavissa. – Kuvan julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tunnistettavissa. • Työnantajan tulee tarvittaessa perustella tietojen julkaisu. Vaikka suostumusta ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän tietojaan on internetissä. • Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. • Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voidaan sanoa, että henkilö ei ole enää kyseisessä työtehtävässä. Työntekijöistä julkaistavat tiedot Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 11. Vaitiolovelvollisuus henkilötiedoista • Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. • Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. • Laissa on lukuisia erityistapauksia, joissa säädetään erikseen salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot, tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.). – Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla rikoslain mukainen salassapitorikos. • Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee varmistua näiden vaitiolovelvollisuudesta esim. sopimuksella. Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120, Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
  • 12. - Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja. Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitäjä? - Muodostuuko intran uutisista, joissa kerrotaan mm. uusista ja poislähtevistä työntekijöistä, rekisteri? Kysymys: tiedot henkilöstöstä • Yrityksen työntekijöiden tiedot muodostavat henkilörekisterin. Yrityksen oikeusperusteena on tällöin joko sopimus tai rekisterinpitäjän oikeutettu etu. • Yritys voi normaalisti julkaista työntekijöiden nimet, asemat ja työhön liittyvät yhteystiedot esimerkiksi intranetissä ja nettisivuilla sekä luovuttaa niitä mm. asiakkaille työtehtäviin liittyen. • Kun kerätään muiden yritysten yhteyshenkilöiden tietoja, ne muodostavat esimerkiksi asiakas- tai yhteistyökumppaneiden rekisterin. • Työntekijöiden valokuvien julkaisulle esimerkiksi nimitysuutisten yhteydessä kannattaa pyytää suostumus. • Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman suostumusta, sillä kyse on yksityiselämään liittyvistä tiedoista. Sen sijaan voidaan sanoa, että henkilö ei ole paikalla.
  • 13. - Yrityksen intranetiin kerätään valokuvia mm. vuosijuhlista, pikkujouluista ja muista tapahtumista. - Miten valokuvia pitäisi GDPR:n mukaan käsitellä? - Muodostavatko valokuvat yritykselle rekistereitä? Kysymys: valokuvat tapahtumista • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Jos yritys tallentaa valokuvia henkilöstöstä kuvapankiksi myöhempää tarkemmin määrittelemätöntä käyttöä varten, kyse on henkilötietorekisteristä. • Yleisöltä suljetut yritysten tilat ja tilaisuudet ovat julkisrauhan suojaamia. Jos ulkopuolinen tunkeutuu tällaiseen tilaan, voi kyse olla julkisrauhan rikkomisesta. • Jos joku ulkopuolinen kuvaa tapahtumassa ilman lupaa ja kuvat loukkaavat henkilöiden yksityisyyttä, voi kyse olla salakatselusta. • Yrityksen tilaisuuteen kutsutut vieraat ja esim. toimittajat saavat kuvata. • Yleisölle avoimessa tapahtumassa saa kuvata kuka tahansa. • Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa.
  • 14. - Saako työnantaja laittaa työpaikalle näkyville listauksen, josta käyvät ilmi eniten poissa olleiden työntekijöiden nimet? - Entä listan työntekijöistä tehtyjen valitusten määristä? Kysymys: sairauspoissaolot ja valitukset • Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy. • Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella. • Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat vaitiolovelvollisia. • Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa. • Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä työntekijöitä voida päätellä niistä. Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
  • 15. • Kameravalvonta on sallittua VAIN, jos tarkoituksena on: – työntekijöiden + muiden työnantajan tiloissa olevien henkilökohtaisen turvallisuuden varmistaminen – omaisuuden suojaaminen – tuotantoprosessien sujumisen varmistaminen tai edellä mainittuja vaarantavien tilanteiden ennalta estäminen tai selvittäminen – vain työnantajan käytössä olevissa tiloissa • EI kameravalvontaa: – Henkilöstö- ja sosiaalitiloissa, pukeutumistilassa, käymälässä – Henkilökohtaisessa työhuoneessa • Kameravalvonta voidaan kohdistaa tiettyyn työpisteeseen, jos välttämätöntä: – Työntekijään kohdistuvan väkivallan, turvallisuuden tai terveyden uhan vuoksi – Omaisuuteen kohdistuvien rikosten estämiseksi ja selvittämiseksi, jos työntekijän tehtäviin olennaisesti niiden käsittely kuuluu, milloin omaisuus on arvoltaan tai määrältään ”merkittävää”, – Työntekijän pyynnöstä + sovittu työnantajan kanssa ja jos perustuu työntekijän etujen ja oikeuksien varmistamiseen. • EI KOSKAAN: – Työntekijän tai tiettyjen työntekijöiden tarkkailuun työpaikalla. – Ei myöskään työoikeudellisten velvoitteiden valvontaan, esim. työajan noudattaminen. Kameravalvonta työpaikalla Lähde: Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 16. 1. Selvitä ensin, onko muita vähemmän yksityisyyteen puuttuvia keinoja käytettävissä. 2. Rajoita kameravalvonta vain hyväksyttyjen tarkoitusten kannalta välttämättömään. 3. Tietosuoja-asetusta sovelletaan aina työelämän erityislakia täydentävästi myös kameravalvontaan  Onko työntekijöitä informoitu läpinäkyvyysperiaatteen mukaisesti (mm. rekisterinpitäjä, henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste, henkilötietojen vastaanottajat, tietojen säilytysajat.) 4. Onko sisäinen dokumentointi, mm. seloste käsittelytoimista laadittu? 5. Älä käytä tallenteita muihin kuin etukäteen suunnittelemiisi, hyväksyttäviin ja etukäteen ilmoittamiisi käyttötarkoituksiin. 6. Määrittele, kenellä organisaatiossa on työtehtävien tai asemansa vuoksi oikeus katsoa/käsitellä kameratallenteita rekisterinpitäjän ohjeiden mukaan. Huomioi suojaaminen sivullisilta. 7. Käy ensin YT- tai kuulumismenettely, tiedota sitten kameravalvonnan toteuttamisesta ja tarvittaessa kameroiden sijoittelusta (työpisteeseen kohdistuva valvonta). 8. Huolehdi, että tiloissa, joissa kameravalvontaa käytetään, siitä myös näkyvällä tavalla ilmoitetaan! Kameravalvonnan tarkistuslista Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä kameravalvonnasta, https://tietosuoja.fi/usein-kysyttya-kameravalvonta, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 17. - Saako työnantaja paikantaa työntekijöitään? - Saako paikannuksen tietoja käyttää työajan valvonnassa? Kysymys: työntekijöiden paikannus • Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos työnantajalla on siihen asiallinen peruste ja tarve. • Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan. • Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus. • Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin). • Paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden valvonnassa, kuten työajan seurannassa. – Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole käytettävissä muita keinoja. – Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen käyttötarkoitukseksi sekä käsitellä se YT-menettelyssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  • 20. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
  • 21. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
  • 24. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  • 25.
  • 26. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  • 28. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja • Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. • Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei julkaisesti saatavilla, vaan niitä käsitellään suojatusti. • Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tarpeelliset tekniset suojatoimet ja toimenpiteet organisaatiossaan. Esimerkiksi: – Henkilöstön koulutus – Ohjeistukset ja määräykset – Salassapitositoumukset – Tilojen ja tietojärjestelmien valvonta – Tietojärjestelmien tietoturva – Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset – Auditoinnit, tietotilinpäätökset jne. • Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf Oletusarvoinen tietosuoja
  • 29. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista suojatoimista määräytyvät riskiperusteisesti • Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin • Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. – Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. • Riski voi olla korkeampi, kun – käsitellään heikossa asemassa olevien tietoja (esim. lapset) – käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti – käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi • Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla). Riskiperusteinen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-asetukseen/8c5b9a96-a8ce-4c91-ad06- 6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
  • 30. Henkilötietojen käsittelyn riskienhallinta Henkilötietojen käsittelyn nykytilan arviointi Henkilötietojen käsittelyn oikeusperusteet Tasapainotesti, jos käsittelyn perusteena on oikeutettu etu Vaikutustenarviointi, jos henkilötietojen käsittelyyn voi kohdistua korkea riski Tietosuojan varmistavat tekniset ja organisatoriset suojatoimet Rekisterinpitäjän seloste käsittelytoimista Rekisteröityjen informointi Sopimukset ja ohjeet henkilötietojen käsittelijöille Seuranta ja kehitys
  • 31. Tasapainotesti: oikeutettu etu Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, https://tietosuoja.fi/rekisterinpitajan-oikeutettu-etu 1. Onko oikeutettu etu sopivin käsittelyperuste? 2. Täyttyvätkö perusvaatimukset? Laillinen, selkeästi ilmaistu ja todellinen tarkoitus ja tarve. 3. Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi? 4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet? Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet • Tietojen käsittelyn täytyy olla tarpeen, jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) • Myös yleinen tai yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt). • Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn, joka on lähellä jotain muuta tarkoitusta, johon on muu oikeusperuste (esim. sopimus). • Esimerkkejä: suoramarkkinointi, tieteellinen ja historiallinen tutkimus sekä tilastointi, henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä. • Arkaluontoisten tietojen ja salassa pidettävien henkilötietojen käsittelylle on korkeammat vaatimukset. • Huomioi sekä konkreettiset että mahdolliset seuraukset. Esim. mahdollisuus käyttää tietoja syrjivästi ja rekisteröidylle aiheutuva mielipaha. • Arvioi riskien todennäköisyys, epävarmuustekijät ja seurauksien mahdollinen vakavuus. • Käsittely ei saa olla rekisteröidylle odottamatonta. • Heikossa asemassa olevien rekisteröityjen kuten lasten ja muiden haavoittuvassa asemassa olevien oikeuksien toteutumisessa on oltava huolellisempi. 5. Varmista tietosuojan lisätakeet Tekniset ja toiminnalliset keinot, joilla vähennetään henkilötietoihin kohdistuvia riskejä. Esim. tietojen minimointi, anonymisointi ja korkea tietoturva. 6. Osoita toiminnan lainmukaisuus ja varmista avoimuus Dokumentoi tasapainotestin suoritus ja valmistaudu selittämään käsittelyn perusteet rekisteröidyille. vs.
  • 32. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  • 33. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 34. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä. • Vaikutustenarviointi tulee tehdä erityisesti, kun: – otetaan käyttöön uutta teknologiaa – käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista – on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista – on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. • Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea (ks. ao. ohje). • Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). • Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti. • Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi. pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf Milloin on tehtävä vaikutustenarviointi? Lähde: Tietosuojavaltuutetun toimisto, 2017, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/vaikutustenarviointi.html
  • 35. Vähintään 2 riskiä  vaikutustenarviointi Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Täsmennyksiä ja esimerkkejä 1. Arviointi tai pisteytys Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 2. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia * Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 3. Järjestelmällinen valvonta * Esim. julkisten ja avointen tilojen kameravalvonta. 4. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot * Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 5. Tietojen laajamittainen käsittely Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 6. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 7. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 8. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen * Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esim. pankin arvio luottokelpoisuudesta. Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  • 36. Esimerkkejä vaik.arvioinnin tarpeesta Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko todennäköisesti vaikutustenarviointi? Yritys seuraa järjestelmällisesti työntekijöidensä toimintaa, esimerkiksi työntekijöiden työasemia ja toimintaa internetissä jne. - Järjestelmällinen valvonta - Heikossa asemassa olevia rekisteröityjä koskevat tiedot KYLLÄ Sosiaalisen median julkisten tietojen kerääminen profiilien laatimiseksi. - Arviointi tai pisteytys - Tietojen laajamittainen käsittely - Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen - Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot KYLLÄ Heikossa asemassa olevia rekisteröityjä koskevien ja peitenimellä tallennettujen, tutkimushankkeisiin tai kliinisiin tutkimuksiin liittyvien arkaluontoisten henkilötietojen tallentaminen arkistointitarkoituksiin. - Arkaluontoiset tiedot - Heikossa asemassa olevia rekisteröityjä koskevat tiedot - Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta KYLLÄ (useita kriteereitä) Verkkolehti käyttää postituslistaa päivittäisen yleiskoosteen lähettämiseen tilaajilleen - Tietojen laajamittainen käsittely EI (vain 1 kriteeri) Sähköisen kaupankäynnin verkkosivustolla esitetään museoajoneuvojen osia koskevia ilmoituksia, joihin liittyy kyseisellä verkkosivustolla katsottuihin tai hankittuihin tavaroihin perustuva rajoitettu profilointi - Arviointi tai pisteytys EI (vain 1 kriteeri) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
  • 37. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf