käytännön kokemuksia tietosuojaan liittyvistä asiakascaseista
TRANSCRIPT
Käytännön kokemuksia tietosuoja-asetukseen liittyvistä asiakascaseista
Talent Base Aamiaistilaisuus 25.11
1© Castrén & Snellman
2© Castrén & Snellman
Kansalliset toimenpiteet• Oikeusministeriö on asettanut työryhmän
selvittämään, mitä muutoksia asetus edellyttää suomalaiseen lainsäädäntööno Toimikausi 17.2.2016-16.2.2018o Työryhmän ehdotukset kansallisiksi
lakimuutoksiksi valmiit 31.5.2017 mennessä o Jäsenvaltiot voivat säätää tarkemmin mm.
terveystietojen sekä työntekijöiden henkilötietojen käsittelystä
3© Castrén & Snellman
”Accountability” kantavana periaatteena
- mitä se tarkoittaa käytännössä?
Mitä teemme, mitkä ovat palvelumme?
4© Castrén & Snellman
Havaintoja tietosuoja-auditeista• Epäselvää, mitä tietoja kerätään, millä perusteella ja
mihin tarkoituksiin• Tietojen säilytysaika epäselvä – useimmiten tiedot
jäävät järjestelmiin pitkiksi ajoiksi• Roolit epäselviä – rekisterinpitäjä vai käsittelijä?• Palveluntarjoajien kanssa ei ole sovittu
henkilötietojen käsittelystä eikä ulkoistusilmoituksia ole tehty
• Tietojen sijainti epäselvä (EU:n sisällä vai ei)• Sisäiset vastuut epäselvät – kuka vastaa esim.
rekisteröityjen pyyntöihin ja miten?
5© Castrén & Snellman
Privacy by design&default• Mitä privacy by design & default tarkoittaa
käytännössä?• Oletusarvoinen tietosuoja• Lainsäädännön vaatimukset
palveluihin&tuotteisiin
6© Castrén & Snellman
Rekisteröidyn oikeudet vahvistuvatMitä se tarkoittaa käytännössä?
Kilpailuvaltti!
Mikä on tietovuoto?Miten ja milloin laadimme tietovuotoihin liittyvän ilmoituksen
käytännössä?Viestintä mukaan!
7© Castrén & Snellman
Muuta huomioitavaa?Sopimukset
© Castrén & Snellman 8
9© Castrén & Snellman
Ulkoistammeko henkilötietojen käsittelyä?• Mikä katsotaan henkilötietojen käsittelyn
ulkoistamiseksi?• Mitä velvollisuuksia se tuo tullessaan?• Onko palveluntarjoajalla velvollisuuksia?
• Vrt. henkilötietolain vähäiset velvoitteet käsittelijöille & asetuksen uudet vaatimukset
• Suuri muutos vastuiden jakautumisessa• Miten tietosuojavastuista sovitaan
käytännössä?
10© Castrén & Snellman
Uudet hallinnolliset seuraamukset• Tapauskohtainen kokonaisvaltainen
harkinta• Muita seuraamuskeinoja myös käytössä• Riippuen rikkomuksen luonteesta:
o MEUR 10 tai 2% globaalista liikevaihdostao MEUR 20 tai 4% globaalista liikevaihdosta
11© Castrén & Snellman
Kukaan ei ole valmis…
12© Castrén & Snellman
Valmistautuminen uusiin vaatimuksiin Vastaako tämän päivän toiminta henkilötietolain
vaatimuksia? auditointi Nimeä vastuuhenkilö(-t) / tietosuojavastaava Tunnista henkilötiedot/järjestelmät/prosessit/roolit Määrittele rekisterinpitäjät tarpeet ja tahtotila Laadi projektisuunnitelma ja aikataulut Seuraa kansallisen lainsäädännön kehitystä Käy läpi olemassa olevat IT-sopimukset Laadi tarvittavat dokumentit / toimintasuunnitelmat Jaa tietoa organisaatiossa
13Kuva: http://www.smartinsights.com/marketplace-analysis/digital-marketing-laws/marketing-implications-of-the-eu-general-data-protection-regulation-gdpr/
14© Castrén & Snellman
Kiitos!
Kaisa Keski-Vähälä[email protected] Twitter: #CastrenPrivacy
Asianajotoimisto Castrén & Snellman Oy