SlideShare a Scribd company logo

Tietosuojavastaavan nimittäminen ja tehtävät

Harto Pönkä
Harto Pönkä

Koulutus Tieken ja tietosuojavastaavan toimiston GDPR2DSM-hankkeen webinaarissa 14.9.2022, Harto Pönkä

Law
1 of 18
Download to read offline
Tietosuojavastaavan nimittäminen ja tehtävät 14.9.2022 Harto Pönkä Innowise Kuva: Pixabay
Milloin tietosuojavastaava tulee nimetä? 2  Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu yleensä EU:n yleiseen tietosuoja-asetukseen (GDPR art. 37-39).  SOTE-alan palveluntuottajien ja apteekkien on pitänyt asettaa tietosuojavastaava vuodesta 2007 lähtien (lait 61/2007 ja 159/2007).  Tietosuojavastaavan nimittäminen on monessa tapauksessa pakollista:  Rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet tiettyjen tehtäviensä osalta)  Ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa  Ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin (mm. terveys, entinen alkuperä, poliittiset mielipiteet, uskonnollinen vakaumus, seksuaalinen suuntautuminen) tai rikostuomioita tai rikkomuksia koskeviin tietoihin.  Ydintehtäviä eivät ole tavalliset tukitoiminnot kuten palkanmaksu ja IT-tuki.  Jos organisaation on nimitettävä tietosuojavastaava, tulee sellainen olla koko ajan. Esim. vakituisen tietosuojavastaavan loman ajaksi voidaan nimittää sijainen. Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
Mitä on ”laajamittainen” henkilötietojen käsittely? 3  Rekisteröityjen lukumäärä – joko täsmällinen lukumäärä tai osuus väestöstä  Käsiteltävä tietomäärä ja/tai käsiteltävien tietotyyppien määrä  Tietojen käsittelytoiminnan kesto tai pysyvyys  Käsittelytoiminnan maantieteellinen laajuus  Esimerkkejä laajamittaisesta henkilötietojen käsittelystä:  Potilastietojen käsittely sairaalan tavanomaisessa toiminnassa  joukkoliikennejärjestelmän käyttäjien matkatietojen käsittely  Kansainvälisen pikaruokaketjun asiakkaiden reaaliaikaisten sijaintitietojen käsittely  Asiakastietojen käsittely vakuutusyhtiön tai pankin liiketoiminnassa  Henkilötietojen käsittely käyttötottumuksia seuraavaa mainontaa varten  Puhelin- tai internetpalveluntarjoajien suorittama tietojenkäsittely  Sen sijaan esim. yksittäisen lääkärin tai asianajajan toimintaa ei katsottane laajamittaiseksi Lähde: WP243 liite, usein kysyttyä tietosuojavastaavista, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavat+UKK+fi.pdf/006f8dcb-540a-403e-a29d- b8a4b7c4814f/Tietosuojavastaavat+UKK+fi.pdf.pdf/Tietosuojavastaavat+UKK+fi.pdf.pdf
Mitä tarkoitetaan ”säännöllisellä ja järjestelmällisellä seurannalla”? 4  GDPR:ssä ei määritellä säännöllisen ja järjestelmällisen seurannan käsitettä, mutta siihen sisältyy ainakin seuraaminen ja profilointi internetissä, myös mainontaa varten.  ”Säännöllisellä” tarkoitetaan:  toiminta jatkuu tai toteutetaan tietyin aikavälein tietyn ajan  toiminta toistuu tai toistetaan määritettyinä aikoina  toiminta on jatkuvaa tai ajoittaista.  ”Järjestelmällisellä” tarkoitetaan:  toiminta on järjestelmän mukaista  toiminta on ennalta järjestettyä, organisoitua tai menetelmällistä  toiminta toteutetaan osana yleistä tiedonkeruusuunnitelmaa  toiminta toteutetaan osana strategiaa.  Esimerkkejä: tietoliikenneverkkojen ja -palvelujen ylläpito, uudelleenmarkkinointi sähköpostitse, dataohjattu markkinointitoiminta, profilointi ja pisteyttäminen riskinarviointia varten, sijainnin seuraaminen, kanta-asiakasohjelmat, videovalvonta, IoT- laitteet kuten älymittarit, älyautot ja kodin automaatio. Lähde: WP243 liite, usein kysyttyä tietosuojavastaavista, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavat+UKK+fi.pdf/006f8dcb-540a-403e-a29d- b8a4b7c4814f/Tietosuojavastaavat+UKK+fi.pdf.pdf/Tietosuojavastaavat+UKK+fi.pdf.pdf
Muuta tietosuojavastaavan nimittämisessä huomioitavaa 5  Eturistiriitojen välttämiseksi tietosuojavastaava ei saisi olla asemassa, jossa hän päättää henkilötietojen käsittelyn tarkoituksista tai keinoista.  Ylempi johtoasema (esim. hallintojohtaja, talousjohtaja, johtava lääkäri, markkinointipäällikkö, henkilöstöpäällikkö tai IT-päällikkö) voi aiheuttaa eturistiriidan.  Myöskään tietoturvavastaavaa ei tulisi nimittää tietosuojavastaavaksi.  Tietosuojavastaavan voi nimittää myös vapaaehtoisesti  Jos tietosuojavastaava nimitetään, sen rooli määräytyy GDPR:n mukaisesti.  Yleensä on suositeltavampaa nimittää tietosuojasta vastaava henkilö tms. kuin vapaaehtoisesti tietosuojavastaava.  Konsernilla sekä usealla julkishallinnon organisaatiolla voi olla yhteinen tietosuojavastaava.  Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.  Jos tietosuojavastaavaa ei nimitetä, kannattaa dokumentoida sen perustelut. Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
Tietosuojavastaavan pätevyys ▪ Asiantuntemus kansallisesta ja EU:n tietosuojalainsäädännöstä ja alan käytänteistä, myös GDPR:n perusteellinen tuntemus ▪ Suoritettujen käsittelytoimien tuntemus ▪ Tietojärjestelmien ja tietoturvan tuntemus ▪ Toimialan ja organisaation tuntemus ▪ Valmiudet edistää tietosuojakulttuuria organisaatiossa  Ei muodollisia vaatimuksia, vaan tehtävään sopiva osaaminen.  Itsenäinen ja rehellinen, rohkeus viestiä ja tuoda asiat esiin. 6 Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
Kenellä on vastuu tietosuojasta? 7 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää ”tarkoitukset ja keinot” ja toimeenpanee ne. Velvollisuus kuulla tietosuojavastaavaa.
Tietosuojavastaavan asema 8  Tietosuojavastaavalla tulee olla johdon tuki ja hän raportoi suoraan johdolle.  Organisaation on varmistettava, että tietosuojavastaava otetaan mukaan kaikkien henkilötietoja koskevien kysymysten käsittelyyn.  Jos tehdään kyseenalaisia päätöksiä, tietosuojavastaavalle olisi annettava tilaisuus esittää eriävä mielipiteensä ylimmälle johdolle ja päätöksentekijöille.  Tietosuojavastaavalle ei saa antaa tehtäviä, jotka aiheuttaisivat ristiriidan tehtävän hoidolle.  Tehtävä on luonteeltaan pysyvä, joten työsuhteen olisi hyvä olla jatkuva.  Riippumaton: ei saa ottaa vastaan ko. tehtävien hoitoa koskevia ohjeita.  Ei saa erottaa, rangaista tai uhata seurauksilla tehtävään liittyvien toimenpiteidensä vuoksi. Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
Tietosuojavastaavan salassapitovelvollisuus 9  Lisäksi tietosuojalain 35 §:n vaitiolovelvollisuus on kaikilla henkilötietoja käsittelevillä.  Tietosuojasuojavastaava voi luovuttaa tietojaan vain niille henkilöille, joilla on asemansa tai tehtäviensä perusteella oikeus saada kyseisiä tietoja.  Salassapitovelvollisuus ei estä ottamasta yhteyttä valvontaviranomaiseen ja pyytämästä neuvoja missä tahansa henkilötietoihin liittyvässä kysymyksessä (GDPR art. 39).  Tietosuojavastaava on tehtäviensä hoidossa itsenäinen, joten hän voi kysyä valvontaviranomaiselta myös sellaisista asioista, joista rekisterinpitäjä ei ehkä haluaisi kysyttävän.  Valvontaviranomaisella on ”oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot” (tietosuojalaki 18 §). Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN 38 artikla 5. Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
10 Kuva: Luis Villasmil @Unsplash.com Tietosuojavastaavan tehtävät
Tietosuojavastaavan tehtävät 1/2 11 1) Tietosuoja-asioiden neuvonta ja ohjeistus  Tekee ohjeistuksia, kouluttaa ja neuvoo työntekijöitä tietosuoja-asioissa.  Antaa tietoa ja neuvoja tietosuojasääntelyn mukaisista velvollisuuksista johdolle. 2) Tietosuoja-asetuksen noudattamisen seuranta  Kerää tietoa henkilötietojen käsittelytoimista, analysoi niitä ja tarkistaa, ovatko ne vaatimusten mukaisia, sekä tuo esiin havaitsemiaan puutteita.  Priorisoi toimiaan ja keskittyy kysymyksiin, jotka aiheuttavat tavallista suurempia tietosuojariskejä (riskiperusteinen lähestymistapa).  Raportoi organisaation johdolle asioiden kiireellisyys huomioiden (esim. tietoturvaloukkaukset välittömästi ja pitkäaikainen seuranta vuosittain toimintakertomuksena tai tietotilinpäätöksenä). Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/ 39 artikla
Tietosuojavastaavan tehtävät 2/2 12 3) Rooli tietosuojaa koskevissa vaikutustenarvioinneissa  Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarviointien toteutusta. 4) Yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle  On rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa.  On tietosuojavaltuutetun toimiston yhteyshenkilö ja yhteistyötaho. 5) Mahdolliset muut annetut tehtävät  Muihin tehtäviin sopii ylläpitää sisäistä selostetta henkilötietojen käsittelytoimista.  Organisaation johto voi antaa tietosuojavastaavalle lisäksi muita tehtäviä, mutta ne eivät saa aiheuttaa eturistiriitoja: tietosuojavastaava ei saa olla vastuussa päätöksistä, joita hän valvoo. Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
Tarvittavat resurssit, yhteistyö ja toimintakulttuuri 13 Tietosuoja- vastaava Organisaation johto Teknologiasta ja tietoturvasta vastaavat Muu henkilöstö Yhteistyö- kumppanit Asiakkaat Henkilöstö- hallinto Tietosuoja- ryhmä
Tietosuojavastaavan tärkein resurssi = aika 14 • Yhteydenpito eri tahoihin • Tietosuojatyön suunnittelu ja koordinointi • Palaverit, arvioinnit, kommentoinnit • Sisäiset koulutukset ja materiaalit • Henkilötietojen käsittelyn seuranta • Raportointi johdolle ja sen avustaminen • Osaamisen ylläpito, tietosuojaan liittyvien uutisten seuraaminen, kouluttautuminen Tietosuojavastaavan kannattaa pitää kalenteri väljänä, jotta kiireisille tehtäville jää aikaa!
“ Tietosuojasta huolehtiminen on kaikkien vastuulla, mutta tietosuojavastaavan tehtävänä on varmistaa, että siitä tullaan tietoiseksi ja osataan toimia oikein. 15
Useilla tietosuojavastaavilla ei ole edellytyksiä tehdä työtään hyvin 16 Vaikka kaupungilla on ollut tietosuojavastaava ja tietosuojaryhmä heti, kun tietosuoja-asetus sitä edellytti, niin asetusta ei noudateta. Varsinkin uusien ohjelmistojen tai muutosten teon yhteydessä asioista ei tiedoteta tietosuojavastaavalle, riskianalyysit ja vaikutusten arvioinnit jäävät tekemättä ja henkilörekistereitä saatetaan käyttää vastoin asiakkaiden suostumusta tai tietosuojaselosteessa ilmoitettua tapaa. Tähän pitää saada muutos ja kaupungin esihenkilöiden, etenkin johtoryhmässä olevien, pitäisi ottaa tietosuoja- asetus tosissaan ja antaa tietosuojavastaavan tehdä työnsä kunnolla. - Anonyymi tietosuojavastaava Kuvaaja: Tietosuojavastaavan peruskoulutuksen suorittaneiden tietosuojavastaavien vastaukset 2019-2022 (N=93), lainaus erään kurssilaisen tehtävästä luvan kanssa. ”
Tule syksyn kurssille! https://snellmanedu.fi/tuote/tietosuojavastaavan-peruskoulutus-2-op-4/ 17
18 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Recommended

Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 

Recommended

Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Sosiaalisen median valeprofiilit - miten tunnistaa ja suojautua?
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä
 
Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
Harto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
Harto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toimintaVerkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Harto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 

More Related Content

What's hot

Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä
 

What's hot (20)

Informaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toimintaVerkko- ja somepalvelujen datan keruu ja algoritmien toiminta
Verkko- ja somepalvelujen datan keruu ja algoritmien toiminta
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 

Similar to Tietosuojavastaavan nimittäminen ja tehtävät

EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
 

Similar to Tietosuojavastaavan nimittäminen ja tehtävät (20)

EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Mita tsa muutti suomessa
Mita tsa muutti suomessaMita tsa muutti suomessa
Mita tsa muutti suomessa
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
 
Lindgren havaintoja tietosuojan_toteutumisesta
Lindgren havaintoja tietosuojan_toteutumisestaLindgren havaintoja tietosuojan_toteutumisesta
Lindgren havaintoja tietosuojan_toteutumisesta
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 

More from Harto Pönkä

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 

Tietosuojavastaavan nimittäminen ja tehtävät

  • 2. Milloin tietosuojavastaava tulee nimetä? 2  Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu yleensä EU:n yleiseen tietosuoja-asetukseen (GDPR art. 37-39).  SOTE-alan palveluntuottajien ja apteekkien on pitänyt asettaa tietosuojavastaava vuodesta 2007 lähtien (lait 61/2007 ja 159/2007).  Tietosuojavastaavan nimittäminen on monessa tapauksessa pakollista:  Rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet tiettyjen tehtäviensä osalta)  Ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa  Ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin (mm. terveys, entinen alkuperä, poliittiset mielipiteet, uskonnollinen vakaumus, seksuaalinen suuntautuminen) tai rikostuomioita tai rikkomuksia koskeviin tietoihin.  Ydintehtäviä eivät ole tavalliset tukitoiminnot kuten palkanmaksu ja IT-tuki.  Jos organisaation on nimitettävä tietosuojavastaava, tulee sellainen olla koko ajan. Esim. vakituisen tietosuojavastaavan loman ajaksi voidaan nimittää sijainen. Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
  • 3. Mitä on ”laajamittainen” henkilötietojen käsittely? 3  Rekisteröityjen lukumäärä – joko täsmällinen lukumäärä tai osuus väestöstä  Käsiteltävä tietomäärä ja/tai käsiteltävien tietotyyppien määrä  Tietojen käsittelytoiminnan kesto tai pysyvyys  Käsittelytoiminnan maantieteellinen laajuus  Esimerkkejä laajamittaisesta henkilötietojen käsittelystä:  Potilastietojen käsittely sairaalan tavanomaisessa toiminnassa  joukkoliikennejärjestelmän käyttäjien matkatietojen käsittely  Kansainvälisen pikaruokaketjun asiakkaiden reaaliaikaisten sijaintitietojen käsittely  Asiakastietojen käsittely vakuutusyhtiön tai pankin liiketoiminnassa  Henkilötietojen käsittely käyttötottumuksia seuraavaa mainontaa varten  Puhelin- tai internetpalveluntarjoajien suorittama tietojenkäsittely  Sen sijaan esim. yksittäisen lääkärin tai asianajajan toimintaa ei katsottane laajamittaiseksi Lähde: WP243 liite, usein kysyttyä tietosuojavastaavista, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavat+UKK+fi.pdf/006f8dcb-540a-403e-a29d- b8a4b7c4814f/Tietosuojavastaavat+UKK+fi.pdf.pdf/Tietosuojavastaavat+UKK+fi.pdf.pdf
  • 4. Mitä tarkoitetaan ”säännöllisellä ja järjestelmällisellä seurannalla”? 4  GDPR:ssä ei määritellä säännöllisen ja järjestelmällisen seurannan käsitettä, mutta siihen sisältyy ainakin seuraaminen ja profilointi internetissä, myös mainontaa varten.  ”Säännöllisellä” tarkoitetaan:  toiminta jatkuu tai toteutetaan tietyin aikavälein tietyn ajan  toiminta toistuu tai toistetaan määritettyinä aikoina  toiminta on jatkuvaa tai ajoittaista.  ”Järjestelmällisellä” tarkoitetaan:  toiminta on järjestelmän mukaista  toiminta on ennalta järjestettyä, organisoitua tai menetelmällistä  toiminta toteutetaan osana yleistä tiedonkeruusuunnitelmaa  toiminta toteutetaan osana strategiaa.  Esimerkkejä: tietoliikenneverkkojen ja -palvelujen ylläpito, uudelleenmarkkinointi sähköpostitse, dataohjattu markkinointitoiminta, profilointi ja pisteyttäminen riskinarviointia varten, sijainnin seuraaminen, kanta-asiakasohjelmat, videovalvonta, IoT- laitteet kuten älymittarit, älyautot ja kodin automaatio. Lähde: WP243 liite, usein kysyttyä tietosuojavastaavista, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavat+UKK+fi.pdf/006f8dcb-540a-403e-a29d- b8a4b7c4814f/Tietosuojavastaavat+UKK+fi.pdf.pdf/Tietosuojavastaavat+UKK+fi.pdf.pdf
  • 5. Muuta tietosuojavastaavan nimittämisessä huomioitavaa 5  Eturistiriitojen välttämiseksi tietosuojavastaava ei saisi olla asemassa, jossa hän päättää henkilötietojen käsittelyn tarkoituksista tai keinoista.  Ylempi johtoasema (esim. hallintojohtaja, talousjohtaja, johtava lääkäri, markkinointipäällikkö, henkilöstöpäällikkö tai IT-päällikkö) voi aiheuttaa eturistiriidan.  Myöskään tietoturvavastaavaa ei tulisi nimittää tietosuojavastaavaksi.  Tietosuojavastaavan voi nimittää myös vapaaehtoisesti  Jos tietosuojavastaava nimitetään, sen rooli määräytyy GDPR:n mukaisesti.  Yleensä on suositeltavampaa nimittää tietosuojasta vastaava henkilö tms. kuin vapaaehtoisesti tietosuojavastaava.  Konsernilla sekä usealla julkishallinnon organisaatiolla voi olla yhteinen tietosuojavastaava.  Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.  Jos tietosuojavastaavaa ei nimitetä, kannattaa dokumentoida sen perustelut. Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
  • 6. Tietosuojavastaavan pätevyys ▪ Asiantuntemus kansallisesta ja EU:n tietosuojalainsäädännöstä ja alan käytänteistä, myös GDPR:n perusteellinen tuntemus ▪ Suoritettujen käsittelytoimien tuntemus ▪ Tietojärjestelmien ja tietoturvan tuntemus ▪ Toimialan ja organisaation tuntemus ▪ Valmiudet edistää tietosuojakulttuuria organisaatiossa  Ei muodollisia vaatimuksia, vaan tehtävään sopiva osaaminen.  Itsenäinen ja rehellinen, rohkeus viestiä ja tuoda asiat esiin. 6 Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
  • 7. Kenellä on vastuu tietosuojasta? 7 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää ”tarkoitukset ja keinot” ja toimeenpanee ne. Velvollisuus kuulla tietosuojavastaavaa.
  • 8. Tietosuojavastaavan asema 8  Tietosuojavastaavalla tulee olla johdon tuki ja hän raportoi suoraan johdolle.  Organisaation on varmistettava, että tietosuojavastaava otetaan mukaan kaikkien henkilötietoja koskevien kysymysten käsittelyyn.  Jos tehdään kyseenalaisia päätöksiä, tietosuojavastaavalle olisi annettava tilaisuus esittää eriävä mielipiteensä ylimmälle johdolle ja päätöksentekijöille.  Tietosuojavastaavalle ei saa antaa tehtäviä, jotka aiheuttaisivat ristiriidan tehtävän hoidolle.  Tehtävä on luonteeltaan pysyvä, joten työsuhteen olisi hyvä olla jatkuva.  Riippumaton: ei saa ottaa vastaan ko. tehtävien hoitoa koskevia ohjeita.  Ei saa erottaa, rangaista tai uhata seurauksilla tehtävään liittyvien toimenpiteidensä vuoksi. Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
  • 9. Tietosuojavastaavan salassapitovelvollisuus 9  Lisäksi tietosuojalain 35 §:n vaitiolovelvollisuus on kaikilla henkilötietoja käsittelevillä.  Tietosuojasuojavastaava voi luovuttaa tietojaan vain niille henkilöille, joilla on asemansa tai tehtäviensä perusteella oikeus saada kyseisiä tietoja.  Salassapitovelvollisuus ei estä ottamasta yhteyttä valvontaviranomaiseen ja pyytämästä neuvoja missä tahansa henkilötietoihin liittyvässä kysymyksessä (GDPR art. 39).  Tietosuojavastaava on tehtäviensä hoidossa itsenäinen, joten hän voi kysyä valvontaviranomaiselta myös sellaisista asioista, joista rekisterinpitäjä ei ehkä haluaisi kysyttävän.  Valvontaviranomaisella on ”oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot” (tietosuojalaki 18 §). Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN 38 artikla 5. Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
  • 10. 10 Kuva: Luis Villasmil @Unsplash.com Tietosuojavastaavan tehtävät
  • 11. Tietosuojavastaavan tehtävät 1/2 11 1) Tietosuoja-asioiden neuvonta ja ohjeistus  Tekee ohjeistuksia, kouluttaa ja neuvoo työntekijöitä tietosuoja-asioissa.  Antaa tietoa ja neuvoja tietosuojasääntelyn mukaisista velvollisuuksista johdolle. 2) Tietosuoja-asetuksen noudattamisen seuranta  Kerää tietoa henkilötietojen käsittelytoimista, analysoi niitä ja tarkistaa, ovatko ne vaatimusten mukaisia, sekä tuo esiin havaitsemiaan puutteita.  Priorisoi toimiaan ja keskittyy kysymyksiin, jotka aiheuttavat tavallista suurempia tietosuojariskejä (riskiperusteinen lähestymistapa).  Raportoi organisaation johdolle asioiden kiireellisyys huomioiden (esim. tietoturvaloukkaukset välittömästi ja pitkäaikainen seuranta vuosittain toimintakertomuksena tai tietotilinpäätöksenä). Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/ 39 artikla
  • 12. Tietosuojavastaavan tehtävät 2/2 12 3) Rooli tietosuojaa koskevissa vaikutustenarvioinneissa  Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarviointien toteutusta. 4) Yhteyshenkilö rekisteröidyille ja valvontaviranomaiselle  On rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa.  On tietosuojavaltuutetun toimiston yhteyshenkilö ja yhteistyötaho. 5) Mahdolliset muut annetut tehtävät  Muihin tehtäviin sopii ylläpitää sisäistä selostetta henkilötietojen käsittelytoimista.  Organisaation johto voi antaa tietosuojavastaavalle lisäksi muita tehtäviä, mutta ne eivät saa aiheuttaa eturistiriitoja: tietosuojavastaava ei saa olla vastuussa päätöksistä, joita hän valvoo. Lähde: Tietosuojatyöryhmä: Tietosuojavastaavia koskevat ohjeet, 2016, https://tietosuoja.fi/documents/6927448/8316711/Tietosuojavastaavia+koskevat+ohjeet+fi.pdf/
  • 13. Tarvittavat resurssit, yhteistyö ja toimintakulttuuri 13 Tietosuoja- vastaava Organisaation johto Teknologiasta ja tietoturvasta vastaavat Muu henkilöstö Yhteistyö- kumppanit Asiakkaat Henkilöstö- hallinto Tietosuoja- ryhmä
  • 14. Tietosuojavastaavan tärkein resurssi = aika 14 • Yhteydenpito eri tahoihin • Tietosuojatyön suunnittelu ja koordinointi • Palaverit, arvioinnit, kommentoinnit • Sisäiset koulutukset ja materiaalit • Henkilötietojen käsittelyn seuranta • Raportointi johdolle ja sen avustaminen • Osaamisen ylläpito, tietosuojaan liittyvien uutisten seuraaminen, kouluttautuminen Tietosuojavastaavan kannattaa pitää kalenteri väljänä, jotta kiireisille tehtäville jää aikaa!
  • 15. “ Tietosuojasta huolehtiminen on kaikkien vastuulla, mutta tietosuojavastaavan tehtävänä on varmistaa, että siitä tullaan tietoiseksi ja osataan toimia oikein. 15
  • 16. Useilla tietosuojavastaavilla ei ole edellytyksiä tehdä työtään hyvin 16 Vaikka kaupungilla on ollut tietosuojavastaava ja tietosuojaryhmä heti, kun tietosuoja-asetus sitä edellytti, niin asetusta ei noudateta. Varsinkin uusien ohjelmistojen tai muutosten teon yhteydessä asioista ei tiedoteta tietosuojavastaavalle, riskianalyysit ja vaikutusten arvioinnit jäävät tekemättä ja henkilörekistereitä saatetaan käyttää vastoin asiakkaiden suostumusta tai tietosuojaselosteessa ilmoitettua tapaa. Tähän pitää saada muutos ja kaupungin esihenkilöiden, etenkin johtoryhmässä olevien, pitäisi ottaa tietosuoja- asetus tosissaan ja antaa tietosuojavastaavan tehdä työnsä kunnolla. - Anonyymi tietosuojavastaava Kuvaaja: Tietosuojavastaavan peruskoulutuksen suorittaneiden tietosuojavastaavien vastaukset 2019-2022 (N=93), lainaus erään kurssilaisen tehtävästä luvan kanssa. ”