Digiturvamalli
Digiturvamallin sisältökirjastoTietosuojaKäsittelyn turvallisuus ja vastuut

Käsittelyn turvallisuuden lisätoimenpiteet erityisiä henkilötietoja käsiteltäessä

Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.

Näitä erityisiä toimenpiteitä voivat olla mm.:

  • käsittelyn tarkempi lokitus
  • erityisiä henkilötietoja käsittelevän henkilöstön tarkempi ohjeistaminen
  • tarkempi pääsynhallinta liittyviin henkilötietoihin
  • henkilötietojen pseudonymisointi liittyvissä käsittelytoimissa
  • henkilötietojen salaus liittyvissä käsittelytoimissa
  • käsittelyyn liittyvien järjestelmien tietoturvatarkistukset
  • tietosuojan vaikutustenarvioinnin toteuttaminen
  • muut tietojen turvallisuutta parantavat toimenpiteet

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Organisaation rooli käsiteltyjen henkilötietojen osalta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä.

Digiturvamallissa tietovarannot, joiden osalta organisaatio toimii rekisterinpitäjänä, dokumentoidaan Tietovarannot-listaan. Ulkoiset tietovarannot -listassa on tarkoitus dokumentoida tietovarannot, joiden osalta organisaatio toimii itse henkilötietojen käsittelijänä.

Unionin alueella toimivan edustajan nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy

  • tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
  • näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa

Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.

Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.

Tietosuojavastaavasta ilmoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Tietosuojavastaavan nimittäminen, tehtävät ja asema

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

  • organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
  • organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

Tietosuojan seuranta ja valvontasuunnitelma

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.

Hallintakeinot henkilötietojen siirron kohteen varmistamiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun henkilötietoja siirretään verkon kautta, organisaatiolla on oltava asianmukaiset valvontatoimenpiteet sen varmistamiseksi, että tiedot saapuvat aiottuun määränpäähänsä.

Tietojen tallennustilan turvallinen uudelleenkäyttö pilvipalveluasiakkaille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Pilvipalvelut eivät välttämättä aina poista kaikkia käyttäjien poistamia tietoja esim. suorituskykyongelmien vuoksi.

Organisaatiolla tulee olla käytössä teknisiä toimenpiteitä sen varmistamiseksi, että aina kun asiakkaalle osoitetaan tallennustilaa, kyseisellä tallennustilalla aiemmin olleet tiedot eivät näy uudelle asiakkaalle.

Vaikutustenarviointiin liittyvä tietosuojaviranomaisen ennakkokuuleminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on kuultava relevanttia tietosuojaviranomaista ennen henkilötietojen käsittelyn aloittamista, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.

Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

Yhteisrekisterinpitäjien tunnistaminen ja vastuut

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation olisi määritettävä henkilötietojen käsittelyyn liittyvät vastuut ja roolit selkeästi yhteisrekisterinpitäjien kanssa. Määrittelyyn on sisällyttävä vaatimukset liittyen henkilötietojen suojaamiseen ja käsittelyn turvallisuuteen.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

Kumppanien tietosuojasitoumukset ja niiden valvonta

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietoja käsitteleviltä kumppaneiltä kerätään tietosuojasitoumukset, joiden kautta he vakuuttavat henkilötietojen oikeaoppista käsittelyä. Nämä sitoumukset voivat olla osa henkilötietojen käsittelystä tehtävää sopimusta. 

Organisaatio on itse lisäksi määritellyt toimintatavat näiden sitoumusten valvontaan kumppanien osalta sekä tarvittaviin toimenpiteisiin ryhtymiseen.

Tietoturvapolitiikat
Tietosuoja
Käsittelyn turvallisuus ja vastuut
Käsittelyn turvallisuuden lisätoimenpiteet erityisiä henkilötietoja käsiteltäessä
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
TSU-13: Käsittelyn turvallisuus
(
Julkri
)  
Yleensä tämä toimenpide nähdään osaksi
Tietosuoja
-teemaa sekä
Käsittelyn turvallisuus ja vastuut
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Käsittelyn turvallisuus ja vastuut

-politiikka

Kaikki tehtävät
No items found.
No items found.