Digiturvamalli
Digiturvamallin sisältökirjastoTietosuojaInformointi ja tietopyynnöt

Rekisteröidyn käytettävissä olevien oikeuksien tunnistaminen

Organisaatio on määritellyt tunnistamansa henkilötietojen käyttötarkoituksen oikeusperusteen huomioiden, mitkä rekisteröidyn oikeudet liittyvät kyseiseen käsittelyyn.

Rekisteröity ei voi käyttää kaikkia oikeuksiaan kaikissa tilanteissa. Se, mitä oikeuksia rekisteröity voi kulloinkin käyttää, riippuu siitä, millä perusteella kyseessä olevia henkilötietoja käsitellään. Organisaatio voi hyödyntää tietosuojaviranomaisten ohjeistuksia siitä, kuinka käsittelyperuste vaikuttaa käytettävissä oleviin oikeuksiin. Oikeuksiin voi olla lisäksi säädetty poikkeuksia organisaatiota koskevassa erityislainsäädännössä tai niiden toteuttamisesta mahdollista kieltäytyä vahvoin perustein yksittäistapauksissa.

Tehtävään liittyvät Digiturvamallin ominaisuudet

Näytä vaatimustenmukaisuus raporttikirjaston avulla

Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.

Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.

Lue lisää raportoinnista

Vastuuta tehtävät ja kuvaa oma toteutus

Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.

Lue lisää tietoturvatehtävistä

Jakele ohjeet automaattisesti ja valvo lukemista

Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.

Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.

Lue lisää tietoturvaohjeista

Dokumentoi esimerkkien ja älykkäiden pohjien avulla

Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.

Lue lisää dokumentoinnista

Tehtävään liittyvät vaatimukset eri vaatimuskehikoista

Saman teeman muita tehtäviä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Tietosuojaselosteet-raportin julkaisu ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

  • mistä tiedot on saatu
  • mitä henkilötietoryhmiä käsittely koskee

Henkilötietoinventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Henkilötietojen lähteiden dokumentointi tietojärjestelmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.

Tietojen poistoprosessit ja "oikeus tulla unohdetuksi"

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

  • käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
  • rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
  • henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi pyytää tietojen poistamista
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan

Valmius tarjota rekisteröidylle siirtovalmiit tiedot

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).

Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:

  • henkilötietoja käsitellään automaattisesti
  • henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
  • henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
  • kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi pyytää tietojen siirtoa
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • muodot, jossa tiedot toimitetaan rekisteröidylle
  • tavat, joilla rekisteröityä tiedotetaan

Tietosuojaviestinnän selkeyden testaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.

Tietosuojaviestinnän ajantasaisuuden varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Yhteisrekisterinpitäjänä toimiminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

Henkilötietojen kopion toimittamisen turvallisuus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.

Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.

Henkilötietojen muutoksien ilmoittaminen kolmansille osapuolille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.

Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.

Prosessi henkilötietojen korjaamiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.

Prosessi käsittelyn vastustamiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Prosessi suostumuksen muokkaamiseen tai perumiseen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Kertaluonteisten tietoluovutusten listaus ja sopimuksellinen sitoutuminen niiden informointiin asiakkaille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.

Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.

Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.

Henkilötiedon käsittelijöiden tiedottaminen rekisterinpitäjälle

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.

Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.

Tietoturvapolitiikat
Tietosuoja
Informointi ja tietopyynnöt
Rekisteröidyn käytettävissä olevien oikeuksien tunnistaminen
on tietoturvatoimenpide, jolla vastataan mm. seuraaviin tietoturvavaatimuksiin:
TSU-19.1: Rekisteröidyn oikeudet - Rekisteröidyn käytettävissä olevien oikeuksien tunnistaminen
(
Julkri
)  
Yleensä tämä toimenpide nähdään osaksi
Tietosuoja
-teemaa sekä
Informointi ja tietopyynnöt
-politiikkaa.
Alla on esimerkki kokonaisuudesta, joka voi muodostaa kyseisen politiikan. Omaan politiikkaa voit lähteä jalkauttaamaan perustamalla ilmaisen Digiturvamalli-tilin.

Informointi ja tietopyynnöt

-politiikka

Kaikki tehtävät
No items found.
No items found.