Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Critical
High
Normal
Low

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot
Liittyvät muut vaatimuskehikot ja vaatimukset:
6. Käsittelyn lainmukaisuus
GDPR
18.1.4: Privacy and protection of personally identifiable information

Tietosuojavastaavan nimittäminen, tehtävät ja asema

Critical
High
Normal
Low

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

  • organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
  • organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

Liittyvät muut vaatimuskehikot ja vaatimukset:
37. Tietosuojavastaavan nimittäminen
GDPR
38. Tietosuojavastaavan asema
GDPR

Tietosuojaselosteet-raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

  • mistä tiedot on saatu
  • mitä henkilötietoryhmiä käsittely koskee
Liittyvät muut vaatimuskehikot ja vaatimukset:
14. Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä
GDPR
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Liittyvät muut vaatimuskehikot ja vaatimukset:
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Information security awareness, education and training
ISO 27001

Tapahtuneiden tietoturvaloukkausten käsittely ja dokumentointi

Critical
High
Normal
Low

Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.

Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

Liittyvät muut vaatimuskehikot ja vaatimukset:
18.1.4: Privacy and protection of personally identifiable information
TSU-14: Tietoturvaloukkaukset
Julkri

Tietosuojavastaavasta ilmoittaminen

Critical
High
Normal
Low

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Liittyvät muut vaatimuskehikot ja vaatimukset:
37. Tietosuojavastaavan nimittäminen
GDPR
6.1.1: Information security roles and responsibilities
ISO 27001

Tasapainotestien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6. Käsittelyn lainmukaisuus
GDPR
21. Vastustamisoikeus
GDPR

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn

Critical
High
Normal
Low

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti
Liittyvät muut vaatimuskehikot ja vaatimukset:
15. Rekisteröidyn oikeus saada pääsy tietoihin
GDPR
16. Oikeus tietojen oikaisemiseen
GDPR

Tietosuojaviestinnän ajantasaisuuden varmistaminen

Critical
High
Normal
Low

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Liittyvät muut vaatimuskehikot ja vaatimukset:
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
18.1.4: Privacy and protection of personally identifiable information

Henkilötietoinventaario ja dokumentointi

Critical
High
Normal
Low

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit
Liittyvät muut vaatimuskehikot ja vaatimukset:
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
No items found.