GDPR

Henkilötietojen käsittelyä koskevat periaatteet

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
GDPRPeriaatteet5-11Periaatteet

Henkilötietojen käsittelyä koskevat periaatteet

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.
GDPRPeriaatteet5-11PeriaatteetHenkilötietojen käsittelyä koskevat periaatteet

Henkilötietojen käsittelyä koskevat periaatteet

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Tietoaineistojen säilytysaikojen määrittäminen ja arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

  • tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
  • luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
  • sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
  • vahingonkorvausoikeudelliset vanhentumisajat
  • rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Tietoaineistojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Listausta tarkastellaan säännöllisesti, jotta se on tarkka, ajantasainen, ja johdonmukainen.

Pääsyoikeusroolien määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmän tai muun suojattavan omaisuuden omistaja valitsee liiketoimintaroolit, joilla henkilö voi saada pääsyn omaisuuteen. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Tietojärjestelmien dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä.

Dokumentaatio sisältää vähintään seuraavat tiedot:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Ennakoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Häiriöperusteinen, reagoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvaan liittyvien riskiejä reagoivasti, rohkaisemalla tietoturvahäiriöiden raportointiin sekä dokumentoimalla ja analysoimalla tarkasti kaikki tapahtuneet tietoturvahäiriöt. Dokumentaatio sisältää seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Tietovarantojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on dokumentoitava hallinnoimansa tietovarannot.

Dokumentaation tulee sisältää mm.:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Henkilötietoinventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmästä vastuuva taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Toteutuksessa huomioidaan mm.:

  • ylläpito-oikeuksien minimointi
  • välittömästi poistetaan käyttäjätunnukset, joiden haltijat eivät ole enää organisaation palveluksessa
  • tunnistetaan ja joko poistetaan tai jäädytetään tarpeettomat käyttäjätunnukset

Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.