Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Digiturvamalli

Informointi ja tietopyynnöt

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
DigiturvamalliTietosuojaLTietosuoja

Informointi ja tietopyynnöt

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.
DigiturvamalliTietosuojaLTietosuojaInformointi ja tietopyynnöt

Informointi ja tietopyynnöt

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Tietosuojaselosteet-raportin julkaisu ja ylläpito

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

  • mistä tiedot on saatu
  • mitä henkilötietoryhmiä käsittely koskee

Henkilötietoinventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Henkilötietojen lähteiden dokumentointi tietojärjestelmille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.

Tietoluovutusten dokumentointi tietovarannoille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietovarannon tiedot ovat lähtökohtaisesti vain kyseisen rekisterinpitäjän käytössä ja samalla vastuulla. Mikäli luovutat tietoja eteenpäin toiselle organisaatiolle muuta käyttöä varten, siitä on informoitava selkeästi ja kerrottava mm. luovutuksen vastaanottaja sekä peruste.

Tietojen poistoprosessit ja "oikeus tulla unohdetuksi"

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

  • käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
  • rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
  • henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi pyytää tietojen poistamista
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan

Valmius tarjota rekisteröidylle siirtovalmiit tiedot

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).

Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:

  • henkilötietoja käsitellään automaattisesti
  • henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
  • henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
  • kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi pyytää tietojen siirtoa
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • muodot, jossa tiedot toimitetaan rekisteröidylle
  • tavat, joilla rekisteröityä tiedotetaan

Tietosuojaviestinnän selkeyden testaaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.

Tietosuojaviestinnän ajantasaisuuden varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.