GDPR

Periaatteet

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Suostumuksen edellytysten läpikäynti

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

  • Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
  • Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
  • Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Tasapainotestien toteuttaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Tietoaineistojen säilytysaikojen määrittäminen ja arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

  • tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
  • luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
  • sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
  • vahingonkorvausoikeudelliset vanhentumisajat
  • rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Tietoaineistojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Listausta tarkastellaan säännöllisesti, jotta se on tarkka, ajantasainen, ja johdonmukainen.

Pääsyoikeusroolien määrittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmän tai muun suojattavan omaisuuden omistaja valitsee liiketoimintaroolit, joilla henkilö voi saada pääsyn omaisuuteen. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

  • kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
  • kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
  • onko muilla sovelluksilla pääsyä tietoihin
  • voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Tietojärjestelmien dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa käytetyistä tietojärjestelmistä.

Dokumentaatio sisältää vähintään seuraavat tiedot:

  • Järjestelmään liittyvät vastuut ja sen käyttötarkoitus
  • Järjestelmän tietojen sijainti
  • Kuvaus järjestelmän ylläpito- ja kehitysvastuista sekä tähän mahdollisesti liittyvät toimittajat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tietojärjestelmän pääsyoikeusroolit ja tunnistautumistavat (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa liittymät muihin järjestelmiin (käsitellään tarkemmin erillisessä tehtävässä)

Ennakoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

  • Riskin kuvaus
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Häiriöperusteinen, reagoiva riskien arviointi ja käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio arvioi tietoturvaan liittyvien riskiejä reagoivasti, rohkaisemalla tietoturvahäiriöiden raportointiin sekä dokumentoimalla ja analysoimalla tarkasti kaikki tapahtuneet tietoturvahäiriöt. Dokumentaatio sisältää seuraavat asiat:

  • Häiriön kuvaus
  • Häiriöön liittyneet riskit
  • Riskin vakavuus ja todennäköisyys
  • Riskiä hallitsevat ohjeet ja hallintatehtävät
  • Riskin hyväksyttävyys

Tehtävän omistaja tarkastelee prosessia säännöllisesti. Omistaja varmistaa, että toistuvat tietoturvariskien arvioinnit tuottavat yhdenmukaisia, päteviä ja verrattavissa olevia tuloksia ja arvioi koko käsittelyprosessin vaikuttavuutta.

Tietovarantojen dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on dokumentoitava hallinnoimansa tietovarannot.

Dokumentaation tulee sisältää mm.:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Henkilötietoinventaario ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

  • Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
  • Henkilötietoryhmät
  • Tietojen sijainnin
  • Tietoja käsittelevät kumppanit

Käsittelyn oikeusperusteiden säännöllinen arviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Järjestelmien käyttöoikeuksien säännöllinen katselmointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojärjestelmästä vastuuva taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Toteutuksessa huomioidaan mm.:

  • ylläpito-oikeuksien minimointi
  • välittömästi poistetaan käyttäjätunnukset, joiden haltijat eivät ole enää organisaation palveluksessa
  • tunnistetaan ja joko poistetaan tai jäädytetään tarpeettomat käyttäjätunnukset

Lapsen henkilötietojen käsittely tietoyhteiskunnan palvelujen tarjoamisen yhteydessä suostumukseen perustuen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Mikäli organisaatiomme tarjoaa tietoyhteiskunnan palveluja suoraan lapselle, henkilötietojen käsittely on lainmukaista toteuttaa suostumukseen perustuen, jos lapsi on vähintään 16-vuotias.

Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Organisaatiomme on määritellyt relevantit tilanteet sekä niihin sovellettavat toimintatavat, joilla varmistetaan suostumuksen kerääminen tarvittaessa lapsen vanhemmilta.

Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedostamme, liittyykö henkilötietojen käsittelyyn rikostuomioihin ja rikkomuksiin liittyviä tietoja.

Mikäli käsittelemme rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, suoritamme käsittelyä joko viranomaisen valvonnassa tai käsittelyn on oltava sallittu unionin oikeudessa / jäsenvaltion lainsäädännössä, jossa säädettyjen asianmukaisisten suojatoimien toteuttamisesta rekisteröidyn oikeuksien ja vapauksien suojelemiseksi huolehdimme.

Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

GDPRPeriaatteet

Periaatteet

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.