GRPR
Löydät henkilötietoja käyttävät prosessit kun kysyt itseltäsi
- Mistä henkilötietoja saadaan ?
- Missä henkilötietoja on tällä hetkellä tallennettuna?
- Missä henkilötietoja tällä hetkellä käsitellään?
- Kuka käsittelee henkilötietoja?
- Minne henkilötiedot luovutetaan?
Huomioi, että vastuullasi olevia henkilötietoja voi käsitellä esimerkiksi
- Tilitoimisto
- Web-kauppa
- Markkinointi
- Yhteistyökumppanit (IT-tuki, sisaryhtiöt)
- Viranomaiset
- Työterveydenhuolto
- ERilaiset seurantapalvelut (Facebook, Google, Instagram, Twitter...)
Tällä tavalla löydät henkilötietojen
- Lähteet
- Tallennuspaikat
- Käsittelypaikat ja käsittelijät
- Luovutustilanteet
- Olemassa olevat henkilörekisterit
Seuraavaksi sinun pitää päivittää (tai tehdä, jos ne puuttuvat), henkilötietorekisteri- ja tietosuojaselosteet löydetyöstä henkilörekistereistä.
Henkilötietolaki (523/1999) 10 § mukaan jokaisen rekisterinpitäjän tulee laatia jokaisesta eri henkilörekisteristä rekisteriseloste, joka on pidettävä yleisesti saatavilla esim. rekisterinpitäjän toimipaikassa tai verkkopalveluissa.
Seuraavaksi sinun tulee tehdä EU 2016/679 - asetuksen vaatima tietosuojakäytäntödokumentti.
Olemme keränneet tähän mallipohjaan joukon kysymyksiä, joihin vastaamalla saat helposti luotua tietosuojakäytäntödokumentin, joka täyttää EU 2016/679 - asetuksen (GDPR, General Data Protecting Regulation).
Mallipohjaa saa käyttää vapaasti, täydennämme sitä saamiemme palautteiden perusteella.
TIETOSUOJAKÄYTÄNTÖ-MALLIPOHJA (PDF)
TIETOSUOJAKÄYTÄNTÖ-MALLIPOHJA (WORD)
Muista, että
- Tietosuojakäytäntödokumentti on julkinen asiakirja, jota kuka tahansa voi vaatia nähtäväksi.
- Sisäiseen (ei julkiseen) käyttöön kannattaa kirjoittaa vastaava dokumentti, johon jokainen kohta kannattaa kirjoittaa tarkasti auki, tai ette muuten itsekään tiedä millaisia henkilötietoja käsittelette.
Henkilötietojen käsittelyn lokituksen pakollisuus on seurausta EU 2016/679 - asetuksen artiklasta 25 (sisäänrakennettu ja oletusarvoinen tietosuoja.)
- Lokitus ja sen kattavuus on jätetty rekisterinpitäjän harkintaan ja vastuulle.
- Lokituksen pitää perustua riskiarvioon (henkilötietojen luonne, miksi lokitetaan, mitä lokitetaan ja millä tarkkuudella).
- Lokituksen riittävän kattavuuden määrittämiseksi kannattaa tehdä riskianalyysi, jossa selvität lokitettavat tiedot ja niiden laajuuden. Saat siitä perustelut kerättäville lokitiedoille.
Muista, että
- Tietoturvaloukkauksista raportointi edellyttää lokitusta.
- Lokeista pitää pystyä näyttämään kuka tietoja on käsitellyt.
- Lokien merkitys ja tärkeys tulee esille vasta, jos joudutaan tutkimaan tietoturvaloukkausta.
Saat tehokkaan ja aukottoman lokituksen käyttäen esim. (GDPR-LOGS-LOKITUSOHJELMAAMME), joka toimii kaikissa SQL-Server - tietokantoja käyttävissä ohjelmistoissa, kuten taloushallinto-, kirjanpito- ja asiakkuudenhallinta ym. henkilötietoja käsittelevissä ohjelmistoissa.
Voit lokittaa ihan mitä tahansa tietokannan taulua esim. ohjelmistovirheiden paikallistamista varten.
Tee DPA-sopimukset (tietojenkäsittelysopimukset) niiden tahojen kanssa, jotka käsittelevät henkilötietojasi tai joiden henkilötietoja käsittelet.
Olemme huomanneet käytännössä, että tietoturvauhkat paljastuvat parhaiten juuri tässä kohdassa kun tietojenkäsittelyt kirjoitetaan ajatuksella auki. Hävettää myöntää, mutta havaitsimme itsekin puutteita omassa ja asiakkaidemme tietoturvassa ja ohjeistuksessa tässä yhteydessä.
Täydennämme mallipohjia palautteen perusteella ja näitä saa käyttää vapaasti
DPA-SOPIMUKSEN MALLIPOHJA + OHJEET (PDF)
DPA-SOPIMUKSEN MALLIPOHJA + OHJEET (WORD)
DPA-SOPIMUKSEN MALLIPOHJA (PDF)
DPA-SOPIMUKSEN MALLIPOHJA (WORD)
Muista, että
- Laiminlyöt selkeästi asetusta jos sinulla ei ole kirjallisia sopimuksia. Rikot siis lakia.
- Ilman kirjallisia sopimuksia/ohjeita tietojenkäsittely on erittäin riskialtista ja epäammatillista.
- Puutteellinenkin sopimus on parempi, kuin ei sopimusta ollenkaan.
- Sopimuksia kannattaa pitää ajantasalla. Kiinnitä siis huomiota myös sopimuksen päivityshelppouteen.