EU n TIETOSUOJA GDPR Mik GDPR The General

  • Slides: 17
Download presentation
EU: n TIETOSUOJA (GDPR)

EU: n TIETOSUOJA (GDPR)

Mikä GDPR? • • The General Data Protection Regulation (GDPR) = EU: n tietosuoja-asetus

Mikä GDPR? • • The General Data Protection Regulation (GDPR) = EU: n tietosuoja-asetus Asetus, ei direktiivi, eli kaikkien jäsenmaiden on pakko noudattaa hyväksyttiin keväällä 2016 (14. 4. 2016) Astuu voimaan 25. 5. 2018 2 vuoden siirtymäaika päättyy siis 25. 5. • Tehtävä siirtymäaikana 25. 5. 2018 mennessä ns. tietosuojan/henkilötietojen käsittelyn nykytila-arvio ja analyysi, vastaako rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteet kansallisen lainsäädännön, ja EU: n tietosuojaasetuksen uusia vaatimuksia. Organisaatioiden tulee myös varmistaa tietoturvansa riittävyys sekä varautua ongelmatilanteisiin - myös kriisiviestintään. Uudella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa. • Sakot jopa 20 miljoonaa euroa tai 4 % liikevaihdosta, jos mitään asian eteen ei ole tehty

Termistöä • Henkilo tieto - kaikenlaisia luonnollista henkilo a taikka ha nen ominaisuuksiaan tai

Termistöä • Henkilo tieto - kaikenlaisia luonnollista henkilo a taikka ha nen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkinto ja , jotka voidaan tunnistaa ha nta tai ha nen perhetta a n tai ha nen kanssaan yhteisessa taloudessa ela via koskeviksi • Henkilo tietojen ka sittely - henkilo tietojen kera a mista , tallettamista, ja rjesta mista , ka ytto a , siirta mista , luovuttamista, sa ilytta mista , muuttamista, yhdista mista , suojaamista, poistamista, tuhoamista seka muita henkilo tietoihin kohdistuvia toimenpiteita • Henkilo rekisteri - ka ytto tarkoituksensa vuoksi yhteenkuuluvista merkinno ista muodostuvaa henkilo tietoja sisa lta va a tietojoukkoa, jota ka sitella a n osin tai kokonaan automaattisen tietojenka sittelyn avulla taikka joka on ja rjestetty kortistoksi, luetteloksi tai muulla na ihin verrattavalla siten, etta tiettya henkilo a koskevat tiedot voidaan lo yta a helposti ja kohtuuttomitta kustannuksitta 1. 11. 2020 Suomen Jääkiekkoliitto 3

Termistöä • Rekisterinpita ja - tarkoitetaan henkilo a , yritysta , ja rjesto a

Termistöä • Rekisterinpita ja - tarkoitetaan henkilo a , yritysta , ja rjesto a tai muuta tahoa, jonka ka ytto a varten henkilo rekisteri perustetaan ja jolla on oikeus ma a ra ta henkilo rekisterin ka yto sta • Henkilo tietojen ka sittely toisen lukuun tarkoittaa tilannetta, jossa rekisterinpita ja ulkoistaa kera a miensa henkilo tietojen ka sittelyn tai osan siita tietojen ka sittelija lle. Ka sittelija lla voi puolestaan olla omia alika sittelijo ita. Rekisterinpita ja vastaa tiedoista ja niiden ka sittelysta , minka vuoksi on ta rkea a sopia alihankinnasta ja siihen liittyvista vastuista kirjallisesti. 1. 11. 2020 Suomen Jääkiekkoliitto 4

Rekisteripitäjän velvollisuudet • TILIVELVOLLISUUS: Kyky osoittaa, etta on huolehdittu tietosuojaasetuksen mukaisista velvoitteista • ->

Rekisteripitäjän velvollisuudet • TILIVELVOLLISUUS: Kyky osoittaa, etta on huolehdittu tietosuojaasetuksen mukaisista velvoitteista • -> ka sittelyyn liittyvien prosessien seka tietosuojaperiaatteiden ka yta nno n toteuttamisen dokumentointia • Ts. ei enää riitä rekisteriseloste • TEE SE muuttuu TODISTA SE 1. 11. 2020 Suomen Jääkiekkoliitto 5

EU: n TIETOSUOJA (GDPR) Seuratoimija, mistä lähteä liikkeelle? • • Koulutukset aiheesta Nimetään tietosuojavastaava,

EU: n TIETOSUOJA (GDPR) Seuratoimija, mistä lähteä liikkeelle? • • Koulutukset aiheesta Nimetään tietosuojavastaava, joka toimii yhteyshenkilönä tietosuoja-asioissa ja huolehtii seuran tietosuoja ja tietoturva asioiden ajantasaisuudesta Kartoitetaan oman seuran tilanne jäsenrekisterien osalta (mitä? miksi? kuka? kuinka kauan? ). Kerätään tieto joukkueilta (jojot/valmentajat ym. ) mitä rekistereitä on käytössä, miksi? missä säilytetään? Kartoitetaan järjestelmät, joita seura käyttää toiminnassaan esim. nettisivut (pääkäyttäjät/päivittäjät) sekä muut mahdolliset toimintaa tukevat järjestelmät Päivitetään/lisätään rekisteriselosteet, lisätään tietosuoja-asetuksen mukaiset tarkennukset ja lupakysymykset lomakkeille Kaikki turhaan kerätty tieto hävitetään asianmukaisella tavalla (henkilötietoja sisältäviä dokumentteja ei saa laittaa normaali roskiin, vaan ne on tuhottava niin, että identiteettivarkaus ei ole mahdollinen) Asetuksen vaatimus, siirtymäajan päättyessä 25. 5. 2018, organisaatiossa pitää olla nimettynä yhteyshenkilö, johon tietosuojavaltuutettu voi olla tarvittaessa yhteydessä, yhteyshenkilön pitää pystyä osoittamaan (dokumentointi), miten on toimittu että asetuksen vaatimukset täyttyvät, kaikki ei siis tarvitse olla välttämättä valmista, mutta suunnitelma toimintatavoista pitää olla valmiina ja jotain jo ainakin aloitettu käytännössä.

Asetus koskee kaikkia seuroja ja joukkueita • Tietosuoja-asetuksen piirissä ovat kaikki yritykset ja organisaatiot,

Asetus koskee kaikkia seuroja ja joukkueita • Tietosuoja-asetuksen piirissä ovat kaikki yritykset ja organisaatiot, sekä yhdistykset, jotka käsittelevät yksityishenkilöiden henkilötietoja • Henkilötietoa ovat esimerkiksi • • Henkilön nimi ja henkilötunnus Kuva Sähköpostiosoite, puhelinnumero ja postiosoite Pankkiyhteystiedot Postaukset sosiaalisessa mediassa Pelaajan kilpailutilastot (esim. maalit, varoitukset, kilpailukiellot) Terveystiedot (esim. ”Pelaaja on loukkaantumisen vuoksi sivussa xx ottelusta”) Käytännössä siis kaikki tiedot, jotka voidaan liittää henkilöön ja joilla tämä voidaan suoraan tai epäsuorasti tunnistaa

Mitä seuran tulee tehdä nyt - lähtökohdat • Henkilötietojen käsittelyn muuttaminen uuden tietosuojalainsäädännön mukaiseksi

Mitä seuran tulee tehdä nyt - lähtökohdat • Henkilötietojen käsittelyn muuttaminen uuden tietosuojalainsäädännön mukaiseksi ja sen dokumentointi • Seuran on kerättävä suostumus jokaisen henkilön tietojenkäsittelyyn • Jokaisella seuralla on oltava tietosuojaseloste • Seuran on tehtävä tarvittavat sopimukset tietojenkäsittelystä • Seura saa kerätä vain tietoa, mikä on välttämätöntä • Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus

Henkilötietojen käsittelyn muuttaminen uuden tietosuojalainsäädännön mukaiseksi ja sen dokumentointi • Hahmotettava kokonaiskuva henkilötietojen käsittelyn

Henkilötietojen käsittelyn muuttaminen uuden tietosuojalainsäädännön mukaiseksi ja sen dokumentointi • Hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta • Millaisia henkilötietoja seura kerää, mistä ne saadaan, missä niitä säilytetään, kuka käsittelee ja mihin niitä luovutetaan? • Seuran on huolehdittava siitä, että tietosuojaa noudatetaan kaikissa näissä henkilötietojen käsittelyvaiheissa • Tekniset ja organisatoriset toimenpiteet ja menettelyt • Seuran on myös pystyttävä osoittamaan, että tietosuojaa noudatetaan käsittelyyn liittyvät prosessit ja tietosuojan käytännön toteuttaminen tulee dokumentoida

Seuran on kerättävä suostumus jokaisen henkilön tietojenkäsittelyyn • Suostumus on pyydettävä jo ennen kuin

Seuran on kerättävä suostumus jokaisen henkilön tietojenkäsittelyyn • Suostumus on pyydettävä jo ennen kuin tietoja käsitellään! • Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. • Suostumus on annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisesti tai sähköisesti. Suostumusta ei voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jonkin toimen toteuttamatta. • Suostumuksen antamisen yhteydessä on kerrottava, että suostumuksen voi peruuttaa milloin tahansa. (peruuttamiseen selkeä toimintaohje) • Lapsen (= alle 16 -vuotiaat) henkilötietojen käsittely edellyttää vanhempainvastuunkantajan suostumusta. Henkilötietojen luovuttaminen kolmannelle taholle edellyttää aina suostumusta Henkilötunnuksen käsitteleminen vaatii suostumuksen

Pelaajasopimukset • Ammattilaisten ja sopimuksellisten amatöörien osalta tulee jatkossa tehdä pelaajasopimuksen lisäksi pelaajan allekirjoittama

Pelaajasopimukset • Ammattilaisten ja sopimuksellisten amatöörien osalta tulee jatkossa tehdä pelaajasopimuksen lisäksi pelaajan allekirjoittama suostumus henkilötietojen käsittelystä – Standardi dokumenttipohja, jonka liitto laatii ja tarkastaa – Seura skannaa ja liittää suostumuksen pelaajasopimuksen yhteyteen – Suostumuksen perusteella tietojen käsittely ja julkaisu on sallittua liiton tulospalvelussa, pelaajarekisterissä, palvelusivustolla, ET-nimeämisjärjestelmässä, KV-siirtojen osalta IIHF: n pelaajasiirtojärjestelmässä sekä pelipassien ja vakuutusten ostojärjestelmässä • Mikäli seura tallentaa pelaajien tietoja omiin järjestelmiinsä, tulee tästä olla erillinen suostumus pelaajalta!

Pelaajasopimukset • Muiden kuin ammattilaisten ja sopimuksellisten amatöörien osalta seuran tulee jatkossa hankkia pelaajasopimuksen

Pelaajasopimukset • Muiden kuin ammattilaisten ja sopimuksellisten amatöörien osalta seuran tulee jatkossa hankkia pelaajasopimuksen tai muun sitoumuksen lisäksi pelaajan allekirjoittama suostumus henkilötietojen käsittelystä – Standardi dokumenttipohja, jonka liitto laatii ja tarkastaa – Suostumuksen perusteella tietojen käsittely ja julkaisu on sallittua liiton tulospalvelussa, pelaajarekisterissä, palvelusivustolla, ET-nimeämisjärjestelmässä, KV-siirtojen osalta IIHF: n pelaajasiirtojärjestelmässä sekä pelipassien ja vakuutusten ostojärjestelmässä – Suostumuksen perusteella tietojen käsittely ja julkaisu on sallittua seuran eri rekistereissä, jotka on mainittava tietosuojaselosteessa

Jokaisella seuralla on oltava tietosuojaseloste • Tietosuojaselosteesta henkilö näkee miten hänen henkilötietojaan käsitellään sekä

Jokaisella seuralla on oltava tietosuojaseloste • Tietosuojaselosteesta henkilö näkee miten hänen henkilötietojaan käsitellään sekä millaisia oikeuksia hänellä on • Tietosuojaseloste pitää olla saatavilla suostumuksen antamisen yhteydessä • Esimerkiksi linkki verkkosivuilla selosteeseen • Tietosuojaseloste on rekisteriselosteen laajennettu muoto • Mikäli tietosuojaselosteen ehdot muuttuvat merkittävästi, tulee henkilöiltä pyytää suostumus uudelleen uusiin ehtoihin • Esimerkiksi tietojen luovutusten lisääntyminen

Seura saa kerätä vain tietoa, mikä on välttämätöntä • Seura saa kerätä vain henkilötietoja,

Seura saa kerätä vain tietoa, mikä on välttämätöntä • Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta • Esim. henkilötunnusta ei saa kerätä henkilöltä, joka ei ole työ/pelaajasopimuksen alainen seuran kanssa • Kaikella kerätyllä tiedolla tulee olla käyttötarkoitus • Käyttötarkoitus on kerrottava tietosuojaselosteessa • Vain sellaista tietoa voi kerätä, josta on kerrottu tietosuojaselosteessa

Seuran on tehtävä tarvittavat sopimukset tietojenkäsittelystä Henkilötietoja saa käsitellä vain henkilö 1. jolla on

Seuran on tehtävä tarvittavat sopimukset tietojenkäsittelystä Henkilötietoja saa käsitellä vain henkilö 1. jolla on työ- tai salassapitosopimus seuran kanssa JA 2. jonka työtehtävässä tai toimessa kyseiset tiedot ovat tarpeellisia Tietoihin ei saa olla pääsy muilla henkilöillä Seura on vastuussa mahdollisista vahingoista Tietoja saa käsitellä vain taho (esim. tilitoimisto), jonka kanssa seura on tehnyt tietojenkäsittelysopimuksen Tietoja saa luovuttaa vain taholle, jotka ovat kerrottu tietosuojaselosteessa Seuran tulee varmistaa sopimuksilla, että tahot noudattavat tietosuojaa käsittelyssä

Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus 1/2 • Ilman ennakkosuostumusta esim. sähköpostikirjettä tai

Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus 1/2 • Ilman ennakkosuostumusta esim. sähköpostikirjettä tai tekstiviestiä ei saa lähettää • Kuten henkilötietojen käsittelyssä, suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jonkin toimen toteuttamatta. • Milloin ja missä yhteydessä suostumus on annettu pitää pystyä näyttämään kysyttäessä! • Suostumus voidaan peruuttaa milloin tahansa ja tästä oikeudesta on kerrottava sen pyytämisen yhteydessä

Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus 2/2 • Mikäli seuralla on nykyisessä markkinointirekisterissään

Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus 2/2 • Mikäli seuralla on nykyisessä markkinointirekisterissään henkilöitä, jotka eivät ole antaneet suostumusta sähköiseen suoramarkkinointiin, tai suostumuksen antamista ei pystytä osoittamaan, ei 25. 5. 2018 alkaen heille voi enää kohdistaa sähköistä suoramarkkinointia • Kyseisiltä henkilöiltä pitää saada suostumus sekä tietojen käsittelyyn että sähköiseen suoramarkkinointiin, ennen kuin sähköistä suoramarkkinointia voidaan jatkaa (tietosuojaseloste tulee olla ajan tasalla kun suostumus pyydetään) • Huom! Suostumusta ei voi kysyä sähköisellä välineellä, kuten sähköpostitse! • Suostumus pitää pystyä peruuttamaan milloin tahansa ja käytettävän sähköpostimarkkinointijärjestelmän pitää teknisesti toimia niin, että näille henkilöille ei enää kirjettä mene • Jokaisen sähköpostikirjeen yhteydessä pitää olla mahdollisuus poistua postituslistalta

Tietosuoja jrjesttoiminnassa SFCaravan ry Mit tietosuoja on TietosuojaTietosuoja jrjesttoiminnassa SFCaravan ry Mit tietosuoja on Tietosuoja
TIETOSUOJA ASETUS GDPR GENERAL DATA PROTECTION REGULATION HENKILKUNNANTIETOSUOJA ASETUS GDPR GENERAL DATA PROTECTION REGULATION HENKILKUNNAN
GDPR n hyv syksyn alkua Tietosuoja Tavastiassa JanneGDPR n hyv syksyn alkua Tietosuoja Tavastiassa Janne
GDPR GDPR GDPR The European Commission support forGDPR GDPR GDPR The European Commission support for
GDPR Overview GDPR Overview GDPR Individuals Rights ToGDPR Overview GDPR Overview GDPR Individuals Rights To
KALAMAJKA MIK MIK POZORNOST SOUSTEDNOST PAM KALAMAJKA CoKALAMAJKA MIK MIK POZORNOST SOUSTEDNOST PAM KALAMAJKA Co
Opit Opsprosessissa Mik ja miksi Mik on OpitOpit Opsprosessissa Mik ja miksi Mik on Opit
AFRIKOS PUSIAUJO MIK GYVENTOJAI A REMEIKIEN PUSIAUJO MIKAFRIKOS PUSIAUJO MIK GYVENTOJAI A REMEIKIEN PUSIAUJO MIK
MEILL ON IDEA Mik yhteiskunnallinen yritys 1 MIKMEILL ON IDEA Mik yhteiskunnallinen yritys 1 MIK
MIK Medie och informationskunnighet Vad r MIK OMIK Medie och informationskunnighet Vad r MIK O
Tilahallintajrjestelm Mik Miksi Miten Janne Koskenniemi psihteeri MikTilahallintajrjestelm Mik Miksi Miten Janne Koskenniemi psihteeri Mik
Aineistotiedot Finnassa Mik vaikuttaa Mik on mahdollista KYTTJTAineistotiedot Finnassa Mik vaikuttaa Mik on mahdollista KYTTJT
Sanajrjestyksest Mik on p ja mik sivulause SivulauseSanajrjestyksest Mik on p ja mik sivulause Sivulause
AFRIKOS PUSIAUJO MIK GYVENTOJAI A REMEIKIEN PUSIAUJO MIKAFRIKOS PUSIAUJO MIK GYVENTOJAI A REMEIKIEN PUSIAUJO MIK
Mik on trke mik ei First 36 7Mik on trke mik ei First 36 7
General Data Protection Regulation GDPR What is GDPRGeneral Data Protection Regulation GDPR What is GDPR