Kaikkien henkilötietoja käsittelevien organisaatioiden on toimittava EU:n tietosuoja-asetuksen vaatimusten mukaisesti 25.5.2018 jälkeen. Webinaarissa käsitellään seuraavat aiheet: - EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä se tarkoittaa? - Miten tietosuoja-asetukseen pitää valmistautua? - Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa valmistautumistaan? Webinaarin tallenne: https://youtu.be/bPhtPLk8UBQ https://www.documenthouse.fi/otayhteytta

1. E R O O N P A P E R E I S T A
30.8.2017
EU:n tietosuoja-asetus tulee ja
velvoittaa yrityksiä toimiin

2. E R O O N P A P E R E I S T A
Tänään äänessä
30.8.2017
2
Markus Myhrberg
Partner,
asianajaja, varatuomari
Lexia Asianajotoimisto Oy
Erkki-Jussi Welling
Myyntijohtaja
Document House Oy
Kaj Seeste
Markkinointijohtaja
Document House Oy

3. E R O O N P A P E R E I S T A
Agenda
 EU:n tietosuoja-asetus velvoittaa 25.5.2018 alkaen täysimääräisesti. Mitä
se tarkoittaa?
 Miten tietosuoja-asetukseen pitää valmistautua?
 Onko olemassa valmiita ratkaisuja, joilla voi helpottaa omaa
valmistautumistaan?
30.8.2017
3

4. EU:n tietosuoja-asetus
30.8.2017
Markus Myhrberg
Asianajaja, VT

5. Yleinen tietosuoja-asetus: Mistä on kyse?
• Asetus tullut voimaan toukokuussa 2016, mutta sitä sovelletaan 25.5.2018 lähtien.
– Siirtymäaika tarjoaa mahdollisuuden saada käytännöt ja järjestelmät asetuksen mukaisiksi ennen
soveltamisen aloittamista.
• Asetus korvaa aiemman henkilötietodirektiivin
• Asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa
– Kansallisia poikkeuksia on kuitenkin lukuisia
– Suomen osalta työryhmän mietintö ja luonnos tietosuojalaiksi
– Kansallisen lainsäädännön tarkentaminen vielä käynnissä
• Vaatimukset kasvavat > Läpinäkyvyyttä, ennakoimista, kuvaamista, organisaatio- ja
järjestelmävaatimuksia ja sanktioita
30.8.2017 5

6. Yleinen tietosuoja-asetus: Tunnista oma roolisi?
• Henkilötieto: tunnistettuun tai tunnistettavissa olevaan (suoraan tai epäsuoraan) luonnolliseen
henkilöön liittyvät tiedot, esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto,
sijainti- tai verkkotunnistetieto, henkilötunnus.
• Rekisteri: mikä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukko, josta tiedot ovat
saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai
maantieteellisin perustein jaettu.
• Rekisterinpitäjä (data controller): taho, joka yksin tai yhdessä toisten kanssa määrittelee
henkilötietojen käsittelyn tarkoitukset ja keinot
• Henkilötietojen käsittelijä (data processor): taho, joka käsittelee henkilötietoja
rekisterinpitäjän lukuun
– Käsittelijälle uusia velvollisuuksia mm. sopimukset ja alihankkijakielto
• Rekisterinpitäjän ja käsittelijän välisen sopimuksen vähimmäissisältö määräytyy asetuksen perusteella
30.8.2017 6

7. Rekisterinpitäjän velvollisuudet > osoitusvelvollisuus
Noudatettava henkilötietojen käsittelyssä Pystyttävä osoittamaan noudattaminen
Lainmukaisuus, kohtuullisuus, läpinäkyvyys1
Käyttötarkoitusidonnaisuus2
Tietojen minimointi3
Täsmällisyys4
Säilytyksen rajoittaminen5
Eheys ja luottamuksellisuus6
30.8.2017 7

8. Rekisteröityjen oikeudet laajenevat
• Oikeus
– saada tietoa henkilötietojen käsittelystä
– tarkistaa henkilötiedot
– oikaista virheelliset henkilötiedot
– tietojen siirtämiseen
– ”tulla unohdetuksi”
– rajoittaa henkilötietojen käsittelyä
– vastustaa henkilötietojen käsittelyä (markkinointi, automatisoitu päätöksenteko ml.
profilointi)
– saada ilmoitus tietoturvaloukkauksesta
• Informointi
– Tietosuojaselosteet – ja käytännöt
• Asetuksessa tarkemmat menettelysäännöt oikeuksien toteuttamiselle:
– Erityiset määräajat
– Pääsääntöisesti maksutta, kirjallisesti tai tapauskohtaisesti sähköisesti
30.8.2017 8

9. Miten täyttää velvollisuuksia?
TIETOSUOJAVASTAAVA
• Voidaan nimittää myös silloin, kun
siihen ei ole velvollisuutta
• Seuraa tietosuojalainsäädännön
jalkauttamista ja toimii
yhteyspisteenä
• Tunnista velvollisuutesi ja dokumentoi
käsittelyyn liittyvien prosessien sekä
tietosuojaperiaatteiden toteuttaminen
• Tunne myös alihankkijasi prosessit,
tarkista ja tee sopimukset
• Varmista käsittelyn perusteet
DOKUMENTOINTI JA PROSESSITNYKYTILA-ANALYYSI JA
TIETOTILINPÄÄTÖS
• Tee analyysi nykytilasta
• Tunnista rekisterit ja tietolähteet
• Kartoita käsiteltävät tiedot, sijainti
ja tietovirrat
• Tietosuoja on toimintapa – muista
säännölliset päivitykset ja
raportointi
• Riskiperusteinen lähestyminen
• Osaksi eri prosesseja esim.
tuotekehitys ja riskianalyysit
• Erityisten tietoluokkien
tunnistaminen
VAIKUTUSTENARVIOINTI TIETOTURVA
• Tee toimenpidesuunnitelma
tietosuojaloukkauksen varalle
• Sisäiset ja ulkoiset auditoinnit
• Anonymisointi ja
pseudonymisointi
• Huolehdi avoimuudesta ja
läpinäkyvyydestä
• Pidä saatavilla selosteet ja
käytännöt
• Tietosuojapolitiikka
• Huomioi tietopyynnöt, kiellot
VIESTINTÄSUUNNITELMA
JA SELOSTEET/KÄYTÄNNÖT
30.8.2017 9

10. Tietosuojauudistuksen haltuunoton askelmerkkejä
Valmistautumisen jakaminen useaan eri projektiin voi helpottaa haltuunottoa:
1. Ulkoiset prosessit:
• Onko henkilötietojen kerääminen ja käsittely lainmukaista, miten toteutan rekisteröityjen oikeudet,
siirränkö henkilötietoja muille tahoille, tarvitseeko sopimuksia muokata?
2. Sisäiset prosessit:
• Onko yrityksen sisäisiä tietoturvakäytäntöjä tarvetta muuttaa, entä henkilökunnan koulutus?
3. Teknologia:
• järjestelmät saatava vastaamaan asetuksen vaatimuksia ennen 25.5.2018
4. Dokumentaatio
• Osoitusvelvollisuuden täyttäminen edellyttää riittävää dokumentointia, esimerkiksi järjestelmien
tietoturvaloukkauksista ilmoittamisen ja sisäisten prosessien osalta
30.8.2017 10

11. Miten tietosuoja-asetukseen pitää valmistautua?

12. E R O O N P A P E R E I S T A
Miten tietosuoja-asetukseen pitää valmistautua?
 Yhdeksän askelta, joilla saat yrityksesi
asetuksen mukaiseen kuntoon:
1. Selvitä, mitä henkilötietoja
yrityksessänne käsitellään
2. Perehdy uusiin vaatimuksiin
yrityksenne näkökulmasta
3. Hyödynnä tilaisuus kehittää
liiketoimintaanne
4. Aseta tavoitetila henkilötietojen
suojalle ja tietoturvalle
5. Suunnittele tarvittavat muutokset
järjestelmiin infraan ja
käytäntöihin
6. Toteuta tarvittavat muutokset
7. Varaudu tietoturvaloukkauksiin ja
odottamattomiin tilanteisiin.
8. Kehitä valmius pysyä ajan tasalla.
9. Aloita jo tänään!
30.8.2017
12

13. E R O O N P A P E R E I S T A
1. Selvitä, mitä henkilötietoja
yrityksessänne käsitellään
 Tunnista, mitä henkilötietoja
yrityksessänne on käytössä
 Selvitä, missä tiedot sijaitsevat ja millä
järjestelmillä niitä käsitellään. Huomioi
myös esimerkiksi:
 Excelit
 Sähköpostit
 Paperiarkistot
 Skannatut dokumentit
 Valvontakameradata
 Huomioi mahdollinen rajat ylittävä
tiedonsiirto.
 Luo kokonaiskuva siitä, kuka tietoja
käsittelee. Miten ja miksi? Tarve on
saattanut muuttua tai poistua
kokonaan. Selvitä lailliset perusteet
henkilötietojen käsittelylle ja määrittele
keiden vastuulla niiden suojaaminen
yrityksessäsi on.
30.8.2017
13

14. E R O O N P A P E R E I S T A
2. Perehdy uusiin vaatimuksiin
yrityksenne näkökulmasta
 Muodosta kokonaiskuvan pohjalta käsitys uudistuksen asettamista
muutostarpeista.
 Selvitä, mitä muutoksia vaatimus sisäänrakennetusta ja oletusarvoisesta
tietosuojasta edellyttää teiltä. Arvioi, mitä tietosuojaperiaatteiden
(kuten käyttötarkoitussidonnaisuus, tietojen minimointi ja tietojen
eheys) toteuttaminen käytännössä tarkoittaa.
 Huomioi osoitusvelvollisuus ja valmistaudu dokumentoimaan tehdyt
ratkaisut, päätökset, toimintamalli, järjestelmät ja käsittelytoimenpiteet.
Selvitä, miten rekisteröityjen uudet oikeudet vaikuttavat toimintaanne
ja valmistaudu vastaamaan uusiin viranomaisvelvoitteisiin.
30.8.2017
14

15. E R O O N P A P E R E I S T A
3. Hyödynnä tilaisuus kehittää liiketoimintaanne
 Asetukseen valmistauduttaessa
yritys joutuu läpivalaisuun, koska
henkilötietoja käsitellään isossa
osassa yrityksen toimintoja.
 Hyödynnä tehtävää työtä niin, että
valmistautuminen ei olekaan
pelkkä kuluerä vaan hanke, jonka
tuloksena yrityksesi toimii entistä
tehokkaammin.
 Koska asetuksen velvoitteiden
täyttäminen todennäköisesti vaatii
muutoksia toimintatapoihin,
järjestelmiin ja tietotekniikkaan,
hyödynnä samalla tilaisuus karsia
turhia rönsyjä ja ei-tuottavaa työtä
ja ottaa käyttöön järjestelmiä ja
tekniikkaa, jotka paitsi täyttävät
velvoitteet, myös alentavat
kustannuksia ja virtaviivaistavat
yrityksesi toimintaa.
30.8.2017
15

16. E R O O N P A P E R E I S T A
4. Aseta tavoitetila henkilötietojen
suojalle ja tietoturvalle
 Tee riskien arviointi ja tunnista
korkean riskin kohteet. Määrittele
tietojen elinkaari ja suunnittele
asianmukaiset suojatoimet.
 Ota huomioon käytettävissäsi
oleva tekniikka,
toteuttamiskustannukset,
käsittelyn luonne, laajuus,
asiayhteys, tarkoitukset ja riskit.
 Selvitä mahdolliset
toimialakohtaiset
käytännesäännöt, testaaminen,
sertifioinnit ja auditoinnit.
30.8.2017
16

17. E R O O N P A P E R E I S T A
5. Suunnittele tarvittavat muutokset
järjestelmiin infraan ja käytäntöihin
 Suunnittele, miten ja millä
aikataululla tavoitetilaan päästään
käytännössä.
 Selvitä yksityiskohdat liittyen
tarvittaviin muutoksiin
tietojärjestelmiin, laitteisiin ja
verkkoyhteyksiin.
 Suunnittele, miten yrityksesi
käytännössä toimii uusien
vaatimusten mukaisesti: selvitä
tarvittavat muutokset käytäntöihin,
organisaatioon, rooleihin, vastuihin,
oikeuksiin, ohjeisiin ja muuhun
dokumentaatioon.
 Aikatauluta tehtävät ja päätä kenen
vastuulla kukin tehtävä on.
30.8.2017
17

18. E R O O N P A P E R E I S T A
6. Toteuta tarvittavat muutokset
 Vie suunnitelma käytäntöön ja
toteuta muutokset asetuksen
aikataulu huomioiden.
 Teetä tarvittavat muutokset
järjestelmiin, laitteisiin ja
verkkoyhteyksiin. Testaa muutokset
ja ota uudistetut järjestelmät
käyttöön.
 Toteuta suunnitellut muutokset
organisaatioon, rooleihin ja
vastuisiin. Tuota ohjeet
henkilökunnalle ja kouluta
henkilöstö uusiin käytäntöihin ja
työtapoihin.
 Tiedota hankkeen etenemisestä
tarpeen mukaan työntekijöitä.
Asiakkaita ja muita sidosryhmiä,
jotka joko käsittelevät tietoja tai
joiden tietoja käsitellään.
30.8.2017
18

19. E R O O N P A P E R E I S T A
7. Varaudu tietoturvaloukkauksiin ja
odottamattomiin tilanteisiin
 Hyvään riskienhallintaan kuuluu luoda
toimintasuunnitelma erilaisia
odottamattomia tilanteita varten.
 Paitsi tietovarkauksista ja –murroista,
näitä tilanteita voi syntyä mm.
tulipalon, vesivahingon,
omaisuusrikoksen, vahingonteon tai
laite- tai kaapelirikon seurauksena.
 Kehitä valmiudet havaita
tietosuojaloukkaukset ja luo
suunnitelma näiden tilanteiden varalle.
Sisällytä suunnitelmaan ohjeet
viranomaisyhteydenpitoon, asiakkaille
viestimiseen ja mediaraportointiin.
 Tee myös suunnitelmat
odottamattomista tilanteista
palautumiseen (tietojen palautus jne.).
Varmista, että henkilöt, joiden
tehtävänä on toimia näissä tilanteissa,
ymmärtävät, mitä pitää tehdä.
30.8.2017
19

20. E R O O N P A P E R E I S T A
8. Kehitä valmius pysyä ajan tasalla
 Liiketoiminnan digitalisoituessa
yritykseen ulkoa tulevien
muutospaineiden tiheys kasvaa ja
reagointiaika lyhenee.
 Yrityksen järjestelmien verkottuessa
laitteiden, ohjelmistojen ja
palveluiden kehitys avaa
mahdollisuuksia myös rikollisille ja
kiusantekijöille.
 Kehitä itsellesi valmius pysyä
mukana muutoksissa ja reagoida
niin, että liiketoimintasi ei kärsi.
Nimeä henkilö, jonka vastuulla on
arvioida edellä kuvatut asiat –
mahdollisesti käyttäen ulkopuolista
auditointia tai apua – säännöllisin
väliajoin uudestaan.
30.8.2017
20

21. E R O O N P A P E R E I S T A
9. Aloita jo tänään!
 Apua asioiden edistämisessä voit saada esimerkiksi meiltä ja lisäksi
kannattaa tutustua seuraaviin kohteisiin:
 Asetuksen teksti
 Oikeusministeriön työryhmän ehdotus kansallisista täsmennyksistä
 Tietosuojavaltuutetun toimiston verkkosivut
 Tietosuojavaltuutetun toimiston rekisterinpitäjille suunnattu opas
”Miten valmistautua EU:n tietosuoja-asetukseen?”
 Valtionvarainministeriön VAHTI-raportti 1/2016 EU-tietosuojan
kokonaisuudistuksesta julkisen hallinnon ICT:ssä
 Keskuskauppakamarin tietoturvaopas yrityksille
30.8.2017
21

22. E R O O N P A P E R E I S T A
Mitä pitikään muistaa?
30.8.2017
22

23. E R O O N P A P E R E I S T A
30.8.2017
23
9
• Aloita jo tänään!
• Seuraavaksi esittelemme miten saat
valtavan helpotuksen tekemiseesi:

24. Onko olemassa valmiita ratkaisuja,
joilla voi helpottaa omaa valmistautumistaan?

25. E R O O N P A P E R E I S T A
Nyt on mahdollisuus kehittää omaa toimintaa
TOIMINTATAPAUUDISTUS
TEHOSTAMINEN
Mistä löydän oikeat ja
brändinmukaiset sisällöt
dokumentteihin?
Miten dokumenttien ja
sisältöjen laatu varmistetaan?
Mitkä ja missä ovat keskeiset
dokumenttipohjat?
Minne tallennan luomani
dokumentit niin että muutkin
löytävät ne?
Ovatko sisällöt varmasti ajan
tasalla?
Mihin järjestelmiin pitää
viedä kulloisenkiin toimeen
liittyvää tietoa?
30.8.2017
25

26. E R O O N P A P E R E I S T A
30.8.2017
26Missä Document House on hyvä?
Compliance
Määräysten, säädöksien
ja ohjeiden mukaan
toimiminen
Brand & Content
Yritysilmeen ja
asiakirjasisällön
johtaminen
Sustainability
Ympäristöarvojen ja
kestävän kehityksen
varmistaminen
E R O O N P A P E R E I S T A

27. E R O O N P A P E R E I S T A
Mitkä asiat ratkaisemme EU:n tietosuoja-
asetukseen liittyen?
Dokumenttikanta
”GDPR Approved”
1.
Paperi-
arkistojen
digitointi
metatiedoilla
GDPR-OK
Posti,
sähköposti,
ym. ulkoa tuleva tieto
2.
Saapuvien
dokumenttien
metatiedot-
taminen
GDPR-OK
Arkistot
GDPR-OK
3.
Uusien
dokumenttien
tuottaminen
metatiedoilla
Henkilöstö
30.8.2017
27

28. E R O O N P A P E R E I S T A
Paperiarkistojen digitointi
 Digitoimalla paperinen arkisto päästään merkittäviin kustannussäästöihin,
ympäristöystävällisesti sekä saadaan tieto mm. EU:n tietosuoja-asetuksen
vaatimusten mukaisesti toteutettua
 Yksinkertaisuus: digitoitu arkisto on käytettävissä missä ja milloin vain
 Mitattavuus: hyllymetrit ja neliöt muuttuvat biteiksi
 Tehokkuus: tiedonhakuaika nopeutuu tunneista sekunteihin
 Käytettävyys: tieto yhdessä muodossa, helposti hyödynnettävissä
30.8.2017
28

29. E R O O N P A P E R E I S T A
Digitointiprosessi, jossa huomioidaan
EU:n tietosuoja-asetus
30.8.2017
29
1.
Lähdeaineiston
vastaanotto
2.
Aineiston tarkistus
3.
Aineiston esikäsittely
4.
Kuvantaminen
5.
Lähdeaineiston jälkikäsittely
•Arkistointi
•Palautus
•Tietoturvallinen tuhoaminen
6.
Kuvanparannus
7.
Indeksointi eli
tietojen poiminta
8.
Laadun tarkistus -
oikeellisuus
9.
Toimitus
10
.
Työn sulkeminen - Raportointi

30. E R O O N P A P E R E I S T A
Saapuvien tietojen vieminen järjestelmiin
EU:n tietosuoja-asetuksen vaatimukset huomioiden
30.8.2017
30

31. Uusien dokumenttien luonti

32. E R O O N P A P E R E I S T A
EU:n tietosuoja-asetusratkaisu on työkaluissa, jotka teillä
on jo todennäköisesti käytössä
Ohjattu luonti Ohjattu tallennus Tietointegroitavuus
Sisältöpankki Automaattipäivitys Kehityskanava
30.8.2017
32

33. E R O O N P A P E R E I S T A
Onko ratkaisun käyttäminen vaikeaa?
Käyttöliittymä / Word:
Tuoteominaisuudet:
Ohjattu luonti Automaattipäivitys
Ohjattu tallennus
Sisältöpankki
Kehityskanava Tietointegroitavuus
…myös Powerpoint ja Excel
30.8.2017
33

34. E R O O N P A P E R E I S T A
Käytännön esimerkki - etätyösopimus
29.8.2017
34
3
2
1
4
5

35. E R O O N P A P E R E I S T A
Käytännön esimerkki - etätyösopimus
29.8.2017
35
6
7
Etc…

36. Arvoisa osallistuja:
Kiitos osallistumisestasi ja mukavaa päivänjatkoa!
Toimitamme Sinulle webinaaritallenteen lähiaikoina.

37. E R O O N P A P E R E I S T A
Yhteystiedot
 Kaj Seeste
 kaj.seeste@documenthouse.fi
 0400 928 169
 Erkki-Jussi Welling
 erkki-jussi.welling@documenthouse.fi
 040 730 9051
 Markus Myhrberg
 markus.myhrberg@lexia.fi
 040 505 5343
30.8.2017
37