What is a Data Controller under GDPR?

A data controller determines the purposes and means of processing personal data. They decide why and how personal data gets used and bear primary responsibility for GDPR compliance.

How quickly must a data breach be reported under GDPR?

Personal data breaches must be reported to the supervisory authority within 72 hours of becoming aware of the breach, as required by Article 33 GDPR.

When is a DPIA required?

A Data Protection Impact Assessment is required when processing is likely to result in a high risk to individuals, including profiling, large-scale monitoring, and processing of special category data (Article 35 GDPR).

GDPR

Yleinen tietosuoja-asetus

Säädös, joka teki evästeilmoituksista kaikkien inhottavimman ponnahdusikkunan

Yleinen tietosuoja-asetus (GDPR) on EU:n merkittävä tietosuojalaki, joka säätelee henkilötietojen keräämistä, käsittelyä ja suojaamista. Toukokuusta 2018 lähtien se on ollut tietosuojan kultainen standardi maailmanlaajuisesti – ja syy siihen, miksi sähköpostilaatikkosi tulvi viesteillä, joissa ilmoitettiin tietosuojakäytännön päivittämisestä.

Soveltamisala

Kaikki organisaatiot, jotka käsittelevät EU:ssa tai ETA-alueella asuvien henkilöiden henkilötietoja – riippumatta siitä, missä organisaatio sijaitsee. Kyllä, tämä koskee myös sinua, Silicon Valley.

Maantieteellinen kattavuus

EU/ETA sekä kaikki maailmanlaajuiset organisaatiot, jotka tarjoavat tavaroita tai palveluja EU:ssa oleville henkilöille tai seuraavat heidän käyttäytymistään.

Voimassa vuodesta

25. toukokuuta 2018

Tarkoitus

Jotta yksilöt saisivat hallita omia henkilötietojaan ja jotta kansainvälisen liiketoiminnan sääntely-ympäristöä voitaisiin yksinkertaistaa. Mielenkiintoinen fakta: asetus on 88 sivua pitkä, sisältää 99 artiklaa ja on aiheuttanut noin 4,2 miljardia evästeiden hyväksymispopupia (epävirallinen arvio).

Siirry rooliisi:

Rekisterinpitäjä

Sinä päätät henkilötietojen käsittelyn tarkoituksista ja keinoista. Selkokielellä: sinä päätät, miksi ja miten henkilötietoja käytetään. Jos sinä olet se, joka ehdotti: ”Kerätään sähköpostiosoitteita uutiskirjeemme varten”, onnittelut – olet rekisterinpitäjä.

Velvollisuutesi

Jokaiselle käsittelytoimelle on oltava laillinen peruste (6 artikla) – ”koska voimme” ei ole sellainen
Pidä kirjaa käsittelytoimista (RoPA), jossa dokumentoidaan, mitä tietoja käsittelet ja miksi (30 artikla)
Suoritetaan tietosuojavaikutusten arviointeja (DPIA) riskialttiissa käsittelyissä – kuten profiloinnissa tai laajamittaisessa seurannassa (35 artikla)
Ilmoita henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle 72 tunnin kuluessa (33 artikla) – mukaan lukien viikonloput ja pyhäpäivät
Varmista, että rekisteröidyt voivat käyttää oikeuksiaan: oikeus saada pääsy tietoihin, oikaisemiseen, poistamiseen (”oikeus tulla unohdetuksi”), siirrettävyyteen ja vastustamiseen (15–22 artikla)
On toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi (32 artikla) – Post-it-lappu, johon on kirjoitettu tietokannan salasana, ei täytä tätä vaatimusta
Nimetään tarvittaessa tietosuojavastaava (37 artikla)
Käytä vain sellaisia alihankkijoita, jotka antavat riittävät takeet – ja vahvista tämä tietojenkäsittelysopimuksella (28 artikla)

Keskeiset artikkelit

5 § — Periaatteet6 § — Oikeusperusta13–14 § — Tiedonantovelvollisuudet28 § — Tietojen käsittelijäsopimukset30 § — Käsittelyä koskevat kirjanpitotiedot32 § — Turvatoimenpiteet33–34 § — Ilmoitus tietoturvaloukkauksesta35 § — Vaikutustenarviointi

Ammattilaisen vinkki

Aloita RoPA-arvioinnista. Jos et tiedä, mitä tietoja käsittelet, et voi suojata niitä. Ajattele sitä karttana – et kai kulkisi kaupungissa ilman karttaa (ellei sitten pidä eksymisestä).

Tietojen käsittelijä

Käsittelet henkilötietoja rekisterinpitäjän puolesta. Ajattele esimerkiksi pilvipalveluntarjoajaa, palkanlaskentapalvelua tai sähköpostimarkkinointialustaa. Et päätä itse, mitä tiedoille tehdään – teet vain sen, mitä rekisterinpitäjä sinulle määrää. Aivan kuin hyvin palkattu avustaja, jolla on tarkat ohjeet.

Velvollisuutesi

Käsittele tietoja ainoastaan rekisterinpitäjän kirjallisten ohjeiden mukaisesti (28 artikla) – henkilötietojen vapaamuotoinen käsittely ei ole suotavaa
Pidä omaa rekisteriä käsittelytoimista (30 artiklan 2 kohta)
Otettava käyttöön asianmukaiset turvatoimenpiteet (32 artikla)
Ilmoita rekisterinpitäjälle viipymättä, jos havaitset tietoturvaloukkauksen (33 artiklan 2 kohta) — ”Olin lomalla” ei ole viivästys
Avustaa rekisterinpitäjää tietosuojavaikutusten arvioinneissa ja rekisteröityjen pyyntöjen käsittelyssä pyydettäessä (28 artiklan 3 kohta)
Alikäsittelijöitä saa käyttää vain rekisterinpitäjän etukäteen antamalla luvalla (28 artiklan 2 kohta)
Poista tai palauta kaikki henkilötiedot, kun käsittelysuhde päättyy (28 artiklan 3 kohdan g alakohta)

Keskeiset artikkelit

28 § — Tietojen käsittelijän velvollisuudet29 § — Käsittely viranomaisten toimesta30.2 § — Käsittelijän kirjanpito32 § — Turvallisuus33 artiklan 2 kohta – Ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle

Ammattilaisen vinkki

Laita tietojenkäsittelysopimuksesi kuntoon ennen kuin suurin asiakkaasi pyytää niitä. Valmiin mallipohjan pitäminen käsillä on tietojenkäsittelijälle sama asia kuin sateenvarjon kantaminen mukana – tulet olemaan tyytyväinen, että teit niin.

Tietosuojavastaava (DPO)

Olet organisaation riippumaton tietosuoja-asiantuntija. Annat neuvoja, valvot säännösten noudattamista ja toimit yhteyshenkilönä valvontaviranomaiselle. Raportoit suoraan ylimmälle johdolle, eikä kukaan voi määrätä sinua tekemään tiettyjä johtopäätöksiä. Olet käytännössä tietosuojan tarkastaja – et ehkä ole juhlien suosikki, mutta kaikki soittavat sinulle, kun jokin menee pieleen.

Velvollisuutesi

Antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoa ja neuvoja heidän GDPR-velvoitteistaan (39 artiklan 1 kohdan a alakohta)
Valvoo GDPR-asetuksen ja sisäisten tietosuojakäytäntöjen noudattamista (39 artiklan 1 kohdan b alakohta)
antaa neuvoja tietosuojavaikutusten arvioinneista ja seurata niiden toteutumista (39 artiklan 1 kohdan c alakohta)
Toimia valvontaviranomaisen yhteyspisteenä (39 artiklan 1 kohdan d ja e alakohta)
Varmista riippumattomuutesi – sinulle ei saa antaa ohjeita tehtävien suorittamisesta (38 artiklan 3 kohta)
Pitää yllä asiantuntemusta tietosuojalainsäädännöstä ja -käytännöistä (37 artiklan 5 kohta)
Olla tavoitettavissa rekisteröidyille, jotka haluavat tuoda esiin huolenaiheita (38 artiklan 4 kohta)

Keskeiset artikkelit

37 § — Tietosuojavastaavan nimeäminen38 § — Tietosuojavastaavan asema39 § — Tietosuojavastaavan tehtävät

Ammattilaisen vinkki

Kirjaa antamasi neuvot muistiin – etenkin silloin, kun johto päättää olla noudattamatta niitä. Tulevaisuuden sinä kiittää sinua, kun valvontaviranomainen koputtaa ovellesi.

rekisteröity

Olet elävä, hengittävä ihminen, jonka henkilötietoja käsitellään. Siinä kaikki – mitään todistusta ei tarvita. Jos jollain organisaatiolla on hallussaan nimesi, sähköpostiosoitteesi, IP-osoitteesi tai jopa evästeasetuksesi, olet rekisteröity. Se tarkoittaa, että sinulla on oikeuksia. Itse asiassa melko paljonkin.

Velvollisuutesi

Sinulla on oikeus saada pääsy henkilötietoihisi ja pyytää niistä kopio (15 artikla) – pyydä kohteliaasti, mutta sinun ei tarvitse
Voit pyytää virheellisten tietojen oikaisua (16 artikla) – nimesi ei ole ”Arvostettu asiakas”
Voit pyytää tietojesi poistamista – niin sanottua ”oikeutta tulla unohdetuksi” (17 artikla)
Voit rajoittaa tietojen käsittelyä tietyissä tilanteissa (18 artikla)
Sinulla on oikeus tietojen siirrettävyyteen – voit siirtää tietosi muualle (20 artikla)
Voit vastustaa tietojen käsittelyä, mukaan lukien profilointi ja suoramarkkinointi (21 artikla) – kyllä, voit peruuttaa tilauksesi
Sinulla on oikeus olla joutumatta pelkästään automaattisen päätöksenteon kohteeksi, mukaan lukien profilointi (22 artikla)
Voit tehdä valituksen valvontaviranomaiselle, jos oikeuksiasi on loukattu (77 artikla)

Keskeiset artikkelit

15 § — Oikeus saada tietoja16 § — Oikaiseminen17 § — Tietojen poistaminen20 § — Tietojen siirrettävyys21 § — Oikeus vastustaa22 § — Automaattinen päätöksenteko77 § — Valitus viranomaiselle

Ammattilaisen vinkki

Kun käytät oikeuksiasi, kerro tarkasti, mitä haluat. Selkeä kirjallinen pyyntö (sähköposti käy hyvin) tuottaa nopeampia tuloksia kuin epämääräinen ”Haluan kaikki tietoni”. Ammattilaisen vinkki: mainitse GDPR otsikkokentässä – se yleensä nopeuttaa asioiden käsittelyä.

Miten Euregas voi auttaa

Käytettävissä olevat työkalut

Käsittelytoimintojen kirjanpito (RoPA) — kirjaa kaikki käsittelytoiminnot valmiiden mallipohjien avulla
DPIA ja riskimatriisi – riskien arviointi ja pisteytys seitsemällä ulottuvuudella
Tapahtumien hallinta — seuraa tietoturvaloukkauksia automaattisten 72 tunnin määräaikamuistutusten avulla
Rekisteröidyn oikeudet – hallinnoi tietojen saantia, poistamista ja siirrettävyyttä koskevia pyyntöjä alusta loppuun
Suostumusten hallinta — suostumusten keräämisen, peruuttamisen ja kirjausketjujen seuranta
Tietojen kartoitus — visualisoi tietovirrat järjestelmien ja kolmansien osapuolten välillä
Tietojenkäsittelysopimukset — käsittelystä vastaavien tahojen ja alihankkijoiden hallinta
Oikeusperustan arviointi – asiakirja ja kunkin käsittelytoimenpiteen oikeusperustan tarkastelu
Tietojen siirron vaikutustenarviointi (TIA) — kansainvälisten tietojen siirtojen arviointi

Tekoälyllä tuetut ominaisuudet

Konsultointiohjelma (gdpr_readiness) — 5-vaiheinen ohjattu arviointi, jossa jokaisessa vaiheessa on tekoälyanalyysi ja viittaukset asiaa koskeviin artikkeleihin
Tekoälyn tuottama vaatimustenmukaisuusarvio: vaatimustenmukainen / ehdollisesti vaatimustenmukainen / ei vaatimustenmukainen
Semanttinen haku GDPR:n artikloista, EDPB:n ohjeista ja oikeuskäytännöstä

Huomautus

Kaikki GDPR-työkalut (RoPA, DPIA, tietoturvapoikkeamien hallinta jne.) ovat manuaalisia työnkulkuja, joissa käytetään valmiita mallipohjia. Tekoälyavustusta on saatavilla konsultointiohjelman kautta – sitä ei ole integroitu suoraan yksittäisiin työkaluihin.

Kaikki esimerkit ovat kuvitteellisia ja tarkoitettu vain havainnollistamista varten.