Tietosuojavalmiudet
Kuvaus organisaation tietosuojatoimenpiteistä
Rekisterinpitäjän asianmukaiset tekniset ja organisatoriset toimenpiteet tietosuojavaatimusten toteuttamiseksi
Organisaatio on valinnut tietosuojavaatimusten toteuttamisen ratkaisuksi D-Fence Easy GDPR -palvelun.
Tällä sivulla avataan sertifikaatin omaavan organisaation henkilötietojen käsittelytoimia, niiden lainmukaisuutta ja osoitusvelvollisuuden mukaista todennusta.
Vaatimuskohtaiset osiot tietosuojaperiaatteiden tehokkaan toteutuksen todentamiseksi
Tietosuojan toteutus on kuvattu alle osioittain, joka helpottaa ennakkotarkastusta tekevän toimijan työtä.
Easy GDPR -palvelun avulla organisaatio noudattaa myös sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita.
Toteutetut tietosuojatoimenpiteet otsikkotasolla
| Toimenpide | Toteutus |
| Käsiteltävien henkilötietojen kartoitus |
Organisaatio on kartoittanut käsittelemänsä henkilötiedot ja lajitellut ne omiin rekistereihin. |
| Käsittelytoimien kuvaus |
Kaikista rekistereistä on tehty erillinen tietovirtakuvaus, jossa on kuvattu koko tiedon kaari siitä, kun se saadaan aina sinne, missä kyseinen tieto poistetaan tai tiedon säilytysajan peruste. Myös selosteet käsittelytoimista on toteutettu sekä rekisterinpitäjän että hebkilötietojen käsittelijä -versioina ja ne on todennettavissa Easy GDPR -palvelussa. |
| Riskien arvioinnit |
Riskejä on arvioitu rekisterikohtaisesti sekä toteutettu tasapainotestit silloin, kun käsittelyn oikeusperusteena on oikeutettu etu. Lisäksi on toteutettu vaikutustenarvioinnit (DPIA) silloin, kun laki on sellaisen vaatinut. |
| Käsittelystä informoiminen |
Kaikista rekistereistä on toteutettu oma, erillinen tietosuojaseloste, jotka on soveltuvin osin jaettu organisaation verkkosivuilla. |
| Hallinta ja johtaminen |
Tietosuojatoimenpiteitä arvioidaan säännöllisesti, toimenpiteet on suunniteltu vuosikelloon ja niitä toteutetaan tietosuojaohjelman mukaisesti. |
Tietosuojaperiaatteiden toteutuminen
| Toimenpide | Toteutus |
| Lainmukaisuus |
Arvioitu ja kuvattu rekisterikohtaisissa tietovirtakuvauksissa, joissa on määritelty käsittelyn oikeusperusteet. |
| Asianmukaisuus |
Arvioitu tietovirtakuvauksissa käsittelyn kohtuullisuutta suhteessa käyttötarkoitukseen. Samalla on arvioitu, että henkilötietoja ei käsitellä rekisteröidyn kannalta odottamattomalla tavalla. |
| Läpinäkyvyys |
Periaate on toteutettu rekisterikohtaisilla tietosuojaselosteilla, jossa käsittelystä on kerrottu selkeästi ja ymmärettävästi ja jotka on asetettu helposti saavutettavaksi organisaation verkkosivuille. |
| Käyttötarkoitussidonnaisuus |
Henkilötietojen käyttötarkoitukset on määritelty rekisterikohtaisesti tietovirtakuvauksissa sekä informoitu tietosuojaselosteilla. |
| Tietojen minimointi |
Käsiteltävien henkilötietojen käyttötarkoitusperusteiset arvioinnit on kuvattu tietovirtakuvauksissa. Tietoja käsitellään vain siltä osin ja niin kauan, kuin se määritellyn tarkoituksen kannalta on välttämätöntä. |
| Tietojen täsmällisyys |
Tietosuojan toteutussuunnitelmassa vuosikelloon allokoitu säännöllinen tarkastus. |
| Säilytyksen rajoittaminen |
Tietojen säilytysaikoja on rekisterikohtaisesti arvioitu tietovirtakuvauksissa ja informoitu tietosuojaselosteilla. |
| Luottamuksellisuus ja turvallisuus |
Suojaustoimia on arvioitu tietovirtakuvauksissa niihin kohdistuvine riskeineen, informoitu tietosuojaselosteilla sekä varmistetaan henkilötietojen käsittely niitä käsittelevien toimihenkilöiden säännöllisellä koulutuksella. |
Organisaatio rekisterinpitäjänä
| Sisäänrakennettu ja oletusarvoinen tietosuoja | Toteutus |
| Asianmukaiset tekniset ja organisatoriset suojaustoimet |
Toteutettu, dokumentoitu ja todennettavissa Easy GDPR -palvelussa. |
| Tietosuojaperiaatteiden toteutuminen |
Suunniteltu ja dokumentoitu Easy GDPR -palvelussa eri osioissa sekä jalkautettu henkilöstön koulutusten ja ohjeistusten kautta läpi koko organisaation. |
| Tehokkuuden varmistaminen | Valitut suojatoimet on käsittelyn luonne ja laajuus huomioonottaen arvioitu soveltuviksi ja kestäviksi ja ne on dokumentoitu Easy GDPR -palvelussa. |
| Huomioon otettavat tekijät | |
| Viimeisin tekniikka |
Rekisterinpitäjä on huomioinut saatavilla olevan tekniikan suunnitellessaan organisatorisia toimenpiteitä ja ne on kuvattu Easy GDPR -palvelussa. |
| Toteuttamiskustannukset ja -resurssit |
Rekisterinpitäjä on allokoinut riittävät resurssit organisaation tietosuojatoimenpiteiden toteutusta varten ja sen mahdollistamiseksi hankkinut D-Fence Easy GDPR -palvelun. |
| Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset |
Organisaatio on arvioinut ja dokumentoinut teeman mukaiset toimenpiteet Easy GDPR -palvelun eri osioissa. |
| Henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit |
Todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit on kuvattu tietovirtakuvauksissa rekisterikohtaisesti yleisellä tasolla ja tarkemmin tietosuojan vaikutustenarvioinneissa niiltä osin, kun laki niiden toteuttamista on vaatinut. |
| Aikaan liittyvät näkökohdat |
|
| Käsittelytapojen määrittäminen |
Rekisteriä pitävä organisaatio on arvioinut rekisterikohtaisesti kyseisen rekisterin henkilötietoihin liittyviä käsittelytoimia sekä niihin kohdistuvia mahdollisia riksejä. |
| Tietojen käsittely |
Organisaatio ylläpitää jatkuvasti sisäänrakennettua ja oletusarvoista tietosuojaa, joka on toteutettu, dokumentoitu ja todennettavissa Easy GDPR -palvelussa. |
| Oletusarvoinen tietosuoja |
|
| Vain käsittelyn tarkoituksen kannalta tarpeellisten henkilötietojen käsittely |
Organisaatio on määritellyt tietojen minimoinnin periaatteen mukaisesti kutakin käyttötarkoitusta varten tarpeellisia tietoja ja kuvannut ne tietovirtakuvauksissaan. |
| Kerättyjen henkilötietojen määrä |
Organisaatio on määritellyt tietojen minimoinnin periaatteen mukaisesti kutakin käyttötarkoitusta varten tarpeellisia tietoja ja kuvannut ne tietovirtakuvauksissaan. |
| Käsittelyn laajuus |
Henkilötietoihin kohdistuvat käsittelytoimet on rajoitettu vain niihin, mikä on välttämätöntä käyttötarkoituksen kannalta ja ne on kuvattu tietovirtakuvauksissa. |
| Tietojen säilytysaika |
Edelleen tietojen säilytysajat tai niiden määräytymisen perusteita on suunniteltu ja kuvattu tietovirtakuvauksissa. |
| Tietojen saatavilla olo |
Käsiteltävien tietojen saatavuutta on suunniteltu ja kuvattu tietovirtakuvauksissa. |
| Läpinäkyvyys |
Organisaatio on informoinut tietojen käsittelystä läpinäkyvästi tietosuojaselosteilla, jotka on jaettu organisaation verkkosivuille helposti rekisteröityjen saavutettavaksi. |
| Lainmukaisuus |
Kaikkien henkilötietojen käsittelylle on henkilötietoryhmittäin määritelty käsittelyn oikeusperuste. Ne on kuvattu tietovirtakuvauksissa ja informoitu rekisteröidyille tietosuojaselosteilla. |
| Kohtuullisuus |
Organisaatio on suunnitellut ja toteuttanut käsittelytoimet siten, että henkilötietoja ei käsitellä rekisteröidyn kannalta perusteettoman haitallisella, syrjivällä, odottamattomalla tai harhaanjohtavalla tavalla. Rekisteröidyille on taattu riittävä itsemääräämisoikeus sekä mahdollistettu vuorovaikutus rekisteriäpitävän organisaation tietosuojayhteyspisteen kautta. Tämä yhteyspiste on informoitu rekisteröidyille tietosuojaselosteilla. |
Rekisteröidyn oikeudet ja niiden toteutuminen
| Vaatimus | Toteutus |
| Oikeus saada tietoa henkilötietojen käsittelystä |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. |
| Oikeus saada tutustua tietoihin |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. |
| Oikeus oikaista tietoja |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. |
| Oikeus poistaa tiedot ja tulla unohdetuksi |
Oikeus on informoitu organisaation tietosuojaselosteissa. Oikeuden toteutumisen helpottamiseksi organisaatio on kuvannut tietovirtakuvaukissa ne järjestelmät, joissa kunkin rekisterin tietoja käsitellään. |
| Oikeus rajoittaa tietojen käsittelyä |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. |
| Oikeus siirtää tiedot järjestelmästä toiseen |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. Tätä oikeutta voi rekisteröity käyttää vain jos tietojen käsittelyperusteena on suostumus tai sopimus. |
| Oikeus vastustaa tietojen käsittelyä |
Oikeus on informoitu organisaation tietosuojaselosteissayhteyspisteineen oikeuden toteuttamiseksi. |
| Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi |
Oikeus on informoitu organisaation tietosuojaselosteissa yhteyspisteineen oikeuden toteuttamiseksi. |
Henkilötietoja käsittelevien toimittajien hallinta
| Toimenpide | Toteutus |
| Sopimus henkilötietojen käsittelystä (DPA) |
Toimittajien sopimustilanteen hallinta on toteutettu Easy GDPR -palvelun "palveluntarjoajat" osiossa ja sopimustilanteet arvioidaan säännöllisesti. |
| Rekisterinpitäjän ohjeistus henkilötietojen käsittelijöille |
Samaisessa palveluntarjoajat-osiossa hallitaan myös ohjeistusten tilanne. |
| Toimittajien säännöllinen arviointi |
Henkilötietoja käsittelevien alihankkijoiden ja toimittajien tilan arviointi on kirjattu tietosuojasuunnitelman vuosikelloon. |
Yleiset tietoturvatoimenpiteet
| Toimenpide | Toteutus |
| Henkilöstön osaaminen |
Henkilöstön tietoturvaosaamisesta huolehditaan koulutuksella ja se on yksi tietosuojasuunnitelman vuosikelloon määritellyistä toimenpiteistä. |
| Ohjeistukset |
Organisaatiolla on käytössään tietoturvapolitiikka sekä erityisohjeita laadukkaan kyberkyvykkyyden ylläpitämiseksi. |
| Järjestelmien turvallisuus |
Käytettävät järjestelmät pidetään ajan tasalla ja toimihenkilöiden päätelaitteissa on asianmukaiset turvaohjelmistot. |
| Tietojen tallennuspolitiikka |
Henkilötietoja tai kriittistä liiketoimintatietoa käsitellään asiankuuluvalla huolellisuudella, joka on osa toimihenkilökohtaista osaamista. |
| Lokitus |
Tapahtumia lokitetaan siellä, missä järjestelmät sen mahdollistavat tai laki sitä vaatii. |
Organisaatio henkilötietojen käsittelijänä
| Vaatimus | Toteutus |
|
Organisatoriset ja tekniset suojaustoimet
|
Henkilötietoja käsittelevä henkilöstö on ohjeistettu tilaajan antamalla ohjeistuksella. Tietosuojaosaamista ylläpidetään säännöllisillä tietosuojakatsauksilla. |
|
Organisaation toteuttamat lain vaatimuksiin perustuvat henkilötietojen käsittelytoimet ja niihin liittyvä dokumentaatio ovat kokonaisuudessaan todennettavissa Easy GDPR-palvelussa. |
|
|
Osoitusvelvollisuuden periaatteiden toteutuminen
|
Organisaatio on toteuttanut riittävät tekniset ja organisatoriset suojaustoimet ja sisällyttänyt ne osaksi käsittelyä. Näin käsittely vastaa vaatimuksia ja rekisteröityjen oikeuksia ja vapauksia suojellaan. |
|
Sopimus henkilötietojen käsittelystä (DPA)
|
Organisaatio on tehnyt toimeksiantoon liittyvät lainmukaiset sopimukset rekisterinpitäjän kanssa. |
|
Rekisterinpitäjän ohjeistus henkilötietojen käsittelijälle |
Organisaatio käsittelee tietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti. |
| Alihankkijat |
Henkilötietojen käsittelijä on informoinut läpinäkyvästi muista henkilötietoja käsittelevistä toimijoista ja huolehtii, että ne käsittelevät tietoja samalla huolellisuudella kuin organisaatio itse. |
| Tietojen siirto |
Organisaatio ei siirrä tietoja kolmansille osapuolille ilman rekisterinpitäjän nimenomaista lupaa. |
| Pääsyoikeudet |
Käsitellessään henkilötietoja rekisterinpitäjän lukuun organisaatio huolehtii siitä, että tietoja käsittelevät vain sellaiset henkilöt, joilla on oikeus käsitellä niitä. |
| Tietoturva |
Organisaatio on toteuttanut riittävät tietoturva-toimenpiteet, joiden riittävyyden arviointi on sisällytetty tietosuojahallinnon vuosikelloon. |
