Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Both sides previous revision Edellinen revisio Seuraava revisio | Edellinen revisio Seuraava revisio Both sides next revision | ||
fi:gdpr [2018/04/19 15:13] samuli |
fi:gdpr [2018/04/20 10:36] samuli |
||
---|---|---|---|
Rivi 3: | Rivi 3: | ||
==== Yleistä === | ==== Yleistä === | ||
- | EU:n tietosuoja-asetus (GDPR) astuu voimaan toukokuun lopulla 2018. Asetuksen tavoite on tuoda läpinäkyvyyttä yritysten ja organisaatioiden henkilötietojen käsittelyyn. Asetuksen mukaan kaikilla yksityishenkilöillä on oikeus tietää, miten hänen henkilötietojaan, kuten nimi, osoite, sähköposti, syntymäaika tai terveystiedot, käsitellään organisaatioissa. | + | EU:n tietosuoja-asetus (GDPR) astuu voimaan toukokuun 25.5.2018. Asetuksen tavoite on tuoda läpinäkyvyyttä yritysten ja organisaatioiden henkilötietojen käsittelyyn. Asetuksen mukaan kaikilla yksityishenkilöillä on oikeus tietää, miten hänen henkilötietojaan, kuten nimi, osoite, sähköposti, syntymäaika tai terveystiedot, käsitellään organisaatioissa. |
- | Se tarkoittaa, että henkilötietoja säilyttävien yritysten ja yhteisöjen täytyy jatkossa pystyä seuraamaan muun muassa, missä kaikkialla henkilötietoja säilytetään, mihin niitä käytetään ja kuka niitä on katsellut. Lisäksi jokaisen organisaation on tarjottava yksityishenkilöille mahdollisuus pyytää selvitystä ja pyynnön saavuttua myös toimitettava tarkka selvitys henkilötietojen käsittelystä. | + | Se tarkoittaa, että henkilötietoja säilyttävien yritysten ja yhteisöjen täytyy jatkossa pystyä seuraamaan muun muassa, missä kaikkialla henkilötietoja säilytetään, mihin niitä käytetään ja kuka niitä on katsellut. Lisäksi jokaisen organisaation on annettava yksityishenkilölle, hänen sitä pyytäessä, tarkka selvitys henkilötietojen käsittelystä. |
==== Rekisterinpitäjän vastuu === | ==== Rekisterinpitäjän vastuu === | ||
- | Jokainen organisaatio, jolla on henkilötietorekisteri, toimii sen osalta rekisterinpitäjänä. Rekisterinpitäjällä on siis aina vastuu tietosuoja-asetuksen noudattamisesta. Helpottaaksemme rekisterinpitäjän vastuuta toteuttaa rekisteröidyn oikeuksia, Directo henkilötietojen käsittelijänä toimivana ohjelmistotalona auttaa siinä, että asiat on mahdollista tarkistaa meidän ohjelmistomme. | + | Jokainen organisaatio, jolla on henkilötietorekisteri, toimii sen osalta rekisterinpitäjänä. Rekisterinpitäjällä on siis aina vastuu tietosuoja-asetuksen noudattamisesta. Helpottaaksemme rekisterinpitäjän vastuuta toteuttaa rekisteröidyn oikeuksia, Directo henkilötietojen käsittelijänä toimivana ohjelmistotalona auttaa siinä, että asiat on mahdollista tarkistaa meidän ohjelmistostamme. |
==== Roolit === | ==== Roolit === | ||
- | - Data Controller ehk andmete töötleja. Sellesse rolli võib sattuda Directot kasutav ettevõte, juhul kui kogutakse eraisikute andmeid. Directo universaalsest arhitektuurist tulenevalt on teoreetiliselt võimalik regulatsioonile alluvaid andmeid salvestada suvalisse süsteemi osasse ja seetõttu peab andmete töötleja olema kindel, et ta tegutseb reeglite kohaselt. | + | * Rekisterinpitäjä (data controller) Henkilötietorekisteristä vastaa rekisterinpitäjä, joka voi olla yritys, viranomainen, yhdistys, laitos tai säätiö. Rekisterinpitäjä on juridisessa vastuussa rekisteristä, määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu. Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot. |
- | - Data Processor ehk andmete säilitaja. Selles rollis on Directo poolt valitud kesksüsteemiteenuse pakkuja ehk Telia Eesti AS. Andmete säilitamise juures tuleb järgida erinevaid füüsilise ja protseduurilise kaitse reegleid. | + | * Henkilötietojen käsittelijä (data processor) Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Esimerkiksi digitaalisten palveluiden toimittajat käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa. Verkkokauppoihin ja kirjautumista vaativiin palveluihin syntyy väistämättä henkilötietorekisteri. |
+ | * Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö. | ||
- | ==== Andmete töötlemine === | + | ==== Henkilötietojen käsittely=== |
- | * Andmete töötlemine saab toimuda ainult andmete omaniku dokumenteeritud nõusolekul, välja arvatud juhul, kui töötlemise kohustus tuleneb mõnest muust õigusaktist. Nõusolekut kinnitav dokument peab olema taasesitatav. Juhul, kui andmete töötlemiseks kasutatakse Directot, soovitame me nõusoleku dokumente samuti hoida Directos. Näide: eraisik soovib liituda püsikliendiprogrammiga ja allkirjastab vastava avalduse, mille raames annab ta nõusoleku oma andmete töötlemiseks. Allkirjastatud dokument lisatakse Directosse kliendikaardi manuseks. Juhul, kui tekib küsimus, miks on antud isiku andmeid töötlema asutud, on nõusolek andmekirjega 1:1 seotud. | + | * Käsittely voi tapahtua ainoastaan, kun on saatu rekisteröidyn itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn. Tämä suostumus pitää olla rekisterinpitäjällä dokumentoituna, paitsi jos käsittely on tarpeen muiden säädösten tai lakien perusteella, esim. viranomaisrekisterit. Suostumus voidaan liittää esim. tiedostona Directon asiakaskortille. |
- | * Andmete omanikul on õigus esitada küsimus, kes ja millal on tema andmeid töödelnud. Kõikidest toimingutest, mis Directos tehakse, jääb maha kasutuslogi, mida säilitatakse igavesti. Vastava aruande abil saab tulevikus vastata küsimustele, KES, MILLAL ja KUST on andmeid vaadanud või muutnud. See viimane, ehk KUST (IP aadress) võib osutuda oluliseks juhul, kui andmeid töödeldakse väljaspool EU-d | + | * Rekisteröidyllä yksityishenkilöllä on oikeus tietää mitä tietoa hänestä on rekisteröity, mihin, miten ja keiden toimesta tietoja on käytetty. Directon käyttäjäloki on muutettu loputtomaksi ja sieltä löytyy nyt tiedot, joilla voidaan vastata edellä mainittuihin kysymyksiin. |
- | * Andmete omanikul on õigus esitada nõudmine oma andmete töötlemine lõpetada. Sellisel puhul tuleb andmed töötleja valdusest kõrvaldada, välja arvatud juhul, kui nende (osaline) säilitamine on reguleeritud mõne muu õigusaktiga. Näide. Eraisikust klient, kes on aastaid ettevõttelt teenuseid ostnud, nõuab oma andmete töötlemise lõpetamist. Directos kustutatakse sellisel puhul kliendi kaart, mille puhul Directo nõuab mingit asenduskoodi. Oletame, et selleks on 1111 Klient. Pärast kliendi kustutamist ei ole Directos enam eraisikust kliendi kirjet ega ole ükski temaga seotud toiming enam isikuliselt tuvastatav. AGA - Raamatupidamisseaduse nõuetest tulenevalt peavad olema raamatupidamise algdokumendid säilitatud taasesitamist võimaldaval kujul, mis tähendab, et näiteks kliendile esitatud arve pealt tema nime eemaldada ei tohi. | + | * Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista rekisteristä. Tässä tapauksessa rekisterinpitäjän on poistettava tiedot, paitsi silloin, kun niiden (osittainen) säilyttäminen säädetään toisessa laissa. Directossa asiakas voidaan poistaa, ja tässä yhteydessä asiakkaan tiedot annetaan uudelle asiakkaalle, joka voi olla anonyymi. Näin asiakkaan henkilötiedot poistuvat asiakasrekisteristä, eikä niitä enää ole Directossa asetuksen henkilörekisterimääritelmän mukaisessa muodossa olemassa. Asiakkaan tiedot eivät kuitenkaan poistu tai muutu kirjanpidon perusteena olevista vahvistetuista liiketapahtumista, esim. myyntilaskut. |
- | * Oluline on tähele panna, et andmete töötlemise vajadus võib tekkida ka muus olukorras kui eraisikust klienti teenindades. Näiteks kui ettevõte kasutab Directot selleks, et töötajale töötasu arvestada, on tegemist andmete töötlemisega ja selleks on vaja andmete omaniku nõusoleku kinnitust. | + | * Erikseen kannattaa arvioida ne riskit, jotka voivat liittyä siihen, että käyttäjä vie Directosta ulos tietoja ja tallentaa sen paikallisesti esim. tietokoneensa kovalevylle. Esimerkki: Directon käyttäjä tarkistaa yhtiön yksityinen asiakaskortin, jolloin käyttäjälokiin syntyy vastaava merkintä. Nyt on kuitenkin mahdollista, että käyttäjä Leikkaa-Liimaa henkilökohtaisia tietoja asiakaskortilta ja tallentaa ne tietokoneelle. Tällaisesta toimenpiteestä ei jää mitään tietoja Directoon ja nyt käyttäjä on luonut mahdollisesti uuden henkilörekisterin. Tällaisten riskien merkitys kasvaa, jos Directoa käyttää henkilöä EU: n ulkopuolella, koska tietojen siirrosta EU:n ulkopuolelle on aina pyydettävä erillinen lupa. |
- | * Eraldi tasub hinnata riske, mis võivad kaasneda sellega, et Directot kasutav isik salvestab andmeid lokaalselt mingeid sõltumatuid vahendeid kasutades. Näide: Directo kasutaja XXX vaatab ettevõtte eraisikust kliendi kaarti Directos. Logis on vastav kirje. Ekraanil avatud kliendi andmetest võtab töötaja Copy-Paste meetodil isiku koduse aadressi ja salvestab selle oma arvutis olevasse Exceli faili. Sellise toimingu kohta ei ole kuskil ühtegi kirjet ja ei saagi olla, aga andmete töötlemine on laienenud väljapoole Directot. Selliste riskide tähtsus suureneb juhul, kui Directot kasutav isik asub väljaspool EU piire. | + | |
==== Tietojen säilyttäminen ==== | ==== Tietojen säilyttäminen ==== | ||
- | * Directoon tallennettu data, joka saattaa sisältää Henkilötietoja, on fyysisesti tallennettu Telia Eesti AS palvelinkeskukseen Tallinnassa | + | * Directoon tallennettu data, joka saattaa sisältää henkilötietoja, on fyysisesti tallennettu Telia Eesti AS palvelinkeskukseen Tallinnassa. |
- | * varmuuskopiot sijaitsevat Tallinnassa Virossa | + | * Varmuuskopiot sijaitsevat Tallinnassa Virossa. |
- | * varmuuskopioista vastuulliset henkilöt asuvatta Tallinnassa Virostta | + | * Varmuuskopioista vastuulliset henkilöt asuvat Tallinnassa Virossa. |
- | * Telia Eesti AS toiminta on sertifioitu kaikilta osin Bureau Veritaksen toimista ISO 27001 standardin mukaisesti toimivaksi. GDPR:n vaatimukset ovat yhteneviä ISO 27001:n kanssa | + | * Directon käyttämän palvelinkeskuksen Telia Eesti AS:n toiminta on sertifioitu Bureau Veritaksen toimesta ISO 27001 standardin mukaisesti. GDPR:n vaatimukset ovat yhteneviä ISO 27001 standardin kanssa. |
- | * Kuna Directo on 100% pilveteenus, ei hoita kasutaja arvutis mingeid andmeid. See tähendab muuhulgas, et juhul, kui Directot kasutatakse EU kodanike andmete töötlemiseks väljaspool EU piire, ei hoiustata selle käigus kunagi isikuandmeid väljaspool EU territooriumit. | + | * Koska Directo on 100% pilvipalveluna toteutettu, niin käyttäjän omalle koneelle ei tallenneta Directon toimesta mitään tietoja. |