Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

--- fi:gdpr [2018/04/19 09:35] – luotu samuli
+++ fi:gdpr [2018/04/20 13:37] (nykyinen) – samuli
@@ Rivi 3: / Rivi 3: @@
 ==== Yleistä ===
-EU:n tietosuoja-asetus (GDPR) astuu voimaan toukokuun lopulla 2018. Asetuksen tavoite on tuoda läpinäkyvyyttä yritysten ja organisaatioiden henkilötietojen käsittelyyn. Asetuksen mukaan kaikilla yksityishenkilöillä on oikeus tietää, miten hänen henkilötietojaan, kuten nimi, osoite, sähköposti, syntymäaika tai terveystiedot, käsitellään organisaatioissa.
+EU:n tietosuoja-asetus (GDPR) astuu voimaan toukokuun 25.5.2018. Asetuksen tavoite on tuoda läpinäkyvyyttä yritysten ja organisaatioiden henkilötietojen käsittelyyn. Asetuksen mukaan kaikilla yksityishenkilöillä on oikeus tietää, miten hänen henkilötietojaan, kuten nimi, osoite, sähköposti, syntymäaika tai terveystiedot, käsitellään organisaatioissa.
-Se tarkoittaa, että henkilötietoja säilyttävien yritysten ja yhteisöjen täytyy jatkossa pystyä seuraamaan muun muassa, missä kaikkialla henkilötietoja säilytetään, mihin niitä käytetään ja kuka niitä on katsellut. Lisäksi jokaisen organisaation on tarjottava yksityishenkilöille mahdollisuus pyytää selvitystä ja pyynnön saavuttua myös toimitettava tarkka selvitys henkilötietojen käsittelystä.
+Se tarkoittaa, että henkilötietoja säilyttävien yritysten ja yhteisöjen täytyy jatkossa pystyä seuraamaan muun muassa, missä kaikkialla henkilötietoja säilytetään, mihin niitä käytetään ja kuka niitä on katsellut. Lisäksi jokaisen organisaation on annettava yksityishenkilölle, hänen sitä pyytäessä, tarkka selvitys henkilötietojen käsittelystä.
+==== Rekisterinpitäjän vastuu ===
+Jokainen organisaatio, jolla on henkilötietorekisteri, toimii sen osalta rekisterinpitäjänä. Rekisterinpitäjällä on siis aina vastuu tietosuoja-asetuksen noudattamisesta. Helpottaaksemme rekisterinpitäjän vastuuta toteuttaa rekisteröidyn oikeuksia, Directo ohjelmistotalona auttaa siinä, että asetuksen mukaiset asiat on mahdollista tarkistaa meidän ohjelmistostamme.
 ==== Roolit ===
-Jokainen organisaatio, jolla on henkilötietorekisteri, toimii sen osalta rekisterinpitäjänä. Rekisterinpitäjällä on siis aina vastuu tietosuoja-asetuksen noudattamisesta. Helpottaaksemme rekisterinpitäjän vastuuta toteuttaa rekisteröidyn oikeuksia, Directo henkilötietojen käsittelijänä toimivana ohjelmistotalona auttaa siinä, että asiat on mahdollisimman helppo tarkistaa meidän ohjelmistomme.
+  * Rekisterinpitäjä (data controller) Henkilötietorekisteristä vastaa rekisterinpitäjä, joka voi olla yritys, viranomainen, yhdistys, laitos tai säätiö. Rekisterinpitäjä on juridisessa vastuussa rekisteristä, määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu. Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot.
+  * Henkilötietojen käsittelijä (data processor) Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Esimerkiksi digitaalisten palveluiden toimittajat käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa. Verkkokauppoihin ja kirjautumista vaativiin palveluihin syntyy väistämättä henkilötietorekisteri.
-  - Data Controller ehk andmete töötleja. Sellesse rolli võib sattuda Directot kasutav ettevõte, juhul kui kogutakse eraisikute andmeid. Directo universaalsest arhitektuurist tulenevalt on teoreetiliselt võimalik regulatsioonile alluvaid andmeid salvestada suvalisse süsteemi osasse ja seetõttu peab andmete töötleja olema kindel, et ta tegutseb reeglite kohaselt.
+  * Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö.
-  - Data Processor ehk andmete säilitaja. Selles rollis on Directo poolt valitud kesksüsteemiteenuse pakkuja ehk Telia Eesti AS. Andmete säilitamise juures tuleb järgida erinevaid füüsilise ja protseduurilise kaitse reegleid.
-==== Andmete töötlemine ===
-  * Andmete töötlemine saab toimuda ainult andmete omaniku dokumenteeritud nõusolekul, välja arvatud juhul, kui töötlemise kohustus tuleneb mõnest muust õigusaktist. Nõusolekut kinnitav dokument peab olema taasesitatav. Juhul, kui andmete töötlemiseks kasutatakse Directot, soovitame me nõusoleku dokumente samuti hoida Directos. Näide: eraisik soovib liituda püsikliendiprogrammiga ja allkirjastab vastava avalduse, mille raames annab ta nõusoleku oma andmete töötlemiseks. Allkirjastatud dokument lisatakse Directosse kliendikaardi manuseks. Juhul, kui tekib küsimus, miks on antud isiku andmeid töötlema asutud, on nõusolek andmekirjega 1:1 seotud.
-  * Andmete omanikul on õigus esitada küsimus, kes ja millal on tema andmeid töödelnud. Kõikidest toimingutest, mis Directos tehakse, jääb maha kasutuslogi, mida säilitatakse igavesti. Vastava aruande abil saab tulevikus vastata küsimustele, KES, MILLAL ja KUST on andmeid vaadanud või muutnud. See viimane, ehk KUST (IP aadress) võib osutuda oluliseks juhul, kui andmeid töödeldakse väljaspool EU-d
-  * Andmete omanikul on õigus esitada nõudmine oma andmete töötlemine lõpetada. Sellisel puhul tuleb andmed töötleja valdusest kõrvaldada, välja arvatud juhul, kui nende (osaline) säilitamine on reguleeritud mõne muu õigusaktiga. Näide. Eraisikust klient, kes on aastaid ettevõttelt teenuseid ostnud, nõuab oma andmete töötlemise lõpetamist. Directos kustutatakse sellisel puhul kliendi kaart, mille puhul Directo nõuab mingit asenduskoodi. Oletame, et selleks on 1111 Klient. Pärast kliendi kustutamist ei ole Directos enam eraisikust kliendi kirjet ega ole ükski temaga seotud toiming enam isikuliselt tuvastatav. AGA - Raamatupidamisseaduse nõuetest tulenevalt peavad olema raamatupidamise algdokumendid säilitatud taasesitamist võimaldaval kujul, mis tähendab, et näiteks kliendile esitatud arve pealt tema nime eemaldada ei tohi.
-  * Oluline on tähele panna, et andmete töötlemise vajadus võib tekkida ka muus olukorras kui eraisikust klienti teenindades. Näiteks kui ettevõte kasutab Directot selleks, et töötajale töötasu arvestada, on tegemist andmete töötlemisega ja selleks on vaja andmete omaniku nõusoleku kinnitust.
-  * Eraldi tasub hinnata riske, mis võivad kaasneda sellega, et Directot kasutav isik salvestab andmeid lokaalselt mingeid sõltumatuid vahendeid kasutades. Näide: Directo kasutaja XXX vaatab ettevõtte eraisikust kliendi kaarti Directos. Logis on vastav kirje. Ekraanil avatud kliendi andmetest võtab töötaja Copy-Paste meetodil isiku koduse aadressi ja salvestab selle oma arvutis olevasse Exceli faili. Sellise toimingu kohta ei ole kuskil ühtegi kirjet ja ei saagi olla, aga andmete töötlemine on laienenud väljapoole Directot. Selliste riskide tähtsus suureneb juhul, kui Directot kasutav isik asub väljaspool EU piire.
-==== Andmete säilitamine ====
+==== Henkilötietojen käsittely===
-  * Directo kasutamise käigus tekkivaid andmeid (mis võivad, aga ei pruugi sisaldada isikuandmeid) hoitakse Telia Eesti AS andmekeskustes.
+  * Käsittely voi tapahtua ainoastaan, kun on saatu rekisteröidyn itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn. Tämä suostumus pitää olla rekisterinpitäjällä dokumentoituna, paitsi jos käsittely on tarpeen muiden säädösten tai lakien perusteella, esim. viranomaisrekisterit. Suostumus voidaan liittää esim. tiedostona Directon asiakaskortille.
-  * Andmete, sh nendest koostatud varukoopiate säilitamise asukoht on Tallinn, Eesti Vabariik
+  * Rekisteröidyllä yksityishenkilöllä on oikeus tietää mitä tietoa hänestä on rekisteröity, mihin, miten ja keiden toimesta tietoja on käytetty. Directon käyttäjäloki on muutettu loputtomaksi ja sieltä löytyy nyt tiedot, joilla voidaan vastata edellä mainittuihin kysymyksiin.
-  * Andmete säilitamise eest vastutavate isikute töökohustuste täitmise asukoht on Tallinn, Eesti Vabariik
+  * Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista rekisteristä. Tässä tapauksessa rekisterinpitäjän on poistettava tiedot, paitsi silloin, kun niiden (osittainen) säilyttäminen säädetään toisessa laissa. Directossa asiakas voidaan poistaa, ja tässä yhteydessä asiakkaan tiedot annetaan uudelle asiakkaalle, joka voi olla anonyymi. Näin asiakkaan henkilötiedot poistuvat asiakasrekisteristä, eikä niitä enää ole Directossa asetuksen henkilörekisterimääritelmän mukaisessa muodossa olemassa. Asiakkaan tiedot eivät kuitenkaan poistu tai muutu kirjanpidon perusteena olevista vahvistetuista liiketapahtumista, esim. myyntilaskut.
-  * Telia Eesti AS infoturbe juhtimissüsteem on sertifitseeritud Bureau Veritas poolt ISO 27001 standardi alusel. GDPR seatud andmete säilitamise nõuded on ISO 27001 alamosa
+  * Erikseen kannattaa arvioida ne riskit, jotka voivat liittyä siihen, että käyttäjä vie Directosta ulos tietoja ja tallentaa sen paikallisesti esim. tietokoneensa kovalevylle. Tällaisesta toimenpiteestä ei välttämättä jää mitään tietoja Directoon ja nyt käyttäjä on luonut mahdollisesti uuden henkilörekisterin.
-  * Kuna Directo on 100% pilveteenus, ei hoita kasutaja arvutis mingeid andmeid. See tähendab muuhulgas, et juhul, kui Directot kasutatakse EU kodanike andmete töötlemiseks väljaspool EU piire, ei  hoiustata selle käigus kunagi isikuandmeid väljaspool EU territooriumit.
+==== Tietojen säilyttäminen ====
+  * Directoon tallennettu data, joka saattaa sisältää henkilötietoja, on fyysisesti tallennettu Telia Eesti AS palvelinkeskukseen, joka sijaitsee EU:ssa Tallinnassa Virossa.
+  * Varmuuskopiot sijaitsevat EU:ssa Tallinnassa Virossa.
+  * Varmuuskopioista vastuulliset henkilöt asuvat EU:ssa Tallinnassa Virossa.
+  * Directon käyttämän palvelinkeskuksen Telia Eesti AS:n toiminta on sertifioitu Bureau Veritaksen toimesta ISO 27001 standardin mukaisesti. GDPR:n vaatimukset ovat yhteneviä ISO 27001 standardin kanssa.
+  * Koska Directo on 100% pilvipalveluna toteutettu, niin käyttäjän omalle koneelle ei tallenneta Directon toimesta mitään tietoja.