Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

A.8.2.3
ISO 27701

ISO 27701

Muita saman teeman digiturvatehtäviä

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Critical
High
Normal
Low

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot
6. Käsittelyn lainmukaisuus
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO27 Täysi
30. Seloste käsittelytoimista
GDPR
A.7.2.2: Identify lawful basis
ISO 27701
A.7.2.8: Records related to processing PII
ISO 27701

Seloste käsittelytoimista -raportin julkaisu ja ylläpito

Critical
High
Normal
Low

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.

Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:

  • organisaatiossa on yli 250 työntekijää
  • henkilötietojen käsittely ei ole satunnaista
  • henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille
  • käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja

Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.

Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.

30. Seloste käsittelytoimista
GDPR
A.7.2.8: Records related to processing PII
ISO 27701
TSU-01: Käsiteltävien henkilötietojen tunnistaminen
Julkri
TSU-21: Seloste käsittelytoimista
Julkri
61: Seloste käsittelytoiminnasta
Kokonaiskuva (DVV)

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO27 Täysi
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
11.2.8: Ilman valvontaa jäävät laitteet
ISO27 Täysi

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin
5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
6. Käsittelyn lainmukaisuus
GDPR
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO27 Täysi
6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Omavalvonta

Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille

Critical
High
Normal
Low

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

  • Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
  • Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
  • Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

7. Suostumuksen edellytykset
GDPR
17. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
GDPR
A.7.2.3: Determine when and how consent is to be obtained
ISO 27701
A.7.2.4: Obtain and record consent
ISO 27701
A.7.3.4: Providing mechanism to modify or withdraw consent
ISO 27701

Tasapainotestien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

6. Käsittelyn lainmukaisuus
GDPR
21. Vastustamisoikeus
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO27 Täysi
TSU-07: Käsittelyn lainmukaisuus
Julkri

Säilytysaikojen määrittäminen ja dokumentointi tietoaineistoille

Critical
High
Normal
Low

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

  • tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
  • luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
  • sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
  • vahingonkorvausoikeudelliset vanhentumisajat
  • rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

21 §: Tietoaineistojen säilytystarpeen määrittäminen
TiHL
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
18.1.3: Tallenteiden suojaaminen
ISO27 Täysi
PR.IP-6: Data destruction
NIST
A.7.4.2: Limit processing
ISO 27701

Vaikutustenarviointien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

35. Tietosuojaa koskeva vaikutustenarviointi
GDPR
36. Ennakkokuuleminen
GDPR
A.7.2.5: Privacy impact assessment
ISO 27701
TSU-16: Tietosuojariskien hallinta
Julkri
TSU-17 : Tietosuojan vaikutustenarviointi
Julkri

Ilmoittaminen lakeja tai viranomaisvaatimuksia rikkovista käsittelyohjeista

Critical
High
Normal
Low

Organisaation vastuulla on ilmoittaa asiakkaalle, jos käsittelyohjeet vaikuttavat rikkovan lakeja tai viranomaisvaatimuiksia.

A.8.2.4: Infringing instruction
ISO 27701

Asiakkaan puolesta käsiteltävien henkilötietojen käsittelyn rajaaminen

Critical
High
Normal
Low

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

A.8.2.2: Organization's purposes
ISO 27701

Sopimusperusteisesti käsiteltävien henkilötietojen rajoitukset markkinoinnissa ja mainostamisessa

Critical
High
Normal
Low

Organisaation tulisi varmistaa, että sopimusperusteisesti käsiteltyjä henkilötietoja ei käytetä markkinointiin tai mainostamiseen ellei siihen ole etukäteissuostumusta rekisteröidyltä.

Suostumusta markkinointiin ja mainostamiseen ei voi käyttää ehtona palvelun saamiselle.

A.8.2.3: Marketing and advertising use
ISO 27701

Suostumuksen edellytysten tarkastaminen

Critical
High
Normal
Low

Organisaation on säännöllisesti katselmoitava läpi tapansa suostumusten keräämiseen rekisteröidyiltä, jotta varmistetaan suostumuksen olevan yksiselitteinen ja täsmällinen.

A.7.2.4: Obtain and record consent
ISO 27701
P2.1: Communication of choices about personal information to data subjects
SOC 2

Prosessi turvalliseen väliaikaisten tiedostojen ja tietojen tuhoamiseen tietojärjestelmistä

Critical
High
Normal
Low

Jokainen tietojärjestelmä voi luoda väliaikaisia tiedostoja normaalin toimintansa aikana. Näitä voivat olla esimerkiksi palautuspäiväkirjat tai päivityksiin liittyvät väliaikaiset tiedostot.

Organisaatiolla tulee olla dokumentoitu tietty ajanjakso ja prosessi, kuinka väliaikaiset tiedostot ja asiakirjat tulee tuhota. Organisaation tulisi myös määritellä menettelyt asiaankuuluvien tiedostojen tunnistamiseksi, jotka ovat väliaikaisia ja joita tietojärjestelmä ei enää käytä mihinkään toimintoon.

Henkilötietojen käsittelyyn käytettävissä tietojärjestelmissä tulee olla säännöllinen tarkistusprosessi käyttämättömien väliaikaisten tietojen tunnistamiseksi hävitettäväksi.

A.5: Data minimization
ISO 27018
A.5.1: Secure erasure of temporary files
ISO 27018
A.8.4.1: Temprorary files
ISO 27701

Asianmukaisen suostumuksen hankkiminen asiakkaiden omistamien tietojen mahdollisiin kaupallisiin tarkoituksiin

Critical
High
Normal
Low

Sopimuksen nojalla käsiteltyjä henkilötietoja, esimerkiksi pilvipalvelua asiakkaille tarjottaessa, ei saa käyttää markkinointi- tai mainontatarkoituksiin ilman tietoja hallitsevan asiakkaan selkeää suostumusta.

Tätä suostumusta ei voi esimerkiksi vaatia tarjotun pilvipalvelun käytön edellytyksenä.

Tämä vaatimus on linjassa yleisten henkilötietojen käsittelyä koskevien vaatimusten kanssa, joissa kaikella henkilötietojen käsittelyllä on oltava selkeä oikeusperusta. Mahdolliset käsittelyt on dokumentoitava normaalisti.

A.3.2: Public cloud PII processor's commercial use
ISO 27018

Käsiteltyjen, asiakkaiden omistamien tietojen käyttötarkoituksen rajoittaminen tarjotuissa pilvipalveluissa

Critical
High
Normal
Low

Tarjottujen pilvipalveluiden sopimuksen perusteella käsiteltäviä henkilötietoja ei voida käsitellä mihinkään muuhun tarkoitukseen tai poiketen asiakkaan ohjeista.

Asiakkaan ohjeet tietojen käsittelijälle voivat sisältyä pilvipalvelun tarjoajan ja asiakkaan väliseen sopimukseen, joka sisältää esimerkiksi palvelun tarkoituksen ja todennäköisen aikataulun.

A.3.1: Public cloud PII processor’s purpose
ISO 27018

Nimenomaisten suostumusten kerääminen ja dokumentointi

Critical
High
Normal
Low

Organisaatio on tunnistanut henkilötietojen käyttötarkoitukset, joissa käsittelyn oikeusperusteeksi vaaditaan nimenomainen suostumus. Lisäksi organisaatio on määritellyt tavat saatujen nimenomaisten suostumusten dokumentointiin.

Nimenomaisuudella viitataan sen tavan yksiselitteisyyteen, jolla rekisteröity ilmaisee suostumuksensa. Tällainen suostumus voidaan antaa esim. lausuman perinteisellä allekirjoituksella, sähköisellä allekirjoituksella tai kaksivaiheisen tunnistautumisen jälkeisellä kuittauksella.

Nimenomaista tunnistautumista vaativia tilanteita voivat olla mm.

  • Erityisiä henkilötietoja (esim. terveystiedot) koskeva käsittely
  • Tietojen siirtämien kolmansiin maihin (kun muita GDPR:n mukaisia siirtoperusteita ei voida noudattaa)
  • Automaattinen päätöksenteko tai profilointi
P3.2: Additional measures when processing requires explicit consent
SOC 2

Lapsen henkilötietojen käsittely tietoyhteiskunnan palvelujen tarjoamisen yhteydessä suostumukseen perustuen

Critical
High
Normal
Low

Mikäli organisaatiomme tarjoaa tietoyhteiskunnan palveluja suoraan lapselle, henkilötietojen käsittely on lainmukaista toteuttaa suostumukseen perustuen, jos lapsi on vähintään 16-vuotias.

Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Organisaatiomme on määritellyt relevantit tilanteet sekä niihin sovellettavat toimintatavat, joilla varmistetaan suostumuksen kerääminen tarvittaessa lapsen vanhemmilta.

8. Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot
GDPR

Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely

Critical
High
Normal
Low

Tiedostamme, liittyykö henkilötietojen käsittelyyn rikostuomioihin ja rikkomuksiin liittyviä tietoja.

Mikäli käsittelemme rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, suoritamme käsittelyä joko viranomaisen valvonnassa tai käsittelyn on oltava sallittu unionin oikeudessa / jäsenvaltion lainsäädännössä, jossa säädettyjen asianmukaisisten suojatoimien toteuttamisesta rekisteröidyn oikeuksien ja vapauksien suojelemiseksi huolehdimme.

10. Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely
GDPR
TSU-01.1: Käsiteltävien henkilötietojen tunnistaminen - Erityiset henkilötietoryhmät tai rikostuomioihin ja rikoksiin liittyvät tiedot
Julkri
TSU-07.4: Käsittelyn lainmukaisuus - Rikostuomioihin ja rikoksiin liittyvät henkilötiedot
Julkri

Käsittelyn lainmukaisuuden säännöllinen itsearviointi

Critical
High
Normal
Low

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

6. Käsittelyn lainmukaisuus
GDPR
9. Erityisiä henkilötietoryhmiä koskeva käsittely
GDPR
TSU-07: Käsittelyn lainmukaisuus
Julkri
TSU-07.3: Käsittelyn lainmukaisuus - Erityiset henkilötietoryhmät
Julkri

Tietosuojaan liittyvät käytännesäännöt ja sertifikaatit

Critical
High
Normal
Low

Tietosuoja-asetus kannustaa ottamaan käyttöön erilaisia yleisiä käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä erityisesti Euroopan Unionin tasolla.

Näiden kaikkien ideana on osoittaa, että käsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja tietosuoja-asetuksen vaatimuksia. Euroopan tietosuojaneuvosto tulee kokoamaan kaikki saataville tulevat sertifiointimekanismit julkisesti nähtäville.

32. Käsittelyn turvallisuus
GDPR
TSU-15: Osoitusvelvollisuus
Julkri

Tietotilinpäätösprosessi

Critical
High
Normal
Low

Tietotilinpäätös on organisaatoin laatima, melko ylätasoinen vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation henkilötietojen käsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Automatisoidun päätöksenteon lisävaatimusten käsittely

Critical
High
Normal
Low

Organisaation tulisi tunnistaa rekisteröityjä koskevat lakisääteiset velvoitteet liittyen rekisteröityjä koskeviin päätöksiin, jotka perustuvat automatisoituun käsittelyyn (esim. automasoidusta päätöksenteosta ilmoittaminen rekisteröidylle) ja varmistaa näiden vaatimusten täyttyminen omassa toiminnassaan.

A.7.3.10: Automated decision making
ISO 27701
TSU-20: Automatisoidut yksittäispäätökset
Julkri

Tietovarantojen omistajien nimeäminen

Critical
High
Normal
Low

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

  • varmistaa omaisuuden dokumentointi
  • varmistaa omaisuuden asianmukainen suojaus
  • varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
  • varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
14. Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä
GDPR
32. Käsittelyn turvallisuus
GDPR
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
13. Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä
GDPR