Käytännesäännöt - SecMeter

Sisältöön

Käytännesäännöt

Yritysturvallisuus > Tietosuoja
Tietosuoja-asetuksen 40 artiklan mukaan yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä, voivat tietosuoja-asetuksen säännösten soveltamisen täsmentämiseksi laatia käytännesääntöjä tai muuttaa tai laajentaa niitä.

Käytännesääntöihin on sisällytettävä mekanismit, joiden avulla toimivaltaisen valvontaviranomaisen akkreditoima elin voi velvoitteen mukaisesti valvoa, että käytännesääntöjä soveltavat rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat niitä.

Käytännesääntöjen luonnos, muutos tai laajennus on toimitettava valvontaviranomaiselle. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tietosuoja-asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

Käytännesäännöt on henkilötietolaissa (HetiL 42 §) määritelty käsite, jonka mukaan rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä henkilötietolain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi.

Käytännesääntöjä

  • Käytä ja käsittele tietosuoja-aineistoa vain omien työtehtäviesi hoidossa.
  • Muista, että tietosuoja-aineistoa ei saa tarpeettomasti tallentaa henkilörekistereistä työasemalle tai palvelimelle.
  • Säilytä tietosuoja-aineistoa ulkopuolisilta suojatussa paikassa aina kun olet pois työpaikalta.
  • Huolehdi, ettei kukaan näe tietokoneen näyttöruudulla olevaa tietoa.
  • Vältä turhaa tulostamista ja kopiointia.
  • Nouda tulosteesi verkkotulostimesta välittömästi tulostuksen jälkeen.
  • Käytä tietosuoja-aineiston tuhoamiseen asianmukaisia silppureita ja lukittuja tietoturva-aineiston keräysastioita.
  • Mikäli joudut lähettämään tietosuoja-aineistoa ulos, varmistu, että vastaanottaja on oikeutettu saamaan tiedot ja lähetys on mennyt perille.
  • Käyttäjänä vastaat oman henkilökohtaisen käyttäjätunnuksesi käytöstä.
  • Kirjaudu palveluihin aina omilla käyttäjätunnuksillasi.
  • Käsittele käyttäjätunnusta ja salasanaa samalla tavalla kuin pankkikorttiasi ja tunnuslukuasi.
  • Estä asiaton pääsy tietojärjestelmiin lukitsemalla koneesi aina, kun poistut työpisteestäsi.
  • Muista, että tietosuoja-aineistoa ei voida käsitellä turvallisesti etätyönä.
  • Rekisterinpitäjän on pistokokein valvottava, että henkilötietojen käsittely on lainmukaista ja tietoja käsitellään vain työtehtäviin liittyvistä syistä.

Käytännesäännöt käytettäessä henkilörekistereitä koulutustarkoituksiin
Henkilötietolaissa säännellään henkilötietojen käsittelyn yleiset edellytykset ja velvoitteet, joita on aina noudatettava henkilötietoja käsiteltäessä. Koulutus ei ole sellainen käyttötarkoitus, johon henkilörekisteriin sisältyviä tietoja saa ilman tarpeellisuusharkintaa käyttää.

Mikäli koulutus on mahdollista toteuttaa ilman, että siinä käytetään tunnistetietoja, tulee koulutus näin toteuttaa.
Muutoin henkilörekisterien käyttö koulutukseen loukkaa henkilötietolain 9 §:n tarpeellisuusvaatimusta, tietojen suojaamisvelvoitetta ja tietojen käsittelyn huolellisuusvelvoitetta.

Mikäli koulutustavoitteen kannalta on ehdottoman välttämätöntä käsitellä (näyttää tilaisuudessa) henkilötietoja, eikä niitä ole mahdollista piilottaa, tulee koulutustilaisuuden järjestäjän varmistaa, että käsiteltävät tapaukset eivät liity koulutukseen osallistuvien henkilöiden lähipiiriin, yrityksen sisäpiiriin tai julkisuuden henkilöiden tietoihin.

Koulutukseen ei saa osallistua ulkopuolisia henkilöitä, jotka eivät käytä koulutuksen kohteena olevaa järjestelmää.
Koulutuksen järjestäjän on pidettävä luetteloa siitä, kenelle koulutusta on annettu ja mikä on ollut koulutuksen tarkoitus.

Koulutuksen yhteydessä on erityisesti varmistuttava salassapitovaatimusten täyttymisestä.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön