Site Search

Menu

Palvelumme

Menu

Strategia - Strategy&

Menu

Yritysvastuu- ja ESG-palvelut

Katso myös

Asiakastarinat ja referenssit

Ladataan hakutuloksia

Tietosuojapalvelut

Tietosuojan hyvä hallinta luo kilpailukykyä

- 3 items

Vastuullisen tekoälyn hallinta

Lue lisää

Mikä on organisaatiosi tietosuojan taso

Tee testi

Tunnista, milloin käsittelet henkilötietoja

Lue lisää

Tietosuojan hyvä hallinta on yhä tärkeämpää. Teknologian kehitys ja globalisaatio on johtanut runsaaseen sääntelyyn lainsäätäjän ja viranomaisten yrittäessä vastata muuttuneisiin olosuhteisiin. Lisäksi henkilötietojen käsittelyn lainmukaisuus on nykypäivänä erottamaton osa yritystoiminnan eettisyyttä, jonka merkityksen kasvaminen on jo pitkään jatkunut trendi. Panostamalla tietosuojan hyvään hallintaan, yritys voi muuttaa tietosuojaregulaation kilpailuedukseen.

Tarjoamme organisaatiollesi kokonaisvaltaista tietosuoja-asiantuntijapalvelua. Lähestymällä tietosuojaa liiketoimintalähtöisesti vahvistamme yrityksesi brändiä ja asiakkaidesi luottamusta sekä kasvatamme liiketoimintasi arvoa. Asiakkaanamme saat tueksesi laajan osaamisemme, joka ulottuu lakipalveluista riskienhallintaan ja tietoturvaan - tarvittaessa globaalisti.

Kysy lisää asiantuntijoiltamme

Tietosuojapalvelumme

Nykytilan kartoittaminen ja GAP-analyysit

Nykytilan kartoittaminen ja GAP-analyysit

  • Tietosuojan hallinnan nykytilan kartoitus, suositukset ja kehittämisehdotukset
  • Tietosuojaprojektisuunnitelman laatiminen kartoituksen perusteella
  • Tietosuojaprojektin läpivienti
Tietosuojahallintamallin kehittäminen

Tietosuojahallintamallin kehittäminen

  • Hallintamallin kehittäminen ja dokumentointi
  • Vastuiden ja roolien määrittely sekä hallintaprosessien suunnittelu
  • Valvonnan ja seurannan määrittely
  • Mallin jalkauttaminen koko organisaatioonne
Riskianalyysit, mukaan lukien vaikutustenarvioinnit

Riskianalyysit ja vaikutustenarvioinnit

  • Tietosuojariskien tunnistaminen ja hallinta
  • Tietosuojan vaikutustenarvioinnit (DPIA) ja niiden dokumentointi
Henkilötietojen käsittelyn tunnistaminen ja kartoittaminen

Henkilötietojen käsittelyn tunnistaminen ja kartoittaminen

  • Henkilötietoinventaarion toteuttaminen
  • Henkilötietojen käsittelyperusteen valinta
  • Henkilötietojen käsittelytoimien selosteen laatiminen
  • Rekisteröityjen informointi
Tietosuoja-asiakirjojen laatiminen ja kommentointi

Tietosuoja-asiakirjojen laatiminen ja kommentointi

  • Tietosuoja-asiakirjojen ja mallipohjien laatiminen
  • Valmiiden asiakirjojen kommentointi ja kehitysehdotukset
  • Asiakirjojen päivittäminen
Henkilötietojen kansainvälisissä siirroissa avustaminen

Henkilötietojen kansainvälisissä siirroissa avustaminen

  • Kansainvälisten henkilötietojen siirtojen, siirtoperusteiden ja tarvittavien toimenpiteiden kartoittaminen
  • Siirtoihin liittyvät vaikutustenarvioinnit (TIA)
Tietojenkäsittelysopimusten kommentointi ja neuvotteleminen

Tietojenkäsittelysopimusten laatiminen ja neuvotteleminen

  • Sopimusten tietosuojaliitteen laatiminen ja sisällön kommentointi
  • Tietojenkäsittelysopimusten tarpeellisuuden tunnistaminen, laatiminen ja neuvotteleminen
Johdon ja henkilöstön kouluttaminen ja tukeminen

Johdon ja henkilöstön kouluttaminen ja tukeminen

  • Koulutustilaisuuksien ja tietoiskujen järjestäminen johdolle ja eri henkilöstöryhmille
  • Teemakohtaisten koulutusmateriaalien valmisteleminen
Kommunikointi ja yhteistyö viranomaisten kanssa

Kommunikointi ja yhteistyö viranomaisten kanssa

  • Henkilötietojen tietoturvaloukkausten riskien analysointi ja kommunikointi tietosuojaviranomaisille
  • Viranomaisten pyyntöihin vastaaminen
Tietosuojavastaavan tukipalvelut

Tietosuojavastaavan tukipalvelut

  • Tietosuojavastaavaanne tuki kaikissa tietosuojalainsäädännön edellyttämissä operatiivisissa tehtävissä
Operatiivinen tuki ja juridinen neuvonta

Operatiivinen tuki ja muu neuvonta

  • Juridinen ja muu neuvonta yleisen ja toimialakohtaisen tietosuojalainsäädännön soveltamisessa
Tietosuojamittaristojen kehittäminen

Tietosuojamittaristojen kehittäminen

  • Tietosuojamittareiden tunnistaminen, kehittäminen ja käyttöönotto
  • Tietotilinpäätöksen laatiminen

Ajankohtaista tietosuojasta

EU:n datasääntely

Euroopan komission julkistama ehdotus datasäädökseksi (Data Act) on osa EU:n datastrategiaa ja merkittävin sen viidestä lainsäädäntöehdotuksesta. Säädöksen tarkoituksena on lisätä tuotteista ja palveluista peräisin olevan tiedon saatavuutta ja hyötykäyttöä EU:n sisämarkkinoilla. Lisäksi se pyrkii luomaan yhtenäiset säännöt ja tasapuoliset olosuhteet kaikille toimijoille sekä tuleville, sektorikohtaisille datan jakamisen velvoitteille.

Eräs haasteista on nykyisen sääntelyn, kuten EU:n yleisen tietosuoja-asetuksen, yhteensovittaminen uusien ehdotusten kanssa. Haasteena voidaan pitää datan laajaa määritelmää: säädösehdotuksessa data tarkoittaa “kaikkea toimenpiteiden, tosiseikkojen tai tietojen digitaalista esittämistä sekä kaikkia tällaisten toimenpiteiden, tosiseikkojen ja tietojen koosteita“ (2 artikla). Datan jakamisen velvoitteet ovat myös huomattavan laajat. Säädös edellyttää myös, että käyttäjiä on informoitava selvästi oikeuksista, datasta ja sen käytöstä. Käyttäjät voivat olla sekä yksilöitä että organisaatioita.

Dataa tuottavat esimerkiksi verkkoon kytketyt esineet (Internet of Things, IoT), terveydenhuollon laitteet sekä virtuaaliavustajat. IoT-teknologian osalta suurta potentiaalia on nähtävissä erityisesti ajoneuvoissa ja älykkäässä rakentamisessa. Datasäädös velvoittaa yritykset toimittamaan esineiden internetiin kytkeytyneiden IoT-laitteiden tuottamaa dataa käyttäjilleen - sekä yksilöille että yrityksille. Tämä antaisi käyttäjille enemmän valinnanvaraa palveluntarjoajissa ja lisäisi siten kilpailua markkinoilla. Liikesalaisuuksien hallinta ja henkilötietojen käsittely tulevat olemaan keskeisiä haasteita.

Koska käyttäjillä olisi lakisääteinen oikeus vaihtaa pilvipalveluntarjoajaa, näiden palveluiden on oltava teknisesti yhteentoimivia. Komissiolta on myös tulossa malliehtoja datan jakamiseen yritysten välillä perustuen FRAND-ehtoihin (Fair, Reasonable and Non-Discriminatory). FRAND-ehdot liittyvät siihen, että standardoitua teknologiaa patentoinut taho sitoutuu myöntämään lisenssejä kolmansille osapuolille, myös kilpailijoilleen.

Säädöksen arvioidaan astuvan voimaan aikaisintaan vuonna 2024. Paljon yksityiskohtia on kuitenkin vielä avoimina ja millä tavoin ne vaikuttavat käytännössä organisaatioiden toimintaan. Tässä vaiheessa on oiva hetki yrityksessänne varmistaa, miten datan merkitys liiketoiminnalle ymmärretään, onko datan tunnistaminen, luokittelu ja hallinta kunnossa sekä tutustua säädöksen tarjoamiin mahdollisuuksiin ja riskeihin.

5G ja sen vaikutuksia tietosuojaan

5G-verkkojen yleistyessä organisaatioiden tulee arvioida tietojenkäsittelyyn liittyvät riskit uudestaan ja jopa aikaisempaa tarkemmin. EU:n yleinen tietosuoja-asetus (GDPR) edellyttää jo nyt riskiperusteista henkilötietojen käsittelyä, mutta jatkossa riskiarvioinnin merkitys kasvaa entisestään.

5G-verkko edellyttää entistä useampia tukiasemia, sillä 5G-verkon tukiasemien kantosäde on lyhyempi kuin 4G-verkossa. Lisäksi 5G-verkossa data ei läpäise seiniä samalla tavalla kuin 4G-verkossa, joten tukiasemia täytyy todennäköisesti sijoittaa myös rakennusten sisälle. Tästä syystä 5G-verkon käyttäjän mukanaan kantaman älylaitteen sijaintitiedot ovat todennäköisesti aikaisempaa yksityiskohtaisempia. Sijaintitiedot ovat henkilötietoja ja niiden käsittely niihin perustuvien palvelujen tuottamiseksi (esimerkiksi mainonta tai profilointi) edellyttää paikannettavan suostumusta. Ilman suostumusta ihmisiä saa paikantaa vain hätätapauksissa poliisin tai pelastusviranomaisen määräyksestä.

Mikäli työnantaja aikoo paikantaa työntekijää osana teknistä valvontaa, on siihen oltava asiallinen peruste ja tarve, esimerkiksi työturvallisuuden varmistaminen tai työn tehokas ohjaaminen. Ennen paikantamista on toteutettava tietosuojan vaikutustenarviointi, jonka avulla määritetään käsittelyn tarpeellisuus ja oikeasuhtaisuus, tunnistetaan riskit ja tarvittavat toimenpiteet riskien hallitsemiseksi. Työnantaja on myös velvollinen käymään paikantamisen käyttötarkoitukset läpi työpaikan yhteistoimintamenettelyssä ja laatimaan kirjalliset säännöt paikantamisesta.

Lue lisää 5G:stä

Kansainvälisissä henkilötietojen siirroissa huomioitavaa

Kun henkilötietoja siirretään Euroopan talousalueen (ETA) ulkopuolelle kolmansiin maihin, EU:n yleisen tietosuoja-asetuksen (GDPR) takaama henkilötietojen suojan taso voi heiketä. Tästä voi aiheutua riskejä henkilöille, joiden tietoja siirretään. Siksi tietosuoja-asetuksessa määritellään edellytyksiä, joilla henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle.

Henkilötietojen siirto ETA-alueen ulkopuolelle edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta, esimerkiksi:

  • komission vastaavuuspäätös tietosuojan riittävyydestä kohdemaassa
  • komission hyväksymät vakiosopimuslausekkeet 

Kun siirtoperuste on määritelty, tietoja siirtävien organisaatioiden on tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille kolmannen maan lainsäädännössä sellainen henkilötietojen suojan taso, joka vastaa ETA-alueen tasoa. Riskiarviointiin käytetään vaikutustenarviointia (Transfer Impact Assessment, TIA).

Jos käytetty siirtoperuste ei riitä takaamaan EU:n vaatimuksia vastaavaa tietosuojan tasoa, sitä voidaan täydentää asianmukaisilla suojatoimilla, esimerkiksi tietojen salauksella tai pseudonymisoinnilla. Ellei täydentäviä suojatoimia löydy riittävän tietosuojan takaamiseksi, ei siirtoa voi tehdä.

Lue lisää

Pilvipalvelut ja tietosuoja

Pilvipalveluissa käsiteltävien tietojen käsittely tai säilytys sekä pilvipalvelun tuottamiseen liittyvät ylläpito- ja muut hallinnointitoimet voivat sijaita maantieteellisesti eri sijainneissa, myös Euroopan talousalueen ulkopuolella sijaitsevilla palvelimilla. Tällöin henkilötietojen käsittelyn tulee tapahtua EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Eri sijainteihin voi liittyä erilaisia riskejä.

Moni yritys käyttää yhdysvaltalaisten Amazonin, Microsoftin ja Googlen pilvipalveluita. Myös Teamsin, Skypen ja Office 365:n käyttö pilvessä tarkoittaa, että henkilötietoja käsitellään pilvessä. Aiemmin henkilötietojen käsittely näissä pilvipalveluissa oli ongelmatonta, sillä Yhdysvaltojen ja EU:n välillä oli Privacy Shield -järjestely, jonka EU-tuomioistuin kuitenkin kumosi kesällä 2020 (ns. Schrems II -päätös).

Henkilötietojen siirto ETA-alueelta Yhdysvaltoihin edellyttää muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta, käytännössä useimmiten komission hyväksymiä vakiosopimuslausekkeita, tapauskohtaista riskiarviointia (Transfer Impact Assessment, TIA) sekä asianmukaisia suojatoimia, mm. henkilötietojen salausta ja pseudonymisointia. Pilvipalveluntarjoajalla on tyypillisesti pääsy kaikkeen palvelussa selväkielisessä muodossa käsiteltävään tietoon. 

Pilvipalveluissa käsiteltävien henkilötietojen suojaus voidaan jakaa rekisterinpitäjän ja pilvipalveluntarjoajan (henkilötietojen käsittelijän) vastuulle kuuluviin osuuksiin. Rekisterinpitäjän vastuulle sisältyy tyypillisesti sekä pilvipalvelun asiakasjärjestelmän osuus että rekisterinpitäjän muiden tiedonkäsittely-ympäristöjen osuus, esimerkiksi pääsyoikeuksien määrittäminen, vahva tunnistautuminen ja valvonnan automatisointi. Joidenkin tietojen suojaamisen arvioinnissa saattaa olla riittävää nojautua esimerkiksi pilvipalveluntarjoajan tuottamaan itsearviointiin, mahdollisiin muihin sertifiointeihin sekä sopimusteknisiin sitoumuksiin. Joidenkin tietojen suojaamisen arvioinnissa on perusteltua edellyttää lisäksi ulkopuolisen riippumattoman tahon tekemää todennusta. On suositeltavaa pyrkiä laatimaan sopimus yhdysvaltalaisen emoyhtiön sijasta eurooppalaisen tytäryhtiön kanssa, jolloin tiedot sijaitsevat eurooppalaisissa konesaleissa.

Euroopan komissio pääsi maaliskuussa 2022 periaatetasolla Yhdysvaltojen kanssa sopimukseen uudesta tietosuojaviitekehyksestä (Trans-Atlantic Data Privacy Framework), jonka tarkoituksena on varmistaa, että henkilötietojen siirtoja Yhdysvaltoihin voitaisiin edelleen jatkaa. Uuden säännöstön voimaantulon aikataulu on yhä epäselvä.

Lasten henkilötietojen suoja harrastustoiminnassa

Maassamme on lukuisia seuroja ja yhdistyksiä, jotka tarjoavat alakouluikäisille monipuolista vapaa-ajan harrastustoimintaa sekä liikunnan että taiteen parissa. Seurat ja yhdistykset sekä niissä toimivat opettajat, valmentajat ja monet vapaaehtoiset käsittelevät lasten ja nuorten henkilötietoja harrastuksissa, tapahtumissa ja kilpailuissa. He kaikki ovat tärkeässä roolissa lasten ja nuorten henkilötietojen suojan toteutumisessa.

Seurat ja yhdistykset eivät kuitenkaan aina ole tietoisia tietosuojan merkityksestä ja omista velvollisuuksistaan. Myös tietotekniset ja tietoturvaan liittyvät taidot voivat olla puutteellisia. Toisinaan käsitellään arkaluonteisiakin tietoja. Alaikäisten parissa toimivien seurojen ja yhdistysten lisäksi myös lapset ja nuoret itse sekä heidän huoltajansa tarvitsevat lisää selkokielistä tietoa ja tukea huolehtiakseen lasten ja nuorten henkilötietojen suojasta ja neuvoakseen heitä tietosuojaan liittyvissä asioissa.

Kävimme läpi satunnaisotannalla avointa harrastetoimintaa alaikäisille tarjoavien taidekoulujen ja liikuntaseurojen verkkosivuja selvittääksemme, millä tavoin he informoivat lapsia, nuoria ja heidän huoltajiaan henkilötietojen käsittelystä.

Havaitsimme, että monilla verkkosivuilla kerrotaan evästekäytännöistä, mutta ei mainita muusta henkilötietojen käsittelystä, käsittelyn tarkoituksesta ja oikeusperusteesta, tietojen säilytysajoista, mahdollisista kansainvälisistä tietojensiirroista tai rekisteröityjen oikeuksista. Sivuilta löytyy runsaasti vanhentunutta tietoa. Joillakin sivuilla viitataan jo kumotun henkilötietolain mukaiseen rekisteriselosteeseen. Monet myös ilmoittavat käyttävänsä Google Analytics -palvelua. Eräässä tietosuojaselosteessa ilmoitetaan, että henkilötietoja voidaan siirtää EU- ja ETA-alueen ulkopuolelle, mutta ainoastaan Privacy Shield - järjestelyyn sitoutuneille yrityksille. Lisäksi käsittelyn käyttötarkoitus ja oikeusperuste näyttävät usein sekoittuvan keskenään. Tiedostamme myös sen, että kaikkein pienimmillä seuroilla ja yhdistyksillä ei välttämättä edes ole verkkosivuja tai some-kanavaa käytössään.

Tietoyhteiskunnan kehittämiskeskus ry Tieke on käynnistänyt kaksivuotisen hankkeen ”Tietosuoja haltuun harrastustoiminnassa”, jonka tuotoksia ja viestintää kannattaa seurata. Myös meidän asiantuntijamme ovat tukenasi tietosuoja-asioissa, joten tarvitessasi apua älä epäröi ottaa meihin yhteyttä.

Tee testi ja selvitä mikä on organisaatiosi tietosuojan taso

Nopean testimme avulla pystyt paremmin hahmottaa tietosuojan peruselementtejä ja niiden mahdollisia aukkoja organisaatiossasi.

Aloita testi

Katso myös

Ota yhteyttä

Elina Kumpulainen

Elina Kumpulainen

Partner, Legal, PwC Finland

puh. +358 (0)20 787 7907

Linkedin Follow Lähetä viesti
Timo Takalo

Timo Takalo

Partner, Cybersecurity & Privacy Assurance Services, PwC Finland

puh. +358 (0)20 787 7489

Linkedin Follow Lähetä viesti
Seija Vartiainen

Seija Vartiainen

Senior Manager, Legal, PwC Finland

puh. +358 (0)20 787 7483

Linkedin Follow Lähetä viesti
Sanna Oinonen

Sanna Oinonen

Risk Assurance Services, PwC Finland

puh. +358 (0)20 787 8894

Linkedin Follow Lähetä viesti
Seuraa ja osallistu