hours24
← Ilmaiset työkalut

Ilmainen - GDPR + Tietosuojalaki

GDPR-tarkistuslista.

17 kohtaa, 7 aluetta - käsittelyperuste, työntekijän informointi, säilytys, tietoturva, oikeudet, kumppanit, tietoturvaloukkaukset. Merkitse, mikä on kunnossa ja mikä vaatii työtä. Lopussa pisteet 0-100 ja PDF-raportti, jonka voit lähettää johdolle tai juristille.

Vaatimustenmukaisuuspisteet

0/ 100

Korkea riski

Vastattu

0 / 16

Käsittelyperuste

  • Korkea

    Käsittelyperuste jokaiselle tietojenkäsittelylle

    Onko jokaiselle henkilötietojen käsittelylle määritelty selkeästi GDPR:n 6 artiklan käsittelyperuste (sopimus, oikeutettu etu, suostumus, lakisääteinen velvoite)?

    GDPR Art. 6, Tietosuojalaki § 4

  • Korkea

    Erityiset henkilötiedot käsitellään erikseen

    Käsitelläänkö erityisiä henkilötietoja (terveys, ammattiliittoon kuuluminen, rikostiedot) Art. 9 mukaisesti erityisellä perusteella?

    GDPR Art. 9, Tietosuojalaki § 6

  • Keskinkertainen

    Rekrytointitietojen käsittelyperuste

    Onko hakijan CV:n ja muiden rekrytointitietojen keräämisen perusteena hakijan suostumus tai sopimuksen tekemiseksi tarvittavat toimet (Art. 6.1.b)?

    GDPR Art. 6, TSV ohjeet

Työntekijän informointi

  • Korkea

    Työntekijälle annetaan Art. 13 mukainen tieto

    Saako jokainen uusi työntekijä työsopimuksen tehdessään kirjallisen tiedon siitä, mitä tietoja työnantaja kerää, mihin tarkoitukseen ja kuinka kauan niitä säilytetään?

    GDPR Art. 13

  • Keskinkertainen

    Työntekijä tietää oikeutensa

    Tietävätkö työntekijät, miten he voivat pyytää pääsyä tietoihinsa, korjaamista, poistamista tai käsittelyn rajoittamista - ja kenen puoleen kääntyä?

    GDPR Art. 13.2, Art. 15-22

Säilyttäminen ja poistaminen

  • Korkea

    Säilytysajat kirjattuina

    Onko jokaiselle tietokategorialle kirjattu säilytysaika (esim. työaikakirjanpito 2 v, palkkakirjat 10 v, rekrytointitiedot 6 kk)?

    GDPR Art. 5.1.e

  • Keskinkertainen

    Lähteneiden tiedot siivottu

    Säilytetäänkö lähteneiden työntekijöiden tiedoista vain ne, joiden säilyttäminen on lakisääteinen velvoite (sopimukset, palkat 10 v), ja muut (sähköpostit, kalenterikutsut) poistetaan?

    GDPR Art. 5.1.e

Tietoturva

  • Korkea

    Käyttöoikeudet on rajoitettu

    Näkeekö jokainen työntekijä vain ne henkilötiedot, jotka ovat hänen tehtäviensä hoitoa varten välttämättömiä (esim. kaikki esimiehet eivät näe kaikkien palkkoja)?

    GDPR Art. 32, Art. 5.1.f

  • Korkea

    Lähtijän käyttöoikeudet poistettu viimeisenä päivänä

    Poistetaanko lähteneen työntekijän kaikki käyttöoikeudet (sähköposti, sisäiset järjestelmät, VPN, avaimet, kortit) viimeisenä työpäivänä, ei myöhemmin?

    GDPR Art. 32

  • Keskinkertainen

    Järjestelmät salattu ja salasanasuojattu

    Ovatko kaikki työtietokoneet ja -puhelimet salattuja ja salasanasuojattuja, ja onko kriittisissä järjestelmissä (palkka, HR) kaksivaiheinen tunnistautuminen (2FA)?

    GDPR Art. 32

Rekisteröidyn oikeudet

  • Keskinkertainen

    30 päivän määräaika tietopyyntöihin

    Onko teillä prosessi, jolla työntekijä tai entinen työntekijä voi pyytää häntä koskevia tietoja ja saa vastauksen 30 päivän kuluessa?

    GDPR Art. 15, Art. 12.3

  • Keskinkertainen

    Poistopyyntöprosessi

    Tiedättekö, miten toimia, kun työntekijä pyytää tietojensa poistamista - mitkä tiedot pitää säilyttää (lain mukaan 7-10 v) ja mitkä voi poistaa?

    GDPR Art. 17

Kolmannet osapuolet

  • Korkea

    Tietojenkäsittelysopimus kaikkien kumppanien kanssa

    Onko palkanlaskennan, rekrytoinnin, kirjanpidon, IT-tuen ja muiden kumppaneiden kanssa, joille henkilötiedot päätyvät, tehty Art. 28 mukainen tietojenkäsittelysopimus (DPA)?

    GDPR Art. 28

  • Keskinkertainen

    Tiedot pysyvät EU:ssa tai vastaavassa maassa

    Sijaitsevatko kaikki henkilötietojen käsittelijät (mukaan lukien pilvipalvelut) EU/ETA:ssa tai Euroopan komission riittäväksi katsomassa maassa (esim. UK, Sveitsi)?

    GDPR Art. 44-49

Tietoturvaloukkaukset ja rekisteri

  • Korkea

    Tietoturvaloukkaus-suunnitelma valmis

    Onko teillä suunnitelma, mitä tehdä tietoturvaloukkauksen sattuessa - kuka ilmoittaa Tietosuojavaltuutetulle 72 tunnin sisällä ja miten työntekijöitä informoidaan?

    GDPR Art. 33-34

  • Korkea

    Käsittelytoimien seloste pidetään

    Pidetäänkö Art. 30 mukaista selostetta käsittelytoimista (vastuuhenkilöt, käsittelyn tarkoitukset, kategoriat, säilytysajat) ja päivitetäänkö sitä jokaisen muutoksen yhteydessä?

    GDPR Art. 30

Ilmainen lataus

Lataa raportti PDF-tiedostona

PDF sisältää pisteet, koko tarkistuspisteiden listan ja jokaisen puuttuvan kohdan kohdalla konkreettisen toimenpidesuosituksen GDPR-artikkeliviittauksilla. Voit lähettää sen johdolle tai tietosuojavastaavalle.

Olet vastannut osaan kohdista. Voit ladata PDF:n nyt - vastaamattomat kohdat näkyvät puutteina.

Lataa raportti

Tiedot jäävät vain Hours OY:lle. Kolmansille osapuolille niitä ei jaeta.

Tarkistuslista perustuu GDPR:ään (EU 2016/679) ja Tietosuojavaltuutetun toimiston ohjeisiin. Todellinen vaatimustenmukaisuus riippuu yksittäisestä käsittelykontekstista - tarvittaessa konsultoi tietosuojajuristia.

GDPR Suomen työnantajalle - mitä on hyvä tietää

GDPR (EL 2016/679) ja Eesti Isikuandmete kaitse seadus (IKS) kehtivad igale Eesti ettevõttele, kes töötajaid palkab. Põhipunktid:

  • Iga andmetöötluse juures peab olema õiguslik alus (Art. 6)
  • Töötajale antakse teave kogutavate andmete kohta (Art. 13)
  • Andmeid säilitatakse ainult vajalik aeg (Art. 5 lg 1 p e)
  • Turvalisus: 2FA, krüpteering, juurdepääsude haldus (Art. 32)
  • Töötaja õigus näha, parandada, kustutada oma andmeid (Art. 15-22)
  • Partneritega andmetöötluse leping (Art. 28)
  • Andmelekke korral 72-tunnine teavitamiskohustus (Art. 33)
  • Andmetöötluse register, mida värskendatakse (Art. 30)

Andmekaitse Inspektsioon (AKI): aki.ee - kontroll, juhised, kaebuste menetlemine.

Korduma kippuvad küsimused

Kas GDPR kehtib ka väikestele Eesti ettevõtetele?

Jah. GDPR kehtib igale ettevõttele, mis töötleb isikuandmeid - sõltumata suurusest. Töötajate ja klientide andmed on isikuandmed. Erand: andmetöötluse register (Art. 30) on rangelt kohustuslik üle 250 töötaja, kuid HR puhul ka väiksematele, kuna töötlemine on regulaarne.

Mis on suurim GDPR trahv, mille AKI on Eestis määranud?

Eesti Andmekaitse Inspektsioon on määranud trahve ettevõtetele alates mõnesajast eurost kuni mitmekümne tuhandeni. Teoreetiline maksimum on 20 mln € või 4% käibest. Praktikas on Eesti karistused leebemad kui Saksamaal või Itaalias, kuid trend on karmistuv.

Mida AKI kontrollil esimese asjana küsib?

Tüüpiline järjekord: 1) Art. 30 andmetöötluse register, 2) õiguslikud alused iga töötlemise juures (Art. 6), 3) töötajatele antud info (Art. 13), 4) säilitustähtajad, 5) andmetöötluse lepingud partneritega (Art. 28). Meie kontrollnimekiri katab kõik need punktid.

Kas vajan andmekaitseametnikku (DPO)?

Kohustuslik on DPO, kui (a) olete riigiasutus, (b) põhitegevus nõuab regulaarset ja süsteemset andmesubjektide jälgimist suures mahus, või (c) töötlete eriliigilisi andmeid suures mahus (Art. 37). Enamus Eesti SME-d ei vaja - aga vastutaja peab siiski olema määratud.

Mis on andmetöötluse leping (DPA) ja kellega seda vaja sõlmida?

DPA (Data Processing Agreement, Art. 28) on leping vastutava töötleja (teie) ja volitatud töötleja (näiteks palgaarvestaja, värbamisagentuur, SaaS-i pakkuja) vahel. Selles määratletakse, kuidas teie isikuandmeid töödeldakse. Iga kolmanda osapoole jaoks, kellele isikuandmed jõuavad, on vaja eraldi DPA-d.

Kui kaua tuleb tunnitabeleid ja palgaandmeid säilitada?

Tunnitabelid: 7 aastat (TLS § 28 ja raamatupidamise seadus). Palgalehed: 7 aastat. Töölepingud: 10 aastat pärast lõppemist. Üle nende perioodide säilitamiseks peab olema õiguslik alus - vastasel juhul tuleb kustutada (Art. 5 lg 1 p e).