Blogi | Konsultointipalvelua

Mitä haittaa on GDPR:stä?

Torstai 17.8.2023 klo 18:37 - Paula Miinalainen

GDPR (yleinen tietosuoja-asetus) on suunniteltu suojaamaan yksilöiden tietosuojaa ja yksityisyyttä,
siinä voi olla myös joitakin haasteita ja haittoja.

Tässä on muutamia näkökohtia:

Hallinnollinen taakka: GDPR asettaa tiukkoja vaatimuksia tietosuojaan liittyen,
mikä voi lisätä organisaatioiden hallinnollista taakkaa. Tietosuojaa koskevien prosessien ja
dokumentaation ylläpito vaatii resursseja ja aikaa.
Kustannukset: GDPR:n noudattaminen voi aiheuttaa merkittäviä kustannuksia organisaatioille.
Näihin kustannuksiin voi kuulua uusien tietosuojaohjeiden laatiminen,
tietoturvan vahvistaminen, koulutus ja mahdolliset sakot.
Pienet yritykset: Pienet yritykset saattavat kokea erityisiä vaikeuksia noudattaa GDPR:ää.
Heillä ei välttämättä ole resursseja palkata tietosuoja-asiantuntijoita tai tehdä tarvittavia investointeja.
Monimutkaisuus: GDPR:n säännökset voivat olla monimutkaisia ja vaikeasti tulkittavia.
Tämä voi johtaa siihen, että organisaatiot ovat epävarmoja siitä, miten asetusta pitäisi noudattaa.
Kansainväliset liiketoimet: GDPR voi aiheuttaa haasteita yrityksille, jotka toimivat EU:n ulkopuolella
ja käsittelevät EU:n kansalaisten tietoja. Heidän on varmistettava, että he noudattavat asetusta,
vaikka ne eivät ole EU:ssa.
Sakot ja seuraamukset: GDPR voi määrätä huomattavia sakkoja organisaatioille,
jotka rikkovat tietosuoja-asetusta.
Tämä voi luoda paineita noudattaa tarkasti kaikkia vaatimuksia.

Vaikka GDPR voi tuoda mukanaan joitakin haasteita, sen tavoitteena
on kuitenkin parantaa yksilöiden tietosuojaa ja luoda selkeät säännöt tietojen käsittelylle.
Organisaatioiden on tärkeää tietää ja noudattaa asetusta varmistaakseen
tietosuojan asianmukaisen toteutumisen.

Lomakkeen yläreuna

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, sakko, seuraamusmaksu,

Mitä hyötyä on GDPR:stä?

Keskiviikko 16.8.2023 klo 14:54 - Paula Miinalainen

Euroopan unionin yleinen tietosuoja-asetus (GDPR) tarjoaa useita etuja niin yksilöille kuin
organisaatioillekin tietosuojan ja tietoturvan parantamiseksi. Tässä on joitakin GDPR:n hyötyjä:

Yksityisyydensuoja ja henkilötietojen suoja: GDPR antaa yksilöille enemmän valtaa
ja kontrollia omista henkilötiedoistaan. Organisaatiot ovat velvollisia huolehtimaan
henkilötietojen turvallisesta käsittelystä ja tarjoamaan selkeää tietoa siitä,
miten tietoja käytetään.
Tietoturvan parantaminen: GDPR edellyttää, että organisaatiot ottavat käyttöön
vahvempia tietoturvakäytäntöjä ja -prosesseja henkilötietojen suojaamiseksi.
Tämä auttaa vähentämään tietovuotojen ja tietomurtojen riskiä.
Luottamuksen lisääminen: Yksilöt voivat luottaa siihen, että heidän henkilötietojaan
käsitellään asianmukaisesti ja turvallisesti, mikä lisää luottamusta organisaatioihin.
Yhtenäiset standardit: GDPR luo yhtenäiset standardit henkilötietojen käsittelylle koko EU:ssa.
Tämä yksinkertaistaa liiketoimintaa, kun organisaatioiden ei tarvitse noudattaa erilaisia sääntöjä eri maissa.
Riskienhallinta: GDPR edellyttää riskinarviointien suorittamista tietojen käsittelyyn liittyen.
Tämä auttaa organisaatioita tunnistamaan ja hallitsemaan tietosuojaan liittyviä riskejä.
Kilpailuetu: Organisaatiot, jotka noudattavat GDPR:n vaatimuksia,
voivat näyttää asiakkaille ja sidosryhmille, että he ottavat vakavasti
tietosuojan ja yksityisyyden.
Selkeämmät prosessit: GDPR vaatii organisaatioita dokumentoimaan
tietojen käsittelyprosessit ja käytännöt. Tämä voi auttaa
organisaatioita parantamaan toiminnan läpinäkyvyyttä ja tehokkuutta.
Kansainväliset liiketoimet: GDPR mahdollistaa tietojen turvallisen
liikuttamisen EU:n ja EU:n ulkopuolisten maiden välillä, kun tietyt ehdot täyttyvät.
Seuraamukset ja sanktiot: GDPR antaa valvontaviranomaisille mahdollisuuden
määrätä seuraamuksia organisaatioille, jotka eivät noudata asetuksen vaatimuksia.
Tämä kannustaa noudattamaan tietosuojaa koskevia sääntöjä.

Kaiken kaikkiaan GDPR pyrkii parantamaan tietosuojaa, yksityisyyttä
ja tietoturvaa sekä lisäämään luottamusta henkilötietojen käsittelyä kohtaan.

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, henkilötieto, yksityisyydensuoja

Kuntosaliketju saanut isot sakot. Ei noudattanut GDPR:ää.

Perjantai 5.5.2023 klo 14:16 - Paula Miinalainen

Kuntosaliketju SATS on saanut noin 900 000 euron seuraamusmaksun

Norjan valvontaviranomaiselta.
Seuraamusmaksu johtui useista puutteista tietosuojalainsäädännön noudattamisessa.
Suomessa SATS-ketju toimii nimellä Elixia.

Laiminlyöntejä oli mm.

- Yhtiö ei ollut toteuttanut asiakkaiden pyyntöjä tarkastaa tai

poistaa heidän tietojaan kokonaan tai säädetyn aikarajan puitteissa.

- Yhtiö ei ollut myöskään määritellyt, millä perusteilla

kuntokeskusten jäsenten treenihistoriatietoja voi käsitellä.

- Lisäksi kuntosaliketjun asiakkaille on annettu tietosuojainformaatiota,
jossa on mainittu eri käsittelyperuste kuin mitä yhtiö on

todellisuudessa kertonut soveltaneensa.

- Porttikiellon saaneille entisille jäsenille ei ole kerrottu

riittävällä tavalla henkilötietojen säilyttämisestä tai käsittelyperusteesta.

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, seuraamusmaksu, sakko

GDPR ja uusin sakkokäytäntö

Torstai 24.11.2022 klo 18:39 - Paula Miinalainen

GDPR ja uusin sakkokäytäntö webinaari 24.11.2022

Kolme pointtia! Poimin nämä, koska näistä kustakin on määrätty sakko.

1) ALLEKIRJOITUSVAADE rekisteröidyn tietopyynnössä ei ole asianmukainen,

sanoo ylitarkastaja Laura Varjokari Tietosuojavaltuutetun toimistosta.

Vaatimus ei ole GDPR:n mukainen.

2) Henkilötietojen SÄILYTYSAIKA tulee olla tarpeen mukaan perusteltu
ja siitä tulee informoida rekisteröityä.

3) VAIKUTUSARVIOINNIN puute on vakava rike. Tee se aina ja
dokumentoi tulos huolella, painotti Kari Matti Lehti

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, tietoturva,

Hallitus vastaa henkilötietojen käsittelystä

Keskiviikko 9.11.2022 klo 15:49 - Paula Miinalainen

Puolimiljoonaa yhdistysaktivistia vastuussa henkilötietojen käsittelystä?

Katsoin eilen (8.11.2022) ohjelmia Digiturvavartti ja Digiturvakatsaus
asiantuntijoille (https://www.mediaserver.fi/live/digiturva) mielenkiinnolla.
Kimmo Rousku esitti vahvan ”tietopläjäyksen” siitä, mitä uhkia
tietoverkoissa on juuri nyt.
Mitä uhkia kohdistuu kansalaisiin ja millaisia ”kalastajia” kansalaisen tulee varoa.
Varotoimenpiteiden käsittely oli hyvä ja havainnollinen.

Ohjelmassa oli myös kiintoisa paneelikeskustelu, jossa Oona Matinpalo
nosti esiin yhdistykset. Niissä on paljon tekemistä. Asiaa käsiteltiin
tietoverkon pahisten näkökulmasta.
Onko heillä mielenkiintoa yhdistysten jäsentietoihin?

Ohjelmassa tuotiin esiin, että yhdistyksillä ei ole monestikaan resursseja pitää huolta
henkilötietojensa tietosuojasta ja oletettiin, että tiedot ovat useasti pilvenreunalla suojaamattomina
ja monesti myös sähköpostit ovat suojaamattomia.

Suomi on yhdistysten maa. Katsoin netistä!
Wikipedian mukaan yhdistyksiä on n.135 000, joista n. 100 000 on aktiivisia (v. 2014).
Vuonna 2019 rekisteröityjä yhdistyksiä oli n. 106 000 kpl.

Yhdistyslain mukaan (pykälä 11) yhdistys on lakisääteisen jäsenrekisterinsä tietosuoja-asetuksen
tarkoittama rekisterinpitäjä ja rekisterinpitäjälle kuuluvista tehtävistä vastaa rekisteröidyn yhdistyksen hallitus.

Pieni laskutoimitus:
Oletetaan, että keskimäärin yhdistyksen hallituksessa on puheenjohtaja ja 4 jäsentä.
Jäsenrekisteritiedoista vastaavia henkilöitä on siis 106 000 *5 = 530 000.
Eli yli puoli miljoonaa hallitusvastuuta - henkilöitä vuorineuvoksista koululaisiin.
Osalla heistä on rekisteriasiat kunnossa, mutta mietittäväksi jää kuinka monelta
puuttuu resurssit hoitaa luottamustehtäväänsä lain mukaan oikein,
pelkäämättä sakkoja.

Yhdistyksen hallituksella on tietosuoja-asetuksessa rekisterinpitäjän
osoittamisvelvollisuus siitä, että asetuksen rekisterinpitäjälle asettamat tehtävät
ovat suoritettu asetuksen mukaisesti.
Jos tietojen tietosuoja on puutteellinen tai dokumentaatio vajavainen,
niin tietosuojavaltuutetun seuraamuskollegion on asetettava
seuraamusmaksu eli sakko.

Kysymys on ensisijaisesti tiedostamisesta. Pitää kysyä!
Jotkut palveluntarjoajat ovat tulleet vastaan ja tarjoavat
yleishyödyllisille yhdistyksille ilmaista suojattua levytilaa.

Tietosuojavaltuutetun sivuilla on tietopaketti yhdistyksille
https://tietosuoja.fi/-/tietosuojavaltuutetun-toimisto-julkaisi-tietopaketin-yhdistyksille.

Huomaa, että jäsenen suostumuksella henkilötietoja voidaan
käsitellä ja jakaa yhdistyksen jäsenten kesken joustavasti.
Ei ole tarkoitus hankaloittaa yhdistysten toimintaa!

Kommentoi kirjoitusta. Avainsanat: GDPR, yhdistys, tietosuoja, sakko, konsulttipalvelu

Tietosuojaselosteessa virheitä - sakot tuli!

Keskiviikko 26.10.2022 klo 11:07 - Paula Miinalainen

Mitä tästä opimme?
Tapaus 1

”Unohtunut” sähköpostilaatikko ja vanhentunut vaatimus tietosuojaselosteessa
toivat yritykselle sakot (lähde1)!

Viranomainen on ihmisen puolella ja valvoo tietosuojalakien noudattamista ja
niin rapsahti yritykselle em. syistä 85 000 euron seuraamusmaksu eli sakko!

Yrityksen tietosuojaselosteessa oli yhteydenottoa varten sähköpostiosoite,
jonka viestit eivät tavoittaneet asiakaspalvelua ja tietopyynnöt jäivät
käsittelemättä.
GDPR:n mukaan tietopyyntöön on vastattava kuukauden kuluessa.
Tämä laatikko oli ollut ainakin 7 kuukautta vailla yhteyttä
asiakaspalveluhenkilökuntaan.
Viranomainen havaitsi myös, että tietopyynnön tiedot olivat edellisten lakien
jäljiltä päivittämättä. Siellä oli vielä henkilötietolain mukainen vaatimus,
että tietopyynnön tekijän piti allekirjoittaa pyyntö. Tätä vaadetta ei GDPR:ssä
eikä muissa nyt voimassa olevissa lajeissa ole.
Näin ollen tietosuojavaltuutettu katsoi, että tietoja oli kerätty tarpeettoman laajasti.

Sakko voi mainehaittana olla suurempi menetys yritykselle kuin sakon rahamäärä ja
siksi tästä kannattaa oppia ja testata säännöllisesti henkilötietoihin liittyvät prosessit.

”Tähän ei kerta kaikkiaan ole aikaa. Meillä kaikilla on kiire omissa töissä.”
Onko tuttu tilanne?
Näissä ja muissa GDPR:ää koskevissa ongelmissa me pystymme auttamaan!

Ota yhteyttä!
paula.miinalainen@arborvitae.fi

Lähde1:
https://tietosuoja.fi/-/otavamedialle-seuraamusmaksu-puutteista-tietosuojaoikeuksien-toteutuksessa

#GDPR #tietosuoja #mitaopimme

Kommentoi kirjoitusta. Avainsanat: Tietosuoja, GDPR, seuraamusmaksu, tietosuojaseloste

GDPR on nyt TSA!

Lauantai 17.9.2022 klo 13:49 - Paula Miinalainen

GDPR on nyt TSA!

Se on lyhenne sanasta tietosuoja-asetus aivan kuten
GDPR on lyhenne sanoista General Data Protection Regulation.

Vähän täytyy vielä odotella, että Google oppii tämän lyhenteen
uuden merkityksen. Se tarjoaa ensisijaisesti, että TSA on
lyhenne sanoista Transportation Security Administration.
joka on Yhdysvaltain sisäisen turvallisuuden osasto.
Muitakin merkityksiä on.

ALMA TALENTin juuri julkaissut kirjan Tietosuoja ja siinä
käytetään systemaattisesti suomenkielistä lyhennettä TSA.
Samoin uusimmissa Tietosuojavaltuutetun ohjeissa
käytetään lyhennettä TSA.

Käyntikortissani on edelleen sanat GDPR-konsultti
ja GDPR:n noudattamisen varmistaminen.

Odotellaan lyhenteen TSA yleistymistä.

#GDPR #TSA #tietosuoja #ALMATALENT

Kommentoi kirjoitusta. Avainsanat: GDPR, TSA, tietosuoja, tietosuojakonsultti

Tietoturva-asiantuntija? GDPR-asiantuntija? Jompikumpi vai kummatkin?

Perjantai 25.2.2022 klo 13:14 - Paula Miinalainen

Tietoturva-asiantuntija? GDPR-asiantuntija? Jompikumpi vai kummatkin?

Onko tietoturva-asiantuntija myös tietosuoja-asiantuntija?
”Ei, vain hyvin harvoin henkilö on kouluttautunut molempien asiantuntijaksi.
Jo GDPR vaatii hyvin toisenlaista lähestymistapaa ja
sen syvällinen omaksuminen vaatii paneutumista ja aikaa,”
sanoi Päivi Kynkäänniemi Tietoturva ry:n tapahtumassa15.2.2022.
Tapahtuman aiheena oli ”Valtorin parhaat tietosuojakäytännöt” ja
Päivi Kynkäänniemi on julkisiin hankintoihin ja
tietosuojaan erikoistunut juristi Valtion tieto- ja viestintätekniikkakeskus Valtorissa.

Olin itse ajatellut, että tieturvaihmiset ovat ilman muuta myös GDPR-asiantuntijoita.
Tosin käytännössä olen havainnut, että esim. tietosuoja-asetukseen sisältyvä
rekisterinpitäjän sopimus- ja osoittamisvelvollisuusasiat ovat heille aikalailla vieraita.

Päivi Kynkäänniemi antoi hyviä vinkkejä tietosuoja-asiantuntijan työhön:
- Tietosuoja pitää soluttaa osaksi organisaation arkea.
- Ohjeistus pitää pelkistää vastaamaan kysymykseen ”mitä minun pitää tehdä?”
- Tarvittavat tehtävät kannattaa sisällyttää vuosikelloon.
- Kielen tulee olla yksinkertaista ja kaikki vaikeat sanat pitää poistaa ohjeista.
- Työpajatyöskentely on saanut hyvän vastaanoton.

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, tietoturva, Valtori, tietoturvary

Onko GDPR mahdollisuus vai este?

Sunnuntai 14.11.2021 klo 18:36 - Paula Miinalainen

Onko GDPR mahdollisuus vai este? Gustav Hägglund ja GDPR? Mitä?

Lainaus: ”Me ei voida tehdä niin, kun nyt on se GDPR.”
Tämän lauseen olen kuullut asiakaspalvelijan sanovan
varsin moneen, moneen kertaan!
Minun korvissani se kuulostaa samalta kuin
”ei voida, koska nämä meidän tietokoneet ei salli” tai
”voi voi ne kesäapulaiset ovat tehneet tämän väärin”.
Pelkkää selittelyä!

Tätä pohtiessani muistin
Gustav Hägglundin kirjan Leijona ja Kyyhky, Otava 2006.
Otin kirjan esille hyllystäni, koska minuun oli tehnyt
aikanaan vaikutuksen Hägglundin kertomus siitä, miten
hän valitsi uuden pääjuristin puolustusvoimille.
Puolustusvoimien pääjuristin pesti avautui eläköitymisen vuoksi.

Eläkkeelle jäävä juristi oli pitänyt suurimpana ansionaan,
että oli kyennyt estämään niin monia muutoksia puolustusvoimissa.
Virkaa haki myös lainsäädäntöjohtaja Kaarina Buure-Hägglund
(ei ole nimestään huolimatta Gustav Hägglundin sukulainen), j
oka sanoi taas: ”Eihän juristin tehtävä ole keksiä miksi ei,
vaan miten jokin johdon ajama asia hoidetaan lain puitteissa.”
Tämän hakijan Hägglund palkkasi ja asiat alkoivat tapahtua eri tahtiin (sivu 259).

Avain lause on:
”Miten jokin johdon ajama asia hoidetaan lain puitteissa.”
Eli miten jokin johdon ajama asia hoidetaan EU:n yleisen tietosuoja-asetuksen (GDPR) puitteissa?

Hyvä palvelumuotoilija etsii joustavat ratkaisut turvalliseen
ja hyväksyttävään henkilötietojenkäsittelyyn, EIKÖ NIIN?

Kommentoi kirjoitusta. Avainsanat: GDPR, tietosuoja, palvelumuotoilu, systeemisuunnittelu

Henkilötietojen rekisterinpitäjän muistilista

Tiistai 12.10.2021 klo 13:37 - Paula Miinalainen

Henkilötietojen rekisterinpitäjän muistilista

REKISTERINPITÄJÄN KÄÄNTEINEN TODISTUSTAAKKA eli rekisterinpitäjän velvollisuus osoittaa kirjallisesti,
millä tavoin organisaatio noudattaa EU:n yleisen henkilötietoasetuksen
(GDPR:n) vaatimuksia.

Muistilista

1. Henkilötietojen tunnistaminen

2. GDPR:n peruskäsitteet

3. Riskianalyysi

Milloin tarvitaan?

Analyysin tekeminen

4. Vaikutusarviointi

Milloin tarvitaan?

Arvioinnin tekeminen

5. Rekisteröidyn oikeudet

Informointilomake

6. Tietovirtakaavio

7. Henkilötietojen käsittelijöiden sopimukset

8. Käänteisen todistustaakan asiakirjojen kokoaminen

Autan tilanteen kartoittamisessa ja tarvittaessa asioiden kuntoon laittamisessa.

Kun on itsellä kiire, niin ota yhteyttä! Laitetaan dokumentit ja sopimukset kuntoon yhdessä!

Paula Miinalainen puh. 050 5002363 tai laita sähköpostia

www.arborvitae.fi

#GDPR #tietosuoja #tietosuojavaltuutettu #EUtietosuoja #tietosuojaasetus #arborvitae

www.arborvitae.fi

Kommentoi kirjoitusta. Avainsanat: GDPR, EU:n tietosuoja-asetus, vaikutusarviointi, tietosuojavaltuutettu

Seuraamusmaksuja GDPR:n vaatimusten laiminlöynnistä

Lauantai 3.10.2020 klo 23:01 - Paula Miinalainen

Seuraamusmaksuja tietosuojalainsäädännön (GDPR) rikkomisesta.

Tutkin määrättyjen maksujen perusteluja ja havaitsin, että henkilötietojen
käsittelyprosessit ja dokumentit kannattaa pitää kunnossa,
sillä puutteista voi rapsahtaa tuntuva seuraamusmaksu tai
joissain tapauksissa voi selvitä pelkällä huomautuksella.
Mutta huomautuskin on julkinen tieto ja siitä voi syntyä merkittävää mainehaittaa.

Listasin tyypillisiä seuraamusmaksuun vaikuttavia seikkoja:

- puutteita asiakkaiden informoinnissa

- puutteita henkilötietojen käsittelyn dokumentoinnissa

- henkilötietojen käsittelyn roolit olivat epäselvät

- vaikutusarvioinnit olivat tekemättä tai ne olivat puutteellisia

- rekisteröidyille ei ole kerrottu heidän oikeuksistaan

- henkilötietoja on kerätty tarpeettomasti

Nyt kannattaa tarkistaa, että nämä asiat ovat organisaatiossa tehty oikein ja hyvin.
Nämä kaikki on helppo korjata kuntoon, kunhan vain tiedostaa kuinka tärkeitä
ja merkityksellisiä ne ovat GDPR:n valvonnassa.

www.arborvitae.fi www.tietosuoja.fi

Kommentoi kirjoitusta. Avainsanat: GDPR, EU:n tietosuoja-asetus, tietosuojavaltuutettu

Vastuuvakuutus ja EU:n tietosuoja-asetus (GDPR)

Tiistai 28.1.2020 - Paula Miinalainen

Tietoturvavakuutus ja EU:n yleinen tietosuoja-asetus (GDPR)

Tietosuojaviranomaisen määräämiä SAKKOJA ei voi vakuuttaa,
sillä se olisi hyvän vakuutustavan vastaista.
Tämä on Finanssivalvonnan linjaus 16.10.2018.

On tärkeätä selvittää, mitkä asiat kuuluvat organisaation
vastuuvakuutuksen piiriin ja mihin tarvitaan erillinen
tietoturvavakuutus.

Kuuluuko esim. tietosuojavastaava vastuuvakuutuksen piiriin?

Erillisellä tietoturvavakuutuksella voi saada korvausta esimerkiksi:
• Toiminnan keskeytyksen aiheuttamista kustannuksista.
• Toiminnan palautuksen aiheuttamista kustannuksista.
• Tietojärjestelmän palauttamisesta aiheutuvista kustannuksista.
• Kolmannelle osapuolelle aiheutuneiden taloudellisten vahinkojen korvaamisesta.
• Kuluihin, jotka aiheutuvat henkilötietojen tietoturvaloukkauksesta
ilmoittamiseen ko. henkilöille.
• Asiantuntijapalveluiden käyttökustannuksista edellä mainittujen
ongelmien ratkaisuihin
.
#GDPR #tietosuojavastaava #tietosuoja #tietoturvavakuutus #vastuuvakuutus #tietoturvaloukkaus

Kommentoi kirjoitusta. Avainsanat: GDPR, EU:n tietosuoja-asetus,