Perjantai 11.3.2022 klo 18:55 - Paula Miinalainen
VUODEN TÄRKEIN PROJEKTI TIETOHALLINOLLE!
”Ennennäkemätön muutos it-alalle”, otsikoi TIVI www.tivi.fi
uusimmassa numerossaan (maaliskuu 2022). Alalle tulee sopimusremontti,
koska Privacy Shield-järjestely on kumottu. Artikkelissa kerrotaan,
että ennen joulua organisaatioiden tulee ensin selvittää, tapahtuuko
tiedonsiirtoa EU:n ulkopuolelle oman tai alihankkijan organisaatioiden kautta.
Jos tapahtuu, sopimuksiin pitää lisästä vakiosopimuslausekkeet.
Asianajaja Jukka Lang (Dittmar &Indrenius) sanoo:
”Jos asiaa ei ole jo otettu agendalle, niin sopimusehtojen käsittely
on tämän vuoden tärkein projekti tietohallinnolle.”
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
TIVI,
tietosuoja
|
Perjantai 25.2.2022 klo 13:14 - Paula Miinalainen
Tietoturva-asiantuntija? GDPR-asiantuntija? Jompikumpi vai kummatkin?
Onko tietoturva-asiantuntija myös tietosuoja-asiantuntija? ”Ei, vain hyvin harvoin henkilö on kouluttautunut molempien asiantuntijaksi. Jo GDPR vaatii hyvin toisenlaista lähestymistapaa ja sen syvällinen omaksuminen vaatii paneutumista ja aikaa,” sanoi Päivi Kynkäänniemi Tietoturva ry:n tapahtumassa15.2.2022. Tapahtuman aiheena oli ”Valtorin parhaat tietosuojakäytännöt” ja Päivi Kynkäänniemi on julkisiin hankintoihin ja tietosuojaan erikoistunut juristi Valtion tieto- ja viestintätekniikkakeskus Valtorissa.
Olin itse ajatellut, että tieturvaihmiset ovat ilman muuta myös GDPR-asiantuntijoita. Tosin käytännössä olen havainnut, että esim. tietosuoja-asetukseen sisältyvä rekisterinpitäjän sopimus- ja osoittamisvelvollisuusasiat ovat heille aikalailla vieraita.
Päivi Kynkäänniemi antoi hyviä vinkkejä tietosuoja-asiantuntijan työhön: - Tietosuoja pitää soluttaa osaksi organisaation arkea. - Ohjeistus pitää pelkistää vastaamaan kysymykseen ”mitä minun pitää tehdä?” - Tarvittavat tehtävät kannattaa sisällyttää vuosikelloon. - Kielen tulee olla yksinkertaista ja kaikki vaikeat sanat pitää poistaa ohjeista. - Työpajatyöskentely on saanut hyvän vastaanoton.
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
tietosuoja,
tietoturva,
Valtori,
tietoturvary
|
Sunnuntai 14.11.2021 klo 18:36 - Paula Miinalainen
Onko GDPR mahdollisuus vai este? Gustav Hägglund ja GDPR? Mitä?
Lainaus: ”Me ei voida tehdä niin, kun nyt on se GDPR.” Tämän lauseen olen kuullut asiakaspalvelijan sanovan varsin moneen, moneen kertaan! Minun korvissani se kuulostaa samalta kuin ”ei voida, koska nämä meidän tietokoneet ei salli” tai ”voi voi ne kesäapulaiset ovat tehneet tämän väärin”. Pelkkää selittelyä!
Tätä pohtiessani muistin Gustav Hägglundin kirjan Leijona ja Kyyhky, Otava 2006. Otin kirjan esille hyllystäni, koska minuun oli tehnyt aikanaan vaikutuksen Hägglundin kertomus siitä, miten hän valitsi uuden pääjuristin puolustusvoimille. Puolustusvoimien pääjuristin pesti avautui eläköitymisen vuoksi.
Eläkkeelle jäävä juristi oli pitänyt suurimpana ansionaan, että oli kyennyt estämään niin monia muutoksia puolustusvoimissa. Virkaa haki myös lainsäädäntöjohtaja Kaarina Buure-Hägglund (ei ole nimestään huolimatta Gustav Hägglundin sukulainen), j oka sanoi taas: ”Eihän juristin tehtävä ole keksiä miksi ei, vaan miten jokin johdon ajama asia hoidetaan lain puitteissa.” Tämän hakijan Hägglund palkkasi ja asiat alkoivat tapahtua eri tahtiin (sivu 259).
Avain lause on: ”Miten jokin johdon ajama asia hoidetaan lain puitteissa.” Eli miten jokin johdon ajama asia hoidetaan EU:n yleisen tietosuoja-asetuksen (GDPR) puitteissa?
Hyvä palvelumuotoilija etsii joustavat ratkaisut turvalliseen ja hyväksyttävään henkilötietojenkäsittelyyn, EIKÖ NIIN?
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
tietosuoja,
palvelumuotoilu,
systeemisuunnittelu
|
Tiistai 12.10.2021 klo 13:37 - Paula Miinalainen
Henkilötietojen rekisterinpitäjän muistilista
REKISTERINPITÄJÄN KÄÄNTEINEN TODISTUSTAAKKA eli rekisterinpitäjän velvollisuus osoittaa kirjallisesti, millä tavoin organisaatio noudattaa EU:n yleisen henkilötietoasetuksen (GDPR:n) vaatimuksia.
Muistilista
1. Henkilötietojen tunnistaminen
2. GDPR:n peruskäsitteet
3. Riskianalyysi
Milloin tarvitaan?
Analyysin tekeminen
4. Vaikutusarviointi
Milloin tarvitaan?
Arvioinnin tekeminen
5. Rekisteröidyn oikeudet
Informointilomake
6. Tietovirtakaavio
7. Henkilötietojen käsittelijöiden sopimukset
8. Käänteisen todistustaakan asiakirjojen kokoaminen
Autan tilanteen kartoittamisessa ja tarvittaessa asioiden kuntoon laittamisessa.
Kun on itsellä kiire, niin ota yhteyttä! Laitetaan dokumentit ja sopimukset kuntoon yhdessä!
Paula Miinalainen puh. 050 5002363 tai laita sähköpostia
www.arborvitae.fi
#GDPR #tietosuoja #tietosuojavaltuutettu #EUtietosuoja #tietosuojaasetus #arborvitae
www.arborvitae.fi
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
EU:n tietosuoja-asetus,
vaikutusarviointi,
tietosuojavaltuutettu
|
Lauantai 3.10.2020 klo 23:01 - Paula Miinalainen
Seuraamusmaksuja tietosuojalainsäädännön (GDPR) rikkomisesta.
Tutkin määrättyjen maksujen perusteluja ja havaitsin, että henkilötietojen käsittelyprosessit ja dokumentit kannattaa pitää kunnossa, sillä puutteista voi rapsahtaa tuntuva seuraamusmaksu tai joissain tapauksissa voi selvitä pelkällä huomautuksella. Mutta huomautuskin on julkinen tieto ja siitä voi syntyä merkittävää mainehaittaa.
Listasin tyypillisiä seuraamusmaksuun vaikuttavia seikkoja:
- puutteita asiakkaiden informoinnissa
- puutteita henkilötietojen käsittelyn dokumentoinnissa
- henkilötietojen käsittelyn roolit olivat epäselvät
- vaikutusarvioinnit olivat tekemättä tai ne olivat puutteellisia
- rekisteröidyille ei ole kerrottu heidän oikeuksistaan
- henkilötietoja on kerätty tarpeettomasti
Nyt kannattaa tarkistaa, että nämä asiat ovat organisaatiossa tehty oikein ja hyvin. Nämä kaikki on helppo korjata kuntoon, kunhan vain tiedostaa kuinka tärkeitä ja merkityksellisiä ne ovat GDPR:n valvonnassa.
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
EU:n tietosuoja-asetus,
tietosuojavaltuutettu
|
Tiistai 28.1.2020 - Paula Miinalainen
Tietoturvavakuutus ja EU:n yleinen tietosuoja-asetus (GDPR)
Tietosuojaviranomaisen määräämiä SAKKOJA ei voi vakuuttaa, sillä se olisi hyvän vakuutustavan vastaista. Tämä on Finanssivalvonnan linjaus 16.10.2018.
On tärkeätä selvittää, mitkä asiat kuuluvat organisaation vastuuvakuutuksen piiriin ja mihin tarvitaan erillinen tietoturvavakuutus.
Kuuluuko esim. tietosuojavastaava vastuuvakuutuksen piiriin?
Erillisellä tietoturvavakuutuksella voi saada korvausta esimerkiksi: • Toiminnan keskeytyksen aiheuttamista kustannuksista. • Toiminnan palautuksen aiheuttamista kustannuksista. • Tietojärjestelmän palauttamisesta aiheutuvista kustannuksista. • Kolmannelle osapuolelle aiheutuneiden taloudellisten vahinkojen korvaamisesta. • Kuluihin, jotka aiheutuvat henkilötietojen tietoturvaloukkauksesta ilmoittamiseen ko. henkilöille. • Asiantuntijapalveluiden käyttökustannuksista edellä mainittujen ongelmien ratkaisuihin . #GDPR #tietosuojavastaava #tietosuoja #tietoturvavakuutus #vastuuvakuutus #tietoturvaloukkaus
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
EU:n tietosuoja-asetus,
|
Maanantai 13.8.2018 klo 12:13 - Paula Miinalainen
GDPR luo yrityskuvaa Nordea vakuuttaa asiakkaitaan tietosuojaselosteella. Tietosuojaseloste on kahdeksan sivua pitkä (A4) ja tuli minulle postissa ihan paperiversiona. Luin sen aamutuimaan. Selosteessa on selkeästi kerrottu, miten pankissa henkilötietoja käsitellään. Mielenkiintoisia kohtia ovat esim. asiakkaiden profilointi, tietojen käyttö automatisoidussa päätöksenteossa ja tietojen säilytysajat. Henkilön oikeuksia koskevia kiinnostavia kohtia ovat lupaus saada tietoa automaattisen päätöksenteon logiikasta, merkityksestä ja seurauksista. Samoin oikeus rajoittaa ja vastustaa henkilötietojen käsittelyä tietyissä tapauksissa. Paperi on vakuuttava! Se on esimerkki, miten GDPR:n velvoitteet on valjastettu osaltaan takaamaan hyvää asiakaspalvelua. Siitä kannattaa ottaa mallia ja kertoa oman yrityksen näköisellä tavalla, miten yrityksessäsi on tietosuojaa tehostettu. Omaan yrityskuvaan kannattaa panostaa!
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
EU:n tietosuoja-asetus,
|
Perjantai 21.7.2017 klo 11:46 - Paula Miinalainen
EU:n tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018.
Oikeusministeriö on julkaissut ohjeistuksen ”Miten valmistautua EU:n tietosuoja-asetukseen?”
Monessa organisaatiossa tietosuoja-asetus aiheuttaa mittaviakin muutostöitä nykyjärjestelmiin. Kartoitustyö kannattaa tehdä pikaisesti. Tässä on joitakin kysymyksiä tilanteen analysoimiseksi:
Minkälaiset teidän organisaation tietosuoja- ja tietoturvaohjeet ja käytännöt ovat nyt?
Mitkä kaikki organisaation tiedot kuuluvat tietosuoja-asetuksen piiriin, miten niitä nyt käsitellään ja ketkä käsittelevät?
Minkälaisia ovat yhteistyökumppaneiden kanssa tehdyt sopimukset?
Mitkä ovat kriittiset muutostarpeet?
Mikä on muutosprojektin aikataulu ja resursointi?
Asetuksen tarkoituksena on yhtenäistää EU:n alueella henkilötietojen käsittely. On laskettu, että tällä lailla on saavutettavissa jopa 2,3 miljardin euron hyödyt. Kun jatkossa kaikilla yrityksillä EU:ssa on samat säännöt henkilötietojenkäsittelyä varten, liiketoiminta tulee sujuvammaksi. Uudet säännöt antavat ihmisille paremmat mahdollisuudet määrätä miten ja missä heidän tietojaan käytetään sekä tarkistaa tietojensa oikeellisuus. Tämä lisää luottamusta ja vauhdittaa yritystoimintaa. On tutkittu, että nyt vain 15 % ihmisistä tuntee voivansa hallita täysin verkossa antamiaan tietoja.
Organisaatioiden tehtävänä on suojella niiden ihmisten oikeuksia, jotka luovuttavat niille tietojaan. Laki määrittelee miten tämä tehdään ja myös sanktiot siitä, jos lakia ei noudateta.
#tietosuoja #GDPR #henkilötiedot #tietosuojavaltuutettu
Linkkejä
EU komission ohje ”Tietosuoja paremmat säännöt pienten yritysten kannalta”:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/tiedotteet/z0PdCBWW7/Data_protection_infographic_FI-LR.pdf
Oikeusministeriön ohje
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
|
Kommentoi kirjoitusta.
Avainsanat:
GDPR,
tietosuoja,
henkilötiedot,
arbor vitae,
tietosuojavaltuutettu
|
|