On tärkeää tunnistaa tilanteet, joissa henkilötietojen käsittelyyn liittyy mahdollisesti korkeita riskejä rekisteröidyn oikeuksille ja vapauksille. Jos suunniteltu henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin, rekisterinpitäjän on tehtävä tietosuojaa koskeva vaikutustenarviointi. Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Tietosuojaa koskeva vaikutustenarviointi voidaan tehdä myös silloin, kun tietosuoja-asetus ei edellytä vaikutustenarvioinnin tekoa.
Lue lisää vaikutustenarvioinneista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Vaikutustenarvioinnin tekoon on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Rekisterinpitäjän ja käsittelijän on suojattava henkilötietoja luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta hävittämiseltä, tuhoutumiselta tai vahingoittumiselta. Suojatoimien riittävyyttä on punnittava suhteessa olosuhteisiin ja riskeihin.
Rekisterinpitäjällä on velvollisuus arvioida henkilötietojen käsittelyyn liittyviä riskejä. Rekisterinpitäjän on arvioitava, mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa ja mitä vahinkoja rekisteröidylle voi mahdollisesti aiheutua suunnitellusta henkilötietojen käsittelystä. Rekisterinpitäjällä on velvollisuus toteuttaa kaikki tarpeelliset toimenpiteet riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.
Lue käsittelyyn liittyvien riskien arvioimisesta tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Henkilötietojen käsittelyyn liittyvien riskien arviointiinon otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Esimerkiksi jos työntekijän käyttäjätunnus ja salasana joutuvat ulkopuolisten haltuun, on todennäköistä, että niiden avulla päästään käsiksi yrityksen henkilötietoihin.
Lue lisää tietoturvaloukkauksista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa organisaatiota tietosuojasäännösten noudattamisessa.
Lue tietosuojavastaavan nimittämisestä ja tehtävistä tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Tietosuoja-asetus ei kiellä tai estä henkilötietojen siirtämistä Euroopan talousalueen ulkopuolelle. Henkilötietojen siirto ETA-alueen ulkopuolelle edellyttää kuitenkin muiden tietosuojalainsäädännön vaatimusten noudattamisen lisäksi erityistä siirtoperustetta. Tietojen siirto ETA-alueen ulkopuolelle tapahtuu esimerkiksi silloin, jos yritys käsittelee henkilötietoja pilvipalvelussa, jonka tarjoaa ETA-alueen ulkopuolella sijaitseva organisaatio.
Komission päätös tietosuojan riittävyydestä kyseisessä maassa on henkilötietojen siirron ensisijainen siirtoperuste, kun tietoja siirretään ETA-alueen ulkopuolelle. Jos komissio ei ole antanut tietosuojan riittävyyttä koskevaa päätöstä, yrityksen on määriteltävä siirroille jokin muu peruste, kuten Komission hyväksymät vakiosopimuslausekkeet.
Lue lisää tietojen siirtoihin liittyvistä vaatimuksista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Tietosuoja-asetus asettaa yrityksille erilaisia velvollisuuksia riippuen siitä, missä roolissa yritys käsittelee henkilötietoja. Mahdollisia tietosuoja-asetuksessa määriteltyjä rooleja ovat rekisterinpitäjä, yhteisrekisterinpitäjä ja henkilötietojen käsittelijä.
Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti ja sen alaisuudessa.
Henkilötietojen käsittelijä voi olla esimerkiksi IT-palveluntarjoaja, joilla on pääsy rekisterinpitäjän henkilötietoihin. Rekisterinpitäjän tulee tehdä käsittelijän kanssa sopimus tai muu oikeudellinen asiakirja, jossa määritellään kunkin osapuolen velvollisuudet ja joka kattaa tietosuoja-asetuksen 28 artiklan edellyttämän tietosisällön.
Lue lisää käsittelijän roolista ja velvollisuuksista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Henkilötietojen käsittelyn osallistuvien osapuolten rooleihin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Lähtökohtaisesti rekisterinpitäjä ei saa tehdä rekisteröityjä koskevia päätöksiä, jotka perustuvat pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja joilla on rekisteröityä koskevia oikeusvaikutuksia tai jotka vaikuttavat rekisteröityihin vastaavalla tavalla merkittävästi (esimerkiksi luottopäätös tai rekrytointipäätös, joka tehdään automaattisesti siten, että luonnollinen henkilö ei osallistu päätöksentekoon). Automaattinen päätöksenteko on kuitenkin sallittua poikkeustapauksissa.
Lue lisää automatisoiduista yksittäispäätöksistä ja profiloinnista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Automatisoituihin yksittäispäätöksiin ja profilointiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Rekisteröidyllä on tietyissä tilanteissa oikeus vastustaa henkilötietojensa käsittelyä eli pyytää, että niitä ei käsiteltäisi ollenkaan. Tällöin tietojen käsittely on lopetettava, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Lue lisää oikeudesta vastustaa tietojen käsittelyä tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Oikeuteen vastustaa tietojen käsittelyä on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Rekisteröidyllä on oikeus saada tiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
Lue lisää oikeudesta siirtää tiedot järjestelmästä toiseen tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Rekisteröidyllä on oikeus pyytää rekisterinpitäjää rajoittamaan häntä koskevien henkilötietojen käsittelyä esimerkiksi silloin, kun rekisteröity kiistää henkilötietojen paikkansapitävyyden. Tällöin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden.
Lue lisää oikeudesta rajoittaa tietojen käsittelyä tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee häntä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötiedot täydennettyä.
Lue lisää oikeudesta oikaista tietoja tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Rekisteröidyllä on oikeus saada tietonsa poistetuksi. Rekisteröidyn oikeutta poistaa omia tietojaan kutsutaan myös oikeudeksi tulla unohdetuksi. Oikeus saada tiedot poistetuksi on esimerkiksi silloin, kun tiedot eivät enää ole tarpeellisia niihin tarkoituksiin, joita varten ne alun perin kerättiin. Tietojen poistaminen ei aina ole mahdollista, esimerkiksi silloin, jos tietoja tulee säilyttää lakisääteisen velvoitteen noudattamiseksi.
Lue lisää oikeudesta saada poistaa tiedot tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Oikeuteen poistaa tiedot on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitteleekö rekisterinpitäjä häntä koskevia henkilötietoja. Rekisteröidyllä on myös oikeus tutustua tietoihinsa. Jos rekisteröidyn tietoja käsitellään, rekisterinpitäjän on toimitettava rekisteröidylle jäljennös käsiteltävistä henkilötiedoista. Jäljennöksen lisäksi rekisteröidylle on annettava muut tiedot käsittelyyn liittyen, kuten tieto käsittelyn tarkoituksista, vastaanottajista ja tietojen säilytysajoista.
Lue lisää oikeudesta saada tutustua tietoihin tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Tarkastusoikeuteen on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Rekisterinpitäjän on varmistettava, että rekisteröidyn on helppoa käyttää tietosuojaoikeuksiaan. Rekisteröidyille on kerrottava, miten oikeuksia voi käyttää. Lisäksi yrityksen yhteystietojen on oltava helposti löydettävissä.
Rekisterinpitäjän on huolehdittava siitä, että rekisteröityjen oikeudet toteutetaan asetuksen edellyttämissä määräajoissa. Pääsääntöisesti rekisteröidylle täytyy vastata ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, rekisterinpitäjä voi pyytää henkilöä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi.
Lue lisää eri oikeuksista:
Menettelyyn oikeuksien toteuttamiseksi on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
”Seloste käsittelytoimista” menee usein sekaisin tietosuojaselosteen kanssa. Seloste käsittelytoimista on yrityksen sisäinen asiakirja, jonka tarkoituksena on osoittaa, että yritys noudattaa tietosuojavelvoitteitaan (tietosuojaseloste taas on rekisteröidyille suunnattu asiakirja). Selosteeseen käsittelytoimista kirjataan muun muassa käsittelyn tarkoitukset, tietojen luovutukset ja säilytysajat. Joissakin tapauksissa tietosuoja-asetus edellyttää, että yritys laatii selosteen käsittelytoimista tietosuoja-asetuksen mukaisesti. Henkilötietojen käsittelyn kirjaaminen ylös on hyödyllistä käsittelyn hahmottamiseksi myös silloin, kun tietosuoja-asetus ei edellytä kirjallisen kuvauksen tekoa.
Lue lisää käsittelytoimia koskevasta selosteesta tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Selosteeseen käsittelytoimista on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Erityisiä henkilötietoryhmiin kuuluvia henkilötietoja ovat rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveytä koskevat tiedot, seksuaalinen suuntautuminen tai käyttäytyminen ja henkilön tunnistamiseen käytetyt geneettiset ja biometriset tiedot. Näiden tietojen käsittely on lähtökohtaisesti kiellettyä, mutta sallittua poikkeustapauksissa. Poikkeusperuste voi olla esimerkiksi se, että rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn.
Lue lisää erityisten henkilötietoryhmien käsittelystä tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Erityisten henkilötietoryhmien käsittelyyn on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Tietosuoja-asetus edellyttää, että kaikelle henkilötietojen käsittelylle on tunnistettu jokin laissa säädetty peruste, kuten lakisääteinen velvoite, sopimus tai rekisteröidyn antama suostumus. Peruste on määritettävä ennen käsittelyn aloittamista.
Lue lisää käsittelyn perusteista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Käsittelyn oikeusperusteisiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Käyttötarkoitussidonnaisuus on yksi henkilötietojen käsittelyn keskeisistä periaatteista. Henkilötietojen käsittelyn tarkoitus on suunniteltava ja määritettävä selkeästi ennen käsittelyn aloittamista. Henkilötietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietoja ei saa käsitellä alkuperäisten tarkoitusten kanssa yhteensopimattomalla tavalla myöhemmin.
Lue lisää käyttötarkoitussidonnaisuudesta tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Käyttötarkoitussidonnaisuuteen on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Läpinäkyvyys on yksi henkilötietojen käsittelyn keskeisistä periaatteista. Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa. Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.
Tietosuoja-asetuksessa säädetään siitä, mitä tietoja rekisteröidyille pitää antaa. Informoinnin yhteydessä tulee kertoa mm. kuka on rekisterinpitäjä, mitä tarkoitusta varten rekisteröidyn henkilötietoja tarvitaan, kuinka kauan henkilötietoja tarvitaan ja miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan.
Lue lisää rekisteröityjen informoinnista tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Tutustu Euroopan tietosuojatyöryhmän (WP29) läpinäkyvyyttä koskevaan ohjeeseen: Guidelines on transparency under Regulation 2016/679
Läpinäkyvyyteen ja rekisteröityjen informointiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Vaikka tiedot olisivat pseudonymisoitu, niiden avulla yksilö voidaan edelleen erottaa joukosta ja yhdistää eri tietoaineistoissa. Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että yksittäistä henkilöä ei enää voida tunnistaa niistä. Tiedot voidaan esimerkiksi karkeistaa yleiselle tasolle (aggregoida) tai muuttaa tilastolliseen muotoon siten, etteivät yksittäistä henkilöä koskevat tiedot ole enää tunnistettavassa muodossa. Jotta tieto voidaan katsoa anonyymiksi, anonymisointi tulee toteuttaa peruuttamattomasti.
Lue lisää tietojen pseudonymisoinnista ja anonymisoimisesta tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Tutustu Euroopan tietosuojatyöryhmän (WP29) lausuntoon anonymisointitekniikoista (pdf). Ohje sisältää esimerkkejä tekniikoista, joilla tiedot voidaan muuttaa anonyymiksi eli sellaiseen muotoon, ettei henkilöä voida enää tunnistaa niistä.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Tietojen anonymisointiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Säilytyksen rajoittaminen on yksi keskeisistä henkilötietojen käsittelyn periaatteista. Henkilötietoja saa säilyttää vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten. Säilytysaika on siis rajoitettava minimiin. Tietosuoja-asetuksessa ei ole määritelty tarkkoja henkilötietojen säilytysaikoja. Rekisterinpitäjän on arvioitava henkilötietojen säilytysaikaa ja tarpeellisuutta kysymyksessä olevaa käyttötarkoitusta vasten. Henkilötietoihin saattaa myös soveltua lainsäädäntöä, kuten esim. kirjapitolaki joka vaatii tai ohjaa säilyttämään tietoja tietyn ajan.
Lue lisää säilytyksen rajoittamisesta tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Säilytyksen rajoittamiseen on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja esimerkiksi tuhoutuu, häviää, muuttuu tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille ja toimia tämän riskin pohjalta. Webinaarissa tarjotaan tukea tietoturvaloukkausten arviointiin sekä vinkkejä toimimiseen loukkausten pohjalta.
9.00-9.05 Hankkeen ajankohtaisia asioita | Tietosuojavaltuutetun toimisto ja TIEKE
9.05-9.50 Tietoturvaloukkausten arviointi | Tomi Mikkonen, Privaon
9.50-10.00 Kysymyksiä ja keskustelua
Tomi Mikkonen on yksi Privaon Oy:n perustajista ja Chief Technology Officer.
Tietosuoja-asetus vaatii, että yrityksen tulee nimittää tietosuojavastaava jos se esimerkiksi käsittelee laajamittaisesti arkaluontoisia tietoja tai seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti. Tietosuojavastaavan nimittäminen muissakin tapauksissa saattaa kuitenkin olla hyödyllistä.
Webinaarissa kerrotaan, millon tietosuojavastaava tulee nimetä, ja mitä vastaavan tehtäviin oikeastaan sisältyy.
Harto Pönkä (KM) on ohjelmistoalan yrittäjä, tietokirjailija sekä kouluttaja. Pönkä on pitänyt yrityksille, kunnille, oppilaitoksille ja järjestöille tietosuoja- ja GDPR-koulutuksia vuodesta 2017 lähtien sekä konsultoinut GDPR:n käytännön soveltamiseen liittyvissä asioissa.
Hankkeen päätösseminaari järjestettiin Helsingissä Tapahtumatalo Bankissa 22.9.2022. Seminaarin teemana oli pk-yritysten tietosuojaosaaminen ja sen kehittäminen muuttuvassa toimintaympäristössä.
Seminaarissa kuultiin puheenvuoroja mm. GDPR2DSM-hankkeen (2020-2022) tuloksista ja tietosuojatyökalusta, yrityksiä koskevasta tulevasta datasääntelystä, tietosuojavaltuutetun toimiston ajankohtaisista asioista sekä hyvin toteutetun tietosuojan hyödyistä pk-yrityksille.
GDPR2DSM-hankkeen tulokset ja työkalun esittely | Meeri Blomberg, ylitarkastaja, tietosuojavaltuutetun toimisto
Tulevan datasääntelyn vaikutus pk-yritysten toimintaan | Kristo Lehtonen, reilun datatalouden teemajohtaja, Sitra
Tietosuoja pk-yritysten kilpailutekijänä | Reijo Aarnio, vanhempi neuvonantaja, Sitra
Henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käsittelyn tarkoituksen kannalta. Henkilötietojen oikean määrän arvioimiseksi on selkeästi tunnistettava se syy, miksi kyseisiä henkilötietoja tarvitaan. Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.
Tietojen minimointiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
Henkilötietoja ovat kaikki tiedot, joiden perusteella ihminen voidaan tunnistaa suoraan tai epäsuorasti, kuten nimi, puhelinnumero, sähköpostiosoite tai kotiosoite. Tietosuoja-asetus koskee henkilötietoja ja asettaa velvollisuuksia yrityksille ja organisaatioille, jotka käsittelevät henkilötietoja.
Henkilötietojen käsittely tarkoittaa esimerkiksi henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat henkilötietojen käsittelyä.
Lue lisää tietosuojavaltuutetun toimiston verkkosivuilta:
Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.
Sympa aloitti seuraamaan tietosuoja-asetuksen valmistelua jo vuonna 2015 tunnistettuaan, että vielä neuvotteluvaiheessa oleva asetus tulee vaikuttamaan yrityksen toimintaan oleellisesti. Sympan mukaan yrityksen toiminnan kannalta oli oleellista tehdä valinta sen välillä, nähdäänkö tietosuoja uhkana vai mahdollisuutena. Sympalla lähdettiin pohtimaan sitä, miten tietosuojasta tehdään mahdollisuus ja yrityksen menestystekijä.
Tietosuoja-asetuksen astuessa voimaan Sympa koki suurimmaksi haasteekseen tietosuoja-asetuksen yleisluonteisuudesta johtuvan epäselvyyden. Joidenkin asetuksen kohtien tulkinta oli haastavaa, eikä ennakkotapauksia vielä oikeastaan ollut. Apua työskentelyyn löydettiin valvontaviranomaisten, kuten Iso-Britannian tietosuojavaltuutetun toimiston sivujen konkreettisista esimerkeistä.
Sympa järjesti jo varhaisessa vaiheessa tietosuojakoulutusta henkilöstölle ja asiakkaille. Tavoitteena oli, että yritys olisi ”GDPR-yhteensopiva” heti tietosuoja-asetuksen astuessa voimaan. Muun valmistautumisen lisäksi Sympalla toteutettiin ja päivitettiin tietoturvasertifiointeja. Sympa on onnistunut erinomaisesti asettamissaan tavoitteissa.
Kun Sympan palvelua kehitetään ja asiakkaita neuvotaan palvelun käytössä, Sympan henkilöstön on osattava huomioida tietosuoja-asetuksen vaatimukset. Henkilöstön tietosuojaosaaminen on siis ollut avainasemassa tietosuojan toteutumisen kannalta. Henkilöstön on osattava myös tunnistaa ongelmat ja kysymykset, joihin oma osaaminen eri riitä ja joihin vastaamiseen tarvitaan erityistä tietosuoja-asiantuntemusta.
”Henkilötietojen on oltava ajan tasalla, saatavilla ja suojassa.”
Osaamisen kehittämisessä on pyritty jatkuvaan ohjeistukseen ja koulutukseen. Oleellista on ollut tarkastella tietosuojaa positiivisena asiana: hyvin hoidetun tietosuojan avulla yritys erottuu kilpailijoista myönteisessä valossa. Henkilöstöä ei ole haluttu motivoida pelkästään sen kautta, että lainsäädäntöä on pakko noudattaa. Koulutuksissa on tarvittu yksinkertaisia määritelmiä abstrakteille käsitteille. Eräs Sympan yksinkertaistettu määritelmä tietosuoja-asetukselle on ollut: ”henkilötietojen on oltava ajan tasalla, saatavilla ja suojassa”.
Koulutuksissa on lähdetty liikkeelle yksinkertaisista ja konkreettisista asioista, kuten siitä, miten tiedot organisaation työntekijöistä pidetään ajan tasalla. Alusta saakka on pyritty välttämään ylätason koulutuksia, jotka eivät vastaa käytännön haasteita. Tärkeintä koulutuksissa ovatkin olleet konkreettiset esimerkit siitä, miten tietosuoja näkyy koulutettavan omissa työtehtävissä, sekä eri toiminnoissa ja tiimeissä. Esimerkiksi markkinointiosasto on oppinut, miten juuri he voivat työssään edistää tietosuojan toteutumista.
1. Näe hyödyt omalle liiketoiminnalle
Pääasia on, että tietosuojasta ei tehdä liian isoa mörköä. Yrityksen tulisi pyrkiä näkemään tietosuojasääntelyn hyödyt ja muuttamaan tietosuojan yritykselle positiiviseksi asiaksi. Tietosuojavaatimusten hoitaminen kunnolla tukee liiketoimintaa ja voi olla yritykselle myyntivaltti.
2. Selvitä oman yrityksen nykytilanne ja etene askel kerrallaan
Tietosuoja-asetus voi vaikuttaa haastavalta. Ei kannata välttämättä käydä suoraan asetuksen lakitekstiä läpi, siinä ”voi eksyä”. Kannattaa sitä vastoin edetä askel kerrallaan ja aloittaa pienistä asioista. Yrityksen on hyvä aloittaa tarkastelemalla omaa palvelua ja tuotteitaan. Jotta yrityksen tietosuojaa voidaan kehittää paremmaksi, on selvitettävä ensin se, mikä on yrityksen nykytilanne henkilötietojen käsittelyn suhteen.
3. Kouluta henkilöstö konkreettisilla esimerkeillä
Henkilöstön koulutusta ei pidä jättää abstraktille tasolle. Jos jätetään, niin myös henkilöstön osaaminen voi jäädä yleiselle tasolle, eivätkä ihmiset osaa soveltaa tietosuojaa koskevia ohjeita käytännössä. Kullekin henkilöstöryhmälle tulee olla omat koulutuksensa ja heidän työtehtäviinsä liittyviä käytännön esimerkkejä.
4. Hyödynnä saatavilla olevia työkaluja
Hyödynnä saatavilla olevia itsearviointi- ja vaikutustenarviointityökaluja. Työkalut voivat auttaa hahmottamaan, mitä ja kenen henkilötietoja yritys käsittelee ja millä tavalla. Kartoituksien kautta saadaan selville mahdolliset aukot ja puutteet. Tuloksena muodostuu tehtävälista ja sitten sitä vain lähdetään toteuttamaan tehtävä kerrallaan. ”Ei se ole muuta kuin kovaa duunia”, totesivat sympalaiset.
5. Kansainvälisessä toiminnassa varmista kohdemaan lainsäädäntö
Yrityksen lähtiessä laajentamaan toimintaansa ulkomaille, on tiedettävä mitä kohdemaan lakeja yrityksen palveluun tai tuotteeseen sovelletaan. Vaikka tietosuoja-asetusta sovelletaan kaikissa EU-maissa, kohdemaassa saattaa olla tietosuoja-asetuksen lisäksi muita henkilötietojen käsittelyyn vaikuttavia lakeja. Lisäksi se, minkä maan lakia sovelletaan, kannattaa huomioida sopimuksissa. Tietosuoja-asetuksen lisäksi tulee huomioida palvelun myyntiin liittyvää lainsäädäntöä ja menettelytapoja.
Haastateltavina olivat Sympa Oy:n toimitusjohtaja Keijo Karjalainen ja Sympa Oy:n Head of legal Terho Nevasalo. Haastattelu toteutettiin huhtikuussa 2022.
Sympa Oy:n päätuote on henkilöstön hallintaan tarkoitettu palveluohjelmisto, jota käytetään pilvipalveluna. Palvelua käytetään noin 100 maassa ja sen käyttäjät toimivat tietosuojan näkökulmasta rekisterinpitäjän roolissa. Sympa toimii henkilötietojen käsittelijänä. Sympa katsoo, että heidän liiketoimintansa on ”henkilötietointensiivistä” eli se koostuu pääosin henkilötietojen käsittelystä. Yritys on perustettu 2005 ja sen kotipaikka on Lahdessa. Työntekijöitä on 190.
Seloste käsittelytoimista on yrityksen sisäinen asiakirja, joka toimii kuvauksena organisaation tekemästä henkilötietojen käsittelystä. Sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Seloste käsittelytoimista on eri asia kuin tietosuojaseloste, joka on suunnattu rekisteröidyille, kuten yrityksen asiakkaille.
Joissakin tapauksissa tietosuoja-asetus edellyttää, että yritys laatii selosteen käsittelytoimista. Tule webinaariin oppimaan lisää siitä, milloin kyseinen seloste tulisi tehdä, mitä hyötyä siitä on yritykselle ja mitä selosteen pitäisi käytännössä sisältää.
Ville Vainio on Asianajotoimisto Applex Oy:n osakas ja asianajaja. Hän avustaa kotimaisia ja kansainvälisiä asiakkaita pk-yrityksistä pörssifirmoihin erityisesti tietosuoja- ja teknologiajuridiikan parissa. Ville on suorittanut arvostetun CIPP/E -tietosuojasertifioinnin ja hän kouluttaa säännöllisesti eri aloilla toimivia organisaatioita tietosuojalainsäädännön noudattamisessa.
Yritysten velvoitteena on arvioida niiden toiminnasta asiakkaille ja muille kuluttajille aiheutuvia tietosuojariskejä ja pyrkiä hallinnoimaan riskien vakavuutta ja vaikutuksia.
Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.
Miten vaikutustenarvioinnissa voi lähteä liikkeelle, ja minkälaisia työkaluja ja malleja arviointiin on olemassa? Webinaarissa tutustutaan aiheeseen ja annetaan käytännön vinkkejä.
Vera Pallasvesa työskentelee Asianajotoimisto DLA Piperilla tietosuojan parissa avustaen asiakkaita laajasti tietosuojaan liittyvissä asioissa.
Kameravalvonnan yhteydessä syntyy kuvia, joista ihmiset ovat tunnistettavissa, ja näin ollen kyse on henkilötietojen käsittelystä. Yleinen tietosuoja-asetus asettaa siis paljon vaatimuksia myös kameravalvonnan toteuttamiselle.
Miten huolehtia siitä, että henkilötietojen käsittelylle on kameravalvonnan yhteydessä lainmukainen peruste? Entä miten inforoimoida henkilötietojen käsittelystä osana valvontaa? Webinaarissa käsitellään paljon keskustelua herättänyttä aihetta tietosuojalainsäädännön näkökulmasta.
Kim Valtonen toimii Myyrbase ICT Oy:n toimitusjohtajana sekä Tietosuoja ry:n varapuheenjohtajana. Kimillä on pitkän linjan kokemusta tietotekniikasta sekä yksityiseltä turvallisuusalalta. Kimin tavoitteena on yhdistää tietotekniikkaa ja turvatekniikkaa sekä edistää tietosuojaan liittyvää tietämystä.
Jotta henkilötietojen käsittely on mahdollista, tulee sille määritellä laista löytyvä käsittelyperuste. Mahdollisia käsittelyperusteita on yhteensä kuusi, ja niiden joukossa on mm. usein sovellettu rekisteröidyn suostumus sekä paljon väärinkäsityksiä aiheuttava rekisterinpitäjän oikeutettu etu.
Mitä oikeutetulla edulla oikeastaan tarkoitetaan yritystoiminnassa? Missä tapauksissa esim. suoramarkkinointia voi tehdä oikeutettuun etuun vedoten? Tule webinaariin oppimaan oikeutetun edun soveltamisesta sekä vaaditun tasapainotestin tekemisestä.
Pirjo Väyrynen on toiminut pitkään sekä tietosuojan että median parissa ja tuottaa mm ulkoistettuja tietosuojavastaavan palveluja yrityksensä Pirannava Intelligence Oy:n kautta.
GDPR:n eli EU:n tietosuoja-asetuksen soveltaminen alkoi keväällä 2018. Turvaurakointia ja lukkoliiketoimintaa harjoittavia yrityksiä asetus koskettaa mm. turvatekniikasta ja kulunvalvontajärjestelmistä syntyvien henkilötietorekisterien kautta.
Miten turvaurakointia harjoittavat yritykset voisivat ähteä liikkeelle tietosuojan suhteen? Entä miten laki yksityisistä turvallisuuspalveluista (LYTP) vaikuttaa tilanteeseen? Tule webinaariin oppimaan monitahoisesta aiheesta! Tilaisuus järjestettiin GDPR2DSM-hankkeen ja Turvaurakoitsijat ry:n yhteistyönä.
Lähtökohdat GDPR:n ja LYTP:n valossa | Kim Valtonen ja Tuomas Wuorikoski
Ratkaisut, asiakkaiden informointi ja sopiminen | Kim Valtonen ja Tuomas Wuorikoski
Tietosuojavaltuutetun turvatekniikkaa koskevan päätöksen esittelyä | Meeri Blomberg, tietosuojavaltuutetun toimisto
Tuomas Wuorikoskella on pitkä kokemus yksityiseltä turvallisuusalalta sekä siihen liittyvien tutkintojen toteuttamisesta. Tuomaksen tavoitteen on edistää yksityisen turvallisuusalan toimijoiden osaamista ja toimintaedellytyksiä.
Kim Valtonen toimii Myyrbase ICT Oy:n toimitusjohtajana sekä Tietosuoja ry:n varapuheenjohtajana. Kimillä on pitkän linjan kokemusta tietotekniikasta sekä yksityiseltä turvallisuusalalta. Kimin tavoitteena on yhdistää tietotekniikkaa ja turvatekniikkaa sekä edistää tietosuojaan liittyvää tietämystä.
Meeri Blomberg toimii ylitarkastajana tietosuojavaltuutetun toimistolla.
Seminaari järjestettiin Oulussa Radisson Blu -hotellilla 17.3.2022.
08.30 Kahvia ja pientä purtavaa tarjolla
09.00 Pk-yrityksille suunnatun tietosuojasivuston esittely | tietosuojavaltuutetun toimisto ja TIEKE
09.40 Evästeet nettisivuilla – aiemmin tapahtunutta ja nykyinen linjaus | Harto Pönkä, Innowise
10.20 Kahvitauko
10.30 Tietosuojan perusteet – mistä lähteä liikkeelle tietosuojavaatimusten toteuttamisessa | Katariina Koski, I&O Partners
11.10 Käsittelijän rooli ja velvollisuudet | Mari-Ilona Korhonen, ylitarkastaja, tietosuojavaltuutetun toimisto
Harto Pönkä (KM) on ohjelmistoalan yrittäjä, tietokirjailija sekä kouluttaja. Pönkä on pitänyt yrityksille, kunnille, oppilaitoksille ja järjestöille tietosuoja- ja GDPR-koulutuksia vuodesta 2017 lähtien sekä konsultoinut GDPR:n käytännön soveltamiseen liittyvissä asioissa.
Katariina Koski toimii Senior Associate- juristina I&O Partners asianajotoimistossa. Katariinalla on monipuolinen kokemus tietosuojajuridiikasta ja hän avustaa asiakkaita laajasti erilaisissa tietosuojaan liittyvissä toimeksiannoissa.
Mari-Ilona Korhonen toimii ylitarkastajana tietosuojavaltuutetun toimistossa. Mari-Ilona vastaa erityisesti yksityisen sektorin toimijoiden tietosuojaa koskevista kysymyksistä ja rajatylittävistä asioista, joita Euroopan tietosuojaviranomaiset yhdessä käsittelevät.
Seminaari järjestettiin Jyväskylässä Hotelli Versossa 29.3.2022.
08.30 Kahvia ja pientä purtavaa tarjolla
08.30 Kahvia ja pientä purtavaa tarjolla
09.00 Keski-Suomen yrittäjien tervetulosanat | Keski-Suomen yrittäjien toimitusjohtaja Sanna-Mari Jyräkoski
09.05 Pk-yrityksille suunnatun tietosuojasivuston esittely | tietosuojavaltuutetun toimisto ja TIEKE
09.40 Tietosuoja kilpailuetuna! Ajankohtaiset vinkit yrittäjälle | Aino-Kaisu Renko, Pro Juridica
10.20 Jaloittelu/kahvitauko
10.30 Käsittelijän rooli ja velvollisuudet | Silja Kantonen, ylitarkastaja, tietosuojavaltuutetun toimisto
11.10 Rekisteröityjen informointi ja rekisteröidyn oikeudet | Katariina Koski, I&O Partners
11.50 Tilaisuuden lopetus
Aino-Kaisu Renko on sertifioitu asianajaja tietosuoja-asiantuntija (CIPP/E) ja hän vastaa Asianajotoimisto Pro Juridican tietosuojaa koskevasta praktiikasta. Rengolla on monipuolista kokemusta tietosuojaan liittyvistä toimeksiannoista aina dokumentaatioiden laadinnasta tietoturvaloukkauksissa avustamiseen ja aiheesta kouluttamiseen. Rengon erityisosaamiseen kuuluvat lisäksi yritysjärjestelyt, erilaiset kaupalliset sopimukset sekä ICT-alan oikeudelliset ongelmat.
Katariina Koski toimii Senior Associate- juristina I&O Partners asianajotoimistossa. Katariinalla on monipuolinen kokemus tietosuojajuridiikasta ja hän avustaa asiakkaita laajasti erilaisissa tietosuojaan liittyvissä toimeksiannoissa.
Silja Kantonen toimii ylitarkastajana tietosuojavaltuutetun toimistossa. Silja vastaa erityisesti finanssisektorin tietosuojakysymyksistä ja osallistuu Euroopan tietosuojaneuvoston alatyöryhmätyöhön tietosuoja-asetuksen täytäntöönpanoon liittyvien kysymysten osalta.
Seminaari järjestettiin Tampereella Museokeskus Vapriikissa 22.2.2022.
08.30 Kahvia ja pientä purtavaa tarjolla
09.00 Pirkanmaan yrittäjien tervetulosanat
09.05 Pk-yrityksille suunnatun tietosuojasivuston esittely | tietosuojavaltuutetun toimisto ja TIEKE
09.40 Käytännön tietoturvasuunnitelma henkilötietojen suojaamiseksi | Ismo Paananen, Agendium Oy
10.20 Jaloittelu/kahvitauko
10.30 Henkilötietojen tietoturvaloukkaukset | Tapio Kaikkonen, tietosuojavaltuutetun toimisto
10.50 Rekisteröidyn oikeuksien toteuttaminen – perusteita ja TSV:n ratkaisukäytäntöä | Laura Varjokari, tietosuojavaltuutetun toimisto
11.10 Keskustelupaneeli | Päivän asiantuntijat
11.50 Tilaisuuden lopetus
Ismo Paananen on Agendium Oy:n toimitusjohtaja, ja kehittää tiiminsä kanssa Digiturvamalli.fi -palvelua. Ismolla on tietosuojateknologian CIPT-sertifikaatti (Certified Information Privacy Technologist), ja hänen intohimonaan on löytää konkreettisia keinoja yritysten arjen digiturvallisuuden kehittämiseksi
Traficom julkaisi syyskuun puolivälissä uuden ohjeistuksen evästeiden käytölle nettisivuilla. Pk-yrityksen näkökulmasta uusi ohjeistus selkeyttää, miten evästeitä koskevia säännöksiä ja GDPR:n mukaista suostumusta tulisi tulkita.
Webinaarissa käydään läpi yhden yrityksen kokemukset evästeiden sääntelyn liittyvistä haasteista. Yrityksen näkökulmasta tietosuojasäännösten tulkinta voi aiheuttaa harmaita hiuksia, mutta myös tilaisuuden tuotekehitykseen, jossa tietosuoja nostetaan yhdeksi kilpailutekijäksi.
Harto Pönkä (KM) on ohjelmistoalan yrittäjä, tietokirjailija sekä kouluttaja. Pönkä on pitänyt yrityksille, kunnille, oppilaitoksille ja järjestöille tietosuoja- ja GDPR-koulutuksia vuodesta 2017 lähtien sekä konsultoinut GDPR:n käytännön soveltamiseen liittyvissä asioissa.
Yhä useampi yritys käyttää sosiaalisen median kanavia markkinoinnissaan. Vaikka perinteisemmän markkinoinnin osalta tietosuoja olisikin tuttua kauraa, saattavat somen tietosuojakysymykset olla hieman vieraampia.
Mitä olisi hyvä huomioida, kun yrityksenä jakaa julkaisuja sosiaalisessa mediassa? Entä mitä eroja on B2B ja B2C-markkinoinnissa tietosuojan näkökulmasta? Webinaarissa pureudutaan sosoiaalisen median markkinoinnin tietosuojaan ja siihen, miten yritys voi turvallisesti toimia erilaisissa palveluissa.
Pirjo Väyrynen on toiminut pitkään sekä tietosuojan että median parissa ja tuottaa mm ulkoistettuja tietosuojavastaavan palveluja yrityksensä Pirannava Intelligence Oy:n kautta.
Keräämme pk-yritysten tietosuojahaasteisiin liittyviä case-esimerkkejä. Olemme kiinnostuneita kuulemaan, miten yrityksessänne on onnistuttu jonkin haastavalta tuntuneen tietosuojavelvoitteen toteuttamisessa tai miten yrityksenne on hyötynyt tietosuojasta kilpailutekijänä.
Jos haluatte jakaa kokemuksianne, voitte laittaa meille sähköpostia osoitteeseen timo.simell@tieke.fi. Kokemukset julkaistaan sivustolla nimettömänä tai yrityksen toiveesta yritysten nimellä. Case-esimerkkien tarkoitus on kannustaa yrittäjiä laittamaan tietosuoja-asiat kuntoon.
Käyttäessään erilaisia palveluntarjoajia (esim. pilvipalvelut) yritykset antavat näille samalla henkilötietojaan käsiteltäviksi. Mutta tiedätkö, mistä valtioista käsin palveluntarjoaja yrityksesi henkilötietoja käsittelee, ja mitä vaatimuksia kansainvälisiin tiedonsiirtoihin liittyy?
Tule webinaariin kuulemaan, miten yrityksesi täytyy toimia noudattaakseen tietosuojalainsäädännön vaatimuksia henkilötietojen kansainvälisissä siirroissa ja miten siirroista tulee sopia tietoja käsittelevien palveluntarjoajien kanssa. Webinaarissa käsitellään erityisesti tiedonsiirtoa monien yritysten käyttämille yhdysvaltalaisille palveluntarjoajille, sillä EU:n tuomioistuimen Schrems II -ratkaisulla on kumottu tiedonsiirrot Yhdysvaltoihin aiemmin mahdollistanut Privacy Shield -järjestely.
Ville Vainio on Asianajotoimisto Applex Oy:n osakas ja asianajaja. Hän avustaa kotimaisia ja kansainvälisiä asiakkaita pk-yrityksistä pörssifirmoihin erityisesti tietosuoja- ja teknologiajuridiikan parissa. Ville on suorittanut arvostetun CIPP/E -tietosuojasertifioinnin ja hän kouluttaa säännöllisesti eri aloilla toimivia organisaatioita tietosuojalainsäädännön noudattamisessa.
Läpinäkyvyyden merkitys on korostunut viimeaikaisessa ratkaisukäytännössä. Tietosuojaseloste on kuin elintarvikkeiden tuoteseloste – omat henkilötietojen käsittelyprosessit on tunnettava ennen sisällön laatimista. Koulutuksessa kuulet, mitä hyötyä läpinäkyvyydestä voi olla, ja miten rakennat selkeän ja ymmärrettävän tietosuojaselosteen.
Heikki Tolvanen toimii Chief Legal Engineerinä PrivacyAntilla ja hänellä on laajaa kokemusta niin tietojenkäsittelystä ja koodaamisesta kuin juridiikastakin. Heikki on työskennellyt sekä rekisterinpitäjien että henkilötietojen käsittelijöiden palveluksessa. Heikillä on perusteellinen ymmärrys eri maiden sekä eurooppalaisesta tietosuojasääntelystä, tietosuojaohjelmien organisoinnista ja johtamisesta ja keskeisistä tietosuojakäytännöistä.
Ann-Marie Söderholm toimii General Counselina PrivacyAntilla, Ennen PrivacyAntille siirtymistä Ann-Marie on muun muassa tuottanut erilaisia sisältöjä ja digitaalisia työkaluja tietosuojavastaaville.
Miten tietosuoja ja kuluttajansuoja liittyvät verkkokaupan suunnitteluun ja ulkopuolisten palveluntarjoajien käyttöön? Mitä asioita verkkosivujen luojien on otettava huomioon, jotta mahdollistetaan yrityksille tietosuojalainsäädännön sekä kuluttajansuojalain mukainen toiminta? Webinaarissa esitellään, mitä tietosuojahaasteita palveluntarjoajien käytöstä voi aiheutua ja mitä havaintoja kuluttaja-asiamies on tehnyt valvoessaan kaupankäynnin alustoja.
Tietosuoja ja ulkopuoliset palveluntarjoajat verkkokaupassa | Mari-Ilona Korhonen, tietosuojavaltuutetun toimisto
Kuluttajansuoja ja ulkopuoliset palveluntarjoajat verkkokaupassa | Satu Wideen, Kilpailu- ja kuluttajavirasto
Verkkokaupan hallinnointi on arkea yhä useammalle yritykselle, mutta tiedätkö, mitä velvoitteita tietosuojalainsäädäntö ja kuluttajansuojalaki asettavat käyttäjän informoinnille verkkokaupassa? Webinaarissa käydään läpi ajankohtaista lainsäädäntöä esimerkkien kautta.
Käyttäjän informointi verkkokaupassa tietosuojan näkökulmasta | Mari-Ilona Korhonen, tietosuojavaltuutetun toimisto
Käyttäjän informointi verkkokaupassa kuluttajansuojan näkökulmasta | Saija Kivimäki, Kilpailu- ja kuluttajavirasto
Saija Kivimäki työskentelee erityisasiantuntijana Kilpailu- ja kuluttajavirastossa yleisten markkinointiin ja sopimusehtoihin liittyvien asioiden parissa. Useimmat työtehtävät koskevat verkkokaupankäyntiä.
Mari-Ilona Korhonen toimii tietosuojavaltuutetun toimistossa ylitarkastajana, pääasiallisena vastuualueenaan yksityisen sektorin tietosuojakysymykset ja rajat ylittävät asiat. Mari vastaa muun muassa suoramarkkinointia ja viestintä- ja suoratoistopalveluita koskevista kysymyksistä.
Yritysten velvoitteena on arvioida niiden toiminnasta asiakkaille ja muille kuluttajille aiheutuvia tietosuojariskejä ja pyrkiä hallinnoimaan riskien vakavuutta ja vaikutuksia. Jos yritys ei tunnista omaan toimintaansa liittyviä tietosuojariskejä, ei se pysty myöskään estämään niiden seurauksia. Tämä voi pahimmillaan vaikuttaa yrityksen liiketoimintaan esimerkiksi mainehaittana ja asiakkaiden luottamuksen menettämisenä.
Hyvin hoidettu tietosuojariskeihin varautuminen puolestaan mahdollistaa yrityksen resurssien keskittämisen olennaisiin riskeihin ja siten tehokkaamman riskien ehkäisyn.
Webinaarissa tarkastellaan, mitä ovat korkeariskiset henkilötietojen käsittelytilanteet, miten yritykset voivat tunnistaa tällaisia korkeariskisiä käsittelytilanteita ja miten riskien hallintaa voi edistää tietosuojan hallintamallin avulla.
Hanna Parviainen on CIPP/E-sertifioitu (Certified Information Privacy Professional / Europe) tietosuoja-asiantuntija. Hanna on toiminut ulkoistettuna tietosuojavastaavana suomalaisille organisaatioille ja kehittänyt yrityksille tietosuojariskien hallintamalleja.
Aleksi Nieminen avustaa asiakkaita pääasiassa kotimaisissa ja kansainvälisissä tietosuojakysymyksissä. Aleksi on ollut kehittämässä asiakkaiden tietosuojariskien hallintaa sekä vaikutustenarviointeihin liittyviä käytäntöjä.
Jokainen pk-yritys kohtaa jossain määrin yksilöllisiä tietosuojahaasteita, mutta silti suurin osa yrityksistä painii samankaltaisten asioiden parissa. Webinaarissa tarjotaan yleiskatsaus pk-yritysten yleisimpiin tietosuojahaasteisiin.
Petteri Salokangas on Asiakkuuspäällikkönä Citrus Solutions Oy:ssä, ja vastaa Citruksen MyGDPR-palvelusta, jolla on pystytty auttamaan varsinkin PK-sektorin yrityksiä tietosuojalain vaatimusten kanssa.
Useat yritysten tietosuojahaasteista liittyvät tietoturvaongelmiin, joiden takia henkilötietoja joutuu vääriin käsiin. Iso osa tietoturvan parantamiseen liittyvistä toimenpiteistä on kuitenkin kaikkien yritysten saatavilla ilman merkittäviä investointeja.
Webinaarissa käydään läpi jokaiselle yritykselle sopivaa tietoturvan kehityssuunnitelmaa, jonka avulla tietosuojaongelmia voidaan ehkäistä ja muutenkin parantaa yrityksen kykyä selvitä ongelmatilanteista.
Ismo Paananen on Agendium Oy:n toimitusjohtaja, ja kehittää tiiminsä kanssa Digiturvamalli.fi -palvelua. Ismolla on tietosuojateknologian CIPT-sertifikaatti (Certified Information Privacy Technologist), ja hänen intohimonaan on löytää konkreettisia keinoja yritysten arjen digiturvallisuuden kehittämiseksi
Tietosuoja on läsnä henkilötietojen käsittelyn ulkoistustilanteissa. Rekisterinpitäjä saa käyttää ainoastaan tietosuojakelpoisia toimittajia, eli henkilötietojen käsittelijöitä. Miten tietosuojakelpoisuutta kannattaa ulkoistuskumppaneilta vaatia ja miksi tieto kelpoisuudesta kannattaa myös itse julkaista?
Juha Oravala on toinen D-Fence Oy:n perustajista, aktiivinen tietosuojaosaaja ja Tietosuoja ry:n puheenjohtaja. Juha on erityisen kiinnostunut tietosuojan liiketoiminnallisesta hyödyntämisestä.
