AJANKOHTAISTA

2.7.2018

Milloin tulee nimittää tietosuojavastaava, DPO?

Yleisen tietosuoja-asetuksen 37 artiklan 1 kohdan mukaan tietosuojavastaavan (Data Protection Officer, DPO) nimittäminen on pakollista kolmessa tapauksessa:

  1. Tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin.
  2. Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai
  3. Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin. Henkilötietoryhmiä voi olla esim. etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys tai luonnollisen henkilön seksuaalinen käyttäytyminen.

Mitä kohdassa kaksi olevat "ydintehtävät" ovat ja kuinka tulkitaan "laajamittainen", "säännöllinen" ja "järjestelmällinen" seuranta?

EU:n tietosuojatyöryhmä Working Party 29:n (”WP29”) mukaan ”ydintehtävät” tarkoittavat toimintaa, joko ovat keskeisiä rekisterinpitäjän tai käsittelijän tavoitteiden saavuttamiseksi. WP29 antaa esimerkkeinä:

  • Lääkäriasemien ydintoiminta on terveyspalveluiden tarjoaminen, mutta eivät pysty tarjoamaan tätä ilman potilastietojen käsittelyä, jolloin tämä tulkitaan ydinliiketoiminnaksi
  • Vartiointiliikkeet, jotka valvovat ostoskeskusten turvallisuutta. Tämä toiminta tulkitaan henkilötietojen käsittelyksi.
  • Kun taas kaikki yritykset maksavat kaikille työntekijöilleen palkkaa tai tarjoavat henkilöstölle IT-palveluita, tätä ei tulkita yrityksen ydintoiminnaksi

Mitä ”laajamittainen” sitten tarkoittaa? GDPR:ssä sitä ei ole tarkasti määritelty, mutta WP29:ltä odotetaan tähän tarkennuksia. Esimerkkejä laajamittaisesta keräämisestä voisi olla esimerkiksi:

  • Liikenneyhtiöiden matkustajatiedot
  • Etu- tai jäsenkortit
  • Hakukoneiden tietojenkäsittely
  • Puhelinyhtiöiden asiakkaiden puhelu- ja datatiedot
  • Ravintoloiden asiakkaiden reaaliaikaisten sijaintitietojen käsittely tilastollisia tarkoituksia varten

Tietosuojatyöryhmän tulkinnan mukaan ’säännöllisellä’ tarkoitetaan yhtä tai useampaa seuraavista:

  • toiminta jatkuu tai toteutetaan tietyin aikavälein tietyn ajan
  • toiminta toistuu tai toistetaan määritettyinä aikoina
  • toiminta on jatkuvaa tai ajoittaista.

Tietosuojatyöryhmän tulkinnan mukaan ’järjestelmällisellä’ tarkoitetaan yhtä tai useampaa seuraavista:

  • Toiminta on järjestelmän mukaista
  • toiminta on ennalta järjestettyä, organisoitua tai menetelmällistä
  • toiminta toteutetaan osana yleistä tiedonkeruusuunnitelmaa
  • toiminta toteutetaan osana strategiaa.

Seuraavat ovat esimerkkejä toiminnoista, jotka voivat olla rekisteröityjen säännöllistä ja järjestelmällistä seurantaa:

  • tietoliikenneverkon ylläpito;
  • tietoliikennepalvelujen tarjonta;
  • uudelleenmarkkinointi sähköpostitse (retargeting);
  • dataohjattu markkinointitoiminta
  • profilointi ja pisteyttäminen riskinarviointia varten (esim. luottoluokitusta, vakuutusmaksujen määrittämistä, petosten torjuntaa tai rahanpesun havaitsemista varten);
  • sijainnin seuraaminen (esim. mobiilisovellusten avulla);
  • kanta-asiakasohjelmat;
  • käyttötottumuksia seuraava mainonta;
  • hyvinvointi-, liikunta- ja terveystietojen seuranta puettavien laitteiden avulla;
  • videovalvonta;
  • verkkoon liitetyt laitteet, kuten älymittarit, älyautot ja kodin automaatio

Myös muut organisaatiot voivat halutessaan nimittää tietosuojavastaavan

Tietosuojavastaava voi olla organisaation oma työntekijä tai tehtävä voidaan hankkia ostopalveluna. Tietosuojavastaavaa nimitettäessä on kiinnitettävä huomiota mm. seuraaviin seikkoihin:

  • Ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus.
  • Muiden ammatillisten velvollisuuksien yhteensovittaminen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa niin, että eturistiriitoja ei synny. Tässä onkin syytä olla tarkkana. Tulkintani mukaan DPO:na ei tulisi olla esimerkiksi IT-vastaava, joka vastaa tietoturvasta ja järjestelmien tietojen säilytyksestä.
  • Tietosuojavastaava voidaan erottaa toimestaan vain jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:

  • Antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja
  • Seurata, että noudatetaan asetusta
  • Antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista DPIA ja valvoa sen toteutusta. DPO voi opastaa esimerkiksi
    • Onko DPIA syytä tehdä, mitä menetelmiä DPIA:aa tehtäessä olisi käytettävä ja tai jos jo tehty, onko se jo tehty oikein.
    • Kannattaako tietosuojaa koskeva vaikutustenarviointi toteuttaa organisaation sisäisesti vai ulkoistaa sen tekeminen
  • Tehdä yhteistyötä valvontaviranomaisen kanssa
  • Toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä

Millaisia tietosuojavastaavia etsitään?

Tein talvella pienimuotoisen tutkimuksen (n=30) siihen, millaisia tietosuojavastaavia etsitään organisaatioihin. Tuolloin julkisia työpaikkailmoituksia ei Suomessa käytännössä ollut kuin ihan pari kappaletta. Tässä tiivistelmät kuvien muodossa

  • DPO:n tehtävänkuvauksesta. Tämän mukaan siis lähes kaikissa työpaikkailmoituksissa DPO:n tehtäviin kuului organisaation tietosuojastrategian ylläpito ja dokumentointi.
  • DPO:n osaamisvaatimukset. Suurimassa osassa työpaikkailmoituksia painotettiin johtamis- ja viestintäosaamista, mutta yllättävän pieni painoarvo oli sertifioinnilla tai aiemmalla koulutuksella.

Tietosuojavastaava palveluna vai omassa organisaatiossa?

Keräsin alla olevaan taulukkoon mahdollisimman objektiivisen näkemykseni siitä, tulisiko DPO olla oman organisaation jäsen vai kannattaisiko hankkia palveluna. Aika monen organisaation voisi mielestäni kannattaa harkita DPO:n hankkimista palveluna, jo pelkästään joustavuuden kannalta.


Dig1:lta tietosuojavastaava palveluna!

Dig1 tarjoaa ulkoistettuja DPO:n palveluita. Mikäli organisaationne tarvitsee tietosuojavastaavan, olkaa yhteydessä (Ismo, 050 3065 432 tai ismo@dig1.fi), niin katsotaan teille sopiva palvelupaketti.

27.4.2018

GDPR siirtymäaika umpeutuu - mitä seuraavaksi?

Nyt kun EU:n tietosuoja-asetuksen (GDPR) siirtymäajan takaraja on enää kuukauden päässä, pitää organisaatioiden olla valmiita ottamaan GDPR osaksi päivittäistä toimintaansa. Työkaluamme kehitetään jatkuvasti tukemaan myös ”takarajan jälkeistä elämää”. Olemme valmistautuneet tukemaan asiakkaitamme myös toukokuun jälkeen lisäämällä joitain uusia ominaisuuksia.

Tekemiämme parannuksia ovat:

  • Organisaation henkilörekisterit: Tänne voidaan vaivatta kirjata yhteen paikkaan mitä henkilötietoja sisältäviä rekisterejä organisaatiolla on käytössä. Näiden kirjaaminen helpottaa reagoimaan rekisteröidyn mahdollisesti esittämiin pyyntöihin.
  • Tietosuojaloki: GDPR edellyttää kykyä osoittaa kuinka rekisteröidyn esittämiin pyyntöihin on vastattu organisaatioissa. Tämä lisätyökalu mahdollistaa sekä rekisteröityjen pyyntöjen dokumentoinnin ja myös tietosuojarikkeiden kirjauksen.

Nämä uudet ominaisuudet luonnollisesti ilman eri veloitusta.

8.4.2018

Dig1 GDPR Online Assessment Tool – matalan kynnyksen GDPR-työkalu

Pelkästään se, että Dig1 GDPR Online Assessment Tool pääsi mukaan Petteri Järvisen tekemään GDPR-työkaluvertailuun huhtikuun TIVI:ssä, sai hyvälle mielelle. Puhumattakaan siitä, että se menestyi mukavasti, ollen toisella sijalla ihan kovassa seurassa. Olimme lisäksi vertailun kirkkaasti edullisin vaihtoehto.

"Todella matala aloituskynnys pienelle yritykselle"

Järvinen löysi rautaisena ammattilaisena nopeasti vertailussa ohjelmistomme keskeisen filosofian: Se tuotiin markkinoille ennen kaikkea pienille ja keskisuurille yrityksille madaltamaan GDPR-selvityksen aloittamisen kynnystä. Hän kritisoi lähinnä sovelluksen kysymysten mekaanisuutta ja toistuvuutta. Oikeutetustikin, mutta onneksi useat kysymykset voi ohittaa vastaamalla, ettei ko. järjestelmää ole organisaation käytössä. Koska sovelluksemme keskeisenä ajatuksena on ohjata näillä kysymyksillä organisaatioiden vastuuhenkilöitä (joilla ei välttämättä ole IT-osaamista) löytämään kovinkin erilaisia henkilörekistereitä, niin kysymysten toistuvuus ja mekaanisuus on ehkä osittain ”välttämätön paha”.

Olemme ketteränä toimijana tarkentaneet ohjeistusta myös Järvisen kommentoimien epäkohtien osalta. Ja korjanneet yhden logiikkavirheen.

Testin tekemisen jälkeen olemme muute lisänneet Dig1 GDPR Online Assessment Tool: iin tärkeän osion, jolla organisaatiot voivat dokumentoida käytössään olevia henkilörekistereitä tarkemmalla tasolla. Lisäksi seuraavien päivien aikana lisätään osio rekisteröidyn tekemien pyyntöjen kirjaamiseen, joka muuten on kaikkien organisaatioiden pakollinen tehtävä.

Työkalulla voi siis tehdä nopean kertaluonteisen analyysin oman organisaation osalta tuon 14-päivän koekäyttöjakson aikana, kuten Järvinen mainitsee, mutta lisäarvo saadaan sovelluksen pidempiaikaisesta käytöstä, kun asioita laitetaan kuntoon, dokumentoidaan ja erilaiset pyynnöt rekisteröidään. Kiitos Petteri Järviselle ja TIVI:lle. Saadaan tästä puhtia tehdä sovelluksesta entistäkin parempi!

18.3.2018

Pitäkää kirjaa käytössänne olevista henkilörekistereistä

Dig1 GDPR Online Assesment Tool sai uuden ominaisuuden! Nyt asiakkaamme voivat listata kaikki henkilötietorekisterinsä Suoraan Dig1 Online Assessment Toolissa. Tämä on tärkeä ominaisuus jatkuvuuden kannalta. Organisaation tulee tietää koko ajan, missä se käsittelee henkilötietoja.

Testaa itse ilmaisella 14 päivänkokeiluversiolla!

19.2.2018

Osoitusvelvollisuus

Henkilötietojen käsittelyä koskevien periaatteiden mukaisesti niitä on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).
  • Ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”)
  • henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”)
  • henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”)
  • Ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.(”säilytyksen rajoittaminen”);
  • Niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että edellä mainittuja vaatimuksia on noudatettu.

Organisaation on siksi syytä varmistaa, että:

  1. Henkilötietojen käsittely on suunniteltua, dokumentoitua ja ohjeistettua
  2. Henkilötietojen käsittelyyn liittyvät toimet, kuten rekisteröityjen esittämät pyynnöt, koulutuksien osallistujalistat ja viestintä on dokumentoitu
  3. Henkilötietojen käsittelyyn liittyvät sopimukset ovat päivitetty
  4. Rekisteröityjen (esim asiakkaat ja työntekijät) informointi aina heidän tietosuojaa koskevissa asioissa
  5. Tietosuojaselosteet ovat kunnossa.

31.1.2018

Lisäämme asiakkaillemme GDPR-valmistautumista helpottavia työkaluja. Tänään on työkaluun lisätty dokumenttipohja "Toimintasuunnitelma tietosuojaloukkauksen tapahtuessa", jossa kerrotaan mitkä roolit ja toiminnot on syytä suunnitella ja dokumentoida etukäteen.

GDPR - Sananen sanktioista

17.1.2018

Käsi pystyyyn, jos olet nähnyt esityksen GDPR:stä, jossa ei mainita sanktiota, joka voi olla 4% globaalista liikevaihdosta! Usein tätä ei kukaan avaa sen tarkemmin, joten tässä tietosuojavaltuutettu Reijo Aarnion 11 kriteerin listaus millä perusteilla tulee viranomainen päättämään sanktioiden määräämisestä ja niiden määrästä:

1. Rikkomisen luonne, vakavuus ja kesto, kyseisen tietojen käsittelyn luonne, laajuus ja tarkoitus huomioon ottaen sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa ja heille aiheutuneen vahingon suuruus.

2. Rikkomuksen tahallisuus tai tuottamuksellisuus

3. Toimet rekisteröidylle aiheutuneen haitan lieventämiseksi

4. Vastuun aste, ottaen huomioon 25 (Sisäänrakennettu ja oletusarvoinen tietosuoja) ja 32 (Tietosuojaa koskeva vaikutustenarviointi) artiklan nojalla toteutut tekniset ja organisatooriset toimenpiteet

5. Aiemmat vstaavat rikkomiset

6. Yhteistyö valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja haittavaikutusten lieventämiseksi

7. Henkilötietoryhmät, joihin rikkominen vaikuttaa

8. Tapa, jolla rikkominen tuli valvontaviranomaisten tietoon. Ilmoittiko rekisterinpitäjä ja käsittelijä ja missä laajuudessa.

9. Onko määrätty aiemmin muita 58.2 (valvontaviranomaisen korjaavat toimivaltuudet) artiklassa tarkoitettuja toimenpiteitä? Onko määräyksiä noudatettu?

10. Käytännesääntöjen ja sertifikaattien noudattaminen

11. Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edit tai rkkomisella vältetyt tappiot.

Muistilista mielestäni tärkeistä asioista:

1. Dokumentointi – Dokumentoikaa käytössänne olevat henkilörekisterit, ohjeistakaa niitä käyttävät henkilöt kirjallisin ohjein, katselmoikaa suostumusten keräämistavat ja tehkää Tietosuojaa koskeva vaikutustenarviointi (DPIA)

2. Sopimukset – käykää läpi sopimukset. Onko niissä GDPR:ää tukevat lausekkeet (käytä dokumenttipohjaa Dig1 GDPR Online Assessment työkalusta, jos olet asiakas)

3. Laatikaa kriisisuunnitelma tietosuojarikkeen varalle (malli tulossa Dig1 GDPR Online Assessment työkaluun lähipäivinä). Tämä on erittäin tärkeää (Aarnion lista #8)

4. Kouluttakaa henkilöstö ja johto

GDPR: Tuskin meidän organisaatiomme tietoja kukaan……

Onko organisaatiossanne mietitty minkälaisia tietosuojaloukkausuhkia saattaa kohdistua henkilötietoihin, joita käsittelette tai omistatte? Uskon että on mietitty, mutta oletteko myös dokumentoineet toimintasuunnitelman sellaisen varalle?

Itse sain ”herätyksen” aiheeseen kun osallistuin viime syksyn aikana tietoturvakurssille, jossa yksi jakso käsitteli maineenhallinta ja kriisiviestintää digitaalisessa ympäristössä. Kahden päivän vetovastuu oli Tekir Oy:n (http://tekir.fi/) Harri Saukkomaalla. Olipahan mukaansa tempaava kokonaisuus, joka nosti viestinnän tärkeyden vahvasti omalle agendalleni.

Tämän kurssin ansiosta olen jokaiselle asiakkaalle painottanut GDPR-asioiden yhteydessä, että yksi tärkeimmistä asioista GDPR-valmiuksia läpikäydessä on luoda kriisisuunnitelma tietosuojalaukkauksen varalle. Tämä ei siis poista tarvetta luoda vastaavia esim. murto-, palo- tai luonnon katastrofien varalle, mutta täydentää niitä.

Suosittelen siis GDPR-projektireppuun siis seuraavia asioita:

Määritelkää ennakolta vastuuhenkilöt ja heidän varahenkilöt tietoturvaloukkauksen varalta. Rooleja on mm:

  • Kriisitiimin johtaja
  • Puhehenkilö
  • Ulkoisesta viestinnästä vastaava
  • Sisäisestä viestinnästä vastaava
  • Mediaseurannasta vastaava
  • Sosiaalisesta mediasta vastaava
  • IT- järjestelmistä vastaava. Huomatkaa, että tämä on vain osittain IT-ongelma.

Suunnitelman runko on syytä valmistella ennen mahdollista tietoturvaloukkausta, jotta vältetään kiireessä ja paineen alla tehtäviä virheitä.

Miettikää kriisitilanteen aktiviteetit ja viestinnän keinot jo etukäteen, esimerkiksi:

  • Kuka kutsuu koolle aloituspalaverin, jossa kaikille käydään läpi kaikki tiedossa oleva
  • Kuka laatii jarrulausunnon
  • Asiakastiedotus
  • Ohjeista asiakaspalvelu
  • Ohjeista henkilökunta
  • Julkinen viestintä
  • Viestintä sosiaalisessa mediassa
  • Tiedotus viranomaisille

Harjoitelkaa eri tilanteita, jos mahdollista!!!!

Tässä asiaan vain pintapuolinen raapaisu, mutta fakta on, että huonolla viestinnällä voi menettää organisaation maineen todella nopeasti!