Miten onnistunut tietosuojaviestintä toteutetaan?

Miten onnistunut tietosuojaviestintä toteutetaan?

Jos tarkoituksena on kertoa kuluttajille henkilötietojen käsittelyyn liittyvistä asioista EU:n tietosuoja-asetuksen edellyttämällä tavalla, tehtävä ei ole välttämättä helppo. Tietosuoja-asioihin liittyvässä viestinnässä on omat erityispiirteensä ja tästä viestinnän alalajista voi käyttää hyvin termiä ”tietosuojaviestintä”. Markkinoinnin automaation asiantuntija ID BBN, mainostoimisto SEK ja Asianajotoimisto Borenius järjestivät todennäköisesti Suomen ensimmäisen tietosuojaviestintään keskittyneen tilaisuuden marraskuun alussa. Tilaisuudessa käytiin läpi tietosuojaviestinnän kulmakiviä.   Lue loppuun

”Blended approach” ja muita vinkkejä tietosuojavaatimusten huomioimiseen käyttöliittymissä

”Blended approach” ja muita vinkkejä tietosuojavaatimusten huomioimiseen käyttöliittymissä

Moni käyttöliittymäsuunnittelija tuskailee tällä hetkellä tietosuojakysymysten kanssa. EU:n tietosuoja-asetus edellyttää, että henkilötietojen kerääminen ja käyttö tulee toteuttaa mahdollisimman läpinäkyvästi. Tämä ”läpinäkyvyyden periaate” tarkoittaa asetuksen mukaan muun muassa sitä, että henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tiedot voidaan tarvittaessa ”havainnollistaa” (ks. johdanto-osan kohta 58). Asetus mainitsee jopa ”vakiomuotoiset kuvakkeet” yhtenä vaihtoehtona antaa yleiskuva henkilötietojen käsittelystä.

Miten nämä tietosuojavaatimukset voidaan ottaa huomioon käyttöliittymäsuunnittelussa?

Lue loppuun

Tietosuojajuristit myytinmurtajina

Tietosuojajuristit myytinmurtajina

Kirjoitin aiemmin siitä, että verkko on täynnä erilaisia todo-listoja liittyen tietosuoja-asetukseen. Tällä hetkellä kiinnostava suuntaus on se, että useat tietosuojaan erikoistuneet juristit ovat ryhtyneet myytinmurtajiksi aivan perustellusti. Useimmiten tietosuoja-asioiden haltuunotto pitää aloittaa ihan perusasioista ja tällaiset myytinmurtamisharjoitukset ovat hyviä lähtökohtia. Kokosimme muutamia hyviä esimerkkejä tästä trendistä.

  • Alankomaissa työskentelevä suomalainen juristi Panu Pökkylä julkaisi äskeittäin oman listansa otsikolla ”Seitsemän myyttiä tietosuojasta – BUSTED”. Tässä kirjoituksessa Pökkylä murtaa aivan keskeisiä myyttejä, joihin törmää lähes aina esimerkiksi henkilötietojen käsittelyä koskevissa koulutuksissa (”Ei meillä mitään henkilötietoja ole…”).
  • Toinen hyvä esimerkki tästä lähestymistavasta on Yhdysvalloissa työskentelevän asianajana Phil Leen kirjoitus ”What you think you know about the GDPR… and why you may be wrong”. Artikkelissa Lee keskittyy erityisesti EU:n tietosuoja-asetukseen ja siihen liittyviin harhaluuloihin (”Individuals have an absolute right to be forgotten: WRONG!”).

Tietosuojauutiset.fi-toimitustiimi kuulee mielellään vinkkejä vastaavista myytinmurtamisharjoituksista.

 

 

 

Tietoturvaloukkauksia koskeva ilmoitusvelvollisuus EU:n tietosuoja-asetuksen mukaan – Artikkeli Edilex-palvelussa

Tietoturvaloukkauksia koskeva ilmoitusvelvollisuus EU:n tietosuoja-asetuksen mukaan – Artikkeli Edilex-palvelussa

Suomen johtava ammattilaisten lakitietopalvelu Edilex julkaisi 14.9.2016 kirjoitukseni tietoturvaloukkauksia koskevasta ilmoitusvelvollisuudesta. Tämä EU:n tietosuoja-asetukseen sisältyvä velvollisuus koskettaa kaikkia rekisterinpitäjiä ja esimerkiksi ilmoitusten sisällöltä vaaditaan melkoista yksityiskohtaisuutta. Tästä siis enemmän Edilex-palvelun ”Vierashuone”-osiossa.

Edilexin takana oleva Edita on myös panostamassa aktiivisesti tietosuojamateriaaleihin ja aiheeseen liittyvään koulutukseen. Syyskuun lopussa Editan julkaisee Tietosuojalait-kirjan, johon on koottu kattavasti keskeiset tietosuojaan liittyvät kotimaiset ja kansainväliset säädökset. Kirja on hyvä työkalu kaikille henkilötietojen kanssa työskenteleville, kuten tietosuojavastaaville. Minulla on myös ollut kunnia osallistua tämän teoksen kokoamiseen. Esimerkiksi teoksen esipuhe on allekirjoittaneen tekstiä.

Edilex Pro järjestää syksyllä myös ”EU-tietosuojauudistus”-koulutussarjan, joka koostuu kolmesta koulutuspäivästä. Koulutuspäivien puhujakaarti on edustava. Tietosuojauutiset.fi-vakiokirjoittajien (eli Simojoen ja Järvisen) lisäksi kouluttajia saapuu muun muassa tietosuojavaltuutetun toimistosta, oikeusministeriöstä, Suomen Asiakastiedosta, Bird&Birdiltä, Asiakuusmarkkinointiliitosta, Aller Medialta, Castrén & Snellmanilta, HPP:ltä ja Nixulta. Tarkemmat tiedot koulutuksesta löytyvät täältä.

Tietosuojavaltuutetun välitilinpäätös

Tietosuojavaltuutetun välitilinpäätös

Tietosuojavaltuutettu Reijo Aarnio päivitti tänään 2.9.2016 omaa blogiaan julkaisemalla artikkelin ”Välitinpäätös”. Kyseinen kirjoitus ei liity niinkään paljon puhuttuun tietotilinpäätökseen, vaan blogissa Aarnio kertaa vuoden tapahtumia ja luo katsauksen lähitulevaisuuteen. Aarnio kommentoi ajankohtaisia aiheita Privacy Shieldistä MyData -tapahtumaan. Tietosuoja-asetukseen liittyen oli myös kiinnostavaa lukea, että viranomaiset tulevat julkaisemaan soveltamisoppaita vielä ennen vuodenvaihdetta (”Brexit ei tätä työtä hidasta”).

Aarnion kirjoitus löytyy tietosuojavaltuutetun toimiston sivuilta.

Pitkä kuuma tietosuojakesä 2016!

Pitkä kuuma tietosuojakesä 2016!

Kun Suomen lomakausi alkaa hiljalleen olla lopuillaan, on aika kerrata kesän tietosuojauutisia. Kuten sivustomme kirjoituksista on voinut havaita, tietosuoja-asiat ovat olleet läpi kesän tapetilla.

Kuluvasta kesästä ei siis tulla laulamaan ”jytäkesänä”, kuten orkesteri Jukka ja Jytämimmit laulaa suositussa kappaleessaan ”Jytäkesä-015”. Tätä kesää voi sen sijaan kutsua nimellä ”Tietosuojakesä 2016”.

Lue loppuun

Tietotilinpäätös työkaluna tietosuoja-asetukseen valmistautumisessa

Tietotilinpäätös työkaluna tietosuoja-asetukseen valmistautumisessa

Tietotilinpäätös on käytännössä yksi raportoinnin muoto yrityksille ja yhteisöille. Perinteiseen taloudelliseen tilinpäätökseen verrattuna tietotilinpäätös keskittyy muun muassa tietosuojakysymyksiin, tietovarantoihin ja tieturvallisuuteen. Sinänsä tietotilinpäätöksen laatiminen on vapaaehtoista. Nyt tietotilinpäätökset ovat nousseet taas uudelleen keskusteluun, koska EU:n tietosuoja-asetus edellyttää tietojenkäsittelytoimintojen kattavaa dokumentoimista.

Lue loppuun

VAHTI julkaisi tietosuojaraportin ja suosituksia toimenpiteistä

VAHTI julkaisi tietosuojaraportin ja suosituksia toimenpiteistä

Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä.

Nyt keväällä VAHTIn toimesta on laadittu raportti EU:n tietosuoja-asetuksen vaikutuksista. Raportti sisältää myös suosituksia toimenpiteistä, jotka soveltuvat niin julkisiin kuin yksityisiinkin organisaatioihin.

Työryhmä julkaisi raportin tänään 2.6.2016 ja piti aiheen tiimoilta mielenkiintoisen seminaarin. Tietosuojauutiset.fi seurasi tilaisuuden webcastia.

Lue loppuun

Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Tietosuojauutiset.fi:n vierailevien kirjoittajien sarjan avaa Ville Vainio, jonka henkilötietojen kansainvälisiä siirtoja ja organisaatioiden vastuuta EU:n yleisen tietosuoja-asetuksen alla käsittelevä OTM-tutkielma on tarkastettu Turun yliopiston oikeustieteellisessä tiedekunnassa toukokuussa 2016 arvosanalla Eximia cum laude approbatur. Tietosuojauutiset.fi onnittelee!

Alla oleva Ville Vainion kirjoitus perustuu tähän tutkielmaan.

Henkilötietojen siirrot EU:sta kolmansiin maihin – tiedä nämä tulevasta tietosuoja-asetuksesta

Euroopan unionin tietosuojainstrumentit – vuoden 1995 direktiivi 95/46/EY sekä 25.5.2018 alkaen sovellettava yleinen tietosuoja-asetus 679/2016 – lähtökohtaisesti kieltävät henkilötietojen siirrot EU:n alueen ulkopuolelle eli kolmansiin maihin, mikäli vastaanottajamaa ei tarjoa riittävää tietosuojan tasoa. Tietosuojan tason riittävyysarvionti on käytännössä ollut komission hitaan ja aikaa vievän, poliittisen arviointiprosessin tulosta; vilkaisemalla listaa EU:n kansalaisten perusoikeutena turvatun henkilötietojen suojan riittävän tason takaavista maista havaitaankin, että listalle yltäviä valtioita on vain harvoja ja ne ovat globaalin dataliikenteen näkökulmasta melko merkityksettömiä (pahoitteluni lukijoillemme Färsaarilla ja Guernseylla).

Lue loppuun