Euroopan komission ja Yhdysvaltojen välinen, henkilötietojen siirrot Yhdysvaltoihin mahdollistava Privacy Shield -järjestely on koko olemassaolonsa ajan ollut jossain määrin epävakaalla pohjalla, ja järjestelyä on kritisoitu siitä, ettei se tosiasiassa takaa eurooppalaisten henkilötiedoille riittävää suojaa. Privacy Shieldin tulevaisuus näyttää jälleen piirun verran epävarmemmalta, kun Euroopan parlamentti hyväksyi 5.7.2018 kriittisen päätöslauselman, jossa parlamentti …
Blogit
Henkilötietojen siirrot Yhdysvaltoihin ja Privacy Shield -järjestely
EU:n tietosuoja-asetuksen (ja jo sitä edeltäneen tietosuojadirektiivin) mukaan asetuksen soveltamisen piiriin kuuluvat yritykset voivat siirtää henkilötietoja Euroopan unionin ja Euroopan talousalueen ulkopuolelle vain erikseen säädettyjen edellytysten täyttyessä. Tarkoituksena on varmistaa, että henkilötietoja suojataan riittävästi myös silloin, kun niitä käsitellään EU:n ulkopuolella. Perusteet tietojen siirrolle Tietosuoja-asetuksen mukaan tietojen siirrolle on kolme …
Miten toteutan ISO27001:n mukaisen tietoturvallisuuden hallintajärjestelmän sujuvasti?
Yllättävän monet pelkäävät kansainvälisen tietoturvastandardin, ISO27001:n, mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamista, koska uskovat sen tarkoittavan ”pelkkää byrokratiaa”, ”merkittävää paperityötä” tai johtavan väistämättömästi ”suureen hankkeeseen”. Nämä uskomukset perustuvat kuitenkin yleensä myytteihin enemmän kuin kokemukseen hallintajärjestelmän toteuttamisesta. ISO27001:n toteuttaminen onnistuu vaiheistamalla ja määrittämällä …
Milloin vaikutustenarviointi (DPIA) tulee tehdä?
Vaikutustenarviointi (englanniksi Data Protection Impact Assessment, DPIA) on yksi merkittävimmistä Tietosuoja-asetuksen (GDPR) tuomista uudistuksista. Monissa organisaatioissa on laitettu mietintämyssy syvälle päähän ja arvioitu DPIA:n toteuttamisen tarpeellisuutta. GDPR listaa artiklassa 35 kriteerejä milloin DPIA on pakko toteuttaa, mutta monelle jää silti epäselväksi tarvitseeko oman toiminnan kannalta harjoitus tehdä. Artiklassa 35 todetaan, että kun suunniteltu …
Asiakkaiden oikeuksien vaikutus organisaatioiden toimintaan; III
Tämä on viimeinen osa blogisarjaa, joka koskee tietosuoja-asetuksen (GDPR) määrittämiä rekisteröityjen (esimerkiksi asiakkaiden) oikeuksia ja niiden vaikutusta organisaatioiden toimintaan. Blogi käsittelee oikeutta läpinäkyvään informaatioon organisaatiolta ja organisaation ilmoitusvelvollisuutta tietoturvaloukkauksen tapahtuessa. Oikeus läpinäkyvään informaatioon Tietosuoja-asetus ajaa organisaatioita tiedottamaan henkilötietojen käsittelystä avoimesti. Kyseiseen …