Vaikutustenarviointi (englanniksi Data Protection Impact Assessment, DPIA) on yksi merkittävimmistä Tietosuoja-asetuksen (GDPR) tuomista uudistuksista. Monissa organisaatioissa on laitettu mietintämyssy syvälle päähän ja arvioitu DPIA:n toteuttamisen tarpeellisuutta. GDPR listaa artiklassa 35 kriteerejä milloin DPIA on pakko toteuttaa, mutta monelle jää silti epäselväksi tarvitseeko oman toiminnan kannalta harjoitus tehdä. Artiklassa 35 todetaan, että kun suunniteltu …
Tietosuojapalvelut
Asiakkaiden oikeuksien vaikutus organisaatioiden toimintaan; III
Tämä on viimeinen osa blogisarjaa, joka koskee tietosuoja-asetuksen (GDPR) määrittämiä rekisteröityjen (esimerkiksi asiakkaiden) oikeuksia ja niiden vaikutusta organisaatioiden toimintaan. Blogi käsittelee oikeutta läpinäkyvään informaatioon organisaatiolta ja organisaation ilmoitusvelvollisuutta tietoturvaloukkauksen tapahtuessa. Oikeus läpinäkyvään informaatioon Tietosuoja-asetus ajaa organisaatioita tiedottamaan henkilötietojen käsittelystä avoimesti. Kyseiseen …
Viva La GDPR!
Kauan “odotettu” tietosuoja-asetus eli GDPR astui voimaan viime perjantaina ja se tuskin tuli monelle yllätyksenä. Useammat organisaatiot ovat saaneet tietosuojakoulutukset pidettyä, tietosuojaprosessit dokumentoitua ja tietosuojaselosteet julkaistua. Herää kysymys; Tässäkö se oli?... Ei aivan Vaikka GDPR:n eteen on nähty jo paljon vaivaa, asetus velvoittaa ja edellyttää toimenpiteitä jatkossakin. Lähikuukausina on odotettavissa selkeämpiä linjauksia viranomaisilta ja …
Tietosuojaa koskeva vaikutustenarviointi (DPIA)
EU:n yleisen tietosuoja-asetuksen mukaan rekisterinpitäjän on toteutettava tietosuojaa koskeva vaikutustenarviointi (tai DPIA, eli data protection impact assessment), jos henkilötietojen käsittely aiheuttaa korkean riskin rekisteröityjen kannalta. Arvioinnin yhteydessä rekisterinpitäjän tulee arvioida käsittelytoimien vaikutuksia henkilötietojen suojalle, ja sen tulee sisältää vähintään järjestelmällinen kuvaus käsittelytoimista ja niiden tarkoituksista, arvio …
Onko anonyymeja tietoja olemassa?
Henkilötietojen anonymisointi ja GDPR Tietosuoja-asetus kannustaa yrityksiä anonymisoimaan henkilötiedot. Työssäni olenkin parin viime vuoden aikana saanut usein keskustella yritysten kanssa siitä, ovatko tietyt tiedot anonymisoituja vai eivät. Tyypillisesti eri tietomassoja yhdistelemällä henkilön identiteetti pystytään selvittämään, vaikka yritys olisi pyrkinyt anonymisoimaan tiedot. Tietojen anonymiteetti tulisikin nähdä jatkumona anonyymin tiedon ja täysin yksilöivän …