Category: Tietosuoja

Oi ei! Tietosuojalaki myöhästyy, mitä tapahtuu GDPR-perjantaina?

Yleistä tietosuoja-asetusta aletaan soveltamaan perjantaina 25.5.2018. Viimeaikaisten uutisten perusteella vaikuttaisi siltä, että Suomessa ei ehditä säätää tietosuojalakia voimaan ennen perjantaita 25.5.2018. Entä sitten? No, GDPR ei ole mikään direktiivi, joka vaatisi kansallista säätämistä vaan EU-asetus joka on sellaisenaan sovellettavaa oikeutta. Käytännössä ei siis tarvita…

Mitä tapahtuu 25.5.2018 henkilötietolaille?

Tietosuoja-asetus tulee voimaan 25.5.2018. Tai itse asiassa tietosuoja-asetus on tullut voimaan jo 25.5.2016, mutta sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen  eli 25.5.2018. Asetuksen soveltamisen alkaminen tarkoittaa, että kansalliset tietosuoja/henkilötieto yms lait, jotka ovat jotenkin ristiriidassa tietosuoja-asetuksen kanssa, eivät ole enää voimassa. Tietosuoja-asetus on EU-asetus, joka…

Selvitys: tietosuoja-asetukseen edelleen huonosti valmistauduttu hankintasopimuksissa

Tietosuoja-asetuksen voimaantuloon on enää kohta kuukausi aikaa, mutta edelleen hankintayksiköt eli esimerkiksi valtion viranomaiset ja kunnat ovat huonosti valmistautuneita. Tämä käy ilmi JIT-blogin työryhmän läpikäymästä 30:sta hankintasopimuksesta. Kahdessakymmenessä sopimuksessa 31:sta  (noin 65 prosenttia) ei ole  ollenkaan mainintaa tietosuoja-asetuksesta tai sen voimaantulosta. Aikaisemmalla selvityskerralla marraskuussa lukema…

Suostumus ja GDPR, osa 2: markkinointi? (evästeet ja vähän oikeutettua etua)

Vähän aikaa sitten kirjoitin GDPR:stä ja suostumuksesta. Käytin tässä tilanteessa useammassa tilanteessa esimerkkinä markkinointia asiasta, joka olisi yleensä sillä tavalla esimerkiksi sopimuksen täytäntöönpanosta poikkeava käsittelyperuste, että se vaatisi suostumuksen. Moni näytti vetäneen tästä sen johtopäätöksen, että markkinointi vaatisi aina suostumuksen, tai ainakin ymmärtäneen minun…

Tähän tarvitaan suostumus, vai tarvitaanko?

Suostumus on yksi laillisista henkilötietojen käsittelyperusteista uuden tietosuoja-asetuksen nojalla. Suostumus on lähestulkoon kaikista GDPR-myyteistä eniten väärin ymmärretty asia. Syy tähän lienee siinä, että suostumuksen muotoa muutettiin tietosuoja-asetuksen myötä hieman ja sen myötä myöskin moni ymmärsi, että nyt tarvitaan tietyn muotoinen suostumus kaikkeen. Tässä kirjoituksessa…

Minkä ikäisenä lapsi saa yksityisyyttä?

Omakanta.fi tehtyjen linjausten vuoksi vanhemmilla ei ole pääsyä yli 10-vuotiaiden lasten terveystietoihin.  Aiheesta on mainitun Ylen jutun lisäksi kirjoitettu useassa muussakin yhteydessä. Terveydenhuollon sähköistä asiointia vanhemmat eivät voi enää tehdä yli 10-vuotiaan puolesta. Ylen jutussa vedotaan lasten tietosuojaan ja oikeuteen päättää omista asioistaan. Asiaan puuttui…

WP29:n tuore ohjeistus vaikuttaa merkittävästi kaikkiin tietosuojaselosteisiin

Vuosi 2018 on täällä ja samoin GDPR:n voimaantulo! Enää muutama kuukausi ja uutta asetusta sovelletaan kaikkailla EU:ssa. Moni yritys ja toimija on päässyt jo hyvään vauhtiin GDPR-työnsä kanssa, mutta tietosuojaviranomaisten yhteistyöelin Article 29 Working Party eli tuttavallisemmin WP29 heittää välillä melko isoja kapuloita rattaisiin….

Selvitys: Yli puolessa hankintasopimuksista ei ole huomioitu tietosuoja-asetusta

Jit-Blogin työryhmä kävi läpi hankintailmoituksia viikon ajalta ja sai todeta, että GDPR tulee liian aikaisin hankintayksiköille. Lähes puolessa läpikäydyistä relevanteista sopimuksista ei ollut minkäänlaista mainintaa tietosuoja-asetuksesta. Selvitys tehtiin Hilma-palvelun ja Hanki-tarjouspalvelun avulla. Kävimme läpi satunnaisotannalla 32 EU-hankintailmoitusta, joiden tietosuoja-aspektit analysoitiin. Otos on suhteellisen pieni…

Oikeuttaako tietosuoja-asetus hankintasopimuksen muutokseen?

Tietosuoja-asetuksen voimaantulo toukokuussa 2018 näyttää tulevan yllätyksenä monelle – varsinkin hankintayksiköille eli kunnille ja valtion virastoille. En halua missään tapauksessa vähätellä esimerkiksi  Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän eli VAHTI:n tekemää hyvää tietoisuustyötä, mutta tosiasia on, että asetus tulee liian nopeasti. Esimerkiksi hankintojen ilmoituspalvelu Hilmassa…

Miten GDPR tulee huomioida hankintasopimuksessa? OSA II

Edellisessä osassa tarkastelimme yleisiä edellytyksiä GDPR:n huomioimiseksi hankintasopimuksessa. Tällä kertaa sukellamme suoraan tietosuoja-asetuksen vaatimuksiin ja erityisesti sen 28 artiklaan, jonka sisältönä on henkilötietojen käsittelijän velvoitteet ja se mitä sopimuksissa on sovittava näiden velvoitteiden osalta. Tässä kirjoituksessa käsitellään pääosin tavanomaisinta hankintatilannetta, jossa toimittaja toimii käsittelijänä…

Pitääkö nämäkin tiedot poistaa? Eli mitä tehdä kun joku pyytää tietojaan korjattavaksi tai poistettavaksi

Rekisterinpitäjällä on laajalle ulottuva velvollisuus huolehtia siitä, että hallussa olevat henkilötiedot ovat ajan tasalla, että henkilötietoja ei kerätä liikaa eikä säilytetä liian kauan. Tämän lisäksi rekisteröidyllä, eli henkilöllä jonka henkilötietoja rekisterinpitäjällä on hallussaan, on oikeus yleisen tietosuoja-asetuksen (tutummin GDPR) nojalla saada henkilötietonsa poistetuksi tai…

Työryhmän mietintö: henkilötietolaki kumotaan, tilalle tietosuojalaki

Oikeusministeriön työryhmä esittää nykyisen henkilötietolain kumoamista ja tilalle uutta tietosuojalakia. Taustalla on EU:n 25.5.2018 voimaan tulevan tietosuoja-asetuksen kansallinen täytäntöönpano. Tämän lisäksi työryhmä esittää muutamia merkittäviä poikkeuksia tietosuoja-asetuksen soveltamisalaan esimerkiksi tiedonvälityksen ja julkisuusperiaatteen vuoksi. Vaikka henkilötietolaki on tarkoitus kumota, se on toiminut perustana uudelle tietosuojalaille….