Tag Archive for: GDPR sakko

Miksi Tietopiirin blogia kannattaa lukea ja jakaa?

/in /by

Sain järjestössä työskentelevältä tuttavaltani palautetta, jota oli ilo kuulla:

”Kiitos blogistanne! Varsinainen työkalusarja järjestön arkeen, varsinkin kun omaehtoinen varainhankinta on niin vahvasti esillä. Toivottavasti mahdollisimman moni seuraa!”

Tästä johtuen kannustankin nyt teitä, hyvät lukijamme, laittamaan blogit jakoon omassa verkostossanne. Tässä muutama konkreettinen asia miksi on kannattanut lukea:

Kyllä, Valtiokonttorin kustannustuki koski myös järjestöjä!

Järjestö, jossa itse teen vaparityötä haki ja sai reippaan avustuksen. Sen turvin saadaan paljon aikaan. Suuri osa kustannustuesta jäi jakamatta, koska hakemuksia tuli niin vähän. Tuoreimman blogin voit lukea tästä.

Mikä pienkeräys, miten hakea, mistä lomake – me kerroimme ja teimmepä lomakkeenkin

Uuden rahankeräyslain pienkeräys tuli uskomattoman sopivasti juuri kun korona oli laittanut meidät kaikki kyykkyyn. Rahankeräysten järjestämisestä tuli merkittävästi helpompaa mutta ristiriitaista tietoa oli liikkeellä eikä viranomaisille voi antaa täysiä pisteitä asian lopullisesta toteuttamisesta. Myös hakulomaketta etsittiin vimmatusti.  Me toteutimme toimivan lomakkeen pienkeräysluvan hakemiseksi ja juuri kun ”omassa” järjestössä oli viimeinen hetki hakemuksen jättämiseen (viimeinen hetkihän tunnetusti on paras), niin viranomaisten online-palvelu oli nurin. Haimme lupaa Tietopiirin lomakkeella ja saimme myönteisen päätöksen muutaman tunnin kuluessa. Jos vielä kaipaat tähän liittyvää tietoa, klikkaa tästä.

Kyselytutkimus järjestöjen toimintaympäristöstä; oma toimintaympäristö vs muut

Suomen Liiketoimintapalvelu  Oy toteutti järjestöille maksuttoman toimialakartoituksen järjestöjen tilanteesta ja etenkin siitä miten korona on vaikuttanut. Osallistuneet pääsivät vertaamaan omia tietojaan muuhun aineistoon. Kuta enemmän osallistujia, sitä tarkempaa tietoa. Osallistumisaika on päättynyt mutta blogi lötyy täältä.

Muita maininnan arvoisia lähiaikoina

VaLa Ry:n tutkimus: suomalaiset vähentäneet lahjoittamistaan koronakuukausina

Miljoonia (vai) mokkapaloja – järjestön varainhankinnan opaskirja julkaistu

GDPR-sakko kolmelle Suomessa

Vielä tänään ehtii: #Tekojentiistai startti 29.9.

#TekojenTiistai – #GivingTuesday – on 1. joulukuuta. VaLa ry järjestää ja koordinoi kampanjastarttia maksuttomana online-tapahtumana.
Tapahtuma järjestetään 29.9 eli ensi viikon tiistaina – tänään on viimeinen päivä ilmoittautua osallistumaan.
Lue lisää https://www.tietopiiri.fi/ilmoittaudu-tekojentiistai-2020-startti-29-9-by-vala-ry/

TietoPiiri osallistuu myös kampanjaan. Tuotamme webinaarin lahjoittajien (kontaktien) sitouttamisesta sekä nostamme kampanjaa ja asiakkaitamme esille kampanjan aikana eri kanavissa. Infotkaa meitä teidän #TekojenTiistai aktiviteeteista niin voimme jakaa niitä eteenpäin. Viime kerralla loimme #GivingTuesday-sivun ohjaamaan lahjoittajia asiakkaidemme lahjoitussivuille.

Ensi viikolla blogissa: kahdeksan suomalaista GDPR-sanktiota

Pian pääsemme kertomaan aivan uudesta lahjoittajatutkimuksesta, lahjoittajien odotuksista ja kokemuksista. Mutta heti ensi viikolla kirjoitamme kahdeksasta uudesta GDPR-tapauksesta, sakkoja ja tulkintoja tapahtuneista tietosuojarikkomuksista. Nimeltä mainiten esillä ovat ainakin

  • Taksi Helsinki
  • POP Pankki
  • Perintätoimisto Intrum Oy
  • Kymen Vesi Oy
  • Acc Consulting

Kaunis kiitos kun laitat tämänkin postauksen kiertoon!

Olemme täydestä sydämestä järjestöjen puolesta ja teemme kaikkemme pysyäksemme ajan hermolla. Kun jotain kuulemme tai oivallamme, sen laitamme jakoon. Teethän sinä samoin. Hyvää syksyä toivottaen, myös muiden Tietopiirin ihmisten puolesta.

 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä

 

 

 

 

 

 

 

 

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

GDPR-sakko kolmelle Suomessa

/in /by

GDPR-sakko kolmelle Suomessa

Seuraamuskollegio määräsi 18. toukokuuta seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta. Rikkomukset koskevat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Tämä oli ensimmäinen kerta kun seuraamuskollegio määrää seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Tietosuojavaltuutetun toimiston julkaiseman tiedotteen voit lukea tästä.

Postille 100 000 € liittyen muuttoilmoituksiin

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä.

Kantelun tehneet ihmiset olivat muuttoilmoituksen tehtyään saaneet suoramarkkinnoinnin yhteydenottoja. Osalla kantelun tehneillä ei ollut aiempaa asiakassuhdetta markkinointia tehneisiin yrityksiin. Posti oli ilmoittanut oikeudesta kieltää tietojen luovuttaminen vain niille, jotka olivat ostaneet Postilta lisäpalveluita muuttoilmoituksen tekemisen ohella. Tietosuojavaltuutetun toimisto oli ollut Postiin yhteydessä jo aiemmin. Asiakkaiden informointia parannettiin tammikuussa 2020 mutta se ei estänyt sanktion langettamista.

Työntekijöiden sijaintitietojen käsittely

Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvi-oinnin tekemisen asian edetessä.

Kymen Vesi Oy paikansi ajoneuvoja ja siten työntekijöitä ajotietojärjestelmän avulla. Sijaintitietoa käytettiin mm työajanseurantaan. Tietosuojaa koskevaa vaikutustenarviointia ei ollut tehty, vaikka työntekijöiden sijaintitiedon käsittely sitä edellyttää. Seuraamusmaksun suuruus tästä oli 16 000 €.

Työntekijöiden henkilötietojen tarpeeton kerääminen

… on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.

Kolmannen seuraamusmaksun yhteydessä tiedote ei mainitse seuraamusmaksun kohteena olevan yrityksen nimeä. Yritys oli kerännyt työhönottotilanteessa tietoja mm uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tiedot määrättiin poistettavaksi ja 12 500 €:n suuruinen seuraamusmaksu lankesi.

Tietosuojavaltuutetun tavoite: oikeasuhtaisia, tehokkaita ja varoittavia päätöksiä

Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suhteessa tehtyihin ilmoituksiin tietosuojarikkomuksista resurssien määrää voi pitää pienenä. Tässä kerrotut päätökset eivät vielä ole lainvoimaisia, valittaminen hallinto-oikeuteen on mahdollista ja oletettavaa on, että ainakin Postin tapaus sinne päätyy.

Lainaukset on otettu päätöksistä.

Päätökset

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

ePrivacy-asetus viivästyy reippaasti

/in /by

Juuri kun GDPR on saatu nielaistua, on perässä tulossa toinen – jos mahdollista paljon sekavampi ePrivacy-asetus koskien sähköisen viestinnän tietosuojaa. Mutta toviksi voi huokaista: kestää helposti parikin vuotta ennen kuin ePrivacy astuu voimaan. Toistaiseksi sisällöstä tarkkoja tietoja kertovat puhuvat vastoin parempaa tietoa. Tässä vielä GDPR-kertaus blogin muodossa.

Blogi on laadittu Ohjelmisto- ja e-business ry:n järjestämän tilaisuuden sisällön perusteella. HPP Asianajotoimisto Oy:n Terho Nevasalo presentoi asian tuttuun selkeään ja osaavaan tyyliinsä.

ePrivacy täydentää GDPR-asetusta

Siinä missä yleinen tietosuoja-asetus GDPR säätelee henkilötietoa sisältävien viestien ja tietosisältöjen tallentamista ja käsittelyä, sähköisen viestinnän tietosuojaa säätävä  ePrivacy-asetus liittyy henkilötietoa sisältävien viestien ja sisältöjen välittämiseen. Hyvin oleellista asiassa on viesteihin liittyvä metatieto. ePrivacy täydentää ja täsmentää GDPR-asetusta viestintäpalveluiden osalta.

ePrivacyn tarkoitus isossa kuvassa lienee selvä ja hyvin perusteltu. Mutta mitä asetuksen käytätännössä tulee sisältää – siitä EU:n jäsenvaltiot ovat erittäin erimielisiä. Suomen puheenjohtajakaudella esityksiä sisällöksi julkaistiin 10 ja viimeisimmän päiväys on 8.11.2019. Nyt kuitenkin näyttää siltä, että mahdollisesti, jopa todennäköisesti asetuksen ehdotuksen kirjoittaminen aloitetaan alusta. Missä asetusvalmistelu – siinä ongelma. Vai kuinkas se kuuluikaan.

Miksi ePrivacy-asetus on niin vaikea laatia?

Asetus on liki mahdoton toteuttaa siten, että kaikki sinänsä perustellut näkökulmat tulisivat huomioiduiksi: yksityisen ihmisen suojaaminen ja liiketoiminnan intressit ovat vahvasti vastakkain. Otetaan esimerkiksi telemarkkinointi: Suomessa tietosuojavaltuutettu on jo aikaa ollut sillä kannalla, että puhelinmarkkinoinnin tulisi olla mahdollista vain viestin vastaanottajan suostumuksella. Tai ainakin niin, ellei vastaanottaja ole sitä erikseen kieltänyt. Mikäli näin, kuolee toimiala yhdellä sivalluksella. Tätä kevyempi vaihtoehto, jota myös pidetään mahdollisena, on puhelinnumerossa näkyvä tunnistetieto, joka kertoisi puhelun vastaanottajalle, että puhelu on telemarkkinoinnillinen yhteydenotto. Tulos: toimiala kuolee lähes yhtä suurella varmuudella ellei keksitä hyviä palkkioita tai muita etuja, mitä puheluun vastaaja saa. Kun tähän keittoon lisätään kansalliset erityispiirteet, voivat huonosti nukkuvat etsiä syytä unettomuuteen jostain muualta kuin ePivacysta.

Sakkoa sakkoa enemmän sakkoa

Sakotuksen määrät tulevat olemaan samat kuin GDPR:ssä. Määrät ovat huomattavia ainakin pienemmille toimijoille ja GDPR-sakkoja on todellakin langetettu niin koululle, kiinteistönvälitysyritykselle kuin taksiyhtiölle. Hotelli, joka oli jättänyt aamiaiskävijöiden nimilistan näkyville, sai 15 000 € maksettavakseen. Asetus ei rajaa mitään toimialaa kevyemmän kohtelun piiriin, se kannattaa muistaa. Toukokuinen blogi GDPR-sanktioista on yhä validi.

Isoille toimijoille sakko voi kuitenkin olla pieni kustannus verrattuna tilanteen korjaamiseen. Eräs yritys sai 220 000 €:n sakon mutta ihmisten tiedottaminen joko soittamalla tai  kirjeitse olisi kustantanut miljoonia. Isot yritykset voivat siis mahdollisesti taktikoida, muiden on pakko noudattaa sääntöjä.

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

Ensimmäinen GDPR-sakko Suomeen keväällä?

/in /by

Yksikään GDPR-sakko ei ole osunut Suomeen. Vielä. Keväällä 2020 tilanne luultavasti muuttuu. Ketä heitetään ensimmäisellä kivellä, sitä jännitämme kaikki. Puolisen vuotta sitten blogasimme Euroopassa langetetuista GDPS-sakoista, joita oli ympäri Euroopan ja hyvin lavealla toimialajakaumalla. Blogin kirjoittamisen jälkeen British Airways on saanut tuta 200 miljoonan ja Marriott-hotelliketju 110 miljoonan euron sakon piiskaniskun.

Tietoviikon verkkolehti ennakoi artikkelissaan, asiaa hyvin perustellen, että keväällä 2020 voimme hyvinkin nähdä suomalaisiin toimijoihin osuvia sanktioita. Suomalaiset eivät ole sen puhtoisempia mutta kansallinen lainsäädäntö on tullut voimaan monia muita maita myöhemmin, sen vuoksi myöskin sanktiot tulevat viiveellä. Artikkelin mukaan käsittelyajat huomioiden ensi kevät on hyvinkin suomalaisten uutisten aikaa.

Aiemmassa blogissa pyydettiin kiinnittämään huomiota, että sakon saaneissa oli aivan muitakin kuin kansainvälisiä verkkokauppoja, joiden voisi  kuvitella olevan listan kärjessä niin summien kuin osumien määrässä. Nyt julkaistu uutinen kertoo samaa.

Saksalainen tietosuojaviranomainen langetti ruokalähetyspalvelu Delivery Herolle 195 000 €:n ojennuksen yrityksen lähetettyä mainosviestejä vastoin asiakkaiden tahtoa. Artikkeli ei kerro mutta mitä ilmeisimmin yritystä on huomautettu asiasta useammin kuin kerran ja heillä olisi ollut aikaa korjata toimintaansa ja selvitä huomautuksella.

Espanjalainen halpalentoyhtiö palkittiin 30 000 €:n tiketillä verkkosivuston evästeongelmien takia. Olipa ruotsalaislukiokin päässyt kyseenalaisen huomion kohteeksi ja joutuu maksamaan 19 000 € kokeiltuaan kasvojentunnistusohjelmaa muutaman viikon ajan. Luit oikein, muutaman viikon ajan. Lukion tapauksessa huomaamme miten paljon tarkempia ollaan, kun kyseessä on lapset tai nuoret, heikommassa asemassa olevaksi katsottava kohderyhmä.

Suomesssa GDPR-sakkoja voi antaa tietosuojavaltuutetun kolmihenkinen kollegio. Voiko siitä päätellä, että käsittelyajat ovat pitkiä? Vai keskittyykö ryhmä räikeimpiin tapauksiin, heikommat ryhmät erityisesti huomioiden? Jäävätkö pienemmän mittakaavan asiat aktiivisella päätöksellä tutkimatta kuten vähäiset omaisuusrikokset poliisilla nykyisin? Saamme lisätietoa kunhan valoisampi vuodenaika taas koittaa. Aineistosta suomalaisviranomaisella ei tule olemaan puutetta: ilmoituksia on otettu vastaan yli  9000 kpl!

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

 

 

 

50 miljoonan euron GDPR-sakko langetettu

/in /by

Tekniikka&Talous uutisoi 22.1.2019, että Ranskan tietoturvaviranomaisten langettama GDPR-sakko on peräti 50 miljoonaa euroa ja sen saa Google. Jotain tämänsuuntaista osasimme odottaa – silti yllätyimme.

Arvasimme lähes oikein

Veikkailimme viime keväänä, että vielä vuoden 2018 puolella julkistetaan merkittävän suuruusluokan sanktio GDPR-asetuksen vastaisesta henkilötietojen käsittelystä. Aikataulu venähti mutta summa tosiaan on huomattava. Itse olin valmis laittamaan arvaukseni sen varaan, että missään tapauksessa sanktion kohteena ei ole kolmannen sektorin toimija. Ohessa linkki GDPR-aiheiseen blogiin, joka tosin keskittyy faktoihin eikä ennustamiseen.

Kolmannen sektorin sijaan oletin, että sanktion saa huomattavan uutisoinnin saattelemana jokin kiinalainen verkkokaupan toimija. Väärin meni: kohde on Google, joka ranskalaisten tietosuojaviranomaisten mukaan ei kerro meille riittävän tarkoin mihin meistä tallennettavaa tietoa käytetetään. Yksityiset ihmiset ovat viime vuoden aikana ainakin jonkin verran havahtuneet huomaamaan, että kaikkialle tietoja ei kannata luovuttaa ja kaikkia kyllä-rasteja ei ole syytä valita verkkopalveluissa asioidessaan.

Suunnitelmallinen sääntöjen rikkominen vs. huolimattomuus

Google ja moni muu suuryhtiö tekee rikkomuksensa suunnitelmallisesti mutta olemme nähneet huolimattomuudesta seuranneita asioita sellaisissa organisaatioissa, joissa moista tuskin osattiin odottaa – meille läheisestä esimerkistä käy Trafin tapaus. Vuonna 2017 nimenomaan Trafi vakuutteli, ettei Ruotsissa tapahtunut vuoto ole mahdollista Suomessa. Se mitä tapahtui on erilainen mutta lopputulos sama, tietoa karkasi ja ei tarvinnut olla kummoinen nörtti niin olisi voinut koneellisesti hakea kaikkien Trafin kontaktien henkilötiedot itselleen.

Mitä voimme oppia?

Tämä merkitsee, että meidän kaikkien tulee olla huolellisia henkilötietojen käsittelyssä olemmepa sitten aiheen äärellä yksityishenkilöinä tai järjestön edustajina tai kumppanina. Googlen tapaus tarkoittaa viimeistään nyt alleviivausta GDPR:lle: tämä asetus tosiaan on totta eikä paperin kahinaa. Kolmannelle sektorille annettaneen käytännössä lisäaikaa – näinköhän esimerkiksi pienen Ranskassa toimivan järjestön asiat ovat vielä asetusten vaatimusten tasalla. Mutta pian on syytä olla tai leka heiluu myös järjestöjen suuntaan. Työnkulkujen kuvaaminen ja vastuuttaminen ja tietorakenteiden eheyttäminen on vaan tehtävä, vaikka järjestöllä aivan varmuudella on kädet muutenkin täynnä. Mutta jos muuan hyvin tunnettu aines osuu tuulettimeen, seuraukset voivat olla sekä yksilöiden että järjestön kannalta dramaattisia.

Toivottavasti en synkistellyt liiaksi, me ainakin olemme valmiina auttamaan.

Autamme järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

Ilkka Harjula, 0400 545 767 tai ilkka.harjula(at)tietopiiri.fi

 

Otsikkokuva: www.pixabay.com