Tag Archive for: GDPR

GDPR-sakko kolmelle Suomessa

GDPR-sakko kolmelle Suomessa

Seuraamuskollegio määräsi 18. toukokuuta seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta. Rikkomukset koskevat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Tämä oli ensimmäinen kerta kun seuraamuskollegio määrää seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Tietosuojavaltuutetun toimiston julkaiseman tiedotteen voit lukea tästä.

Postille 100 000 € liittyen muuttoilmoituksiin

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä.

Kantelun tehneet ihmiset olivat muuttoilmoituksen tehtyään saaneet suoramarkkinnoinnin yhteydenottoja. Osalla kantelun tehneillä ei ollut aiempaa asiakassuhdetta markkinointia tehneisiin yrityksiin. Posti oli ilmoittanut oikeudesta kieltää tietojen luovuttaminen vain niille, jotka olivat ostaneet Postilta lisäpalveluita muuttoilmoituksen tekemisen ohella. Tietosuojavaltuutetun toimisto oli ollut Postiin yhteydessä jo aiemmin. Asiakkaiden informointia parannettiin tammikuussa 2020 mutta se ei estänyt sanktion langettamista.

Työntekijöiden sijaintitietojen käsittely

Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvi-oinnin tekemisen asian edetessä.

Kymen Vesi Oy paikansi ajoneuvoja ja siten työntekijöitä ajotietojärjestelmän avulla. Sijaintitietoa käytettiin mm työajanseurantaan. Tietosuojaa koskevaa vaikutustenarviointia ei ollut tehty, vaikka työntekijöiden sijaintitiedon käsittely sitä edellyttää. Seuraamusmaksun suuruus tästä oli 16 000 €.

Työntekijöiden henkilötietojen tarpeeton kerääminen

… on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.

Kolmannen seuraamusmaksun yhteydessä tiedote ei mainitse seuraamusmaksun kohteena olevan yrityksen nimeä. Yritys oli kerännyt työhönottotilanteessa tietoja mm uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tiedot määrättiin poistettavaksi ja 12 500 €:n suuruinen seuraamusmaksu lankesi.

Tietosuojavaltuutetun tavoite: oikeasuhtaisia, tehokkaita ja varoittavia päätöksiä

Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suhteessa tehtyihin ilmoituksiin tietosuojarikkomuksista resurssien määrää voi pitää pienenä. Tässä kerrotut päätökset eivät vielä ole lainvoimaisia, valittaminen hallinto-oikeuteen on mahdollista ja oletettavaa on, että ainakin Postin tapaus sinne päätyy.

Lainaukset on otettu päätöksistä.

Päätökset

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

Ikääntymisen tsunami – miten järjestö voi valmistautua

Ikääntymisen tsunami, kuten mm HS ja Yle tammikuussa uutisoivat, tulee iskemään rajusti kuntien mutta myös järjestöjen toimintaympäristöön. Paradoksaalisesti kaikki voi toistaiseksi sujua hyvin, jopa hämmentävän hyvin – mutta pudotus tulee olemaan sitä hurjempi.

Rahaakin tulee mukavasti, niin mikäpäs tässä

Moni järjestö saa toistaiseksi nauttia perinteisestä järjestön toimintaan osallistumisesta, mikä tarkoittaa jäsenyyteen sitoutumista pitkällä jänteellä. Tämä on merkinnyt jatkuvuutta ja ennustettavuutta jäsenmaksutuloissa ja vapaaehtoisten saatavuudessa. Monesti jäsenistön keski-ikä on jo kunnioitettava ja edelleen nousussa – nuorten ihmisten kynnys jäsenyyteen on jostain syystä korkea.

Ikärakenteesta johtuen väkeä poistuu ja testamenttilahjoitusten potentiaali on huomattava. Myös STEAn avustuspolitiikkassa ei ole hetkeen tapahtunut radikaaleja muutoksia – vielä. Rahaa voi tulla oikein mukavasti ja asiat rullaavat tuttuja kaavoja noudatellen. Mutta kuten eräs asiakkaamme puki tämän sanoiksi: ”Illan varjo lähestyy nopeasti”.

Kun aalto osuu rantaan

Kunta ottanee siipeensä vielä järjestöäkin nopeammin. Muutos tarkoittaa sitä, että monen kunnan mahdollisuudet suoriutua velvoitteistaan muuttuvat olemattomiksi. On vaikea ajatella, että kuolevassa kunnassa toimiva järjestö tai järjestön paikallisyhdistys voisi menestyä kuten ennenkin. Suurten ikäluokkien väistyessä järjestö menettää aktiivilahjoittajia ja toiminnan sitoutuneita ylläpitäjiä. Ellei uutta ikäluokkaa ole astumassa remmiin, on yhtälön lopputulos karulla tavalla selvillä. En varsinainen tuomiopäivän pasuuna halua olla, mutta onhan syntyvyyden romahtaminen vielä oma lukunsa tässä saagassa – olkoonkin, että sen vaikutukset näkyvät vasta paljon myöhemmin.

Miten järjestö voi varautua jäsenistön ikääntymiseen?

Tiivistäen: järjestön on syytä tuntea vaikutuspiirisssään olevat ihmiset ja viestiä heille kohdennetusti, jotta kunkin järjestön konversiotavoitteet olisivat mahdollisia. Konversiolla tarkoitetaan esimerkiksi satunnaisen tapahtumakävijän muuntumista järjestön sitoutuneeksi suosittelijaksi tai vapaaehtoistyöntekijäksi. Rahoitukseen liittyvä konversiopolku on vaikkapa kertalahjoittajan ryhtyminen kuukausilahjoittajaksi. Järjestö voi ohjata kontaktejaan haluttuja konversioita kohti mutta se edellyttää systemaattista tietämyksenhallintaa, liike-elämän puolelta tuttua asiakkuudenhallinnan hyödyntämistä. Järjestössä asiakkuudenhallinnan päätavoite on mielestäni järjestön kontaktin palveleminen.

Kontaktit pitää tuntea – mutta miten?

Järjestöllä on monta syytä kerätä kontaktitietoja myös löyhemmin järjestöön sidoksissa olevilta ihmisiltä. Huomaan, että käsiä nousi heti: GDPR ei ole este, uskokaa pois. Vaikuttaminen niihin, jotka jo järjestön tuntevat ja sitä symppaavat, on ratkaisevasti helpompaa kuin ventovieraan ihmisen ”väräyttäminen”. Kontaktipoolin kerääminen on perusteltua niin vapaaehtoisten hallinnan kuin varainhankinnankin kannalta. Aiempi blogi toppuuttelee ostamasta rekisteripalveluista kylmiä kontakteja.

Joskus vielä näkee, kun kontaktipotentiaalia haaskataan. Tapahtumakävijät kirjoittavat nimensä paperille ja siinä se. Mieluummin pyytäisimme kävijöitä täyttämään tietonsa verkkolomakkeen kautta, etukäteen tai tapahtumapaikalla ja vastineeksi kävijä saisi ainakin tapahtuman materiaalin sähköisenä. Samalla voi aina kysyä muita kiinnostuksen kohteita. Niistä lomakkeista kannattaa muistaa, että tiedon pitäisi mennä nätisti tietokantaan saakka eikä aiheuttaa sähköpostiin uutta digitointitehtävää.

Ensisijainen tapa kohtaamispiste tietojen keräämiseksi on järjestön oma verkkosivusto, johon kävijäliikennettä ohjataan kaikista käytetyistä viestintäkanavista. Siellä oleva kontaktienhallinnan lomake on kustannustehokas ja varmistaa sen, että tiedot tulevat talteen sekä ovat ja pysyvät omassa hallinnassa.

Muodosta kontakti – kuuntele – viesti kohdennetusti – pyydä – kiitä – hoida

Otsikko esittää kompressina asiakkuudenhallinnan ytimen. Järjestön motiivit ja metodit eroavat liiketoiminnan vastaavista mutta ainakin yksi asia on varmaa: tärkeintä ja arvokkainta tietoa on informaatio järjestössä ja sen vaikutuspiirissä olevista ihmisistä.

Harkitulla tietämyksenhallinnan prosessilla varmistetaan tulevaa ja rakennetaan uutta. Sitouttaminen ja omien kontaktien palveleminen, mutta myös GDPR edellyttää, että tiedot ovat hallinnassa ja ajan tasalla. Tietotekniikkaa luonnollisesti tarvitaan mutta kerta vielä alleviivaten: tekniikka on mahdollistajan roolissa työskentelytapojen kehittämiselle. Ei yhtään enempää.

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

ePrivacy-asetus viivästyy reippaasti

Juuri kun GDPR on saatu nielaistua, on perässä tulossa toinen – jos mahdollista paljon sekavampi ePrivacy-asetus koskien sähköisen viestinnän tietosuojaa. Mutta toviksi voi huokaista: kestää helposti parikin vuotta ennen kuin ePrivacy astuu voimaan. Toistaiseksi sisällöstä tarkkoja tietoja kertovat puhuvat vastoin parempaa tietoa. Tässä vielä GDPR-kertaus blogin muodossa.

Blogi on laadittu Ohjelmisto- ja e-business ry:n järjestämän tilaisuuden sisällön perusteella. HPP Asianajotoimisto Oy:n Terho Nevasalo presentoi asian tuttuun selkeään ja osaavaan tyyliinsä.

ePrivacy täydentää GDPR-asetusta

Siinä missä yleinen tietosuoja-asetus GDPR säätelee henkilötietoa sisältävien viestien ja tietosisältöjen tallentamista ja käsittelyä, sähköisen viestinnän tietosuojaa säätävä  ePrivacy-asetus liittyy henkilötietoa sisältävien viestien ja sisältöjen välittämiseen. Hyvin oleellista asiassa on viesteihin liittyvä metatieto. ePrivacy täydentää ja täsmentää GDPR-asetusta viestintäpalveluiden osalta.

ePrivacyn tarkoitus isossa kuvassa lienee selvä ja hyvin perusteltu. Mutta mitä asetuksen käytätännössä tulee sisältää – siitä EU:n jäsenvaltiot ovat erittäin erimielisiä. Suomen puheenjohtajakaudella esityksiä sisällöksi julkaistiin 10 ja viimeisimmän päiväys on 8.11.2019. Nyt kuitenkin näyttää siltä, että mahdollisesti, jopa todennäköisesti asetuksen ehdotuksen kirjoittaminen aloitetaan alusta. Missä asetusvalmistelu – siinä ongelma. Vai kuinkas se kuuluikaan.

Miksi ePrivacy-asetus on niin vaikea laatia?

Asetus on liki mahdoton toteuttaa siten, että kaikki sinänsä perustellut näkökulmat tulisivat huomioiduiksi: yksityisen ihmisen suojaaminen ja liiketoiminnan intressit ovat vahvasti vastakkain. Otetaan esimerkiksi telemarkkinointi: Suomessa tietosuojavaltuutettu on jo aikaa ollut sillä kannalla, että puhelinmarkkinoinnin tulisi olla mahdollista vain viestin vastaanottajan suostumuksella. Tai ainakin niin, ellei vastaanottaja ole sitä erikseen kieltänyt. Mikäli näin, kuolee toimiala yhdellä sivalluksella. Tätä kevyempi vaihtoehto, jota myös pidetään mahdollisena, on puhelinnumerossa näkyvä tunnistetieto, joka kertoisi puhelun vastaanottajalle, että puhelu on telemarkkinoinnillinen yhteydenotto. Tulos: toimiala kuolee lähes yhtä suurella varmuudella ellei keksitä hyviä palkkioita tai muita etuja, mitä puheluun vastaaja saa. Kun tähän keittoon lisätään kansalliset erityispiirteet, voivat huonosti nukkuvat etsiä syytä unettomuuteen jostain muualta kuin ePivacysta.

Sakkoa sakkoa enemmän sakkoa

Sakotuksen määrät tulevat olemaan samat kuin GDPR:ssä. Määrät ovat huomattavia ainakin pienemmille toimijoille ja GDPR-sakkoja on todellakin langetettu niin koululle, kiinteistönvälitysyritykselle kuin taksiyhtiölle. Hotelli, joka oli jättänyt aamiaiskävijöiden nimilistan näkyville, sai 15 000 € maksettavakseen. Asetus ei rajaa mitään toimialaa kevyemmän kohtelun piiriin, se kannattaa muistaa. Toukokuinen blogi GDPR-sanktioista on yhä validi.

Isoille toimijoille sakko voi kuitenkin olla pieni kustannus verrattuna tilanteen korjaamiseen. Eräs yritys sai 220 000 €:n sakon mutta ihmisten tiedottaminen joko soittamalla tai  kirjeitse olisi kustantanut miljoonia. Isot yritykset voivat siis mahdollisesti taktikoida, muiden on pakko noudattaa sääntöjä.

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

Ensimmäinen GDPR-sakko Suomeen keväällä?

Yksikään GDPR-sakko ei ole osunut Suomeen. Vielä. Keväällä 2020 tilanne luultavasti muuttuu. Ketä heitetään ensimmäisellä kivellä, sitä jännitämme kaikki. Puolisen vuotta sitten blogasimme Euroopassa langetetuista GDPS-sakoista, joita oli ympäri Euroopan ja hyvin lavealla toimialajakaumalla. Blogin kirjoittamisen jälkeen British Airways on saanut tuta 200 miljoonan ja Marriott-hotelliketju 110 miljoonan euron sakon piiskaniskun.

Tietoviikon verkkolehti ennakoi artikkelissaan, asiaa hyvin perustellen, että keväällä 2020 voimme hyvinkin nähdä suomalaisiin toimijoihin osuvia sanktioita. Suomalaiset eivät ole sen puhtoisempia mutta kansallinen lainsäädäntö on tullut voimaan monia muita maita myöhemmin, sen vuoksi myöskin sanktiot tulevat viiveellä. Artikkelin mukaan käsittelyajat huomioiden ensi kevät on hyvinkin suomalaisten uutisten aikaa.

Aiemmassa blogissa pyydettiin kiinnittämään huomiota, että sakon saaneissa oli aivan muitakin kuin kansainvälisiä verkkokauppoja, joiden voisi  kuvitella olevan listan kärjessä niin summien kuin osumien määrässä. Nyt julkaistu uutinen kertoo samaa.

Saksalainen tietosuojaviranomainen langetti ruokalähetyspalvelu Delivery Herolle 195 000 €:n ojennuksen yrityksen lähetettyä mainosviestejä vastoin asiakkaiden tahtoa. Artikkeli ei kerro mutta mitä ilmeisimmin yritystä on huomautettu asiasta useammin kuin kerran ja heillä olisi ollut aikaa korjata toimintaansa ja selvitä huomautuksella.

Espanjalainen halpalentoyhtiö palkittiin 30 000 €:n tiketillä verkkosivuston evästeongelmien takia. Olipa ruotsalaislukiokin päässyt kyseenalaisen huomion kohteeksi ja joutuu maksamaan 19 000 € kokeiltuaan kasvojentunnistusohjelmaa muutaman viikon ajan. Luit oikein, muutaman viikon ajan. Lukion tapauksessa huomaamme miten paljon tarkempia ollaan, kun kyseessä on lapset tai nuoret, heikommassa asemassa olevaksi katsottava kohderyhmä.

Suomesssa GDPR-sakkoja voi antaa tietosuojavaltuutetun kolmihenkinen kollegio. Voiko siitä päätellä, että käsittelyajat ovat pitkiä? Vai keskittyykö ryhmä räikeimpiin tapauksiin, heikommat ryhmät erityisesti huomioiden? Jäävätkö pienemmän mittakaavan asiat aktiivisella päätöksellä tutkimatta kuten vähäiset omaisuusrikokset poliisilla nykyisin? Saamme lisätietoa kunhan valoisampi vuodenaika taas koittaa. Aineistosta suomalaisviranomaisella ei tule olemaan puutetta: ilmoituksia on otettu vastaan yli  9000 kpl!

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

 

 

 

Kurkistus tuleviin ja pikakertaus jo julkaistuihin blogeihin

Pirteää syyskauden aloitusta toivotamme! Katsotaan tulevaa, mitä blogipostauksia tänne on tarkoitus tuottaa. Mutta otetaan samalla pikakertaus keskustelua aikaansaaneista, jo julkaistuista postauksista. Aiheet ovat edelleen hyvin ajankohtaisia.

Syksyllä kirjoitamme blogeissa ainakin seuraavista aiheista

Vanhojen tapojen kyseenalaistaminen on jo aloitettu blogisarja ja se saa jatkoa. Ensimmäisenä julkaistu juttu käsitteli paikallisyhdistyksen kontaktien näkyvyyttä – tai paremminkin näkymättömyyttä. Miksi kontaktit eivät saisi näkyä toisessa yhdistyksessä?

Sarjan toinen postaus tulee pohtimaan lahjoittajien kiittämistä. Joissain järjestöissä on aktiivisesti päätetty, että lahjoittajia ei kiitetä ja perusteena on lahjoittajien anonymiteetin kunnioittaminen, halu toimia diskreetisti. Motiivi on ymmärrettävä mutta kannattaisiko kiittäminen silti, voisiko sen tehdä siten, ettei lahjoittaja kiusaannu.

Kolmas osa ihmettelee ääneen tyypillistä uutiskirjekäytäntöä, jossa sama sisältö toimitetaan kaikille. Näin siitä huolimatta, että usein sisältö ja vastaanottajan intressit eivät kohtaa. Henkilökohtaiseen räätälöintiin tiedottamisessa ei ole aikaa mutta löytyisikö silti keinoja, jolla uutiskirjeen osuvuutta, kiinnostavuutta ja avausprosenttia saataisiin kohennettua.

Blogisarjan neljäs on saanut inspiraatiota Tolkienin tarinoista ja on kirjoittajan suosikki jo nyt. Järjestöjen yhteistyön puute ja Iso Paha Susi kertoo järjestöjen yksinäisestä puurtamisesta ja millaisia vaaroja siihen liittyy aikana, jolloin kaikkien pitää kilpailla näkyvyydestä, ihmisten osallistumisesta ja tietenkin rahasta.

Viidennessä tarinassa ollaan lahjoittamisen äärellä ja kannustetaan miettimään lahjoittamista rahalahjoituksia laveampana asiana. Järjestön tavoite ja strategia määrittää onko tärkein järjestölle vastikkeetta annettava asia rahaa vai jotain aivan muuta kuten oman ammatillisen verkoston tarjoamista käytettäväksi. Usein tämä onneksi on oivallettu mutta myös järjestön verkkopalvelun tulee olla tehtäviensä tasalla, jotta hyvä aikomus voi muuntua konkretiaksi.

Kuudes osa saattaa olla viimeinen. Näillä näkymin se käsittelee järjestön toiminnassa olevien ihmisten osallistumisen tavan kehittämistä. Millaisia polkuja on näkyvissä, jotta ”hang-around” -ihminen voi muuntua järjestön aktiiviseksi suosittelijaksi.

Kun löydätte teeman, kertokaa!

Yllä on kuusi teemaa mutta piintyneitä muutettavissa olevia ja muuttamisen arvoisia tapoja on taatusti enemmän kuin mitä meille on tullut mieleen. Otamme kiitollisena vastaan ajatuksia kokonaan uusista aiheista sekä yllä mainittujen aiheiden näkökulmien tarkentamisesta. Kirjoita, soita tai tule käymään!

Ainakin näitä blogipostauksia kannattaisi vilkaista uudelleen

Uusi rahankeräyslaki astuu voimaan maaliskuusssa 2020. Sen soveltamiseen liittyy vielä monia kysymyksiä, mutta seuraamme kehitystä silmä tarkkana. Mitä tiedämme asiasta nyt, sen voit lukea tästä.

Varainhankinnan merkitys järjestöille joka tapauksessa korostuu. Siksi jatkamme varainhankinnan 6 askeleen (katso video) prosessin kehittämistä. Tässä teidän palaute ja toiveet ovat avain.

Olemme kirjoittaneet paikallistuntemuksesta järjestön voimavarana:

koskien osassa 1 tiedon hajauttamista ja itsepalvelua, osassa 2 järjestön lähettiläitä

Analysoimme lahjoittamisen kustannuksia blogissa:
Tekstiviesti on kätevä, muttei halpa tapa lahjoittaa

Raportoimme tietosuoja-asetuksen tulkinnoista:
GDPR-sanktioita langetettu ympäri Eurooppaa

Näillä pääsee hyvään moodiin mutta myös aiemmat jutut kestävät edelleen tarkastelua: teemat on valittu siten, että ne eivät ihan helpolla vanhene.

Lukemisen iloa, palautteesta jo etukäteen kiitollisena! 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

 

 

 

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

GDPR-sanktioita langetettu ympäri Eurooppaa

EU:n tietosuoja-asetus GDPR on täyttämässä vuoden.  GDPR-sanktioita on langetettu ympäri Eurooppaa. Useimmiten viranomaiset ovat sakkojen sijaan määränneet lievempiä keinoja kuten huomautuksia tai varoituksia. Tähän mennessä sakkoja on määrätty yli 40 asiassa ja lisää on tulossa.  Sakkojen perusteet kertovat, että regulaatio ei ole mikään teoreettinen ohjeistus vaan täyttä totta. Ohjelmisto- ja e-business ry yhdessä HPP Asianajotoimiston kanssa julkaisi ajankohtaisen katsauksen miten GDPR:n ensimmäinen vuosi on sujunut ja millaisia käytänteitä on muotoutunut.

GDPR-sanktioita eri puolelta Eurooppaa

Saksassa sosiaalisen median yrityksen sakko, 20 000 € oli varsin pieni ottaen huomioon, että 330 000 ihmisen käyttäjätunnukset salasanoineen paljastuivat hakkerihyökkäyksessä. Viranomainen otti huomioon yrityksen yhteistyöhalukkuuden ja mm. sen, että yritys oli välittömästi tiedottanut käyttäjiään hyökkäyksestä. Suurin Saksassa määrätty sakko on toistaiseksi 80 000 € ja se liittyy puutteellisen tietoturvan aiheuttamaan arkaluontoisten terveystietojen paljastumiseen. Mittakaavan valottamiseksi vielä muistutuksena, että Ranskassa Googlelle määrättiin 50 miljoonan euron sakko, aiheesta julkaistiin blogi tuoreeltaan. Mutta kuten HPP:n Terho Nevasalo sanoi, summa pitää suhteuttaa Googlen ”huikeaan sotakassaan”. Googlen synti oli se, ettei se riittävän tarkasti kertonut käyttäjilleen mitä puhelimista kerätyillä tiedoilla tehdään ja kauanko niitä säilytetään.

Tanskassa tietosuojaviranomainen on esittänyt taksiyhtiölle 160 000 €:n sakkoa sillä perusteella, että yhtiö poistaa rekisteristään asiakkaan muut tiedot kahden vuoden jälkeen mutta ilmoittaa säilyttävänsä ja säilyttää asiakkaiden puhelinnumeroita viiden vuoden ajan. Tälle ei nähty perusteita; asian käsittely on kesken.

GDPR ei koske pelkästään kaupallisia yrityksiä. Norjassa Bergenin kunnalle on määrätty 170 000 €:n sakko, koska puutteellinen tietoturva mahdollisti pääsyn alakoulujen oppilaiden ja työntekijöiden henkilötietoihin. Suurin osa rekistereissä olevista 35 000 ihmisestä oli lapsia, mikä ns. heikompien ryhmien suojelemiseksi on omiaan nostamaan  sanktion määrää.
Tapaus Bergen kuitenkin eroaa johtuen Suomessa tietosuojalakiin tehdystä poikkeuksesta. Terho Nevasalo lähetti oleellisen tarkennuksen, jota maallikkona en ymmärtänyt blogiin alun perin kuvata. Terho kirjoitti seuraavasti:
”Suomessa ei esim. viranomainen, kunnallinen viranomainen tai vastaava taho ole hallinnollisen seuraamusmenettelyn (sakko) piirissä, koska tietosuojalain mukaan hallinnollista seuraamusmaksua ei ole tarpeellista ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on lisäksi noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Tämä periaate voi tietosuojalain hallituksen esityksen muuttua, jos siihen nähdään tarvetta.”

Puolassa digitaalisen markkinoinnin yritys ei kertonut rekisteröidyilleen, että he ovat rekisterissä. 14. artiklan laiminlyönti tuli kustantamaan 220 000 €. Irlannissa viranomaiset tutkivat paraikaa Facebookia: onko käyttäjien salasanojen tietoturvasta huolehdittu riittävästi.

Eteläisen Euroopan käytännöt eivät näyttäisi poikkeavan

Arveltiin, että pohjoisessa Euroopassa GDPR:n vaatimuksia pyritään sekä noudattamaan että valvomaan. Samaan aikaan oletettiin, että eteläinen osa maanosasta pelaa toisilla säännöillä, viranomaisvalvontaa myöten. Vaikuttaisi siltä, että ainakin jälkimmäinen veikkaus meni pieleen. Sanktioita on langettu melko tasaisesti ympäri Eurooppaa ja ainakin yksi sankio on määrätty myös Kreikassa.

Suomalainen keissi onneksi vielä puuttuu eikä ole myöskään tietoa, että yksikään järjestö olisi päätynyt sakkomenettelyyn. Mutta kuten Bergenin kuntaa koskeva tapaus osoittaa, organisaation toimialalla ei ole merkitystä eivätkä järjestötkään ole mitenkään GDPR:n ulkopuolella. Kuten eräässä kuuluisassa TV-sarjassa tavattiin sanoa: ”Let´s be careful out there”.

Autamme Tietopiiri Oy:ssä järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

 

50 miljoonan euron GDPR-sakko langetettu

Tekniikka&Talous uutisoi 22.1.2019, että Ranskan tietoturvaviranomaisten langettama GDPR-sakko on peräti 50 miljoonaa euroa ja sen saa Google. Jotain tämänsuuntaista osasimme odottaa – silti yllätyimme.

Arvasimme lähes oikein

Veikkailimme viime keväänä, että vielä vuoden 2018 puolella julkistetaan merkittävän suuruusluokan sanktio GDPR-asetuksen vastaisesta henkilötietojen käsittelystä. Aikataulu venähti mutta summa tosiaan on huomattava. Itse olin valmis laittamaan arvaukseni sen varaan, että missään tapauksessa sanktion kohteena ei ole kolmannen sektorin toimija. Ohessa linkki GDPR-aiheiseen blogiin, joka tosin keskittyy faktoihin eikä ennustamiseen.

Kolmannen sektorin sijaan oletin, että sanktion saa huomattavan uutisoinnin saattelemana jokin kiinalainen verkkokaupan toimija. Väärin meni: kohde on Google, joka ranskalaisten tietosuojaviranomaisten mukaan ei kerro meille riittävän tarkoin mihin meistä tallennettavaa tietoa käytetetään. Yksityiset ihmiset ovat viime vuoden aikana ainakin jonkin verran havahtuneet huomaamaan, että kaikkialle tietoja ei kannata luovuttaa ja kaikkia kyllä-rasteja ei ole syytä valita verkkopalveluissa asioidessaan.

Suunnitelmallinen sääntöjen rikkominen vs. huolimattomuus

Google ja moni muu suuryhtiö tekee rikkomuksensa suunnitelmallisesti mutta olemme nähneet huolimattomuudesta seuranneita asioita sellaisissa organisaatioissa, joissa moista tuskin osattiin odottaa – meille läheisestä esimerkistä käy Trafin tapaus. Vuonna 2017 nimenomaan Trafi vakuutteli, ettei Ruotsissa tapahtunut vuoto ole mahdollista Suomessa. Se mitä tapahtui on erilainen mutta lopputulos sama, tietoa karkasi ja ei tarvinnut olla kummoinen nörtti niin olisi voinut koneellisesti hakea kaikkien Trafin kontaktien henkilötiedot itselleen.

Mitä voimme oppia?

Tämä merkitsee, että meidän kaikkien tulee olla huolellisia henkilötietojen käsittelyssä olemmepa sitten aiheen äärellä yksityishenkilöinä tai järjestön edustajina tai kumppanina. Googlen tapaus tarkoittaa viimeistään nyt alleviivausta GDPR:lle: tämä asetus tosiaan on totta eikä paperin kahinaa. Kolmannelle sektorille annettaneen käytännössä lisäaikaa – näinköhän esimerkiksi pienen Ranskassa toimivan järjestön asiat ovat vielä asetusten vaatimusten tasalla. Mutta pian on syytä olla tai leka heiluu myös järjestöjen suuntaan. Työnkulkujen kuvaaminen ja vastuuttaminen ja tietorakenteiden eheyttäminen on vaan tehtävä, vaikka järjestöllä aivan varmuudella on kädet muutenkin täynnä. Mutta jos muuan hyvin tunnettu aines osuu tuulettimeen, seuraukset voivat olla sekä yksilöiden että järjestön kannalta dramaattisia.

Toivottavasti en synkistellyt liiaksi, me ainakin olemme valmiina auttamaan.

Autamme järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

Ilkka Harjula, 0400 545 767 tai ilkka.harjula(at)tietopiiri.fi

 

Otsikkokuva: www.pixabay.com

 

 

 

GDPR mahdollisimman selkeästi

Olemme huomanneet, että jotkin EU GDPR (General Data Protection Regulation)-tietosuoja-asetuksen yksityiskohdat ovat vaikeaselkoisia. Koetan tässä selventää keskeisimpiä asioita. Mutta pitää ehdottomasti lukiessa pitää mielessä, etten ole tietosuojajuristi enkä voi ottaa vastuuta tulkinnoista.

Kyseessä ei ole direktiivi, joka on tavallaan ohje tai raamitus normin rakentamiseksi vaan asetus, joka on lain kaltainen ja suoraan sovellettavaa oikeutta. Noudattaminen on siis välttämätöntä eikä non-profiteille ole mitään erillistä määritystä mikä on henkilötietoa ja mikä on rekisteri.

Voi olla yllätys, että nyt myös kuva pääsääntöisesti on henkilötietoa: kuvantunnistusohjelmat ovat kaikkien käytettävissä ja niinpä kuva voi kertoa paljon enemmän kuin 1000 sanaa.  Mapissa oleva, tietojärjestelmän sisältämä sekä verkkolevyjen ja taulukoiden sisältämä henkilötieto on rekisteriä. Sisältö ratkaisee, ei formaatti. On myös huomioitava, että henkilötietojen säilyttäminen on tietojen käsittelyä. Kun liitto tai järjestö pitää yllä yhdistystensä jäsenrekisteriä, pitää kullakin yhdistyksellä olla sopimus liiton kanssa. Tämä siis siinä tapauksessa, että jäsenjärjestöt ovat juridisesti itsenäisiä eli niillä kullakin on oma y-tunnuksensa.

GDPR yleisperiaatteet henkilötietojen käsittelylle

1.            Osoitusvelvollisuus

On pystyttävä osoittamaan, että asetuksen periaatteita on noudatettu. Ei siis riitä, että jonkin asian toteuttamisesta on sovittu vaan on voitava näyttää, että näin on tosiaan toimittu. Ei ole vaikkapa vaan sovittu, että mapeissa olevat rekisterit tuhotaan ja siirretään tietoturvalliseen sähköiseen paikkaan. On tärkeää dokumentoida, että näin on tapahtunut.

 2.            Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Henkilötiedon käsittelyyn on oltava laillinen peruste. Henkilötiedon säilyttäminen ja käsittely voi perustua suostumukseen, oikeutettuun etuun tai sopimukseen. Non-profitin kannattaa kiinnittää huomiota suostumukseen sekä sopimukseen. Suostumus on ylivoimaisesti yleisin – ja järjestön kannalta huonoin vaihtoehto. ”Suostun, että tietojani säilytetään rekisterissä Y”. Kun ihminen ottaa rastin pois, ei järjestöllä ole mitään edellytyksiä pitää tietoja. Suostumuksen sijaan sopimuksellisuus antaa järjestölle enemmän liikkumavaraa. Kun ihminen tilaa uutiskirjeen ja järjestö toimittaa palvelun, on syntynyt sopimus. Sopimusperusteista henkilötietoa ei niin vaan tarvitsekaan poistaa. Tämä on juristikikkailua, mutta se kannattaa tehdä, jotta voi myöhemmin kontaktoida ihmisiä esimerkiksi heidän houkuttelemiseksi uudelleen toimintaan.

 3.            Käyttötarkoitussidonnaisuus

Tietoa kerätään ja käytetään juuri siinä tarkoituksessa mitä rekisteriselosteessa on ilmoitettu.

 4.            Tietojen minimointi

Tiedon on oltava asianmukaista ja oleellista.  Tietoa saa kerätä vain sen verran mikä on tarpeellista. Tässäkin otsikko kertoo kaiken oleellisen.

 5.            Täsmällisyys

Tietosisällön tulee olla täsmällistä, päivitettyä ja virheetöntä. Täydellistä virheettömyyttä ei voi vaatia, mutta esimerkiksi monien rekisterien ongelma, duplikaatit, eivät ole sallittuja. Jotkut tietojärjestelmät eivät juuri piittaa onko henkilön tiedot jo valmiiksi rekisterissä vaan perustavat uuden kontaktikortin jäsenen tilatessa lehden tai ilmoittautuessa tapahtumaan. Samoin ihmisten muuttaessa rekistereihin jää helposti vanhentuneita kontakteja väärillä tiedoilla – tätä voi taklata automatisoimalla osoitteiden päivityksen suoraan Postin tietojärjestelmästä.

 6.            Säilytyksen rajoittaminen

Tietoa on lupa säilyttää vain niin kauan kuin se on tarpeen käsittelyn tarkoituksen kannalta. Tässäkin kohdin rekisteriseloste kannattaa laatia huolella, jotta esimerkiksi historiankirjoitus ei käy mahdottomaksi.

 7.            Eheys ja luottamuksellisuus

Kohta viittaa periaatteista eniten tietosuojan teknisiin ja organisatorisiin toimiin tietojen suojaamiseksi.

 Rekisteröityjen oikeudet

1.            Oikeus päästä tietoihin määräajassa

Rekisteröidylle on järjestettävä pääsy häntä koskeviin tietoihin pääsääntöisesti kuukauden kuluessa tietopyynnöstä. Hyvällä syyllä kaksi kuukautta sallitaan mutta ei enempää. Samalla on syytä kuitenkin varmistua, että tietoja pyrkii näkemään juuri rekisteröity, eikä joku hänenä esiintyvä.

 2.            Oikeus tulla unohdetuksi

Laillisuuden ohella tähän liittyy mahdollisesti työllistävä seikka: kun henkilö haluaa, että hänen tietonsa poistetaan, voi olla suuri työ löytää duplikaatit, joissa kenties on eri osoite tai vaikka sukunimi. Yhdelläkään järjestöllä ei ole aikaa moiseen tietojen metsästykseen.

 3.            Oikeus siirtää tiedot koneluettavassa muodossa järjestelmästä toiseen

Nyt menee vahvasti maallikkotulkinnan puolelle mutta oletan, että tämän kohdan noudattamisessa haetaan linjaa vielä jonkin aikaa. Mikä katsotaan tarkoituksenmukaiseksi ja kohtuulliseksi niin rekisteröidylle kuin rekisterinpitäjälle, sitä emme vielä tiedä.

 Osa asetuksen vaatimuksista on täysin selviä, osassa haetaan vielä linjaa. Kiistatonta on, että järjestöjen tulee toimia asiassa. Sekä laillisuuden täyttämiseksi että oman ylimääräisen työn välttämiseksi järjestön kontaktit on syytä koota siten, että pääsynhallinta on keskitetty ja ammattimaisesti hoidettu. 

Lisätietoa

Ole vain rohkeasti yhteydessä – autamme mielellämme

Ilkka Harjula

 

 

Ilkka Harjula

2.1.2018

 

Kuva: Modifioitu www.pixabay.com

GDPR – check! Entä e-Privacy Regulation?

EU:n yleinen tietosuoja-asetus GDPR velvoittaa 25. toukokuuta 2018 – oletko valmis?

Moni on todennut, että EU:n yleinen tietosuoja-asetus GDPR (General Data Protection Regulation) eli henkilörekistereitä koskeva säännöstö teettää paljon työtä. Arvelen, että aika harva järjestö on kovinkaan lähellä ollakseen ”compliant” 25.5.2018, kun sen noudattaminen on pakollista. Soveltamistavassakin on vielä kysymyksiä. Kuinka pilkuntarkka esim. hyväntekeväisyysjärjestön tulee olla verrattuna suureen EU-alueella toimivaan verkkokauppaan? Aika hyvä kysymys.

Sähköisen viestinnän tietosuoja-asetus (e-Privacy Regulation) tulee

Kovin vähälle huomiolle on jäänyt, ettei GDPR ole aihealueen viimeinen työllistävä tekijä: toinen asetus, joka ei siis ole direktiivi vaan sellaisenaan velvoittavaa lainsäädäntöä, tulee pikapuoliin perässä. Sähköisen viestinnän tietosuoja-asetus (e-Privacy Regulation) on yleisen tietosuoja-asetuksen GDPR:n ”sisarasetus” ja aiheuttaa nyt valmisteluvaiheessaan suurta pärskyntää. Se vaikuttaa järjestöjen toimintaan, mutta on kuitenkin liike-elämälle merkittävästi suurempi asia kuin kolmannen sektorin toimijoille.

GDPR on enemmän rakenteellinen ja vaikutukseltaan työllistävämpi. GDPR määrittää mm. sitä missä ja miten henkilötietoa säilytetään, kuka tietoon pääsee ja kuinka eheää se on. Myöhemmin tuleva sähköisen viestinnän tietosuoja-asetus puolestaan säätelee miten tietoa käytetään esimerkiksi markkinointitoimenpiteiden yhteydessä. Järjestön nimenomaan kannattaa suhtautua viestintäänsä systemaattisena kontaktin kehittämisen prosessina – kaupallisella puolella tavoite on tuotteen myyminen, non-profitin haluttu tulos voi olla vapaaehtoisten sitoutumisen vahvistaminen tai vaikkapa jäsenen osaamispanoksen lahjoittaminen. Mutta viestinnän kannalta asia on sama ja asetus tosiaankin koskee rekisteröidyn yhdistyksen toimintaa. Kirjoitan asetusten sisällöstä erillisen tiiviin blogin pikapuoliin.

… marraskuussa tai ehkä vasta 2019

Sähköisen viestinnän tietosuoja-asetuksen piti tulla voimaan toukokuussa 2018 mutta sitä on viivästetty ainakin marraskuuhun 2018. Asetuksen sisältö aiheuttaa vahvoja tunteita ja kriittisimpien mielestä se nykyisen valmisteluvaiheen mukaisena pysäyttäisi suoramarkkinoinnin liiketoiminnan kokonaan. On mahdollista, että asetus on täällä vasta vuoden 2019 puolella, mutta viisasta on ottaa sen keskeisestä sisällöstä selvää jo nyt. Hienosti jalostettua ja ymmärrettävää tietoa on tarjolla esimerkiksi Ohjelmistoyrittäjät ry:n ylläpitämällä sivustolla www.gdpr.fi

Työtä on tiedossa, mutta hyvää tässä on se, että asetukset korvaavat kansalliset lakiviritelmät ja kun asetuksia osaa noudattaa kotimaassa, pärjää samalla metodiikalla muuallakin EU-alueella.

Suosittelemamme askel oikeaan suuntaan

Vahva suosituksemme on, että vähintäänkin taulukkotiedostoista, verkkolevyille talletetuista listoista ja varsinkin mapeissa säilöttävistä rekisteritiedoista hankkiudutaan välittömästi eroon. Kun kaikki kontaktitieto on hallitusti samassa tietojärjestelmässä, on rekisterinpitäjän ja rekisteröidyn paljon helpompi hengittää vapautuneesti.

Ilkka Harjula

 

 

 

Ilkka Harjula

10.12.2017

Artikkeli kuva: www.pixabay.com