The post Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä appeared first on GDPR Register | Compliance tool for privacy experts.

Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei pidetä ajan tasalla päivityksien avulla, niiden laatu heikkenee ohjelmien vanhentuessa. Yrityksien hallussa on nykyään valtavia määriä tietoa, jonka johdosta yrityksistä voi helposti tulla alttiita verkkohyökkäyksille.

Tech Republicin mukaan vuonna 2018 kaikista verkkohyökkäyksistä yleisin oli erilaiset haittaohjelmat. Haittaohjelmiin liittyvissä hyökkäyksissä, kyberrikolliset varastavat uhrin henkilökohtaisia tietoja tämän tietokoneelta, käyttäen vakoiluohjelmia sekä etäältä hallittavia haittaohjelmia.

Seuraavaksi yleisin verkkohyökkäyksen muoto on hakkerointi. Hakkeroinnissa hyökkääjää käyttää hyväkseen kohteensa  ohjelmistojen ja laitteistojen heikkouksia. Hakkerit aiheuttavat eniten haittaa hallituksille, pankeille sekä kryptovaluutta alustoille. Viimeisimmässä tapauksessa, Saksan liittokansleri Angela Merkelin Twitter tili hakkeroitiin ja henkilökohtaisia tietoja vuodettiin tililtä julkisuuteen. Tapaus kertoo siitä, että korkeassa virassa olevat valtion työntekijätkään eivät ole suojattuja tietoturvaloukkauksilta.

Muita verkkohyökkäyksen muotoja:

• Verkkohyökkäykset, joissa kohteina ovat yrityksien avainasemissa työskentelevät henkilöt. Hyökkääjät valikoivat kohteikseen henkilöitä, joiden kautta on helppo päästä käsiksi yrityksen kannalta tärkeisiin tietoihin ja tietojärjestelmiin. Hyökkääjät käyttävät hyväkseen erilaisia sosiaalisen median kanavia, kuten LinkedIn palvelua. Verkkohyökkäyksen tehokkuus perustuu ihmisten välisiin vuorovaikutuksiin ja ideana on päästä käsiksi yritykselle tärkeisiin tietoihin sen työntekijöiden kautta.
• Web sivustojen hyökkäykset. Kyberrikolliset voivat käyttää verkkosivujen asiakastietokantoja ja muuta dataa kiristysvälineenä uhaten yrityksiä verkkosivujen sulkemisella tai tietovuodolla.
• DDoS –(Denial of Service attack) Palvelunestohyökkäys on verkkohyökkäyksen muoto, jota käyttävät lähinnä kilpailijat, tyytymättömät asiakkaat sekä erilaiset hakkerointi aktivistit. Palvelunestohyökkäykset kohdistuvat yleensä valtion toimielimiin. Palvelunestohyökkäys lamauttaa järjestelmän toiminnan, jolloin se ei voi vastata palvelupyyntöihin. Palvelunestohyökkäys on myös hyökkäys järjestelmän resursseja vastaan, mutta se käynnistetään useammalta isäntäkoneelta, johon hyökkääjien haittaohjelma on jo tarttunut.

Terveydenhuoltoala on erityisen riskialtis verkkohyökkäyksille, tietojen arkaluonteisuuden vuoksi. Erityisesti kiristyshaittaohjelmat ovat yleinen verkkohyökkäyksen muoto. Vuonna 2017 terveydenhuoltoala kärsi 45% kaikista kiristyshaittaohjelmiin liittyvistä hyökkäyksistä. Rahoitusalan yritykset kärsivät 12%, teollisuus 7%, koulutus ja vähittäiskauppa molemmat 6% sekä matkailuala 7%. Muut alat kuten, julkinen sektori sekä kiinteistöala saivat osuudekseen yhteensä 8% kaikista kiristyshaittaohjelma hyökkäyksistä. Europolin tekemän raportin mukaan kirityshaittaohjelmat vähenivät 30% vuonna 2018 verrattuna vuoteen 2017. Kiristyshaittaohjelmat ovat kuitenkin edelleen suurin uhka kaikista haittaohjelmien eri tyypeistä. Kiristyshaittaohjelmien koodaukset ovat muihin verrattuna paljon kehittyneempiä, mikä tekee uhkien tunnistamisesta huomattavasti haastavampaa.

Kuinka kiristyshaittaohjelmat liittyvät Yleiseen tietosuoja-asetukseen?

Kiristyshaittaohjelmat ovat haittaohjelmia, jotka uhkaavat julkaista arkaluonteisia tietoja uhristaan tai vastaavasti estää kiristyksen kohteensa pääsyn omiin tietoihinsa. Kiristyshaittaohjelmat ovat yksi yleisimmistä haittaohjelmatyypeistä sekä Suomessa että maailmalla. Kiristyshaittaohjelmaksi luokitellaan sellaiset haittaohjelmat tai verkkosivut, joiden tavoitteena on aiheuttaa käyttäjän tietokoneelle paikallinen palvelunestotila ja saada käyttäjä maksamaan tietty summa rahaa tietokoneen toimintakyvyn palauttamiseksi.

Haittaohjelmatyypit:

• Arkaluonteisten tietojen tilapäinen tai pysyvä hävittäminen
• Toimintojen häiritseminen verkon kaatamisen avulla
• Lunnasmaksu vaatimus: Jotta järjestelmä palautuu toimintakykyiseksi tai varastetut tiedot palautetaan.

Kun kiristyshaittaohjelmat saavat haltuunsa yrityksen tietoja yksityishenkilöistä, voivat yksityishenkilöiden oikeudet vaarantua. Tämän vuoksi kiristyshaittaohjelmien tuomat ongelmat liittyvät myös Yleiseen Tietosuoja-asetukseen, sillä haittaohjelmat uhkaavat myös henkilöiden yksityisyyttä.

Useimmiten yritykset ovat valmistautuneet hyvin GDPR:n asettamiin vaatimuksiin, mutta aliarvioivat haittaohjelmien mahdollisia vaikutuksia. Haittaohjelmat voivat vaarantaa yrityksen hallussa olevia henkilötietoja, jonka vuoksi on tärkeää, että yritykset arvioivat huolellisesti haittaohjelmien ja verkkohyökkäyksien vaikutuksia tietosuojaan.

Jos henkilötietoja vaarantuu verkkohyökkäyksen johdosta, tulee viranomaisille ilmoittaa asiasta 72 tunnin kuluessa. Ilmoituksen tulee sisältää tietoja tietoturvaloukkauksen tyypistä, vaarantuneista henkilötiedoista sekä toimenpiteet joita tullaan tekemään haitallisten vaikutusten vähentämiseksi. Jos tietoturvaloukkaus on laadultaan vakava ja vaarantuneet henkilötiedot ovat erityisen arkaluonteisia, tulee kyseisille henkilöille kertoa tietoturvaloukkauksesta. Viranomaisille pitää ilmoittaa aina, jos arkaluonteisia henkilötietoja vaarantuu tietoturvaloukkauksen aikana.  Jos yritys ei pysty osoittamaan, että GDPR:n asettamia vaatimuksia on noudatettu, on mahdollista että yritykselle määrätään viranomaisen toimesta sanktioita.

Onko Kiristyshaittaohjelma automaattisesti myös tietovuoto?

Useat kiristyshaittaohjelmien laatijat pyrkivät arvioimaan mahdollisen sakon suuruuden, jonka yritys joutuisi maksamaan jos GDPR:n asettamia vaatimuksia rikotaan. Tällöin lunnasvaatimukset vastaavat mahdollisen sakon suuruutta. Hyökkääjät olettavat yrityksen maksavan mieluummin lunnasrahan, kuin ilmoittavan hyökkäyksestä paikallisille viranomaisille, joka johtaisi automaattisesti asian viralliseen tutkintaan. Tutkinnan yhteydessä voitaisiin löytää lisää todisteita tietosuoja rikkomuksista.

Suurin osa yrityksistä kuitenkin ymmärtää, että sanktioista tulee huomattavasti todennäköisempi vaihtoehto jos kiristyshaittaohjelman aiheuttamasta tietovuodosta jättää ilmoittamatta viranomaisille. On nimittäin myös mahdollista, että kiristyshaittaohjelmaa ei lasketa tietoturvaloukkaukseksi lainkaan, varsinkin jos haittaohjelma lamaannuttaa vain ohjelmien toiminnan eikä aiheuta vaaraa henkilötietojen osalta.

Kuinka kirityshaittaohjelmia voidaan välttää?

Tietosuoja-asiantuntijat odottavat kiristyshaittaohjelmien lisääntymistä tulevaisuudessa. Mikä tahansa yritys, koosta riippumatta voi joutua hyökkäyksen kohteeksi. Hyökkääjät ovat tietoisia siitä, että viranomaisen määräämä sanktio voi olla kohtalokas yrityksen liiketoiminnan kannalta. Tämän vuoksi on erityisen tärkeää varmistaa, että verkko on suojattu tietoturvahyökkäyksiä vastaan.

Tärkeimmät kiristyshaittaohjelmien torjuntatavat:

• Päivitä ohjelmisto
• Hanki virustorjuntaohjelma, jolla on lisenssi. Oikeanlaisen työkalun avulla hyökkäyksiä voidaan ehkäistä ja järjestelmää pystytään suojaamaan.
• Siirrä tiedostaja pilvipalveluihin. Pilvipalveluilla on usein asianmukaiset ja riittävät turvatoimenpiteet, joiden avulla tiedostaja pystytään suojaamaan.
• Salasanojen käyttö. Vaadi salasanoja mahdollisimman usean ohjelman kohdalla, hyökkääjän on vaikeampi päästä käsiksi tiedostoihin salasanan ollessa vahva.
• Tarkista sähköpostit haittaohjelmien ja spam-sähköpostien varalta.
• Pidä varmuuskopioita offline-tiedostoissa ja pidä tiedostot ajan tasalla.
• Poista käyttämättömät palvelutilit.
• Henkilöstökoulutus – Henkilöstön tulee ymmärtää kiristyshaittaohjelmien pääpiirteet sekä toimintamallit hyökkäyksen sattuessa.

The post GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat appeared first on GDPR Register | Compliance tool for privacy experts.

Arkaluonteisten tietojen määrittäminen ja tietojen käsittelyn edellytykset 

Terveydenhuoltoalalla kaikki tiedot, jotka liittyvät henkilön terveyteen luokitellaan arkaluonteisiksi. Tämän vuoksi tietojen suojaamiseen on asetettu korkeammat standardit ja Yleinen tietosuoja-asetus luokittelee terveyteen liittyvät tiedot kolmeen eri kategoriaan. 

1. Terveyttä koskevat tiedot – “Luonnollisen henkilön fyysiseen tai henkiseen terveyteen liittyvät henkilötiedot, mukaan lukien terveydenhuoltopalveluihin viittaavat tiedot jotka pitävät sisällään tietoja henkilön terveydentilasta”
2. Geneettiset tiedot – “Luonnollisen henkilön geneettisiin ominaisuuksiin liittyvät henkilötiedot, jotka antavat yksilöllistä tietoa kyseisen henkilön fysiologiasta tai terveydestä, jotka ovat saatu luonnollisen henkilön biologisesta näytteestä” 
3. Biometriset tiedot – “Luonnollisen henkilön fyysisiin, fysiologisiin tai käyttäytymiseen liittyviin ominaisuuksiin kohdistuva tietojen tekninen käsittely, joka mahdollistaa tai vahvistaa kyseisen luonnollisen henkilön yksilöllisen tunnistamisen esimerkiksi kasvokuvista tai sormenjäljistä” 

Kyseisten henkilötietojen käsittely sallitaan vain tietyissä olosuhteissa, jotka ovat: 

1. Nimenomainen suostumus tietojen käsittelyyn rekisteröidyltä. 
2. “Tietojen käsittely on välttämätöntä ennalta ehkäisevää hoitoa tai lääketieteellistä tarkoitusta varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisen diagnoosin tekemiseksi, terveys tai sosiaalipalveluiden tarjoamiseksi”
3. “Henkilötietojen käsittely on välttämätöntä yleisen edun vuoksi kansanterveydellisistä syistä, kuten väestön suojaamisessa terveyden kannalta vakavilta haitoilta sekä terveydenhuollon ja lääkkeiden tai lääkinnällisten laitteiden laadun ja turvallisuuden korkean tason varmistamiseksi”

Yleisen tietosuoja-asetuksen mukaan EU jäsenvaltiot voivat kuitenkin päättää pitävätkö asetuksen määrittelemät vaatimukset terveyttä koskevista henkilötiedoista ennallaan vai tiukentaa vaatimuksia geneettisten, biometristen ja terveyttä koskevien tietojen suhteen. Rekisteröidyt saavat GDPR:n ansiosta laajemmat oikeudet terveyttä koskeviin tietoihinsa. Terveydenhuollossa tärkeimmät muutokset ovat rekisteröidyn oikeus saada pääsy omiin tietoihinsa, oikeus tietojen siirrettävyyteen, joka mahdollistaa tietojen siirron eri terveysviranomaisten tai palvelun tarjoajien välillä. Oikeus tulla unohdetuksi, on yksi vaikeasti toteutettavimmista. Rekisteröidyllä on oikeus pyytää potilas- tai terveystietojensa poistoa tai niiden käsittelyn lakkauttamista. Tämä voi kuitenkin osoittautua käytännössä ristiriitaiseksi kansallisen lainsäädännön kanssa, koska useat maat velvoittavat tietojen säilyttämistä tietyn määräajan. 

Yleinen tietosuoja-asetus velvoittaa julkista terveydenhuoltoa sekä palvelun tarjoajia nimittämään tietosuojavastaavan (DPO), koska arkaluonteisia tietoja käsitellään suuressa mittakaavassa. Tietosuoja-asetus velvoittaa rekisterinpitäjän tekemään tietyin edellytyksin tietosuojaa koskevan vaikutustenarvioinnin. Vaikutustenarviointi vaaditaan, mikäli henkilötietojen käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Rekisterinpitäjän tulee arvioida näiden tunnusmerkkien täyttymistä. 

Tietoturvaloukkaus voi tarkoittaa tiedon tuhoutumista, jolloin tieto on hävinnyt tai se ei ole enää sellaisessa muodossa, jossa sit voidaan käyttää. Tietoturvaloukkaus voi tarkoittaa myös tiedon vahingoittumista, jolloin tietoa on muutettu tai se ei ole enää täydellistä. Terveydenhuollon ja palvelun tarjoajien tulee ilmoittaa tietoturvaloukkauksesta sekä valvontaviranomaiselle että rekisteröidylle 72 tunnin sisällä. On tärkeää asettaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet tietoturvaloukkauksien varalle, kuten tietojen suojaus ja henkilöstön koulutus. 

Tietoturvaloukkausta seuraavat sanktiot voivat nousta jopa 20 miljoonaan tai vastaavasti 4% maailmanlaajuisesta liikevaihdosta. Terveydenhuoltoa koskeva tietoturvaloukkaus tapahtui viimeksi Portugalilaisessa sairaalassa. Sairaala sai 400 000€ sakon, koska potilastietoihin oli mahdollisuus päästä käsiksi tekaistujen profiilien avulla.

 Euroopan Unionin jäsenvaltiot saavat itse määrittää julkisen sektorin sekä viranomaisten mahdolliset sanktiot tietoturvaloukkausten sattuessa. 

Tarvittavat muutokset terveydenhuollossa tietosuojan turvaamiseksi 

Tietoturvaloukkausia voidaan pyrkiä välttämään jos terveydenhuoltoala noudattaa edellä mainittuja vaatimuksia mukaan lukien tietojenkäsittelysopimusten tarkastaminen. Tämän lisäksi on tärkeää pitää organisaation sisäiset toimintatavat, dokumentointi ja tietokannat ajan tasalla ja valmiina mahdollisiin tarkastuksiin. Henkilötietojen käsittelytoimista tulee ylläpitää rekisteriä, jotta tiedetään mitä tietoa kerätään, mihin sitä kerätään ja miten tietoa säilytetään. Ikääntyvän ja vanhentuneen IT-infrastruktuurin vuoksi terveydenhuoltoala on erittäin altis tietoturvaloukkauksille. Tekniset turvatoimet on tärkeä asettaa, jotta luvattomia pääsyjä tietoihin voidaan ehkäistä. 

Lisää aiheesta:

https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679https://ico.org.uk/for-organisations/healthhttp://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf

The post Terveydenhuoltoala ja GDPR appeared first on GDPR Register | Compliance tool for privacy experts.

Asiakkaita koskevat henkilötiedot kulkevat usein monien kanavien kautta, jotka vastaanottavat sekä välittävät  henkilötietoja kyseiselle alalle. Tämä tarkoittaa sitä, että henkilötietoja kerätään sekä suoraan asiakkailta että useilta varauspalveluilta ja matkailualan välitysfirmoilta kuten Bookings. Hotellit, matkailutoimistot sekä vastaavat palveluntarjoajat pitävät hallussaan asiakkaiden luottokorttitietoja. Asiakkaiden luottokorttitietojen säilyttäminen ja kerääminen  tekevät matkailualan yrityksistä haavoittuvaisia mahdollisille tietovuodoille, joten tietosuoja-asetuksen määräyksiä ei voi sivuuttaa.

Yleinen tietosuoja-asetus (GDPR) koskee kaikkia yrityksiä, jotka käsittelevät EU kansalaisten henkilötietoja vaikka yritys itse olisi Euroopan ulkopuolella. Esimerkiksi jos hotelli sijaitsee Yhdysvalloissa on mahdollista, että Hotellin vierailijat tulevat Euroopasta. Näin ollen tulee Hotellin soveltaa GDPR asettamia vaatimuksia.

Miten Hotelli ja matkailualan pitäisi alkaa valmistautumaan Yleiseen tietosuoja-asetukseen?

 Matkailualan yritykset keräävät ja säilyttävät paljon erilaisia henkilötietoja asiakkaistaan. Yritysten tulisi ensiksi tarkastella, mitä tietoja heillä on asiakkaistaan. Suostumus käytännöt tulisi olla sekä olemassa olevissa että aikaisemmissa asiakas tiedostoissa. Jos joitakin puuttuu, pitää käytännöt päivittää.

Asiakastietoja säilytetään yleensä eri tiedostoissa ja sovelluksissa. Seuraavat tulisi käydä läpi:

• CRM-järjestelmät
• Varausjärjestelmät
• Verkkosivustojen kehittäjät
• Maksuprosessorit
• Markkinointityökalut/ sähköposti
• Jäsenyydet
• Sosiaalinen media
• Asiakastietokannat
• Verkkosivustojen evästeet

Henkilötietojen kerääminen

Henkilötietojen käsittelyyn on Yleisen tietosuoja-asetuksen mukaan olemassa kuusi laillista perustaa. Useimmissa tapauksissa hotelli ja matkailuala voivat käyttää perusteenaan sopimusvelvoitetta. Riippumatta siitä, mitä laillista perustetta henkilötietojen käsittelyyn käytetään, tulee asiakasta informoida tietojen keräämisestä, mitä tietoja kerätään, mihin tietoja käytetään ja kuinka kauan tietoja säilytetään. Tämän vuoksi, vain välttämättömiä tietoja asiakkaista tulee kerätä ja niitä tulisi säilyttää vain sopimuksen voimassaolon ajan tai vastaavasti niin kauan kuin on tarpeellista.

Rekisteröidyt henkilöt ovat oikeutettuja henkilötietoihinsa. Yksi oikeuksista on pääsy henkilötietoihin. Yrityksellä on 30 aikaa antaa pyynnön esittäneelle asiakkaalle pääsy tämän henkilötietoihin. Tietoja on päivitettävä tai muutettava asiakkaiden pyynnöstä. Jos yrityksellä ei ole laillista perustetta henkilötietojen keräämiseen tai säilyttämiseen, tulee tiedot tällöin poistaa.

Henkilötietojen suojaaminen

Henkilötietojen suojaamiseksi on olemassa erilaisia toimenpiteitä. Kuten riittävät tietoturva käytännöt ja tietojen anonymisointi. Tietojen suojaus tulisi kuitenkin aloittaa keskittymällä yksityisyyden suojaamiseen, joka on erityisen tärkeää kun teknologia rakentuu vahvasti henkilöiden antamien tietojen varaan.

Hotelli ja matkailualalla mobiili teknologialla on suuri vaikutus – matkan varaamisesta lentolipun lataamiseen. Nykyään tarvitaan silti erillisiä sovelluksia kyseisiin tarkoituksiin. Matkakokemusta parantaa, mitä vähemmän erillisiä sovelluksia asiakas joutuu käyttämään eri tarkoituksiin. Asiakkaan yksityisyys tulee ottaa huomioon kun tietoja välitetään eri matkailualan yritysten välillä. Yleisen tietosuoja-asetuksen asettamat vaatimukset tulee ottaa myös tässä kohtaa huomioon. Esimeriksi varmistamalla, että tietoja välittävillä osapuolilla on asianmukaiset sopimukset tietojen käytöstä keskenään. Riippumatta yrityksen yhteistyökumppaneista tai muista palvelun tarjoajista, yritys (joka GDPR:n mukaan katsotaan rekisterinpitäjäksi) on viime kädessä vastuussa GDPR:n noudattamisesta.

Yrityksien kohdalla jotka käsittelevät henkilötietoja suurissa määrin on erityisen tärkeää noudattaa tietosuoja-asetuksen vaatimuksia ja yrityksien tulisi tällöin nimittää tietosuojavastaava. Tietosuojavastaavat vastaavat yrityksen tietosuojakäytännöistä sekä suorittavat vaikutusten arviointia henkilötietojen osalta. Henkilötietoja, joita siirretään EU:n ulkopuolelle on erityiset vaatimukset.

Yritysten ei tule aliarvioida sitä, kuinka tärkeää on sopeutua Yleisen tietosuoja-asetuksen asettamiin sääntöihin ja vaatimuksiin. Matkailualan yritykset joutuvat arvioimaan henkilötietojen käsittelyään, teknologiaansa sekä toimintatapojansa tietojen käsittelyn suhteen. Henkilökunnan tulee myös ymmärtää asetuksen asettamat vaatimukset. Asetuksen vaatimusten laiminlyönti voi johtaa sanktioihin, jotka ovat 4% prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta tai vastaavasti 20 miljoonaa.

The post Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta? appeared first on GDPR Register | Compliance tool for privacy experts.

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP- osoitetta yleisen maantieteellisen paikannuksen ja raportoinnin tarjoamiseen. Raportissa näkyy myös kyseisen käyttäjän kieli, käytetty selain, käyttöjärjestelmä ja palveluntarjoaja.

Miksi IP-anonymisaatiota tarvitaan?

Yleisen tietosuoja-asetuksen mukaan IP-osoitetta pidetään henkilökohtaisena tietona. IP-osoitteet eivät näy Google Analytics raporteissa, mutta vierailijoiden tunnukset pystytään yhdistämään IP-osoitteen omistajan henkilökohtaisiin tietoihin Google Analyticsin ulkopuolella. Google on tarjonnut IP-anonymisointitoiminnon, jotta sivuston ylläpitäjät voivat pyytää, että kaikkien käyttäjien IP-osoitteet pysyvät anonyymina Google Analyticsissa. Ominaisuus on suunniteltu auttamaan sivuston ylläpitoa noudattamaan omia tietosuojakäytäntöjään sekä paikallisten viranomaisten suosituksia ja lakisääteisiä määräyksiä kuten Yleistä tietosuoja-asetusta, joka saattaa estää IP-osoitteen tallentamisen kokonaan.

Kuinka Anonymisoida käyttäjien IP-osoite?

 Google Analyticsin IP-osoitteen anonymisointi ominaisuus ei ole oletusarvoisesti käytössä. Kun Google Analyticsin käyttäjä pyytää IP-osoitteen anonymisointia, Google Analytics anonymisoi osoitteet heti, kun se on teknisesti mahdollista mahdollisimman pian tietojen keräyksen alkuvaiheessa. Kun IP-osoitteet anonymisoidaan ei tällöin tarvitse kysyä erillistä lupaa sivuston käyttäjiltä evästeiden käyttöön.

Voit estää henkilötietojen keräämisen verkkosivujesi kautta Google Analyticsin seurantakoodin avulla, anonymisoimalla IP-osoitteet. Anonymisointi voidaan tehdä muuttamalla verkon/sovelluksen koodia tai lisäämällä uusia muuttujia GTM tunnisteeseen. Anonymisointi voidaan ottaa käyttään myös Tag Managerin avulla, kuten alla olevassa kuvassa näkyy.

Lisää Google-tukisivuilta.

Lisää tietoja IP-osoitteen anonymisoinnista.

IP-osoitteen anonymisoinnin ei tarvitse vaikuttaa kaupunkien paikannustietojen seurantaan. Mitään huomattavia eroja paikannustietojen tarkkuudessa mantereella tai maatasolla ei ole havaittavissa.

The post IP – osoitteen Anonymisaatio – Google Analytics appeared first on GDPR Register | Compliance tool for privacy experts.

The post Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot appeared first on GDPR Register | Compliance tool for privacy experts.

The post GDPR: Oikeutettu etu appeared first on GDPR Register | Compliance tool for privacy experts.

Selvityksessä tarkasteltiin seuraavia kohtia:

• Henkilötietojen käsittelyn oikeudelliset edellytykset
• Käsiteltyjen henkilötietojen määrä
• Rekisteröidylle toimitetut tiedot
• Rekisteröidyn kieltäytyminen henkilötietojen käsittelystä suoramarkkinointia varten
• Henkilötietojen säilyttämisen ehdot

Selvityksessä käsiteltiin 12 eri tapausta, joissa 11 löydettiin henkilötietojen käsittelyyn liittyviä tietoturvaloukkauksia. Selvityksen jälkeen, esiin nostettiin useita ehdotuksia kanta-asiakasohjelmien asiakkaiden henkilötietojen käsittelyn ja tietoturvan parantamiseksi. Ehdotuksien toivotaan auttavan ymmärtämään, miten virheitä voitaisiin ehkäistä kun henkilötietoja käsitellään GDPR:n vaatimusten mukaisesti.

Yrityksen oikeutettu etu ei saa toimia perustana suoramarkkinoinnille

Useat yritykset, jotka käsittelivät henkilötietoja suoramarkkinointia tai profilointia varten käyttivät käsittelyn perustana kohtuuttoman usein oikeutettua etua. Oikeutettua etua ei voida pitää henkilötietojen käsittelyn laillisena perustana läheskään kaikissa tapauksissa. Useimmissa tapauksissa rekisteröidyn (asiakkaan) edut ovat rekisterinpitäjän etuja tärkeämmät. Henkilötietoja voidaan käsitellä suoramarkkinoinnissa vain rekisteröidyn suostumuksella.

Ylimääräisen tiedon kerääminen

Tutkimuksen aikana havaittiin, että lähes 40 prosenttia yrityksistä kerää tietoa liian paljon suhteessa sen alkuperäiseen tarkoitukseen. Esimerkiksi kanta-asiakkaiden antaessa tietonsa asiakassuhteen muodostamiseksi, kysytään asiakkailta heidän tarkkaa syntymäaikaansa. Tietosuojaviranomaiset uskovat, että asiakassuhteen luomiseksi riittäisi pelkästään syntymävuosi ja ikä. Ylimääräisen tiedon kerääminen asiakkaasta katsottiin tarpeettomaksi, ellei se ole välttämätöntä kanta-asiakkuuden luomiseksi.

Tiedon siirto kolmansille osapuolille

Suurimmassa osassa tapauksia, yritykset eivät ilmoittaneet henkilötietojen siirrosta kolmansille osapuolille. Näin ollen, asiakkaat saavat harhaanjohtavaa ja epätarkkaa tietoa henkilötietojensa käsittelystä ja siitä mihin heidän tietonsa lopulta päätyvät.

Suoramainonnan estäminen

Rekisteröidyillä on oltava mahdollisuus kieltäytyä suoramarkkinoinnista. Jotkut selvityksessä mukana olleista yrityksistä eivät kuitenkaan tarjoa selkeitä, ilmaisia tai helppokäyttöisiä vaihtoehtoja estää suoramarkkinointia.

Henkilötietojen tallentamisen ja säilyttämisen ehdot

Yli 60 prosentilla selvityksessä mukana olleista yrityksistä oli ongelmia henkilötietojen tallentamisen ja säilyttämisen ehtojen osalta. Joillakin yrityksillä ei ollut tarvittavia ehtoja tai sopimusta tietojen säilyttämiseen tai ehdoissa oli kohtuuttoman pitkä säilytysaika.

The post Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla appeared first on GDPR Register | Compliance tool for privacy experts.

• Luvaton kolmannen osapuolen pääsy tietoihin
• Tahallinen tai vahingossa tapahtuva toiminta (tai toimettomuus)
• Henkilötietojen lähettäminen väärälle vastaanottajalle
• Henkilötietoja sisältävien laitteiden katoaminen tai anastus
• Henkilötietojen muuttaminen ilman lupaa
• Henkilötietojen saatavuuden menetys.

Valvontaviranomaiselle ilmoittaminen

Yleinen tietosuoja-asetus vaatii tietoturvaloukkauksen tapahtuessa, että mahdolliset henkilötietoihin liittyvät loukkaukset on selvitettävä mahdollisimman nopeasti ja jos loukkauksia tulee ilmi, on asian hoitamiseen ryhdyttävä välittömästi ja tarvittaessa olla yhteydessä tietosuojavaltuutettuun. Kyseisissä tapauksissa on pyrittävä määrittelemään, miten todennäköistä on, että henkilöiden oikeuksia ja vapauksia on loukattu. Jos riski loukkauksesta on olemassa on tästä ilmoitettava tietosuojavaltuutetulle. Ilmoitus ei ole tarpeellinen tilanteissa, joissa riski on alhainen ja on näin ollen epätodennäköistä, että vakavia henkilötietojen loukkauksia on tapahtunut. Yleinen tietosuoja-asetus edellyttää kaikkien tietoturvaloukkausten kirjaamista, riippumatta siitä tuleeko loukkauksesta ilmoittaa tietoturvavaltuutetulle.      

Tietoturvaloukkauksen tapahtuessa, (josta on velvollisuus ilmoittaa) on tästä ilmoitettava tietosuojavaltuutetulle ilman aiheetonta viivytystä viimeistään 72 tunnin kuluttua sen saamisesta tietoon. Jos ilmoitusaika viivästyy, on tästä oltava perustelut viivästymiselle.

Tietoturvaloukkausta koskevassa ilmoituksessa on oltava mukana seuraavat kohdat:

• Kuvaus henkilötietojen tietoturvaloukkauksen luonteesta mukaan lukien mahdollisuuksien mukaan;
• Arvio henkilöiden lukumäärästä ja kategoriasta
• Arvio henkilötietojen kategoriasta ja lukumäärästä
• Tietosuojavaltuutetun (jos yrityksellä on) tai muun yhteyshenkilön nimi ja yhteystiedot, josta saa lisätietoja;
• Kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista
• Kuvaus toteutetuista tai ehdotetuista toimenpiteistä henkilötietojen tietoturvaloukkauksen käsittelemiseksi, mukaan luettuna tarvittaessa toimenpiteet, joilla lievennetään mahdollisia haittavaikutuksia.

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle (henkilö)

Jos tietoturvaloukkaus aiheuttaa suuren riskin yksilön (rekisteröidyn) oikeuksille ja vapauksille, tietosuoja-asetuksen mukaan on rekisteröidyille ilmoitettava asiasta suoraan ja ilman aiheetonta viivytystä. Rekisteröidyille ilmoittaminen on tärkeää, jotta henkilöt voivat suojella itseään tietosuojaloukkauksen mahdollisilta vaikutuksilta. Henkilötietojen tietoturvaloukkaus on kuvattava selkeästi ja selkeällä kielellä ja tulee sisältää ainakin:

• Tietosuojavastaavan (DPO) nimi ja yhteystiedot (jos yrityksellä on nimetty tietosuojavastaava) ja kuvaus toteutetuista tai ehdotetuista toimenpiteistä henkilötietojen tietoturvaloukkauksen käsittelemiseksi  ja tarvittaessa toimenpiteiden toteuttaminen mahdollisten haitallisten vaikutusten lieventämiseksi.

Rekisterinpitäjän (tietojen käsittelijän) ilmoitus

Jos yrityksesi/ organisaatiosi käyttää ulkoistettua palvelua tietojen käsittelyyn ja tietoihin kohdistuu tietoturvaloukkaus, tulee käsittelijän ilmoittaa loukkauksesta viipymättä sen tullessa ilmi. Ilmoitusta koskevat vaatimukset tulee eritellä yrityksesi ja käsittelijän välisessä sopimuksessa.

The post Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti appeared first on GDPR Register | Compliance tool for privacy experts.

The post Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? appeared first on GDPR Register | Compliance tool for privacy experts.