Tulostusversio

4/2008

Lyhyesti tietosuojasta 4/2008

Ahvenanmaalle oma tietosuojaviranomainen

Ahvenanmaan oma tietosuojaviranomainen (Datainspektionen) on aloittanut toimintansa syyskuun alussa. Sen toiminta perustuu maakuntalakiin, joka koskee henkilötietojen käsittelyä maakunta- ja kunnallishallinnossa. Maaliskuussa voimaan tullut laki korvaa maakunnan julkisuuslain säädökset henkilörekisterien käsittelystä ja panee täytäntöön tietosuojadirektiivin.

Lain valmistelu kesti useita vuosia. Edellistä samansisältöistä lakiesitystä ei ehditty käsitellä ennen uusia maakuntavaaleja ja esitys raukesi.

Tietosuojaviranomainen on hallinnollisesti maakuntahallituksen alaisuudessa toimiva riippumaton viranomainen. Maakuntalain käsittelyssä esillä oli myös vaihtoehto, että Ahvenanmaalle ei tulisi erillistä tietosuojaviranomaista. Lakiesityksessä maakuntahallitus perustelee oman riippumattoman viranomaisen perustamista direktiivin valvontavelvoitteilla. Ilman tietosuojaviranomaista maakuntahallitus itse valvoisi omaan toimintaansa kuuluvaa henkilötietojen käsittelyä.

Ahvenanmaan tietosuojaviranomaisen toiminnassa etusijalla on ennaltaehkäisevä neuvonta ja ohjaus. Lisäksi viranomainen suorittaa tarkastuksia ja käsittelee yksittäisten henkilöiden vireille saattamia asioita.

----

Kaupparekisteriin voi soveltaa henkilötietolakia

Korkeimman hallinto-oikeuden mukaan kaupparekisteriin merkityn väärän tiedon muuttamisessa voidaan soveltaa henkilötietolakia.

Tapauksessa yksityishenkilö oli virheellisesti merkitty kaupparekisterissä erään yrityksen toimitusjohtajaksi. Tieto oli edelleen näkyvissä rekisterin historiatiedoissa. Väärän ilmoituksen tehnyt ulkopuolinen henkilö oli myöntänyt tekonsa poliisitutkinnassa. 

Tietosuojavaltuutettu oli hyväksynyt henkilön pyynnön virheellisen tiedon poistamisesta henkilötietolain nojalla, mutta Patentti- ja rekisterihallitus kieltäytyi poistamasta tietoa. Se vetosi kaupparekisterilakiin, jonka mukaan PRH voi poistaa virheellisen tiedon vain tuomioistuimen päätöksestä.

Korkein hallinto-oikeus katsoi, ettei kaupparekisterilain menettely ollut riittävän tehokas oikeussuojakeino. Kaupparekisterilaissa ei ollut henkilötietolain syrjäyttäviä säännöksiä virheellisen rekisteritiedon oikaisusta, joten henkilötietolakia voitiin soveltaa tapauksessa kaupparekisterilakia täydentävästi.

----

Pikalainoille ehdotetaan tunnistuspakkoa

Pikavippejä on joissakin tapauksissa hankittu identiteettivarkaudella eli käyttämällä toisen henkilön tietoja ja matkapuhelinta. Väärinkäytösten karsimiseksi oikeusministeriön työryhmä ehdottaa lainanhakijan tunnistuspakkoa. Luotonantaja velvoitettaisiin todentamaan lainanhakijan henkilöllisyys jollakin vahvan tunnistamisen menetelmällä, esimerkiksi verkkopankkitunnuksilla.

Jos työryhmän ehdotus toteutuu, ensimmäistä vippiä ei voisi hakea tekstiviestillä, koska mobiilivarmenteella tunnistautuminen on vasta kokeiluasteella.

Vippifirmoja edustavan Suomen Pienlainayhdistyksen mukaan tunnistamispakko johtaisi siihen, että verkkopankkitunnuksista tulisi käytännössä vipinhaun edellytys.

Vippiyrityksiä on hiertänyt se, että kaikki pankit eivät ole aiemmin myöntäneet niille Tupas-verkkotunnuspalvelun käyttöoikeutta. Nyt pankeilla on yhtenäiset, Finanssialan keskusliiton laatimat säännöt Tupas-käyttöoikeuden myöntämisestä. Niiden mukaan pankki ei voi kieltäytyä myöntämästä käyttöoikeutta luotonannossa kilpailevalle yritykselle. Pankki saa kuitenkin hinnoitella käyttöoikeuden vapaasti ja soveltaa erilaisia taksoja eri yrityksille.

Tällä haavaa Tupas-tunnuksia käytetään lainanhakijan tunnistamiseen vain vähän. Oikeuspoliittisen tutkimuslaitoksen selvityksessä 48 pikavippiyrityksestä vain viidesosa käytti edes joissakin tilanteissa verkkopankkitunnuksia lainanhakijan tunnistamiseksi.

Pikavippityöryhmän mietintö on lausuntokierroksella, ja esitys menee eduskuntaan kevätkaudella. Lainmuutokset pyritään saamaan valmiiksi ensi keväänä.

-----

Passin sormenjälkitietoja ei rikostutkintaan

Sisäasiainministeriössä valmisteilla olevaan passilain muutosesitykseen ei sisällytetä sormenjälkitietojen käyttöoikeutta rikostutkintaan.

Lakiesityksen mukaan passin siruun tallennetaan kasvokuvan lisäksi passin haltijan sormenjälki. Sormenjälkitietoja saisi käyttää henkilöllisyyden varmistamiseen rajanylityksessä ja passia myönnettäessä sekä poliisin suorittamassa yleisessä henkilöllisyyden selvittämisessä.

Passilain muutosta valmistellut työryhmä ehdotti, että poliisi saisi käyttää sormenjälkitietoja esimerkiksi vainajien tunnistamisessa ja erityisen vakavien rikosten selvittämisessä. Lausuntokierroksen jälkeen esitystä on muutettu siten, että sormenjälkitiedot rekisteröitäisiin kansalliseen tietokantaan, mutta niitä ei saisi käyttää rikostutkintaan.

”Rikostutkinnallisesta käytöstä pitää käydä vielä laajempaa yhteiskunnallista keskustelua. Tässä aikataulussa se ei ole ollut mahdollista”, sisäministeri Anne Holmlund sanoo. Sisäministeriö ehdottaa, että sormenjälkitietojen käyttöä rikostutkinnassa selvitettäisiin osana pakkokeino-, esitutkinta- ja poliisilain kokonaisuudistusta.

Passilain muutos on tarkoitus viedä eduskuntaan vielä tämän vuoden puolella ja lain tulla voimaan ensi keväänä.

Lainmuutos perustuu EU:n passiasetukseen. Se jättää sormenjälkien rekisteröinnin kansalliseen tietokantaan jäsenmaan päätettäväksi.

----

Europolin valvontaelimen varapj Suomesta

Europolin yhteinen valvontaelin (Joint Supervisory Body of Europol) on nimennyt tietosuojavaltuutetun toimiston ylitarkastaja Heikki Huhtiniemen muutoksenhakukomiteansa varapuheenjohtajaksi seuraavan kahden vuoden ajaksi.

Valvontaelin valvoo Europolin hallussa olevien henkilötietojen käyttöä. Muutoksenhakukomitea tutkii rekisteröityjen oikeuksia koskevia asioita ja antaa niissä lopullisen päätöksen. Komiteassa on yksi jäsen kustakin valtuuskunnasta.

----

Rikostietojen vaihdosta laki

Eduskunnan käsittelyssä on lakiesitys, joka helpottaisi EU-maiden lainvalvontaviranomaisten tietojenvaihtoa rikostutkinnassa ja -torjunnassa.

Esityksen mukaan lainvalvontaviranomaiset voisivat luovuttaa henkilö- ja tutkintatietoja toisen jäsenvaltion toimivaltaiselle viranomaiselle samoin edellytyksin kuin kansalliselle viranomaiselle. Tietojenvaihto koskisi poliisia, tullia ja rajavartiolaitosta.

Lakiesityksessä on määritelty määräajat tietojen luovuttamiseen sekä rajattu viranomaisten mahdollisuutta kieltäytyä tietojen luovuttamisesta. Laki velvoittaisi muun muassa luovuttamaan tietoja oma-aloitteisesti toisen maan viranomaiselle.

Lakiesitys perustuu EU:n puitepäätökseen. Nykyisin puitepäätöksessä tarkoitettuja tietoja vaihdetaan EU:n virastojen ja Interpolin tietojärjestelmissä. Lain on tarkoitus tulla voimaan 18. joulukuuta.

-----

Yhteisöpalveluille halutaan pelisäännöt

EU:n komissio haluaa, että internetin yhteisöpalvelujen tarjoajat tehostavat alaikäisten käyttäjien suojelua. Komissio on kutsunut koolle palveluntarjoajista ja operaattoreista koostuvan työryhmän, jonka on määrä sopia vapaaehtoisista suuntaviivoista lapsille tarjottavissa yhteisöpalveluissa. Toimenpiteet on määrä julkistaa Euroopan tietoturvapäivänä 10. helmikuuta.

Vastaavaa itsesääntelyä tehdään jo mobiilipalveluissa. Matkapuhelinoperaattorit sopivat vuonna 2007, että ne muun muassa valvovat pääsyä aikuisille suunnattuun sisältöön.

Kesällä tehdyn yhteisöpalvelujen tarjoajien kuulemisessa ala toivoi itsesääntelyä lainsäädännön asemesta. Kuulemisen johtopäätöksissä todetaan kuitenkin, että jonkinlaiset vähimmäisvaatimukset voidaan joutua laatimaan, koska eri palvelujen tietoturvassa on suuria eroja. Tehokkaimpana suojelukeinona pidettiin kuitenkin lasten ja nuorten opastamista.

----

Väärän henkilön potilastiedoista huomautus

Eduskunnan oikeusasiamies Riitta-Leena Paunio on antanut huomautuksen Helsingin ja Uudenmaan sairaanhoitopiirille ja HYKSin Lasten ja nuorten sairaalalle potilasasiakirjatietojen salassapitovelvollisuuden rikkomisesta. 

Lasten ja nuorten sairaalan poliklinikka lähetti käynnin jälkeen perheelle väärän potilaan sairauskertomuksen nimineen ja henkilötunnuksineen.

Sairaalan osastosihteerit huolehtivat potilasasiakirjojen kopioiden lähettämisestä. Oikeusasiamies toteaa lausunnossaan, että koska sihteerit ovat potilasasiakirjojen käsittelyssä keskeisessä asemassa, heiltä on edellytettävä erityistä huolellisuutta ja tarkkaavaisuutta.

----

Netissä nuorten yksityisyyden mentävä aukko

Tietosuojaviranomaiset ovat huolissaan lasten ja nuorten yksityisyyden toteutumisesta netissä. Strasbourgissa lokakuussa kokoontuneiden tietosuojaviranomaisten julkilausumassa todetaan, että nuoret ja monet aikuisetkin harvoin lukevat nettipalvelujen tietosuojaselosteita. Tätä ei pidetä yllättävänä, koska selosteet ovat usein vaikeasti ymmärrettäviä.

Päätöslauselmassa kehotetaan palveluntarjoajia laatimaan selkeitä tietosuojaselosteita ja kertomaan alaikäistenkin ymmärtämällä tavalla, millaisia yksityisyydensuojaan kohdistuvia riskejä verkkopalveluissa on. Käyttäjän pitäisi halutessaan voida kieltää henkilötietojensa käyttö, ja arkaluontoisten tietojen keräämiseen pitäisi olla käyttäjän lupa.

Tietosuojaviranomaiset ovat myös huolissaan yhteisöpalveluihin annettujen henkilötietojen käytöstä muihin tarkoituksiin. Käyttäjille pitäisi kertoa selvästi siitä, että heidän antamiaan tietoja voidaan käyttää myös muihin tarkoituksiin, kuten markkinointiin, rikostutkintaan tai rekrytointiin.

----

Lentomatkustajien ajatukset tarkkailuun?

Tulevaisuuden lentokentillä ja lentokoneissa saatetaan matkatavaroiden ja ruumiintarkastusten lisäksi seurata matkustajien ajatuksia. Tieteiskirjallisuudelta kuulostava tarkkailu on jo kehittelyasteella. 

Brittiläinen sanomalehti Daily Telegraph uutisoi (24.9.2008) USAn turvallisuusviraston hankkeesta, jossa kehitetään matkustajien mahdollisia terroriaikeita havainnoivaa järjestelmää. Toteutuessaan järjestelmä tulisi käyttöön rajatarkastuksissa ja lentokentillä.

Ruumiinlämmön kohoamisen, sykkeen ja hengitystiheyden lisäksi järjestelmä mittaisi myös kasvonilmeitä. Viraston mukaan järjestelmä pystyisi erottamaan, onko matkustajalla pahoja aikeita, vai onko hän hermostunut esimerkiksi jatkolennon toteutumisesta.

Havaintojärjestelmä, Future Attribute Screening Technology (FAST) on vasta kehittelyvaiheessa mutta testeissä se havainnoi pahat aikeet jo 80 prosentin tarkkuudella. Viraston mukaan mahdollinen käyttöönotto on vielä täysin auki ja veisi toteutuessaankin useita vuosia.

Atlantin tällä puolen suunnitellaan samankaltaista järjestelmää osana EU:n rahoittamaa ilmaturvallisuushanketta. Onboard Threat Detection System (OTDS) asennetaan lentokoneen matkustamoon. Järjestelmään kuuluva kamera havainnoi matkustajan ilmeitä ja liikkeitä, ja mikrofoni taltioi hiljaisenkin puheen.. Tietojärjestelmä vertailee näin saatuja tietoja terroristeille tyypilliseen käytökseen. Taltioidut tiedot hävitettäisiin lennon päätyttyä. Järjestelmän prototyyppiä on jo testattu lentokoneessa.

-----

Nettivalvontaa tehostetaan

Viranomaiset haluavat lisätä internetin valvontaa ja verkkonuorisotyötä. 

Poliisi laatii operaattoreille suosituksen siitä, miten ja millaista internetissä liikkuvaa tietoa tulisi saattaa poliisin tietoon. Lisäksi perustetaan poliisin ja operaattoreiden yhteistyöryhmä, jossa käsitellään verkon omavalvontaa ja yhteistyötä.

Poliisi myös selvittää mahdollisuutta luoda ilmoitusjärjestelmä, jolla internetin käyttäjät voisivat helposti ilmoittaa viranomaisille epäilyttävästä materiaalista. Esimerkiksi norjalaisissa nettipalveluissa on käytössä ”punainen nappi”, jota napsauttamalla käyttäjä pääsee tekemään ilmoituksen epäilyttävästä sisällöstä.

Toimenpiteistä päättänyt sisäisen turvallisuuden ministeriryhmä korostaa, että pelkkä valvonta ei riitä, vaan verkossa on myös tehtävä enemmän nuorisotyötä.

Liikenne- ja viestintäministeriö, opetusministeriö ja sosiaali- ja terveysministeriö aikovat lisätä Netari-hankkeen määrärahoja. Netari on verkossa tehtävää nuorisotyötä, jossa 18 kunnan nuorisotyöntekijät vuorollaan päivystävät suosituissa Habbo Hotel ja IRC Galleria -palveluissa. Tällä hetkellä läheskään kaikki halukkaat nuoret eivät mahdu mukaan nettikeskusteluihin. Tarkoituksena on, että tulevaisuudessa nuori voitaisiin tarvittaessa ohjata Netarista lisäpalveluihin esimerkiksi poliisille tai sosiaali- ja terveysviranomaisille.

-----

IT-yrityksille pelisäännöt yksityisyydestä

Google, Microsoft ja Yahoo sekä joukko tutkimuslaitoksia ja ihmisoikeusjärjestöjä on perustanut työryhmän, joka on sopinut toimintasäännöistä sananvapautta ja yksityisyyttä rajoittavissa maissa.

Global Network Initiative -niminen työryhmä on laatinut yhteiset säännöt siitä, miten käyttäjien oikeutta sananvapauteen ja yksityisyyteen suojellaan, kun esimerkiksi maan hallitus vaatii yhtiöitä antamaan tietoja käyttäjistä tai rajoittamaan näiden pääsyä sivustoille.

Kansainvälisiin ihmisoikeussopimuksiin perustuvat säännöt muun muassa kehottavat pyytämään hallituksilta kirjallisia juridisia perusteluja, harkitsemaan oikeuskäsittelyjä laittomista pyynnöistä ja tiedottamaan käyttäjille sensuurista ja tietopyynnöistä.

Yritysten on määrä luoda sisäiset toimintaohjeet periaatteiden toteuttamisesta 2010 loppuun mennessä.

Osa ihmisoikeusjärjestöistä, muun muassa Amnesty International, on jättäytynyt työryhmän ulkopuolelle ja arvostelee sääntöjä vaillinaisiksi.

----

Tekijänoikeuksien rikkojia halutaan lähestyä viesteillä

Luovien sisältöjen toimialakeskustelujen puheenjohtaja Arne Wessbergin mukaan olisi tärkeää, että lainsäädäntö sallisi tulevaisuudessa kohdennettujen viestien lähettämisen luvatonta aineistoa netistä lataaville. Viestit lähetettäisiin sellaisiin IP-osoitteisiin, joista harjoitetaan luvatonta verkkojakelua. Näin nettiliittymän haltijoille, esimerkiksi vanhemmille, voitaisiin kertoa liittymän laittomasta käytöstä.

Toimialakeskusteluissa toivottiin keinoja, joilla yksittäisille käyttäjille voitaisiin kertoa, että he toimivat vastoin lakia. Asiaa selvittänyt ryhmä totesi, että nykyisin muun muassa sähköisen viestinnän tietosuojalaki ja henkilötietolaki sekä sopimuskäytännöt rajoittavat teleyritysten mahdollisuuksia välittää viestejä liittymän haltijoille.

Keskusteluissa esillä olivat mallit, joissa tekijänoikeuksien haltija lähettäisi omissa nimissään yhden tai useamman kirjeen epäillyn loukkaajan teleyritykselle ja teleyritys välittäisi sen liittymän haltijalle. Jos samalle liittymän haltijalle lähetettäisiin useita kirjeitä, teleyritys saisi luovuttaa tämän nimen ja yhteystiedot tekijänoikeuksien omistajalle. Vaihtoehtoisesti teleyritys saisi pyynnöstä hidastaa liittymänopeutta tai katkaista sen määräajaksi. Teleyritys pitäisi rekisteriä lähettämistään kirjeistä.

Voimassaoleva laki ei salli henkilö- ja tunnistamistietojen käsittelyä kirjeen välittämiseksi. Teleyritys voi luovuttaa liittymänhaltijan henkilötiedot ainoastaan tuomioistuimen määräyksestä. Kirjeiden lähettäminen edellyttäisi myös uutta henkilörekisteriä tai nykyisten muuttamista.

Teleyritykset suhtautuivat keskusteluissa varauksellisesti kirjeiden välittämiseen. Tekijänoikeuksien omistajien mielestä taas pelkät viestit eivät riittäisi, vaan laittoman jakelun lopettamisesta pitäisi pystyä varmistumaan.

Lue myös

Lyhyesti tietoturvasta 4/2008 »
Lyhyesti väitöstutkimuksista 4/2008 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.