Tulostusversio

3/2008

Lyhyesti tietosuojasta 3/2008

Ohje Binding Corporate Rules -menettelystä

Tietosuojadirektiivin artiklan 29 mukainen työryhmä on hyväksynyt ohjeita ja malleja Binding Corporate Rules-menettelyn puitteista ja periaatteista. Ohjeistus sisältää myös luettelon menettelyyn liittyvistä usein esitetyistä kysymyksistä.

Tietosuojadirektiivin mukaan henkilötietoja voidaan siirtää EU:n ulkopuolelle vain, jos vastaanottajamaassa taataan riittävä tietosuojan taso. Binding Corporate Rules on eräs tapa tietosuojan tason osoittamiseen. Se soveltuu erityisesti monikansallisille yrityksille ja muille vastaaville yhteisöille, jotka siirtävät henkilötietoja EU:n ulkopuolelle.

-----

Ihmisoikeusvaltuutettu kaipaa vahvaa tietosuojaa

Euroopan neuvoston ihmisoikeusvaltuutettu Thomas Hammarberg vaatii vahvoja tietosuojasäännöksiä valvontayhteiskunnan syntymisen estämiseksi.

Ihmisoikeusvaltuutettua huolestuttavat koko ajan kehittyvät tekniset menetelmät, viranomaisten entistä laajemmat tiedonsaantioikeudet, rekisterien yhdistäminen, henkilöiden profilointi ja tietojen vaihto eri maiden kesken. Esimerkiksi virheellisen tiedon osalta tiedon välittäminen eri maihin voi moninkertaistaa henkilöön kohdistuvat negatiiviset vaikutukset.

Tietosuoja ei ole este rikollisuuden torjunnalle. Euroopassa olisi kuitenkin käytävä perusteellinen keskustelu siitä, miten saavutetaan tasapaino terrorismin ja vakavan rikollisuuden torjumisen ja yksityiselämän suojan kesken, Hammarberg vaatii.

Hänen mukaansa tietosuojasäännöksiä tulisi soveltaa myös poliisi- ja turvallisuuspalvelujen sekä muiden lainvalvontaviranomaisten toimintaan. Järjestäytyneen rikollisuuden ja terrorismin vastainen toiminta on välttämätöntä, mutta sitä ei voida toteuttaa perusoikeuksien kustannuksella.

-----

Alahuone vaatii henkilötietojen käsittelyn minimointia

Isossa-Britanniassa parlamentin komitea varoittaa maan hallitusta pyrkimyksestä kerätä lisää henkilötietoja yhä suurempiin rekistereihin. 

Alahuoneen sisäasioiden komitea on tutkinut henkilötietojen käsittelyä sekä julkisella että yksityisellä sektorilla. Se esittelee raportissaan suosituksia, joilla voitaisiin ehkäistä Britannian muuttuminen valvontayhteiskunnaksi. Se sisältää myös perusperiaatteet, joiden avulla hallitus ja sen alaiset toimielimet voivat rakentaa ja säilyttää rekisteröityjen luottamuksen.

Komitea ehdottaa, että Ison-Britannian tietosuojaviranomainen laatisi parlamentille vuosittaisen raportin kansalaisten valvonnasta. Hallituksen tulisi antaa virallinen vastaus raporttiin ja se pitäisi käsitellä myös parlamentissa.

----

Henkilötietojen kauppa halutaan kuriin Saksassa

Firmojen leväperäisyys henkilötietojen käsittelyssä on puhuttanut Saksassa viime aikoina. Uusimmat tietosuojaskandaalit ovat vauhdittaneet lakihankkeita.

Elokuussa paljastuneessa tapauksessa puhelinmyyntiyritys oli laittomasti saanut haltuunsa kymmenientuhansien pohjoissaksalaisten pankkitilitiedot. Joidenkin arvioiden mukaan vapaassa levityksessä olisi jopa 10–20 miljoonaa tilitietoa. Kuluttajakeskukset ovat saaneet valituksia kuluttajilta, joiden tileiltä on viety kymmeniä euroa.

Saksassa on nyt herätty pohtimaan, kuinka yleisesti yritykset kauppaavat keräämiään henkilötietoja eteenpäin ja miten henkilötietojen käsittelyä yrityksissä voitaisiin säännellä tiukemmin.

Puhelinmyyntiyritykset keräävät tilitietoja puhelinmyynnin lisäksi nettihuutokaupoista, arvonnoista ja kilpailuista sekä puhelinmyynnin avulla. Lisäksi kuluttajien henkilö- ja tilitietoja keräävät luottotietofirmat, yhteystietoja myyvät yritykset, vakuutus- ja rahoitusyhtiöt sekä suuret konsernit.

Erityisesti huomiota on kiinnitetty luottotietofirmoihin, joihin kaupat, teleyritykset ja rahoitusyritykset turvautuvat yhä useammin luottoasiakkaan maksukyvyn ja -halun selvittämiseksi. Luottotietofirmat tekevät kuluttajista viitelukuihin ja perustuvia riskiarvioita, joissa tulojen ja varallisuuden lisäksi huomioidaan myös iän, ammatillisen aseman ja asuinympäristön kaltaisia henkilötietoja. Yritykset säilyttävät analyysitietoja jopa useita vuosia eivätkä tiedota asiakkaille riittävästi menettelystä ja tietojen säilyttämisestä.

Nyt liittohallitus esittää tietosuojalakiin muutoksia, jotka loisivat pelisäännöt luottotietofirmojen toiminnalle. Esityksellä halutaan rajata sitä, millaisia tietoja nämä yritykset saavat käsitellä. Kuluttajille pitää myös tiedottaa heille tehdystä riskiarvioinnista.

Saksan tietosuojavaltuutetun mukaan lakiesityksessä pitäisi vielä tarkentaa muun muassa sitä, millä tahoilla on oikeus käsitellä maksukykyyn liittyviä tietoja.

Ministeriöt, tietosuojavaltuutettu ja osavaltiot ovat myös selvittäneet sitä, miten tietosuoja voitaisiin toteuttaa nykyistä tehokkaammin yksityisellä sektorilla. He esittävät, että vastaisuudessa kuluttajan yhteystiedot saisi myydä eteenpäin vain tämän nimenomaisella luvalla.

Saksan sisäministeri Wolfgang Schäuble esittää myös lakia yritysten tietosuojan auditoinnista. Laissa säädettäisiin vapaaehtoisesta auditointimenettelystä, jota hoitaisivat julkisen sektorin valvonnassa olevat yksityiset yritykset. Lakiluonnoksen on tarkoitus tulla liittohallituksen käsittelyyn viimeistään marraskuun lopussa.

----

Ohje ilmiantojärjestelmän käytöstä

Tietosuojavaltuutetun toimisto on julkaissut ohjeen työpaikan sisäisten, ns. Whistleblowing-ilmiantojärjestelmien lainmukaisesta käytöstä.

Ohje koskee yhdysvaltalaisen ns. Sarbanes-Oxley Act -lain mukaisia sisäisiä ilmiantojärjestelmiä, joiden tarkoituksena on rahoitusmarkkinoiden ja elinkeinotoiminnan turvaaminen kirjanpidon, sisäisten kirjanpitotarkastusten, tilintarkastusten, lahjonnan torjumisen sekä pankki- ja talousrikosten alalla.

Sarbanes-Oxley -laki koskee Yhdysvaltain pörssiin julkisesti noteerattuja yhtiötä ja muiden muassa niiden Euroopan unioniin sijoittautuneita tytäryrityksiä.

------

Terveydenhuollon nettipalvelu huolettaa

Hallitus esittää lainmuutosta, joka sallisi nettitietopalvelun terveydenhuollon ammattihenkilöistä ja heidän pätevyydestään. Palvelu sisältäisi tiedot kaikista terveydenhuollon ammatillisen koulutuksen saaneista henkilöistä.

Tiedon saisi yksittäisestä ammattihenkilöstä kirjoittamalla hänen nimensä tai rekisterinumeronsa tietopalvelun hakukenttään.

Rekisteristä selviäisi henkilön nimen ja rekisteröintinumeron lisäksi tämän syntymävuosi ja ammattipätevyys, maininnat mahdollisista erikoislääkäri- tai erikoishammaslääkärioikeuksista sekä tiedot ammattipätevyyden rajoituksista. Syntymävuoden näkymistä perustellaan sillä, että sen avulla kysyjä voi erottaa haluamansa henkilön useista samannimisistä. Osoite- tai työpaikkatietoja palvelusta ei saisi.

Nykyisin samat tiedot saa Terveydenhuollon oikeusturvakeskuksesta (TEO) puhelimitse, kirjeitse tai sähköpostitse. Nettipalvelua perustellaan kyselyjen määrällä ja sillä, että kansalaisen olisi nykyistä helpompi varmistua terveyspalvelun tarjoajan pätevyydestä.

TEOn mukaan kysyjä saa nykyisin tiedon myös siitä, onko ammattihenkilö saanut toiminnastaan huomautuksen TEOlta tai lääninhallitukselta. Tätä tietoa suunnitellusta internetissä olevasta rekisteristä ei enää saisi.

Hoitajat ovat olleet huolissaan nettipalvelun vaikutuksista heidän yksityisyydensuojaansa. Tehy pyytää lisäselvityksiä tietosuojaan liittyvistä seikoista tietosuojavaltuutetulta.

Netissä toimivia terveydenhuollon ammattihenkilörekisterejä on TEOn mukaan jo käytössä esimerkiksi Norjassa, Tanskassa, Englannissa ja Virossa.

-----

Ensihoidon tiedonsiirto ei uhkaa tietosuojaa

Eduskunnan hallintovaliokunnan mielestä Helsingissä käytössä olevassa sähköisen ensihoidon tietojärjestelmässä ei ole tietosuojaongelmia. Järjestelmää voidaan myös laajentaa Länsi-Uudellemaalle.

Valiokunta ryhtyi selvittämään ensihoidon tiedonkulkua sen jälkeen, kun julkisuudessa oli kerrottu tiedonsiirtoon mahdollisesti liittyvistä tietosuojaongelmista. Helsingissä kokeiltua tiedonsiirtoa hätäkeskusten, ambulanssin ja lääkärin välillä oli tarkoitus laajentaa Espooseen ja Vantaalle, mutta sosiaali- ja terveysministeriön mielestä kaikkia tietoturvakysymyksiä ei ollut selvitetty tarpeeksi.

Helsingissä käytössä olevassa ensihoidon tietojärjestelmässä päivystävä ambulanssilääkäri voi valvomosta seurata etäyhteyden kautta potilaan luo ehtineen ensihoitoyksikön toimia ja antaa ohjeita.

Hallintovaliokunnan saamien selvitysten mukaan tiedot on välitetty viranomaisten suojatussa Virve-verkossa, eikä tietoturvaongelmia ole ilmennyt. Valiokunta pitää silti perusteltuna, että hätäkeskuslainsäädäntöä täsmennetään siten, että hätäkeskukselle annetaan nimenomainen oikeus luovuttaa hätäkeskustietoja teknisen käyttöyhteyden avulla terveydenhuollon toimintayksikölle.

---- 

Nokia ei rikkonut lakia antaessaan lokitietoja KRP:lle

Keskusrikospoliisin selvityksen mukaan matkapuhelinyhtiö Nokia ei rikkonut sähköisen viestinnän tietosuojalakia luovuttaessaan sähköpostin lokitietoja KRP:lle esitutkintaa varten.

Nokia pyysi keväällä 2005 keskusrikospoliisia tutkimaan, onko yhtiöstä luovutettu sähköpostitse yrityssalaisuuksia kiinalaiselle kilpailijayritykselle. Henkilöitä, joilla oli oikeus käsitellä kyseisiä dokumentteja, oli useita satoja eri maiden toimipisteissä. Yhtiö luovutti keskusrikospoliisille näiden toimipisteiden sähköpostiliikenteen lokitiedoista tehtyjä tilastoja.

KRP:n selvityksen mukaan sekä tutkintaryhmä että asianomistaja huolehtivat erityisen tarkasti siitä, että viestinnän tietojen sääntelyä noudatetaan. Tiedot toimitettiin sellaisessa tilastollisesti analysoidussa muodossa, että käsittelyssä voitiin selvittää viestintätapahtumien määrä, mutta niitä ei voinut yhdistää osapuolina olleisiin henkilöihin.

KRP ryhtyi selvittämään asiaa kesäkuussa sen jälkeen, kun julkisuudessa epäiltiin Nokian toimittaneen tietoja laittomasti.

-----

Sosiaalitoimi laiminlöi tietojen tarkastusoikeuden

Eduskunnan oikeusasiamies Riitta-Leena Paunio on antanut Mikkelin kaupungin sosiaalikeskukselle huomautuksen henkilötietolaissa säädetyn tietojen tarkastusoikeuden hitaasta käsittelystä.

Henkilötietolain mukaan jokaisella on oikeus saada tietää häntä koskevista tiedoista henkilörekisterissä. Kantelija oli elokuussa pyytänyt kirjallisesti saada tarkastaa sosiaalikeskuksessa olevat itseään koskevat tiedot. Pyydetyt tiedot annettiin kantelijalle yli neljän kuukauden kuluttua hänen esittämästään pyynnöstä.

Henkilötietolain mukaan rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tietoihin tai annettava tiedot pyydettäessä kirjallisesti.

Mikkelin kaupungin sosiaali- ja terveyslautakunnan mukaan asiakirjoja ei voitu toimittaa aikaisemmin kiireisen syksyn ja huomattavan henkilökuntavajeen vuoksi. Oikeusasiamiehen mukaan resurssipula ei ole hyväksyttävä peruste asian käsittelyn viivästymiselle.

Lue myös

Lyhyesti tietoturvasta 3/2008 »
Lyhyesti yksityisyydestä 3/2008 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.