Tulostusversio

3/2010

Lyhyesti tietosuojasta 3/2010


Uusi SWIFT-sopimus jätti aukkoja tietosuojaan

Hiomisen jälkeen aikaansaatu uusi sopimus eurooppalaisten pankkitietojen siirtämisestä USA:n viranomaisille astui voimaan elokuussa. Euroopan parlamentti ja neuvosto hyväksyivät sopimuksen kesällä.

Europarlamentti hylkäsi edellisen, jo allekirjoitetun sopimuksen helmikuussa perusoikeuksien ja puutteellisen tietosuojan takia.

Uudessa sopimuksessa tietosuojaa on lisätty, mutta silti USA:n viranomaisille siirretään valikoimattomia eli muutakin kuin terrorismia koskevia pankkitietoja. EU:n tietosuojaviranomaisten työryhmää valikoimattomien tietojen siirtäminen huolettaa: Sopimuksen mukaan tietoja voidaan välittää edelleen EU:n tai USA:n lainvalvontaviranomaisille, ja niitä voidaan säilyttää viisikin vuotta. Valikoimattomien tietojen siirron on määrä loppua sitten, kun EU:lla on oma terrorismin rahoituksen seurantaohjelmansa.

Uuden sopimuksen mukaan USA:n viranomaisten on yksilöitävä ja rajattava tietopyynnöt mahdollisimman tarkasti ja perusteltava niiden tarpeellisuus. Tietoja ei saa käyttää louhintaan, muuhun algoritmiseen tai automaattiseen profilointiin tai tietokoneavusteiseen suodatukseen. Europol valvoo, että pyynnöt täyttävät vaatimukset. Lisäksi tietojen asianmukaista käsittelyä USA:ssa seuraa komission nimittämä valvoja.

---

Suomelle varoitus verotiedoista

EU:n komissio kovistelee Suomea henkilökohtaisten verotietojen puutteellisesta suojasta.

Komissio viittaa EU-tuomioistuimen ja Suomen korkeimman hallinto-oikeuden käsittelemään tapaukseen, jossa yritys julkaisi 1,2 miljoonan ihmisen verotustiedot alueellisesti ilmestyneissä lehdissä. Lehdessä julkaistuja verotietoja myytiin myös tekstiviestipalveluna. Tuomioistuimet katsoivat, että kyse ei ollut verotietojen käsittelystä toimituksellisia tarkoituksia varten. Näin ollen menettely rikkoi henkilötietodirektiiviä ja henkilötietolakia.

Henkilötietodirektiivistä voidaan poiketa kansallisessa lainsäädännössä esimerkiksi toimituksellisia tarkoituksia varten. Komission tiedotteen mukaan Suomen henkilötietolaissa oleva poikkeus on kuitenkin direktiivin vastainen ja Suomen pitää muuttaa lainsäädäntöään.

Suomen vastauksen määräaika päättyi elokuussa. Mikäli vastaus ei tyydytä komissiota, se voi antaa toisen varoituksen. Mikäli Suomi ei senkään jälkeen ryhdy toimiin, komissio voi viedä asian EU-tuomioistuimeen.

---

Laki patistaa tarkistamaan luottotiedot

Entistä useamman lainanhakijan luottotiedot tarkistetaan, kun kuluttajansuojalain muutokset astuvat voimaan joulukuun alussa. Uusilla säännöksillä halutaan edistää vastuullista luotonantoa ja ehkäistä ylivelkaantumista.

Entistä useamman lainanhakijan luottotiedot tarkistetaan, kun kuluttajansuojalain muutokset astuvat voimaan joulukuun alussa.

Lainmuutoksen mukaan luotonantajan on ennen sopimuksen tekemistä tarkistettava kuluttajan luottokelpoisuus. Yleisimmin tämä tehdään tarkistamalla luottotiedot. Luottokelpoisuutta ei tarvitse selvittää lyhytaikaisissa kertaluotoissa tai jos luotonantaja tuntee entuudestaan kuluttajan taloudellisen tilanteen pidemmältä ajalta.

Jatkuvissa tai suurissa luotoissa luotonantajan tulisi hankkia kuluttajalta muitakin tietoja tämän taloudellisesta asemasta. Mitä suuremmasta lainasta on kyse, sitä seikkaperäisemmät selvitykset ovat tarpeen.

Samalla säädettiin luottotietolakiin muutos, jonka mukaan tietojen tarkistamisesta pitää kertoa rekisteröidylle etukäteen. Hänelle on myös kerrottava, mikäli kielteinen päätös johtuu luottotiedoista. Tiedottaa voi joko suullisesti tai kirjallisesti esimerkiksi markkinoinnissa, työhönottohaastattelussa tai luottohakemuksessa.

---

Lupa ennen evästettä

Nettisurffailua seuraamalla saa tarkan kuvan käyttäjän mielenkiinnon kohteista, ja siksi seurantaan perustuva verkkomainonnan määrä kasvaa ripeästi. Yleisimmin seurantaa tehdään käyttäjän koneelle latautuvilla evästeillä, jotka sisältävät www-sivun keräämiä tietoja käyttäjästä ja lähettävät hänelle niiden mukaan kohdennettua mainontaa.

EU:n tietosuojatyöryhmä jarruttelee kannanotossaan innokkaimpia nettimainostajia muistuttamalla lainsäädännöstä. Ryhmä korostaa, että uudistetun sähköisen viestinnän tietosuojadirektiivin mukaan käyttäjältä on pyydettävä lupa ennen evästeen lataamista koneelle. Todellisuudessa lupia ei yleensä kysellä ainakaan käyttäjän ymmärtämällä tavalla.

Kannanotto asettaa suurimman vastuun nettimainontaa myyville yrityksille, ei yksittäisille mainostajille. Ryhmän mukaan nettimainonnan myyjien pitäisi pyytää käyttäjältä määräaikaista lupaa evästeiden lataamiseen välittämiään mainoksia varten. Käyttäjän tulisi voida helposti muuttaa mieltään ja kieltäytyä seurantaevästeistä. Seurantaan perustuvaa kohdennettua mainontaa käyttävillä sivustoilla tulisi olla tästä kertova kuvake.

Nykyselaimet jättävät evästeistä kieltäytymisen pitkälti käyttäjien valistuneisuuden varaan. Ryhmä toteaakin, että oletusasetusten muuttamatta jättämistä ei yleensä voi pitää käyttäjän tahdonilmaisuna.

----

Skanneri ei uhkaa perusoikeuksia

Henkilöskannerien kokeilu lentokenttien turvatarkastuksissa yleistyy EU-maissa. Samaan aikaan niiden pelätään aiheuttavan terveysriskejä ja murentavan matkustajien yksityisyyttä.

EU:n komission kesällä julkaiseman selvityksen mukaan skannereiden asianmukainen käyttö täyttää terveysmääräysten ja perusoikeuksien vaatimukset.

Nykyisin jäsenmaat voivat käyttää skannereita joko kokeiluluontoisesti tai lisätoimenpiteenä turvatarkastuksissa. Kokeiluja on menossa Isossa-Britanniassa, Ranskassa, Italiassa ja Alankomaissa. Suomessakin skannausta on kokeiltu vuosina 2007–2008.

EU-tason lainsäädäntöä henkilöskannauksesta ei ole. Komissio haluaisikin nyt skannereiden käytölle yhteiset vaatimukset.

Selvitystä edeltäneellä kuulemiskierroksella EU:n tietosuojavaltuutettu, tietosuojatyöryhmä ja perusoikeusvirasto suhtautuivat henkilöskannaukseen varauksellisesti. Viranomaisten mukaan skannaus vaikuttaa merkittävästi matkustajien yksityisyyteen ja tietosuojaan.

Komission selvityksessä ehdotetaan erilaisia keinoja yksityisyyden lisäämiseksi. Teknisesti on jo mahdollista sumentaa kuvista esimerkiksi kasvot. Oikean kehon kuva voidaan myös korvata esimerkiksi tikku-ukolla, josta selviää mahdollisen epäilyttävän esineen sijainti. Kuvaa tarkastava henkilö voitaisiin sijoittaa siten, ettei hän näe kuvattavaa. Yksityiskohtaisemmin kuvaa voisi tarkastella kuvattavan kanssa samaa sukupuolta oleva virkailija.

Laitteiden ja ohjelmistojen yksityisyyttä lisäävillä ominaisuuksilla kerättävien henkilötietojen määrä saataisiin mahdollisimman vähäiseksi. Vielä enemmän yksityisyyttä suojaisi kuvan analysointi osin tai kokonaan koneen voimin. Selvityksen mukaan kokonaan automatisoitu analyysimenetelmä on jo valmis koekäyttöön.

Komissio jatkaa neuvonpitoa skannereista Euroopan parlamentin ja neuvoston kanssa.

----

Teletietodirektiivin soveltamisessa suuria eroja

Kun käytät puhelinta tai internetiä, maasta ja palveluntarjoajasta riippuu, kuinka kauan teletietoja säilytetään ja miten niitä käsitellään. Tämä käy ilmi EU:n tietosuojaviranomaisten työryhmän selvityksestä, joka perustuu viranomaisten kotimaissaan tekemiin kyselyihin ja tarkastuksiin.

Selvityksen mukaan EU-maat ovat panneet täytäntöön ja soveltavat teletietojen tallennusdirektiiviä eri tavoin ja osin direktiivin vastaisesti.

Teletietojen säilytysajat vaihtelevat kuudesta kuukaudesta jopa kymmeneen vuoteen, kun direktiivissä tietoja on säilytettävä vähintään kuusi kuukautta ja enintään kaksi vuotta. Miltei puolessa jäsenmaista, myös Suomessa, tietoja säilytetään korkeintaan vuoden ajan. Ryhmä ehdottaa, että säilytyksen enimmäisaika yhdenmukaistettaisiin ja se olisi vähemmän kuin kaksi vuotta.

Selvityksessä paljastui myös, että jäsenmaissa säilytetään muitakin kuin direktiivissä lueteltuja teletietoja. Tietosuojaviranomaiset korostavat, että muita kuin direktiivissä lueteltuja tietoja ei ole lupa tallentaa.

Selvityksen perusteella säilytettävien teletietojen tietoturva näyttää riippuvan palveluntarjoajan koosta: Suurissa yrityksissä tietoturvamenettelyt ovat riittävät, pienissä puutteelliset.

Teletietoja säilytetään rikosten tutkintaa ja torjuntaa varten, ja palveluntarjoajat luovuttavat pyynnöstä niitä viranomaisille. Direktiivissä tietojen siirrosta ei ole yksityiskohtaisia säännöksiä. Selvityksen mukaan siirroissa onkin nyt huomattavia eroja: Tietoja saatetaan joissakin maissa antaa viranomaisille faksitse tai sähköpostitse, kun taas toisissa käytetään salattua sähköistä tiedonsiirtoa. Selvityksessä kaivataankin tiedonsiirrolle yhteisiä pelisääntöjä.

Komission on määrä julkaista oma arvionsa tallennusdirektiivistä syyskuussa.

Lue myös

Lyhyesti tietoturvasta 3/2010 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.