Tulostusversio

3/2013

Lyhyesti tietosuojasta 3/2013

Turvakiellon saaneille yrittäjille oikeus postilokero-osoitteeseen

Kun uusi yritys ilmoitetaan kaupparekisteriin, tarvitaan yrityksen osoite kadunnimineen. Tämä on tuottanut ongelmia sellaisille yrittäjille, joille on myönnetty niin sanottu turvakielto ja jotka eivät siksi halua ilmoittaa yhteystietojaan julkisiin rekistereihin.

Aikaisemmin Itella ei myöntänyt postilokero-osoitetta ennen kuin yritys oli kaupparekisterissä. Nyt käytäntöä on muutettu siten, että turvakiellon saaneet henkilöt voivat hakea Itellalta postilokero-osoitetta jo ennen rekisteröintiä ja ilmoittaa kaupparekisteriin katuosoitteen asemesta postilokeron.

Turvakielto on maistraatin määräämä väestötietojärjestelmän tietojen luovutuskielto, joka rajoittaa voimakkaasti henkilön yhteystietojen luovuttamista jopa viranomaisille.

------

Profilointi huolettaa viranomaisia

Euroopan tietosuojaviranomaisten työryhmä on huolissaan profiloinnista ja sen kohteena olevien henkilöiden tietosuojasta.

Profiloinnilla tarkoitetaan henkilötietojen käsittelyä, joka tähtää henkilön käytöksen, tapojen ja mielenkiinnon kohteiden analysointiin ja ennakointiin. Profiloinnissa voidaan kiinnittää huomiota esimerkiksi henkilön taloudelliseen tilanteeseen, terveyteen tai sijaintiin. Työryhmän mukaan erityisesti paikannukseen perustuvat palvelut profilointimahdollisuuksineen voivat olla vakava uhka tietosuojalle, jos riskejä ei pyritä minimoimaan.

Usein henkilöitä profiloidaan heidän tietämättään. Työryhmän näkemyksen mukaan erityisen tärkeää on, että profiloinnin kohteella olisi muuta henkilötietojen käsittelyä laajemmat tiedonsaantioikeudet ja mahdollisuudet vaikuttaa tietojensa käsittelyyn. Rekisterinpitäjät pitäisi esimerkiksi velvoittaa anonymisoimaan tiedot tai muuttamaan ne pseudonyymeiksi. Profilointia on eritasoista, joten profilointia pitäisi luokitella sen sisältämien riskien mukaisesti.

Työryhmä arvostelee valmisteilla olevaa EU:n tietosuoja-asetusta siitä, että siinä säännellään vain profiloinnin lopputulosta. Profilointia koskevaa artiklaa pitäisikin muuttaa siten, että se kattaisi koko prosessin henkilötietojen käsittelyineen.

----

Hakukoneyhtiö ei ole nettisisällön rekisterinpitäjä

Mikäli EU:n tuomioistuin noudattaa julkisasiamiehen ratkaisuehdotusta, hakukoneyhtiö ei ole rekisterinpitäjä, kun se käsittelee henkilötietoja hakutulosten muodostamiseksi.

Tapauksessa oli kyse asunnon pakkohuutokauppaa koskevasta ilmoituksesta espanjalaisessa lehdessä. Ilmoituksessa mainittiin asunnon omistajan nimi. Kun omistaja kymmenen vuotta myöhemmin ”googlasi” nimensä, linkki ilmoitukseen oli tuloslistassa. Henkilö pyysi Google Spainia muuttamaan hänen nimellään tehtävää hakua siten, ettei ilmoituslinkki näkyisi tuloksissa.

Google Spainin mukaan asia kuului USA:n Googlelle sillä perusteella, että hakukoneisiin liittyvää henkilötietojen käsittelyä ei tehdä Espanjassa. Asia eteni oikeuteen, joka pyysi ennakkoratkaisua EU-tuomioistuimelta.

Julkisasiamies Niilo Jääskisen ratkaisuehdotuksen mukaan hakukone indeksoi ja käsittelee henkilötietoja hakutulosten muodostamiseksi. Se ei tee hakukoneen palveluntarjoajasta rekisterinpitäjää indeksin sisältöä lukuun ottamatta, ellei se käsittele tietoja julkaisijan pyyntöjen tai ohjeiden vastaisesti.

Julkisasiamies toteaa, että henkilötietodirektiivissä ei ole säädetty yleistä oikeutta tulla unohdetuksi siten, että rekisteröity voisi rajoittaa omien intressiensä vastaisten tietojen julkaisemista. Ilmoituksen tiedot eivät olleet puutteellisia tai virheellisiä. Näin ollen Googlella ei ollut velvollisuutta poistaa linkkiä hakutuloksista.

Tapauksessa pohdittiin myös sitä, kumpi vastaa hakutuloksista; Espanjan vai USA:n Google. Julkisasiamiehen mukaan Google Spain oli tässä vastaava toimija, sillä yrityksellä on toimipaikka Espanjassa, ja se tarjoaa palveluja Espanjassa asuville. Siksi tapauksessa tuli noudattaa Espanjan ja EU:n tietosuojalainsäädäntöä.

-----

Tietosuojastandardin suomennos julki

Kansainvälisestä yleisestä tietosuojastandardista ISO/IEC 29100 on julkaistu suomennos. Standardissa esitetään organisaatiota, teknisiä ratkaisuja ja menettelytapoja koskevat yleiset tietosuojan perusteet.

Tietosuojastandardin tarkoitus on tehostaa turvallisuusstandardien soveltamista painottamalla henkilötietojen käsittelyn näkökulmaa.

Standardi hyväksyttiin puolitoista vuotta sitten. Tietosuojavaltuutetun toimisto osallistui standardiluonnoksen käsittelyyn Euroopan tietosuojaviranomaisten työryhmässä.

Yleinen kehysstandardi on vasta alkua tietosuojakäytäntöjen standardisoinnissa. Vireillä on sektori- ja toimintokohtaisia hankkeita muiden muassa vaikutustenarvioinnin, tietosuoja-arkkitehtuurin, tunnistamistietojen käsittelyn sekä pilvipalvelujen tietosuojan standardisoimiseksi.

-----

Lastensuojelusta tuli postia

Apulaisoikeusasiamies Maija Sakslin muistuttaa viranomaisia siitä, että asiakkaalle toimitettavien lähetysten lähettäjätiedot eivät saa vaarantaa asiakkaan yksityisyydensuojaa.

Perusturvakuntayhtymä oli lähettänyt asiasta kannelleelle henkilölle kirjeen, jossa lähettäjäksi oli merkitty kuntayhtymän lastensuojeluyksikkö.

Tieto sosiaali- ja terveydenhuoltopalvelujen asiakkuudesta on julkisuuslain mukaan salassa pidettävä. Näin ollen myös asiakassuhteeseen liittyvät tai niitä kuvaavat tiedot ovat salaisia. Lähettäjätiedoksi riittää esimerkiksi kunnan nimi ja asianomaisen viranomaisen postilaatikkonumero (PL).

 

Lue myös

Lyhyesti tietoturvasta 3/2013 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.