Tulostusversio

1/2008

Lyhyesti tietosuojasta 1/2008

Lisää tietosuojayhteistyötä

Tietosuojavaltuutetun toimisto tiivistää yhteistyötään IT-yritysten kanssa. Vuoropuhelua varten on perustettu yhteistyöryhmä, jonka tavoitteena on kehittää yrityslähtöisiä menettelytapoja henkilötietojen suojan huomioimiseen.

Tietosuojavaltuutetun toimistosta korostetaan, että henkilötietojen suojan huomioon ottaminen lisää luottamusta yrityksen toimintaan ja edistää samalla liiketoimintaa. Henkilöstön ja asiakkaiden tietojen rekisterinpitäjänä toimivan yrityksen johdon on huolehdittava siitä, että henkilötietojen käsittelyyn liittyvät tehtävät ja vastuut on määritelty asianmukaisesti. Työntekijöitä on myös koulutettava henkilötietojen käsittelyyn, ja tietojärjestelmien on vastattava lain vaatimuksia.

IT-yritykset ja tietosuojavaltuutetun toimisto keskustelivat yhteistyöryhmän roolista Euroopan neuvoston tietosuojapäivänä 28. tammikuuta 2008.

-----

Tietosuojaviranomaiset kehottavat valppauteen

Tietosuojan valvojien on oltava entistä valppaampana, koska valvontayhteiskunta näyttää tunkeutuvan yhä useammille yksityiselämän osa-alueille. Oikeus yksityisyyteen ja tiedolliseen itsemääräämisoikeuteen on edelleenkin tietoyhteiskunnan elinehto, vaikka tasapainon löytäminen yksityisyyden suojan ja terrorismin ja rikollisuuden vastaisen taistelun välillä on entistä haastavampaa.

Näin todetaan tietosuojadirektiivin artiklan 29 nojalla perustetun työryhmän kansainvälisenä tietosuojapäivänä antamassa julkilausumassa.

Ryhmä arvostelee lainsäätäjiä innosta käyttää henkilötietojen käsittelyä patenttilääkkeenä terrorismin ja rikollisuuden vastaisessa taistelussa. Kansalaisten oikeuksia supistavissa toimissa on tehokkuuden ohella huomioitava myös suhteellisuusperiaate. Sekä lainvalvonnan vaatimukset että yksityisyyden huomioivia teknisiä ratkaisuja on tarjolla ja niiden käyttöä tulee edistää.

Kannanotossa korostetaan myös tietosuojaviranomaisten itsenäisen roolin ja julkiseen keskusteluun osallistumisen merkitystä nykyisessä tietoyhteiskunnassa.

Kansainvälistä tietosuojapäivää vietettiin 28. tammikuuta 2008. Koko Euroopan laajuista tietosuojapäivää vietettiin ensimmäisen kerran vuosi sitten.

----

EU:n lentotietojen kerääminen huolettaa

Euroopan tietosuojaviranomaiset suhtautuvat epäillen komission ehdotukseen EU-maista lähtevien ja niihin saapuvien lentojen matkustajatietojen keräämisestä.

Tietosuojadirektiivin artiklan 29 nojalla perustetun työryhmän ja poliisi- ja oikeusasioiden tietosuojatyöryhmän antaman yhteisen kannanoton mukaan matkustajatietojen kerääminen olisi suuri askel kohti valvontayhteiskuntaa.

Työryhmät arvostelevat ehdotettua järjestelmää muun muassa siitä, ettei sen tarpeellisuutta ole perusteltu eikä ehdotus määrittele rekisterinpitäjän velvollisuuksia tai anna takeita rekisteröityjen oikeuksista. Mahdollisuus luovuttaa tietoja kolmansiin maihin jää epäselväksi. Ehdotuksen liitteenä olevat tietoluokat ovat liian laajoja, ja 13 vuoden säilytysaika kohtuuton.

Myös Euroopan tietosuojavaltuutettu Peter Hustinx viittaa omassa kannanotossaan epäselvyyksiin, jotka koskevat tietojen käsittelyn lainsäädännöllistä perustaa, matkustajatietojen käsittelijöitä ja tietojen siirtoa EU:n ulkopuolisiin maihin. Hustinx ehdottaa, että ehdotusluonnosta ei hyväksyttäisi ennen Lissabonin sopimuksen voimaantuloa, jotta Euroopan parlamentti voisi osallistua täysimääräisesti lainsäädäntöprosessiin sopimuksessa säädetyllä tavalla.

Tietosuojaviranomaiset korostavat, että terrorismin ja järjestäytyneen rikollisuuden vastainen taistelu on lainmukainen peruste henkilötietojen käsittelylle. Erityisesti jotkut matkustajatiedot saattavat olla käyttökelpoisia riskien analysoimisessa. Ehdotus tulisi kuitenkin perustella hyvin ja siinä pitäisi löytää tasapaino yleisen turvallisuuden ja henkilökohtaisten vapauksien rajoittamisen välillä.

----

Viisumitietojärjestelmä rikkoi tietosuojaa

Ison-Britannian tietosuojaviranomaisen tekemän tarkastuksen perusteella maan ulkoministeriö rikkoo tietosuojamääräyksiä viisumihakemusten käsittelyssä. Ministeriö oli ulkoistanut internetissä toimivan viisumien hakujärjestelmän ylläpidon ulkopuoliselle yritykselle. Tietoturva-aukon takia viisumin hakijat pääsivät katselemaan toistensa tietoja.

Tietosuojaviranomainen totesi, että rekisterinpitäjän kontrolli ulkoistamisen yhteydessä ei ollut riittävä. Tietosuojaviranomainen on velvoittanut ulkoministeriön saattamaan asian lainmukaiseen kuntoon.

----

Työehtosopimus vastoin henkilötietolakia Ruotsissa

Ruotsin tietosuojaviranomaisen mukaan Ruotsissa rakennusalan työehtosopimus on henkilötietolainsäädännön vastainen. Työehtosopimus sallii ammattiliitolle pääsyn sellaisten henkilöiden palkkatietoihin, jotka eivät ole ammattiliiton jäseniä.

Rakennusalan ammattiliitto on ilmoittanut tarvitsevansa ei-jäsenten palkkatietoja työehtosopimuksen valvomista varten. Tietosuojaviranomainen katsoo, että ammattiliiton ja liittoon kuulumattomien välillä ei ole sellaista yhteyttä, joka oikeuttaisi henkilötietojen käsittelyyn. Henkilötietojen käsittely edellyttäisi tässä tapauksessa suostumusta.

---

Saksassa puutteita teleasiakkaiden informoinnissa

Saksan tietosuojavaltuutetun tekemän tarkastuksen perusteella saksalaiset teleyritykset eivät noudata henkilötietolainsäädäntöä valmistellessaan sopimuksia asiakkaiden kanssa.

Tietosuojaviranomaiset kävivät läpi 26 saksalaista teleyritystä ja yllättyivät siitä, että yritykset eivät noudata henkilötietolainsäädäntöä. Monet teleyritykset arvioivat asiakkaita ulkopuolisten firmojen tuottaman, automatisoidun ja viitelukuihin perustuvan riskianalyysin perusteella, säilyttävät analyysitietoja jopa useita vuosia eivätkä tiedota asiakkaille riittävästi menettelystä ja tietojen säilyttämisestä.

Saksassa on virinnyt keskustelu yrityksistä, jotka käsittelevät kuluttajien luotto- ja muita henkilötietoja ja myyvät niitä eteenpäin yrityksille. Erityistä huomiota ovat herättäneet menetelmät, joilla yritykset käsittelevät henkilötietoja automatisoidusti muun muassa yksittäisen kuluttajan luottokäyttäytymisen ennakoimiseksi. Liittotasavallan sisäministeriö valmistelee lakia, joka määrittelisi näiden menetelmien pelisäännöt.

----

Tiedonsaantioikeus koski myös asiakirjoja

Saksassa liittovaltion hallinto-oikeus on antanut ratkaisun erään toimittajan henkilötietojen saantia koskevaan pyyntöön. Toimittaja oli pyytänyt liittotasavallan ulkomaantiedustelusta itseään koskevia tietoja sekä asiakirjoja. Tiedustelupalvelu antoi pyytäjälle vain sähköisessä muodossa olevat tiedot eikä asiakirjoja.

Hallinto-oikeuden ratkaisun mukaan pyytäjällä oli kuitenkin oikeus saada sähköisten tietojen lisäksi myös häneen liittyvät asiakirjat, koska asiakirjojen luovuttamiselle ei ollut esteitä tiedustelupalvelun toiminnan perusteella.

Saksan tietosuojaviranomaiset ovat ilmoittaneet olevansa tyytyväisiä ratkaisuun ja katsovat sen vahvistavan tiedollista itsemääräämisoikeutta tärkeällä tavalla.

----

Teleyhtiön ei pakko luovuttaa tietoja tekijänoikeusjärjestölle

Euroopan yhteisöjen tuomioistuimen mukaan teleyhtiöllä ei ollut velvollisuutta luovuttaa asiakkaittensa henkilötietoja tekijänoikeusjärjestölle, joka halusi nostaa kanteen asiakkaita vastaan.

Espanjalainen tekijänoikeusjärjestö halusi nostaa kanteen vertaisverkkojen käyttäjiä vastaan ja pyysi tähän tarkoitukseen teleyhtiöltä tiettyjen IP-osoitteiden käyttäjien henkilötietoja. Kun teleyhtiö kieltäytyi, järjestö nosti kanteen yhtiötä vastaan.

Espanjalainen tuomioistuin pyysi EY-tuomioistuimelta ennakkoratkaisua siitä, edellyttääkö yhteisöjen lainsäädäntö henkilötietojen luovuttamista siviiliprosessin yhteydessä tekijänoikeuksien suojelemiseksi.

EY-tuomioistuimen mukaan tietosuojaa ja tekijänoikeutta koskevat säännökset jättävät jäsenvaltioille mahdollisuuden säätää velvollisuudesta paljastaa henkilötietoja siviiliprosessissa, mutta sitä ei edellytetä.

------

Tietosuojan taso arveluttaa

Alustavien tietojen perusteella EU-maiden kansalaisista vain hiukan yli puolet kokee oman maansa tietosuojan tason riittäväksi. Tieto perustuu eurobarometriin, jossa kysyttiin EU-maiden kansalaisten käsityksiä tietosuojasta.

Kyselyyn vastanneista yli 80 prosenttia arveli, että oman maan kansalaisten tietosuojatietoisuus oli vähäistä.

EU:n komission mukaan kysely osoittaa, että kansalaiset ovat huolissaan henkilötietojensa suojaamisesta ja siitä, miten he voivat huolehtia yksityisyydestään. Esimerkiksi henkilötietojen antaminen internetissä huoletti melkein 75 prosenttia vastanneista. 

Toisaalta kansalaiset hyväksyvät henkilötietojen käsittelyn laittomuuksien torjumiseksi. Melkein 75 prosenttia vastanneista hyväksyi televalvonnan tietyissä tilanteissa. Luottokortin käytön seuraamista kannatti melkein 70 prosenttia. Vain 15 prosenttia vastusti lentojen matkustajatietojen tallettamista.

Eurobarometrissä selvitettiin myös kansalaisten luottamusta siihen, miten huolellisesti heidän henkilötietojaan käsitellään yhteiskunnan eri aloilla. Henkilötietojen uskottiin olevan hieman paremmassa huomassa julkishallinnossa, työpaikoilla ja finanssialalla kuin järjestöissä, matkatoimistoissa, postimyyntiyrityksissä tai markkinointi- ja mielipidetutkimusyrityksissä.

Komissio aikoo tutkia tarkemmin kyselyn tuloksia ja tiedottaa analyysistä myöhemmin tänä vuonna.

Eurobarometrin alustavat tiedot julkistettiin järjestyksessä toisena eurooppalaisena tietosuojapäivänä 28. tammikuuta 2008.

-----

Maistraattien tietosuojatehtäviä kehitettävä

Sisäministeriön työryhmä ehdottaa lääninhallituksille ja maistraateille yhteistä tietoturvapäällikköä, joka voisi edistää tietosuojayhteistyötä. Maistraattien tietosuojatoiminnan kehittämistä tulee jatkaa maistraattien kehitysyksikön johdolla. Näin todetaan valtion paikallishallinnon tehtävien organisointia selvittäneen työryhmän loppuraportissa.

Maistraattien ja tietosuojavaltuutetun toimiston välisen tietosuojayhteistyön kehittämistä on selvitetty aiemmin sisäministeriön työryhmässä, jonka loppuraportti julkistettiin vuonna 2003. Siinä ehdotettiin maistraatteihin tietosuojavastaavia, yhteistyötä tietosuojavaltuutetun toimiston kanssa sekä kansalaisille suunnattua tietosuojaneuvontaa maistraattien verkkosivuilla.

Paikallishallintotyöryhmä katsoo, että maistraattien tietosuojatoimintaa tulee kehittää näiden ehdotusten ja tietosuojavaltuutetun toimiston näkemyksen pohjalta. Tietosuojavaltuutetun toimisto on ehdottanut, että maistraatit voisivat antaa nykyistä enemmän tietosuoja-asioiden neuvontaa ja tiedotusta.

------

Tietosuojaoppaita tutkijoille ja kouluille

Tietosuojavaltuutetun toimistossa on laadittu Rekisteritutkimuksen tietosuojaopas tutkijoille ja tietopyyntöjä käsitteleville viranomaisille. Oppaassa tarkastellaan seikkoja, jotka on otettava huomioon tieteellistä tutkimusta suunniteltaessa.

Oppaassa korostetaan tutkittavien yksityisyyden suojaamista lakien edellyttämällä tavalla. Tutkimus on tehtävä ilman henkilötietoja aina, kun se on mahdollista. Jos tutkittavien yksilöiminen kuitenkin on tarpeen, käsitellään vain tarpeellisia henkilötietoja.

Opas on laadittu paitsi tutkijoiden, myös rekisteritietojen käyttölupahakemuksia käsittelevien rekisterinpitäjien tueksi.

Tietosuoja askarruttaa myös kouluissa, joissa kerätään palautetta opetuksen tasosta. Opettajien ammattijärjestö OAJ:n saaman palautteen perusteella opettajat kokevat joskus yksityisyyttään loukatun julkisissa opetusarvioissa.

Tietosuojavaltuutetun toimisto on nyt julkaissut oppaan Henkilötietojen kerääminen koulutuksen itsearviointiin liittyvissä kyselyissä.

Oppaan valmisteluvaiheessa kaikille ammattikorkeakouluille lähetettiin kysely, jonka avulla kartoitettiin nykytilannetta ja kyselyiden toteuttamiseen liittyviä ongelmia. Opasta on kommentoinut tietosuojavaltuutetun aloitteesta kokoontuva opetustoimen ohjausryhmä OTTO.

Arviointikyselyissä on henkilötietoja, jos kyselyn vastaukset voidaan yhdistää tiettyyn opettajaan jollakin tavalla tai jos kyselystä ilmenee vastaaja, oppaassa muistutetaan.

------

Pikavippiyhtiö laiminlöi huolellisuusvelvoitetta

Tietosuojalautakunnan mukaan pikaluoton hakijan yhteystietojen vertailu lainahakemuksen tietoihin ei ole riittävän luotettava tunnistamistapa.

Pikavippiyhtiössä lainanhakijan tunnistaminen perustui asiakkaalle annettuun yksilölliseen tunnukseen, joka lähetettiin asiakkaan lainahakemuksessa ilmoittamaan matkapuhelimeen. Asiakkaan tuli ilmoittaa tunnus yhtiölle puhelimitse, minkä jälkeen yhtiö tarkisti puhelun tulleen lainahakemuksessa ilmoitetusta, hakijan nimissä olevasta liittymästä. Yhtiö tarkisti myös hakijan henkilötiedot, vertasi niitä luottotietorekisteriin ja väestötietojärjestelmään ja maksoi sitten lainan hakijan ilmoittamalle pankkitilille.

Tietosuojalautakunta katsoi, että yritys ei ollut noudattanut lainanhakijoiden tunnistamisessa henkilötietolain edellyttämää huolellisuutta. Tunnistaminen perustui ainoastaan sen varmistamiseen, että lainanhaussa ilmoitetut tiedot vastasivat matkapuhelinliittymän haltijan tietoja. Lainanhakijaksi oli mahdollista rekisteröidä henkilö, joka ei ole lainaa hakenut, joten virheettömyysvaatimus ei toteutunut.

Lisäksi yritys oli laiminlyönyt henkilötietolain suunnitteluvelvoitteita ottamalla käyttöön sellaiset henkilötietojen käsittelyprosessit, joissa huolellisuus- ja virheettömyysvaatimukset eivät täyty.

Päätöksen kohteena ollut yritys oli yksi niistä kolmestatoista pikalainayrityksestä, joille tietosuojavaltuutettu lähetti selvityspyynnön vuonna 2006. Muut kaksitoista yritystä ryhtyivät pyynnön seurauksena muuttamaan käytäntöjään.

Lue myös

Lyhyesti tietoturvasta 1/2008 »
Lyhyesti yksityisyydestä 1/2008 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.