Tietosuoja 3/2015 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

JARI PERKO: Tietobisnes on haaste markkinoijille tietoturvan ja tietosuojan erikoislehti 3 • 2015 15€ Sijaintitiedot ovat luottamuksellisia TUNNISTA TYÖPAIKAN TIETOTURVARISKIT Tiedonhallinta kuntoon
Julkaisijat Patenttija rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Tietoturvan ja tietosuojan erikoislehti Lokakuu 2015 Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patenttija rekisterihallitus, anna.lauttamus-kauppila@prh.fi 3 • 2015 KANNEN KUVA OLLI HÄKÄMIES OLLI HÄKÄMIES Pitääkö ihmisillä olla oikeus putsata menneisyytensä pöytää . 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Säilötäänkö teillä tietoa turhaan. 15 Gallup: TOS on koko organisaation asia 16 Asiantuntijalta: Sisäänrakennettu tietosuoja kilpailuetuna Mikko Viemerö 18 Rekisteröi tämä: Verottajan kirjoissa ja kansissa 19 Kysy meiltä 20 Jari Perko: Markkinoija elää mutkikkaita aikoja 24 Lait ja säädökset 26 Tunnista työyhteisön riskit 29 Näkökulma: Pohjoismainen tietosuojatyö 30 Miljoonien potilastiedot napinpainalluksen päässä tietosuoja 3 • 2015 2
Toimitusneuvosto puheenjohtaja, Reijo Aarnio, tietosuojavaltuutetun toimisto Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Kimmo Rousku, Valtori Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt Toimituskunta Eija Alavesa, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patenttija rekisterihallitus sekä toimituspäälliköt Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kustantaja Stellatum Oy PL 20 00381 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 40 MIKKO KANKAINEN 8 LEHTIKUV A tietosuoja 3 • 2015 3. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy 33 Potilaalta lupa myös reseptien katseluun 34 Asiantuntijalta: Sijaintitiedot ovat luottamuksellisia Eija Alavesa 36 Asiantuntijalta: Julkisesti säännelty satelliittipalvelu Suomessa Anna von Fieandt-Lehtonen 37 Palveluväylä helpottaa tietojenvaihtoa 40 Yhteistyössä nuorten asialla 43 Ilmiö numeroina 44 Kolumni: Some syö juorutoimittajan leivän 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL IN EU TRA ALI PAINO TU OT E HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL IN EU TRA ALI PAINO TU OT E tietosuoja-lehti.fi Salassapito ja tietosuoja eivät estä moniammatillista yhteistyötä. 0400 435 636 anne.paavilainen@stellatum.fi 27
Tiedämme jo liiankin hyvin, miten sosiaalisen median vyörymäinen suosio ja sen mukanaan tuomat lähes rajaton niin henkilökohtaiseen elämään liittyvien yksityiskohtien julkistaminen kuin pidäkkeettömän vihan ja raivon ilmaukset ovat vaikuttaneet eri ihmisryhmien väliseen kanssakäymiseen. Psykologi Anu Mustonen totesi jo kymmenen vuotta sitten, että netin valikoivalla käytöllä voi saada maailmasta hyvin mustavalkoisen kuvan: on me ja ne. Kuten Tietosuoja-lehden edellisessä numerossa kuvailtiin, web-analytiikka on jo pelottavan tehokasta. Ihan jokaisesta sivulatauksestamme ja klikkauksesta jää verkkoon pysyvä jälki, jota käytetään ainakin taloudellisesti hyväksi erittäin laajasti. Aikaisempia ohjeita väheksymättä nuo kolme askelta voisivat kenties olla tolkku, maltti ja kohtuus. Vuosi oli 2004 ja tietoturva-askeleet seuraavat: tietokoneen käyttöjärjestelmän päivitys, ajantasainen virustorjuntaohjelmisto ja palomuuri. Pääkirjoitus 3 • 2015 Elämäämme voidaan seurata tarkemmin kuin parhaina Stasi-aikoina. Muista edelleen: Kolme askelta tietoturvaan Ensimmäisen kansallisen tietoturvapäivän mottona oli ”kolme askelta tietoturvaan”. Nettiyhteisöt saattavat aiheuttaa lisäksi vahvan sulautumiskokemuksen, jolloin vaikutukset – hyvään tai huonoon suuntaan – ovat sitä voimakkaampia. Aikaa ensimmäisestä tietoturvapäivästä on nyt liki 12 vuotta. Anna Lauttamus-Kauppila Patenttija rekisterihallituksen viestintäja asiakaspalvelujohtaja 4 tietosuoja 3 • 2015. Kuluneina vuosina on edistytty aika lailla sikäli, että palomuuri ja virusohjelmat ovat tietokoneissa jo itsestäänselvyyksiä. Myös liikuntasuorituksiamme ja jopa elintoimintojamme voidaan mitata lukuisilla laitteilla, ja niihin tallentuneet tiedot jaamme aivan vapaaehtoisesti verkon välityksellä yhdellä klikkauksella globaalisti. Itsensä ja muiden suojelu ei siis tunnu olevan kovin hyvässä kurssissa nykyään. Nyt esineiden internet tuo verkon ja samalla haittaohjelmien leviämisriskin myös tuiki tavallisiin kodinkoneisiin, kuten jääkaappeihin ja itkuhälyttimiin. Elämäämme voidaan jo nyt seurata tarkemmin kuin parhaina Stasi-aikoina. Nuoret ja heidän vanhempansa ovat tutkimusten mukaan hyvinkin tietoisia sekä ”netiketistä” että netinkäyttöön liittyvistä negatiivisista seikoista. Myös hyvän nettikäytöksen pelisäännöistä muistutettiin toistuvasti. Seuraavina vuosina valistuksen painopiste siirtyi lasten ja nuorten turvalliseen netinkäytön ohjaukseen. Mikä olisi nyt ja jatkossa polku viisaaseen (netti)elämään . Mutta onko käytöksemme kuitenkaan muuttunut fiksummaksi
Vähän yli puolet vastaajista ei antaisi viranomaisille oikeutta seurata kansalaisten internetin käyttöä ilman lupaa. Enemmistö suomalaisista (68 %) on huolestunut siitä, että internetin käyttäjistä kerätään yhä enemmän tietoa eri tarkoituksiin. Huomattavasti vähemmän uskotaan teleyritysten ja verkkokauppojen kykyyn turvata käyttäjien tiedot. Yksi hallituksen kärkihankkeista on julkisten palvelujen digitalisointi, johon muun muassa menossa oleva kansallinen palveluarkkitehtuurihanke liittyy (lue lisää s. ”Voidaanko verkkovalvonta Suomessa toteuttaa kansalaisten yksityisyyden suojaa kunnioittaen, jää nähtäväksi. Esa Sirkkusen mukaan tulokset kasaavat paineita valmisteilla olevan verkkotiedustelulainsäädännön suuntaan. Lyhyesti SHUTTERSTOCK Yksityisyyden säilyminen huolettaa suomalaisia Suomalaisilla on vahva luottamus rahoituslaitosten, terveydenhuollon, viranomaisten ja oppilaitosten kykyyn pitää henkilötiedot suojassa. Erityisen vähän luottamusta on kansainvälisten nettijättien kykyyn pitää käyttäjien henkilötietoja turvassa. 37). Suomi joutuu kuitenkin maksamaan hakijoille vahingonkorvausta oikeudenkäynnin pitkittymisen takia.. Siinä selvitettiin tuhannen 15–79-vuotiaan suomalaisen mielipiteitä yksityisyydestä internetissä. 5 tietosuoja 3 • 2015 EUROOPAN IHMISOIKEUSTUOMIOISTUIMEN MUKAAN korkeimman hallinto-oikeuden päätös ns. Tiedot perustuvat Tampereen yliopiston tilaamaan ja Taloustutkimuksen toteuttamaan kyselyyn. Hallitusohjelman mukaan ulkomaantiedustelusta ja tietoliikennetiedustelusta laaditaan lainsäädäntöä. Muissa tiedustelua harjoittavissa länsimaissa kansallisen turvallisuuden vaatimus on jyrännyt yksityisyysperiaatteiden yli”, Sirkkunen sanoo. Vastoin yleisiä uskomuksia nuoret netinkäyttäjät ovat huolestuneempia yksityisyydestään kuin vanhemmat ikäluokat. Miltei yhdeksän kymmenestä haluaisi päättää henkilötietojensa käsittelystä itse. Veropörssiasiassa ei loukannut ihmisoikeussopimuksen sananvapausartiklaa. Kyselyssä selvitettiin myös suomalaisten näkemyksiä turvallisuusviranomaisten harjoittamasta verkkovalvonnasta. Verkkovalvonnan hyväksyisi runsas kolmannes. Hallitus aikoo myös selvittää tietoverkkorikollisuuden torjuntaan tarvittavat resurssit, toimintatavat ja lainsäädäntötarpeet vielä tämän vuoden loppuun mennessä. ”Sama asenne nuorten keskuudessa on tullut esiin myös tuoreissa Yhdysvalloissa ja Virossa tehdyissä tutkimuksissa”, sanoo tutkija Esa Sirkkunen tutkimuksen toteuttaneesta Tampereen yliopiston tutkimuskeskus COMETista. TIETOLIIKENNETIEDUSTELU MUKANA HALLITUSOHJELMASSA Keväällä kautensa aloittanut pääministeri Juha Sipilän hallituksen ohjelma lupaa tietosuojaan ja tietoturvaan liittyviä muutoksia. Tulokset eivät vahvistaneet ennusteltua yksityisyyden merkityksen hiipumista
Viranomaiselle tehtyä kantelua ei siksi voi hylätä tutkimatta. Irlannin tietosuojaviranomainen oli hylännyt kantelun, jonka mukaan sen olisi pitänyt vaatia Facebookia lopettamaan EU-maissa asuvien käyttäjien tietojen siirto Yhdysvaltoihin. Näin ollen komission Safe Harbor -päätös ei sisällä riittäviä takeita suojasta, joten se on perusoikeuskirjan ja henkilötietodirektiivin vastainen. Lyhyesti Valtion tietoturva edistyy Valtion tietoja kyberturvallisuuden tilanne parani vuonna 2014 useilla osaalueilla. Safe Harborin lainmukaisuus tutkinnassa EU:n tuomioistuin joutuu lähikuukausina ottamaan kantaa EU:n ja USA:n välisen ns. Julkisasiamies Bot viittaa Irlannin korkeimman oikeuden ja komission lausuntoihin. Niitä ovat oikeus yksityiselämään ja oikeus henkilötietojen suojaan. Jäsenvaltioiden on voitava toteuttaa toimenpiteet, jotka ovat tarpeen perusoikeuskirjassa suojeltujen perusoikeuksien turvaamiseksi. Edellisvuodesta tulokset heikentyivät eniten johdon vahvistamissa tietoturvasuunnitelmissa. SHUTTERSTOCK 6 tietosuoja 3 • 2015. Niiden mukaan USA:n oikeudessa ja käytännössä sallitaan EU-kansalaisten henkilötietojen laajamittainen käsittely ilman tehokasta oikeussuojaa, kuten oikeutta tulla kuulluiksi. Kantelu oli hylätty muun muassa sillä perusteella, että komission vuoden 2000 päätöksen mukaan Safe Harbor takaa henkilötiedoille riittävän suojan. EU:n tuomioistuimen käsittelemässä tapauksessa Irlannin korkein oikeus pyytää ennakkoratkaisua kansallisen viranomaisen toimivallasta. Esimerkiksi johdon hyväksymien riskienhallintapolitiikkojen ja tietoaineistojen luokituspäätösten määrät lisääntyivät vuoteen 2013 verrattuna. EU ja USA ovat neuvotelleet useita vuosia uudesta, Safe Harborin korvaavasta järjestelystä. Julkisasiamiehen ratkaisuehdotuksen mukaan komission päätös ei voi rajoittaa kansallisten valvontaviranomaisten toimivaltaa, joka on määritelty henkilötietodirektiivissä. Keskustelu Safe Harbor -järjestelyn tulevaisuudesta on jatkunut vilkkaana sen jälkeen, kun tiedot USA:n tiedustelupalvelun harjoittamasta urkinnasta tulivat julkisuuteen kesällä 2013. Bot kehottaa EU-tuomioistuinta tutkimaan päätöksen lainmukaisuutta: hänen mukaansa päätös on pätemätön. Valtionhallinnon tietoja kyberturvallisuuden johtoryhmän (VAHTI) tekemän kyselyn tulokset osoittavat, että parantamisen varaa on ennen kaikkea jatkuvuudenhallinnassa ja varautumisessa. Safe Harboriin sitoutuneet organisaatiot saavat siirtää ja käsitellä EU-maiden kansalaisten henkilötietoja USA:ssa. Tuomioistuimen julkisasiamies Yves Bot esittää ratkaisuehdotuksessaan, että järjestely on pätemätön. Järjestelyn tarkoitus on taata EU-kansalaisten tiedoille riittävä suoja. Safe Harbor -järjestelyn lainmukaisuuteen
”Tutkimassani yrityksessä työntekijät ymmärtävät tiedon merkityksen yritykselle, ja johto on valveutunutta. ”Mikään taho ei tee nyt tietoturvaohjeita juuri pk-yrityksille, mutta epäsuorasti ohjeistusta on paljonkin. Viranomaisten omille instituutioilleen tekemissä ohjeissa sanotaan, että yrityksetkin voivat hyödyntää niitä. Tällainen niin sanottu opportunistinen verkko laajenee sen mukaan, miten paljon siellä on ihmisiä”, sanoo tietojenkäsittelytieteen professori Jussi Kangasharju Helsingin yliopistosta. Toisenlaisiakin mielipiteitä on. Uuden teknologian odotetaan tulevan käyttöön muutaman vuoden kuluttua. Voidaanko tulokset yleistää muihin pk-yrityksiin. Suosittelen, että yritykset keskittyvät joihinkin ohjeisiin ja toimivat niiden mukaan”, tutkija Niina Kinnunen sanoo. SHUTTERSTOCK Viranomainen, vähennä tietoturvaohjeita! Keskustelevat mobiililaitteet lisäävät yksityisyyttä 7 tietosuoja 3 • 2015. Toki yleisemmän käsityksen saaminen vaatisi useiden yritysten tutkimista.” KTM Niina Kinnusen tietotekniikan alan väitöstutkimus ”Tietoturvaohjeistusten noudattamisen motivaatio ja sen muuttuminen” tarkastettiin Vaasan yliopistossa syyskuussa. 26. Siellä tietotekniikka on vain liiketoiminnan tukena, ja sellaisia on pk-yrityksistämme valtaosa. Miksi. ”Verkkoa, jossa mobiililaitteet keskustelevat keskenään, ei operaattori pysty seuraamaan. Mistä yritykset tunnistavat niille suunnatut ohjeet. Tuoreen väitöstutkimuksen mukaan viranomaisten tulisi karsia tietoturvaohjeidensa määrää. ”Verkossa ohjeet saatetaan esimerkiksi tiivistää 15 kohdan huoneentauluksi mutta laittaa jokaiseen kohtaan linkki erilliselle nettisivulle. Liikaa on myös tietoturva-asioissa neuvovia viranomaisia. Hankkeessa tutkitaan mahdollisuuksia hyödyntää mobiililaitteissa olevaa dataa paikallisesti, ilman tukiasemia ja palvelimia. Lyhyesti Miten on. Lue lisää työntekijästä tietoturvariskinä s. Voin vain kuvitella, että niiden läpikäyminen on tosi kuluttavaa alle 100 hengen firmoissa, joissa tietoturvaa tehdään usein oman toimen ohella.” Väitöksesi mukaan työntekijät ovat hyvin tietoisia tietoturvasta. Pk-yritysten näkökulmasta kaikkien ohjeiden huomioiminen ja noudattaminen on hankalaa. Helsingin yliopiston ja Aalto-yliopiston yhteistyöprojektissa kehitellään teknologia-alustaa, jonka luvataan parantavan mobiililaitteiden yksityisyydensuojaa. Uutta teknologiaa kehitetään Suomen Akatemian rahoittamassa tutkimushankkeessa. Tutkimukseni perusteella työntekijöiden tietoisuuteen voidaan vaikuttaa motivaatiotekijöillä.” Tutkimuksessa tarkasteltiin lähemmin yhtä yritystä. Tutkimuksen mukaan ohjeita on vaikeaa hahmottaa. ”Kohdeyritys on hyvin yleistettävissä
tietosuoja 3 • 2015 8
Ennakoinnilla, suunnittelulla ja yhteistyöllä tiedon elinkaari voidaan turvata myös loppupäässä. TEKSTI KIRSI CASTREN KUVAT SHUTTERSTOCK, LEHTIKUVA, KUNTALIITTO, ROVANIEMEN KAUPUNKI 9 tietosuoja 3 • 2015. SÄILÖTÄÄNKÖ TEILLÄ TIETOA turhaan . Laki vaatii huolehtimaan tietojen hävittämisestä ajallaan, mutta useissa organisaatiossa muhii tarpeetonta ja vanhentunutta tietoa mapeissa ja servereillä
Asetukseen ehdotetaan muun muassa sanktioita organisaatioille, jotka eivät käsittele tietoja lainmukaisesti. tietosuoja 3 • 2015 10. Arkistolaitoksen ja tietosuojavaltuutetun toimiston viime talvena toteuttaman selvityksen tulokset yllättivät: Kyselyyn vastanneista kuntien ja valtion laitoksista puolet ei ollut hävittänyt lainkaan tietoja. Lakisääteinen arkistonmuodostussuunnitelma puuttui monesta laitoksesta. ain mukaan viranomaisten asiakirjat, joita arkistolaitos ei ole määrännyt pysyvästi säilytettäviksi, tulee hävittää määräajan jälkeen. Tietosuojalainsäädäntö saattaa tulevaisuudessa edellyttää tilintekovelvollisuusperiaatteen mukaisten menettelyjen käyttöä, kuten tietotilinpäätöksen laatimista. Hän neuvoo määrittelemään henkilötietojen käsittelyn tarkoitukset sekä tietojen säännönmukaiset lähteet ja luovutuskohteet ennen kuin tietoja aletaan kerätä tai muodostaa henkilörekisteriksi. Valtaosa ei ollut hakenut arkistolaitoksen päätöstä siitä, mitkä tiedot tulisi säilyttää pysyvästi. ”Tietojen käsittelyn tulisi olla mahdollisimman hallittua ja ennalta määriteltyä tiedon koko elinkaaren ajan”, painottaa ylitarkastaja Katja Ahola tietosuojavaltuutetun toimistosta. Käsittely elinkaaren mukaan Vanhentuneista asiakirjatiedoista osa on henkilötietoja. ”Näin tietoja ei katoa hallitsemattomasti eikä niitä toisaalta myöskään säilytetä määrittelemättömiä aikoja.” Tiedonkäsittely kuntoon viimeistään nyt Valmisteilla oleva EU:n tietosuoja-asetus tulee asettamaan lisää paineita organisaation tiedonhallinnan kuntoon saattamiselle. Henkilötietolain mukaan vain käsittelyn kannalta tarpeellisia henkilötietoja saa säilyttää. Tietojen asianmukainen hävittäminen sujuvoituu, kun käsittely suunnitellaan etukäteen. TieL Tietotilinpäätös sopii yrityksillekin
totilinpäätös on raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn tilasta. Viranomaisten tietohallintoa tulee ehkä jo lähivuosina yhtenäistämään suunnitteilla oleva tiedonhallinnan yleislaki. ”Tietotilinpäätös on toistaiseksi vielä melko tuntematon mutta jo runsaasti kiinnostusta herättänyt työkalu. ”Rekisterinpitäjän pitäisi huolehtia, että ”Tietojärjestelmät eivät useinkaan täytä sähköisen arkistoinnin vaatimuksia”, sanoo Kuntaliiton kehityspäällikkö Maaret Botska. Se sopii niin julkisten kuin yksityistenkin organisaatioiden tiedonhallintaan”, Ahola sanoo. Tehokas tietohallinto hyödyttää kaikkia Arkistolaitoksen ja tietosuojavaltuutetun toimiston kyselyssä ilmeni, että viranomaiset kaipaavat asiakirjatietojen käsittelyyn ohjausta ja tukea. Sen tavoitteina on ohjata viranomaisia ottamaan huomioon tietoaineistojensa käyttöön liittyvät intressit tiedon koko elinkaaren ajan ja luoda perusta tietoaineistojen pysyvälle säilyttämiselle sähköisesti. ”Organisaation sisälläkään työntekijöitä ei saisi jättää yksin tuskailemaan tiedonhallintakysymyksissä”, Katja Ahola muistuttaa. 11 tietosuoja 3 • 2015
Ahjosta ei vanhentunutta tietoa löydy, sillä se on saanut arkistolaitokselta luvan sähköiseen pysyväissäilytykseen. Lainsäädännön vaatimukset tunnettava Vanhentuneiden tietojen säilyttämistä voidaan Botskan mukaan parhaiten estää ”Tiedonohjaussuunnitelmat ovat monessa kunnassa työn alla”, sanoo Helsingin kaupungin hallintojohtaja Juha Summanen. Niinpä tietoa jää roikkumaan järjestelmiin tarpeettomasti.” Botska harmittelee, ettei selvitystä tehty yhteistyössä Kuntaliiton kanssa, jolloin olisi vältytty hävittämiskäytäntöihin liittyvistä virheellisiltä tulkinnoilta. Samalla otetaan huomioon myös rekisteröityjen oikeudet.” Hävittäminen ei aina onnistu Kyselyn mukaan eniten ongelmia tiedonhallinnossa oli kuntien organisaatioissa. ”Tämä lisää hallinnon tehokkuutta ja rakentaa luottamusta, mikä on kaikkien etu. Tietojen yksittäinen poimiminen tietojärjestelmistä ei aina ole mahdollista.” Arkistolaitos on yhdessä kuntatoimijoiden kanssa laatinut päätökset siitä, mitkä asiakirjat vaativat pysyväissäilytystä. Helsinki näyttää esimerkkiä sähköisessä arkistoinnissa Helsingin kaupungin hallinto on laaja, monitahoinen ja tietointensiivinen. Kysely ei kuitenkaan hänen mielestään kerro koko totuutta: ”Tietojärjestelmät eivät useinkaan täytä sähköisen arkistoinnin vaatimuksia eivätkä taivu riittävän joustavaan hävittämiseen. ”Uskon, että tällöin ei olisi tullut suorastaan pientä skandaalia siitä, että kunnat toimivat tietojen hävittämisen osalta huonosti.” Kuntien laaja-alainen toiminta tuo omat haasteensa. Se sisältää esimerkiksi tehtävien käsittelyprosessien kuvaukset, asiakirjatyypit sekä metatietoina näiden säilytysajat ja julkisuusarvot. ”Ei savua ilman tulta”, kommentoi kehityspäällikkö Maaret Botska Kuntaliitosta. tietosuoja 3 • 2015 12. Botskan mukaan päätökset kaipaisivat päivitystä. henkilötietoja työssään käsitteleviä ohjattaisiin ja koulutettaisiin asianmukaisesti tehtäviensä tasalle.” Tiedonhallinnan saattaminen kuntoon ei kuitenkaan ole organisaation näkökulmasta rasite tai edes pelkkä velvoite vaan hyödyttää organisaatiota itseään, Ahola muistuttaa. Tieto on arvokasta omaisuutta. Sen päätöksentekoon ja käsiteltäviin asioihin voi tutustua sähköisen asianhallintajärjestelmä Ahjon avoimella rajapinnalla. ”Asiakokonaisuuteen kuuluvilla asiakirjoilla saattaa olla eri säilytysaikoja, ja siksi niitä ei välttämättä voida hävittää ennen kuin kokonaisuus on käsitelty loppuun. Ahjolle tehtiin sen ensi vaiheissa tiedonohjaussuunnitelma, mikä sähköisessä maailmassa vastaa arkistonmuodostussuunnitelmaa
”Tiedonohjaussuunnitelmia ei vielä joka kunnassa tehdä, mutta monella taholla ne ovat työn alla”, Summanen tietää Helsingin saamien lukuisten kyselyjen ja neuvonpyyntöjen perusteella. ”Suomi on pieni ja syrjäinen maa, eivätkä ohjelmistojen laatijat ota kansallista, arkistolaitoksen laatimaa SÄHKE2standardiamme huomioon. Niiden säännöllinen päivitys auttaa varmistamaan, ettei organisaatiossa säilytetä tarpeetonta henkilötietoa. tietosuoja 3 • 2015 13. Helsingissä henkilörekisterien selosteet tarkastettiin viimeksi viime vuonna. Suunnittele ensin. Toimittajat karsastavat Suomen standardeja Monessa kunnassa puuttuu arkistonmuodostussuunnitelma etenkin sähköisistä tietojärjestelmistä. 5. ”Ei ole harvinaista, että selosteet pääsevät vuosien varrella joiltakin osin vanhentumaan, koska niiden laatiminen ei ole jatkuvaa työtä”, hallintojohtaja Juha Summanen selittää. Suomi kuitenkin pyrkii saamaan asiaan korjausta.” Rekisteriseloste vanhenee helposti Arkistolaitoksen ja tietosuojavaltuutetun toimiston kyselyssä kiinnitettiin huomiota myös rekisteriselosteisiin. Älä pähkäile yksin. Määritelkää myös, mitä tarkoitusta varten tiedot kerätään, minne niitä aiotaan luovuttaa, miten niitä säilytetään ja milloin ne hävitetään. Pidä rekisteriselosteet ajan tasalla. Suurin osa vastanneista organisaatioista oli huolehtinut selosteidensa ajantasaisuudesta, mutta oli myös rekistereitä, joilta puuttuivat selosteet kokonaan. 3. Suunnitelmaa ollaan paraikaa laajentamassa kaupungin kaikki toimialat kattavaksi, kertoo hallintojohtaja Juha Summanen. Perehdy lainsäädäntöön. Korjauksia tehtiin muun muassa joidenkin tietojen käyttötarkoituksiin. Tietotilinpäätös on tiedonhallinnan työkalu. 4. Ohjeet saat tietosuojavaltuutetun verkkosivuilta. ”Sähköinen arkistointi on kansainvälisesti sangen uutta”, Jääskeläinen selittää. Rakenna toimiva yhteistyö niiden kesken, jotka ovat vastuussa tietojen elinkaaresta: johdon, tietohallinnon ammattilaisten ja järjestelmätoimittajien kanssa – unohtamatta tietoja työssään käsitteleviä. 2. Mieti yhdessä muiden tiedon elinkaaresta vastaavien kanssa, mitä tietoja kerätään ja mitkä niistä ovat henkilötietoja. ”Kunnan sisäisen tarkastuksen tehtäviin kuuluu valvoa hallinnon oikeellisuutta tältäkin osin.” Tieto on arvokasta omaisuutta. 5Viisi vinkkiä 1. Laadi järjestelmän tarjouspyynnöt vasta suunnittelun jälkeen. Helsingin arkistotoimen päällikön Jussi Jääskeläisen mukaan sähköiseen arkistointiin siirtymistä vaikeuttaa kunnissa ennen kaikkea se, ettei tiedonohjausta ole helppo integroida tarjolla oleviin tietokantaja rekisterityyppisiin järjestelmiin. Tietoa ja ohjeita saa esimerkiksi tietosuojavaltuutetun toimistosta, Kuntaliitosta ja VAHTI-työryhmästä
Malli henkilötietojen käsittelyn analysoimiseksi, Laadi tietotilinpäätös, Kunnat ja henkilötietolaki: www.tietosuoja.fi > Materiaalia > Oppaat Kuntaliiton oppaat, mm. Asiakirjahallinto ja asiakirjatiedon turvaaminen muutostilanteissa sekä Kunnallisten asiakirjojen säilytysajat: www.kunnat.net > Tuotteet ja tietopankki > Verkkokauppa VAHTIn ohjeet, mm. aiheesta enemmän Tietosuojavaltuutetun toimiston oppaat, mm. ”Tilanne ei korjaannu, ellei johdon ja tietohallinnon tietämys kohene henkilötietojen käsittelylle asetetuista vaatimuksista ja asiakirjahallinnan säännösten toteuttamisesta käytännössä.” ”Asiakirjahallinnon ammattilaiset yleensä osaavat auttaa näissäkin asioissa – jos heitä vain kuultaisiin.” Johdon tuki tarpeen Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on tehnyt paljon työtä tietoturvallisuuden parantamiseksi niin valtiolla kuin kunnissakin. Jaostoa johtaa Rovaniemen kaupungin tietohallintojohtaja Harri Ihalainen. ”Ne liittyvät teknisiin, inhimillisiin ja johtamisen ongelmiin.” ”On arvioitava ylimmän johdon tietoturvallisuuden johtamista, johon liittyy muun muassa resursointi ja organisaation tahtotila.” Kuntaliiton Maaret Botskan tavoin Ihalainen kääntää katseet kohti tietojärjestelmähankinnoista päättäviä: ”Tieto-omaisuus on julkishallinnon arvokasta omaisuutta, joka on joissakin tapauksissa luovutettu järjestelmätoimittajien liiketoimintavälineeksi”, hän kritisoi. Näin he tietäisivät, mitä ominaisuuksia järjestelmissä on oltava. O ”Tieto-omaisuus luovutetaan joskus järjestelmätoimittajien liiketoimintavälineeksi”, sanoo Rovaniemen kaupungin tietohallintojohtaja Harri Ihalainen. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta 2/2010, Valtion ICT-hankintojen tietoturvaohje 3/2011: www.vahtiohje.fi/ tietosuoja 3 • 2015 14. Botska toivoo, että koulutukseen panostettaisiin enemmän. VAHTIssa toimii nyt kuntien tietoturvajaosto, joka tarjoaa ohjeita tietohallinnon ammattilaisille. Hän sanoo, että arkistolaitoksen ja tietosuojavaltuutetun toimiston kyselyn perusteella julkisen sektorin tietohallinnossa voidaan todeta erityyppisiä puutteita. huolellisella etukäteissuunnittelulla sekä arkistotoimen ja tietohallinnon yhteistyöllä. Tietojärjestelmiä hankkivien ja niitä käyttävien pitäisi tuntea lainsäädännön vaatimukset asiakirjatietojen käsittelylle
TOSin laatimiseen on varattava riittävästi resursseja ja siinä on edettävä suunnitelmallisesti. Miten tiedonohjaussuunnitelma näkyy asiakirjahallinnon arjessa. TOSin hyödyt täytyy tuoda esille konkreettisesti: Lakiin vetoaminen ei riitä, rahalla on suurempi painoarvo. 2. Muistakaa, että tiedonohjaussuunnitelma on joiltakin osin vain viitteellinen ja elää koko ajan: kaikkia tietoja ette saa määriteltyä absoluuttisesti oikein ja lopulliseen muotoonsa. Koordinointi ja kokonaisuuden hallinta kuuluvat asiakirjahallinnolle. Tiedonohjausjärjestelmä on integroitu asianhallintajärjestelmään, jossa TOS ohjaa asiakirjojen elinkaarta: 2. Kysyimme tiedonohjaussuunnitelmia tehneiltä organisaatioilta näkemyksiä ja vinkkejä. Suunnittelija Mirja Nojonen Jyväskylän ammattikorkeakoulu (JAMK) 1. TOSin ylläpito edellyttää käytännössä asiakirjahallinnon ja muiden toimintojen välistä tiivistä ja jatkuvaa yhteistyötä. Tiedonohjaussuunnitelma tuottaa asiakirjatiedon käsittelyn ja hallinnan vaatimat metatiedot automaattisesti. TOS ohjaa tietojen käsittelyä yleensä vain asianja dokumenttienhallintajärjestelmässä. Suunnitelkaa tietojen keräämisja kokoamistavat tarpeidenne, toimintanne ja osaamisenne mukaisesti. 15 tietosuoja 3 • 2015. Puutteet paljastuvat arjessa nopeasti. Prosessien kehittäminen ja turhien työvaiheiden karsiminen kehittävät tiedonohjausta ja digitalisaatiota. Tärkeimmät neuvosi organisaatioille, jotka vasta aloittavat suunnitelman tekoa. NÄITÄ KYSYIMME: 1. Hyödyntäkää yleisiä tehtäväluokituksia ja prosessikuvauksia. Prosessit kannattaa suunnitella suoraan tiedonohjausjärjestelmään. Tiedonhallinnon asiantuntija Jari Määttä Luonnonvarakeskus (Luke) 1. Tärkeintä on, että suunnitelman teolle on johdon tuki. Suunnittelun ja ylläpidon vastuut kuuluvat ”kentälle”. 2. Työ kannattaa aloittaa johdon ja koko henkilöstön sitouttamisesta. 2. JAMKissa TOS on myös osa sähköistä asiointia, jonka avulla sähköiset lomakkeet saadaan osaksi asianhallintaa. TOS vähentää asiakirjahallinnon erillisten ohjeiden laatimista ja mahdollistaa sähköisen arkistoinnin. Sillä on keskeinen merkitys kokonaisarkkitehtuurityössä ja tietoturvavaatimusten täyttämisessä, mutta tätä ei aina hahmoteta. Käyttöönotto vaatii koulutuksia ja erillisohjeita. Salon kaupungilla TOSin tehtäväluokitus on sekä asialuokituskaava että arkistokaava. Asiakirjahallinnon tehtäviä tekevien osaamista kannattaa hyödyntää. Tärkeää on myös muistaa antaa koulutusta ja ”vierihoitoa” työntekijöille. Tiedonhallinta-asiantuntija Anu Johansson Salon kaupunki 1. Gallup TOS on koko organisaation asia Sähköisen arkistoinnin ensimmäisiin askeliin kuuluu tiedonohjaussuunnitelman (TOS) tekeminen
Siinä tietosuoja (ja tietoturva) huomioidaan lähtökohtaisesti jo liiketoimintaprosessien, tietoteknologian sekä sovelluskehityksen suunnittelussa ja toteutuksessa. Jo nyt on varmaa, että asetus tuo rekisterinpitäjille aiempaa enemmän velvoitteita. Tietoturvassa on siirrytty perinteisestä reunasuojauksesta suojaamaan vahvemmin itse kriittistä tietoa. Asiantuntijalta Sisäänrakennettu tietosuoja kilpailuetuna EU:n yleisen tietosuoja-asetuksen valmistelu on tänä kesänä edennyt nk. Sen mukaan ”sisäänrakennetussa tietosuojassa on otettava erityisesti huomioon henkilötietojen elinkaaren hallinta niiden keräämisestä ja käsittelystä poistamiseen saakka, ja siinä on keskityttävä järjestelmällisesti henkilötietojen paikkansapitävyyttä, luottamuksellisuutta, eheyttä, fyysistä turvallisuutta ja poistamista koskeviin kattaviin menettelytakeisiin”. Sisäänrakennetun tietosuojan ajatus kytkeytyy saumattomasti myös tietosuoja-asetuksessa esiteltävään tilivelvollisuuden periaatteeseen. kontrolliympäristön järeydelle. Organisaation käytänteiden ja teknologian suunnittelun tulee perustua riskianalyysiin, joka onkin parRiskianalyysi auttaa mitoittamaan tietosuojan oikein. TEKSTI MIKKO VIEMERÖ haita työkaluja mitoittaa sisään rakennettava tietosuoja oikein. Näin vaatimuksessa viitataan vahvasti myös perinteisiin tietoturvan elementteihin. Samalla myös sisäänrakennettua tietosuojaa voidaan toteuttaa paremmin. Laajemmin sillä tarkoitetaan organisaation halukkuutta ja kykyä huolehtia tietosuojasta ennakoivasti ja kokonaisvaltaisesti, eri toiminnoissa ja koko henkilötiedon elinkaaren ajan. Sen mukaan henkilötietoja käsittelevän organisaation johdon tulee suunnitelmallisesti ja ennakoiden huolehtia aktiivisesta tietosuojavelvoitteiden hoidosta. Jotain uutta, jotain vanhaa Sisäänrakennetun tietosuojan vaatimus on kirjattu tietosuoja-asetusluonnoksen 23 artiklaan. Vaadittaessa sen pitää kyetä todentamaan toimenpiteiden lainmukaisuus esimerkiksi ISAE 3000 -varmennuslausunnolla. 16 tietosuoja 3 • 2015. trilogi-neuvotteluihin, joissa sovitetaan yhteen komission, EU:n neuvoston sekä Euroopan parlamentin kannat. Käsiteltävien henkilötietojen arkaluonteisuus ja ympäröivät riskit antavat suuntaviivat nk. Yksi niistä on sisäänrakennetun ja oletusarvoisen tietosuojan vaatimus. Jotta tietosuoja voidaan huomioida toimintamallien ja teknologian suunnittelussa, tulee organisaatiolla kuitenkin olla riittävä kokonaiskuva henkilötietojen ja -rekisterien tyypeistä, määristä ja fyysisestä sijainnista, tiedon omistajuudesta sekä tietovirroista. Organisaatioilla on myös suotavaa olla tietosuojavastaava, jonka tehtävänä on valvoa tietosuojan tilaa ja kontrollien toiSisäänrakennettu tietosuoja (Privacy by Design) on Kanadan Ontarion provinssin silloisen tietosuojavaltuutetun Ann Cavoukianin 1990-luvulla käsitteellistämä toimintamalli
O 17 tietosuoja 3 • 2015. Tiedon suojaaminen koko elinkaaren ajan 6. Samalla harjoitetaan laadukasta riskienhallintaa ja toimitaan vastuullisesti sekä organisaation että rekisteröityjen näkökulmista. Tietokantojen lisäksi henkilötietoja sijaitsee paljon strukturoimattomina tiedostoissa käyttäjien kovalevyillä, verkkolevyillä sekä sähköisissä työtiloissa. Ennakointi tulee halvemmaksi Tietosuoja-asetuksen vaatimukset edellyttävät organisaatiolta muutoksia paitsi toimintamalleihin, myös ajattelutapaan. Ennakoivasti toteutettuna tietosuoja ei ole kuluerä vaan kilpailuetu ja kustannussäästö – erilaiset tutkimukset arvioivat tietosuojan ja tietoturvan jälkikäteisen korjaamisen hinnan jopa monikymmenkertaiseksi ennakoivaan suunnitteluun verrattuna. Sama koskee tietojen salausta. Läpinäkyvyys ja avoimuus 7. Järeimmät keinot saattavat vaatia jopa muutoksia liiketoimintamalleihin, kun taas yksinkertaisimmillaan kyse voi olla esimerkiksi nettiselaimen ominaisuuksista, jotka lisäävät käyttäjien yksityisyydensuojaa. Tietosuojan huomioivat oletusasetukset (Privacy by Default) 3. Näissä tilanteissa rekisterinpitäjän tulee tietää, mihin tietoon ulkoistuskumppanin käyttäjillä on pääsy ja varmistaa, että kumppanin pääsy tietoihin on lainmukaista. Tietosuojan suunnittelun käyttäjäkeskeisyys Lähde: www.privacybydesign.ca/ Käyttövaltuudet liittyvät myös tietosuojan kannalta kriittisiin liiketoimintaprosessien ulkoistuksiin esimerkiksi EU:n ulkopuolelle. Mikko Viemerö on tietosuoja-asiantuntija KPMG:n tietoturvapalveluissa. Näin pystytään suojaamaan tiedostoissa piileviä henkilötietoja tehokkaammin kuin perinteisillä käyttövaltuuksilla. Tietosuojan oleellisimpia elementtejä on se, ettei kerätä muita kuin käytön kannalta tarpeellisia henkilötietoja ja että vanhentuneet tiedot tuhotaan asianmukaisesti. Tietoihin pitää edelleen soveltaa henkilötietolainsäädäntöä, mutta pseudonymisointi lisää turvallisuutta esimerkiksi tietomurroissa tai tietojenkäsittelyn ulkoistuksissa. Näiden tiedostojen leviämistä ja käyttöoikeuksia voidaan hallita kehittyneemmillä asiakirjahallintajärjestelmillä. Keinovalikoimaan kuuluu esimerkiksi tiedon pseudonymisointi, jolla pyritään siihen, ettei ulkopuolinen pysty yhdistämään tietoa johonkin tiettyyn ihmiseen. mivuutta sekä raportoida niistä suoraan johdolle. Tietosuoja integroitu osaksi suunnittelua ja mallinnusta 4. Tiedostoihin liitetyt metatiedot voivat esimerkiksi ohjata sitä, kuka asiakirjan voi avata tai muokata, kenelle sen voi lähettää tai kuinka kauan se on voimassa ennen arkistointia. Säästöä kertyy myös pienenevinä compliance-kustannuksina. Suunnitteluvaiheessa onkin hyvä analysoida, mitä henkilötietoja tarvitaan vai tarvitaanko niitä lainkaan. Monella rekisterinpitäjillä saattaa olla massoittain tarpeettomiksi käyneitä henkilötietoja, jotka silti olemassaolollaan aiheuttavat riskin. Sen sijaan jos tietomassa voidaan anonymisoida tehokkaasti ilman liiketaloudellisia vaikutuksia, tietoihin ei enää tarvitse soveltaa henkilötietolainsäädäntöä. Ennakoiva, ei reaktiivinen toimintatapa 2. Täydet toiminnallisuudet – parempi lopputulos kaikille, ei nollasummapeliä 5. Laaja keinovalikoima Sisäänrakennetun tietosuojan konkreettinen keinovalikoima (Privacy Enhancing Techonologies, PET) on moninainen ja kypsyystasoltaan vaihteleva. Sisäänrakennetun tietosuojan 7 periaatetta 1
Muita käyttötarkoituksia ovat verovalvonta, verojen ja maksujen kanto, perintä ja tilitys sekä veronsaajien oikeudenvalvonta. TEKSTI PÄIVI MÄNNIKKÖ Verotuksen tietojärjestelmä koostuu 25 osarekisteristä, joihin kerätään ja joissa käsitellään henkilötietoja verotuksen toimittamista varten. Rekisteröi tämä Verottajan kirjoissa ja kansissa Verohallinto ylläpitää muhkeankokoista tietojärjestelmää, jonne on tallennettuina lähes 5,1 miljoonan henkilöasiakkaan tiedot. Julkisiin tuloverotietoihin ei enää kuulu verovelvollisen kotikunta vaan se maakunta, jossa kunta sijaitsee. Lisäksi Tuloverotuksen kotikunta on salainen tieto Verotustiedot ovat pääsääntöisesti salassa pidettäviä. ”Käytönvalvontaa tehdään sekä säännöllisesti että pyynnöstä”, Hynynen kertoo. Verotuksen tietojärjestelmä sisältää myös henkilötietolaissa tarkoitettuja arkaluonteisia tietoja. Verotustietoja luovutetaan laissa säädettyihin käyttötarkoituksiin muille viranomaisille, kuten Kelalle, poliisille ja ulosottoviranomaisille. O yksittäistapauksissa voidaan tallentaa tietoja sosiaalietuuksista ja rikoksista. Julkisia ovat ainoastaan laissa erikseen luetellut asiakirjat ja rekisterit. Niitä ovat invaliditeettiprosenttia, kirkkokuntaa ja ammattiyhdistyksen jäsenmaksuja koskevat tiedot. Henkilötietolain mukaista omien tietojen tarkastuspyyntöä ei vielä tällä hetkellä voi tehdä sähköisesti, Helena Hynynen kertoo. Asiakastietokanta sisältää henkilöasiakkaista perustiedot, kuten nimen, henkilötunnuksen ja osoitteen sekä tiedot perhesuhteista. Tietojärjestelmän osarekistereitä ovat esimerkiksi asiakastietokanta ja verotietokanta. ”Pyynnön voi tehdä missä tahansa Verohallinnon toimistossa tai lähettää postissa.” Vuodessa verotoimistoihin tulee noin 10–20 tarkastuspyyntöä. Verohallinnon mukaan tietojärjestelmän tietoturvasta huolehditaan kulunvalvonnalla, henkilökohtaisilla käyttäjätunnuksilla ja käyttöoikeuksien rajauksilla. Verotusasiakirjat ovat verotoimistossa. Henkilöasiakkaiden tietoja säilytetään seitsemän vuotta. Niitä voidaan myös luovuttaa Verohallinnon luvalla tieteellistä tutkimusta, tilastointia ja viranomaisten selvityksiä varten. Säännöllistä käytönvalvontaa Tiedot rekistereihin saadaan paitsi verovelvollisilta itseltään, muista viranomaisrekistereistä sekä tiedonantovelvollisilta, kuten työnantajilta, pankeilta ja eläkelaitoksilta. Niistä tunnetuin esimerkki on vuosittain toimitetun tuloverotuksen julkiset tiedot. ”Asiakastietokannassa säilytetään pysyvästi ajallinen poikkileikkaus vuoden viimeisen päivän rekisteritiedoista”, sanoo johtava asiantuntija Helena Hynynen. EU:n ja Euroopan talousalueen ulkopuolelle tietoja siirretään verosopimusten nojalla. 18 tietosuoja 3 • 2015. Tietojen katselu ja muuttaminen kirjataan lokiin. Jokaisella on oikeus saada asianosaisena tieto omaa verotustaan koskevista asiakirjoista
Työnantajan tulee huolellisesti harkita, onko joidenkin työntekijöiden tiedot ja kuvat tarpeen julkaista verkkosivuilla. Nimikirjalain mukaan ”tiedot virkamiehelle, virantai toimenhaltijalle ja työntekijälle henkilökohtaisen suorituksen perusteella tai muutoin henkilökohtaisesti määräytyneestä palkan osasta, sijoituspalkkausluokasta tai vaativuusryhmää vastaavasta palkasta taikka muusta mahdollisesta palkkauksen osasta sekä palkan kokonaismäärästä ovat julkisia” . SAAKO TYÖNTEKIJÄ KIELTÄYTYÄ VALOKUVANSA ja yhteystietojensa julkaisemisesta työnantajan nettisivuilla. Vaikka suostumusta julkaisemiseen ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heitä koskevia tietoja julkaistaan netissä. Kun viranomaiselta pyydetään tietoja kyseisessä viranomaisessa työskentelevistä henkilöistä, henkilötietojen luovuttamiseen sovelletaan julkisuuslakia. Omien merkkipäivien julkistaminen liittyy henkilön itsensä päätettäviin asioihin. Tarvittaessa tietojen julkaisu pitää perustella niin työntekijöille kuin tietosuojavaltuutetullekin. Perusteettomasti tietoja ei tule viedä verkkoon. Kysymyksiin vastasivat tietopalvelusihteerit Hanna Pentti ja Emmi Salonen tietosuojavaltuutetun toimistosta. Onko tietosuojalain vastaista onnitella työntekijöitä syntymäpäivän johdosta tällaisella talon sisäisellä taululla. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi TEHTAAMME TILOISSA ON SÄHKÖISIÄ INFOTAULUJA henkilökunnan nähtäväksi. Tietojen julkaiseminen voi olla mahdollista esimerkiksi silloin, kun työntekijän velvollisuuksiin kuuluu olla tunnistettavissa ja saavutettavissa ammattinimike-, työyhteystietojen sekä kuvan perusteella. Tietosuojavaltuutettu on aiemmassa kannanotossaan todennut, että henkilön merkkipäivän (syntymäpäivän) ilmaiseminen työpaikalla on sellainen työntekijää koskeva henkilötieto, johon tarvitaan pääsääntöisesti työntekijän suostumus. Työntekijän tietoja voidaan julkaista työnantajan kotisivuilla ilman työntekijän suostumusta, jos julkaiseminen on asiallisesti perusteltua ja tarpeellista työnantajan toiminnan kannalta. Henkilötietojen julkaiseminen netissä tulee käydä läpi työpaikan yhteistoimintamenettelyissä. Voidaanko tiedot silti julkaista. Lisätietoa on tietosuojavaltuutetun toimiston oppaassa Henkilötietojen luovuttaminen viranomaisten henkilörekistereistä : www.tietosuoja.fi > Materiaalia > Oppaat. 19 tietosuoja 3 • 2015. . OVATKO TIEDOT SIITÄ, KEITÄ ON TÖISSÄ kunnan tai valtion virastossa ja heidän palkkatietonsa henkilötietoja vai pitääkö ne luovuttaa kenelle tahansa niitä tiedustelevalle. Kysy meiltä Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Tietosuojavaltuutettu ei valvo julkisuuslain tai nimikirjalain soveltamista
TEKSTI PÄIVI MÄNNIKKÖ KUVAT OLLI HÄKÄMIES mutkikkaita aikoja Vanhan panimon tilat sijaitsevat eteläisen Helsingin ytimessä. Vuonna 2015 kulutustuotteet tehdään muissa maissa, ja tiedosta toivotaan talouskasvun veturia. Markkinoija elää ”Maailma oli vielä 15 vuotta sitten tavattoman paljon yksinkertaisempi”, sanoo Suomen Asiakkuusmarkkinointiliiton toimitusjohtaja Jari Perko. Panimon tiloissa toimii nyt pieniä luovan 20 tietosuoja 3 • 2015. Rakennusten valmistumisvuonna 1885 teollistuminen kulutustavaroiden valmistaminen eli kasvukauttaan. Hän kaipaa digitaaliseen toimintaympäristöön enemmän analyysiä ja vähemmän äkkinäisiä johtopäätöksiä