Tietosuoja 4/2014 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 4 • 2014 15€ Omavalvonta tulee terveydenhuoltoon PALOMUURI EI RIITÄ ETÄTYÖSSÄ MIRJAMI LAITINEN: Tietosuoja ei ole Henkilötiedot liitävät pian taivaalla DIGITALISOINNIN este
OLLI HÄKÄMIES 4 • 2014 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on. 8 Verkkopalveluissa vastuuta ei voi ulkoistaa 15 Kolumni 16 Asiantuntijalta Lentävä rekisteri Laura Tarhonen ja Piia Nyström 18 Rekisteröi tämä Kolmen miljoonan rekisteri 19 Kysy meiltä 20 Mirjami Laitinen: Sähköisen asioinnin puolestapuhuja 20 ”Ajattele, kuinka monta kertaa samaa tietoa on käsitelty ja tallennettu moneen eri paikkaan!” Tietoturvan ja tietosuojan erikoislehti Joulukuu 2014 Julkaisijat Patentti- ja rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto 24 Lait ja säädökset 26 Omavalvontasuunnitelma on tietosuojan työkalu 30 Suomalainen erikoisuus pitää pintansa Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patentti- ja rekisterihallitus, anna.lauttamus-kauppila@prh.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi KANNEN KUVA OLLI HÄKÄMIES 2. tietosuoja 4 • 2014
0400 435 636 anne.paavilainen@stellatum.fi 26. tietosuoja-lehti.fi 36 32 Turvallisen etätyön resepti 35 Gallup Etätyöstä sovitaan aina työnantajan kanssa 36 Varma salaus, epävarma ihminen 39 Näkökulma Veikö varas identiteetin. 40 Stadi säästää Ahjolla 43 Hakukoneyhtiöt paljon vartioina 44 Ilmiö numeroina SHUTTERSTOCK 45 Selailtua 46 Verkkolehdessä ja seuraavassa numerossa Toimituskunta Eija Alavesa ja Erka Koivunen ja Nelli-Maija Melin, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patentti- ja rekisterihallitus sekä toimituspäälliköt Kustantaja Stellatum Oy PL 20 00381 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy LIINPAIN PA RAARLAI A UT UT 441441 209209 Painotuote Painotuote E UOT OT OTE U OT Toimitusneuvosto puheenjohtaja, Reijo Aarnio, tietosuojavaltuutetun toimisto Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Kimmo Rousku, Valtori Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt OLLI HÄKÄMIES ”On huono tilanne, jos kansalaiset ja elinkeinoelämä eivät saa vastauksia ongelmiinsa.” HIILIN E HIILIN E 30 ClimateCalc ClimateCalc CC-000025/FI CC-000025/FI HÄMEEN HÄMEEN KIRJAPAINO KIRJAPAINO OYOY tietosuoja 4 • 2014 3
Jouko Koitto jaostopäällikkö Patentti- ja rekisterihallituksen yritys- ja yhteisölinja 4. Nyt 2010-luvulla ajantasaisen tiedon saaminen elinkeinonharjoittajista on entistä tärkeämpää, ja sähköiset välineet ja rekisterit tarjoavat siihen hyvät mahdollisuudet. Yrityksen tietoja saatetaan muuttaa laittomilla keinoilla, ja yritystä voidaan sen jälkeen käyttää talousrikosten välineenä. Vanhentuneet yhteystiedot voivat johtaa siihen, että yritykselle tarkoitetut yhteydenotot eivät koskaan tavoita elinkeinonharjoittajaa, jos lähettäjä ei enää ota osoitetietoja omasta asiakasrekisteristään. Tarkemmat tiedot löytyvät kaupparekisteristä. Syyskuusta lähtien myös kaupparekisteriin merkittyjen osakeyhtiöiden ja asunto-osakeyhtiöiden vastuuhenkilöiden muutokset on voinut tehdä sähköisesti. Hyvin pitkään muuttumattomina olleet tiedot saattavat antaa aiheen olettaa, että yritys ei tosiasiassa harjoita elinkeinotoimintaa. Sähköisten palvelujen käyttö on paperi-ilmoitusta turvallisempaa, koska sähköisen ilmoituksen allekirjoittaja tunnistetaan luotettavasti; palvelu edellyttää käyttäjältä suomalaista henkilötunnusta ja henkilökohtaista verkkopankkitunnusta tai sirullista henkilökorttia. Nekin ovat saatavissa maksua vastaan kellonajasta riippumatta joko Patentti- ja rekisterihallituksen tai yhteistyökumppaneiden palveluista. tietosuoja 4 • 2014. Sähköisessä palvelussa henkilön oikeus ilmoituksen tekemiseen tarkistetaan reaaliaikaisesti, koska yritys- ja yhteisötietolain mukaan muutosilmoituksen allekirjoittajana voi olla vain tietyssä asemassa yrityksessä oleva henkilö. He tekivät senaatille aloitteen, joka johti kaupparekisterin perustamiseen 1896. Pääkirjoitus 4 • 2014 Ajantasainen tieto vähentää väärinkäytösten riskiä E Yritysten tiedoissa tapahtuneiden muutosten ilmoittamiseen on käytettävissä entistä paremmin myös sähköisiä palveluja. MIRJA LEHIKOINEN linkeinoelämässä toimivat tarvitsevat ajantasaisia tietoja toisistaan. Rekisteritietojen ajantasaisuus on kaikkien etu. Yhteystietojen muutokset on voinut ilmoittaa sähköisesti vuodesta 2009 alkaen, ja nyt jo yli 65 prosenttia yhteystietomuutoksista ilmoitetaan sähköisesti. Ne päivittyvät välittömästi yritys- ja yhteisötietorekisteriin. Rekisteritietojen ajantasaisuus on kaikkien etu. Yritys- ja yhteisötunnusrekisteriin merkityt yrityksen perustiedot ovat kaikkien käytössä maksutta sähköisessä tietopalvelussa (www.ytj.fi). Samalla on tullut entistä välttämättömämmäksi tarjota palveluja, joilla muuttuneet tiedot saadaan nopeasti kaikkien käyttöön. Henkilö voi ilmoittaa myös itse eroamisensa jostakin tehtävästä sähköisesti, jolloin hän voi itse saada muuttuneen tiedon nopeasti rekisteriin, eikä yhtiön mahdollinen viivyttely aiheuta hänelle hankaluuksia. Tämän totesivat jo kauppiaskokouksen osallistujat Turussa 1884
5. Tiedot pitäisi otossa. Esimerkiksi kehonsa suorituskyvystä voi Kannanotossa korostetaan, että käyt- kerätä tietoa älykellon avulla tai saunan täjällä on oltava mahdollisuudet päättää panna päälle internetin välityksellä. Käyttäjä saa Euroopan tietosuojaviranomaisten kannan- myös perua suostumuksen. Laitteeseen mitkä kaikki tahot käsittelevät hänen tie- kertyvä raakadata pitäisi yhdistellä ja jalos- tojaan. Raaka- olla mukavaa saada dataa päivän fyysisen data tulisi tuhota heti, kun sitä ei enää tar- rasituksen määrästä, mutta hän ei ehkä vita. usein jalostaa ja yhdistellä siten, että niiden Tietosuojaviranomaiset neuvovat val- perusteella voidaan tehdä päätelmiä hen- mistajia rakentamaan laitteisiin varoitus- kilön ominaisuuksista, käyttäytymisestä toimintoja, jotka aktivoituvat, kun laitteen ja sijainnista. Esinei- omien tietojensa käytöstä koko älylaitteen den internetissä on valtavasti bisnesmah- elinkaaren ajan. tietosuoja 4 • 2014 Viestintäviraston Kyberturvallisuuskeskus on julkaissut ohjeen YKSITYI- SYYDENSUOJASTA INTERNETPALVELUJEN SOPIMUKSISSA. Käyttäjä ei aina edes tiedä, sensorit alkavat kerätä dataa. SHUTTERSTOCK Lyhyesti Tietosuoja on somessa, ole sinäkin! Twitter: @Tietosuoja Facebook: www.facebook.com/ Tietosuoja Kellosi tietää rasvaprosenttisi Useat kulutustavarat keräävät sensoreilla haluaisi, että datan pohjalta jalostettu arvio ympäristöstään tietoa ja ovat yhteydessä hänen kunnostaan olisi netissä tai kulkeu- internetiin ja muihin viestintäverkkoihin. tallentaa siten, että käyttäjä voisi halutes- Älylaitteiden keräämiä tietoja voidaan saan siirtää ne toiseen laitteeseen. Häntä on informoitava dollisuuksia mutta myös käyttäjiä koske- henkilötietojen käsittelystä ja häneltä on via tietoturva- ja tietosuojauhkia, todetaan pyydettävä siihen suostumus. tuisi vakuutusyhtiölle. Esimerkiksi älykellon käyttäjästä voi taa ennen sen siirtämistä laitteesta. Ohjeessa kerrotaan, miten verkkopalvelusopimus syntyy ja millaiset sopimusehdot vaikuttavat käyttäjän yksityisyyteen
tietosuoja 4 • 2014. Oy, joka voi nyt tehdä virallisia kansalli- Hyväksyntä perustuu lakiin tietoturval- seen turvallisuusauditoinnin KATAKRI- lisuuden arviointilaitoksista. Valtakunnansyyttäjänviraston mukaan vastuullisten selvittäminen oli poikkeuksellisen hankalaa muun muassa valvontaohjeiden puutteellisuuden takia. sertifioinnit ja VAHTI-toimitilaturvallisuus- Hyväksynnän sai KPMG IT Sertifiointi arvioinnit. Lyhyesti ENSIMMÄINEN ARVIOINTILAITOS HYVÄKSYTTY Viestintäviraston Kyberturvallisuuskes- tavoitteena on täydentää pätevyysaluetta kus hyväksyi lokakuussa Suomen ensim- kattamaan tietoturvallisuuden hallintajär- mäisen tietoturvallisuuden arviointilai- jestelmien standardin (ISO 27001) mukaiset toksen. Käräjäoikeus pui epäiltyjen rekisteriä Poliisin epäiltyjen rekisterin ylläpitoon liittyvien epäselvyyksien käsittely jatkuu Helsingin käräjäoikeudessa. Buttarelli on nykyinen Euroopan apulaistietosuojavaltuutettu ja Wiewiórowski Puolan tietosuojavaltuutettu. Rekisteriin on tallennettu myös sellaisten henkilöiden nimiä ja puhelinnumeroita, joiden ei ole epäilty syyllistyvän tai myötävaikuttavan rikoksiin. Syytteen saaneista yksi on Poliisihallituksen virkamies ja kaksi Keskusrikospoliisin päällystöön kuuluvaa poliisimiestä. Parlamentin kansalaisoikeuksien valiokunnan äänestyksessä lokakuussa Buttarelli ja Wiewiórowski saivat ehdokkaista eniten ääniä. Apulaisvaltakunnansyyttäjä Jorma Kalske nosti lokakuussa syytteet kolmea henkilöä vastaan tuottamuksellisesta virkavelvollisuuden laiminlyönnistä. 6. Laiminlyönnit liittyvät rekisterin tietosisällön valvontaan. mintaa. Yrityksen pä- toturvallisuuden arvioinnissa ainoastaan tevyysalue kattaa tietojen rajoitettua käyt- Viestintäviraston tai sen hyväksymän tie- töä koskevan suojaustason IV mukaiset toturvallisuuden arviointilaitoksen palve- arvioinnit. Viestintävirasto hyväksyy arviointi- Hyväksyntä on voimassa helmikuu- ANTERO AALTONEN hun 2015 asti, johon mennessä yrityksen laitokset sekä ohjaa ja valvoo niiden toi- EUROOPAN UUDEKSI TIETOSUOJAVALTUUTETUKSI on nimitetty Giovanni Buttarelli ja apulaistietosuojavaltuutetuksi Wojciech Wiewiórowski. Valtionhallin- kriteeristöön ja valtionhallinnon tietotur- non viranomaiset voivat kesäkuusta 2015 vaohjeen VAHTI-kriteeristöön perustuvia alkaen käyttää tietojärjestelmiensä tie- tietoturvallisuusarviointeja. luja
Lyhyesti Sormenjäljet myös henkilökortteihin Sisäministeriö on asettanut työryhmän selvittämään henkilökorttilainsäädännön muutostarpeita, muun muassa sormenjälkitietojen tallentamista henkilökorttiin. Näin ollen passien ja henkilökorttien turvatekijöiden tulisi olla samankaltaiset soveltuvin osin. Pankin on rahanpesulain 20 §:n nojalla silti selvitettävä, onko asiakas, tietosuoja 4 • 2014 hänen perheenjäsenensä tai läheinen yhtiökumppaninsa viimeisen vuoden aikana toiminut toisessa valtiossa merkittävässä poliittisessa tehtävässä.” Mistä tietää, kysyykö pankki rahanpesulain takia vai muusta syystä. ”Rahanpesulaki asettaa pankeille velvollisuuden tuntea asiakkaansa. Asettamispäätöksessä hanketta perustellaan sillä, että myös henkilökortteja käytetään matkustusasiakirjoina. Henkilöllisyyden varmistamisen ohella tämä tarkoittaa tietojen hankkimista mm. Miksi pankkiasiakkaalta kysytään henkilötietoja. ”Tätä laki ei tyhjentävästi määrittele. Millaisia tietoja pankki saa kysyä. Keskeistä on, että pankin on tunnettava asiakkaansa niin hyvin, että se pystyy ehkäisemään asiakkaan normaalista palvelujen käytöstä poikkeavat tai muusta syystä epäilyttävät tapahtumat.” ”Ajokortin tiedot ovat tarpeen, jotta jälkeenpäin voidaan selvittää, mihin asiakirjaan henkilöllisyyden todentaminen on perustunut. Miten on. Puolueen jäsenyydestäkin kysyttiin. asiakkaan taustoista, toiminnasta ja palvelujen käytöstä. ”Suuntaa antaa rahanpesulain 10 §, jossa luetellut tiedot pankin on säilytettävä asiakassuhteen ajan. Nykyinen rahanpesulaki tuli voimaan vuonna 2008”, sanoo johtava asiantuntija Mika Linna Finanssialan keskusliitosta. Työryhmän toimikausi päättyy kesäkuussa 2015. Lain 23 §:n nojalla ilmoitusvelvollisuuden suorittamiseksi hankitut tiedot on pidettävä erillään asiakasrekisteristä, eli niiden käyttäminen markkinointiin on kiellettyä.” ”Muilta osin tietojen hankkimista ohjaa tarkoitussidonnaisuus: kysyttävien tietojen tulee olla tarpeellisia rahanpesun tai terrorismin rahoituksen torjunnan kannalta.” 7. Pankin kanssa yrityksensä asioita puhelimessa hoitanut yllättyi, kun häneltä kysyttiin ensimmäiseksi ajokortin numeroa. Sen sijaan puoluekannan selvittely ei ole tarpeen eikä sallittuakaan
tietosuoja 4 • 2014. VASTUUTA 8
Vetää syvään henkeä ja kahlata läpi ohjeita, lakeja ja asetuksia. Asiat on selvitettävä ihan itse. TEKSTI RIITTAMAIJA STÅHLE KUVAT SHUTTERSTOCK, SARI SNÄLL/VIESTINTÄVIRASTO, DANSKE BANK, KULUTTAJALIITTO tietosuoja 4 • 2014 9. ei voi ulkoistaa Kun päässä pyörii miljoona villiä ideaa sähköisen palvelun perustamisesta, kannattaa ottaa aikalisä
10. tietosuoja 4 • 2014
jotta asiakkaalle voidaan lähettää tekstietosuoja 4 • 2014 Uudella yrittäjällä rahoitus on usein epä- Turvallisen palvelun rakentaminen vaatii 11. Pal- hyvä joskus miettiä, miksi tiettyjä tietoja velu voidaan hankkia joko Suomesta tai kysytään. Jarkko Saarimäki. ”Esimerkiksi henkilötietolaista tuleva velvoite suojata henkilötiedot kohdistuu lähes kaikkiin palveluihin.” varmaa, joten palvelu teetetään siellä, mistä ”Sähköisen palvelun käyttäjän taas on sen halvimmalla saa tai se tehdään itse. ”Kaikki asiat on arvioitava omaan palveluun kohdistuvien riskien näkökulmasta, sillä yleistä, kaikkiin palveluihin soveltuvaa ohjetta ei ole olemassakaan.” Palvelua toteutettaessa on huomioitava myös lainsäädännön sille asettamat velvoitteet, kuten asiakastietojen käsittelyssä nou- Huolellinen ylläpito takaa laadun. liikeidean keksineen ydinbisnestä ei useim- ”Palvelun perustajan pitää viedä standar- miten ole erilaisten alustojen tietoturvaomi- dit käytännön tasolle”, sanoo Viestintäviras- naisuuksien tunteminen ja kauppapaikan ton Turvallisuussääntely-ryhmän päällikkö tekninen perustaminen nettiin. Esi- luotettavuus kilpailevat keskenään”, sanoo merkiksi puhelinnumeroa saatetaan kysyä, Saarimäki. datettava henkilötietolaki. Turvallisuus on huomioitava niin palvelua perustettaessa kuin sitä ylläpidettäessäkin, muistuttavat päällikkö Jarkko Saarimäki ja lakimies Eija Alavesa Viestintävirastosta. Hyvän sähköisen pimein. Yrittäjän tueksi tar- Sähköistä palvelua perustettaessa vaakaku- jolla on kuitenkin erilai- pissa painavat toiminnan turvallinen järjes- sia standardeja ja parhaita käytäntöjä pilvin täminen ja houkuttavuus. Joskus käytettävyys ja suuskeskuksen lakimies Eija Alavesa. köisen palvelun perustamiseen ei ole olemas- Etsi luotettava kumppani sa. V almista sabluunaa tur- tiviesti silloin, kun verkkokaupasta tehty vallisen ja hyvän säh- tilaus on noudettavissa. Hyvä sähköisen palvelun tarjoaja kansainväliseltä palveluntarjoajalta. selvittää tämän asiakkaille kysymättäkin”, ”Palveluntarjoajien joukkoon mahtuu täydentää Viestintäviraston Kyberturvalli- monenlaisia yrittäjiä
kiteyttää monimutkaista lakitekstiä. Asetelmat olivat mutta oman työn osuus on silti suurin. ”Palveluun kohdistuvat riskit on kartoi12. turvallisuutta niin sähköistä palvelua perus- tyjen oikeudet toteutuvat. on huomioitava. Sanoma on Palveluntarjoajan pitää varmistaa palvelui- toimenpiteitä sekä ikuisesti jatkuvaa uusien selkeä: suunnittele ja määrittele. Liiketoiminta on Karppisen mukaan aina riskinottamista. Sekä Alavesa että Saarimäki korostavat perusjuridiikaksi, jolla taataan henkilötietojen käsittelyn perustaso. ”Palvelun teknisen toteuttamisen voi Perustettaessa kuntoon laitettu sähköinen Tietosuojavaltuutetun toimisto on järjes- ostaa ulkoa, mutta vastuuta ei voi ulkoistaa. Viisi vinkkiä 1. Kartoita palveluun kohdistuvat riskit 2. Selvitä turvavaatimukset 3. Säilytä tiedot oikein ja luottamuksellisina 4. Huomioi tietosuoja 5. Ylläpidä palvelun tasoa jatkuvasti ja järjestelmien käytettävyys. Lisäksi palvelun käytöstä aivan toiset kuin nyt”, Karppinen selvittää. noarvo. Henkilötietolain lisäksi tulee noudattaa uudempia toimialatai toimintakohtaisia erityissäädöksiä. Tietoturva ja tietosuoja heittävät kansalais- Siinä tulee mitatuksi myös tietosuojan pai- ten ajatuksissa joskus iloista kuperkeikkaa. Täysin turvallista palvelua ei ole olemassa. Kannattaa tehdä omia selvityksiä ja kysyä neuvoja asiasta enemmän on jäätävä riittävät jäljet – lokitiedot – jälkikäteen tapahtuvaa selvittämistä varten.” Tietoturvallisuus on prosessi, ei projekti. tamuksellisten tietojen tunnistamisesta ja suojaamisesta”, Saarimäki sanoo. Laki määrittelee ne ehdot, joiden mukaan henkilötietoja voidaan käsitellä niin, että palveluun rekisteröi- Prosessi, ei projekti Yrittäjän pitäisi jo suunnitteluvaiheessa Henkilötietolakia Karppinen luonnehtii Tietoturvan on säilyttävä laitteesta riippumatta. ”Luotettavan kumppanin valintaa ei voi liikaa painottaa. 5 ”Mobiili on pankkialalla suurin murros pitkään aikaan”, sanoo Danske Bankin viestintäpäällikkö Teppo Havo. den käytön turvallisuus ja huolehtia luot- riskien tunnistamista. Rekisterinpitäjän on estettävä henkilötietojen joutuminen vääriin käsiin”, Karppinen tettaessa kuin sitä ylläpidettäessä. ”Tietosuojan toteuttaminen edellyttää hyvää tietoturvaa”, sanoo tietosuojavaltuutetun toimiston IT-erityisasiantuntija Lauri Karppinen. Viranomaisilta saa ohjeita, sina ja oikeina sekä tietosuojanäkökohdat vat vielä lähtökiidossa. ”Asiakas on pidettävä ajan tasalla. ”Tietoturvan pitää olla asianmukaisella tasolla, mutta liioitella ei tarvitse”, sanoo Eija Alavesa. palvelu vaatii jatkuvaa ylläpitoa, jatkuvia tänyt kampanjoita pk-yrittäjille. Tietoturvalla tarkoitetaan niitä hallinnol- ”Jos joku menee pieleen, asiakkaille pitää lisia ja teknisiä toimenpiteitä, joilla varmis- viestiä nopeasti. miettiä, mikä on riittävän korkea tietoturvan taso juuri hänen palvelulleen. Käsitteet hukassa Tavoitteet ovat selkeät, mutta kaikki ei aina suju kuin Strömsössä. paljon perehtymistä. Jarkko Saarimäki listaa kuitenkin asioita, joita sähköisen palvelun tietoturvallisuuden kannalta on otettava huomioon. Salailu ei tässä asiassa pit- tetaan tietojen luottamuksellisuus, eheys källe kanna.” O tietosuoja 4 • 2014. Liiketoiminnan aloitta- tettava, ulkoiset turvavaatimukset huomi- ”Henkilötietolaki on peräisin vuodelta misen huumassa monet tärkeät asiat saat- oitava, tiedot säilytettävä luottamukselli- 1999, jolloin verkkopalvelut Suomessa oli- tavat unohtua. Tärkeää on, että asiakkaille kerrotaan, miksi tietoja kerätään ja mihin niitä aiotaan käyttää. Perustaso taattu Palveluntarjoajan kannalta keskeiseen lainsäädäntöön kuuluvat henkilötietolaki ja sähköisen viestinnän tietosuojalaki, jonka pykälät sisällytetään vuoden 2015 alussa voimaan tulevaan tietoyhteiskuntakaareen. tietäviltä”, Saarimäki neuvoo. Tietosuojalla taas tarkoitetaan henkilön yksityisyyden suojaamista erilaisten henkilöön liittyvien tietojen käsittelyssä
Mobiilipalvelut tuovat pankeille uusia haasteita. Sosiaalisessa mediassa ihmiset jakavat tietoa aktiivisesti.” 13. tietosuoja 4 • 2014 ”Haasteita tulee siitä, että erilaisia laitteita käytetään eri tavoin”, Havo sanoo. Asiakkaat luottavat pankkiinsa ja tietävät, että tiedoista pidetään hyvää huolta”, sanoo Danske Bankin viestintäpäällikkö Teppo Havo. MOBIILIPALVELUT ovat haaste pankeille Pankkitoiminta on erittäin säädeltyä. ”Sosiaalisen median kanavat helpottavat viestintää omien kanaviemme lisänä. Tietoturvan pitää säilyä yhtä tasokkaana laitteesta riippumatta.” Danske Bank on nostanut aktiivisen asiakasviestinnän esiin kaikissa kanavissa. ”Kun mobiililaitteella tarkistaa saldoaan linja-autossa, kannattaa olla tarkkana. ”Luotettavuus on koko toiminnan kulmakivi. Nyt Danske Bank arvioi, että ensi vuonna mobiilipankkipalveluihin on jo enemmän sisäänkirjautumisia kuin tavalliseen verkkopankkiin. Ensimmäinen mobiiliverkkopankki lanseerattiin vuonna 2010
”Valtio on ulkoistanut sähköisiin palveluihin pääsyn pankeille. ”Ihmiset ovat joskus kovin hyväuskoisia”, sanoo Kuluttajaliiton johtava lakimies Tuula Sario. tietosuoja 4 • 2014. Isojen verkkokauppojen kanssa ei ole ongelmia, mutta yksityishenkilöiden välisessä kaupanteossa niitä riittää. Kun hienon laitteen sijaan tuleekin vessapaperia, ollaan ongelmissa”, Sario kuvailee. Sinisilmäisyydestä sakotetaan ”Ei ole keinoa, jolla ihmistä voi suojella omalta typeryydeltä”, puuskahtaa Kuluttajaliiton johtava lakimies Tuula Sario ja toivoo, että sähköisessä kaupassa ihmiset painaisivat enteriä hieman hitaammin. Uusi direktiivi takaa pankkitunnukset kaikille.” 14. Kaiken kaikkiaan suomalaiset ovat Sarion mukaan melko tyytyväisiä verkkopalveluihin ja verkkokauppaan. Onneksi EU tulee ja pelastaa. ”Rahaa lähetetään holtittomasti satoja euroja tuntemattomalle ihmiselle. ”Suomalaiset ovat joskus kovin sinisilmäisiä. Valitettavasti suomalainen laatu ja kiinalainen hinta eivät kohtaa verkossakaan.” Suuri ongelma liittyy Sarion mukaan julkisiin verkkopalveluihin. Maksuhäiriöisillä ei ole mitään mahdollisuuksia päästä verkkopalveluihin, koska he eivät saa pankkitunnuksia tai heillä ei ole varaa maksaa operaattorin vaatimaa mobiililaitteen takuumaksua
Sisäministeriö esittää, että suojelupoliisi siirrettäisiin Poliisihallituksen alaisuudesta suoraan sisäministeriön alaiseksi poliisiyksiköksi. Laillisuusvalvonta on vahva elementti johtamisen tukena, ja se otetaan sisäministeriön hallinnonalalla erittäin vakavasti. tietosuoja 4 • 2014 Päivi Nerg on sisäministeriön kansliapäällikkö. Sisäministeriön hallinnonalan tavoitteena on, että Suomi on Euroopan turvallisin, yhdenvertaisin ja oikeudenmukaisin maa. Ministeriön alaisuuteen siirtyminen vastaisi viranomaissektorin kehityssuuntaa muissa Euroopan unionin jäsenmaissa. Turvallisuussektorilla toiminnan sopeutuksen rajat tulevat nopeasti vastaan. Sisäisen laillisuusvalvonnan keskeisiä tehtäviä ovat henkilörekistereiden käytön valvonta, kanteluiden käsitteleminen ja valvontatarkastukset. Meihin tulee voida luottaa, ja meidän on oltava luottamuksen arvoisia. Ajankohtainen esimerkki lainsäädännön ja organisaation kehittämisestä on suojelupoliisin asemaa koskevat muutokset. Eettiset periaatteet, hyvä johtaminen ja ajantasainen valvonta luovat pohjaa sille, että voimme uskottavasti hakea uusia toimivaltuuksia ja uusia resursseja. Meihin on luotettava, jotta valtuuksiamme voidaan lisätä. Työmme vankka eettinen pohja rakennetaan jo koulutusvaiheessa. Esityksen mukaan sisäministeriö vastaisi jatkossa suojelupoliisin toiminnallisesta ohjauksesta, tulos- ja resurssiohjauksesta sekä laillisuusvalvonnasta. Laillisuusvalvonnalla pyritään estämään ennalta mahdolliset virheet mutta myös paljastamaan ja saattamaan asianmukaiseen menettelyyn virheellinen toiminta. Oikeusvaltioperiaatteiden ja ihmisoikeuksien toteutumisen noudattaminen ovat laillisuusvalvonnan peruskiviä. Taloudelliset paineet ovat kovat. Tavoitteena on lisätä valtiojohdon mahdollisuuksia vaikuttaa suojelupoliisin tiedonhankinnan suuntaamiseen ja siten parantaa suojelupoliisin kykyä tuottaa sisäistä turvallisuutta sekä ulko- ja turvallisuuspoliittista päätöksentekoa palvelevaa tietoa. Ne ovat myös pohja organisaatiomuutoksillemme, joita tarvitsemme hoitaaksemme perustehtäväämme. Työnantajan velvollisuus on ylläpitää ja kehittää vahvaa sitoutumista ammattiin sekä näyttää esimerkkiä. 15. Laillisuusvalvonnan ensisijainen tavoite on edistää hallinnonalalle asetettujen tehtävien toteutumista sekä ylläpitää ja vahvistaa kansalaisten luottamusta ministeriön ja hallinnonalan toiminnan lainmukaisuuteen. Luottamusta meihin on oltava, jotta valtuuksiamme voidaan lisätä. Tämän saavuttamiseksi huolehdimme strategisen johtoajatuksemme mukaisesti ihmisten turvallisuudesta, rakennamme kilpailukykyistä yhteiskuntaa sekä varmistamme ihmisten yhdenvertaisen ja oikeudenmukaisen kohtelun. Kolumni Tavoitteena olla luottamuksen arvoinen PÄIVI NERG S isäasiainhallinnossa sattuu ja tapahtuu. Rajan tunnistaminen ja tunnustaminen on vastuullamme. Mikä kantaa yksittäisten tapahtumien ylitse. Sisäministeriö on lähettänyt lausunnolle luonnoksen hallituksen esitykseksi poliisin hallintolain muuttamiseksi. Valmistuvat poliisit, pelastajat, rajavartijat ja upseerit vannovat ammattivalan. Kehittämisessä turvallisuusviranomaisten lainsäädännön muutostarpeet, organisaatiomuutokset, yhteistyön välttämättömyys ja digitalisaation täysimääräinen hyödyntäminen haastavat sekä virkamiehet että päättäjät
Yksityi- -periaatteen mukaan, koska erilaisiin käyttötarkoituksiin sen ja ei-yksityisen käytön raja on kuitenkin usein häilyvä voidaan käyttää kyvyiltään erilaisia lennokkeja. Sotilaallisissa ja rikos- 16. Asiantuntijalta Lentävä rekisteri Lennokit ovat tulevaisuuden ”älypuhelimia”. Käytännössä tämä tarkoit- joissa sovelletaan yleissääntelyä. Tulevaisuudessa lennokit hoita- Henkilötietolain tarkoituksena on toteuttaa yksityis- vat rajavalvontaa, postinjakelua ja elämän suojaa ja muita yksityisyydensuojaa turvaavia kohdistettua mainontaa puhumattakaan niiden mah- perusoikeuksia silloin, kun käsitellään henkilötietoja. sen lennokkien yksityisyydensuojasta. Ehkä pian lennokki valvoo lasten leik- lyn yleisistä periaatteista sekä rekisterinpitäjän velvolli- kejä päiväkodissa tai koulun pihalla. ja saattaa ylittyä esimerkiksi siinä vaiheessa, kun henkilö Seuraavassa lennokkien käyttöä ja tietosuojaa on tarkasteltu yksityisestä ja kaupallisesta näkökulmasta, jakaa kotialbuminsa internetissä. Tästä saattaa olla kyse esimer- telyyn. Kaikki tarvittava tekniikka on jo olemassa. On materiaali muodostaa henkilörekisterin siltä osin kuin myös uutisoitu, että presidentti Obama antaisi asetuk- siinä esiintyy tunnistettavia henkilöitä. Kymmenissä osavaltioissa joko on jo lennokkeja vissa. nollinen henkilö käsittelee henkilötietoja omaa yksi- sempaa kuin Euroopassa, jossa se perustuu yleissään- tyistä käyttöään varten. torjunnallisissa käyttötarkoituksissa henkilötietojen Uutiskuvauksessa lakia sovelletaan rajatusti käsittelyn tulisi lähtökohtaisesti perustua erityislainsää- Toimitukselliseen ja taiteelliseen käyttöön henkilötieto- däntöön. Ne tulevat joka paikkaan ja mullistavat tapojamme tehdä asioita. lakia sovelletaan rajoitetusti. merkiksi tallennettu äänitiedosto, valokuva tai video- Yhdysvalloissa on jo herätty sääntelemään lennok- kuva voi olla henkilötieto, jos ihminen on tunnistetta- keja. ihmiskontaktien vähenemisestä, mutta eiköhän lenno- Lennokkien käytön kannalta olennaista on, että esi- keista saada sovellus myös treffiseuran metsästämiseksi. Moni voi huolestua suuksista ja rekisteröidyn oikeuksista. Esimerkiksi perinteisen turvakameran tallentama koskevaa sääntelyä tai sitä harkitaan parasta aikaa. TEKSTI LAURA TARHONEN JA PIIA NYSTRÖM G oogle, Facebook ja Amazon ovat Yksityiskäytön raja on häilyvä ilmoittaneet ottavansa käyttöön Suomalaisen tietosuojalainsäädännön suhtautumista lennokkeja, ja Disney aikoo hyö- lennokkeihin on lähtökohtaisesti tarkasteltava yleis- dyntää niitä huvipuistoissaan. sääntelyn eli henkilötietolain kautta. Henkilötietolakia ei sovelleta tilanteissa, jossa luon- Yhdysvalloissa tietosuojasääntely on sektorikohtai- tietosuoja 4 • 2014. dollisista käyttötarkoituksista rikostentorjunnassa ja Laissa säädetään muun muassa henkilötietojen käsitte- armeijan leivissä. Lennokkeja koskevia tietosuojakysymyksiä ei kiksi silloin, jos yksityishenkilö kerää kameralennokilla kuitenkaan ole mahdollista arvioida ”one size fits all” kuva- tai äänimateriaalia omaan kotialbumiinsa
Ideaalitilanteessa lennokkivalmista- kien tallentama ääni- tai kuvamateriaali tai biometrinen jat ottaisivat tietosuojan oletusarvoisesti huomioon jo tieto voi olla yrityksille samalla tavalla arvokasta valuut- tehdessään valintoja siitä, mitä kaikkea tietoa laitteen taa kuin asiakasrekisterit. Esimerkiksi rikosoikeudelli- kilötietoja ei saa käsitellä ennen keräämistä määritellyn nen sääntely, kuten kunnianloukkaus tai yksityiselämää käyttötarkoituksen vastaisesti. Hen- ole sääntelyn ulkopuolella. Rekisterinpitäjän tulisi pohtia, mihin käyttötar- Lennokeilla tehtävä tiedonkeruu yksityisiin, toimi- koitukseen tietoja kerätään, ovatko tiedot tarpeellisia tuksellisiin tai taiteellisiin tarkoituksiin ei kuitenkaan toiminnan kannalta, ja mihin tietoja luovutetaan. On hyvä muistaa, että suostumuksen tulee olla yksiselitteinen ja ennen tietojen käsittelyä annettu. taa sitä, että näitä tarkoituksia varten henkilötietoja saa myös tulla osaksi asiakasrekisteriä, jos esimerkiksi verk- käsitellä varsin vapaasti. Lisäksi on syytä huomata, liikkuu paikasta toiseen, koska tällöin informointia on että jos lennokkien käyttöä vaikkapa journalistisiin tar- vaikea toteuttaa esimerkiksi kiinteillä kylteillä. tus. Suostumus tulee myös aina voida peruuttaa. Lennokin avulla on mahdollista tavoittaa laajoja alueita ja ihmismääriä nopeassa ajassa, jolloin esimerkiksi tiedon anonymisoin- Lennokeilla on laaja kaupallinen potentiaali. Laura Tarhonen ja Piia Nyström työskentelevät liikenne- ja viestintäministeriössä viestintäpolitiikan osastolla. liittyvää informaatiota ei juridisesti kohdella henkilötie- Tietosuojavelvoitteiden arvioinnissa on keskeistä tolain mukaisena henkilörekisterinä, vaikka henkilöt oli- lennokkien ja niiden keräämän tiedon käyttötarkoi- sivatkin tunnistettavissa. Siksi esimerkiksi uutisjutun tai kokauppa toimittaa paketin asiakkaalle lennokilla ja tal- toimintaelokuvan kuvamateriaalia tai muuta henkilöön lentaa asiakasrekisteriin tiedot kuljetuksesta. Informoinnissa vertailukohtaa voidaan hakea kameravalvonnasta, josta on loukkaava tiedon levittäminen, saattaa tulla sovelletta- tiedotettava avoimesti valvottavalla alueella. Lennok- nin merkitys kasvaa. koituksiin haluttaisiin rajoittaa, tulisi tilannetta arvioida myös sananvapauskysymyksenä. Kaupallinen käyttö vaatii perusteen Tekniikan kehittyessä lennokkien, kuten muidenkin älylaitteiden, kyky kerätä tietoa erilaisilla kameroilla, sensoreilla ja mittareilla kasvaa nopeasti. rekisteröidyn suostumus. Lisäksi rekisterinpitäjän on informoitava rekisteröityä henkilötietojen käsittelystä ja annettava mahdollisuus omien tietojen tarkastamiseen. Tietojen käsittelylle on myös oltava peruste. Lennokkien keräämä tieto voi on teknisesti mahdollista kerätä ja käsitellä. Lennok- vaksi lennokilla kerättävän tiedon alkuperäisestä käyt- kien kohdalla tämä voi olla ongelmallista, jos lennokki tötarkoituksesta riippumatta. Asiakaspalvelussa se voi olla niin sanottu yhteysvaatimus tai Kuvaava lennokki vastaa kameravalvontaa. O tietosuoja 4 • 2014 17
työtehtävissä tarvitsevilla asiakkaan TE-toi- myös tarpeelliset korjaukset”, Tuominen miston virkailijoilla. Työttömien työnhakijoiden lisäksi rekis- joitetulla kirjeellä tai asioinnin yhteydessä. Rekisterin käyttäjäoikeuksien ajan liittyvät tiedot poistetaan tietojärjestelmästä tasalla pitäminen ja käytönvalvonta ovat kahden vuoden kuluttua merkinnästä. Tällä hetkellä tietoja on nisteriö. Niin ikään rekisteriin tallenne- toimittamiaan terveydentilatietoja, jos niillä ”Tietojen tarkastaminen pyritään toteut- taan tietoja tarjotuista töistä ja koulutuksista on esimerkiksi merkitystä työllistymisessä. ”Työ- ja koulutusmahdollisuuksia tarjotaan myös TE-toimiston hallinnollisten rajojen ohi. Rekisteröi tämä Kolmen miljoonan rekisteri Työ- ja elinkeinohallinnon henkilöasiakkaiden rekisterissä on laaja kirjo kansalaisia. Työnhakijasta kerätään muun muassa työhistoriaan, koulutustaustaan ja työnhakuun liittyviä tietoja työllistymissuunnitel- Rekisterissä voi olla asiakkaasta hänen maa varten. käsittelystä huolehtivat työ- ja elinkeinotoi- tiin ja sen mahdollisiin erityisjärjestelyihin mistot. sanoo. kulunut viisi vuotta, ellei tieto ole tarpeen tietosuoja 4 • 2014. tamaan ensisijaisesti henkilökohtaisen asia- sekä esimerkiksi soveltuvuustestauksista ja Näiden tietojen käyttöoikeus on vain niitä kaspalvelun yhteydessä, jolloin tehdään työkykyarvioinneista. tai lokiin merkintä, joita voidaan tarvittaessa hakijana tai siihen liittyviä yhteydenottotie- tutkia”, Tuominen sanoo. Käyttöä ei ole tehdyistä merkinnöistä jää tietokantaan ja/ henkilöasiakas on ollut rekisteröitynä työn- rajattu yksittäiseen TE-toimistoon. TE-toimistosta. Ehdokkaita etsitään avoimiin ”Tietojen katselusta ei jää merkintää.” Kaikki asiakasta koskevat tiedot poistetaan, kun asiakkuuden päättymisestä on työpaikkoihin koko rekisteristä”, sanoo neu- Säilytysajoissa on eroja votteleva virkamies Taisto Tuominen työ- ja Rekisterissä olevat omat tietonsa saa näh- säännöksiin perustuvan tehtävän hoitami- elinkeinoministeriöstä. O 18. Katselusta ei jää lokimerkintää Käyttöoikeus rekisteriin on niillä työ- ja elin- käyttäjäoikeuden myöntäjän vastuulla. toja”, Tuominen täsmentää. tävikseen TE-toimistolle osoitetulla allekir- seksi tai vireillä olevan asian johdosta. ”Asiakkuuteen ja asiointiin liittyvät tiedot keinohallinnon virkamiehillä, joilla se on ”Rekisteriin kirjautumisista ja rekisteriin tarkoittavat esimerkiksi ajanjaksoja, jolloin työtehtävien vuoksi tarpeen. TEKSTI PÄIVI MÄNNIKKÖ seen TE-toimistoon työttömäksi työnhakijaksi, hänen tietojaan tallennetaan työ- ja elinkeino- SCANSTOCKPHOTO K un henkilö ilmoittautuu paikalli- hallinnon asiakastietojärjestelmän henkilöasiakkaiden rekisteriin. Lisätietoja tarkastamisoikeudesta saa yrittäjistä sekä kuntouttavaan työtoimin- Rekisterinpitäjä on työ- ja elinkeinomi- taan osallistuvista. terissä on tietoja muiden muassa vuorot- ”Myös psykologin asiakastietojen näky- Kirjallista tulostetta rekisterissä olevista teluvapaalla olevista, kotoutettavista maa- vyyttä on rajattu TE-toimiston psykologei- tiedoistaan pyytää vuosittain noin 120 hen- hanmuuttajista, starttirahaa saavista uusista hin.” kilöä. Asiakastietojen tallentamisesta ja Lain mukaan asiakkuuteen sekä asioin- noin kolmesta miljoonasta henkilöstä
Tietosuojavaltuutetun toimisto on saanut lukuisia yhteydenottoja koskien www.kukasoitti.com -sivustoa. oph.fi/julkaisut/2013/julkisuus_ ja_tietosuoja_opetustoimessa Kysymyksiin vastasi tietosuojavaltuutetun toimistosta tietopalvelusihteeri Hanna Pentti. Salaamisessa on huomioitava myös salauksen vahvuus ja salausavainten hallinta. Kysy meiltä MITÄ KÄNNYKÄLTÄ VAADITAAN, että se täyttää valtionhallinnon suojaustason IV vaatimukset. Emme ole käytettävissä olevien resurssien perusteella pystynyt selvittämään, mistä tiedot ovat peräisin ja kuka tai mikä taho tosiasiallisesti ylläpitää kyseistä sivustoa. com, LLC. verkkotunnuksen on rekisteröinyt yhdysvaltalainen GoDaddy. Opetushallituksen oppaan ”Julkisuus ja tietosuoja opetustoimessa” (2013) mukaan tieto siitä, että henkilö on koulun oppilas, on julkinen, ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (esimerkiksi sairaus, vammaisuus tai se, että oppilas saa erityistä tukea). Julkisesti saatavilla olevien tietojen mukaan verkkotunnus www.kukasoitti.com on rekisteröity yhdysvaltalaiselle Registration Privatelle ja ko. Viestintävirasto käyttää suojaustason IV vaatimusten arvioinnissa kansallista turvallisuusauditointikriteeristöä (KATAKRI, versio II). SAAKO KOULU KERTOA KYSYJÄLLE, onko tietynniminen henkilö siellä oppilaana. Mistä se on voinut saada tietoni. Yksityiskohtaisia vaatimuksia on useita. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan. Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. Opas on luettavissa Opetushallituksen verkkosivuilla www. Tietosuojavaltuutetun toimisto on tehnyt poliisille virkaapupyynnön asian selvittämiseksi. Vaatimuksiin kuuluvat myös laitteeseen tallennettavien tietojen ja muistikortin salaaminen sekä laitteen ja palveluiden välisen tietoliikenteen salaaminen. Voitte halutessanne tehdä asiasta itse poliisille tutkintapyynnön. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi tietosuoja 4 • 2014 19. Niin ikään salasanojen ja PIN-koodien tulee olla riittävän laadukkaita. OSOITTEENI JA PUHELINNUMERONI OVAT SALAISIA. Voinko tehdä asiasta rikosilmoituksen. . Nyt Kuka soitti -nettisivusto on julkaissut sekä osoitteeni että puhelinnumeroni kaikelle maailmalle. Kysymykseen vastasi päällikkö Aki Tauriainen Viestintävirastosta. Mobiilikäyttöjärjestelmät eroavat toisistaan, joten arvioitavat turvakontrollit ja niiden riittävyys vaihtelevat. Niistä tärkeimpiä ovat etähallinta eli mahdollisuus tyhjentää laite ja sulkea se verkosta sekä mahdollisuus rajoittaa laitteeseen asennettavia sovelluksia keskitetysti organisaation toimenpitein
20. tietosuoja 4 • 2014