Tietosuoja 3/2012 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

tietoturvan ja tietosuojan erikoislehti 3/2012 | 15 ? TEKIJÄNOIKEUDET: Surffaaja syynissä Kunnat \ Tietosuoja-asetus \ Urkinta \ Tietomurrot \ Asuminen \ Poliisi
28 44 Miten on? 45 Lyhyesti Kannen kuva: Eric Leraillez 2?TIETOSUOJA 3/2012 rodeo Tutustu verkkolehteen! Viisas varautuu uusiin tietosuojavelvoitteisiin jo nyt.. 44 33 Ylläpitäjä: päivitä, päivitä! Gallup Maija Nyman Uudistuva tietosuojalainsäädäntö Rekisterinpitäjä: miten varaudut urkintaan? s. 36 36 Käyttövaltuudet ja lokiseuranta ovat arkipäivää 38 Onko sinun henkilötietojasi urkittu? 39 Oikaisu Työelämän tietosuoja 40 Kieku tuntee virkamiehen 42 Suurin muutos henkilöstöhallinnossa www.tietosuoja-lehti.fi s. Sisällys 3/2012 3 Pääkirjoitus 4 Kun valvojasta tuleekin urkkija Teema: Tekijänoikeudet 8 Meidän ja muiden oikeudet 10 Katoaako käyttäjän tila verkossa? Tietovarkaita vastaan auttaa palvelun jatkuva ylläpito. 12 Teleyritykset eivät suostu nettipoliiseiksi 15 Mieluummin porkkanaa kuin keppiä 16 Piratismi aisoihin varoituskirjeillä? 18 Vaikeaa rajanvetoa EU:ssa s. 33 Kolumni 22 Potilaan yksityisyys on sairaalalle pyhä asia 24 Henkilötunnus osakeluetteloon vai ei? 26 Asunto-osakeyhtiölaki paransi tietosuojaa 28 Tietosuoja-asetukseen kannattaa varautua Profiili 30 Kuntaliitto: Kuntien asialla Saako pomo laittaa kuvani nettiin? s
Kestotilauksena tilattu lehti toimitetaan tilaajalle tilausjakso kerrallaan ilman eri uudistusta, kunnes tilaaja joko muuttaa sen määräaikaiseksi tai irtisanoo tilauksen. Tilauksen hinta on tilausjakson alussa voimassa oleva hinta, joka on painettu lehteen. |?Ahti Saarenpää, professori, Lapin yliopisto. |?Eila Ratasvuori, hallintojohtaja, Helsingin kaupunki. | Tietosuojavaltuutetun toimisto: Eija Kara, ylitarkastaja. Tilaaja voi kieltää tietojensa käytön markkinointitarkoituksiin ja markkinatutkimuksiin ilmoittamalla asiasta tilaajapalveluun. 3/2012 TIETOSUOJA. |?Anna Lauttamus-Kauppila, viestintäjohtaja, PRH. |?Jukka Ihanus, toimitusjohtaja, Stellatum Oy. Nykylainsäädäntö kuitenkin velvoittaa rekisterinpitäjiä eikä suoranaisesti ohjelmistoalaa. Kun tähän vielä lisätään ohjelmistojen suojaamiseksi ymmärrettävästi laaditut erilaiset lisenssi- ja käyttöehdot, ei rekisterinpitäjäasiakas oikeastaan pysty huolehtimaan lainsäädännön asettamista velvoitteista itse. Tietosuojavaltuutetun toimiston tietoon on tullut tilanteita, joissa asiakastietojärjestelmä ei ole mahdollistanut lain edellyttämistä tietoturvavelvoitteista huolehtimista. Osoitetietoja käytetään ainoastaan Stellatum Oy:n omassa toiminnassa. Lehti ilmestyy neljästi vuodessa. Seuraava numero ilmestyy 10.12.2012. Ohjelmistoteollisuudelle mahdollisuus O hjelmisto- ja sovellusteollisuus on joutumassa aivan uuden tilanteen eteen. \ Reijo Aarnio tietosuojavaltuutettu 24. Ostajat ja myyjät ovat siis tässä asiassa win-win-tilanteessa. |?Eeva Lantto, lakimies?|?Hanna Tamminen, viestintäjohtaja?|? Elina Koskipahta, tiedottaja. Logiikka toimii suunnilleen näin: Suomessa on tietosuojalainsäädännössä ollut erottamattomana osana jo vuosikaudet suunnittelu- ja huolellisuusvelvoite. Sille asettavat kovan haasteen erilaiset suoraan kaupan hyllystä saatavilla olevat pakettiohjelmistot, jotka eivät aina kykene vastaamaan rekisterinpitäjänä toimivan asiakkaan tietosuojavaatimuksiin. 3. |?Timo Lehtimäki, johtaja, Viestintävirasto. Tilaajan tietoja käytetään asiakassuhteen ylläpitoon ja hoitoon. Osapuolten välinen tasapaino ei ole toiminut parhaalla mahdollisella tavalla, jos siihen edes on ollut tarvetta pyrkiäkään. Nyt hyväksyttävänä olevaan EU:n tietosuoja-asetukseen on kirjattu erityinen suunnitteluvelvoite (Privacy by Design), jota täydentää ?sisäänrakennettu ja oletusarvoinen. Kestotilauksen voi irtisanoa ennen uuden tilausjakson alkua. 0440 235 939 TILAUSHINNAT SUOMESSA 2012 Kestotilaus 54,50 euroa (laskutusväli 12 kuukautta). Määräaikaistilaus 57,77 euroa (kesto 12 kuukautta). Irtonumero 15 euroa. Hinnat ovat voimassa vuonna 2012 Suomeen tehtyihin tilauksiin. Jos laskutusjakso tai maksueriä on maksettu ennen irtisanomisen voimaantuloa, tilaus päätetään maksetun jakson loppuun. |?Nora Elers, viestintäjohtaja, FiCom ry | Anu Talus, EU-asiantuntija, tietosuojalautakunta. |?Hanna Tamminen, viestintäjohtaja, Viestintävirasto Toimituskunta PRH: Olli Ilmarinen, viestintäasiantuntija. Tämä puolestaan luo uusia liiketoimintamahdollisuuksia koko teollisuussektorille. Kilpailu toivottavasti ohjaa kohti parempia järjestelmiä. |?ISSN 0786-5767 PAINOPAIKKA Hämeen Kirjapaino Oy Sähköinen lehti www.tietosuoja-lehti.fi ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Asiakasrekisteri Rekisterikuvaus ja -seloste ovat nähtävissä Stellatum Oy:n tiloissa Purotie 1 B, 00380 Helsinki. |?Eija Kara, ylitarkastaja, tietosuojavaltuutetun toimisto. Yhteydenotot tulee tehdä kirjallisina ja alle kirjoitettuina em. Siksipä iso kysymys onkin, aikooko ohjelmisto- ja sovellusteollisuus yhä myydä ohjelmistoja, jotka eivät ehkä täyttäisi oikeudellisesti kaikkia lakien koukeroita. |?Stellatum Oy: Päivi Männikkö, toimitussihteeri KUSTANTAJA Stellatum Oy, Purotie 1 B, 00380 Helsinki Tilaukset ja osoitteenmuutokset Osoitteenmuutosta tehdessäsi muista ilmoittaa lehden nimi. Tilaajapalvelu/Tietosuoja,PL 115, 30101 Forssa Puhelin 03 4246 5301, Faksi 03 4246 5341 tilaajapalvelu@stellatum.fi www.stellatum.fi Ilmoitusmarkkinointi ja -varaukset DS & M Marketing Oy, Deeli Kentala deeli.kentala@dsm.fi, puh. 3/2012 jyrki vesa Pääkirjoitus tietoturvan ja tietosuojan erikoislehti LOKAKUU 2012 Julkaisijat Patentti- ja rekisterihallitus tietosuojavaltuutetun toimisto tietosuojalautakunta Viestintävirasto Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäällikkö Eija Kara, tietosuojavaltuutetun toimisto eija.kara@om.fi Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Toimitusneuvosto Reijo Aarnio, tietosuojavaltuutettu, pj.. osoitteeseen tai henkilökohtaisesti rekisterinpitäjän luona. Tämä erityisesti tilanteessa, jossa meillä lainvalvontaviranomaisilla on entistä paremmat mahdollisuudet reagoida meidän ja kollegoittemme havaitsemiin lainvastaisuuksiin. Toivon, että asiakasyritykset vaatisivat ohjelmistoyrityksiltä entistä parempia tuotteita siksikin, että ne tuotteiden käyttäjinä saisivat liiketoiminnallisen hyödyn hyvien ja turvallisten ohjelmistojen sekä sovellusten käytöstä. Jos tilaaja irtisanoo kestotilauksensa tilausjakson alkamisen jälkeen, on hän velvollinen maksamaan irtisanomisen voimaantuloon saakka lähetetyt lehdet. tietoturvavelvoite (Privacy by Default) asiakasrajapintoja varten. vuosikerta. | Lauri Karppinen, IT-erityisasiantuntija?|?Viestintävirasto: Ari-Matti Husa, tietoturva-asiantuntija
Kun valvojasta tuleekin urkkija 4?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Poikkeuksellisen laaja urkintavyyhti johti 136 poliisin koh- mukaan käyttää teknistä salausta, jolloin jutun tie- dalla valtakunnansyyttäjän esitutkintaan. toihin pääsevät vain siihen erikseen valtuutetut. Poliisi ei selvinnyt puhtain paperein myöskään Nelosen uutisten järjestämästä testistä, jossa käytiin läpi kolmen julkisuuden henkilön tietoihin eri viranomaisissa kohdistuneet tietokantahaut. Salauksella olisi voitu estää esimerkiksi Myllylän tietojen joutuminen vääriin käsiin. Menettelyn käyttöä rajoittavat Poliisihallituksen ohjeet. Uutiset kertovat karua kieltään siitä, että henkilöre- ?Salaus on tarkoitettu tutkinnan turvaamiseksi, ei kisteririkoksia tehdään myös laillisuusviranomaisten yksityisyyden parantamiseksi?, selvittää poliisiylitar- keskuudessa. kastaja Yrjö Lausmaa Poliisihallituksen rikostorjun- ?Henkilötietojen väärinkäyttö on ikävä mutta piintynyt ilmiö, jota esiintyy uskoakseni jokaisella hallin- tero pajukallio nonalalla?, pohtii rekisterinpitopäällikkö Jari Råman Poliisihallituksesta. tayksiköstä. Poliisihallitus ei suosittele teknisen salauksen käytön laajentamista nykyisestä: ?Jutun salaus vaikeuttaa poliisin työtä, sillä nykyi- ?Tietoisuus kuitenkin kasvaa kiitettävästi kaiken nen tekninen toteutus ei riittävästi tue tietojen nor- aikaa julkisen keskustelunkin avittamana ja siten maalia käsittelyä järjestelmän sisällä?, perustelee urkinnan vastainen työ helpottuu?, hän toteaa. rekisterinpitopäällikkö Jari Råman. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Henkilötietojen väärinkäyttöön syyllistyvät toisinaan myös laillisuusviranomaiset. Hii- olleiden henkilöiden tietoihin. Tällaisen valvontais- rikäsi klikkaa kuvaketta, ja hetken päästä ruudulle kun tuloksena paljastui Myllylän tapauskin. aukeavat poliisitietokannan merkinnät julkkiksen Kantelut ja tutkintapyynnöt ovat toinen tapa, jolla urkkijoita jää kiinni. Pistokokeet pyritään Råma- muusikon rattijuopumustuomiosta. Kansalainen, joka on kiinnijäämisen yksityiskohdista. asianosaisena poliisitut- Hiihtäjän kuolema kiinnosti kinnassa, voi pyytää lokitiedot henkilötietojensa Entisen hiihtäjän Mika käsittelystä. Myllylän menehtyminen kiinnosti lähes kahtasataa Salausta käytetään säästeliäästi poliisia ympäri Suomea Poliisin tietojärjestelmässä niin paljon, että he katsoi- juttujen perustietoja voi- vat hänen kuolinsyytutkin- vat katsoa kaikki, joilla on tansa tietoja poliisitietokannasta ilman työtehtävään rodeo hämärissä olosuhteissa järjestelmän käyttöoikeus. Tutkinnanjohtajalla on mahdollisuus harkintansa liittyvää perustetta. 5. Poliisin sisäinen valvonta tehostuu lähivuosina, kun lokivalvontaa lisätään ja automatisoidaan. Teksti: Kirsi Castrén J edessään kiireinen ilta kentällä, mutta ennen Lokitiedot paljastavat urkkijan lähtöään hän haluaa käydä läpi edellisen työ- Henkilötieto- ja julkisuuslainsäädäntö velvoittaa vuoronsa tapahtumaraportit ja vilkaista Poliisi- rekisterinpitäjän huolehtimaan siitä, etteivät henki- hallituksen uusimpia tiedotteita. lötiedot joudu vääriin käsiin. ärjestyspoliisina toimivalla Pate Poliisilla on Kahvitauolta Paten käteen on tarttunut iltapäi- Poliisihallitus tekee lokivalvontaa kahdesti vuo- välehti, jonka kannessa komeilee uutinen tunnetun dessa pistotarkastuksina. Hän tietää teke- nin mukaan kohdistamaan julkisuudessa paljon esillä vänsä väärin, mutta ei voi hillitä uteliaisuuttaan
?Esimiesten asia on huolehtia rekisterien käytön ohjeistuksesta?, sanoo puheenjohtaja Yrjö Suhonen Suomen poliisijärjestöjen liitosta. Tietosuoja paranee lähivuosina Poliisin tietojärjestelmät ovat jo yli kymmenen vuoden ajan tallentaneet lokeihinsa jäljen kaikesta tietojen käytöstä. Poliisi- ? 6?TIETOSUOJA 3/2012 Myllylän tietojen urkinta olisi voitu estää salauksella. hallitus ohjeistaa, mikäli ilmenee valtakunnallisia ongelmia.? Poliisikoulussa opetellaan oikeaa käyttöä Se, mitä tietoja poliisin tietokantaan saa tallentaa, on tarkasti säänneltyä, kuten tietojen käyttökin. Myös ?koputtelut?, yritykset hakea salattujen juttujen tietoja, tallentuvat. Henkilötietojen suoja paranee, kun poliisin tietojärjestelmäuudistus vuonna 2014 valmistuu. ?Sen sijaan että erikseen salattaisiin suojausta vaativat jutut, voidaan järjestelmässä hallita juttujen näkyvyyttä käyttöoikeuksin?, Råman kuvaa. Järjestelmään suunnitellaan myös automatiikkaa, jolla lokivalvontaa voidaan huomattavasti lisätä nykyisestä. Tekniikkaa tärkeämmät esimiehet Råmanin mukaan tietojärjestelmän kehittämistäkin tärkeämpi keino väärinkäytösten kurissapitämiseksi on esimiestyö. ?Lähiesimiesten ja koulutuksen avulla tietoisuutta henkilötietojen oikeasta käsittelystä saadaan parhaiten kasvatetuksi ja ylläpidetyksi.? Työnjohdon vastuuta korostaa myös Suomen poliisijärjestöjen liiton puheenjohtaja Yrjö Suhonen. ?Esimiesten asia on valvoa ja huolehtia rekisterien käyttöön liittyvästä koulutukkatja almgren sesta ja ohjeistuksesta työpaikoilla. Poliisiammattikorkeakoulussa tulevat poliisit opiskelevat henkilötietojen oikeaa käsittelyä aluksi harjoitus- t ietot urvan j a t ietosuoj an erikoisl ehti
koulutusjohtaja Petri Alkiora sanoo. ?En kuitenkaan pidä häiriökäyttäyty- Uteliaisuutta vai tiedonhankintaa? mistä poliisitoiminnan kannalta strategisesti keskeisenä kysymyksenä, etenkin kun Myllylän rekisteritietojen esille tullut väärin- missä ja menettelysäännöissä riittää oppi- Palataan vielä Myllylän tapaukseen. \ missä kulkee ammatillisen tiedonhankin- 3/2012 TIETOSUOJA. tietokannan avulla. ? Myös ?koputtelut? tallentuvat lokeihin. ?Poliisin käytössä olevissa tietojärjestel- nan ja inhimillisen uteliaisuuden raja. ?Yleisesti tiedetään, että Myllylällä oli niin kutsuttua häiriökäyttäytymistä,. Polii- käyttö tapahtui hänen menehtymisensä jäl- mista ja omaksumista?, toteaa koulutusjoh- silla on poliisilain mukaan jatkuva toimin- keen?, hän pohtii. 7. \ taja Petri Alkiora. tavelvoite edistää yleistä järjestystä ja tur- Koulutuksessa teroitetaan, että rekiste- vallisuutta sen ollessa vakavasti uhattuna. riin syötettyjä tietoja voi käyttää vain virka- Valtakunnansyyttäjä päätti tällä perusteella tehtävien suorittamiseen. vapauttaa syytteestä kaikki Myllylän tietoja ?Korostamme myös, että tietokantaan kirjaudutaan aina omalla käyttäjätunnuksella ja että lokitiedot tallentuvat ja niitä myös seurataan?, Alkiora kertoo. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i luvatta katsoneet hänen kotipaikkakuntansa poliisit. Ratkaisu herätti julkista keskustelua siitä, aiheesta enemmän Lue alkaen sivulta 36, kuinka muut suuret rekisterinpitäjät varautuvat urkintaan
Tekijänoikeudet 8?TIETOSUOJA 3/2012
9. Kepin tilalle ehdotetaan porkkanaa, todetaan sivulla 15. Tekijänoikeuksien omistajien mukaan varoituskirjeet olisivat nykyisiä nopeampi ja pehmeämpi keino piratismin vastaisessa taistelussa. Lue lisää varoituskirjeistä sivuilta 16?17. Tuomioistuimissa vastakkain ovat yksityisyydensuoja ja tekijänoikeu- hoto det. Teleyritykset eivät kuitenkaan halua nettipoliiseiksi, kerrotaan sivuilla 12?14. Kaikki luovan työn tekijät eivät kannata kovaa linjaa laittoman verkkojakelun torjunnassa. Sivuilla 18?21 selitetään, miten EU:ssa on tulkittu nykyistä lainsää- Shutter stock ja sc däntöä. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Meidän ja muiden oikeudet Verkkoaineistojen tekijänoikeuksien valvontaan kaivataan järeämpiä keinoja. Mutta kenen (oikeuksien) kustannuksella? S amaan aikaan kuin julkisen tiedon saatavuutta verkossa on lisätty, kaupallisten sisältöjen tekijänoikeuksien valvontaa on kiristetty. Katoaako käyttäjän tila verkossa, kysytään sivuilla 10?11. Tekijänoikeusloukkausten kitkemiseksi ehdotetaan, että teleyritykset seuraisivat ja rajoittaisivat asiakkaidensa nettiliikennettä. EU:ssa arvioidaan parhaillaan tietosuoja- ja tekijänoikeuspykälien toimi- annstockp vuutta
Tekijänoikeudet Katoaako käyttäjän tila verkossa? 10?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
11. Esimerkiksi ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i kirjoja, joita he lainaavat kirjastosta. Mitä tämä tarkoittaa ten oikeuksien ja demokraattisen yhteis- viestinnän tietosuojan ja organisaatioiden kunnan kannalta vaarallista kehitystä. toimintaperiaatteiden kannalta. Jos tiettyä kuvaa tai jon ongelmallisempaa kuin luvaton kau- voitaisiin tavoitella myös realismia: edistää videota on palvelussa jo jaettu tuhansille, pallisten sisältöjen käyttö. sisältöjen käyttöön saamista, tukea jousta- käyttäjä tuskin miettii tekijänoikeuksia. ACTA lienee tarjoajille. ovat hämärtyneet ja niiden varassa on kehi- merkittäviä haittoja. ensimmäisiä kansainvälisiä sopimuksia, joka Ongelmallista on, että niillä ei ole lainval- tetty monenlaisia uudenlaisia palvelukon- on saanut käyttäjät heräämään ja puolusta- vonnan asiantuntemusta. Yleistyneen tiedonjakelun takia rajanveto luvallisen ja luvattoman Sisällön haravointia voidaan periaat- sisältöjen jakelun välillä on katoamassa. teessa käyttää tulevaisuudessa muihinkin Etenkin sosiaalisen median kulttuuriin tarkoituksiin. Tasapaino eri intressiryh- kansalaisten oikeuksiin verkossa. suuntaus alkaa olla täysin päinvastainen ? mien välillä ei toteudu, jos yritysten edut Netinkäyttäjille tilanne on vaikea esimerkiksi tuottajat voivat seurata e-kirjo- ovat etusijalla, vieläpä tavalla, jossa maksa- jen käyttöä jopa sivukohtaisesti. jaksi tulevat viime kädessä käyttäjät. monesta syystä. Haravoinnissa kossa lisäämällä valvontaa ja rakentamalla valvonta kohdistuu kaikkiin käyttäjiin ja siitä pysyvää infrastruktuuria on kansalais- heidän sisältöihinsä. Jos ne kuitenkin septeja. Verkossa halutaan palvella. Kiristyvät käytännöt vaativat velvoitteidensa suorittamiseen jul- uhkaavat myös sosiaalisen median tiedon- kista tukea . Samaan aikaan kuin julkisen Välittäjät eivät ole olleet kovin innostu- tiedon saatavuutta verkossa on lisätty, kau- neita valvonnasta, koska siitä tulee heille pallisten sisältöjen tekijänoikeuksien val- kuluja. Vaikeaselkoinen lainsäädäntö ei ainakaan helpota tilannetta. Välittäjistä on tullut valvojia via toimintamalleja, luoda selkeitä sääntöjä sekä kohdistaa valvontaa ja rangaistuksia sinne, missä rajojen loukkauksilla tuotetaan Netinkäyttäjille edunvalvontakin on Käyttäjien seurantaa ja osin myös tekijän- hankalaa, sillä tekijänoikeuksiin liittyviä vel- oikeuksien rikkojien rankaisemista siirre- Myös uusille toimintamalleille on tilaa, voitteita luodaan monella eri taholla, kuten tään yhä suuremmassa määrin välittäjäyh- koska rajat kaupallisen, julkisen ja vapaiden kansallisessa ja EU:n lainsäädännössä sekä teisöille eli verkkoyhteyksien ja -palvelujen verkon kautta jaeltavan aineistojen välillä kansainvälisillä sopimuksilla. Seurauksena voi olla, että välittäjät vontaa on kiristetty. Esimerkiksi so- vuoksi sieltäkin, missä ne eivät ylitä rajoja. siaalisen median koko palvelukonsepti Näin käyttäjiin voi kohdistua tiukempia perustuu sisältöjen vapaaseen jakeluun. Hankala haravointi Tekijänoikeuslainsäädäntö on viime vuo- rajoituksia kuin lainsäädäntö sellaisenaan Myös tutkimukset tukevat näkemystä lii- sina tuonut mukanaan velvoitteita ja käy- edellyttäisi. \ kirjoittaja Päivikki Karhula on tutkija Tampereen yliopiston Sananvapaus ja sensuuri verkkoaikana -hankkeessa. paivikki.karhula@gmx.com \ Sen ohessa oikeusvaltion toimintamal- 3/2012 TIETOSUOJA. Entä onko takeita siitä, etteivät ketoimintaeduista: Kirjaston käyttäjät osta- täntöjä, jotka vaikuttavat käyttäjien oikeuk- välittäjät käytä toimivaltaansa väärin? vat todennäköisemmin sellaisen kirjoittajan siin verkossa. Verkkosisältöjen tekijänoikeuksien valvonnassa puututaan yhä enemmän jokaisen käyttäjän tilaan ja viestintään. lit, kuten valvonnan valvonta, lainvalvonnan antaminen sille kuuluvien viranomaisten käsiin ja rangaistuksien suhteuttaminen teon vakavuuteen, ovat rapautumassa. Tekijänoikeudet ovat kehittymässä Teksti: Päivikki Karhula | Kuvitus: Leena Kumpulainen T suuntaan, jossa ne estävät käyttäjien tiedonsaantia ja sujuvaa verkkoaineistojen käyttöä kouluissa ja kirjastoissa. Voidaankin ekijänoikeuskysymykset ovat alka- kirjastot tukevat asiakkaiden yksityisyyttä kysyä, ketä tekijänoikeuslainsäädännöllä neet tulla polttaviksi suhteessa tiedonhaussa ja tiedon käytössä. lopulta käyttäjät tulisivat näin jakelua sekä verkkoaineistojen käyttöä esi- oman valvontansa maksumiehiksi. merkiksi opetuksessa ja kirjastoissa. Luvattoman aineiston tavoittamiseksi Miten tiedonsaannin käy? on kehitetty valvontakeinoja, joilla hara- Käyttäjien tilan jatkuva kaventaminen ver- voidaan käyttäjien sisältöjä. Yleistyvä haravointi voi olla Ratkaisuksi uudenlaiset palvelut kuuluu jatkuva kuvien, videoiden ja mui- kansalaisille ja yhteiskunnalle erittäin pal- Käyttäjien näkökulmasta tekijänoikeuksilla den sisältöjen jakelu. Monet verkossa menestyneet kau- maan omia oikeuksiaan verkossa kansain- joutuvat vastuuseen oikeudellisista rajanyli- palliset palvelut ovat hyödyntäneet osin tai välisellä kampanjalla. tyksistä, sisältöjä voidaan karsia varmuuden kokonaan vapaita sisältöjä
Tekijänoikeudet Teleyritykset eivät suostu nettipoliiseiksi 12?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Eriävä mielipide toimikunnan ehdotukseen on jätetty teleyritysten edunvalvojan FiCom ry:n nimissä. FiComin mielestä esitys on valmisteltu puutteellisesti ja se ottaa huomioon vain tekijänoikeuksien haltijoiden näkökulman. FiComista muistutetaan, kausten torjunnassa. että internetprotokollaa käyttävät myös puhelin- ja Tekijänoikeustoimikunta ehdottaa alku- vuonna julkistamassaan mietinnössä, että tuomiois- sähköpostiliikenne sekä esimerkiksi viranomaisten sähköiset palvelut. tuin voisi tekijänoikeuden haltijan vaatimuksesta Pysyvät tekniset estot voivat myös vaarantaa inter- määrätä teleyrityksen estotoimiin. Jos eri maissa eri tija voi nostaa kanteen vain väitettyä tekijänoikeuden osoitteet olisivat estettyjä, ei käyttäjä ehkä pääsisi loukkaajaa vastaan ja senkin puolen vuoden kuluessa. haluamalleen sivulle tai sähköposteihin?, Enäjärvi Toimikunta perustelee ehdotustaan sillä, että suo- huomauttaa. malainen operaattori on usein ainoa, joka voi olen- ?Täysin laillista palvelua tarjoava ei voisi muuta- naisesti vähentää loukkauksen haittoja. Ehdotetut internetliikenteen estot ovat teleoperaattorien mielestä täysin väärä keino puuttua verkkopiratismiin. Teksti: Marjo Rautvuori T eleyrityksiä kismittävät ehdotukset, jotka sivat operaattorien mukaan teknisiin ongelmiin ja lisäisivät niiden tehtäviä tekijänoikeuslouk- arvaamattomiin seurauksiin. Aiheesta ministeriössä osoitejärjestelmä IPv6 tekee estomenetelmistä entis- tehty muistio oli lausuntokierroksella kesällä. täkin tehottomampia, koska osoitteita tulee valta- Pysyvät estot laittomia? Lakiesityksiä odoteltaessa teleoperaattorit vastustavat toimikunnan ehdotusta. Tekniikan nopean kehityksen takia ne Lainsäädännön uudistamisessa on menossa aika- vanhenevat nopeasti ja ovat muutenkin helposti lisä: opetus- ja kulttuuriministeriö selvittää ja arvioi kierrettävissä ilman erityisosaamista. 13. Koska useat man vuoden päästä millään tietää, ettei palvelu ole- tekijänoikeuksia loukanneet palvelut ovat Suomen ja kaan kaikkien saatavissa.? Euroopan ulkopuolella, palvelujen ylläpitäjiä on vaikea saada vastuuseen ja palveluja suljetuiksi. Teleyritykset vetoavat myös estotoimien tehottomuuteen. Teleyrityksen pitäisi netin käyttäjien oikeutta viestiliikenteeseen ja lailli- estää pysyvästi asiakkaidensa pääsy sellaiselle verkko- seen sisältöön. sivulle, jolla on tekijänoikeuksia loukkaavaa aineistoa. ?Samassa IP-osoitteessa sijaitsee usein useita Nykylainsäädännön mukaan tekijänoikeuden hal- palveluja ja erilaista liikennettä. EU-tuomioistuimen osa operaattoreista soveltaa niitä jo nyt estääkseen ennakkoratkaisusta on monia tulkintoja, mutta aina- pääsyn haitallisiin palveluihin. kaan valvonta ja järjestelmälliseen suodattamiseen velvoittaminen operaattorin kustannuksella eivät ole Shutterstock sallittuja?, sanoo FiComin lakimies Mika Enäjärvi. Tekniikan kehitys haastaa estomenetelmät Estolistat vaatisivat jatkuvaa valvontaa ?Ajantasaisten estolistojen luominen edellyttäisi jatkuvaa ja reaaliaikaista nettiliikenteen valvontaa, eikä sekään riittäisi?, Mika Enäjärvi huomauttaa: Koska tietoliikenneverkot ovat yhteiskunnan kan- ?On tuomioistuinten eikä verkkoyhteyksien tar- nalta kriittistä infrastruktuuria, pysyvät estot johtai- joajien tehtävä arvioida, onko materiaali sisällöllisesti ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Toisaalta toimikunnan mukaan suurin den vastaiseen lopputulokseen. Internetin uusi vaihtoehtoisia ratkaisuja. Estotoimet eivät ratkaise verkkopiratismia eli tekijänoikeudella suojattujen sisältöjen laitonta käyttöä ja jakamista. vasti lisää. ? Estolistat vaatisivat nettiliikenteen jatkuvaa valvontaa. Tekijänoikeustoimikuntakin myöntää mietinnös- ?Toteutuessaan esitys johtaisi sekä viranomaisia sään, että tekniset estomenetelmät ovat teleoperaat- että kansallisia tuomioistuimia sitovaan EU-oikeu- toreille haaste
Jääviysepäilyjen värittämä tuomioistuinkäsittely saattaa jatkua Ruotsin korkeimmassa oikeudessa. Tapaus Pirate Bay herättää kysymyksiä lainvastaista ja onko se saatettu saataville niin, että jakelijalla on siihen oikeus.? Teleyritykset korostavat, että internetyhteyksien tarjoajat eivät ole osallisina luvattomassa verkkojakelussa. Siksi kustannuksia ja vastuuta menettelyjen oikeellisuudesta ja seurauksista ei pitäisi vyöryttää operaattorien vastuulle. Tekijänoikeustoimikunta toppuuttelee näitä huolia toteamalla, että tuomioistuimen päätökseen perustuva esto ei voi johtaa teleyrityksen vahingonkorvausvastuuseen. Myös poliisin verkkotoiminnan tehostaminen ja kansainvälinen yhteistyö kanteiden nostamiseksi aiheesta enemmän laittoman toiminnan sijaintimaissa ovat kannatettavia keinoja.? Tehokkain ase nettipiratismin vastaisessa taistelussa olisi kuitenkin laillisten ja helppokäyttöisten verkkopalvelujen kehittäminen vastaamaan kasva- Tekijänoikeustoimikunnan mietintö; Ratkaisuja digiajan haasteisiin. \ 14?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Tuomioistuinten tuoreet tulkinnat ovat kuitenkin määränneet teleoperaattorit väliaikaisiin estotoimiin. Tuorein nykylain mukainen väliaikainen estotoimi koskee ruotsalaista Pirate Bay -palvelua, jossa tekijänoikeuksien alaista aineistoa voi ladata ja jakaa laittomasti. Tekijänoikeudet wikimedia commons Merirosvolippu liehui oikeustalon katolla ruotsalaispalvelu Pirate Bayn oikeudenkäynnin aikana Tukholmassa helmikuussa 2009. Työryhmämuistioita ja selvityksiä 2012:2. Teleoperaattorit voisivat lisäksi rajoittaa mahdollista vastuutaan asiakassopimuksissaan. Ongelmiin puututtava niiden lähteellä Miten sitten operaattorien mielestä pitäisi toimia verkkopiratismin vähentämiseksi? ?Ongelmiin tulee puuttua niiden lähteellä tai toissijaisesti palvelimella, ei verkkotason kieltomääräyksillä. Näin todetaan myös tekijänoikeuslaissa ja EU:n tekijänoikeusdirektiivissä?, Mika Enäjärvi vastaa. ?Käynnissä on useita yhteistyöhankkeita, joissa lainvastaisuuksiin puututaan toiminnan lähteillä. Nykyisin tekijänoikeuden haltija voi nostaa kanteen vain väitettyä tekijänoikeuden loukkaajaa vastaan. Hovioikeus vahvisti Elisaa koskevan käräjäoikeuden päätöksen. FiCom ry:n lakimiehen Mika Enäjärven mukaan tapaus Pirate Bay osoittaa, että tuomioistuimet ovat tulkinneet nykylakia aiemmasta poiketen: ?Epäiltyyn laittomaan jakajaan kohdistuvien toimenpiteiden sijaan tuomioistuin on määrännyt, että kaikkien käyttäjien pääsy estetään tiettyihin operaattorin verkon ulkopuolella sijaitseviin internetosoitteisiin.? Teleyritykset ovat poistaneet nimipalvelimiltaan tietyt domainnimet ja estäneet pääsyn tiettyihin IP-osoitteisiin mutta ovat valittaneet päätöksistä korkeimpiin oikeusasteisiin. Enäjärven mukaan Pirate Bay -päätös ja estotoimet yleensäkin ovat nostaneet esiin useita kysymyksiä. Helsingin käräjäoikeus määräsi Elisan, TeliaSoneran ja DNA:n estämään väliaikaisesti asiakkaidensa pääsyn sivustolle. Poliisissa on kysytty, onko perusteltua, että tekijänoikeuksien haltijat voivat hakea tuomioistuimelta estopäätöksen tekijänoikeusrikkomuksesta, kun esimerkiksi poliisin pakkokeino-oikeudet rangaistusasteikoltaan kovemmista rikoksista ovat rajoitetummat. \ Lisäksi on toimivia keinoja poistaa laitonta materiaalia. www.minedu.fi \ vaan kysyntään. Tukholman alioikeus tuomitsi ylläpitäjät tekijänoikeusrikoksen avunannosta vankeuteen ja vahingonkorvauksiin
Miksei yritetä tukkia joita lähetti silloiselle opetus- ja kulttuurinettipiratismin torjuntaa laillisten vaihtoeh- Teksti: Kirsi Castrén Joukko elokuva- ja musiikkialan toimi- Puskala esittää. \ 3/2012 TIETOSUOJA. ?Piratismia pitäisi torjua ensisijaisesti tekemällä laillisista vaihtoehdoista houkuttelevampia. Ari Korkala Mieluummin porkkanaa kuin keppiä Tekijänoikeusasioissakin ihminen voi tuntea itsensä pieneksi suurten koneistojen edessä. Näin pystyttäisiin tasoittamaan tojen tarjontaa parantamalla. Ongelmana on, ettei kukaan valvo, kenelle kirjeitä lähetetään.? Mikäli lainmuutosehdotus etenee, kampanjointi sitä vastaan todennäköisesti jatkuu, vakuuttaa Puskala omasta ja muiden allekirjoittaneiden puolesta. Entä mainostajien vastuu? Suomen lainsäädäntö sisältää Puskalan mukaan tällä hetkellä riittävät keinot puuttua luvattomaan verkkojakeluun. ?Näkisin, että kovatkin keinot ovat varmasti tarpeen esimerkiksi silloin, kun yritetään saada pois verkosta piraattipalvelua, joka rahastaa laajalla levityksellä.? Taiteilijat torjuisivat laitonta verkkojakelua mieluiten parantamalla laillisia vaihtoehtoja. E Elokuvakäsikirjoittaja uskoo kuitenkin enemmän porkkanaan kuin keppiin. Ihmiset valitsevat mieluummin laillisen vaihtoehdon?, elokuvakäsikirjoittaja Jarmo Puskala sanoo. käyttäjien yksityisyyttä, myös suututtavan kuluttajia. Kirjemenettely on ongelmallinen Yksi kirjeen allekirjoittajista, elokuvakäsikirjoittaja Jarmo Puskala kiinnittää huomiota ehdotuksen oikeusturvaongelmaan: ?Kirjemallissa valvova taho on se, joka katsoo kokeneensa jonkinlaista menetystä. Operaattorin tehtäväksi jää toimittaa varoituskirjeet asiakkaille. Kovien kei- pelikenttää laillisten toimijoiden hyödyksi?, nojen pelättiin paitsi vaarantavan verkon- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i nestä ylläpitäjilleen. 15. Ja kun dellinen hallitus ehdotti, että teki- keppiä käytetään, sitä tulisi käyttää taiten. jänoikeuksia verkossa loukkaaville Puskala suuntaisi toimenpiteitä välittäjien alettaisiin lähettää varoituskirjeitä. sijaan rahoittajiin. Lakiehdotus ei saanut taakseen kaikkia luovan työn tekijöitä. ?Piraattipalvelut saavat tulonsa mainoksista ja ovat niiden ansiosta tuottavaa bismainosrahojen reittejä, jolloin piraattisi- ministerille avoimen kirjeen, jossa toivottiin vustojen ylläpito muuttuisi kannattamattomaksi
Mitä hyötyä on laista, jota ei valvota??, kysyy Thomas Westerberg, Suomen peliohjelmisto- ja multimediayhdistys FIGMA ry:n toiminnanjohtaja. Hän viittaa edellisen hallituksen esitykseen, jossa ehdotettiin, että tekijänoikeuden alaista materiaalia laittomasti verkossa jakaville alettaisiin lähettää varoituskirjeitä. Suomessa videopelejä valmistaa noin 70 pelistudiota. Peliala kärsii piratismista siinä kuin musiikki ja elokuvakin. Vuoden 2011 tekijänoikeusbarometrin mukaan joka viidennessä suomalaiskodissa ladataan laitonta materiaalia vertaisverkoista. ?Laittomasti ladatut pelit ovat menetettyä rahaa pelien tekijöille, julkaisijoille ja jälleenmyyjille, kaikille arvoketjussa osallisille?, Westerberg huomauttaa. ?Ehdotettu malli on nykyisiä nopeampi ja pehmeämpi keino?, sanoo toiminnanjohtaja Antti Kotilainen Tekijänoikeuden tiedotusja valvontakeskuksesta. TTVK 16?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Tekijänoikeudet Piratismi aisoihin varoituskirjeillä? Tekijänoikeuden omistajat toivovat, että lakiehdotus ilmoituskirjeiden lähettämisestä laittomasti lataaville otettaisiin uuteen käsittelyyn. Teksti: Kirsi Castrén ja Marjo Rautvuori ?L ähtisin kitkemään piratismia ensisijaisesti positiivisen kautta, mutta totta kai lakia pitää valvoa
Eikö ole pe- rekisterien kannalta?, sanoo FiComin laki- varoituskirjeet laajentaisivat luvattoman riaatteellista ongelmaa siinä, jos rikoksen mies Mika Enäjärvi. verkkojakelun vastaisen taistelun keinovali- selvittäminen jätetään muiden kuin lailli- ?Ilmeisesti juuri siksi Suomen rauen- koimaa sekä vähentäisivät osaltaan tarvetta suusviranomaisten tehtäväksi. Vastaavia käytäntöjä on jo sovellettu muissa maissa, kuten Ranskassa. Nopeampi ja pehmeämpi menettely Lakiesityksessä sähköisen viestinnän tietosuojalakia olisi muutettu siten, että se olisi sallinut teleoperaattorin asiakkaiden tunnistamistietojen käsittelyn kirjeiden lähettämistä varten. 17. Uusi keino piratismia vastaan valle tekijänoikeusjärjestölle. ?Esityksessä tekijänoikeustaho saisi tie- Paljon keskustelua herättäneessä lakiesi- TTVK:n Kotilainen ei ota suoraan kantaa tää liittymän haltijan vasta tuomioistuimen tyksessä ehdotettiin, että teleoperaattorit siihen, kaventaisiko ehdotus verkonkäyttä- päätöksellä, kuten nytkin,. Teleyritysten edunvalvoja FiCom ry Mikäli laiton toiminta varoituksista huoli- ei innostu ajatuksesta. matta jatkuisi, olisi tekijänoikeuden omista- TTVK:n mielestä menettelyä voisi vielä jalla mahdollisuus nykyiseen tapaan saada parantaa ehdotetusta siten, että samalle ?Kirjemenettelyyn voi liittyä tietosuoja- tekijän yhteystiedot tuomioistuimen pää- nettiasiakkaalle lähetettyjen kirjeiden mää- ongelmia niin asiakkaiden nettiliikenteen töksellä ja halutessaan viedä asia poliisitut- rää seurattaisiin. valvonnan, tunnistamistietojen käsittelyn Tekijänoikeuksin suojatun materiaalin kuin tiedoista muodostuvien henkilötieto- Hallituksen esityksessä arvioitiin, että luvaton verkkojakelu on rikos. Asiakkaan henkilöllisyyttä ?Kirjemenettelyyn voi liittyä tietosuojaongelmia?, sanoo FiCom ry:n lakimies Mika Enäjärvi. ei olisi paljastettu kirjeen lähettäjänä toimi- Hallituksen esitys tekijänoikeuslain 60 a §:n ja sähköisen viestinnän tietosuojalain muuttamisesta HE 235/2010 vp \ ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i FiCom aiheesta enemmän 3/2012 TIETOSUOJA. Kysymyksen neessa esityksessä ei ollut nettiyhteyden poliisitutkintaan ja oikeudenkäynteihin. on nostanut esille muiden muassa Kulutta- katkaisumahdollisuutta eikä kirjeiden rekis- javirasto lakiehdotusta varten tekemässään teröintiä?, hän huomauttaa. Laittomasti Tietosuoja mietityttää Kirjeissä kerrottaisiin tekijänoikeuksista ja lataava saisi ilmoituksen, toisen ja ehkä kol- Teleyritysten tehtäväksi tulisi välittää teki- laittoman lataamisen seurauksista. mannenkin, ja lopettamalla toiminnan var- jänoikeustahon laatima varoituskirje asiak- mistaisi, ettei seurauksia tule?, hän sanoo. kaalle. \ kintaan. Lakiesitys raukesi eduskuntavaalien vuoksi ja on nykyisessä hallituksessa selvi- lausunnossa. tettävänä. Tekijänoikeuksien omistajien edunvalvoja, Tekijänoikeuden tiedotus- ja valvontakeskus TTVK toivoo, että nykyinen hallitus ottaa ehdotuksen uudelleen käsittelyyn. Toiminnanjohtaja Antti Kotilaisen mukaan kirjemenettely mahdollistaisi nykyistä laajemman puuttumisen tekijänoikeuksien loukkauksiin. Kotilainen kom- lähettäisivät asiakkailleen tekijänoikeus- jien yksityisyyttä. mentoi. tahojen ilmoitusten perusteella tekijänoi- ?Ehdotettu malli on nopeampi ja peh- keuksien valvojan laatiman varoituskirjeen. meämpi keino kuin nykyiset
Tekijänoikeudet Vaikeaa rajanvetoa 18?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Teknologian kehittymisen myötä tekijänoikeuksia ja niitä hyödyntäviä kuluttajia voidaan valvoa tehokkaammin kuin tekijänoikeudesta säädettäessä on koskaan ollut tarkoituskaan. Samalla on keskusteltu teellista tällaista tarkoitusta varten. EU:n tekijänoikeus- ja tietosuojasäännösten soveltamisessa joudutaan punnitsemaan vastakkaisia etuja. Euroo- tuomioistuin halusi tietää, oliko tietojen antami- sähkökauppadirektiivin välittäjien vastuuta pan tietosuojavaltuutetun kantana on ollut, nen järjestölle EY-oikeuden mukaista. koskevien säännösten uudistamisesta. että henkilötietoja pitäisi kerätä vain, jos on EY-tuomioistuin totesi, että tietoyhteis- selkeä epäilys laajamittaisesta ja kaupalli- kunnan palveluja, tekijänoikeuksia ja hen- Luovaa alaa ei voida silti pitää suojattomana. Voiko tekijänoikeuksien täytäntöönpano vaarantaa henkilötietojen suojan? keusloukkauksesta. Saako teleyritys luovuttaa henkilötietoja? Varoituskirjeen lähettäminen tai kanteen ajaminen edellyttää useimmiten kuluttajan Teksti: Iiro Loimaala V sessa tarkoituksessa toteutetusta tekijänoi- tunnistamista teleyrityksen käsittelemien tietojen avulla. Espanjalainen täytäntöönpanoon. Onkin kysytty, missä laarodeo juudessa tekijänoikeuksien suojaaminen oikeuttaa kuluttajan verkkokäyttäytymisen valvonnan. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i ? Koko asiakaskuntaan kohdistuva suodatusjärjestelmä voisi loukata teleyrityksen ja asiakkaiden perusoikeuksia. 3/2012 TIETOSUOJA. Vaikka tosuoja-asetus ja -direktiivi lopulta asettai- lisuutta käsitellä asiakkaidensa tietoja. Koska käsittelyä sähköisessä viestinnässä koskevat Arvio perustuu kansainvälisen musiikkituot- on epäselvää, millaiset rajat ehdotetut tie- säännökset rajaavat teleyrityksen mahdol- tajien järjestön IFPIn tutkimukseen. Jos verkkopiratismin käsite on tulkinnanvarai- sivat tekijänoikeuden täytäntöönpanolle, teleyritys käsittelee tietoja viestinnän välit- nen ja sitä koskevat tutkimustulokset kiis- on hyvä tarkastella unionin oikeudessa tämiseksi, tietojen käsittelyn tulee palvella teltyjä, internetissä tapahtuvien oikeuden- tähän mennessä henkilötietojen ja henki- tätä tarkoitusta. loukkausten arvioidaan johtavan vuosittain sen omaisuuden suojan välille hahmotel- miljardiluokan taloudellisiin tappioihin. tuja rajoja. Tekijänoikeuksien tehokkaampaa suojausta onkin jo pitkään tavoiteltu erityisesti verkkoympäristöön. Saako oikeudenhaltija käsitellä henkilötietoja? luntarjoajalta ei ole kuitenkaan aina mahdollista. Tietoja ei voida säilyttää pidempään tai luovuttaa muihin tarkoituksiin ilman lainmukaista perustetta. Jos tarvittavia tietoja ei kuuluisi olla, niitä ei voida luovuttaa. valvotaan usein verkkosisältöä ja sitä hyö- Pitääkö luovuttamisesta säätää laissa? EU:ssa on muun muassa niin kutsutulla dyntäviä kuluttajia erilaisin teknisin mene- Jäsenvaltiot voivat erikseen säätää laissa Enforcement-direktiivillä säädetty perus- telmin. palveluntarjoajien velvollisuudesta luovut- Netinkäyttäjä valvonnassa Tekijänoikeuksien suojan varmistamisessa teet tekijänoikeuden suojan varmistami- Valvonta voi tarkoittaa kuluttajat yksi- taa henkilötietoja riita-asian yhteydessä. selle ja muun muassa oikeudenhaltijoiden löivien IP-osoitteiden ja nettikäyttäytymi- Unionin lainsäädäntö ei kuitenkaan edel- oikeudelle saada teleoperaattorilta tekijän- seen liittyvien tietojen tallentamista, joka lytä tätä. oikeusloukkauksessa käytetyn nettiliitty- on henkilötietojen automaattista käsittelyä. Espanjalainen musiikkituottajien järjestö män yhteystiedot. Tällaiselle käsittelylle tulee olla lainmukai- halusi nostaa vahingonkorvauskanteet vertais- Direktiivin toimivuutta arvioidaan par- nen peruste, joka tekijänoikeuden haltijalle verkosta laittomasti ladanneita netinkäyttäjiä haillaan, ja eri intressiryhmät ovat pohti- voi olla oikeudenloukkauksesta epäillyn tie- vastaan. 19. Tätä varten se vaati teleyritystä paljas- neet mahdollisuutta kytkeä muun muassa tojen käsittely tekijänoikeuden puolustami- tamaan niiden asiakkaiden yhteystiedot, jotka verkkopalvelujen tarjoajat ja luottokorttiyh- seksi tuomioistuimessa. olivat IP-osoitteen ja ajankohdan perusteella tiöt vahvemmin mukaan tekijänoikeuksien Käsittelyn on oltava tarpeellista ja suh- ladanneet tiedostoja laittomasti. Tietojen saaminen palve- iime vuonna useampi kuin joka Samaan aikaan kuin EU:ssa arvioidaan neljäs netinkäyttäjä käytti lait- teollis- ja tekijänoikeuksien täytäntöönpa- tomasti tekijänoikeuksin suojat- nokeinoja, komissio on ehdottanut tieto- Yksityisyydensuojaa ja henkilötietojen tua verkkosisältöä kuukausittain. suojalainsäädännön uudistamista
Näiden direktiivien täytäntöönpanossa tuli kuitenkin huomioida perusoikeuksien ja unionin oikeuden yleisten periaatteiden välinen tasapaino. Käytännössä oikeudenhaltija saa tavalli- punnitsi asiaan liittyviä vastakkaisia etuja Euroopan tietosuojavaltuutetun mu- sesti henkilötiedot kansallisen tuomioistui- tapauskohtaisesti ja suhteellisuusperiaat- kaan kuluttajien tietojen käsittely muiden men määräyksellä, kun tekijänoikeuslouk- teen mukaisesti. intressien puolustamiseksi internetsopi- kauksesta on riittävä varmuus. Ruotsalaisen netinkäyttäjän IP-osoitteesta muksessa annetun suostumuksen perus- Ongelmallinen yhteistyö teella on ongelmallista. oli jaettu laittomasti 27 äänikirjaa. Tällainen kehitys voisi vaikuttaa myös teleyritysten mahdollisuuksiin käsitellä asiakkaidensa tietoja. On kiinnostavaa, että palveluntarjoajia koskevaa sääntelyä on uudistettu unionissa viime aikoina myös muilla tavoin. Säännöksen perusteella tuomiois- toiminta on siirretty Irlannin korkeimman tuin tietojen luovutuksesta päättäessään oikeuden tarkasteltavaksi. Euroopan tietosuojaviranomaisten työryhmän mukaan tietojen tallentamiselle ACTA jatkaa kulkuaan Europarlamentti hylkäsi kiistellyn ACTA-sopimuksen, mutta sen taru ei ole lopussa. Teksti: Kirsi Castrén ja Päivi Männikkö T ekijänoikeuskysymykset ovat suljetuin ovin valmisteltua sopimusta siitä, olleet viime vuosina kansainväli- että se sisälsi liikaa mahdollisuuksia vääriin sesti tapetilla väärennösten vas- tulkintoihin ja vaaransi kansalaisoikeudet. taisen kauppasopimuksen ACTAn merkeissä. Viranomaisetkin epäröivät. \ kilötietojen käsittelyä koskevat direktiivit eivät edellyttäneet säätämään velvollisuudesta luovuttaa henkilötietoja tekijänoikeuden tehokkaan suojan varmistamiseksi riita-asian yhteydessä. Kustantamot Joissain maissa oikeudenhaltijat tekevät hakivat oikeudelta Ruotsin tekijänoikeuslain yhteistyötä palveluntarjoajien kanssa. Irlan- Kenen tietoja teleyritys saa kerätä? mukaista tietojenantomääräystä, jolla teleyritys nissa teleoperaattori Eircom käsittelee asiak- Teleyritysten tallentamien tietojen käsittely olisi määrätty ilmoittamaan asiakkaan yhteys- kaidensa henkilötietoja varoituskirjeiden rajoittuu pääsääntöisesti viestinnän välittä- tiedot. lähettämiseksi näiden internetsopimuk- miseen. Tekijänoikeudet Teleyritykset muutoksen edessä? EU:n tietosuojasääntelyyn kaavaillut uudistukset painottavat entistä enemmän tietojen käsittelyn avoimuutta sekä kuluttajan tietoisuutta ja vaikutusmahdollisuuksia tietojensa käsittelyyn. Toimivaltainen täytäntöönpano- sessa antaman suostumuksen perusteella. viranomainen voinee erityisissä tilanteissa EU-tuomioistuimen mukaan tietojenantomääräystä koskevassa säännöksessä ei Erilaisten itsesääntelyä muistuttavien velvoittaa palveluntarjoajaa tallentamaan ollut ristiriitaa sähköisen viestinnän tieto- käytäntöjen lainmukaisuudesta on ollut kui- kuluttajien henkilötietoja tekijänoikeuden suojadirektiivin ja Enforcement-direktiivin tenkin epäselvyyttä, ja esimerkiksi Eircomin suojaamiseksi. välillä. EU:n tietosuojavaltuutettu epäili lausunnossaan, että ACTA-sopimus neuvoteltiin EU:n, Yhdys- sopimus mahdollistaa kansalaisten sähköi- valtain, Australian, Kanadan, Japanin, Mek- sen viestinnän seuraamisen laajassa mitta- sikon, Marokon, Uuden-Seelannin, Sin- kaavassa. gaporen, Etelä-Korean ja Sveitsin välillä. Sopimuksen käsittely Euroopan parla- Sopimuksen allekirjoittajat sitoutuvat sää- mentissa herätti poikkeuksellisen runsaasti tämään lakeja, jotka lisäävät ja nopeuttavat reaktioita: Europarlamentin mukaan kansa- kansainvälistä yhteistyötä väärennösten ja laisyhteydenottoja tuli ennennäkemätön verkkopiratismin vastaisissa toimissa. määrä ja parlamentille toimitettiin myös 2,8 Eri maiden kansalaisjärjestöt moittivat 20?TIETOSUOJA 3/2012 miljoonan ihmisen allekirjoittama ACTAa t ietot urvan j a t ietosuoj an erikoisl ehti. Hollannissa on tänä kesänä hyväksytty laki, joka rajoittaa teleyritysten mahdollisuuksia tekniseen valvontaan, verkkosisällön suodattamiseen ja liikennetietojen käsittelyyn
Tekijänoikeuden ja lähioikeuksien tiettyjen piirteiden yhdenmukaistamisesta tietoyhteiskunnassa annettu direktiivi 2001/29/EY ? Enforcement-direktiivi 2004/48/EY ? Henkilötietodirektiivi 95/46/EY ? Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY ? Direktiivi teletunnistetietojen tallentamisesta 2006/24/EY vertaisverkoista. Järjestelmä voisi vaarantaa tiedonvälityksen vapauden kirjoittaja Iiro Loimaala on työskennellyt tietosuojavaltuutetun toimistossa ja on parhaillaan kansainvälinen tutkija Brysselissä Université libre de Bruxelles -yliopistossa. 21. Näin se voisi lou- Unionin tuomioistuimen tapauskäytäntöä: ? Yhteisöjen tuomioistuimen tuomio asiassa C-275/06, Produtores de Música de España (Promusicae) v. Perfect Communication Sweden AB, 19.4.2012. Näin ollen sopimus ei voi astua voimaan EU:ssa. Lisäksi tietoja aiheesta enemmän tulee säilyttää mahdollisimman lyhyen ajan, ja käytännöstä pitää säätää laissa riittävän tarkasti. Palveluntarjoajia ei voida määrätä tallentamaan ja seuraamaan kuluttajien henkilötietoja järjestelmällisesti. Belgialainen muusikkojen tekijänoikeusjärjestö vaati, että tuomioistuin määräisi teleyrityksen estämään asiakkaitaan lataamasta EU:n lainsäädäntöä: . \ Euroopan parlamentti hylkäsi heinäkuussa väärentämisen vastaisen kauppasopimuksen (ACTA). \ ja estää myös sisällöltään lailliset viestit. Direktiivi sähköisestä kaupankäynnistä 2000/31/EY . \ kata sekä teleyrityksen että sen asiakkaiden perusoikeuksia. Tuomioistuin korosti, että tällainen suodatusjärjestelmä ei pysty tunnistamaan riittävän tarkasti laillista ja laitonta sisältöä . Kirjoitus perustuu opinnäytetyöhön. tiedonsiirron laillisuushan voi riippua esimerkiksi tekijänoikeudesta tehtyjen laillisten poikkeusten soveltamisesta, jotka vaihtelevat jäsenvaltiosta toiseen. \ ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Näin ollen ACTA ei tullut voimaan EU:ssa, vaikka osa European Union 2012 . European Parliament jäsenmaista, esimerkiksi Suomi, oli jo ehtinyt allekirjoittaa sen. EU:n kauppakomissaari Karel de Gucht on kuitenkin julkisuudessa ilmoittanut aikovansa jatkaa ACTAn viemistä eteenpäin. European Digital Rights -järjestön mukaan komissio yrittäisi sisällyttää ACTAn tyyppisiä toimenpidesäännöksiä EU:n ja Kanadan väliseen kauppasopimukseen, josta neuvotellaan parhaillaan. 478 parlamentin jäsentä äänesti sopimusta vastaan, 39 sen puolesta ja 165 tyhjää. vastustava vetoomus. EU-parlamentti kaatoi sopimuksen heinäkuisessa äänestyksessään. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) ja muut, 24.11.2011. ? Unionin tuomioistuimen tuomio asiassa C-461/10, Bonnier Audio Ab ja muut v. Ennakkoratkaisua pyytänyt tuomioistuin halusi tietää, olisiko määräys unionin oikeuden mukainen. EU-tuomioistuimen mukaan vertaisverkon viestiliikenteen suodatusjärjestelmä, joka kohdistuisi koko asiakaskuntaan, mahdollistaisi järjestelmällisen sisällön analysoinnin, henkilötietojen keräämiseen ja kuluttajien yksilöinnin. tulee olla perusteltu tarve. Telefónica de España SAU, 29.1.2008. ? Unionin tuomioistuimen tuomio asiassa C-70/10, Scarlet Extended SA v
Potilaan asemaa ja oikeuksia Olen painottanut, että HUSissa ollaan avoimia, ja palve- koskevan lain mukaan sivulliselle ei saa antaa potilasasiakir- lemme mielellämme julkista sanaa. Mutta me noudatamme joihin sisältyviä tietoja ilman potilaan kirjallista suostumusta. lakia emmekä tingi potilaan oikeudesta yksityisyydensuo- Me HUSin tiedottajat joudumme selvittämään toimit- jaan. Koska lasta, minkälaisia vammoja, onko joku kuollut. Tämän jälkeen tein kantelun Julkisen sanan neuvostoon. Asia oli kiusallinen, sillä muut viestimet siteerasivat Iltalehteä ja kaikkialla mainittiin, että HUS ? sestä sairaalassa. Joskus toimittajat tai kuvaajat yrittävät tunkeutua laskemaan itse haavoittuneet ja kuvaamaan potilaita.? Sairaaloiden ovet ovat auki, lukkoja ei ole kuin psykiatrisen sairaalan suljetulla osastolla. Joskus voi käydä niin, että toimittajat tai kuvaajat yrittävät tunkeutua sairaalan osastoille laskemaan itse haavoittuneet ja kuvaamaan potilaita. Tällaiseen tilanteeseen jouduimme viime keväänä Töölön oli vahvistanut asian Iltalehdelle. Langettava päätös tuli vastauksena minun teen tietoja yksittäisen potilaan tilasta. kanteluuni, jonka olin tehnyt lehdestä viime syksynä. Tämä on arkipäivää, mutta sitten ovat vielä erikoistilan- Iltalehti oli väittänyt, että Helsingin ja Uudenmaan sai- teet. Tein tie- ristä voidaan puhua, mutta vammojen suhteen on jo oltava dusteluja ja sain selville, ettei kukaan henkilökunnastamme varovainen, puhumattakaan jonkun ihmisen menehtymi- ollut vahvistanut asiaa lehdelle. Olin yhteydessä lehden uutispäätoimittajaan, mutta emme päässeet asiasta yhteisymmärrykseen. Kuinka monta poti- lassa on hoidettavana julkisuudesta tuttu ihminen. Kun pommi räjähtää ihmisten keskellä tai koulussa raanhoitopiiri HUS olisi vahvistanut, että Meilahden sairaa- ammutaan, alkavat puhelimet soida. Lääkintäpäällikkö vastaili kysymyksiin kieli keskellä vaikenemaan potilaiden tilanteista. suuta pitäen tarkasti mielessään potilaan yksityisyydensuo- Potilastiedot ovat arkaluonteisia ja siten salassapito- ja jan. vaitiolovelvollisuuden alaisia. Potilaidemme yksityisyydensuoja on pyhä asia siten, että kutsuimme viestimet sairaalaan tiedotustilaisuu- ja kaikki työntekijät opetetaan talon tavoille, toisin sanoen teen. Sen ratkaisimme kovan lakia. \ tajille tätä asiaa lähes viikoittain. Näin meidän väitettiin rik- sairaalassa, kun Hyvinkäällä oli ammuttu. Kolumni 3/2012 Johanna Saukkomaa J HUS Potilaan yksityisyys on sairaalalle pyhä asia ulkisen sanan neuvosto antoi viime keväänä Iltaleh- halutessaan vastata kysymyksiin jostain sairaudesta yleis- delle huomautuksen hyvän journalistisen tavan rikko- luonteisesti, mutta he eivät tietenkään voi kertoa julkisuu- misesta. Me sanomme, että lääkärit voivat 22?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Kun julkisuuden henkilö sairastuu ja hänen tiedetään olevan hoidossa HUSin sai- Johanna Saukkomaa on Helsingin ja Uudenmaan sairaan- raalassa, toimittaja soittaa ja pyytää saada haastatella tätä hoitopiirin viestintäjohtaja. potilasta hoitavaa lääkäriä. Oikaisua ei julkaistu. Lukumää- olen HUSin viestintäjohtaja, kiinnostuin asiasta
Henkilötunnus osakeluetteloon vai ei? 24?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
25. Ohjeet perustuvat henkilötietolakiin, ja tietosuojavaltuutettu on hyväksynyt ne. www.vuokranantajat.fi/oppaatjasuositukset/ vuokrauksentietosuojaohje \ Päivi Männikkö osakkaista. Yleensä taloyhtiöillä on myös ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. maksut määräytyvät osakemäärän tai pinta-alan perusteella. Toisessa ääripäässä voi olla ja kunnan tai työnantajan kiinteistöyhtiö, jossa vuokranantaja kontrolloi, keitä huoneistossa asuu. \ kaikilta osin tunne henkilötietolain isännöintitoimisto tai palkattu isännöitsijä. velvoitteita. Vain netissä: Tunnetko asukasrekisterin perussäännöt? www.tietosuoja-lehti.fi Asuntoyhtiöt saavat kerätä vain asukassuhteen hoidon kannalta tarpeellisia henkilötietoja. Yli puolet kertoi selostetta nähtävillä esimerkiksi taloyhtiön luovuttavansa henkilötietoja yhtiön sisällä verkkosivuilla. Entä saako vuokranantaja säilyttää vuokrahakemukset siltä varalta että nykyinen asukas muuttaa pian pois. Se pitäisi kuitenkin tehdä, jos osakkaille ja hallitukselle. yhtiö kerää henkilötietoja nettisivuillaan. Tietosuojavaltuutetun toimiston opas Taloyhtiöiden asukasluettelot ja henkilötietolaki: www.tietosuoja.fi > Oppaat \ henkilötietolain mukaiset rekisteriselosteet esimerkiksi osakas- ja asukasluettelosta. Asunto-osakeyhtiöiden täytyy olla tark- Henkilötietojen käsittelyä asunto-osa- kana asukkaiden henkilötietojen suhteen, keyhtiöissä uudistettiin heinäkuussa 2010 sillä niitä saa käsitellä vain asukassuhteen hoitoa koskevissa asioissa, eikä niitä yleensä saa luovuttaa ulkopuolisille. Kyselyssä selvitettiin asunto- Tietosuojavaltuutetun selvityksen osakeyhtiöiden rekisterinpitoa ja muita sille mukaan osa rekisterinpitäjistä laiminlyö rekisterinpitäjänä kuuluvia velvollisuuksia. luettelonpitoon liittyviä velvollisuuksiaan. Yli kolmannes antaa tietoja ulkopuolisille aiheesta enemmän Vain vajaa puolet vastanneista oli laatinut Selvitykseen vastanneista useampi kuin Jos rekisteriseloste oli tehty, se oli näh- joka kolmas ilmoitti luovuttavansa henki- tävillä isännöintitoimistossa. Jos sitä harkitaan, on syytä varmistaa, että tietojen pyytäjällä on laillinen oikeus käsitellä tietoja. Silloin esimerkiksi talokirjaotteet ja vuokrasopimuksen noudattamisen seuAntero Aaltonen ranta vaativat tarkkaa asukasluetteloa. Rekisteriselosteet tiskin alla Asuntoyhtiölaki vaatii pitämään luetteloa Ohjeita vuokrauksen tietosuojaan Saako vuokranantaja pyytää vuokralaiselta rikosrekisteriotetta. Yksikään vas- Isännöintiliiton rekisteriseloste-ohje sekä asukas- ja osakasluettelomallit ovat liiton jäsenten saatavilla: lötietoja ulkopuolisille, esimerkiksi huolto- tanneista ei ilmoittanut pitävänsä rekisteri- www.isannointiliitto.fi > Jasensivut liikkeille ja viranomaisille. Taloyhtiöissä osake- Lakiin lisättiin tarkennuksia osakeluettelon vitys näytti, etteivät asuntoyhtiöt ja asukasluetteloita ylläpitää useimmiten pidosta ja tietojen luovuttamisesta. Esimerkiksi asukasluetteloa ei ehkä tarvita lainkaan, jos yhtiössä ei ole avainpalvelua ja vastikkeet ym. Saako välittäjä antaa sen hänelle? Näihin ja moniin muihin kysymyksiin vastaa vuokrauksen tietosuojaohje. Kesällä 2011 julkistettu ohje neuvoo vuokranantajia ja välittäjiä siinä, mitä tietoja vuokralaiselta saa kerätä, miten niitä säilytetään ja miten niiden luovuttamisessa edelleen tulee toimia. Ohjeen laatimiseen ovat osallistuneet Asunto-, toimitila- ja rakennuttajaliitto RAKLI ry, Isännöintiliitto, Suomen Kiinteistönvälittäjäliitto ry, Suomen Vuokranantajat ry, Vuokralaiset VKL ry ja Vuokraturva Oy. Vuokranantaja haluaa nähdä vuokralaisen palkkatodistuksen. Jos luovuttamiseen päädytään, kannattaa tietojen käsittelystä tehdä kirjallinen sopimus. Henkilötietoja ei pidä kerätä rutiininomaisesti. Tietosuojavaltuutetun toimiston selvityksen mukaan vain osa taloyhtiöistä tuntee säännöt. Teksti: Marianne Saine T ietosuojavaltuutetun viime vuonna rekisteri talon asukkaista esimerkiksi oven- voimaan tulleessa asunto-osakeyhtiölaissa. asunto-osakeyhtiöille tekemä sel- avauspalvelua varten. Asuntoyhtiöillä on tässä erilaisia tarpeita
Lainmuutoksessa tilannetta täs- merkitsemistä osakeluetteloon.? kasluettelo on isännöitsijöille mennettiin niin, että henkilön osoitteen ja monesti tärkeämpi työkalu. syntymäajan saa luovuttaa vain osakkeen- ?Isännöitsijän on esimerkiksi tiedettävä, kenelle voi antaa ovenavauspalvelua?, sanoo Kiinteistöliiton vanhempi lakimies Tiina Hallberg. omistajalle tai sille, joka osoittaa oikeutensa Rekisteriselostetta ei ymmärretä sitä vaativan?, Hallberg kertoo. Tietosuojavaltuutetun selvityksen mukaan Tiedon saamiseen pitää siis olla perusteltu syy. ?Laista tulee tosin osakkaalle velvoite ?Sellainen tilanne on esimerkiksi jos ilmoittaa asuntoyhtiöille huoneiston asuk- vuokralainen haluaa nostaa kanteen osak- kaiden määrä, jos se on vastikkeen maksu- keen omistajaa vastaan?, Hallberg kuvaa. perusteena vesimaksua varten. \ 26?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Median edustajat saat- turvakieltomerkinnän huomioimisesta tie- isännöintiyritys seuraa aktiivisesti alan lain- toivat aiemmin pyytää sitä esimerkiksi syn- tojen luovutuksessa. Asunto-osakeyhtiölaki paransi tietosuojaa Suomen Kiinteistöliitto on tyytyväinen uudistettuun asuntoyhtiölakiin. Asukkaiden tietosuojaa paransivat turvakiellon huomioon ottaminen ja se, että aivan kaikki tiedot eivät ole enää julkisia. pääasiassa vain viranomaiselle. ?Tämä oli osaltaan tärkeä uudistus?, Hallberg sanoo. Teksti: Marianne Saine A osakeluettelon julkisia tietoja saa luovuttaa ?Ennen turvakiellon saaneen tietojen luovutusrajoitus oli todella hankalaa huo- suntoyhtiölaki vaatii pitämään tymäpäiväuutisointiin, koska tiedot ovat mioida, koska laki toisaalta vaati tietojen osakeluetteloa, mutta asu- julkisia. Mistä se johtuu? ?Puute liittynee siihen, etteivät asuntoyhtiöt miellä erillisen selosteen tekemistä asuntoyhtiölain määräämästä luettelosta?, Tiina Hallberg vastaa. ?Ammattitaitoiset isännöintitoimistot kuitenkin tiedostavat rekisteriselosteen laatimisvelvoitteet?, hän lisää. ?Isännöinnin ISA-auktorisointi ja isännöintiyritysten auditointi pyrkivät var- ?Osakeluettelossa on osakkeenomista- Uudistettuun lakiin tuli myös maininta mistamaan, että ISA-tunnuksen saanut jan syntymäaika. Tällaisessa tilanteessa säädäntöä.. Nimiä ei kuitenkaan tarvitse kertoa.? Tietoja annetaan vain perustellusti Hallberg pitää hyvänä sitä, että lakiuudistuksen jälkeen taloyhtiö saa säilyttää osakkeenomistajien tietoja kymmenen vuotta. ?Kun ottaa huomioon esimerkiksi asuntokaupan virhevaatimusten vanhentumis- Kaikki osakeluetteloon merkityt tiedot eivät ajat ja vahingonkorvausvelvoitteet, kym- ole enää kenen tahansa saatavissa. menen vuoden säilytysaika on riittävä.? vain noin puolet asuntoyhtiöistä on laatinut henkilörekistereistään rekisteriselosteet
? Ammattilainen tietää vastuut Isännöitsijätoimisto SKH-Isännöinnin toimitusjohtaja Markku Kulomäen mukaan isossa toimistossa tietosuojan pelisäännöt tunnetaan. ?Asukastietoja luovutetaan vain taloyhtiötä, asukkaita ja osakkaita palvelevaan tarkoitukseen. Myös lyhytaikaiset vuokrasuhteet aiheuttavat sen, ettei yhtiö ole jatkuvasti ajan tasalla siitä, keitä talossa asuu. Tiedot heistä ovat kuitenkin tärkeitä, koska asuntoyhtiöllä pitää olla mahdollisuus selvittää vastuita myös entisiltä omistajilta esimerkiksi luvatta tai väärin tehdyistä remonteista.? Kulomäki kaipaa vielä sitä, että asukasluettelon seuraaminen ja valvominen tehtäisiin mahdollisimman helpoksi. ?Asumistoiminta on muuttunut. Sellainen on vaikkapa putkiremontti, jossa urakoitsijalle on tärkeää suora yhteydenpito asukkaiden kanssa. Entisiä omistajia on jouduttu selvittämään esimerkiksi vanhoista kauppakirjoista. Esimerkiksi huoneistohotellitoiminta on lisääntynyt. 27. Ennen remonttia kerätään myös asukkaiden sähköpostisoitteet. Asuntoyhtiölle on kuitenkin tärkeää saada sille kuuluvat vesi-, autopaikka-, sauna- ja pesutupamaksut.. \ ?Asukastietoja luovutetaan vain taloyhtiötä, asukkaita ja osakkaita palvelevaan tarkoitukseen?, SKH-Isännöinnin toimitusjohtaja Markku Kulomäki sanoo. Jyrki Vesa Antero Aaltonen Nykyään osakkeenomistajan osoitteen ja syntymäajan saa vain perustellusta syystä. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Lupa tietojen luovuttamiseen kysytään jokaiselta asukkaalta aina erikseen.? Kulomäen mukaan asunto-osakeyhtiölakiin tehdyt henkilötietojen käsittelyä koskevat uudistukset olivat tarpeen. ?Eräs parhaista on, että edellistenkin osakkeenomistajien tietoja saa taas säilyttää.? Entinen laki oli hänen mukaansa hankala sekä asuntoyhtiöiden että isännöitsijöiden kannalta. ?Silloin osa osakkeiden omistushistoriasta hävisi kokonaan
Tarkoituksena lienee helpottaa Vaikutustenarvioinnissa kuvataan hen- nattaa perehtyä hyvissä ajoin. asiakkaiden liikkumista sähköisestä, esimer- kilötietojen käsittely, riskiarvio ja riskienhal- kiksi sosiaalisen median, palvelusta toiseen. linnan toimenpiteet. Konkreettiset sessä muodossa, jossa ne voi siirtää toiseen jos arviosta ilmenee erityisiä riskejä. Rekisterinpitäjille on silti luvassa myös uusia velvoitteita, joihin voi varautua jo nyt. Teksti: Markus Salminen M ahdollisesti vuoden sisällä Aiemminkin on ollut hyvä käytäntö toi- vacy Impact Assessment). Rekisterinpitäjän hyväksyttävän EU:n tieto- mia näin, mutta velvoittava säädös aiheut- tai henkilötietojen käsittelijän on laadit- suoja-asetusehdotuksen si- tanee uusia toimenpiteitä ja uusia kustan- tava arvio suunniteltujen käsittelytoimien sällöstä suurin osa on jo tut- nuksia suurimmalle osalle rekisterinpitäjiä vaikutuksesta henkilötietojen suojalle, jos ja henkilötietojen käsittelijöitä. tietojen käsittelyyn liittyy niiden luonteen, tua Suomen henkilötietolaista ja EU:n henkilötietodirektiivistä. Tällaisia riskejä voi ehdotuksen Vaikka arvioitavana on vasta ehdotus, voi tojen luovuttamisesta rekisteröidylle siten, videovalvontaan sekä arkaluonteisten tai sen perusteella jo päätellä EU:n tietosuojan että tiedot ovat siirrettävissä toiseen järjes- lasten tietojen käsittelyyn. suuntaviivoja, joihin rekisterinpitäjän kan- telmään. Rekisterinpitäjän on annettava Vaikutustenarviointi on toimitettava terinpitäjän on itse kyettävä todentamaan, ne hänelle pyydettäessä sellaisessa sähköi- valvontaviranomaiselle, jota on kuultava, että se noudattaa asetusta. Asetuksen myötä Tilivelvollisuusperiaatteen toteuttaminen vaatii käytännössä, että rekisterinpitäjän ? Ellei tietosuojatoimintaa vielä ole järjestetty, alkaa olla kiire. 28?TIETOSUOJA 3/2012 puutteiden korjaamiseksi. vollisuus koskee Suomessa nykyisin lähinnä ilmoitusvelvollisuus laajenee myös muihin rekisterinpitäjiin. Mukana on kuitenkin laajuuden tai tarkoitusten vuoksi erityi- myös useita merkittäviä uusia kokonaisuuk- Tiedot kulkevat asiakkaan mukana sia, joita tässä käsitellään tarkemmin. Asetusehdotuksessa säädetään henkilötie- mukaan liittyä esimerkiksi profilointiin, siä riskejä. Viran- vaatimukset kattavasta dokumentoinnista järjestelmään. omainen voi tarvittaessa kieltää käsittelyn Joko toteutatte tilivelvollisuutta? vahvistavat tätä velvoitetta. Rekisterinpitäjälle tietojen toimittami- asetuksen vastaisena ja esittää ehdotukset Kuinka moni henkilötietoja käsittele- nen sähköisessä muodossa on uusi vaati- vistä yrityksistä tai yhteisöistä pystyy nyt mus, joka vaatii useimmiten myös tietojär- osoittamaan toiminnan lainmukaisuuden? jestelmien kehittämistä. Ilmoitusvelvoite pakottaa varautumaan Tietoturvaloukkauksista ilmoittamisen vel- on kuvattava koko henkilötietojen käsitte- Riskitilanteiden vaikutukset on arvioitava ennakkoon lytoiminta ja tarkasteltava systemaattisesti, Uusi konkreettinen velvollisuus rekisterin- teleyrityksiä ja perustuu sähköisen vies- miten asetuksen velvoitteet toteutuvat. pitäjille on myös vaikutustenarviointi (Pri- tinnän tietosuojalakiin. Niiden on ilmoitettava henkilötietojen tietoturvaloukkauksista (Data Breach Notification) valvontaviranomaiselle 24 tunnin kuluessa tai perusteltava mahdollinen viivästys. Ilmoituksessa on kuvailtava loukkaus, tehdyt toimenpiteet ja seuraukset. t ietot urvan j a t ietosuoj an erikoisl ehti. Uudistuva tietosuojalainsäädäntö Tietosuoja-asetukseen EU:n tietosuoja-asetusehdotuksen osoittama kehityksen suunta on luontevaa jatkoa nykyiselle lainsäädännölle. Suunnitellusta henki- Ehdotus koskee sellaisia rekisteröidyn lötietojen käsittelystä on myös pyydettävä Merkittävä oikeustilaa konkretisoiva velvol- henkilötietoja, jotka hän itse on antanut rekisteröityjen tai näiden edustajien näke- lisuus on niin sanottu tilivelvollisuuden pe- esimerkiksi suostumuksen tai sopimuksen myksiä. riaate (Accountability), jonka mukaan rekis- perusteella
\ Lisää netissä: Miten suostumusvaatimusten käy. \ näköisesti kahden vuoden siirtymäaika, jol- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. Valvontaviranomainen saa oikeudet ennakkokuulemiseen ja ennakkohyväksyntään. Valvontaviranomaisella on myös mahdollisuus kieltää käsittely väliaikaisesti tai pysyvästi, mikä Suomessa kuuluu nykyisin tietosuojalautakunnan toimivaltaan. Tietosuojavaltuutetulle ehdotetaan myös merkittäviä valtuuksia määrätä hallinnollisia seuraamuksia aina miljoonaan euroon tai kahteen prosenttiin maailmanlaajuisesta liikevaihdosta saakka. Mittakaavaltaan ne ovat siis jatkossa huomattavia ja todennäköisesti nostavat tietosuojan merkitystä rekisterinpitäjien toiminnassa ja riskianalyyseissä. Hallinnollisen seuraamuksen raskaimmasta luokasta löytyy hyvinkin perustavanlaatuisia mutta myös tavanomaisia rikkomuksia. Ennen asetuksen lopullista versiota seuraamusten hinnastossa voi tosin tapahtua vielä merkittäviäkin muutoksia. 29. Sen lähisukulainen nykyi- Tietosuojasta huolehtineilla ei ole hätää sessä henkilötietolaissa on automatisoitu Vaikka asetusehdotus ei ole vielä valmis tai päätös, jonka profilointisäädökset aikanaan hyväksytty, rekisterinpitäjä voi hyvin jatkaa korvaavat. tietosuojan kehittämistä nykyisen oikeusti- Uutena käsitteenä asetusehdotukseen on Profilointia on ihmisen henkilökohtais- lan mukaisesti. ten ominaisuuksien automaattinen arvioin- Asetuksen voimaantultua alkanee toden- ti siten, että arvioinnilla on merkittäviä Lex-Dialog Oy:n tietosuoja-asiantuntija Markus Salminen on erikoistunut kuluttajaliiketoiminnan tietosuojan kehittämiseen. Hänellä on aihealueen juridisen (OTM) ja kaupallisen (KTM) osaamisen lisäksi yli 15 vuoden käytännön kokemus liiketoiminnan ja tietojärjestelmien kehittämishankkeista. Tietoturvaloukkaus ja siitä tehtävä ihminen. Profilointia on myös loin toimintaa voi kehittää voimassaole- tavaikutuksia rekisteröidyille, rekisterinpi- ammatillisen suorituskyvyn, taloudellisen van asetuksen sanamuodot huomioiden. täjän on ilmoitettava tapahtuneesta myös tilanteen, sijainnin, terveyden, mieltymys- Jos rekisterinpitäjän tietosuojatoiminta on heille. ten, luotettavuuden ja käyttäytymisen auto- siirtymäajan alkaessa lähellä lainmukaista, maattinen analysointi tai ennakointi. aikaa uutuuksien toteutukseen on hyvin. Ilmoitusvelvollisuudella on käytännön vaikutuksia rekisterinpitäjien toimintaan, Asetusehdotus sallii profiloinnin, kun se sillä niiden pitää varautua poikkeustilan- tehdään sopimuksen tekemisen tai täytän- teessa toimimiseen ja ilmoituksen tekemi- töönpanon yhteydessä ja siihen osallistuu seen. Nämä toiminevat hyvinä syinä vält- seurata tarkasti, ovatko profilointia koske- suojasta etukäteen. vat sanamuodot muuttuneet asetuksen voi- tetty, alkaa olla kiire. Hallinnolliset seuraamukset eivät sulje pois rikosoikeudellista vastuuta tai vahingonkorvausvelvollisuutta vaan täydentävät niitä. kannattaa varautua Selvästi nykyistä kovemmat sanktiot Asetusehdotuksessa valvontaviranomaiselle, Suomessa tietosuojavaltuutetulle, on annettu merkittäviä uusia valtuuksia. Tämä kattaa suuren osan palve- ilmoitus vaikuttavat yrityksen imagoon ja luntarjoajien tekemästä profiloinnista. kiinnittävät valvontaviranomaisen huo- Jos profiloinnin tarkoituksena on vain mion. Esimerkiksi vaikutusarvioinnin laiminlyönti tai tietosuojavastaavan nimittämättä jättäminen kuuluvat miljoonan euron seuraamusluokkaan. Onko tietosuojavastaavalla jatkossa asetukseen perustuva erityisasema ja säädetyt tehtävät. \ kirjoittaja markkinointi, rekisterinpitäjän kannattaa tää poikkeustilanteita huolehtimalla tieto- Ellei tietosuojatoimintaa vielä ole järjes- Profilointi käy, jos asiakas suostuu maantulevassa versiossa. tuotu profilointi. Miten uudet periaatteet kehittävät tietosuojakäytäntöjä? Lue koko artikkeli Tietosuojan verkkolehdestä www.tietosuoja-lehti.fi Jos loukkauksesta on todennäköisiä hait- vaikutuksia hänelle
Profiili: Kuntaliitto Kuntien asialla 30?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti
Oikeuskäytäntöäkin rajanvedosta nissa kohtuullisella, ellei jopa hyvälläkin alkaa jo olla soveltamisen tueksi, samoin tasolla. Kuntaliitto on niissä mukana kumppanina, edunvalvojana ja opastajana. Toisaalta esimerkiksi kuntien sosiaali- ja terveystoimissa, joissa käsitellään paljon arkaluonteisia asioita, yhteistyö tietosuojavaltuutetun kanssa on tiivistä. Minulta ja tarvetta tiedolle on. Koulutuksissa käy ilmi, että kun- ja taloudellisesti arvokasta tietoa. Silti tietoturva ei ole kuntien tärkeysjärjestyksen kärjessä. Lähtökohtaisesti kunnan päätökset ovat nan työntekijät eivät välttämättä edes tiedä ?Kunnan johto vastaa tietoturvasta osa- julkisia, mutta rajanveto julkisuuden ja tietosuojavaltuutetun olemassaolosta?, na riskienhallintaa, ja johdolla on työpöy- salassapitoperusteiden välillä voi olla han- Staffans sanoo. dällään tuhat ja sata asiaa. Asiakirjojen julki- lystä? joissa liikkuu arkaluonteisia henkilötietoja suuteen ja tietosuojaan liittyvät asiat ovat ?Niitä on paljon, mutta täytyy sanoa, että Kuntaliiton lakimiehiltä useimmin kysytty- tietosuojavaltuutetun tiedotus kunnille on jen kysymysten joukossa. vähäistä. Parhaiten suojataan verkon ne osat, niiden tietosuojapulmia. Tietoverkkojen segmentointi, suo- oikeusasiamiehen ratkaisuja. jatarpeen mukainen jaottelu eri osiin, on Julkista ja salassa pidettävää Huutolaislapsiin liittynyt kysymys kuvastaa Entä luetaanko kunnissa tietosuojaval- ollut arkea jo kahdenkymmenen vuoden paitsi kuntien laajaa toimintakenttää, myös tuutetun ohjeita henkilötietojen käsitte- ajan. Useimmiten kalaa. Kunnat ja tietosuojavaltuutettu ratkovat esimerkiksi opetustoimen sekä sosiaali- ja terveystoi- Teksti: Päivi Männikkö | kuvat: olli häkämies K mien tietosuojapulmia yhteisissä työryhmissä. untaliiton lakimies Ida Staffans on riaate on vahva, asiakirja luokitellaan salassa tottunut neuvomaan kuntia kai- pidettäväksi vain, kun on pakko. kenlaisissa tietosuojaan ja salassa- Hänen mukaansa kunnat selviytyvät jul- Tietoturva ei ole arvojärjestyksen kärjessä pitoon liittyvissä pulmissa mutta kisuuden ja salassapidon välisestä rajanve- Tietoturvan toteuttamisessa Kuntaliitto tällaiseen hänkään ei ollut kuvitellut joutu- dosta hyvin jokapäiväisissä rutiineissaan, painottaa, että jokaisen kunnan kannattaa vansa vastaamaan. kuten pöytäkirjojen julkaisemisessa ver- laatia itsenäisesti omaan toimintaympäris- kossa siten, että niistä näkyvät vain julkisiksi töönsä sopivat linjaukset. 1920-luvulla kunnissa huutokaupattiin lapsia, joita perheet eivät kyenneet elättämään. Huutokaupassa vähiten tarjonnut sai lapsen, ja kunta maksoi tälle avustusta lapsen ylläpidosta. ?Kunnissa on päätöksiä, joissa kerro- ?On parempi, ettei kunnille ole tarjolla määritellyt kohdat. ?Mutta erityistilanteissa sitten saattaa yhtä selkeätä sapluunaa, koska näin ne joutuvat miettimään, mitä tietoturva merkitsee olla haasteita.? Tunnetaanko tietosuojavaltuutettu? käytännössä?, Kuntaliiton tietoyhteiskuntayksikön erityisasiantuntija Simo Tanner taan, mitä perheelle on maksettu lapsesta Kunnat tiedostavat tietosuojahaasteet, perustelee. Staffansin mukaan jotaan. kysyttiin näiden päätösten salassapidosta Kuntaliiton lakimiehiltä tilataan paljon kou- Tanner arvelee, että tietoturva on kun- ja tietoturvasta?, Staffans kertoo. lutuksia. Se tehdään, suuksia. mitä on pöydällä ja siirrytään seuraavaan Staffans korostaa, että koska julkisuuspe- Kuntien näkökulmasta tietosuojaa ja tietoturvaa sääntelevä lainsäädäntö on vaikeaa ja sitä on paljon, sanovat Kuntaliiton lakimies Ida Staffans ja erityisasiantuntija Simo Tanner. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i asiaan.? tietoturva-asiat jäävätkin sitten suorittavan henkilöstön varaan?, Tanner sanoo. ?Se on valitettavaa, mutta parhaansa kukin kunta varmasti tekee.? ? Tietosuojavaltuutetusta ei aina ole edes kuultu kunnissa. 3/2012 TIETOSUOJA. 31. Näin on esimerkiksi, kun päätös liittyy ?Kunnissa on kova resurssipula, eikä henkilöstöasioihin tai siihen liittyy liikesalai- asioiden opiskeluun jää aikaa. Kunta- ja palvelurakenteiden muutokset vauhdittavat kuntien tietojärjestelmäuudistuksia. Neuvoja Kuntaliitosta toki tar- ja missä huutokauppa on käyty
Kuntien edunvalvontajärjestö. . Sisäisen valvonnan tehostamiseksi kaikilla yli 250 työntekijän organisaatioilla tulisi olla tietosuojavastaavat, ja henkilötietojen käsittelyn raportointia lisättäisiin nykyisestä. ?Ehdotus sisältää paljon töitä; ennakkosuunnittelua ja jälkikäteistarkastuksia, ja kunnissa ollaan tiukoilla jo nyt?, Kuntaliiton lakimies Ida Staffans sanoo. Rekisterinpitäjien pitäisi ilmoittaa tietoturvaloukkauksesta vuorokauden kuluessa sen havaitsemisesta. Toimitusjohtaja Kari-Pekka Mäki-Lohiluoma www.kunnat.net \ Kunnat eivät ole joutuneet laajojen tie- mikä tietää muutoksia tietojärjestelmiin. Palvelukeskukset helpottavat hankinto- tomurtojen kohteiksi, ja tietoturvalouk- Järjestelmiä uusitaan jo nyt, koska van- jen tekemistä, kun IT-ostot eivät ole pienen kausten uhkat liittyvät pikemminkin omaan hat eivät mahdollista nykyaikaisia palve- kunnan yleismies jantusen ymmärryksen väkeen: Esimerkiksi kouluissa oppilaat voi- luita, kuten sähköistä asiakirjanhallintaa. varassa. vat murtautua verkkoon silkkaa uteliaisuuttaan. Yhteiset järjestelmät yleistyvät Kuntakohtaisista järjestelmistä ollaan ?Markkinamiehet myyvät mitä vain, jos myös siirtymässä yhteisiin ratkaisuihin. ostaja ei ymmärrä asiaa. Ja sekin on tieto- Niukkojen resurssien ja IT-osaajien eläköity- turva- ja tietosuojariski.. Profiili: Kuntaliitto Kuntaliitto . Sääntöjen rikkomisesta 32?TIETOSUOJA 3/2012 voitaisiin määrätä sakkoa jopa miljoona euroa. ?Pienen kunnan budjetissa miljoonaluokan sanktio tarkoittaisi konkurssia.? Staffans arvostelee asetusehdotusta siitä, että se on laadittu yritysten näkökulmasta. Esimerkiksi epäselväksi jää, mitä pykäliä sovellettaisiin myös kuntiin ja mitä vain yrityksiin. Lisäksi ehdotus on ongelmallinen kuntien korostaman kunnallisen itsehallinnon kannalta, koska asetuksena se on jäsenmaita suoraan velvoittava. ?En ymmärrä, millä toimivallalla EU säätää jäsenmaiden sisäistä hallintoa suoraan velvoittavia säännöksiä?, Staffans ihmettelee. Jäseninä Suomen kaikki 336 kuntaa ja kaupunkia. . Toimintaan osallistuvat myös kuntayhtymät ja maakuntaliitot. . Julkishallinnon tarpeet ovat joutuneet valmistelussa sivuraiteelle. \ misen takia kunnat ovat perustaneet usean kunnan yhteisiä tietotekniikan palvelukes- Kunnallinen itsehallinto on murroksen kou- kuksia, joka sekin vaatii järjestelmien keski- rissa. Kuntaliitossa on 300 ja sen tytäryhtiöissä 500 työntekijää. . \ t ietot urvan j a t ietosuoj an erikoisl ehti. Kuntaliitoksia on tehty jo joitakin vuo- näistä keskustelua. sia, ja kunta- ja palvelurakenteiden suuren ?Tekniikan yhteenvieminen alkaa olla mittakaavan uudistukset ovat vasta tulossa. huomattavasti helpompaa kuin aikaisem- Monet kunnat ja kuntayhtymät yhdistyvät min, kiitos internet-teknologian?, Simo Tan- lähivuosina suuremmiksi kokonaisuuksiksi, ner sanoo. Lisää netissä: Pilvipalvelut: kunnan uhka vai mahdollisuus? www.tietosuoja-lehti.fi Kunnat kavahtavat tietosuoja-asetusta EU:n tietosuoja-asetus lisäisi Kuntaliiton mukaan kuntien hallinnollista taakkaa merkittävästi ja vaikeuttaisi suomalaisen julkisuusperiaatteen toteuttamista. Komission ehdotus lisäisi rekisterinpitäjien velvoitteita
LinkedIn-verkkoyh- teisön noin 6,5 miljoonaa salasanatiivistettä hakkeroitiin. 33. Ylläpitäjä: Maija Nyman Päivitä, päivitä! Tietovarkaudet ovat pysyvä riesa Suomessakin, ja palveluntarjoajien vastuu tietoturvasta kasvaa. Voroja vastaan auttaa palvelun jatkuva ylläpito. Teksti: Marianne Saine ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i P elitalo Blizzardin, suomalaisen Overdrive.fi -sivuston ja SETAn keskustelupalstan käyttäjien sähköpostiosoitteet, käyttäjätunnukset ja salasanat varastettiin. Miljoonien Apple-käyttäjien tiedot ilmaantui- 3/2012 TIETOSUOJA
Tietoturvari- tielle ei kuitenkaan kannata lähteä, jos ei kollisuus on lisääntyvää todellisuutta Suo- voi järjestää niille jatkuvaa ylläpitoa?, CERT- messakin, jossa kieli on aiemmin suojannut FI:n vanhempi tietoturva-asiantuntija Kauto tietorikollisuuden ensiaalloilta. Huopio vastaa. ?Pelkästään viimetalvisten rikostutkin- Parempi on ottaa käyttöön valmis si- tojen sivutuotteena saatiin selville kymme- vualusta, joka on sen toimittajan ylläpitämä, nien suomalaisten palvelimien hakkerointi. tai jonka ylläpito on helppoa. Nuoret miehet suojata asianmukaisesti. Henkilörekisterit pitää yhteystiedot olivat peräisin. Hyvissä sivu- Nyt sekä kansalaisten että verkkopalveluja alustoissa päivitykset voi tarkistaa kätevästi tarjoavien täytyy avata silmät ja tunnustaa hallintapaneelista. todellisuus?, rikoskomisario Timo Piiroinen Keskusrikospoliisista sanoo painokkaasti. Ylläpito on kaiken a ja o ?Kannattaa aina varmistua, että myös sivuston lisäkomponenttien, kuten kuvaohjelmien, päivittäminen on sujuvaa. Jos epäilet joutuneesi tietoturvaloukkauksen kohteeksi: ? Nettipalvelua täytyy ylläpitää säännöllisesti. ? Pysy rauhallisena. ? Ota yhteyttä organisaatiosi atk-tukeen tai palveluntarjoajaan ja CERT-FI-ryhmään sekä rikostapauksessa poliisiin. ? Ota kopio lokitiedoista, kuten palomuurin lokitiedostosta. ? Jos mahdollista, kirjaa muistiin koneesi käynnissä olevat prosessit. ? Selvitä, onko tietoa kadonnut tai onko sitä muutettu. ? Selvitä laitteistosi tietoturva-aukko tai -aukot. ? Tee tarvittavat korjaukset. ? Ota yhteyttä organisaatioihin, joista hyökkäys on tullut. ? Ota yhteyttä organisaatioon, jonne hyökkäys on mahdollisesti edennyt. Hän myös vastaa niiden päi- kauppa, pitäisi tiedostaa ryhtyvänsä myös 34?TIETOSUOJA 3/2012 Sivustotoimittajan kanssa on syytä sopia teita ovat puutteellisesti suojatut pienten vittämisestä. t ietot urvan j a t ietosuoj an erikoisl ehti. Kolikkopelit.com-mainoskirjeen rekisterinpitäjäksi, jota koskevat henkilö- saaneet ihmettelivät viranomaisille, mistä tietolain velvoitteet. Miten? hyödynsivät verkon tietovuotoja ja saivat haltuunsa Huuto.netin käyttäjätilejä. ?Nettipalvelun rakentaminen lähtee siitä, että otetaan käyttöön jokin palvelinoh- Lehtiotsikot pelkästään viime kuukau- jelmisto ja julkaisujärjestelmä. Jul- tusyhdistys perustaa nettisivun keskustelu- kaisualustat, vaikkapa Wordpressin, asentaa palstoineen tai haaveena on oma verkko- usein käyttäjä. \ vat nettiin. Nekin pitää päivittää ainakin kerran kuukaudessa?, Huopio lisää. Kaikenlaisten hakkeroijien suosikkikoh- selkeästi, kenen tehtävä on huolehtia pal- yhteisöjen nettisivut. Itsenäiselle silta kertovat karua tarinaa. Kun vaikkapa harras- velimen ja ohjelmistojen päivityksestä
Kauto Huopio on laske- Haittaohjelma voi tarttua ihan viattomilta- nut oman tarpeensa. kin sivuilta. ?On tapaus, jossa haittaohjelma tarttui ?Summa oli kolminumeroinen?, hän hymähtää. koneeseen maineikkaan lehtitalon sivulla Nyrkkisääntö on, että työpaikan tieto- olleesta mainoksesta. Jos esimerkiksi henkilörekisteri on täysin suojaamattomalla koneella, näin voi olla?, Piiroinen sanoo. Erityisen huolissaan poliisi on pankkipetosten kasvusta ja identiteettivarkauksista. ?Vaikka Suomeen verkkopankkien haittaohjelmat tulivat aika myöhään, rikostutkintojen määrä on ensimmäisestä tapauksesta eli vuodesta 2009 lähtien jatkuvasti kasvanut. 35. Salasanassa voi hyvin olla välilyöntejä, tai sananvälit voi merkitä vaikka Palveluntarjoajien, pientenkin, pitäisi neuvoa miinuksella?, Huopio neuvoo. käyttäjiä turvallisten salasanojen laatimisessa. Salasana voi siis olla vaikkapa: 8-vuotias koirani on Musti! \ Ihannetilanteessa joka palveluun on ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i aiheesta enemmän Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI tiedottaa tietoturvauhkista ja neuvoo palveluntarjoajia. www.cert.fi \ 3/2012 TIETOSUOJA. Salasanakukkarot ja tekstiviesti- käyttöjärjestelmä ja selainohjelmisto ajan vahvistukset ovat suositeltavia, jos käytössä tasalla. Omassa sähköpostissa pitäisi Edes virustorjunnan teho ei ole sata- myös olla eri salasana kuin kaikissa muissa prosenttinen. Tämä rikollisuus tulee lisääntymään, koska se on taloudellisesti varsin houkuttavaa.? Identiteettivarkauksissa luottokorttidataa, salasanoja tai sähköpostiosoitteita kaapataan haittaohjelmien avulla isot määrät ja rikolliset myyvät niitä toisilleen halvalla. ?Suomessa identiteettivarkaus on usein sellainen, että nettihuutokauppasivulla varastetaan toisen profiili, myydään olematonta tavaraa ja saadaan siitä rahaa?, Piiroinen kuvaa. Suomessa ilmiön torjuntaa hankaloittaa se, ettei tiedon kaappaaminen asioinnin yhteydessä ole vielä sinällään rikos. Luottokorttien varmennusjärjestelmät suojaavat vahingolta hyvin, mutta varkauden seurausten selvittelytyö voi olla yksittäiselle uhrille hankalaa. Tärkeintä on pitää koneensa palveluissa. Mainosta ei edes tar- järjestelmissä on eri salasana kuin kotijär- vinnut klikata?, Huopio mainitsee. jestelmissä. Haittaohjelmien kunnollinen tor- ? Jatkossa rikostutkinnan kohteena voi olla huolimaton palveluntarjoaja. on älypuhelin. junta on haavoittuvuuksien korjaamista jatkuvan päivityksen avulla. Salasanat voi kirjoittaa muistiin, kunhan ei kirjaa koko salasanaa. Kun kone siis ehdottaa käyttöjärjestel- ?Voi kehittää muistisäännön, jossa sala- män tai vaikka mediasoitinohjelman päivit- sanan alku ja loppu vaihtelee, mutta kes- tämistä, se on syytä myös heti tehdä. kellä on jokin helposti muistettava osio, ?Esimerkiksi Microsoft julkistaa joka kuu- jota ei kirjata.? kauden toisena tiistaina päivityskehotukset. Monet tietävät jo, että salasanan pitäisi Kun ne saa koneelleen, kannattaa tehdä päi- olla riittävän pitkä ja siinä pitäisi käyttää eri- vitykset heti. Poliisin katse on kohti palveluntarjoajia Onneksi vielä vain osa tietovoroista on hyötyä hakevia rikollisia. ?Osa on nuoria nörttejä, jotka hakkeroivat huvikseen tai sitten erilaisia aktivistiryhmiä?, kertoo rikoskomisario Timo Piiroinen Keskusrikospoliisista. Tietosuojavaltuutettu on loppukesällä tehnyt tarkastuksen siitä, miten tietoturvaloukkauksen kohteeksi joutuneet palveluntarjoajat ovat reagoineet mahdollisiin puutteisiin tietojärjestelmiensä suojaamisessa. Poliisikin on laajentamassa näkökulmaa samaan suuntaan, hakkerista tietomurron kohteeseen. ?Pohdimme, aloitetaanko rikostutkinta eli ylitetäänkö syytä epäillä -kynnys, kun palveluntarjoaja ei ole suojannut tietojaan asianmukaisesti. EU:ssa on kuitenkin käynnissä useita hankkeita, jotka parantavat uhrin asemaa. Samalla on hyvä tarkistaa esi- koismerkkejä. merkiksi nettiselainten päivitystilanne.? Salasana voi olla lause ?Mitä pidempi salasana, sitä työläämpi se on murtaa. \ Älä ohita päivityskehotusta oma salasanansa
Lähtökohtaisesti kaikki esitetyt epäilyt tar- konsultti) joutuu antamaan vaitiolositou- organisaatiostanne jää kistetaan ja mikäli väärinkäyttöä on, tapaus muksen, ja tässä yhteydessä käydään läpi kiinni tietojen asiattomasta käsitellään ohjeiden mukaisesti: Henkilöä tietosuojaohjeet. Gallup Käyttövaltuudet ja lokiseuranta ovat arkipäivää Rekisterinpitäjillä on toimintaohjeet väärinkäytösten varalle. T ietosuoja-lehti kysyi suurilta rekisterinpitäjiltä, miten ne huolehtivat rekisteriensä tietosuojasta ja reagoivat tietojen asiattomaan käsittelyyn. Vastauksista selvisi, että rekisterinpitäjät ovat suunnitelleet henkilötietojen käsittelyn ja laatineet ohjeistukset myös poikkeuksellisten tilanteiden varalle. Se suosittaa työoikeudellista 1. Asia käsitellään ohjeen mukaisesti selvitysryhmässä. Asia käsitellään virkamieslain mukaisesti, esittämien ilmiantojen perusteella. 1. Asiakas- ja potilastietojärjestelmien käyt- koska kaikki työntekijämme ovat virkasuh- henkilöstönne käsittelee töoikeudet perustuvat työtehtäviin. Tietosuoja on jatkuvasti käsittelystä? kuullaan, ja väärinkäytön sanktio määritel- esillä koulutustilaisuuksissa ja henkilöstö- lään rikkomuksen vakavuuden perusteella. lehdessä. Valvon- japäätös. taa tehdään pistokokein. Käyt- teessa. rekisterien henkilötietoja tölokeja valvotaan omaehtoisesti. Mitä tapahtuu, jos joku 2. Teemme lokitarkastuksia, joissa muun muassa ajamme tapahtumista erilaisia tilas- jallinen varoitus tai työsuhteen päättämi- topoimintoja ja etsimme niistä poikkeamia. nen) ja päättää siitä, tehdäänkö poliisille Käyttöoikeudet perustuvat pääosin roolei- 36?TIETOSUOJA 3/2012 toimenpidettä (kirjallinen huomautus, kir- tutkintapyyntö. t ietot urvan j a t ietosuoj an erikoisl ehti. \ Teksti: Päivi Männikkö Näitä kysyimme rekisterinpitäjiltä: Oulun kaupungin hyvinvointipalvelut, tietosuojavastaava Marja Kälkäjä: 1. Kelassa on nollatoleranssi aiheet- Kurinpitomenettelystä tehdään viranhalti- toman tietojen katselun suhteen. Lisäksi vain työtehtävien vaatimiin asiakas voi pyytää lokitietojen tarkastusta, tarkoituksiin? ja niitä voidaan tarkastaa henkilökunnan Kela, lakimies Anitta Holappa: hin, joilla rajataan käyttäjän toimintamahdollisuuksia. 2. Jokainen Kelaan tuleva työntekijä (myös 2. Miten valvotte sitä, että 1. Käyttöoikeudet Liikenteen turvallisuusvirasto Trafi, johtava asiantuntija Risto Knuuti: eri tietojärjestelmiin annetaan työtehtävien mukaan. 2
Rekisterin käyttäjällä ei ole pääsyä kaikkiin huomautus tai törkeässä tapauksessa suo- tietoihin eikä kaikkien yksiköiden tietoihin. rakäyttökyselyoikeuden poistaminen, joka Käyttäjälokijärjestelmällä voidaan seurata voi tehdä työtehtävien hoidosta mahdo- tietojen käsittelyn asianmukaisuutta. Väestötietojärjestelmän suorakäyttäjien 2. Asiakastietoa käsittelevät vain henkilöt, sen. Eräissä tilanteissa kes- 1. Henkilötietojen käsittelyn oikeudet on kushallintoyksikkö on ilmoittanut asiasta rajattu vain niille, jotka tietoja työtehtä- vankilan johtajalle virkamiesoikeudellisten vissään tarvitsevat. Asian vakavuus selvitetään, ja henkilö 1. Asiakastietojärjestelmän käyt- Väestörekisterikeskus, ylitarkastaja Harri Hongisto: töä voidaan seurata teknisesti. 1. Lisäksi salassapitoon meitä velvoittaa laki terveyden- 1. Yksi tapaus teemme käyttölokeista, mikäli epäilyksiä on myös saatettu poliisin esitutkintaan. väärinkäytöstä on. Kyse on pitkälti ollut tapauksista, jotka seen ja koulutukseen. Jälkikäteisvalvontaa toimenpiteiden harkitsemiseksi. Lokiseurantaa työoikeudellisia sanktiota sekä tapauksen tehdään usein kansalaisen perustellun vää- niin vaatiessa yhteydenoton poliisiin. rinkäytösepäilyn tai esimerkiksi poliisitut- koulutetaan asiakastietojen käytöstä ja tie- Rikosseuraamuslaitos, lakimies Anne Kohvakka: kinnan johdosta sekä myös omasta aloitteestamme. 2. \ ? Tietoihin pääsevät vain ne, joiden työtehtävät sitä vaativat. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i aiheesta enemmän Lue poliisin tietojärjestelmien käytön seurannasta alkaen sivulta 4 \ 3/2012 TIETOSUOJA. Luvattomasta käytöstä seuraa vähintään lutuksissamme. varoitus ja vakavassa tapauksessa työsuhteen purkaminen. Heillä on taa henkilöstöä laajemminkin. henkilökohtaiset käyttöoikeudet, ja heitä saa asiasta joka tapauksessa huomautuk- tosuojasta. Asiasta voidaan tarvittaessa muistut- joiden työtehtävät sitä vaativat. Menettely arvioidaan tapauskohtaisesti. (tietopalveluasiakkaiden ja väestökirjanpi- Seuraukset voisivat pitää sisällään esimer- don henkilöstön) tekemiä rekisterikyselyitä kiksi siirtämisen muihin työtehtäviin ja/tai valvotaan lokiseurannalla. 37. Nämä asiat muksen mukaisesti ja painotamme asiaa kuuluvat aina työntekijän perehdytykseen. tietoturvallisuus-, prosessi- ja tulokaskou- 2. Myös tonta. S-ryhmä, konseptipäällikkö Minna Ojala: 2. Olemme ohjeistaneet asian VRK-sopi- huollon ammattihenkilöistä. Joissakin tapauksissa voidaan pe- tiettyjä järjestelmään liittyviä elementtejä riaatteessa joutua rikos- tai vahingonkor- (kuten tietojen poistaminen) seurataan. vausprosessiin. 2. Käyttöoikeuksia voi- Yliopiston apteekki, palvelujohtaja Stiina Piirainen: daan myös rajoittaa. Väärinkäytön seuraamuksena voi olla 1. Jokainen työntekijämme ovat antaneet aihetta henkilöstön ohjauk- Maanmittauslaitos, tietohallintojohtaja Matti Lisitsin: sitoutuu henkilötietojen salassapitoon allekirjoittaessaan työsopimuksen
Uskon, että ne ovat turvassa. Luulen, etteivät ne tekisi niillä mitään. 3. Oletko joskus selvittänyt, ketkä työntekijät ovat käyneet katsomassa tietojasi? Iekku Pylkkä, Valkeakoski: 1. Niillä tiedoilla, jotka ovat helposti saata- Minulla ei ole yhtään mitään salattavaa. villa, ei ole väliä, enkä usko, että ne tiedot, 4. Tietoihini on yritetty hakkeroitua, viimeksi tää. Luultavasti ei, mutta ei sitä oikein voi tie- 1. Olen suhteellisen luottavainen, ainakin useinhan ne asiat saa selvitettyä. mitä tulee terveystietoihin. Uskon, että tiedot ovat miettinyt, että joku voisi saada niistä pal- viranomaisilla turvassa. Ehkä julki- joilla on väliä, ovat mielenkiintoisia kenel- suuden henkilöitä urkitaan enemmän. lekään. 4. Jos taas tapahtuu jon tietoja esimerkiksi elämäntavoistani. Ai sen voi selvittää. \ 38?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Ei ole tullut mieleenkään, että joku olisi kiinnostunut tiedoistani. 3. Gallup Onko sinun henkilötietojasi urkittu? Katugallupissa useimmat eivät tienneet henkilötietolain mukaisesta mahdollisuudesta selvittää, miten heidän tietojaan on käsitelty. Teksti ja kuvat: Pirita Männikkö Näitä kysyimme kansalaisilta: Raine Järvinen, Tampere: 1. En ole tiennyt, että sen voi selvittää. 4. Pelkäätkö, että joku voisi urkkia tietojasi? 2. En niinkään pidä uhkana sitä, että joku katsoo tietoja kuin että joku hakkeroi ison ihmisjoukon tiedot ja valjastaa ne muuhun käyttöön. Wilhelmina Sederholm, Pori: 1. En ole ainakaan tietoinen. Ehkä eniten pelkään sitä, että tulevat 1. Ei ole tullut mieleenkään. ollut tapahtunut mitään ylimääräistä. 3. Poliisilta olen kerran kysynyt, ja silloin ei 3. Onko tietojasi urkittu? 2. En ole ainakaan huomannut. työnantajat urkkivat kaikki tiedot. 2. Ei joku tietovuoto, niin siinähän vuotaa tuhan- minulla kyllä ole sellaisia tietoja, joista olisin sien muidenkin suomalaisten tietoja. Ehkä Kela voisi olla sellainen, jota voisi epäillä, jos jotain tahoa. Lehdistä olen nähnyt, että joidenkin tie- LinkedIn-tiliin. toja on urkittu. 2. Ikävää huolissani. se on, jos tietoja väärinkäytetään, mutta 4. Jos joku viranomainen, jota en tunne, urk- 3. Facebookin ja etukorttien käyttäjänä olen kii, niin urkkikoon. Luotatko siihen, että tietosi ovat turvassa rekistereissä? 4. Lähipiirissä- Jari Vahteri, Tampere: kään en ole kuullut sellaisesta. 2
30?32) oli virhe. Jutun lopussa käsitellään tilannetta, jossa työsuhde päättyy, mutta työntekijän sähköpostitili on vielä auki, ja sinne on tullut uusia viestejä. Tekstiin oli jäänyt asiavirhe koskien työntekijän kuoleman jälkeistä tilannetta. Toisin kuin jutussa lukee, työnantajakin voi saada viestit käyttöönsä. Jos työntekijä kuolee, eikä viestien lukuoikeuksista ole sovittu, työnantaja voi saada tärkeät työviestit käyttöönsä noudattamalla työelämän tietosuojalaissa kuvattua menettelyä. Toimitus pahoittelee virhettä. 39. Oikaisu Tietosuojan 2/2012 jutussa Työelämän tietosuoja: Toisen kirjettä ei saa avata luvatta . työpaikallakaan (s. Kyseinen kohta on korjattu Tietosuojan verkkolehden artikkeliin. www.tietosuoja-lehti.fi ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA
Työelämän tietosuoja Kieku tuntee virkamiehen Valtion yhteiseen talous- ja henkilöstöhallinnon tietojärjestelmään Kiekuun siirretään 70 000 työntekijän yhteys-, palkka- ja koulutustiedot. Ulkopuolelle jäävät järjestelmän tietoturvan varmistamiseen. 40?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti. Kuitenkin yhden ison tietovaraston suojaamiseen on Skogin mukaan mahdollista panostaa merkittävästi enem- Kieku koskee lähes 70 000 henkilöä, ja sen piirissä on män kuin esimerkiksi seitsemänkymmenen erillisen noin 70 ministeriötä ja virastoa. Kiekuun voidaan kuitenkin liit- Yhteistä tietojärjestelmää perustellaan tuottavuuden ja palvelukyvyn parantamisella. ?Se tuottaa myös parempilaatuista tietoa talou- tää myös osaamistietoja sekä dokumentoida tulos- ja kehityskeskustelujen tiedot työntekijän suoriutumisesta, tavoitteista ja kehittymisestä. desta ja henkilöstöstä johtamisen tueksi erityisesti Vaikka Kieku ei sisälläkään salaista tietoa, tietotur- hallinnonala- ja valtiotasoisesti?, sanoo yksikönjoh- vaan on Skogin mukaan panostettu erityisen paljon. taja Lasse Skog Valtiokonttorin Kieku-yksiköstä. Mahdollisen tietomurron vaikutukset ovat vakavat sil- Mukana miltei kaikki virastot loin, kun on kysymys suuresta tietovarastosta. Vastaavanlaisia uudis- Lähtökohtaisesti Kieku sisältää kaikki samat tiedot, tuksia tehdään julkishallinnossa harvoin, ehkä 20?30 jotka ovat virastokohtaisissa talous- ja henkilöstöhal- vuoden syklillä. linnon järjestelmissä. Laajuutensa ja tietosisältönsä takia uuden järjestelmän tietoturva on korotettua tasoa. Teksti: Markku Summa K auan odotettu ja nyt toteutusvaiheessa vain Puolustusvoimat ja VTT, joilla on jo ennestään oleva Kieku-hanke on historiallisen mittava; vastaavanlainen järjestelmä vielä laajemmalla toimin- sen budjetti kokonaisuudessaan on noin nallisuudella. 100 miljoonaa euroa
edellytetään liittymisvaiheessa tietoturvan perusta- kilöä, ja vuodenvaihteen jälkeen määrä on kasvanut soa. 41. Sen sijaan muut virastot. käyttäjäorganisaatioilta . Keväällä 2013 käyt- Laajuutensa ja tietosisältönsä vuoksi uusi järjestelmä töönottovuorossa ovat sisäministeriön hallinnonalan on sijoitettu korotetulle tietoturvatasolle. Konversiot ovat teknisesti kova haaste, koska lähdejärjestelminä on useita erilaisia tietojärjestelmiä, joita on käytetty hyvin monella, toisistaan poikkeavalla tavalla?, Skog sanoo. Pilottina Kiekun ovat ottaneet käyttöön vuoden Shutterstock 2011 aikana Valtiokonttori ja Suomen Akatemia, kuluneena keväänä Maahanmuuttovirasto, Joutsenon ja Oulun vastaanottokeskukset sekä Pelastusopisto. Megahanke Kieku-järjestelmän rakentaminen alkoi 2008. Ensimmäiset pilotit otettiin käyttöön vuoden 2011 alussa. \ Loppuvuonna Kiekuun siirtyy valtiovarainminis- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i 3/2012 TIETOSUOJA. ? Kaikkien valtion työntekijöiden tiedot ovat Kiekussa 2016 mennessä. Erilaisia käyttövaltuuksia teriö, Palkeet sekä verohallinto. Strategisen ohjausryhmän jäseninä on sidosryhmien edustajia eri ministeriöistä. Etenemme vaiheittain, koska ha- on todettu, että Kiekun tietoturva on riittävällä tasolla. luamme toimia varman päälle?, Skog kiteyttää. Järjestelmän käyttäjähallinta perustuu käyttövaltuuksiin, jotka myönnetään hyvien käytäntöjen Viimeisetkin virastot siirtyvät Kiekuun vuoteen 2016 mennessä. \ perusteella ja joiden käyttöä valvotaan. Sen jälkeen kun kaikki ministeriöt ja virastot ovat ottaneet Kiekun käyttöön, Valtiokonttorille jää vastuu tietojärjestelmän hallinnoinnista ja kehittämisestä. Hankkeen parissa työskentelee kokopäiväisesti valtionhallinnossa noin kuusikymmentä henkilöä ja järjestelmätoimittajalla Logica Oy:llä noin kaksikymmentä. Kieku-järjestelmän tietovarastot on suojattu menettelyllä, jossa korotetun tietoturvan taso täyttyy ja joka kelpaa myös turvallisuusviranomaiselle. Palvelimet sijaitsevat suomalaisissa konesaleissa. ministeriöiltä ja virastoilta ?Tällä hetkellä Kiekun piirissä on noin 1 200 hen- . Virkamiehellä on kaikkein suppeimmat valtuudet, esimiehellä jo laajemmat koskien kuitenkin vain omaa yksikköä. Kaikkein laajimmat käyttövaltuudet ovat ammattikäyttäjillä, kuten talous- ja henkilöstöhallinnon vastuuhenkilöillä. Käyttöönotto vaiheittain Kiekun käyttöönotto virastossa kestää vuoden ja se tehdään yhteistyössä Valtiokonttorin, Valtion talousja henkilöstöhallinnon keskus Palkeiden, ministeriön ja järjestelmätoimittajan kanssa. ?Tiedot siirretään vanhasta järjestelmästä uuteen sitä tarkoitusta varten tehdyillä konversio-ohjelmistoilla. Viimeisetkin virastot siirtyvät Kiekuun vuoteen 2016 mennessä. Hankkeen vetovastuu on Valtiokonttorilla. Käyttöpalvelut tuottaa Tieto Oyj. Kolmannen osapuolen tekemissä auditoinneissa 7 500 henkilöön
Heidän tukenaan taja Helena Lappalainen sanoo. puolestaan on Palkeiden asiakastuki. Palkeissa tietoturvaa koskevaa koulutusta on jär- Teksti: Markku Summa ?K jestetty henkilöstölle ja jälkeenpäin on vielä varmistettu, että tieto on mennyt perille. Virastot ottavat Kiekun käyttöön yhteistyössä Val- iekun tuoma muutos näyttää tiokonttorin, Palkeiden, ministeriön ja järjestelmätoi- pilottikokemusten perusteella ole- mittajan kanssa. Ensi vuoden alussa Palkeet kokeilee toisenlaista roolia, kun se itse ottaa Kiekun käyttöön. Tietoturvakoulutusta henkilöstölle jestetään myös koulutusta ja kertausta?, Lappalainen vakuuttaa. Pelastusopistossa startti onnistui Pelastusopiston tietohallintopäällikkö Antti Rissasen mukaan Kieku-tietojärjestelmä on ehdottomasti tervetullut uudistus. \ t ietot urvan j a t ietosuoj an erikoisl ehti. Työelämän tietosuoja Suurin muutos henkilöstöhallinnossa Kiekun käyttöönotto pilottivirastoissa on sujunut suunnitellusti. että työvälineet ja -menetelmät olisivat kunnossa. Helena Lappalainen korostaa, että tietoturvaa on tarkasteltu huolellisesti. ?Tietoturva on meille jo lähtökohtaisesti keskeinen asia. Tueksi on rakennettu erityinen tuki- van suurin henkilöstöhallinnossa, ja ylläpitopalvelu. tulojen käsittelyssä sekä kirjanpi- ?Virkamiehen lähin tukihenkilö on esimies tai dossa?, Palkeiden palvelutuotannosta vastaava joh- oman viraston ammattikäyttäjä. Aikatauluja on joiltakin osin jouduttu tar- keskitettyyn järjestelmään. kastelemaan uudelleen, koska on haluttu varmistaa, Sisäministeriön alainen Pelastusopisto otti Kiekun käyttöön toukokuussa ensimmäisenä oman hallinnonalansa virastona. ? Virastot ottavat Kiekun käyttöön yhteistyössä Valtiokonttorin, Palkeiden, ministeriön ja toimittajan kanssa. 42?TIETOSUOJA 3/2012 ?Ensimmäinen palkanmaksu sujui virheettömästi, ja muutkin perusprosessit alkoivat toimia heti. Käyttäjille jär- Palkeet on Valtion talous- ja henkilöstöhallinnon palvelukeskus, joka on mukana auttamassa virastoja Kiekun käyttöönotossa. Tietoturvassa otettiin merkit- Kiekun käyttöönoton valmistelu on sujunut joissa- tävä askel eteenpäin siirtymällä hajallaan olevista ja kin virastoissa nopeammin ja joissakin taas vähän eri operaattoreiden hallinnassa olevista järjestelmistä hitaammin. Alkuvaiheessa oli joitakin pieniä epäselvyyksiä, mutta niiden yli päästiin nopeasti?, Rissanen sanoo. Hän pitää tärkeänä, että tällaisessa koko valtionhallintoa koskevassa muutoshankkeessa huomioidaan jo lähtökohtaisesti myös virastojen erityispiirteet. Esimerkiksi tietojen siirrossa käytettyjen konversio-ohjelmistojen tarkistaminen sujui Pelastusopistossa aikataulussa, mutta isommissa organisaatiossa siihen on Rissasen mukaan hyvä varata aikaa
Myös Kun- Pitääkö työnantajan kysyä lupaani? taliitto on suositellut samaa. Tällaisia tietoja ovat esi- Kyllä saa. Tietosuojavaltuutettu on suositellut, että merkiksi nimet ja yhteystiedot työpaikalla. Työntekijöiden kuviakin niissä julkaistaan. Pätevätkö samat säännöt työntekijöiden valokuviin? Saako työnantaja laittaa Kyllä, kuviakin voi julkaista samoin edellytyksin. tietoni nettisivuilleen? Henkilön asemaa, tehtäviä ja niiden hoitoa kuvaavat, Saako työnantaja julkaista yleisesti saatavilla olevat tiedot ovat henkilötietolain kuvani yrityksen esitteessä? mukaan erityisessä asemassa. Kysymyksiä voi lähettää osoitteeseen info@tietosuoja-lehti.fi Saako tietojani julkaista työpaikan nettisivuilla? M iltei kaikilla työpaikoilla on nykyään Työnantajan kannattaa varmistaa, ettei nettiin nettisivut, joissa on työntekijöiden jätetä palveluksesta eronneiden henkilöiden kuvia nimet, ammattinimikkeet ja yhteys- tai muita tietoja. tiedot. Työnantaja jos aiemmin otettuja valokuvia käytetään toisessa saa julkaista niitä nettisivuillaan, jos se on perusteltua tarkoituksessa, kuten esitteessä, työntekijöille ker- ja tarpeellista työnantajan toiminnan kannalta. rotaan tästä ja halukkaille tarjotaan mahdollisuutta uuteen kuvaukseen. Milloin tietojen julkaisu voi olla perusteltua? Entä poissaolotiedot, kuten äitiysvapaa: Esimerkiksi silloin, kun työntekijän velvollisuuk- saako nekin julkistaa? siin kuuluu olla tunnistettavissa ja saavutettavissa Työnantajan ei pääsääntöisesti tulisi viedä sairaus- ammattinimikkeen ja työyhteystietojen perusteella. poissaoloa tai muita poissaolon syitä nettiin ilman työntekijän tai virkamiehen suostumusta. Perusteettomasti tietoja ei pidä julkaista. 3/2012 Askarruttaako jokin henkilötietojen suojaan, yksityisyyteen, viestinnän luottamuksellisuuteen tai tietoturvaan liittyvä asia. \ Ei tarvitse, jos julkaiseminen on perusteltua ja tarpeellista. Työntekijöillä on silti oikeus tietää, mitä tarkoitusta varten Kysymyksiin vastasi ylitarkastaja Mia Murtomäki tietosuojavaltuutetun toimistosta. heidän tietojaan on julkaistu. 44?TIETOSUOJA 3/2012 t ietot urvan j a t ietosuoj an erikoisl ehti scanstockphoto Miten on?. Lähetä kysymyksesi meille, me etsimme sille sopivan vastaajan
EU:n verkkoturvallisuuden vahvistamiseksi perustettu CERT-EU todettiin vuoden kokeilun jälkeen tarpeelliseksi pysyvänä yksikkönä. CERT-EU:n perustamisesta päätettiin keväällä 2010 hyväksytyssä Euroopan digitaalistrategiassa. Lyhyesti 3/2012 Pilvipalvelussa on riskinsä Euroopan tietosuojaviranomaiset pitävät pilvipalvelujen yleistymistä haasteena tietosuojan kannalta. Kannanotossaan tietosuojaviranomaisten työryhmä kehottaa rekisterinpitäjiä Shutterstock tekemään kunnollisen riskianalyysin ennen kuin ne päättävät pilvipalvelujen hankkimisesta. Pilvipalvelujen tarjoajien taas tulisi kertoa asiakkailleen pilvipalvelujen ominaisuuksista kattavasti, jotta asiakkaat voisivat punnita niiden hyötyjä ja haittoja. Pilvipalveluilla tarkoitetaan yleensä teknologioita ja palvelumalleja, joita käytetään verkon yli. Tietoja säilytetään palveluntarjoajan palvelimilla, jotka voivat sijaita missä päin maailmaa tahansa. Saksan kybersotayksikkö paljastui lustaa maan kriittisiä tietoverkkoja, mutta uutta on, että sillä on myös hyökkäyskyky. Lehti siteeraa liittopäivien asiakirjaa, jonka mukaan vuonna 2006 perustettu salainen Euroopan tietosuojaviranomaisia huolettaa se, että kun rekisterinpitäjä ei itse Valtiot pyrkivät viimeiseen asti salaamaan kybersodankäyntiyksikkö on testannut huolehdi henkilötietojen tallettamisesta, puolustusvoimiensa aseistukseen ja osaa- kykyjään laboratorio-olosuhteissa. sen on myös vaikeampaa valvoa, että niitä miseen liittyvät tiedot. \ mahdolliset tietojensiirrot Euroopan ulkopuolelle ovat lainmukaisia. Asiasta kertoo USA:n armeijan päättää iskuista ulkomaisiin tietoverkkoihin Rekisterinpitäjän tulisi myös varmistaa, että lehti Stars & Stripes. ilman liittopäivien hyväksyntää. Siinä kehotetaan myös kaikkia jäsenvaltioita perustamaan omat scanstockphoto CERT-ryhmänsä. ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Lyhenne CERT tulee sanoista Computer Emergency Response Team. CERT-ryhmät ovat asiantuntijayksiköitä, jotka tutkivat ja torjuvat tietoverkkouhkia. 3/2012 TIETOSUOJA. 45. Saksassa salaisuuk- Paljastus kybersodankäyntiyksiköstä käsitellään asianmukaisesti. sien verhoa kuitenkin raotettiin keväällä, tuli lehden mukaan yllätyksenä sekä halli- Tietosuojaviranomaiset suosittelevat kun viranomaiset myönsivät liittopäivien tuksen että opposition kansanedustajille. rekisterinpitäjiä valitsemaan sellaisia pil- puolustusvaliokunnalle, että Saksan armei- Liittopäiväedustajia askarrutti, onko maan vipalvelujen tarjoajia, jotka takaavat nou- jalla on toiminnassa oleva kybersodankäyn- puolustusvoimien johdolla edes toimivaltaa dattavansa EU:n tietosuojalainsäädäntöä. tiyksikkö. \ Lehden mukaan tiedossa on ollut, että Saksan puolustusvoimilla on kyky puo- EU:lle oma CERT EU:n toimielinten oma tietoturvayksikkö CERT-EU jatkaa toimintaansa pysyvästi
\ Komission kyselyyn voi netissä vastata lokakuun 12. Komissiota kiinnostavat erityisesti jän itsestään antamien tietojen perusteella. Yleisimmin kohdattu tietotekniikkarikos kokemukset tietoverkkouhkista ja näke- Mieleen jää helposti kytemään epäilys siitä, oli nettikiusaaminen, kuten perättömien mykset EU:n toiminnasta uhkien torjun- mihin kaikkeen palveluntarjoaja käyttää tietojen levittäminen kohteesta tai hänen nassa. saamiaan tietoja. nimissään. Tarkoituksena on henkilökohtaisten tietojen hallintaan. ei ollut tehnyt tapahtuneesta rikosilmoi- parantaa etenkin kriittisen infrastruktuurin Sovelluksen avulla tietoja voidaan käyttää tusta. \ Tietotekniikkarikokset ovat suomalaisille Komissio pyytää näkemyksiä tietoturvasta tuttuja, mutta niiden selvittämisessä ei hevin turvauduta poliisiin. Kiusaamisen kohteeksi oli joutunut lähes joka kolmas. Kuuleminen liittyy komission valmiste- Diplomi-insinööri Were Oyomno kehitti lemaan lainsäädäntöehdotukseen verkko- väitöstutkimuksessaan mobiilisovellusta Valtaosa tietotekniikkarikoksen uhreista ja tietoturvallisuudesta. \ niikkarikoksia. struktuurin ja internetin toiminnan kannalta Runsas viidennes oli jättänyt rikosilmoi- tärkeille organisaatioille. Yleisin selitys tälle oli se, ettei tapah- valmiuksia torjua tietoverkkoihin kohdistu- palvelujen räätälöintiin, mutta käyttäjä voi tunutta oltu pidetty rikoksena, tai vahinko via hyökkäyksiä. valita, kuinka paljon kertoo itsestään kullekin palvelulle. Käyttäjän henkilöllisyys voidaan jopa pitää palvelulta salassa. Ohjelmaa on testattu, mutta toimiakseen se vaatii, että palveluntarjoajat suostuisivat kertomaan käyttäjille etukäteen, mitä tietoja ne tarvitsevat. Were Oyomnon tietotekniikan alaan kuuluva väitöskirja Usable Privacy Preservation in Mobile Electronic Personality (Helppokäyttöinen yksityisyyden suojaus Mobile Electronic Personality -ohjelmassa) tarkastettiin Lappeenrannan teknillisessä yliopistossa elokuussa. \ Facebookin tietosuoja on parantunut Shutterstock Facebook on toteuttanut useimmat Irlan- 46?TIETOSUOJA 3/2012 nin tietosuojaviranomaisen ehdottamat, EU-maiden käyttäjien tietosuojaa parantavat muutokset. Tällä hetkellä Poliisiin ei luoteta IT-rikoksissa tuksen tekemättä, koska ei ollut halunnut nämä toimenpiteet ovat EU:n lainsäädän- joutua mahdollisen tutkinnan ja oikeuspro- nössä pakollisia vain teleyrityksille. sessin osapuoleksi. Näin todetaan Irlannin tie- t ietot urvan j a t ietosuoj an erikoisl ehti. Kuitenkin vastaajista Komission harkinnassa on, että riskien- tämän vuoden loppuun mennessä EU:ssa lähes neljännes jätti ilmoittamatta, koska ei hallinnasta ja tietoturvauhkista ilmoittami- on kansallisten ja valtiollisten CERT-ryhmien luottanut poliisin kykyyn ratkaista tietotek- sesta tulisi pakollista kaikille kriittisen infra- verkosto. päivään asti. Tämä selvisi Tietoyhteiskunnan kehittämiskeskuksen Kännykkäsovellus suojaisi yksityisyyttäsi (TIEKE) ja Itä-Uudenmaan poliisilaitoksen Euroopan komissio pyytää viranomai- tekemästä tietotekniikkarikoskyselystä. silta, yrityksiltä ja kansalaisilta näkemyksiä Kuluttajille on tarjolla yhä enemmän säh- Kyselyyn tuli 1 201 vastausta pääosin nuo- verkko- ja tietoturvallisuuden parantami- köisiä palveluja, joita räätälöidään käyttä- rilta ja työikäisiltä suomalaisilta. sesta. Lyhyesti 3/2012 Digitaalistrategian tavoitteena on, että oli koettu vähäiseksi
47. Kuusi standardia sisältävä käsikirja on tarkoitettu tietoturvallisuuden hallintajärjestelmien suunnitteluun, toteu- ti etoturva n j a t i e to s u o ja n e r i koi s l e ht i Jupakka Googlen kuvapalvelun Street View?n keräämistä tiedoista jatkuu hiljaiselon jälkeen. Keväällä 2010 paljastui, että Googlen kuvausautoihin oli kertynyt kuvien lisäksi verkkojen (WLAN) käyttäjien henkilötietoja. Kanadan ja Ison-Britannian tietosuojaviranomaiset määräsivät Googlen parantamaan tietosuojakäytäntöjään ja tuhoamaan hen- Se tarjoaa käyttäjien kuviin automaattisesti nimiä aiempien kuvien perusteella. Googlella on yhä WLAN-käyttäjien tietoja myös suojaamattomien langattomien lähi- lön perusteella. Eurooppalaisten viranomaisten kriti- mukaan tällaisia poikkeuksia ovat esimerkiksi istuntokohtaiset evästeet, jotka tallentavat lomakkeen tai verkkokaupan ostoskärryn tiedot, ja evästeet, joiden avulla palvelu muistaa käyttäjän kielivalinnan. Tietosuojaviranomaiset korostavat, että muissa tapauksissa käyttäjän suostumus tarvitaan. Euroopan tietosuojaviranomaisten työryhmä on selvittänyt, millaisissa käytännön tilanteissa käyttäjän suostumusta ei tarvita. Eväste on lyhyt tekstitiedosto, jonka verkkopalvelin tallentaa käyttäjän tietokoneelle. Evästeillä kerätään tietoja sivuston käytöstä. Direktiivin mukaan suostumusta ei tarvita, mikäli evästettä käytetään vain viestin välittämiseen yli verkon tai käyttäjän nimenomaisesti pyytämän palvelun toteuttamiseen. Tietosuojaviranomaisten kannanoton kilötiedot joulukuussa 2010. Tänä kesänä Google tunnusti Ison-Britannian tietosuojaviranomaiselle, ettei se olekaan tuhonnut kaikkia WLAN-käyttäjien tietoja. \ Sähköisen viestinnän tietosuojadirektiivin mukaan evästeiden käyttöön verkkopalvelussa tarvitaan pääsääntöisesti käyttäjän suostumus. Tietoturvallisuuden hallintajärjestelmien 27000-standardiperheen aiemmin julkaistuja asiakirjoja päivitetään ja uusia on tekeillä. Suomesta työtä seuraa ja siihen osallistuu Suomen Standardisoimisliitto SFS:n seurantaryhmä 307. \ 3/2012 TIETOSUOJA. Sen sijaan käyttäjä ei vieläkään pysty poistamaan profiiliaan lopullisesti, ja mainostajat voivat yhä kohdentaa mainontaa arkaluonteisen sisäl- tukseen, auditointiin ja kehittämiseen. Alan kansainvälinen standardisointityö jatkuu yhä. Tietojenkeruusta tiedettiin Googlessa yli kaksi vuotta ennen sen paljastumista. Varman päälle pelaava ylläpitäjä pyytää suostumusta aina. Ison-Britannian tietosuojaviranomainen vaatii yhtiötä luovuttamaan tiedot sille tutkimuksia varten. Kun kuvausautojen tietojenkeruu aikoinaan paljastui, Google ilmoitti sen johtuvan yksittäisen insinöörin ohjelmointivirheestä. USA:n liittovaltion viestintäviranomaisen FCC:n tänä keväänä julkaiseman raportin mukaan insinööri oli kerännyt tietoja useita vuosia käyttääkseen niitä Googlen muissa hankkeissa. \ Tietoturvan johtamisstandardit yksiin kansiin Tietoturvallisuuden hallintajärjestelmiä käsittelevät suomennetut standardit on julkaistu käsikirjana. Tutustu verkkolehteen! wikimedia commons www.tietosuoja-lehti.fi tosuojaviranomaisen syyskuussa julkistamassa raportissa. Raportin mukaan Facebook on parantanut erityisesti käyttäjille tiedottamista ja käyttäjien mahdollisuuksia säätää profiiliensa yksityisyysasetuksia. \ soima automaattinen kasvojentunnistustoiminto on sekin vielä osittain käytössä. Evästeisiin tarvitaan yleensä suostumus Facebook ja Irlannin viranomainen ovat sopineet, että yhtiö tekee loput tietosuojaparannukset lokakuun puoliväliin mennessä