Tietosuoja 4/2015 - Lehtiluukku.fi

Haluatko ostaa tämän lehden?

Vaikuttaako lehti kiinnostavalta? Voit lukea koko lehden valitsemalla "Lisää ostoskoriin". Mukavia lukuhetkiä!

Olet esikatselutilassa. Lue koko lehti

PÄIVI KORPISAARI: Yksityisyyttä ei aina oteta vakavasti tietoturvan ja tietosuojan erikoislehti 4 • 2015 15€ Tervetuloa, digitaalinen turvallisuus! TIETOSUOJA ON JOHDON ASIA Etäpalvelu vaatii turvaa
Julkaisijat Patenttija rekisterihallitus Tietosuojavaltuutetun toimisto Tietosuojalautakunta Viestintävirasto Tietoturvan ja tietosuojan erikoislehti Joulukuu 2015 Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Päätoimittaja Hanna Tamminen, Viestintävirasto hanna.tamminen@ficora.fi Toimituspäälliköt Eija Kara, tietosuojavaltuutetun toimisto, eija.kara@om.fi Anna Lauttamus-Kauppila, Patenttija rekisterihallitus, anna.lauttamus-kauppila@prh.fi 4 • 2015 KANNEN KUVA OLLI HÄKÄMIES O LL I H Ä K Ä M IE S Ihmettelen tarvetta kertoa intiimeistä asioista julkisuudessa. 8 Viisas johtaja sijoittaa tietosuojaan ja tietoturvaan 15 Näkökulma Tervetuloa, digiturvallisuus! 16 Asiantuntijalta: Kyberuhkista yksilönsuojaan Eija Warma 18 Rekisteröi tämä: Kiinteistöjen tietopankki 19 Kysy meiltä 20 Päivi Korpisaari: Professori tutkii yksityisyyttä 24 Lait ja säädökset 26 Digitalisaatio muuttaa bisnestä tietosuoja 4 • 2015 2. 20 Sisältö 4 Pääkirjoitus 5 Lyhyesti 7 Miten on
Toimitusneuvosto puheenjohtaja, Reijo Aarnio, tietosuojavaltuutetun toimisto Sari Laine-Lassila, FiCom ry Jukka Ihanus, Stellatum Oy Eila Ratasvuori, Helsingin kaupunki Kimmo Rousku, Valtori Ahti Saarenpää, Lapin yliopisto Anu Talus, oikeusministeriö ja toimituspäälliköt Toimituskunta Eija Alavesa ja Erika Leinonen, Viestintävirasto Lauri Karppinen, tietosuojavaltuutetun toimisto Olli Ilmarinen, Patenttija rekisterihallitus sekä toimituspäälliköt Toimitussihteeri Päivi Männikkö, Stellatum Oy paivi.mannikko@stellatum.fi Ulkoasu Tarja Salonen, Sininen Arkki Oy tarja.salonen@sininenarkki.fi Kustantaja Stellatum Oy PL 20 00381 Helsinki Ilmoitusmarkkinointi Anne Paavilainen, Stellatum Oy puh. 0400 435 636 anne.paavilainen@stellatum.fi 27. vuosikerta ISSN 0786-5767 Painopaikka Hämeen kirjapaino Oy 30 Gallup: Helppoja ja turvallisia palveluita 31 Kolumni: Sinun datasi on arvokasta myös muille 32 Suojaa tuotteesi 34 Asiantuntijalta: Uusi sääntely parantaa viestinnän luottamuksellisuutta Hanna Heiskanen 36 Kuva tuo viranomaisen kotiin 40 Tietojensiirto työllistää yrityksiä 42 Työelämässä peli kovenee – tietosuoja pysyy 45 Ilmiö numeroina 46 Selailtua 47 Verkkolehdessä HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL I NE U TRA AL I P AIN OT U O TE HÄMEEN KIRJAPAINO OY 441 209 Painotuote ClimateCalc CC-000025/FI H IIL I NE U TRA AL I P AIN OT U O TE tietosuoja-lehti.fi Luottamukseen kuuluu, ettei saamiaan tietoja anna ulkopuolisille. 42 SH U TT E R ST O C K 36 M A IJ A N Y M A N tietosuoja 4 • 2015 3
Digitaalinen turvallisuus KIRSI KARLAMAA K uluttajat vaativat tänä päivänä aivan uudenlaisia viestintäpalveluiden toimivuuden minimiodotuksia. Yhden arvion mukaan vuonna 2020 on internetissä 50 miljardia laitetta ja käyttäjiä yli 6 miljardia. Laitteiden ja palveluiden käyttämisen halutaan olevan mahdollisimman helppoa ja sujuvaa. My data -toimintamallissa käyttäjille annetaan oikeus ja pääsy heistä kerättyyn dataan, kuten liikenne-, teleja terveystietoihin sekä eri verkkopalveluihin kertyvään dataan. K un internetistä käytettävien palvelujen määrä kasvaa ja monet palvelut siirtyvät kokonaan verkkoon, käyttäjät päätyvät jakamaan tietojaan yhä enemmän. Käyttäjien digitaalinen jalanjälki kasvaa jatkuvasti, ja digitaalisen tiedon määrä kasvaa kiihtyvää tahtia. Kirsi Karlamaa on Viestintäviraston Kyberturvallisuuskeskuksen johtaja. Kuluttajat ratkaisevat, mitkä tulevaisuuden palveluista jäävät eloon. 4 tietosuoja 4 • 2015. Käyttäjät eivät välttämättä kuitenkaan ymmärrä kaikkien järjestelmien ja palveluiden toiminnallisuuksia, eikä monia palveluita voi hyödyntää, jollei kerro itsestään perustietoja. Tulevalla 5G-teknologialla matkaviestinverkon latausnopeudet voivat kasvaa jopa gigabitteihin sekunnissa. Käyttäjätyytyväisyyden kannalta palveluiden jatkuva saatavuus ja toimivuus on elinehto. Näin käyttäjät voivat esimerkiksi käyttää yhdelle toimijalle antamiaan henkilötietoja useaan tarkoitukseen. Mikään näistä ilmiöistä ei kuitenkaan selviydy, jollei yksi asia ole kunnossa: digitaalinen turvallisuus. Erään arvion mukaan eri laitteiden luomasta ja tallennetusta digitaalisesta datasta muodostuvan niin sanotun digitaalisen avaruuden koko kasvaa 40 prosenttia vuosittain. Samalla yksityisyydensuojaan liittyvät riskit lisääntyvät. 5G yhdistää verkkoon perinteisten tietokoneiden lisäksi muiden muassa älyliikenteen, teollisuuden sekä terveydenhuollon sensorit ja verkkolaitteet. Uusi teknologia mahdollistaa siten suuremmat latausnopeudet, liikkuvuuden jopa tulevaisuuden magneettijunissa (500 km/h), pienet viiveet ja toimintavarmuuden. Palveluita asennetaan myös päätelaitteisiin, jotka keräävät ja jakavat tietoa käyttäjistään. Yleispalvelulaajakaistan nopeus on juuri nostettu laissa kahteen megaan, mutta kuluttajat odottavat jo nopeampaa nettiyhteyttä. Jokaisella on tietoihinsa niin sanottu tiedollinen itsemääräämisoikeus eli oikeus tietää omien tietojensa käsittelystä ja vaikuttaa käsittelyyn. Pääkirjoitus 4 • 2015 Kuluttajat ratkaisevat, mitkä tulevista palveluista ja viestintätavoista jäävät eloon. Yksityisyyteen liittyviä asioita ei myös aina osata ottaa huomioon palveluita käytettäessä. Hän on Viestintäviraston pääjohtaja 1.1.2016 alkaen
Stellatum Oy on ollut yhteydessä näihin tilaajiin tilausmaksujen palautusten hoitamiseksi. Lyhyesti JY R K I V E SA Tietosuojan julkaiseminen päättyy Tietosuoja-lehden julkaiseminen päättyy tähän numeroon. Kuvasta puuttuvat Eija Kara ja Lauri Karppinen. Hanna Tamminen, Eija Alavesa, Anna Lauttamus-Kauppila, Olli Ilmarinen, Erika Leinonen ja Päivi Männikkö. Tietosuoja-lehdellä on tilauksia, jotka ulottuvat vuodelle 2016. marraskuuta. PALVELUVÄYLÄ AVATTU Kansallisen palveluväylän tuotantoympäristö avautui 18. Asiasta on sovittu lehteä tuottavien tahojen: tietosuojavaltuutetun toimiston, Viestintäviraston, tietosuojalautakunnan, Patenttija rekisterihallituksen ja Stellatum Oy:n kesken. Kuvassa vas. 5 tietosuoja 4 • 2015. Painetun lehden rinnalla julkaistava verkkolehti osoitteessa www.tietosuoja-lehti.fi lopetetaan vuodenvaihteessa. Tietosuojan toimituskunta kiittää lukijoita kuluneista vuosista. Lehden julkaisemisen päättyminen merkitsee sitä, että Tietosuojan tilaajaja asiakasrekisterit tullaan hävittämään, kun tietojen käsittelyyn ei enää ole tarvetta. Palveluväylässä tiedot liikkuvat järjestelmästä toiseen standardisoitujen ja avoimien rajapintojen kautta. Nyt virastot ja laitokset voivat liittyä väylään mukaan, ja palveluväylän kautta olevien tietovarantojen käyttö voidaan aloittaa. Jatkossa palveluväylää hyödynnetään muissa kansalliseen palveluarkkitehtuuriin kuuluvissa palveluissa, kuten asiointivaltuuksissa ja kansalaisten palvelunäkymissä. Myös verkkolehden käyttäjärekisteri sekä uutiskirjeen postitusrekisterit hävitetään
Lyhyesti IHMISOIKEUKSIEN TERMIT TUTUIKSI Ihmisoikeuskeskus on julkaissut verkkosivuillaan ihmisoikeussanaston. Siihen on koottu otos ihmisoikeuksiin sekä erityisesti kansainvälisiin sopimuksiin ja niiden valvontajärjestelmiin liittyvistä termeistä suomeksi, ruotsiksi ja englanniksi. Lainsäädäntöhankkeita perustellaan muuttuneella turvallisuusja toimintaympäristöllä ja sillä, että turvallisuusviranomaisilla pitää olla riittävät toimivaltuudet tietoverkoissa. Hallitus esittää, että Suomeen luodaan uusi tiedustelulainsäädäntö. Hankkeet käynnistettiin lokakuussa, ja niiden määräaika päättyy vuoden 2016 lopussa. Sen sijaan tietojenkäsittelyn kohdehenkilöiden kansalaisuudella ei ole merkitystä. Sisäministeriö johtaa siviilitiedustelua koskevaa hanketta painottuen suojelupoliisin tehtäviin ja toimivaltuuksiin. Tiedusteluvaltuuksia laaditaan kolmessa lainsäädäntöhankkeessa. Puolustusministeriön asettaman työryhmän tehtävänä on valmistella ehdotus sotilastiedustelua koskevaksi lainsäädännöksi. Lainvalmistelun pohjana on viime hallituskaudella toimineen tiedonhankintalakityöryhmän mietintö ja sen liiteaineisto sekä siitä saadut lausunnot. Oikeusministeriön asettama asiantuntijatyöryhmä selvittää perustuslain tarkistamista siten, että lailla voitaisiin säätää kansallisen turvallisuuden suojaamiseksi välttämättömistä rajoituksista luottamuksellisen viestin salaisuuden suojaan. Pääjohtajan tehtävään hän siirtyy Viestintäviraston Kyberturvallisuuskeskuksen johtajan tehtävästä. Hanke etenee asiantuntijatyön jälkeen parlamentaariTiedustelulait työn alla A N T E R O A A LT O N E N seen valmisteluun ennen esityksen antamista eduskunnalle. Hankkeessa selvitetään toimivaltuuksien kehittämistä ulkomaan henkilötiedustelua ja tietojärjestelmätiedustelua sekä rajat ylittävään tietoliikenteeseen kohdistettavaa tiedustelua varten. EU-tuomioistuin linjasi lainvalintaa EU-tuomioistuimen mukaan verkossa toimivaan palveluntarjoajaan voidaan soveltaa myös muun kuin rekisterinpitäjän kotimaan henkilötietolainsäädäntöä. Unkarin korkein oikeus pyysi EU-tuomioistuimelta ennakkoratkaisua lainvalinnasta ja tietosuojaviranomaisen toimivallasta. 6 tietosuoja 4 • 2015. Edellytyksenä on, että rekisterinpitäjällä on kyseissä maassa kiinteä toimipaikka, jossa se harjoittaa aitoa ja todellista toimintaa, jonka yhteydessä verkkopalvelun tietojenkäsittelyä harjoitetaan. Sanastosta toivotaan olevan apua esimerkiksi kääntäjille, tulkeille, toimittajille ja muille alan termistöä käyttäville. Tuomioistuimen käsittelemässä tapauksessa on kyse slovakialaisesta yrityksestä, joka tarjoaa verkossa Unkarissa sijaitsevien asuntojen myynti-ilmoituspalvelua unkarilaisille. Liikenneja viestintäministeriö tarjoaa hankkeille asiantuntija-apua digitalisaatiokehityksen huomioimisessa. Karlamaa on ollut Viestintäviraston palveluksessa vuodesta 2000 lähtien. Kirsi Karlamaa Viestintäviraston pääjohtajaksi Viestintäviraston pääjohtajaksi viisivuotiskaudelle 2016–2020 on nimitetty DI Kirsi Karlamaa
Näin ne ovat helposti muutettavissa ja siirrettävissä. Tavoitteena on yhteinen infrastruktuuri, jonka päälle operaattorit ja laitevalmistajat voivat rakentaa omien toimintojensa mukaisia verkkojaan. Hankkeen tuloksia viedään valmisteilla oleviin 5G-standardeihin. Uutuutena niihin on lisätty erityisehdot pilvipalveluista. Miten 5G eroaa 4G:stä ja 3G:stä. ”5G tuo lisää mahdollisuuksia, koska tiedonsiirtonopeus on merkittävästi suurempi ja viive pienempi. Millaisia tietoturvahaasteita 5G:ssä on. Lisäykset täsmentävät periaatteita, joilla tietoja pitää suojata. Lyhyesti Miten on. Se tulee myös vaikuttamaan 5G-verkkojen tietoturvaratkaisuihin.” 7 tietosuoja 4 • 2015. Uusissa IT2015-ehdoissa on muokattu muun muassa pilvipalvelujen erityisehtoja. UUDET IT-EHDOT TARKENTAVAT TURVAA PILVESSÄ SH U TT E R ST O C K NYT PUHUTAAN 5G:STÄ , joka on seuraava askel 3Gja 4G-verkkojen jälkeen. Keskuskauppakamarin tilintarkastuslautakunta, kauppakamarien tilintarkastusvaliokunnat sekä julkishallinnon ja talouden tilintarkastusvaliokunnat lakkautetaan ja tehtävät siirretään Patenttija rekisterihallitukseen perustettavaan Tilintarkastusvalvonta-yksikölle, joka aloittaa toimintansa 1.1.2016. 5G-teknologiaa voidaan hyödyntää esimerkiksi liikenteen ja terveydenhuollon uusissa palveluissa ja esineiden internetissä. Ne ovat muokattavissa käyttäjätarpeiden mukaan”, sanoo hanketta koordinoiva johtava tutkija Petteri Mannersalo VTT:ltä. Lisäyksiä on tehty erityisesti tietoturvaa ja tietosuojaa koskeviin kohtiin sekä tietoturvaloukkausten käsittelyyn. Myös verkon luotettavuudelta vaaditaan enemmän: Esimerkiksi etäkirurgiassa, jossa kirurgi voi olla toisella puolella Suomea kuin potilas, viive ei saa olla suuri.” Miten käy turvan, kun kaikki kytketään verkkoihin. Siksi 5G:n tietoturva-arkkitehtuuri pitää miettiä alusta asti uudelleen. Myös julkisen hallinnon IT-hankintojen yleisiin sopimusehtoihin (JHS 166) on tehty muutoksia. VTT koordinoi eurooppalaista hanketta (5G-ENSURE), jossa kehitetään 5G-verkkojen ja -järjestelmien tietoturvaa. Se, missä määrin tietoliikennettä halutaan seurata laillisesti, on poliittinen kysymys, joka täytyy ratkaista lainsäädännöllä. Tietotekniikka-alan sopimusehdot on uudistettu. PRH valvomaan tilintarkastajia Tilintarkastuksen valvonta siirtyy valtiovarainministeriöltä ja keskuskauppakamarilta Patenttija rekisterihallitukselle. ”5G:ssä verkon toiminnallisuudet rakennetaan ohjelmistoihin eikä ’rautaan’. On löydettävä malli, jossa käyttäjä voi luottaa tietoturvaan ja toisaalta tietoliikennettä ja tietoturvaa pystytään seuraamaan. Hyppäys 5G:hen on suurempi kuin esimerkiksi 3G:stä 4G:hen. ”Yksityisyydestä tulee tärkeämpää
tietosuoja 4 • 2015 8
Johtajan ei tarvitse olla tietosuojan ammattilainen voidakseen keskustella ja päättää. TEKSTI KIRSI CASTRÉN KUVAT SHUTTERSTOCK, VALTIOKONTTORI/MARJO KOIVUMÄKI, SUOMEN ASIAKASTIETO VIISAS JOHTAJA tietosuoja 4 • 2015 9. sijoittaa tietosuojaan ja tietoturvaan Strategiat ja voimavarat, joilla organisaation tietosuoja turvataan, löytyvät johtajan taskusta
Johtaja pysyköön lestissään Tietosuojavastaavan nimeäminen on lakisääteistä terveydenja sosiaalihuollossa. Tietosuojaan kannattaa sijoittaa: ”Jos johto ymmärtää tietosuojatyön innovatiivisuuden, tuottavuus ja tehokkuus kasvavat, ja saadaan kustannussäästöjä”, Ylipartanen sanoo. Tuloksista kävi ilmi, että osassa organisaatioita tietosuojavastaavana toimi johtaja itse. O tietosuoja 4 • 2015 10. Sen jälkeen organisaatioon valitaan tietosuojavastaava ja hänelle annetaan riittävät resurssit: työaikaa, työvälineitä ja koulutusta. Tietosuojavaltuutetun toimisto järjesti viime keväänä yhteistyössä Kelan kanssa kyselyn tuhannelle terveydenhuollon ja apteekkien tietosuojavastaavalle. nko tietosuoja työpaikallasi strategian ja vuosikertomuksen pääluku vai alaviite. ”On vastoin lain henkeä, jos johtaja nimeää itsensä tietosuojavastaavaksi”, Ylipartanen huomauttaa. ”Esimerkiksi Yhdysvalloissa on isoissa yrityksissä tapana, että tietoturvan ja tietosuojan asiantuntijat ovat johtoryhmän jäseniä.” Tietosuojan taso ja sitä koskevat linjaukset ovat kuitenkin johdon vastuulla. Tietosuojatyöhön panostaminen alkaa alkukartoituksesta. Koulutettu tietosuojavastaava levittää osaamistaan edelleen organisaatioon, mikä tehostaa työprosesseja ja tekee niistä joustavampia. Vastaus voi kertoa organisaatiosta paljon. ”Tietosuoja on kokonaisvaltainen asia, joka on syytä tuoda osaksi organisaation strategisia ratkaisuja”, suosittaa tietosuojavaltuutetun toimiston ylitarkastaja Arto Ylipartanen
”Organisaatio, jossa tietosuojatyö on organisoitu ja sitä myös käytännössä tehdään, näyttäytyy ulospäin luotettavana palvelujen antajana ja yhteistyökumppanina”, Ylipartanen selittää. Terveydenhuollossa ja muillakin aloilla työtä hankaloittaa Ylipartasen mukaan se, etteivät työntekijät aina tiedä, miten toimia tietosuojakysymyksissä. Arvota tietosuoja-asiat osana organisaatiosi strategisia linjauksia. sena on saada vauhtia digitaalisen kaupankäynnin rattaisiin. 5 Viisi vinkkiä tietosuojajohtamiseen 1. Kuuntele asiantuntijoita tietosuoja-asioissa ja ota itse kantaa. Turvaa tietosuojatyön perusresurssit niukkoinakin aikoina. Hän on vastikään julkaissut yhdessä Tampereen kaupungin tietosuojavastaavan Ari Andreassonin ja Tampereen kaupungin tietoturvapäällikön Juha Koiviston kanssa teoksen Tietosuojakäsikirja johdolle . accountability). Asetus syventää johdon vastuuta EU:n valmisteilla oleva tietosuoja-asetus tuo eurooppalaiseen tietosuojalainsäädäntöön tilintekovelvoitteen (tilintekokykyisyyden, engl. Päätä, kuka vastaa kunkin tiedon käsittelystä ja säilytyksestä. 4. 5. Maltilla digiaikaan Viimeaikaisten maailmantapahtumien pelätään kaventavan yksityisyydensuojaa, kun valtiot havittelevat lisää kansalaisiin Johtaja, älä nimeä itseäsi tietosuojavastaavaksi. Työntekijä saattaa olla jatkuvassa epävarmuudessa, koska hän ei tiedä tarpeeksi esimerkiksi siitä, milloin potilastietoja saa luovuttaa. Kun asiakkaan näkökulmasta yksityisyydensuoja on riittävä, syntyy luottamus, joka tehostaa liiketoimintaa. tietosuoja 4 • 2015 11. Älä ryhdy tietosuojavastaavaksi, sillä tarvitset itse hänen apuaan. 3. ”Koulutuksen ja osaamisen myötä työntekijän oikeusturva paranee ja myös työviihtyvyys kasvaa”, Ylipartanen sanoo. Päätä linjat. Tietosuoja-asetuksen yhtenä tarkoitukHän korostaa, että tietosuojavastaavan tulisi olla johdon apuna ja henkilöstön tukena. Ilman riittäviä ohjeita ja koulutusta voi työntekijän oikeusturva olla heikko. 2. Organisoi ja ennakoi. Itse tietosuojavastaavana toimiva johtaja ei todennäköisesti ehdi esimerkiksi kouluttaa henkilöstöä tai auttaa käytännön tietosuojatyössä. Jaa voimavarat. Rekisterinpitäjät ovat jatkossa velvollisia vastaamaan tietosuojansa tasosta jopa sakon uhalla ja raportoimaan sen toteutuksesta entistä avoimemmin. Se maksaa itsensä takaisin
Laitinen pyrkii kuitenkin varmistamaan, että henkilöstöllä on riittävät resurssit ja valmennusta tehtäviinsä. 26.) Ylipartasen mukaan suomalaisten imagoon maailmalla kuuluu luotettavuus, rehellisyys ja turvallisuus. Näin ollen siellä käsitellään paljon arkaluonteisia tietoja niin henkilöistä kuin organisaatioista. ”Kun kyberrikollisuus mahdollisesti nostietosuoja 4 • 2015 12. Hän varoittaa hukkaamasta tätä etulyöntiasemaa. Valtiokonttorin tehtäviin kuuluu muun muassa korvausten maksaminen yksityishenkilöille ja henkilöstöhallinnon palvelujen tarjoaminen virastoille. ”Minä vastaan kaikesta, mitä talossa tapahtuu, sekä hyvässä että pahassa”, hän naurahtaa, ja selittää: ”Riskienhallintajohtaja vastaa meillä myös tietoturvaan ja tietosuojaan liittyvistä asioista asiantuntijana, mutta asiantuntija ei kuitenkaan koskaan poista yleisjohdon vastuuta.” Julkishallinnon säästöt niukentavat voimavaroja Valtiokonttorissakin. ”Tietosuoja ja tietoturva oikein toteutettuina ovat ikään kuin moderni suomalainen kädenpuristus.” O Hän siteeraa Aalto-yliopiston kyberturvallisuuden professori Jarno Limnélliä, joka on todennut, että luottamus edellyttää turvallisuutta ja turvallisuus luottamusta. Pääjohtaja Timo Laitisen mielestä vastuunjako johtajan ja tietosuoja-asiantuntijoiden kesken ei ole vaikeaa. Toisaalta, yleisen turvallisuuden heikkeneminen terroriuhan takia saattaa tehdä tietosuojasta ja tietoturvasta entistäkin tärkeämpää. (Lue hallituksen digihankkeista s. Hänen mukaansa johtamisen näkökulmasta on tärkeää, että työntekijät ymmärtävät, kuka omistaa kunkin tiedon. taa päätään tulevaisuudessa, täytyy niin henkilökuin muistakin tiedoista huolehtia entistä tarkemmin.” Ylipartanen, Andreasson ja Koivisto ottavat kirjassaan kantaa nykyhallituksen tavoittelemaan, digitalisaatioon perustuvaan tuottavuusloikkaan. Tietosuojan tulisi kuulua strategisiin linjauksiin. ”Jos yleistä turvallisuutta koetellaan, on erittäin tärkeää lisätä muita toimenpiteitä, joilla luottamusta voidaan kasvattaa siten, että tasapaino säilyy”, Ylipartanen pohtii. ”Tietosuoja säilyy, kun johdossa Johtaja vastaa aina kohdistuvia tiedusteluvaltuuksia turvallisuuden nimissä. ”Yleisen turvallisuuden horjuessa henkilötietojen turvallisen käsittelyn pitäisi korostua ja todennäköisesti korostuukin”, Arto Ylipartanen arvioi
Siinä, missä esimerkiksi terveystiedot ovat itsestään selvästi salassa pidettäviä, liikesalaisuuksiin törmätään Laitisen mukaan jatkuvasti Valtiokonttorin julkisissa tarjouskilpailuissa. Linjanvedot laintulkinnassa ovat viime kädessä linjajohdon asia. ymmärretään, mistä tiedoista kukin vastaa, ja huolehditaan, että ne ovat vain oikeiden henkilöiden saatavissa ja käytettävissä.” Valtiokonttori joutuu monen muun viraston tavoin tasapainoilemaan yksityisyydensuojan ja avoimuuden välimaastossa. Silloin pohdittavaksi tulee, kenen intressejä suojellaan: ”Jos yritys ilmoittaa, että heidän tarjouksensa jokin osa on salainen, koska se pitää sisällään liikesalaisuuksia, joudumme miettimään, olemmeko toimivaltaisia ottamaan siihen poikkeavasti kantaa”, Laitinen havainnollistaa. ”Johdon pitää huolehtia siitä, että tiedot ovat vain niistä vastaavien henkilöiden käytössä”, sanoo Valtiokonttorin pääjohtaja Timo Laitinen. ”Arjessamme kohtaavat kaksi maailmaa: Valtion virastona noudatamme lakia viranomaisen toiminnan julkisuudesta, toisaalta tietosuojalainsäädäntö suojelee yksityisyyttä”, Laitinen kuvaa. Johtaja vastaa aina tietosuoja 4 • 2015 13
Osaaminen on ulotettava jollakin tasolla myös työntekijöihin. Tietosuoja on kilpailuetu tietosuoja 4 • 2015 14. Harvalla yrityksellä Suomessa on hallussaan yhtä paljon arkaluonteista tietoa kuin Suomen Asiakastiedolla. ”Valitettavasti esimerkiksi rekistereihin liittyviä toimenpiteitä laiminlyödään, eli asia ei missään nimessä ole akateeminen.” Tietosuojarikkomuksen vakavin seuraus on usein julkisuuden ja asiakkaiden reaktio. Sen tietokannoista löytyvät muun muassa yritysten ja yksityishenkilöiden luottotiedot. EU:n tulevan tietosuoja-asetuksen seurauksena myös sanktiouhka kasvaa. ”Asiakastiedon tapaisessa organisaatiossa, jossa tietosuoja on täysin keskeinen osa toimintaa, ei voi ajatella, että tietosuojaasiat voisi jättää vain nimenomaisesti nimetylle asiasta vastaavalle”, toteaa toimitusjohtaja Jukka Ruuska. ”Jotta tietosuojasta saisi kilpailuedun, jonka siitä voi saada, johdolla on oltava riittävä ymmärrys tietosuojasta”, Ruuska sanoo. ”Tietosuoja-asetuksen tuleminen antaa hyvän perusteen tarkistaa ja päivittää yhtiön toiminnot ja käytännöt”, hän sanoo. Johtajan vastuulla on varmistua yrityksen toiminnan lainmukaisuudesta. Yleisjohtaja ei voi olla asiantuntija kaikessa, mutta johdon tehtävä on organisoida toiminta niin, että organisaatiosta löytyy riittävä osaaminen. ”EU:n tuleva tietosuoja-asetus antaa hyvän perusteen päivittää yhtiön käytännöt”, sanoo Suomen Asiakastiedon toimitusjohtaja Jukka Ruuska. Näin tietosuoja-asiat voidaan ja osataan huomioida tehokkaammin kaikessa tekemisessä. Ruuskan mukaan Asiakastiedossa ollaan jo suurelta osin valmiina asetuksen vaatimuksiin
Suomen kyberturvallisuusstrategian määritelmän mukaan ”Kybertoimintaympäristöön kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan”. Kyberturvallisuus on ensisijaisesti nostettu esille maailmanlaajuisesti turvallisuusorganisaatioiden tarpeista. Sen saatavuus on taattava sitä varmemmin, mitä kriittisemmästä toiminnasta on kyse. Pian hyväksyttävä EU:n uusi tietosuoja-asetus tuo tähän parannusta. 15 tietosuoja 4 • 2015. Tervetuloa, digiturvallisuus! KIMMO ROUSKU V aikka viime aikoina tietoja kyberturvallisuuden uhkakuvat ovat saaneet paljon palstatilaa, suurin osa ICT-häiriöistä on kuitenkin aivan tavallisia palvelutuotannossa syntyneitä häiriöitä. Digitaalisen turvallisuuden avulla toteutuvat yksilön tietoturvallisuuden ja tietosuojan eri osa-alueet. Tietosuojan merkitys kasvuun. Vaikka vaikutus ei olisi suora, välillisiä vaikutuksia niistä kuitenkin syntyy varmasti. Jälkikäteen sen lisääminen on yleensä joko kokonaan mahdotonta esimerkiksi vaatimusmäärittelyn korjaamisen näkökulmasta ja/tai niin kallista, että seos vähintäänkin juoksettuu. Itse toivoisin myös tietosuojan ja yksityisyydensuojan näkökulmaa. Kaikki yllä mainitun kaltaiset tekniset ICT-häiriöt vaikuttavat välillisesti myös tietoturvallisuuteen toiminnan saatavuuden takia. Tämä määritelmä on osin aika tekninen sekä ICT-painotteinen. Voisi luulla, että tällaisilla teknisillä ICThäiriöillä ei ole vaikutusta tietoja kyberturvallisuuteen. Se vaikuttaa niin työssä kuin vapaa-ajalla ja näissä molemmissa käytössä olevissa toiminnoissa. Tätä voisi tarkentaa puhumalla yksilön digitaalisesta turvallisuudesta. Jokaisen digitalisaatiota kehittävän organisaation ja henkilön pitäisi tahollaan huolehtia siitä, että kyberturvallisuus ja digitaalinen turvallisuus on vatkattu taikinaan sekaan jo suunnittelusta alkaen. Yksilön tietoturvallisuus kattaa yksilön oman tietojen käytön ja häntä koskevat tiedot. Ajatellaan esimerkiksi digitaalista asiointipalvelua, jonka tehtävänä on korvata ihmisvoimin tuotettu palvelu. Yksilön tietosuoja koskee sitä, että hänen tietojaan kerätään ja käsitellään vaatimusten mukaisesti. Ne ovat esimerkiksi erilaisia teknisiä vikoja, palvelimen tai verkkolaitteen kaatumisia, konfiguraatiovirheitä tai jotakin muuta normaalin toiminnan estävää tai kaatavaa. Mielestäni tämä on liian kapea näkemys. Kun tieto on julkista, meillä ei ole huolena sen salassapitoon liittyvät asiat, mutta tiedon eheys ja etenkin saatavuus saattavat olla sitäkin tärkeämpiä. Digitaalinen turvallisuus edustaa kansalaisen näkökulmaa. Näkökulma Kimmo Rousku toimii valtiovarainministeriössä VAHTI-johtoryhmän pääsihteerinä. Digitalisaatio edellyttää turvallisuutta Kuten eri yhteyksissä on selkeästi käynyt ilmi, digitalisaatio on seuraava arkemme kaikkia osa-alueita muuttava muutostekijä. Tämän ohella hän on tietokirjailija. Niiden pääpaino on kriittisen infrastruktuurin sekä osin teknisen ICT-turvallisuuden, kuten käyttöpalveluja tietoverkkoturvallisuuden, toteuttamisessa. Tietoturvallisuuden aliarvostettu osaalue on tiedon saatavuudesta huolehtiminen. Siksi haluan nostaa esille termin digitaalinen turvallisuus, jonka näkökulma voisi olla yksilön, kansalaisen näkökulma
tietojen oikeudeton käyttö ja 3. Keskeisimmät muutokset koskivat enimmäisrangaistustasojen korottamista, ankaroittamisperusteiden sisällyttämistä sekä identiteettivarkauden kriminalisointia. Kyberhyökkäyksistä aiheutuvina raskaimpina seuraamuksina mainittiin tuoton suora tai epäsuora menetys sekä henkilöstöön tai asiakkaisiin kohdistuva yksityisyyden loukkaus. 16 tietosuoja 4 • 2015. Kyberuhkat ovat jokaisen yrityksen ja yksilön arkea. TEKSTI EIJA WARMA Identiteettivarkaudella (rikoslain 38:9a) tarkoitetaan tilannetta, jossa joku erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa. Yritykset pitivät kyberturvallisuuden toteutumisen suurimpina esteinä tiedon riittämättömyyttä sekä käyttäjien piittaamattomuutta. Rikoslain sääntely vastasi jo entuudestaan varsin kattavasti direktiivin vaatimuksia. Kriminalisointi suojaa myös yrityksiä Tyypillisesti identiteettivarkaudet koskettavat yksityishenkilöä, ja identiteetin varastaminen loukkaa syvästi yksityisyyttä ja turvallisuudentunnetta. Verkkorikollisia kiinnostavat erilaiset tiedot, olivatpa ne sitten henkilötietoja, yrityssalaisuuksia tai aineettomia oikeuksia. Verkkorikollisuuden rangaistuksiin tuli lakimuutoksia syyskuun alussa, kun tietoverkkorikosdirektiivi 2013/40/EU saatettiin kansallisesti voimaan. Hiljattain kriminalisoidusta identiteettivarkaudesta voi koitua haittaa myös yrityksille. Yrityksiltä kysyttiin viime keväänä käsityksiä kyberuhkista ja niihin varautumisesta Helsingin seudun kauppakamarin teettämässä tutkimuksessa. siitä aiheutuva vahinko. Rikollisten motiiveista riippuen myös erilaiset palvelunestohyökkäykset ja muunlaiset häiriötilat liiketoiminnan hankaloittamiseksi tai estämiseksi ovat yleisiä. Asiantuntijalta Kyberuhkista yksilönsuojaan Nyt myös yritys voi vedota identiteettivarkauteen. Keskeistä on siis 1. V erkkorikollisuus on ollut viime vuosina rajussa kasvussa, ja ulkoiset uhkat ovat yhä suurempi riski niin organisaatioille kuin yksityisille henkilöille. erehdyttämistarkoitus, 2. Identiteettivarkaudesta tuli rikos Lainsäätäjä on reagoinut verkkouhkien kasvuun ja yksityisyyden loukkaamiseen. Tilanne aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee
Ongelmatilanteissa tulisi kääntyä palveluntarjoajan puoleen. Tunnista ja suojaa tiedot Ennakollinen varautuminen verkkorikollisuuden uhkaan on äärimmäisen tärkeää. Mieti, mitä teet verkossa Yksityishenkilön tulisi puolestaan olla tarkkana siitä, mitä tietoja hän erilaisissa sähköisissä palveluissa itsestään antaa. Siksi on tärkeää, että sopimuksissa huomioidaan riittävästi sopimuskumppanin vastuut ja velvoitteet. Yrityksille on tarjolla myös erilaisia vakuutustuotteita kyberriskien hallitsemiseksi ja näistä aiheutuvien vahinkojen korvaamiseksi. Aina tekijää ei saada selville, ja uhrin piina voi jatkua vuosia – tästä on useita valitettavia esimerkkejä. Jonkinlainen tietojärjestelmien auditointi olisi suositeltavaa, ja sen pitäisi kattaa niin henkilötietojen ja yrityssalaisuuksien käsittely kuin aineettomat oikeudet. Sopimuksilla hallinnoidaan tietojärjestelmiä, tietojen siirtoa ja henkilötietojen käsittelyn ulkoistamista. Asianajaja, LL.M., CIPP/E Eija Warma työskentelee Asianajotoimisto Castrén & Snellmanilla tietosuojaan ja yksityisyydensuojaan liittyvien toimeksiantojen parissa. Tänä päivänä kyberuhat ovat jokaisen yrityksen ja myös yksilön arkipäivää eikä kenenkään tule tuudittautua ajatukseen – eihän se minun kohdalle kuitenkaan satu. Hän on yksi kirjan Henkilötietojen suoja kirjoittajista. Suunnittele ja harjoittele Kaikki lähtee siitä, että kyberuhat ja verkkorikollisuus tiedostetaan todelliseksi uhkaksi. Identiteettivarkauden kriminalisointi ei suojaa ainoastaan yksityishenkilöitä vaan myös yrityksiä. Tarpeen mukaan tulisi myös tehdä rikosilmoitus poliisille, joka ryhtyy osaltaan suorittamaan esitutkintaa. Tämän lisäksi rikollisen tekojen selvittäminen saattaa olla hyvinkin työlästä. O aiheesta enemmän Yrityksiin kohdistuvat kyberuhat 2015: helsinki.chamber.fi/fi/ tutustu-meihin/uutiset-ja-julkaisut/ selvitykset-ja-tutkimukset 17 tietosuoja 4 • 2015. Kaikki lähtee tietoisuuden lisäämisestä organisaatiossa ja henkilöstön sitouttamisesta yhteisiin toimintatapoihin. Niitä voivat olla esimerkiksi liiketoiminnan keskeytymisestä tai kadonneiden tietojen palauttamisesta aiheutuvat kulut. Lisäksi on hyvä seurata säännöllisesti omaa rahaliikennettä väärinkäytösten varalta. Lisäksi olisi tärkeää tietää ja tunnistaa, mikä tieto kiinnostaa verkkorikollisia, ja missä nämä tiedot sijaitsevat yrityksen tietojärjestelmissä. Uhri on toisinaan voimaton raskaan viranomaiskoneiston edessä. Henkilötietoja sisältävät paperitulosteet ja kirjeet tulee hävittää asianmukaisesti. Tässä yhteydessä myös henkilöstön koulutusta ja tietoturvallisia toimintatapoja ei voi olla korostamatta liikaa, koska monesti ketjun heikoin lenkki on ihminen. Niiden varalle tulee laatia asianmukainen toimintasuunnitelma, ja myös harjoitella käytännössä sen toteuttamista. Nyt myös yritys voi vedota identiteettivarkauden tunnusmerkistöön, mikäli sen tietoja käytetään oikeudettomasti tarkoituksena erehdyttää kolmatta osapuolta, ja tästä aiheutuu yritykselle vahinkoa
O 18 tietosuoja 4 • 2015. Maanmittauslaitoksen on järjestettävä jokaiselle mahdollisuus saada maksutta luettavakseen järjestelmässä olevat tiedot ja tehdä niistä muistiinpanoja. Henkilötunnuksia luovutetaan vain, jos tietoja pyytävällä on oikeus siihen henkilötietolain tai muun lain nojalla. Julkista tietoa Sekä kiinteistörekisteri että lainhuutoja kiinnitysrekisteri ovat julkisia. Koko tietojärjestelmän ylläpidosta vastaa Maanmittauslaitos. Se myönnetään kiinteistötietojärjestelmästä säädetyn lain mukaiseen käyttötarkoitukseen. Niissä henkilötunnus on näkyvissä. Lainhuutoja kiinnitysrekisterissä ovat tiedot kiinteistön omistajista (lainhuudot), kiinnityksistä sekä erityisistä oikeuksista, kuten vuokraoikeudesta. Kiinteistörekisteriä pitävät Maanmittauslaitoksen ohella 75 kuntaa asemakaava-alueellaan. TEKSTI PÄIVI MÄNNIKKÖ KUVA ANTERO AALTONEN pan yhteydessä, rakennuslupaa haettaessa tai kulkuoikeuksia selvitettäessä. Mikäli oikeutta ei ole, jätämme henkilötunnuksen aineistosta pois”, Dahlqvist toteaa. Kiinteistötietojärjestelmästä annetaan lainhuuto-, rasitusja vuokraoikeustodistuksia. Sen tietoja tarvitaan esimerkiksi kiinteistökauKotitalo Kemiössä, kesämökki Päijänteen rannalla, metsäosuus Posiolla ja mökkitien hoitokunta – ne sekä niiden omistajat ja vastuuhenkilöt on merkitty kiinteistötietojärjestelmään. ”Kun luovutamme kiinteistötietojärjestelmän tietoja sähköisesti rakenteisessa muodossa, selvitämme vastaanottajan oikeuden saada myös henkilötunnukset. Rekisteröi tämä Kiinteistöjen tietopankki K iinteistötietojärjestelmä sisältää kiinteistörekisterin ja lainhuutoja kiinnitysrekisterin. ”Lisäksi maksua vastaan tietoja luovutetaan otteina ja todistuksina ja teknisen käyttöyhteyden kautta”, johtava asiantuntija Anne Dahlqvist sanoo. Henkilötietoja saadaan kauppakirjoista, hakemuksista, ulosottoja kaivosviranomaisilta, tiekunnilta ja yhteisten alueiden osakaskunnilta sekä väestötietojärjestelmästä. Rekistereihin tallennettavia henkilötietoja ovat nimi, yhteystiedot, henkilötunnus sekä mahdollinen kuolinpäivä. Henkilötunnus vain sen saamiseen oikeutetuille Maanmittauslaitos luovuttaa kiinteistötietojärjestelmän tietoja lukuisille viranomaisille ja kaupanvahvistajalle sekä hakemuksesta muille tietoja laissa määriteltyihin tarkoituksiin tarvitseville. Tekninen käyttöyhteys järjestelmään edellyttää Maanmittauslaitoksen lupaa. Jälkimmäisen rekisterinpitäjä on Maanmittauslaitos. Kiinteistörekisteriin merkitään perustiedot kiinteistöistä sekä tietoja niitä koskevista käyttöoikeuksista ja -rajoituksista
Kysymykseen vastasi tietoturva-asiantuntija Aleksi Tarhonen Viestintäviraston kyberturvallisuuskeskuksesta. Näin pyritään varmistamaan, ettei ketään voida profiloida esimerkiksi yhteiskunnallisen, poliittisen tai uskonnollisen vakaumuksen, ammattiliittoon kuulumisen, terveydentilan, sairauden tai vammaisuuden tai henkilön seksuaalisen suuntautumisen tai käyttäytymisen perusteella (ns. SAANKO JOSTAIN SELVILLE, missä kaikissa yhdistyksissä eräs henkilö on luottamustehtävissä. arkaluonteiset henkilötiedot). Haittaohjelmien havaitsemiseen ja torjuntaan tarkoitetut tuotteet voivat myös estää tartunnan. Samoin erilaiset mainosten ja skriptien torjumiseen tarkoitetut selainliitännäiset voivat estää haitallisen koodin ajamisen. Flashja PDF-tiedostojen suorittamiseen tarkoitettujen selainliitännäisten automaattinen käynnistyminen kannattaa estää ottamalla käyttöön ns. Hoitosuunnitelmaa varten hänelle annettiin täytettäväksi kyselylomake, jossa pyydetään tietoja mm. parisuhteista, lapsista ja elämänkatsomuksesta. Perustuuko näiden tietojen kerääminen johonkin lakiin. Käytännössä murretulle verkkosivulle on lisätty haitallista koodia tai haitallinen uudelleenohjaus, jonka selain suorittaa sivun latautumisen yhteydessä. Kysy meiltä VOIKO HAITTAOHJELMA TARTTUA VERKKOSIVULTA pelkällä käynnillä, vaikka en klikkaisi mitään. Kysymykseen vastasivat tietopalvelusihteerit Hanna Pentti ja Emmi Salonen tietosuojavaltuutetun toimistosta. Haittaohjelma voi tarttua pelkästä verkkosivulla vierailemisesta. Tietojen hakeminen henkilötunnuksella siitä, missä yhdistyksissä joku henkilö on nimenkirjoittajana, on rajattu henkilölle itselleen (henkilötietolain mukainen tarkastusoikeus). 19 tietosuoja 4 • 2015. Kysymykseen vastasi järjestelmäasiantuntija Vesa Halme Patenttija rekisterihallituksesta. Lopulta useamman välivaiheen jälkeen haitallinen koodi (ns. Lisäksi henkilötietolain (523/1999) 9 §:n mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Asukkaan tietoja saavat käsitellä ne henkilöt, jotka tarvitsevat tietoja työtehtävissään. Ketkä saavat katsoa näitä tietoja. Tämän lisäksi tietoja henkilöistä annetaan vain poliisille rikostutkintaa varten. Click-to-Play -ominaisuus. . laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) sekä laki sosiaalihuollon asiakasasiakirjoista (254/2915), joka on tällä hetkellä vasta osittain voimassa. Haittaohjelma voi tarttua edellä kuvatulla tavalla myös sivuston mainosten välityksellä. Esimerkiksi tieto elämänkatsomuksesta saattaa olla tarpeellinen, jos toimintayksikkö järjestää uskonnollisia tilaisuuksia. Paras tapa suojautua on pitää käyttöjärjestelmä ja siinä käytetyt sovellukset päivitettyinä. Vanhainkoti kuuluu lähtökohtaisesti sosiaalihuollon piiriin, jolloin sovellettavaksi tulevat mm. MUISTISAIRAS ISÄNI PÄÄSI VANHAINKOTIIN. Jos näin on, miten tartunnan sitten voi estää. Tällöin käyttäjän on itse käynnistettävä sivustolla oleva tiedosto. Exploit Kit -hyökkäysohjelmisto) käyttää tietokoneen käyttöjärjestelmässä tai ohjelmistossa olevaa haavoittuvuutta hyväkseen ja tartuttaa tietokoneelle haittaohjelman
”Jos verotiedot julkaistaan kaavamaisesti sellaisinaan, mutta lehdessä on muuta journalismia, voidaanko verotietojen julkaisua pitää journalismina?” Korpisaari miettii. Median ”verokoneissa” maakunnan suurituloisimpien tulokehitystä voi tarkastella 15 vuoden ajalta, havainnollisin grafiikoin höystettyinä. tietosuoja 4 • 2015 20. TEKSTI PÄIVI MÄNNIKKÖ KUVAT OLLI HÄKÄMIES PROFESSORI tutkii yksityisyyttä V iestintäoikeuden professori Päivi Korpisaaren haastattelu osuu päivälle, jona julkistetaan vuoden 2014 verotuksen julkiset tiedot. Päivän uutisjutuissa kerrotaan, kuinka paljon viime vuonna ansaitsivat esimerkiksi tunnetut kapellimestarit, yritysjohtajat ja urheiluselostajat. Ihmiset haluavat päättää tietojensa käytöstä itse, mutta aina se ei ole mahdollista – varsinkaan julkisuuden henkilölle. Joskus avoimuus on kuitenkin tietoista. Viestintäoikeuden professori Päivi Korpisaari ihmettelee halua tuoda yksityisasiat julkiselle areenalle
”Moni ajattelee, että tietojen keräämisellä ei ole väliä. Tietojen julkisuus tai yhdistely voi kuitenkin osoittautua ongelmalliseksi myöhemmin”, sanoo viestintäoikeuden professori Päivi Korpisaari. tietosuoja 4 • 2015 21
Viestintäoikeus on nuori oikeudenala. ”Ne ovat aiemmin jääneet helposti vähän marginaaliin, koska ne ovat perinteisten oikeudenalojen, kuten hallinto-, rikosja työoikeuden, valtiosääntöoikeuden ja Eurooppa-oikeuden leikkauspisteissä”, Korpisaari sanoo. Oikeudenalojen risteyksessä Mediassa näkyvät verotiedot ovat osa sananvapauden ja yksityiselämän suojan välistä rajankäyntiä, jota Korpisaari seuraa työkseen. Helsingin yliopistossa Korpisaari on ensimmäinen viestintäoikeuden professuurin haltija. Korkeimman oikeuden (KKO) mukaan liikemiehen ja tämän seuralaisen kunnian ja yksityiselämän suojaa ei loukattu, vaikka lehti ei kyennyt esittämään riittäviä perusteita kaikkien väitteiden tueksi. Ensiksi mainitussa on tekeillä myös väitöstutkimus. Esimerkkinä tapauksesta, jossa vaaka keikahti sananvapauden puolelle, Korpisaari mainitsee uutisoinnin tunnetun liikemiehen väitetystä syrjähypystä. Hänen mukaansa tietosuoja-asiat ovat nyt oppiaineessa hyvin ajankohtaisia. Päivi Korpisaari . Meneillään on kaksi tutkimusprojektia, jotka käsittelevät henkilötietojen suojaa ja matkapuhelinten paikannustietojen käyttöä. Viestintäoikeutta voi opiskella myös Lapin yliopistossa, jossa oppiaineen nimi on informaatio-oikeus. tutkijana Helsingin yliopiston oikeustieteellisessä tiedekunnassa 2003–2014 Netissä loukkaukset pysyvät ja vahinko leviää laajemmalle. Ratkaisuun vaikutti se, että väitetyn syrjähytietosuoja 4 • 2015 22. Hänen väitöstutkimuksensa käsitteli sananvapautta ja yksilönsuojaa valtiosääntöoikeuden sekä vahingonkorvausja rikosoikeuden kannalta. dosentti, oikeustieteen tohtori . Helsingin yliopiston viestintäoikeuden professori 2014– . Suomessa tuomioistuimet ovat aiemmin korostaneet yksityisyyden merkitystä, kun taas Euroopan ihmisoikeustuomioistuimen (EIT) ratkaisuissa sananvapaus on voinut painaa vaakakupissa enemmän. Nykyisessä tehtävässään viestintäoikeuden professorina hän tutkii ja opettaa muun muassa joukkoviestintään, sananvapauteen, tietosuojaan ja yksityisyyteen liittyviä asioita. Sananvapaus ja yksityisyys rinnakkain Professori Korpisaarta on totuttu näkemään julkisuudessa kommentoimassa ilmiöitä, joissa liikutaan sananvapauden ja yksityiselämän suojan välissä. Oma oppituoli antaa paremmat resurssit yksityisyydensuojan ja tietosuojan opettamiseen. Suomen uusimmissa oikeusratkaisuissa punnukset ovat tasoittuneet. Jälkimmäinen painottaa enemmän tietojen saatavuuden ja käsittelyn tutkimusta
Muuten hän saattaa syyllistyä kunnianloukkaukseen. Korpisaaren mukaan kyseessä oli ”aika erikoinen konstruktio”: ”On vaikeaa ajatella, että esimerkiksi pahoinpitelyrikoksen uhrille asetettaisiin erityinen toimintavelvollisuus.” Hän kuitenkin kummastelee tarvetta kertoa julkisuuteen intiimeistä asioista. Netissä on myös yksityishenkilöiden ylläpitämiä sivustoja, joilla julkaistaan systemaattisesti listoja tietynlaisista rikoksista tuomituista. Osa laittaakin someen juttuja, joiden haluaa leviävän julkisuudessa. Toiselle taholle annettu haastattelu oli yksi KKO:n vapauttavan tuomion peruste myös tapauksessa, jossa entinen kumppani kertoi viihdelehdelle taiteilijan parisuhdeelämästä. Onko kunnialla ja yksityisyydellä tätä menoa kohta enää merkitystä. Julkisen sanan neuvostossa on ollut ratkaisu, jossa Facebookia on pidetty julkisena lähteenä.” Onko some tiedotusväline siinä missä ns. Nyt annamme itsestämme vapaaehtoisesti tietoja sovelluksiin ja palveluihin sekä kerromme elämästämme ja kommentoimme muita sosiaalisessa mediassa. Korpisaari muistuttaa, että kuvan levittäjällä tulisi olla riittävät perusteet väitteelleen. ”Silloin on pohdittava, onko kyse journalismista, ja jos ei ole, mikä on se peruste, jolla niitä käsitellään netissä. ”Jos asia on yleisesti merkittävä, ainakaan siinä ei loukattaisi hyvää lehtimiestapaa – varsinkaan, jos kyseistä tietoa ei muuten voisi saada.” tietosuoja-lehti.fi Oikeudessa kokonaisuus ratkaisee pyn toinen osapuoli oli itse kuvaillut tapahtumia toiselle lehdelle. Taiteilija kiisti ex-kumppaninsa tiedot toisessa julkaisussa. ”Jos antaa haastattelun parisuhteensa päättymisestä, pitää aina muistaa kumppanin yksityiselämän suoja. Voiko henkilö tällöin vedota yksityisyyteensä. ”Jos julkisuuden henkilöllä on somekavereina toimittajia, hänen täytyy ymmärtää, että asiat voivat tulla julkisuuteen. perinteisetkin. ”Onko lainsäädäntö ajan tasalla, vai pitäisikö tehdä selvemmät pelisäännöt?” Korpisaari vastaa toisella kysymyksellä. Taiteilijan tapauksessa korkein oikeus katsoi, että yksityiselämänsä julkisuuteen tuoneella henkilöllä voi olla korostunut toimintavelvollisuus, mikäli hän ei halua asioidensa julkista käsittelyä. Erästä sosiaalisen median ajan lieveilmiötä edustavat rikoksista tuomittujen nimien tai valvontakamerakuvien julkaiseminen. Joko täytyy olla entisen kumppanin suostumus tai tietojen pitää olla yleisesti siinä määrin jo aikaisemmin julkisuuteen tulleita, ettei yksityiselämää loukata.” Netti ei unohda Mitä julkisuuden henkilöt edellä, sitä me muut perässä. ”En sanoisi niin, vaan riippuu aika paljon henkilöstä ja kaveripiiristä. ”Uhrit saattavat olla aika voimattomia somen ja internetin edessä.” O tietosuoja 4 • 2015 23. ”Kunnianloukkauksista tehdään yhä paljon tutkintapyyntöjä poliisille, viitisentuhatta vuodessa. 3 Kolme kysymystä sosiaalisesta mediasta Lehdet uutisoivat julkisuuden henkilöiden asioita heidän somepäivitystensä pohjalta. Julkisuus voi olla valinta Kynnys tuomita uutisointi julkisuuden henkilön yksityisasioista on nykyisin varsin korkealla, mikäli yksityiselämä on osa henkilön julkista imagoa: ”Esimerkiksi jos asiat eivät ole niin hyvin kuin on annettu ymmärtää, ja se tulee julkisuuteen, nykykäytännön valossa on hyvinkin mahdollista, että uutisointi ei johda tuomioon”, Korpisaari sanoo. Jos ottaa toimittajia somekavereikseen, on hyvä tehdä pelisäännöt selviksi.” Entä jos pelisääntöjä rikotaan. ”Asianomainen ei kuitenkaan olisi kertonut asioistaan, ellei yksi lehti olisi ensin uutisoinut niistä”, Korpisaari huomauttaa. Yksityisestä käytöstä ei ole kyse, kun tiedot ovat netissä.” Olisiko valistuskampanjasta apua ilmiantolistojen kaltaisten ylilyöntien kitkemisessä. Se osoittaa, että ihmiset kokevat kunnian tärkeänä arvona, jota halutaan puolustaa”, Korpisaari huomauttaa. Kyse on siis henkilörekistereistä. ”Nyt henkilörekisterien julkaisu netissä näyttäisi olevan kiellettyä, mutta siitä ei nosteta syytteitä.” Toisaalta laittomasti julkaistujen tietojen julkaisija ja ylläpitäjä on helppoa pitää piilossa verkossa, eikä mikään estä julkaisemasta samoja tietoja uudelleen vaikkapa eri palvelimella
Albrechtin mukaan asetusta koskevissa neuvotteluissa avoimien kysymysten määrä on jo melko rajallinen. Siirtymäaikaa annettaneen kaksi vuotta, joten uusia tietosuojasääntöjä sovellettaisiin vuonna 2018. Lauristinin mukaan neuvottelujen kuluessa näkemykset tietosuojaja lainvalvontaviranomaisten yhteistyöstä ovat lähentyneet. Europarlamentin kansalaisvapauksien valiokunnalle niiden tilannetta esitteli marraskuun lopussa parlamentin pääneuvottelija Jan Philipp Albrecht. Tietosuojadirektiivi edellyttää vastaavien muutosten tekemistä Suomen lainsäädäntöön. Tietosuojavastaavista keskustellaan yhä. Yleisen tietosuoja-asetuksen kolmikantaneuvottelut alkoivat kesäkuussa. Kiistakysymyksiä liittyy esimerkiksi direktiivin soveltamisalaan, tietojensiirtoon EU:n ulkopuolelle ja lainvalvontaviranomaisten toimivaltaan. EU:n tietosuojauudistuksen valmistelu lähestyy maaliviivaa. Jos yhteisymmärrys tietosuojapaketin sisällöstä saavutetaan tämän vuoden loppuun mennessä, europarlamentti voisi äänestää tietosuoja-asetuksesta ja tietosuojadirektiivistä vuoden 2016 alussa. Europarlamentin kansalaisvapauksien valiokunnalle marraskuun lopussa puhunut raportoija ja pääneuvottelija Marju Lauristin korosti jäsenmaiden tahtoa saada direktiivi valmiiksi kuluvana vuonna. Sekä komission, parlamentin että jäsenmaiden tavoitteena on saavuttaa yhteisymmärrys yleisen tietosuoja-asetuksen ja tietosuojadirektiivin sisällöistä vuoden loppuun mennessä. Hänen mukaansa Pariisin terrori-iskut ovat lisänneet paineita saada nopeasti selkeämmät säännöt viranomaisten tietojenvaihtoon. Sekä asetuksessa että direktiivissä valmistelu on edennyt kolmikantaneuvotteluihin komission, parlamentin ja jäsenmaiden kesken. Tietosuojadirektiivin kolmikantaneuvottelut aloitettiin lokakuussa. Avoinna on myös, tulisiko tietosuojaloukkausten ilmoitusmenettelystä pakollista kaikissa tilanteissa. Neuvottelut jatkuvat joulukuussa. Direktiivi koskee henkilötietojen käsittelyä poliisija rikosoikeudellisen yhteistyön alalla. Päänvaivaa tuottavat myös käsittelijöiden ja rekisterinpitäjien velvoitteet. Albrecht sanoi valiokunnalle toivovansa, että asetuksessa tietosuojan taso ei ole nykyistä henkilötietodirektiiviä alhaisempi. Pariisin iskut vauhdittavat direktiivineuvotteluja Samaan aikaan tietosuoja-asetuksen kanssa käydään kolmikantaneuvotteluja uudesta tietosuojadirektiivistä. R O D E O UUSIA SÄÄNTÖJÄ SOVELLETAAN 2018. Edelleen keskustellaan esimerkiksi suostumuksen käsitteestä ja pyytämisestä rekisteröidyltä. Myös sakoista ja niiden määristä on yhä eri näkemyksiä, Albrecht kertoi valiokunnalle. Lait ja säädökset Tietosuojapaketista sopu vuodenvaihteessa. 24 tietosuoja 4 • 2015. Joissakin asioissa uusi asetus on joka tapauksessa nykysääntelyä täsmällisempi
Lain on tarkoitus tulla voimaan viimeistään heinäkuussa 2016. Potilasasiakirjojen sähköinen arkistointi valtakunnalliseen arkistointipalvelu Kantaan sai uudet takarajat. Tukipalvelujen tuotanto keskitettäisiin valtaosin Väestörekisterikeskukseen. Lokakuussa hyväksytyn asetuksen mukaan potilaan hoidon kannalta keskeiset asiakirjat on vietävä järjestelmään viimeistään vuoden 2020 loppuun mennessä. Laissa säädettäisiin tarkemmin sähköisen asioinnin tukipalvelujen toiminnallisuuksista sekä palvelutuottajien vastuista ja tehtävistä. A N T E R O A A LT O N E N R O D E O 25 tietosuoja 4 • 2015. Laki laajentaa lähipiiriin kuuluvien henkilöiden määritelmää. Valvontaa tehostetaan poistamalla viranomaisten välisen tiedonvaihdon esteitä. joulukuuta. Toimintakertomuksessa ja tilinpäätöksessä on annettava yksityiskohtaisemmat tiedot lähipiiriin kohdistuvista toimista. Patenttija rekisterihallitus vastaa yhä säätiöiden valvonnasta, mutta sen lupaa ei enää tarvita säätiön perustamiseen. Aikaisemmat määräajat olivat syyskuussa 2014 ja 2016. Potilastietojen sähköiselle arkistoinnille lisäaikaa Palveluarkkitehtuurista esitetään lakia Kansallisesta palveluarkkitehtuurista ehdotetaan säädettäväksi laki. Uudella asetuksella annetaan lisäaikaa tiettyjen asiakirjojen tallentamiselle. Uuden lain on tarkoitus lisätä säätiöiden toiminnan avoimuutta ja parantaa valvontaa. Myös henkilötietojen käsittelyn sääntelyä tarkennettaisiin. Esimerkiksi tunnistamiseen liittyvät neuvottelut ja sopimukset tunnistamisvälineiden käytöstä keskitettäisiin yhden toimijan vastuulle. Lausuntokierroksella oleva lakiehdotus kokoaisi yhteen hallinnon sähköisen asioinnin tukipalveluja koskevan sääntelyn. Lait ja säädökset SÄÄTIÖIDEN VALVONTA TEHOSTUU Uusi säätiölaki astuu voimaan 1. Potilaan hoidon kannalta keskeisiä asiakirjoja ovat asetuksen mukaan esimerkiksi tiedot toimenpiteistä, laboratoriotulokset, diagnoosit ja rokotukset
LAGUS KUVAT SHUTTERSTOCK. DIGITALISAATIO muuttaa bisnestä tietosuoja 4 • 2015 26 Digitaalisen liiketoiminnan kärkihanke hakee kasvua muun muassa massadatan käsittelystä ja tietoturvasta. TEKSTI ANTTI J
Esineiden internet -ohjelma koordinoi eri ministeriöiden toimenpiteet. Yksi työryhmä pohtii robotiikan hyödyntämisen ja kehittämisen lisäämistä. ”Emme yritä keksiä pyörää uudelleen”, sanoo toimeenpanoryhmän puheenjohtaja, viestintäneuvos Kristiina Pietikäinen liikenneja viestintäministeriöstä. Yhden ryhmän tehtävänä on laatia uusi tietoturvastrategia ja sille toimeenpanosuunnitelma.. Oma työryhmänsä on suurten tietoaineistojen eli niin sanotun massadatan hyödyntämiselle liiketoiminnassa. DIGITALISAATIO muuttaa bisnestä 27 tietosuoja 4 • 2015 T änä syksynä aloitettu kärkihanke on osa hallituksen toimintasuunnitelmaa. Lisäksi liikenteen digitaalisista palveluista rakennetaan kasvuympäristö. Se kestää hallituskauden ajan, mutta tavoitteet on asetettu noin vuoteen 2020. Haluamme ennen kaikkea lisätä digitalisaatioon perustuvaa liiketoimintaa sekä tiivistää yhteistyötä ja puristaa konkreettisia tuloksia.” Digitaalisen liiketoiminnan kärkihanke koostuu viidestä osasta. ”Tiedämme, että digitalisointihankkeita on ollut pitkään käynnissä eri puolilla
”Esimerkiksi EU:n tietosuoja-asetus on hyvä Edellytyksiä luomassa Pietikäisen mielestä digitalisaatio on megatrendi, joka muuttaa toimintatapoja joka tapauksessa. tintäneuvos Olli-Pekka Rantala huomauttaa, että EU:ssa on vahva henkilötietojen suojan lainsäädäntö ja kulttuuri. Pietikäinen kiistää pontevasti epäilyt, että hanke olisi ministeriökeskeinen: ”Ohjelmaan on kytketty mukaan yrityksiä, jotta elinkeinoelämä saadaan alusta lähtien mukaan. Uusia mahdollisuuksia on esimerkiksi tavaroiden kuljetuksessa. Toisaalta se tuo lisää velvoitteita yrityksille.” Aalto-Setälän mukaan tietoturvaryhmä ja kauppakamarit tekevät ruohonjuuritason työtä yritysten tietoturvatietoisuuden lisäämiseksi. 28 tietosuoja 4 • 2015 Riskit lisäävät tietoisuuden tarvetta Keskuskauppakamarin lakimies Minna AaltoSetälä osallistuu tietoturvastrategiaa pohtivaan työryhmään. Rantala näkee, että se voidaan hoitaa sopimuksilla.. Paljon tietoa kertyy esimerkiksi tavaroiden ostamisesta ja kuljettamisesta, mutta tätä tietoa ei vielä juuri hyödynnetä. Digitalisaatiolle luodaan edellytyksiä muun muassa kokeiluilla ja lainsäädäntöä keventämällä. ”Meillä tapahtuu isoja asioita, jotka vaikuttavat tietoturvaan”, Aalto-Setälä sanoo. Henkilötietojen käsittelyyn pitää joko saada kuluttajan suostumus, tai henkilötiedot pitää anonymisoida siten, ettei niiden avulla pääse yksittäisen kuluttajan jäljille. Keskuskauppakamari on esimerkiksi julkaissut keväällä yritysten tietosuojaoppaan. Hän pitää strategian luomista hallitustasolla todella tärkeänä, sillä tietoturvariskit tulevat niin yksilöiden kuin yritysten maailmassa yhä enemmän esiin. Kärkihankkeen tietoturvaryhmän puheenjohtaja, viessikäli, että se yhtenäistää Euroopan maiden pirstaleista lainsäädäntöä. ”Yksi selvitettävä asia onkin, kuinka voidaan rakentaa suostumusmalli, jossa käyttäjä antaa suostumuksensa tietojensa käyttöön ja saa vastineeksi parempaa palvelua”, Rantala sanoo. ”Olisi ihanteellista, jos tietomäärää voitaisiin käyttää palveluiden kehittämiseen”, Pietikäinen sanoo. Jos muutoksiin tartutaan riittävän ajoissa, Suomen on mahdollista kasvattaa kilpailukykyään. Massadatan hyödyntämistä pohtivassa työryhmässä halutaan luoda suotuisat olosuhteet muun muassa suurten tietoaineistojen hyödyntämiselle. Kärkihankkeen toimeenpanoryhmän 15 jäsenestä kaksi kolmannesta on ministeriöiden edustajia. Pietikäisen mukaan erityisesti liikenteessä on potentiaalia uusille palveluille, kunhan luodaan toimintaympäristö, jossa ne voivat kypsyä. Ohjelmassa myös kehitetään mittareita, joiden avulla voidaan arvioida digitalisaation vaikuttavuutta muun muassa kasvuun ja työllisyyteen.” Suostumusmalli helpottaisi massadatan käyttöä Julkisten tietoaineistojen avaaminen on Suomessa jo tuttua. Kun puhutaan yritysten tiedoista, herää kysymys, onko yrityksellä oikeus antaa asiakkaistaan keräämä tieto eteenpäin
29 tietosuoja 4 • 2015 listen salausmenetelmien käyttöä ja parantaa pilvipalveluiden läpinäkyvyyttä. Digipalveluissa tietoturvan pitää olla sisäänrakennettuna. Joulukuussa työryhmä järjestää kuulemistilaisuuden, jossa yritykset voivat esittää näkemyksiään nykytilanteesta ja tulevasta. Lue lisää: valtioneuvosto.fi/hallitusohjelman-toteutus/digitalisaatio Tietoturvaan uusi strategia Rantala painottaa, että digitaalisissa palveluissa tietoturvan pitää olla sisäänrakennettuna, oli sitten kyse massadatasta, liikenteestä tai vaikkapa esineiden internetistä. Suomessa on pitkät perinteet digistrategioista. Kärkihankkeen tietoturvaryhmän tehtävänä on laatia uusi tietoturvastrategia ja suunnitelma sen toimeenpanosta. O Useita digihankkeita Hanke digitaalisen liiketoiminnan kasvuympäristöstä on yksi Juha Sipilän hallituksen viidestä digitalisaation kärkihankkeesta. Tiettävästi maailman ensimmäinen kansallinen tietoturvastrategia tehtiin Suomessa vuonna 2003. Digipalveluilta toivotaan helppoutta ja turvaa. Hän uskoo digitaalisuuden kuitenkin lisäävän turvallisuutta, koska automaatio vähentää inhimillisten virheiden mahdollisuutta. Muut kärkihankkeet ovat julkisten palvelujen digitalisointi, säädösten sujuvoittaminen, kokeilukulttuurin käyttöönotto sekä johtamisen ja toimeenpanon parantaminen. Toimenpiteiden aika on sitten, kun tietoturvastrategia on saatu valmiiksi helmikuuhun mennessä. Työryhmä arvioi lainsäädäntöä ja mahdollisia muutostarpeita sekä pohtii, miten Suomessa voitaisiin edistää kaupal. Se myös arvioi keinoja tietoturvaosaamisen ja -liiketoiminnan ankkuroimiseksi Suomeen. ”Strategioita tarvitsee ajan kuluessa myös päivittää”, Rantala huomauttaa. Niiden yhteisenä tavoitteena on, että 2025 mennessä Suomi on digitalisaation avulla ottanut tuottavuusloikan julkisissa palveluissa ja yksityisellä sektorilla. ”Suomessa on jo nyt varsin vahvaa tietoturva-alan osaamista ja yritystoimintaa, joita pyritään lisäämään myös standardisoinnilla”, Rantala sanoo. Tarkoitus on parantaa muiden muassa päätelaitteiden, käyttöjärjestelmien ja sovellusten tietoturvaominaisuuksia
Tehokas tietoturva on ensiarvoisen tärkeä myös esimerkiksi kybervakoilun estämiseksi. 2. 2. Aina näillä sektoreilla on haasteita, mutta edellä mainitut kansalliset ratkaisut osittain mahdollistavat ja edesauttavat tietoturvallista toimintatapaa. Helppoja ja turvallisia palveluita 30 tietosuoja 4 • 2015. Kuluttajan kannalta keskeistä on, että palvelut ovat helposti käytettävissä ja esteettömiä. Johtaja Antti Kivelä Sitra 1. Lex Nokiaa. 2. Kehityspäällikkö Timo Simell TIEKE Tietoyhteiskunnan kehittämiskeskus ry 1. Digitalisointi vaatii lisäksi toimimattomien normien purkua. Toiminnanjohtaja Nomi Byström Electronic Frontier Finland – Effi ry 1. Tietosuojan liian tiukka tulkinta rajoittaa julkisten palveluiden kehittämistä: aina ei tarvitse käyttää ylimitoitettuja ratkaisuja. Tietosuoja on huomioitava kaikissa hankkeissa ja erityisesti järjestelmissä, joissa käsitellään arkaluonteisia tietoja. Tietoturvaa tulee kehittää ja huomioida laajaalaisesti. 2. Keskeistä on järjestelmien yhteentoimivuus ja yhdenmukaisten toimintatapojen käyttö. Keskeisenä tekijänä on kansallinen palveluarkkitehtuuri, erityisesti palveluväylä. Digiyhteiskunnan edellyttämän infrastruktuurin luomisessa on julkisella sektorilla merkittävä rooli Effi suosittaa, että avoimet ohjelmistot, standardit ja rajapinnat otetaan käyttöön. Miten luonnehtisit tietosuojan ja tietoturvan merkitystä digitalisoinnissa, ja onko niiden suhteen haasteita Suomessa. Kuluttajan on voitava luottaa siihen, että palvelujen käyttö on turvallista. 2. Varsinkin arkaluonteisten tietojen on oltava turvassa. Julkisella sektorilla tietoturvan ylimitoitus rajoittaa järjestelmien käyttöä ja tietojen siirtoa organisaatiorajojen yli. Tämä koskee myös ns. Tietoturvassa on käyttäjälähtöisiä puutteita varsin yleisesti. Mitä ovat mielestäsi keskeiset tekijät, joilla luodaan suotuisa toimintaympäristö digitaalisille palveluille. Lakimies Timo Niemi Kuluttajaliitto 1. Palveluarkkitehtuuriin liittyy olennaisesti myös sähköinen tunnistamisratkaisu kaikille luottamusverkostoille, jolloin yhdellä tunnistautumisella pääsee kaikkiin palveluihin. Kaikilla kansalaisilla tulee olla mahdollisuus saada mobiilitunnisteja verkkopankkitunnukset. Gallup NÄITÄ KYSYIMME: 1. Julkista hankintatoimea pitäisi kehittää, koska nyt se rajoittaa innovatiivisten palvelumallien kehittämistä. Tietosuoja on teoriassa kansalaisten osalta kohtuullisessa kunnossa, mutta käytännössä puutteita on liikaa. Voisiko olla niin, että samaa tietoturvan tasoa ei vaadittaisi kaikissa palveluissa. Tietoturvan tulisi olla käyttäjille helppoa ja vaivatonta. Tärkeää on myös oikeus riittäviin verkkoyhteyksiin koko maassa: kauanko yleispalvelun vähimmäisnopeus riittää
Nettitestit tuntuvat olevan todella suosittuja, ja niihin itsekin mielellään vastailee, jos aihe koskettaa tarpeeksi läheltä tai jos testi aiheuttaa riittävää hilpeyttä. 31 tietosuoja 4 • 2015. Lue lisää aiheesta: www.mediataitokoulu.fi/digisampo. Vastaukseksi saan Kroatian, ja vastaussivulla mukana on myös linkki parhaisiin hotelleihin kuvankauniissa Dubrovnikissa. Julia Alajärvi toimii projektipäällikkönä Kansallisen audiovisuaalisen instituutin (KAVI) Finnish Safer Internet Centre -hankkeessa. Netinkäytöstä kerätyt tiedot ovat merkittäviä myös julkiselle sektorille esimerkiksi liikenteen suunnittelussa tai vaikkapa influenssa-aallon ennustamisessa. Yksi tapa on tutustua eniten käyttämiensä nettisivustojen tai -palveluiden käyttöehtoihin ja selvittää muun muassa seuraavat asiat: Mitä tietoja minusta kerätään . Mihin tarkoitukseen kerättyä dataa käytetään . Klikkaan sitä ja viihdyn hetken hassujen kysymysten parissa. Pelkkää ajanvietettä ja viihdettä ne eivät toki ole, sillä testien avulla nettisivun kävijöistä saadaan valtavasti tietoa, ja tiedot ovat myös muutettavissa euroiksi ja dollareiksi. Puhutaan big datasta eli internetin valtavan suurista, järjestelemättömistä ja eri muodoissa olevista tietomassoista sekä niiden keräämisestä ja analysoinnista. Itsestä kerättyyn tietoon voi kuitenkin vaikuttaa tiedostamalla oman datansa käyttökohteet ja aktivoimalla erilaisia yksityisyyttä lisääviä sovelluksia. Yksittäinen klikkaus sivustolla tai sähköpostin avaaminen ei vielä kerro paljoa kenestäkään, mutta yhdistettäessä muihin saatavilla oleviin tietoihin ihmisestä piirtyy jo aika terävä kuva esimerkiksi kuluttajana. Opas tukee aktiivista ja vastuullista kansalaisuutta sekä antaa konkreettisia vinkkejä oman datan hallintaan. Sivusto voi käyttää testin tietoja omiin tarkoituksiinsa tai tehdä yhteistyötä kolmannen osapuolen kanssa, esimerkiksi juuri matkasivustojen tai muiden kaupallisten toimijoiden kanssa. Kolumni Sinun datasi on arvokasta myös muille JULIA ALAJÄRVI ”O letko boheemi ja kansainvälinen vai pieni ja sympaattinen – testaa, mikä maa olisit.” Jälleen yksi hauskannäköinen testi sanomalehden nettiversiossa. Onko datan keräämiseen mahdollista vaikuttaa omilla valinnoilla . Nettitestit ovat aktiivista tiedonkeruuta, mutta tietoa kerätään ja sitä kertyy myös netinkäyttäjien kannalta paljon passiivisemmilla tavoilla, esimerkiksi hakukoneeseen syötetyistä sanoista, sosiaalisen median sisällöistä sekä erilaisten anturien ja sensoreiden keräämästä tiedosta. Digisammon takojissa big dataa verrataan Kalevalasta tuttuun ihmekone Sampoon, joka toisaalta jakoi hallitsijoilleen vaurautta, mutta aiheutti myös suuria ristiriitoja. Sinne olenkin aina halunnut mennä, pitäisikö lähteä jo ensi keväänä . Analysoitu tieto näkyy tavalliselle käyttäjälle nettitestiesimerkin tavoin muun muassa kohdennettuna mainontana nettisivuilla tai sähköpostissa mutta toisaalta myös entistä kehittyneempinä sovelluksina ja palveluina. Lasten ja nuorten kanssa big dataa ja tiedon keräämistä voi käsitellä esimerkiksi Mediataitoviikolle tuotetun oppaan Digisammon takojat avulla. Twitter: @alajrvi Itsestä kerättyyn tietoon voi vaikuttaa. Datan kerääntymistä ja aktiivista keräämistä ei omalta osaltaan voi estää luopumatta samalla modernista teknologiasta
Sitä voi suojata rekisteröimällä tavaramerkki tuotekehityksen mahdollisimman varhaisessa vaiheessa. LOREM IPSUM DOLOR SIT AMET SUOJAA TUOTTEESI Liikeidean ytimessä on usein tuotteen tai palvelun tunnus, brändi. TEKSTI PÄIVI MÄNNIKKÖ KUVA SHUTTERSTOCK tietosuoja 4 • 2015 32
Tavaramerkin suoja alkaa Suomessa hakemuksen jättöpäivästä. Suomalaisten .fi-päätteisten verkkotunnusten myöntäminen ja hallinnointi siirtyy Viestintävirastolta välittäjille syyskuussa 2016. Jos ei ole, merkki rekisteröidään ja kuulutetaan verkossa ilmestyvässä tavaramerkkilehdessä. Vakiintumisen osoittaminen vaatii käytännössä käsittelyä tuomioistuimessa. Verkkotunnusta haettaessa pitää vakuuttaa, että tunnus ei ole identiteettinen rekisteröidyn tavaramerkin kanssa, ellei sitten hakija ole kyseisen tavaramerkin haltija. Rekisteröintiä voi hakea sähköisesti. Jos haun liitteinä on liikesalaisuuksia, PRH voi tehdä päätöksen olla luovuttamatta niitä. Rekisteröinti voi vahvistaa verkkotunnuksen asemaa. Tavaramerkki kannattaa rekisteröidä jokaisessa maassa, jossa sitä käytetään. SUOJAA TUOTTEESI Y rityksen tuotekehittely on huippusalaista toimintaa, jossa uutta tuotetta tai palvelukonseptia varjellaan uteliailta kilpailijoilta. 33 tietosuoja 4 • 2015. Se voi myös olla äänimerkki tai poikkeuksellisesti tietty väri. EU:lla on myös kaikissa jäsenmaissa voimassa oleva tavaramerkkijärjestelmä. Hakijan on esitettävä tuotemerkki ja ilmoitettava, mille tavaroille tai palveluille rekisteröintiä haetaan. aiheesta enemmän Tietoa tavaramerkeistä PRH:n verkkosivuilla: prh.fi/fi/tavaramerkit.html Verkkotunnuksista Viestintäviraston sivuilla: domain.fi Myös kaikki hakemukseen liittyvät asiakirjat tulevat silloin julkisiksi. Viestintäviraston tehtävänä on yhä ylläpitää verkkotunnusrekisteriä ja .fi-juurta. Tavaramerkki voi olla sana, kuvio tai niiden yhdistelmä. Rekisteröinnistä tulee lainvoimainen, jos kukaan ei esitä vastaväitteitä kahden kuukauden kuluessa. Tieto tavaramerkistä on julkinen, kun hakemus on vastaanotettu. Rekisteröinnin voi tehdä yhteen tai useaan maahan. Kun tavaramerkin rekisteröintiä haetaan Suomeen, hakemus tehdään PRH:lle. O Juttua varten on haastateltu neuvontalakimies Tuulimarja Myllymäkeä PRH:sta ja lakimies Kirsi Sunila-Putilinia Viestintävirastosta. Kun yritys rekisteröi tuotteen tai palvelun tavaramerkin, se varaa yksinoikeuden merkin käyttöön kyseisen tuotteen tai palvelun yhteydessä. Joka EU-maalla on oma kansallinen tavaramerkkijärjestelmänsä. Suomeen haettujen ja rekisteröityjen 150 000 tavaramerkin tietokantaa ylläpitää Patenttija rekisterihallitus (PRH). Joskus tavaramerkki on käytössä, mutta haltija ei ole hakenut sille rekisteröintiä, ja joku muu taho hakee rekisteröintiä merkille. Tavaramerkki tulisi rekisteröidä ennen lanseerausta. Hakuprosessissa PRH tarkistaa, onko rekisteröinnille esteitä. Jos tavaramerkin haltija huomaa oman merkkinsä jonkun verkkotunnuksena, haltija voi vaatia tunnuksen perumista verkkotunnusta hallinnoivalta taholta. Muutos ei vaikuta tavaramerkkien suojaan. Tavaramerkin rekisteröinnistä on etua: Viestintäviraston ratkaisukäytännön mukaan rekisteröimätön tavaramerkki voi olla perusteena verkkotunnuksen perumiselle vain, kun merkki on kiistattomasti vakiintunut. Tarkempia valmistamiseen tai konseptiin liittyviä tietoja ei tarvitse julkistaa hakemuksessa. Tavaramerkki erottaa tuotteen tai palvelun muista vastaavista. Sitä hallinnoi Espanjassa sijaitseva virasto OHIM. Silloin selvitetään, voidaanko aiemmin markkinoille tulleen toimijan tavaramerkki katsoa vakiintuneeksi
Niitä ovat myös toimijat, jotka tarjoavat vaikkapa urheiluseuroille palveluita, joiden kautta välitetään tiedotteita tai viestejä joukkueen jäsenten kesken. Välittäjät ovat viestinnän luottamuksellisuuden kannalta kriittisessä asemassa. U usi sähköistä viestintää sääntelevä laki, tietoyhteiskuntakaari, astui voimaan vuoden alussa. Rajatulle käyttäjäpiirille tarjottavat WLAN-palvelut esimerkiksi yksittäisissä kahviloissa luetaan viestinnän välittämiseksi. Aikaisemmin velvoite koski vain teleyrityksiä ja yhteisötilaajia. Käyttäjien välissä Muut viestinnän välittäjät ovat käyttäjiin nähden teleyrityksiä vastaavia viestinnän välittäjä. Laissa on kokonaan uusi viestinnän välittäjän käsite, ja siinä säännellään kaikkien välittäjien oikeuksista käsitellä sähköistä viestintää. Sen sijaan välittäjinä ei pidetä verkkoviestien ja verkkojulkaisujen tarjolla pitäjiä tai julkaisutoiminnan har34 tietosuoja 4 • 2015. Tietoyhteiskuntakaari velvoittaa kaikki viestinnän välittäjät noudattamaan sähköisten viestien ja välitystietojen käsittelyn pelisääntöjä ja huolehtimaan palveluiden tietoturvasta. Silloin siihen kohdistuu myös teletoimintaa koskevia velvoitteita. TEKSTI HANNA HEISKANEN sisällä. Niiden on usein tehtävänsä vuoksi pakko käsitellä viestejä ja välitystietoja, jotta palvelut toimisivat ja vikatai virhetilanteet saataisiin selvitettyä. Niiden toiminta perustuu luottamukselliseen viestinnän välittämiseen esimerkiksi jonkin sähköisen palvelun sisällä. Viestinnän välittäjää koskevalla sääntelyllä vahvistetaan luottamuksellisen viestin suojaa ja tietoturvallisuuden toteutumista myös uudenlaisissa palveluissa, jotka ehkä vielä odottavat markkinoille tuloa. Keskenään viestiviin käyttäjiin nähden välittäjät ovat kolmansia, ulkopuolisia tahoja. Asiantuntijalta Uusi sääntely parantaa viestinnän luottamuksellisuutta Tietoyhteiskuntakaari toi sähköisen viestinnän yksityisyydensuojan ja tietoturvavelvoitteiden piiriin uusia toimijoita. Välittäjiä ovat teleyritykset, yhteisötilaajat ja muut viestinnän välittäjät. Esimerkiksi oppilaitokset käyttävät palveluja, joiden avulla opettajat ja huoltajat pitävät yhteyttä toisiinsa. Tällaisten palveluiden tarjoajat ja ylläpitäjät ovat viestinnän välittäjiä. Internetin julkisen keskustelupalstan ylläpitäjä ei ole viestinnän välittäjä. Laajamittaisessa WLAN-palveluiden tarjoamisessa, kuten kaupunkien laajapeittoisissa palveluissa, saattaa olla kyse myös yleisestä teletoiminnasta. Ne välittävät luottamuksellista viestintää esimerkiksi tietyn palvelun Välittäminen voi olla osa palvelua Luottamuksellisen viestinnän välittäminen ei tarvitse olla palvelun ainoa tarkoitus tai edes sen päätarkoitus, jotta toiminta kuuluisi sääntelyn piiriin. Esimerkiksi käyttäjien välinen viestintämahdollisuus internetin treffipalvelun sisällä on vain yksi palvelun ominaisuuksista, mutta se on viestinnän välittämistä. Tietoyhteiskuntakaaren velvoitteet koskevat vain sitä palvelun osaa, jossa välitetään luottamuksellista viestintää
lokia. Noudatettavat velvoitteet: . Jos vastasit kyllä: . . Viestinnän välittäjä voi käsitellä välittämäänsä viestintää ja niihin liittyviä välitystietoja vain laissa yksilöidyissä tilanteissa. Näin ollen esimerkiksi internetin julkisen keskustelupalstan ylläpitäjä ei ole viestinnän välittäjä. Välitystietojen käsittelyoikeudet ja pelisäännöt (tietoyhteiskuntakaari 17 luku) 35 tietosuoja 4 • 2015. Viestejä ja niihin liittyviä välitystietoja saa käsitellä myös viestinnän osapuolen suostumuksella. Säilytysaika on kaksi vuotta. Tällaisiksi katsotaan esimerkiksi kotitalouksien ylläpitämät WLANtukiasemat, joita käytetään vain huoneiston asukkaiden ja satunnaisten vieraiden kesken. Hanna Heiskanen on lakimies Viestintäviraston Kyberturvallisuuskeskuksessa. joittajia. Onko hallussa tai hallinnassa laitteistoa. Käsittelyoikeuksien rajoituksilla suojataan palvelun käyttäjien sähköisen viestinnän luottamuksellisuutta ja yksityisyydensuojaa. Tapahtumista pidettävä lokia Viestinnän välittäjällä on velvollisuus tallentaa välitystietojen käsittelyä koskevia tietoja. Välitystietojen käsittelystä säädetään tietoyhteiskuntakaaren 17 luvussa. . . Tällaisia ovat esimerkiksi viestintälokit ja WLAN-tukiaseman käyttäjälistaukset. Tietojen tallentaminen on pakollista vain, jos se on teknisesti ja ilman kohtuuttomia kustannuksia mahdollista. Onko aktiivinen rooli palvelun ylläpidossa. Välitystietoja saa käsitellä, kun se tapahtuu viestinnän välittämiseksi ja palvelun toteuttamiseksi sekä tietoturvasta huolehtimiseksi. Yksityiskohtaisia tapahtumatietoja on kerättävä sellaisesta välitystietojen käsittelystä, jota tehdään viestinnän luottamuksellisuuden ja yksityisyydensuojan kannalta keskeisissä tietojärjestelmissä. O Näin selvität, onko palvelussa kyse viestinnän välittämisestä: . Muita sallittuja käsittelyperusteita ovat laskutus, omien palveluiden markkinointi, tekninen kehittäminen ja tilastollinen analyysi. Käsittelyperusteet ja niihin liittyvät velvoitteet on lueteltu tyhjentävästi laissa, eli välitystietoja ei saa käyttää muihin tarkoituksiin. Välitetäänkö tai pidetäänkö palvelussa saatavilla käyttäjien välistä viestintää. Välitystietojen käsittely rajattua Viestinnän välittäjien on huolehdittava viestien, välitystietojen ja sijaintitietojen tietoturvasta. Niin ikään sääntelyä ei sovelleta viestinnän välittämisessä yksityisiin ja henkilökohtaisiin tarkoituksiin. Tutustu tietoyhteiskuntakaaren sääntelyyn ja ohjeisiin. Yksinkertaistetusti tämä tarkoittaa, että välitystietojen käsittelystä on kerättävä ns. Tarvittaessa pyydä tulkinta-apua Viestintävirastosta. Yleisestä velvollisuudesta huolehtia tietoturvasta säädetään tietoyhteiskuntakaaren 247 §:ssä. Niin ikään välitystietojen käsittely on sallittua väärinkäytöstapausten löytämiseksi, estämiseksi ja selvittämiseksi sekä teknisen virheen tai vian havaitsemiseksi. Tapahtumatiedoista on käytävä ilmi käsittelyn ajankohta, kesto ja käsittelijä. Velvollisuus huolehtia tietoturvasta (tietoyhteiskuntakaari 247 §)
Palvelua järjestävä viranomainen on vastuussa etäyhteyden tietoturvasta. Hankkeeseen kuuluneissa auditoinneissa ilmeni, että osassa palveluntuottajien tietojärjestelmiä oli korjausta vaativia tietoturvapoikkeamia. Yhteyden saa kuitenkin omallakin tietokoneella vaikka kotisohvalta käsin, jos koneessa vain on mikrofoni ja webkamera. Kuva tuo VIRANOMAISEN kotiin tietosuoja 4 • 2015 36 Etäpalvelu on tulevaisuuden sana viranomaisasioinnissa. TEKSTI KIRSI CASTRÉN KUVA MAIJA NYMAN K uvayhteydellä toimiva etäpalvelu tuo jatkossa palveluja alueille, joilla niitä ei muuten ole mahdollista järjestää. Valtiovarainministeriön hankkeessa etäpalveluja kokeiltiin viidellä paikkakunnalla syksystä 2014 kevääseen 2015 asti. ”Jo muutaman vuoden päästä ollaan teknisten valmiuksien kannalta tilanteessa, jossa viranomaispalvelujen etäkäyttöä voidaan miettiä laajemmassa mittakaavassa”, hankepäällikkö Eelis Laine arvioi. Lisälaitteita ei tällöin tarvita, vaan sovelluksen asentaminen riittää. Viranomaisten asiointipalveluja saa etäpalveluna jatkossakin yhteispalveluja asiointipisteissä eri puolilta Suomea. Tietoturvassa on kuitenkin vielä työsarkaa. Palveluja kokeiltiin sekä asiointipisteissä että kotikäytössä. Julkishallinnon asiointipisteissä etäpalvelua käytetään videoneuvottelulaitteilla. Niitä suunnitellaan laajennettaviksi useille paikkakunnille lähivuosina. Asiakaspalautteissa tietoturvakysymykset eivät kuitenkaan hankepäällikkö Laineen mukaan nousseet enää merkittävästi esille. Kokeiluun osallistuivat Kela, TE-toimisto, LänsiSuomen maistraatti sekä useat kunnat, yritykset ja yhdistykset. Tuottaja vastaa palvelun turvasta Osana etäpalveluhanketta järjestetyssä kyselyssä moni kansalainen ilmaisi olevansa huolissaan etäpalvelujen tietoturvasta. ”Oppina tästä on, että on tärkeää tehdä
Kotikoneen tietoturva jää käyttäjän vastuulle. tietosuoja 4 • 2015 37
Tietosuojaasioita ei kuitenkaan sovi unohtaa: ”Laintulkinta kuvatiedostojen tallentamisessa on nähdäkseni periaatteellisesti sama kuin puhelinkeskusteluissakin: Omaan käyttöön saa keskustelunsa äänittää, mutta sitä ei saa levittää ulkopuolisille ilman toisen osapuolen lupaa”, Laine sanoo. ”Kuvayhteyden tallentaminen viranomaisen puolelta vaatisi asian juridisen puolen selvittämistä”, hän sanoo. Asiointipisteen henkilökunta saattaa tarvita koulutusta, jos heidän vastuulleen lankeaa etäpalvelukoneiden tietoturvasta huolehtimista tai asiakkaiden opastamista niiden käyttöön. tietosuoja 4 • 2015 38 auditoinnit ja miettiä etukäteen etäpalvelussa käsiteltävien asioiden suojaustaso”, Laine sanoo. Käyttäjälle salaus näkyy selaimen osoiterivillä suljetun lukon kuvana ja tekstinä ”https://”. Hankepäällikkö Eelis Laineen mukaan julkishallinnon etäpalveluyhteydenottoja ei suunnitella tallennettaviksi ainakaan toistaiseksi. ”Etäpalvelun tietoturva on moniportainen ja alkaa palvelinten suojaamisesta”, sanoo tietoturva-asiantuntija Perttu Halonen. ”Viime kädessä on sopimusasia, sisältyykö tilojen käyttöön ainoastaan päätteen majoittaminen vai muutakin”, Halonen sanoo. O aiheesta enemmän Etäpalvelun tietoturvaohje: vm.fi/etapalveluohjeet Tietoturva voidaan viedä pankkiautomaatin tasolle Viestintävirasto seuraa etäkäytön teknistä tietoturvaa ja auttaa tarvittaessa neuvoin ja ohjein. Jos esimerkiksi kunnan virastotaloon on tulossa etäkäyttöpääte, on palveluista vastaavan viranomaisen ja tilojen omistajan sovittava tietoturvan ylläpidosta. Mahdollisuus tuo etäpalveluihin uudenlaisen tietosuojanäkökulman, sillä vaikka esimerkiksi puhelinkeskustelujakin on jo kauan ollut mahdollista äänittää, on kuvatallenne ääntä rikkaampi ja sisältää enemmän osapuolten henkilötiedoiksi katsottavaa aineistoa. Tallenteiden kanssa tarkkana Kansalaisen ja viranomaisen välisestä kuvayhteydestä muodostuva tiedosto on periaatteessa tallennettavissa, jaettavissa ja muokattavissa kuten mikä tahansa tiedosto. ”Henkilökunnan voi olla vaikeaa valvoa esimerkiksi sitä, ettei tietokoneeseen asenneta asiattomia laitteita ja niiden kautta vakoiluohjelmia.”. Kotikäyttäjällä on kuitenkin jo nyt mahdollisuus halutessaan tallentaa erillisillä ohjelmistoilla tapahtuma omalle laitteelleen tai vaikka muistitikulle. Salakirjoitettu yhteys takaa luottamuksellisuuden. Kotikoneiden tietoturva – esimerkiksi käyttöjärjestelmän ja virustorjuntaohjelmistojen asentaminen ja päivittäminen – jää tulevaisuudessakin käyttäjän vastuulle. Etäpalveluihin rakennettava salakirjoitettu yhteys kuitenkin takaa luottamuksellisen asioinnin jopa tilanteessa, jossa kotikäyttäjän langaton verkko on täysin suojaamaton
Kiiminki oli yksi valtiovarainministeriön syksystä 2014 kevääseen 2015 järjestämän Etäpalveluhankkeen viidestä pilottipaikkakunnasta. tietosuoja 4 • 2015 39 tietosuoja-lehti.fi Pankissa verkkoneuvottelut ovat arkea Kiimingissä asioidaan etänä jo viidettä vuotta Oulun kaupungin Kiimingin asiointipisteessä ovat etäpalvelut olleet käytössä jo vuodesta 2011. Yksityisyyden turvaaminen kuvayhteydenotoissa on haaste sekä tekniikan että tilojen takia. Etäpalvelu on saanut asiakkailta pääosin kiitosta. ”Videoneuvottelulaite ei sovi suoraan esimerkiksi kirjastoon, jossa asiakaspäätteet ovat usein viiden, kuuden ryhmissä. Etäasiointi tapahtuu videoneuvottelulaitteella tarkoitusta varten varatussa neuvotteluhuoneessa. Kuvatallenne sisältää henkilötietoja pelkkää ääntä enemmän. Negatiivista palautetta ei ole tullut sen jälkeen, kun ihmiset ovat laitetta ensimmäisen kerran käyttäneet”, Rossi kertoo. Mikäli haluttaisiin, että osalta koneita voisi ottaa videoyhteyden, voisivat pohdittaviksi tulla esimerkiksi kevyet väliseinät tai kuulokkeet.” Etäkäyttölaitteiden tietoturvan parantamiseksi olisi tehtävissä enemmänkin, Halonen huomauttaa: ”Laitteiden tekninen suojaaminen voidaan viedä periaatteessa yhtä pitkälle kuin pankkiautomaateissa, jotka ovat kauan toimineet pankkiasioinnin etäkäyttöpisteinä.” Viime kädessä kyse on kustannuksista eli siitä, paljonko palveluntuottaja haluaa maksaa tietoturvaa parantavista lisäkuorista.. ”Etäpalveluntuottajan on huomioitava paitsi laitteen tietoturva, myös asiakaspalvelutila, jossa laite on”, Rossi korostaa. Videoneuvottelulaitteen lisänä on dokumenttikamera, jolla asiakas voi halutessaan näyttää viranomaiselle lomakkeita ja muita asiakirjoja. Asiakasneuvoja avaa kuvayhteyden ja opastaa tarvittaessa. ”Viranomaiset saattavat toisinaan edellyttää etäasioinnissa asiakkaan tunnistautumista, jolloin asiakasneuvoja tarkistaa käyttäjän henkilöllisyystodistuksen ja ilmoittaa tunnistamisesta viranomaiselle”, sanoo projektipäällikkö Jarmo Rossi. Etäkäytössä puhelinlinjaan on lisätty kuvayhteys. ”Hiukan on lähinnä iäkkäämpää väestöä pitänyt houkutella, kun on totuttu hoitamaan asioita puhelimen välityksellä
Sopimukset syyniin Asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta sanoo, että Safe Harborin muuttuminen laittomaksi on työllistänyt yrityksiä koko syksyn. TIETOJENSIIRTO työllistää yrityksiä. Ne ovat tarjonneet eurooppalaisille asiakkailleen nopeasti uusia, mallisopimuslausekkeisiin perustuvia tietosuojaehtoja. Niitä ovat komission hyväksymät mallisopimuslausekkeet ja tietosuojaviranomaisten hyväksymät konsernin sisäiset säännöt (Binding Corporate Rules) sekä henkilötietodirektiivissä mainitut muut poikkeusperusteet. Nyt henkilötietoja saa siirtää Atlantin toiselle puolelle vaihtoehtoisilla järjestelyillä. ”Tuomio on kasvattanut tietoisuutta kansainvälisten tietojensiirtojen velvoitteista, riskeistä ja rajoitteista yritysten lakiasiainjohtajien keskuudessa.” Tuomion jälkeen useissa eurooppalaisissa yrityksissä on pitänyt ensimmäiseksi selvittää, missä määrin tietoja ylipäänsä on siirretty Safe Harborin nojalla. Siihen asti tietojen siirrossa ovat käytössä vaihtoehtoiset menettelyt. Tuomion mukaan järjestely on pätemätön, koska USA:n viranomaisilla on ollut rajoitukseton pääsy kaikkiin järjestelyn nojalla siirrettyihin henkilötietoihin, eikä EU-maiden kansalaisilla ole oikeussuojakeinoja tällaista tiedonkäsittelyä vastaan. Järjestelyn neuvotelleet EU:n komissio ja USA:n kauppaministeriö ovat taanneet, että Safe Harboriin sitoutuneiden yritysten tietosuoja on riittävällä tasolla ja EU-kansalaisten tiedot siten suojassa. Ongelmallisimmat tapaukset ovat liittyneet pienempiin yhdysvaltalaisyrityksiin, jotka eivät ole olleet yhteydessä eurooppalaisiin asiakkaisiinsa tuomion jälkeen. TEKSTI PÄIVI MÄNNIKKÖ KUVA SHUTTERSTOCK S afe Harbor -menettelyyn sitoutuneet viitisentuhatta yritystä ovat saaneet vastaanottaa ja käsitellä EU-maiden kansalaisten henkilötietoja USA:ssa. Långin mukaan kaikkein suurimmat yhdysvaltalaiset palveluntarjoajat ovat olleet tuomion jälkeen aktiivisia. ”Tämä olisi pitänyt tietysti olla tiedossa jo aiemminkin”, Lång huomauttaa. Eurootietosuoja 4 • 2015 40 Uudesta Safe Harborista on neuvoteltu 2013 asti. Lokakuun alussa EU-tuomioistuin totesi Safe Harborin laittomaksi. EU ja USA neuvottelevat uudesta henkilötietojen siirron menettelystä Safe Harborin tilalle
”Toivottavasti jälkimmäisiin keinoihin ei tarvitse turvautua. Neuvottelujen suurin haaste koskee Yhdysvaltain tiedusteluviranomaisten pääsyä siirrettyihin tietoihin. ”Mutta toki markkinoilla vallitse tällä hetkellä kiistatta epävarmuus.” Aarnio kuitenkin muistuttaa, että toimivalta tietojen siirron kieltämisessä ei ole tietosuojaviranomaisilla vaan tuomioistuimilla. Onko mahdollista, että tietosuojaviranomaisten mielestä mallisopimuslausekkeet ja räätälöidyt sopimukset eivät vastaakaan tuomion vaatimuksia. Mitä tapahtuu rekisterinpitäjille, jotka siirtävät henkilötietoja USA:han ilman lainmukaista tietosuojajärjestelyä. Komissio lupaa, että uudessa järjestelyssä viranomaisten pääsyä tietoon rajoitetaan sekä taataan valvontaja valitusmenettelyt.. EU-tuomioistuimen ratkaisu on kuitenkin vauhdittanut neuvotteluja, jotka on komission mukaan tarkoitus saada päätökseen tammikuun loppuun mennessä. Toisaalta viranomaiset odottavat joka tapauksessa tietoja Safe Harborin korvaavasta järjestelystä tammikuun loppuun asti. Muut menettelyt käytössä Euroopan tietosuojaviranomaisten työryhmän lausunnon mukaan vaihtoehtoisia tiedonsiirtomenetelmiä saa käyttää ainakin siihen asti kunnes ryhmä on selvittänyt, vastaavatko ne tuomiossa esitettyjä vaatimuksia. ”Selvittelyssä ensimmäinen kysymys on, onko henkilötietojen siirto Safe Harborin nojalla aloitettu ennen tuomion julkistamista vai sen jälkeen”, tietosuojavaltuutettu Reijo Aarnio sanoo. Sen mukaan tietosuojavaltuutetun on pyrittävä ennen kaikkea neuvoin ja ohjein siihen, että lainvastaista menettelyä ei jatketa tai uusita. ”Työryhmä lähtee siitä, että ennen tammikuun loppua ei ryhdytä mihinkään täytäntöönpanotoimiin”, tietosuojavaltuutettu Reijo Aarnio sanoo. ”Toki tietosuojaviranomaiset voivat viedä asian kansallisen tuomioistuimen käsiteltäväksi.” Viivyttely voi kostautua Osa eurooppalaisista rekisterinpitäjistä on jäänyt odottamaan komission ja USA:n neuvottelujen tuloksena mahdollisesti syntyvää Safe Harborin korvaavaa järjestelyä. O tietosuoja 4 • 2015 41 Tiedustelu kiistakapulana Safe Harborin tulevaisuus oli avoin jo ennen tuomioistuimen päätöstä, sillä EU:n komissio ja USA ovat neuvotelleet korvaavasta menettelystä jo vuodesta 2013 asti. ”Jos siirrot on aloitettu vasta tuomion jälkeen, se on tietysti vähän eri asia kuin jos ne on aloitettu aikaisemmin.” Aarnio viittaa Suomen henkilötietolakiin. passa onkin yhä rekisterinpitäjiä, jotka eivät ole saaneet yhdysvaltalaiselta palveluntarjoajaltaan riittäviä takeita tietosuojasta. Odottelulla ne ovat halunneet välttää mahdollisesti vaivalloiset neuvottelut palveluntarjoajansa kanssa ja mallisopimuslausekkeiden käyttöönoton. Odottamaan jääneissä yrityksissä ”kiire tulee olemaan melkoinen”, jos uutta järjestelyä ei tulekaan ajallaan, Jukka Lång varoittaa viitaten tietosuojaviranomaisten tammikuiseen määräaikaan. Tarvittaessa valtuutettu voi viedä asian tietosuojalautakunnan käsittelyyn tai syyttäjälle. Jos neuvotteluissa ei ole siihen mennessä saavutettu ratkaisua, viranomaiset ryhtyvät toimiin laittoman tietojen siirtämisen lopettamiseksi. Yleensä myös reitti on Suomessa kulkenut tietosuojalautakunnan kautta”, Aarnio sanoo
tietosuoja 4 • 2015 42 TYÖELÄMÄSSÄ PELI KOVENEE – tietosuoja pysyy
Puhelu venyy, kun Lasse ja työntekijä keskustelevat siitä, mitä ongelmille voisi tehdä. Painostus on ollut yleisintä yksityisellä palvelualalla ja pelisääntöjen mitätöinti kunnissa. Soittaja on työntekijä, joka kokee, että esimies kohtelee häntä epäasiallisesti. Toimihenkilökeskusjärjestö STTK:n toukokuussa julkaiseman barometrin mukaan luottamustehtäviin käytetystä ajasta suuri osa menee erilaisten työuupumusja kiusaamistapausten ja muiden ristiriitojen selvittelyyn. ”Kyse ei ole henkilökohtaisista, yksittäisitä tiedoista tai palkoista, vaan yleistiedoista”, painottaa Etelä-Suomen aluehallintoviraston lakimies Anna Tiainen. Työssä tarvitaan tietoa, maalaisjärkeä ja luottamusta. Vastuu on suuri”, Tiainen sanoo.. Työpaikoilla peli kovenee: Barometrin mukaan myös kymmenesosa henkilöstön edustajista on kokenut, että työnantaja vaikeuttaa luottamustehtävän hoitamista rikkomalla pelisääntöjä. Esimerkiksi riitatilanteissa luottamusmiehelle on luovutettava kaikki asiaan vaikuttavat tiedot.” Tiainen painottaa, että yksittäistä työntekijää koskevat tiedot luovutetaan aina vain työntekijän suostumuksella. Työpaikan luottamushenkilöt ja työsuojeluvaltuutetut saavat tietää luottamustehtäviensä hoidossa paljon henkilökohtaisia, jopa arkaluonteisia asioita. Vaitiolovelvoite on Tiaisen mukaan määritelty tarkkaan työehtosopimuksissa. ”Suuri osa luottamusmiesten ja työsuojeluvaltuutettujen käsittelemistä tiedoista on salassa pidettäviä ja luottamuksellisia. ”Työehtosopimusten mukaan taas luottamusmiehillä on laajemmat tiedonsaantioikeudet kuin työsuojeluvaltuutetulla. TEKSTI RIITTAMAIJA STÅHLE KUVA SHUTTERSTOCK L asse Luottamusmiehen puhelin soi iltauutisten aikaan. 43 tietosuoja 4 • 2015 Työuupumusten ja ytneuvottelujen luvatussa Suomessa työsuojeluvaltuutetut ja luottamusmiehet ovat paljon vartijoina. Työntekijän suostumuksella Lain mukaan luottamushenkilöillä on oikeus saada tarpeelliset tiedot esimerkiksi työsuhteesta tai palkoista. Uupumuksenkin oireita on, ja edessä oleva kehityskeskustelu pelottaa
Luottamusmiehet käsittelevät joskus todella rajuja juttuja”, Liimatainen sanoo ja jää odottelemaan sote-uudistuksen mukanaan tuomia muutoksia. ”Vastaavanlaisiin tilanteisiin voidaan joutua esimerkiksi vankiloissa. Tuottavuusvaatimukset kiristyvät. Liimatainen mainitsee esimerkiksi jäsenrekisterit, joissa on jäsenten henkilötunnukset, puhelinnumeroista ja osoitteista puhumattakaan. Irtisanomistilanteissakin ollaan tiukoilla sen suhteen, mitä tietoja luottamushenkilö saa kertoa. Näiden asioiden kanssa myös luottamusmiehet ovat uusien haasteiden edessä”, Siljander sanoo. Kun itse koulutan, teen hyvin selväksi tietosuojan merkityksen.” Luottamusmiehellä on tietoja, jotka vääriin käsiin joutuessaan aiheuttaisivat melkoista haittaa. Työntekijät tuntevat riittämättömyyttä ja epävarmuutta. Tietosuoja-asioihin luottamusmiehet törmäävät koko ajan. Oikotietä ei Siljanderin mukaan ole, vaan asiat on opiskeltava. 44 tietosuoja 4 • 2015 Luottamustehtävissä vastuu on suuri. Samalla saamme toisiltamme hyviä toimintamalleja”, sanoo neuvottelupäällikkö Markku Nieminen. Häntä askarruttaa luottamusmiesten aseman säilyminen. Siljander nostaa esille ns. JUKOon kuuluu kahdeksan jäsenyhdistystä. Jopa liian varovaisesti. Nieminen itse on aloittanut järjestötehtävissä vuonna 1982 AKAVAssa ja nähnyt vuosien mittaan monet muutokset. O. Myös varhainen puuttuminen sairauksiin asettaa Siljanderin mukaan omat ongelmansa juuri tietosuojan vuoksi. ”Esimerkiksi koulutuspäivillä meillä on oma osionsa rekisteritietojen käsittelemisestä. Jäsenistöstä kuntien palveluksessa on 70 prosenttia, loput valtiolla, yliopistoissa ja seurakunnissa. Hiihtäjä Mika Myllylän kuolinsyyn urkinnasta tuomittiin yli 70 ihmistä, joista suurin osa oli poliiseja. Luottamus on Liimataisen mielestä luottamusmiehen tärkeimpiä ominaisuuksia. ”Luottamushenkilöt suhtautuvat tietoihin erittäin varovaisesti. ”Luottamusmiehenä toimiminen on pitkän linjan kasvamista. Nykyään hän toimii työja elinkeinoministeriön hallinnonalan päätoimisena pääluottamusmiehenä. JUKOn haasteena ovat Niemisen mukaan luottamusmiesten erilaiset taustat ja toisistaan poikkeavat työolot. ”Luottamukseen kuuluu, ettei saamiaan tietoja anna ulkopuolisille. ”Ammattiyhdistystilaisuuksissa vaitiolovelvollisuutta ja tietosuoja-asioita painotetaan. Ei oikotietä Julkisten ja hyvinvointialojen liiton (JHL) sopimustoimitsija Mikko Siljander näkee työssään päivittäin työelämän ongelmia. Henkilöjäseniä on runsaat 200 000. Kaikki paperit on hävitettävä niin, että ne varmasti tuhoutuvat.” Vaikka Liimatainen on ollut luottamustehtävissä vuosia, uusia asioita tulee eteen koko ajan. Jotta virkamiehet pystyvät tekemään työtään, he saattavat joutua hankaliin tilanteisiin”, Siljander sanoo. ”Asia on vaikea, mutta olen huomannut, että keskustelulla saamme parhaat tulokset. Luottamusmiehiäkin on noin 3 600. On tiedettävä, miten vankien tietoja voi käsitellä. Päreitä ei saa polttaa ja empatiaa pitää olla. En edes kotona puhu näistä asioista. ”Osaamisvaatimuksia tulee koko ajan enemmän, ja asiat ovat vaikeutuneet”, hän sanoo. ”Työelämän ongelmat ovat yleistyneet. Liika varovaisuus saattaa estää edunvalvontaa.” Kokemukset jaetaan Julkisalan koulutettujen neuvottelujärjestö JUKOn koulutustilaisuuksissa puhutaan paljon luottamusmiehen tiedonsaantioikeuksista. Olen itse hyvin varovainen. Tässä olemme tehneet tiivistä yhteistyötä tietosuojavaltuutetun toimiston kanssa.” Siljanderin tietoon ei ole tullut tapauksia, jossa luottamuksella saatuja tietoja olisi käytetty väärin. Myllylä-tapauksen. Pääsyiksi hiihtäjän tietojen katseluun kerrottiin uteliaisuus – ja ammattitaidon kehittäminen. Sanaan kulminoituu koko toiminta. Liimatainen valvoo 4 000 ihmisen etuja. JHL on valtava liitto: jäsenmäärä on 220 000. Siljanderin mukaan luottamushenkilöiden koulutusten sisältöjä uudistetaan JHL:ssä säännöllisesti. ”Työnantajapolitiikka on viime aikoina kiristynyt, ja luottamusmiehiin kohdistuu enemmän painostusta.” Aina uusia asioita Pekka Liimatainen on ollut erilaisissa luottamustehtävissä pitkälti toistakymmentä vuotta. Myös Liimataisen mukaan työelämä on koventunut
salasanaa töissä ja 17 salasanaa vapaa-ajan palveluissa. merkkiä on salasanojen hallintapalvelu LastPassin suositus pääsyn omiin salasanoihin avaavan ns. LastPass käyttää ohjeessaan salasanasta nimitystä ”salalause”: Muistamisen helpottamiseksi se suosittelee keksimään kokonaiseen lauseen, jossa on muitakin merkkejä kuin kirjaimia. SplashData kokoaa suosituimpien salasanojen listan varastettujen ja netissä julkaistujen salasanojen perusteella. eli 150 miljoonan ohjelmistoyhtiö Adoben asiakkaan salasanatiivisteet ja salasanan selkokieliset vihjeet julkaistiin netissä 2013 syksyllä. pääsalasanan pituudeksi. FU T U R E IM A G E B A N K 45 tietosuoja 4 • 2015. Tietoturva-asiantuntijat arvostelivat yhtiötä siitä, että se oli salannut kaikki salasanat samalla salausavaimella ja että käytetty menetelmä ei ollut riittävän turvallinen. Nämä olivat keskimääräiset salasanojen määrät vuonna 2012 norjalaisen tutkimuslaitos NorSISin kyselyssä. Isossa-Britanniassa vuonna 2014 teetetyssä selvityksessä käyttäjillä oli keskimäärin 19 salasanaa. Ilmiö numeroina 20–30 8,5 15 00 00 123456 SH U T T E R ST O C K SH U T T E R ST O C K oli tietoturvayhtiö SplashDatan selvityksen mukaan vuonna 2014 yleisin käytössä oleva SALASANA
Valvonta pienentää tehokkaasti omasta kuormasta syömisen riskiä, lehti opastaa. SH U T T E R ST O C K FR IT Z SC H U M A N N Tietosuoja-asetuksen valmistelija toivoo ripeitä toimia ”Poliittinen paine tietosuoja-asetuksen valmistumiseksi on suuri”, sanoo Jan Philipp Albrecht. Pariisin terrori-iskujen jälkeen USA:n tiedusteluviranomaiset ovat tuoneet taas esille tarvetta murtaa terroristien välisen viestinnän salaus. Wired muistuttaa, että salauksen murtaminen ei ratkaise kaikkia ongelmia, ja muitakin keinoja on. Nyt pitäisi toimia yhtä päättäväisesti perusoikeuksien vahvistamiseksi. Albrecht muistuttaa, että teledirektiiviä edelsivät Madridin ja Lontoon pommi-iskut, ja julkinen paine nopeille toimille oli suuri. Saksalaisen politiikan aikakauslehti Ciceron haastattelussa hän kertoo, että poliittinen paine yhteisten sääntöjen aikaansaamiseksi on kova. tiedustelupalvelut ja verkkorikolliset. Tiedustelun ongelmana on pikemminkin datan valtava määrä, sanoo Wiredin haastattelema lakimies Nate Cardozo Electronic Frontier Foundationista. Saksalainen europarlamentaarikko Jan Philipp Albrecht on valmisteilla olevan EU:n tietosuoja-asetuksen raportoija ja näin ollen parlamentin pääneuvottelija meneillään olevissa kolmikantaneuvotteluissa. Hän sanoo, että tietosuoja-asioita pitäisi käsitellä julkisuudessa enemmän. Lehti muistuttaa, että tilaisuus tekee varkaan niin kaupassa kuin muuallakin. Näin oli jo ennen WTCiskuja ja vielä suuremmassa määrin nyt”, Cardozo sanoo. Viranomaiset toivovat, että yritykset esimerkiksi rakentaisivat tuotteisiin ns. Lisäksi takaovien kautta tietoihin pääsisivät käsiksi muutkin kiinnostuneet, kuten muiden maiden Takaovesta terroristin jäljille. Selailtua TILAISUUS TEKEE TIETOVARKAAN ITProPortal neuvoo tietovarkaista huolestuneita tietoturvavastaavia ottamaan oppia vähittäiskaupasta. Viranomaisten tarkkailussa olevista henkilöistä on kertynyt niin paljon tietoa, että massasta on vaikeaa seuloa esiin todelliset uhkat. takaovia, joiden kautta viranomaiset pääsisivät helposti käsiksi salattuun viestintään. Suurin riski tulee organisaation sisältä: kaupassa varkaus liittyy todennäköisimmin tilanteeseen, jossa työntekijät purkavat tukusta tullutta kuormaa. “Tiedustelupalvelut eivät tiedä, mitä tehdä tiedoillaan. Lehti kysyy, miksi tietosuoja-asetuksen valmistelu on kestänyt vuosia, kun taas teletunnistetietojen tallennusdirektiivi kulki lainsäädäntökoneiston läpi kuudessa kuukaudessa. Albrecht harmittelee, että tietosuojaasetus ei kiinnosta suurta yleisöä tarpeeksi. ”Kyse on digitaalisen tulevaisuutemme perusasioista: Onko minulla itsenäistä päätäntävaltaa netissä toimiessani, vai tehdäänkö minusta tuote.” tietosuoja 4 • 2015 46
”Ennen oli niin, että jos jutussa oli sata virkettä, joista yksi oli totuudenvastainen, syyte ja tuomio tulivat siitä yhdestä virkkeestä”, sanoo viestintäoikeuden professori Päivi Korpisaari. Kielikello ilmestyy neljä kertaa vuodessa. www.tietosuoja-lehti.fi R O D E O tietosuoja-lehti.fi LUE LISÄÄ NETISTÄ Tilaushinnat Suomessa 2015 sisältävät 10 % arvonlisäveroa (neljä numeroa vuodessa): kestotilaus 49,50 € (laskutusväli 12 kuukautta), 12 kuukauden määräaikaistilaus 53,90 €. Kielikello on ajan tasalla Tilaa oma Kielikello-lehtesi jo tänään! . sähköpostiosoitteemme on tilaajapalvelu@ stellatum.fi tai soita numeroon 03 4246 5301 Pankissa verkkoneuvottelut ovat arkea Etäpalvelujen käyttö ei rajoitu julkishallintoon. Esimerkiksi useille pankeille etäneuvottelut ovat arkipäivää. tietosuoja 4 • 2015 47. Lehdessä kirjoitetaan ajankohtaisista kielikysymyksistä, uudissanoista ja eri alojen termeistä sekä pohditaan muun muassa nimistön ja virkakielen kysymyksiä. Myös suomen murteet ja puhutun kielen ilmiöt ovat usein esillä. Lehden julkaisija on Kotimaisten kielten keskus. Koko lehteä pääsee lukemaan netissä rekisteröitymällä verkkolehden käyttäjäksi lehden takakannen osoitekentässä olevan tilausnumeron avulla. Oikeudessa kokonaisuus ratkaisee Tuomioistuimet painottavat nyt kunnian ja yksityiselämän suojaa koskevissa tapauksissa uutisen kokonaisviestiä yksittäisiä väitteitä enemmän. Verkkoneuvotteluissa ei välttämättä ole kuvayhteyttä, sillä sekä asiakkaat että työntekijät voivat kokea kuvayhteyden vaikeaksi. käy internetsivuillamme www.stellatum.fi _>Tilaajapalvelu _> Tilaukset _> Valitse lehti valikosta . Verkossa on myös koko painetun lehden sisältö. Kielikello on kielenhuollon tiedotuslehti, jossa kerrotaan kielenkäyttöä koskevista ohjeista ja suosituksista sekä niiden taustoista
KiiTOs näisTä vuOsisTa!. Tietosuojan toimitus ja muut sen tekemiseen osallistuneet kiittävät lukijoita kuluneista vuosista ja toivottavat hyvää jatkoa. On tullut aika jättää hyvästit Tietosuojalehdelle, sillä tämä on lehden viimeinen numero