Erityiskysymyksiä - SecMeter

Sisältöön

Erityiskysymyksiä

Yritysturvallisuus > Tietosuoja
Arkipäivän työelämässä tietosuoja kohtaa joka päivä uusia haasteita. SecMeter on koonnut joitakin tietosuojan toteuttamiseen liittyviä erityiskysymyksiä lukijan arvioitaviksi.

Kuka on rekisterinpitäjä konkurssitilanteessa?
Konkurssiin ajautuneen yrityksen rekisterinpitäjä on pesänhoitaja. Pesänhoitaja vastaa henkilötietojen asianmukaisesta käsittelystä ja henkilötietolain velvoitteista. Konkurssipesälle kuuluvia henkilörekistereitä ei voi realisoida ilman asiakkaiden (rekisteröityjen) nimenomaista suostumusta.

Milloin henkilö on tunnistettavissa?
Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Mitkä tiedot ovat erityisiä (arkaluonteisia) henkilötietoja (9 artikla)?
Erityisiä henkilötietoja ovat:

  • rotu tai etninen alkuperä
  • poliittiset mielipiteet
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliiton jäsenyys
  • geneettinen tai biometrinen tieto
  • terveydentilaa koskeva tieto
  • seksuaalista käyttäytymistä ja suuntautumista koskeva tieto.

Edellä kuvattujen tietojen käsittely on kielletty, ellei säädöksissä ole mainittu poikkeuksia.

Voiko operatiiviseen prosessisovellukseen tallentaa arkaluonteisia henkilötietoja?
Erityisiä henkilötietoja ei voi kirjata kaikkien prosessisovellusten (esimerkiksi asianhallintajärjestelmä) käyttäjien nähtäväksi. Tällaiset tiedot tulee olla vain asiaa hoitavan henkilön nähtävissä.

Onko osastosihteereillä oikeus tallentaa tiedot työntekijöiden lähiomaisista, ilmoittaakseen työntekijän mahdollisesta sairauskohtauksesta?
Lähiomaisia koskevat tiedot eivät ole sihteerin tehtävien tai työsuhteen hoidon kannalta välttämättömiä tietoja, joista osastosihteerin käytettävissä tulisi olla henkilörekisteri.

Työntekijän sairastumisesta ilmoittaminen lähiomaiselle on ensisijaisesti sairastuneen henkilön itsenä vastuulla (ilmoittamalla itse tai erikseen pyytämällä toista ilmoittamaan) tai sairaalaan joutuessaan sairaalan vastuulla.

Sairaustapauksesta ilmoittaminen ei liity sihteerin tehtäviin, vaan terveydenhuollon tehtäviin. Sairaustapauksissa lähiomaisen tieto on välttämätön vain potilaan sairaanhoitoyksikölle.

Saako henkilötunnuksen lähettää suojaamattoman sähköpostiyhteyden välityksellä asiakkaalle?
Lain mukaan sähköposti on samanlainen salainen viestintämuoto kuin suljettu kirjekuori. Tietojen pitäisi olla suojassa. Rekisterinpitäjän ei pitäisi lähettää henkilötunnuksia tai muitakaan henkilötietoja asiakkaalle suojaamattoman sähköpostiyhteyden välityksellä, koska rekisterinpitäjää koskee erityinen huolellisuusvelvoite.

Edellä kuvattu toimintaperiaate on hyvän tiedonkäsittelytavan mukainen. Rekisteröidyillä on oikeus odottaa rekisterinpitäjältä tietojen käsittelyssä turvallista toimintatapaa.

Pitääkö tietoturva-asiat huomioida kehittämisprojektien eri vaiheissa?
Suomessa tietoturvallisuustyön oikeudellisen perustan etenkin valtionhallinnossa muodostaa viranomaisten toiminnan julkisuudesta annettu laki (621/1999), jäljempänä julkisuuslaki ja sen nojalla annettu asetus viranomaisten toiminnan julkisuudesta.

Julkisuuslakiin sisältyy säännökset hyvästä tiedonhallintatavasta. Hyvään tiedonhallintatapaan kuuluu lain mukaan myös asiakirjojen salassapidosta, eheydestä ja käytettävyydestä huolehtiminen.

Hyvään tiedonhallintatapaan kuuluu huolehtia siitä, että viranomaisen asiakirjat ja tietojärjestelmät sekä niihin tallennettujen tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin.

Henkilötietolain (523/1999) 32 §:ssä säädetään henkilötietojen suojaamisesta seuraavasti:

"Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Toimenpiteiden toteuttamisen taustalla tulee olla asianmukainen riskiarviointi. Toteutuksessa on otettava huomioon mm. käsiteltävien tietojen laatu ja määrä sekä käsittelyn merkitys yksityisyyden suojan kannalta".

Henkilötietojen suojaamiseen osana tietoturvallisuutta tulee kiinnittää erityistä huomiota projektityön ja järjestelmäkehityksen elinkaaren eri vaiheissa. Myös testiaineistot on suunniteltava niin, ettei tietojen luottamuksellisuus vaarannu.

Onko mahdollista testata rekisterisovelluksen toimintaa sotkemattomilla hetuilla?
Hetun käsittelyä säätelee henkilötietolaki (523/1999). Hetu ei ole arkaluonteinen henkilötieto, eikä sen käsittelystä testaamisen yhteydessä ole laissa säännöksiä. Testausympäristön osalta tulee noudattaa julkisuuslakiin sisältyviä säännöksiä hyvästä tiedonhallintatavasta ja henkilötietolain suojausvelvoitetta.

Henkilötietolain mukaan henkilötietoja ovat kaikki tiedot, jotka ovat yhdistettävissä tiettyä henkilöä koskeviksi. Mikäli testiaineiston hetut on sotkettu, eikä testiaineistoon liittyviä tietoja esimerkiksi osoitetiedon perusteella voida tunnistaa tiettyä henkilöä koskeviksi, kyseessä ei ole henkilötieto, eikä henkilötietolaki koske tällaista aineistoa.

Intiaan ei voi Suomesta siirtää henkilötietoja, koska Intian lainsäädäntö ei täytä EU:n tietosuojavaatimuksia, eikä sillä ole toistaiseksi EU:n tietoturvaluokitusta. Mikäli aineisto on sotkettu, ei henkilötietolaki estä aineiston siirtoa EU:n ulkopuolelle tai sen lähettämistä selväkielisenä verkon yli yhteistyökumppanille.

Testiaineiston sotkemiseen käytetyn algoritmin tai muun menetelmän on oltava niin luotettava, ettei sotkettua testiaineistoa voida palauttaa alkuperäiseksi. Niissä testaustilanteissa, joissa hetujen sotkeminen ei ole mahdollista, tulee pohtia, onko mahdollista muilla menettelyillä saada riittävä varmuus tietosuojan toteutumisesta.

Ennen autenttisilla hetuilla testaamista on aina varmistuttava, että testiympäristön hallinnolliset ja tekniset tietoturvajärjestelyt ovat riittäviä estämään hetujen ja muiden henkilötietojen paljastuminen ulkopuolisille.
Testaukseen osallistuvien henkilöiden intressi- ja lähipiiriin kuuluvien tiedot on myös pyrittävä poistamaan mahdollisimman kattavasti testiaineistosta.

Henkilörekisterisovelluksen testaukseen liittyy moninaisia tietosuojariskejä etenkin, jos testauksen yhteydessä rekisterikyselyjä ja vastauksia välitetään eri toimijoiden sovelluskehitys- ja tuotantoympäristöjen välillä.

Vaikka henkilötiedot esimerkiksi henkilötunnus olisi sovelluskehitysympäristössä sotkettu, saattavat monimutkaisten rekisterikyselyjen muodostamat vastaussanomat palauttaa sotkemattomia henkilötietoja toisen toimijan tuotantoympäristöstä, jolloin henkilötiedot paljastuvat esimerkiksi ulkopuolisen kumppanin sovelluskehittäjille.

Henkilörekisterisovellusten systeemitestausta suunniteltaessa on tärkeää huomioida, onko kyselyiden ja vastaussanomien osalta huolehdittu tietosuojavelvoitteista ja mahdollisiin ongelmatilanteisiin liittyvistä vastuista.

Saako tuotannossa olevaa henkilörekisterisovellusta käyttää koulutustarkoitukseen?
Henkilötietolaissa säännellään henkilötietojen käsittelyn yleiset edellytykset ja velvoitteet, joita on aina noudatettava henkilötietoja käsiteltäessä. Koulutus ei ole sellainen käyttötarkoitus, johon henkilörekisteriin sisältyviä tietoja saa ilman tarpeellisuusharkintaa käyttää.

Mikäli koulutus on mahdollista toteuttaa ilman, että siinä käytetään tunnistetietoja, tulee koulutus näin toteuttaa. Muuten koulutus loukkaa henkilötietolain 9 §:n tarpeellisuusvaatimusta, tietojen suojaamisvelvoitetta ja tietojen käsittelyn huolellisuusvelvoitetta.

Rekisterinpitäjän velvollisuutena on kouluttaa ne henkilöt, jotka käyttävät esimerkiksi asiakassuhteen hoidossa tarvittavia henkilötietojärjestelmiä. Esimies vastaa siitä, että henkilörekisterijärjestelmän käyttäjät ovat saaneet asianmukaisen käyttökoulutuksen.

Koulutuksessa on käsiteltävä myös henkilötietolain huolellisuus- ja suojaamisvelvoitteiden sekä tarpeellisuusvaatimuksen noudattamista. Mikäli koulutustavoitteen kannalta on ehdottoman välttämätöntä käsitellä (näyttää tilaisuudessa) henkilötietoja, eikä niitä ole mahdollista piilottaa, tulee tilaisuuden järjestäjän varmistaa, että käsiteltävät tapaukset eivät liity julkisuuden henkilöihin tai koulutukseen osallistuvien henkilöiden lähipiiriin.

Koulutukseen ei saa osallistua ulkopuolisia henkilöitä, jotka eivät käytä koulutuksen kohteena olevaa järjestelmää. Koulutuksen yhteydessä on erityisesti varmistuttava salassapitovaatimusten täyttymisestä.

Sovelletaanko henkilötietolakia vainajiin?
EU:n tietosuoja-asetusta asetusta (EU) 2016/679, ei sovelleta kuolleisiin henkilöihin (160).

Luonnollinen henkilö on oikeussubjekti, joka saa lain perusteella oikeuksia ja tulee velvoitetuksi. Oikeussubjektille on tunnusomaista, että hänellä on oikeuksia, joita voidaan käyttää oikeustoimien tekemiseen ja hänelle voidaan antaa velvoitteita.

Vainaja ei ole oikeussubjekti, koska vainaja ei voi omata oikeuksia, eikä tulla velvoitetuksi. Näin ollen luonnolliset henkilöt ovat oikeussubjekteja syntymästä kuolemaan tai kuolleeksi julistamiseen.

Mitä epäsuora tietosuoja tarkoittaa?
Vainajan henkilötiedolle annetaan vain välillistä suojaa ts. elävän (oikeussubjektin) henkilön oikeuksien kannalta arvioidaan, vaarantuuko hänen yksityisyytensä siitä, että vainajan henkilötieto liittyy häneen.

Vainajan potilastietoihin saattaa sisältyä arkaluonteisia tietoja perinnöllisistä sairauksista, jotka koskevat potilaan jälkeläisiä. Tällöinkin suojeluobjekteja ovat vainajan elävät jälkeläiset, ei vainaja.

Vainajia koskevat tiedot voivat joissakin tapauksissa nauttia epäsuorasti yksityisyyden suojaa esimerkiksi, jos rekisterinpitäjä ei kykene varmistamaan, onko henkilö kuollut vai yhä elossa.

Salassapitovelvollisuus on henkilötietoja laajempi salassapitovelvoite
Salassapitovelvollisuus voi koskea mitä tahansa seikkaa, joka on säännösten perusteella "asian laadun vuoksi salassa pidettävä". Oikeussubjektin intressien valossa salassapitovelvollisuuden piiriin kuuluvat hänelle epäedulliset tai häpeälliset tiedot, mutta ei sellaiset tiedot, jotka ovat objektiivisesti tarkastellen oikeussubjektille eduksi.

Henkilötietolaki tarjoaa oikeussubjektille suojaa vain henkilötietojen käsittelyn osalta. Salassapitovelvollisuus tarjoaa tietojen laadun osalta huomattavasti laajempaa salaisuuksien suojaa, vaikka suojan tavoite voi olla sama tai vastaava.

Laki terveydenhuollon ammattihenkilöistä 28.6.1994/559 17 § Salassapitovelvollisuus
Terveydenhuollon ammattihenkilö ei saa sivulliselle luvatta ilmaista yksityisen tai perheen salaisuutta, josta hän asemansa tai tehtävänsä perusteella on saanut tiedon. Salassapitovelvollisuus säilyy ammatinharjoittamisen päättymisen jälkeen. Salassapitovelvollisuus koskee näin ollen laajasti myös vainajiin liittyviä salaisuuksia.

Case "Hautakivien valokuvien julkaisu"
Tietosuojavaltuutettu pyysi, että tietosuojalautakunta kieltää henkilötietolain 44 §:n 1 momentin 1 kohdan nojalla Memorium Oy:tä käsittelemästä hautakivistä ilmeneviä henkilötietoja avoimessa tietoverkossa, jos henkilön kuolemasta on kulunut 25 vuotta tai vähemmän eikä vainajan oikeudenomistajien suostumusta tietojen automaattiseen käsittelyyn ole hankittu.

Tietosuojavaltuutettu katsoi, että mainittujen henkilötietojen käsittely avoimessa tietoverkossa on vastoin henkilötietolain 2 luvusta ilmeneviä henkilötietojen käsittelyä koskevia yleisiä periaatteita.

Tietosuojavaltuutettu piti henkilötietolain perusteella hautakivistä otettujen kuvien julkaisemista luvanvaraisena (edellyttää omaisten suostumusta) mikäli henkilön kuolemasta oli kulunut alle 25 vuotta. Tietosuojalautakunta yhtyi myöhemmin tietosuojavaltuutetun näkemykseen.

Tietosuojalautakunnan näkemyksen mukaan henkilötietolain soveltamiskäytännössä on katsottu, että henkilötiedon määritelmä sinänsä kattaa myös kuollutta henkilöä koskevat tiedot ja että henkilötietolain tarkoituksena on suojata henkilön itsensä lisäksi myös hänen muistoaan ja omaisiaan.

Tietosuojalautakunnan mukaan henkilötietolaki voi tulla sovellettavaksi kuolleita henkilöitä koskevien tietojen käsittelyyn myös sillä perusteella, että kyseisten tietojen voidaan samalla katsoa koskevan tunnistettavissa olevia eläviä henkilöitä ja heidän yksityisyyttään.

Tietosuojalautakunta kielsi henkilötietolain 44 §:n 1 momentin 1 kohdan nojalla Memorium Oy:tä henkilötietolain vastaisesti käsittelemästä hautakivistä ilmeneviä henkilötietoja avoimessa tietoverkossa, jos henkilön kuolemasta on kulunut 25 vuotta tai vähemmän eikä rekisteröidyn tai hänen oikeudenomistajiensa suostumusta tietojen automaattiseen käsittelyyn ole hankittu. Lähde: (Tietosuojalautakunnan päätös Nro 2/18.3.2009, Asian dnro 1/933/2008)

Helsingin hallinto-oikeuden ratkaisu asiassa
Tietosuojalautakunnan päätös johti valitukseen ja Helsingin hallinto-oikeus kumosi tietosuojalautakunnan kielteisen päätöksen hautakivistä otettujen valokuvien julkaisuun.

Helsingin hallinto-oikeuden mukaan Suomessa kuolleiden tietosuojaa koskevia asioita ei ole erikseen säännelty. Hautausmaiden hautamuistomerkeissä olevat tiedot on nimenomaan tarkoitettu kenen tahansa nähtäviksi. Kysymys ei ole sellaisesta yksityisyyden suojasta, jota toteutetaan henkilötietolain perusteella.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön