Henkilötietojen käsittely
Yritysturvallisuus > Tietosuoja
Henkilötietojen käsittely
Henkilötietojen käsittely yrityksessä on keskeinen osa liiketoimintaa, mutta se vaatii myös tietosuojaan ja lainsäädännön huomioimista. Euroopan unionin yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) asettaa tiukat vaatimukset henkilötietojen käsittelylle, jotta yksilöiden perusoikeudet ja -vapaudet turvataan.
Yrityksen on ennen henkilötietojen keräämistä ja käsittelyä varmistettava, että kaikki toimet ovat lainmukaisia, oikeudenmukaisia ja läpinäkyviä rekisteröidyille. Tämä tarkoittaa muun muassa sitä, että henkilölle tulee antaa selkeää tietoa tietojen käsittelystä, sen tarkoituksesta ja oikeuksista.
GDPR korostaa myös tietojen minimointia. Yrityksen tulee käsitellä vain sellaisia henkilötietoja, jotka ovat tarpeellisia määriteltyjen tarkoitusten saavuttamiseksi. Lisäksi tietojen oikeellisuudesta on huolehdittava ja tarpeettomat tiedot poistettava tai anonymisoitava.
GDPR:n artiklassa 32 säädetään henkilötietojen käsittelyn turvallisuudesta. Yrityksen tulee toteuttaa teknisiä ja organisatorisia toimenpiteitä, jotka suojaavat tiedot esimerkiksi luvattomalta pääsyltä, häviämiseltä tai väärinkäytöltä. Tähän kuuluvat esimerkiksi pääsynhallinta, salaus, säännölliset auditoinnit sekä henkilöstön koulutus tietoturvasta.
Turvallisuustason riittävyyden arviointi on yrityksen vastuulla. Sen tulee arvioida henkilötietojen käsittelyn riskit ja valita toimenpiteet niiden minimoimiseksi, ottaen huomioon käsittelyn luonne, laajuus ja tarkoitus.
Yrityksen on määriteltävä oma rooli henkilötietojen käsittelyssä, onko se rekisterinpitäjä vai henkilötietojen käsittelijä. Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot, ja kantaa päävastuun GDPR:n noudattamisesta. Käsittelijä toimii rekisterinpitäjän ohjeiden mukaisesti.
Yrityksen tulee huolehtia myös sopimuksista ja varmistaa, että henkilötietojen käsittelijät noudattavat GDPR:n vaatimuksia.
Henkilötietojen käsittelyHenkilötietojen käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.HenkilörekisterinpitoHenkilötietojen käsittelylle tulee olla tietosuoja-asetuksen 6 artiklan mukainen peruste. Tavallisimpia lainmukaisia käsittelyperusteita ovat:
- rekisteröidyn antama suostumus
- käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
- käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi.
YLIOPISTON APTEEKILLE SEURAAMUSMAKSU TIETOSUOJAPUUTTEISTATietosuojavaltuutetun toimisto määräsi Yliopiston Apteekille 1 100 000 euron seuraamusmaksun tietosuojapuutteista. Tietosuojavaltuutetun toimisto havaitsi selvityksessä, että Yliopiston Apteekki on käyttänyt verkkoapteekissaan evästeitä ja muita seurantateknologioita niin, että reseptilääkkeisiin ja itsehoitolääkkeisiin liittyviä asiointitietoja on välittynyt esimerkiksi Googlelle ja Metalle.Seurantapalveluiden tarjoajat ovat saaneet tietoonsa esimerkiksi tietyn lääkkeen lisäämisestä ostoskoriin tai tilauspainikkeen painamisesta. Apteekin verkkosivuilla vierailleista välittyi myös heidän IP-osoitteensa ja muita tunnistetietoja. Jos asiakas vieraili verkkosivuilla Googleen tai Facebookiin kirjautuneena, on hän voinut olla Googlen tai Metan tunnistettavissa.Selvitys koski vuoden 2018 toukokuun ja vuoden 2022 syyskuun välistä aikaa. Yliopiston Apteekki on tietosuojavaltuutetun toimiston mukaan ilmoittanut poistaneensa Googlen ja Metan seurantateknologiat käytöstä syyskuussa 2022.Suomalaisten verkkoapteekkien tietosuojaongelmat kävivät ilmi väitöstutkimuksessa, jossa terveysalan verkkopalveluiden toimintaa tutkittiin verkkoliikenneanalyysilla. Tietosuojavaltuutetun toimisto selvittää parhaillaan myös useiden muiden apteekkien vastaavia puutteita.Yliopiston Apteekki aikoo valittaa päätöksestä hallinto-oikeuteen ja tiedottaa olevansa eri mieltä päätöksen perusteista. Lähteet: (tietosuoja.fi tiedote 4.6.2025 klo 9:17, yle.fi 4.6.2025)
HUSIN LÄHIHOITAJA URKKI TIETOJA APOTISTAHelsingin käräjäoikeus tuomitsi 30-vuotiaan naisen kolmen kuukauden ehdolliseen vankeusrangaistukseen useista tietosuojarikoksista. Lähihoitajana työskennellyt nainen oli hakenut Apotti-potilastietojärjestelmästä eri ihmisiä ja tarkasteli näiden henkilötietoja ilman asianmukaista perustetta elokuun 2022 ja huhtikuun 2023 välisenä aikana.Nainen oli kertonut tehneensä rikokset uteliaisuuden takia. Hänen mukaansa kyse oli ollut töissä syntyneestä tavasta kuluttaa aikaa, eikä hänellä ollut tarkoitus hyödyntää saamiaan tietoja mitenkään, tuomiossa sanotaan.Syytekohtia oli yli 30. Syytetty myönsi syyllisyytensä noin puolessa tapauksista. Lopuissa hän kiisti syytteet. Hän katsoi, ettei ollut tarkoituksella käsitellyt tiettyjen ihmisten henkilötietoja.Oikeus totesi tuomiossaan, ettei asian ratkaisemisen kannalta ollut merkitystä, oliko nainen tarkoittanut etsiä uhrien tietoja haun suorittaessaan.Oikeuden mukaan naisen menettelyn toistuvuus ja laajamittaisuus osoittivat hänessä suurta välinpitämättömyyttä uhrien yksityisyyden suojan suhteen. Hänen ei kuitenkaan osoitettu käyttäneen tietoonsa saamiaan henkilötietoja mitenkään tai välittäneen niitä eteenpäin. Lähteet: (mtvuutiset.fi 24.4.2025, yle.fi 24.4.2025)POTILASTIETOJA VUOTI KONSULTEILLE
Ylen MOT-ohjelma paljasti, että Satakunnan hyvinvointialueella Savoa Partners Oy:n konsultit ovat kuunnelleet terveyskeskusten potilaiden ja hoitajien välisiä puheluita ja saaneet tietoonsa luvatta potilastietoja. Satakunnan hyvinvointialueen mukaan tapauksia oli yhdeksällä terveysasemalla. Lain mukaan potilastietoja saa katsoa vain henkilö, jolla on hoitosuhde potilaaseen. Poliisi aloitti esitutkinnan tietosuojarikosepäilystä. Tapauksen rikosnimikkeet täsmentyvät esitutkinnan aikana. Lähteet: (yle.fi 23.2.2024, 28.5.2024, Yle MOT-ohjelma Diagnoosi puhelimessa 3.3.2024)KELA HYLKÄSI ASIAKIRJOJA TIKKURILAN KIELOTIEN PURETTAVAAN TOIMIPISTEESEENTikkurilassa sijaitsevasta purettavasta Kelan toimipisteestä löytyi asiakkaiden henkilötietoja sisältäviä asiakirjoja. Joulukuun 2022 jälkeen hylättyinä olleissa toimitiloissa oli vieraillut tunkeilijoita ja tehty ilkivaltaa. Kela oli jättänyt jälkeensä pahvilaatikon, joka sisälsi asiakirjoja lähes 200 asiakkaasta. Asiakirjoja oli myöhemmin pengottu ja levitetty pitkin toimitilojen lattioita.Tietosuojavaltuutettu Anu Talus katsoi, että Kelan asiakkaiden on syytä seurata tavallista tarkemmin omien henkilötietojen mahdollista vuotoa. Anu Taluksen arvion mukaan kyse oli Kelan omasta huolimattomuudesta. Kela sai tiedon toimitilaan hylätyistä asiakirjoista 28.7.2023, jonka jälkeen Kela nouti asiakirjat rakennuksesta.Kela kertoi lähettävänsä myöhemmin henkilökohtaisen kirjeen niille asiakkaille, joiden asiakirjoja löytyi rakennuksesta. Kela kertoi myös ilmoittaneen tietosuojavaltuutetun toimistolle ilmoituksen tapauksesta. Lähteet: (yle.fi 2.8.2023, ltalehti.fi 2.8.2023, lansi-savo.fi 2.8.2023)SATOJEN PALKANSAAJIEN TIETOJA PALJASTUI ULKOPUOLISILLE TULOREKISTERIN TEKNISESTÄ OHJEESTATulorekisterin verkkosivustolla julkaistu tekninen ohje sisälsi yhden työnantajan 384 työntekijän palkanmaksutapahtuman tiedot. Tekniseen ohjeeseen sisältyneessä esimerkissä oli käytetty oikeita henkilö- ja palkkatietoja anonymisoitujen tietojen sijaan.Palkanmaksutiedot ehtivät olla luettavissa verkkosivustolla noin viisi kuukautta. Ohje (Tekninen rajapinta – ZIP – Sovelluskehittäjälle 2020 (zip),6.2019, versio 1.0) poistettiin verkkosivustolta 5.12.2019. Siihen mennessä ohjetta oli ehditty ladata 53 eri osoitteesta. Lähde: (vero.fi/tulorekisteri ajankohtaista 10.12.2019)FONECTAN ASIAKASTIETOJEN LUOTTAMUKSELLISUUS VAARANTUIFonecta kertoi tiedotteessaan 22.8.2019, että profinder.fonecta.com toimivan Fonectan yritysasiakaspalvelun käyttäjäoikeudet omaava henkilö pystyi katselemaan ja lataamaan palvelusta 30 muun käyttäjän tiedostoja. Palvelu suljettiin kaikilta käyttäjiltä 20.8.2019. Käyttäjä oli myöhemmin kirjallisesti vahvistanut Fonectalle tuhonneensa ladatut tiedostot.Fonectan mukaan teknisessä selvityksessä ilmeni, että kyseisessä käyttäjätunnuksessa on ollut virheellinen asetus, joka on antanut kyseiselle käyttäjätunnukselle liian laajat käyttäjäoikeudet. Virheen johdosta käyttäjä pääsi tiedostoihin, jotka kuuluvat muille Fonectan palvelua käyttäville yritysasiakkaille. Osa tiedostoista sisälsi myös henkilötietoja, kuten mm. henkilötunnuksia tai muita henkilöä koskevia tunnistetietoja. Lähde: (fonecta.fi tiedotteet 22.8.2019)Helsingin Sanomien artikkelin perusteella näytti siltä, että kyseessä oli Fonectan tiedotetta laajempi ongelma. Yrityksille ja järjestöille suunnatusta palvelusta oli tavallisella asiakaskäyttäjätunnuksella saatavilla satojen järjestöjen ja yritysten rekisteritietoja. Osa näistä rekistereistä sisälsi yksityiskohtaisia ja arkaluontoisia henkilötietoja mm. erään ammattiopiston hieman yli 150 000 nykyisen ja entisen opiskelijan tiedot. Lähteet: (hs.fi 22.8.2019, yle.fi 22.8.2019)VEROTTAJA LÄHETTI ASIAKAILLEEN VIRHEELLISIÄ KIRJEITÄOhjelmistovirheen seurauksena verottaja lähetti verovelvollisille 2836 virheellistä kirjettä mm. verotuspäätöksiä, verokortteja ja muita tulosteita, joihin oli tulostunut toisten verovelvollisten henkilötietoja. Verottajan automaation käyttöön liittyvä ongelma ei ollut kuitenkaan ainutkertainen tapaus.Virheellisyyksiä oli ilmennyt aiemminkin robottien toiminnassa, jotka käsittelevät automaattisesti mm. veroilmoituksia ja määräävät veronkorotukset. Tuolloin eduskunnan apulaisoikeusasiamies Maija Sakslin halusi verottajalta selvityksen (EOAK/3379/2018) robottien käytöstä. Apulaisoikeusasiamies halusi selvittää, miten automatisoidussa menettelyssä toteutuu verovelvollisten oikeusturva, hyvä hallinto ja virkamiesten virkavastuu. Lähteet: (yle.fi 8.8.2019, 9.8.2019, iltalehti.fi 8.8.2019, 9.8.2019, mtvuutiset.fi 9.8.2019, taloustaito.fi 14.9.2018)TRAFIN KULJETTAJATIETOPALVELU VUOTI AJOKORTTITIETOJALahtelainen yksityishenkilö havaitsi, että Trafin kuljettajatiedot-palveluun pystyi tekemään millä tahansa sosiaaliturvatunnuksella kyselyn, joka palautti kyseisen henkilön ajokorttitiedot näytölle. Tapauksen tultua julkiuuteen Trafi joutui sulkemaan palvelun.Tietosuojavaltuutetun näkemyksen mukaan Trafin perusteluksi ei riitä se, että uusi liikennepalvelulaki teki ajokorttitiedoista julkisia. ”Se, että tieto on julkista, ei tarkoita, että sitä voi käsitellä miten huvittaa.” Tietosuojavaltuutetun mukaan julkisuuslaki edellyttää, että järjestelmät tehdään sellaisiksi, että niissä on huomioitu riittävä tietosuoja ja tietoturva.Liikenne- ja viestintäministeriö halusi selvityksen Trafilta sähköisen asioinnin palveluiden tietosuojasta ja -turvasta. Selvitys oli annettava ministeriölle 12.12.2018 mennessä. Lähteet: (trafi.fi uutinen 10.12.2018, yle.fi 10.12.2018, hs.fi 9.12.2018, 10.12.2018)Trafin pääjohtaja irtisanoutui torstaina 13.12.2018 tehtävästään. Pääjohtaja totesi tiedotteessaan: ”Trafin julkiset kuljettajatiedot -palvelun toiminnasta syntyneen tilanteen rauhoittamiseksi ja luottamuksen palauttamiseksi olen päättänyt siirtyä sivuun Trafin pääjohtajan tehtävästä.” Trafin pääjohtajan määräaikainen vuoden mittainen virkakausi olisi muutoinkin päättynyt vuoden lopussa. Trafin pääjohtajana toimi vuoden 2018 loppuun Liikennevälineet-toimialan johtaja. Lähde: (lvm.fi 13.12.2018)POLIISI ALOITTI ESITUTKINNAN POTILASASIAKIRJOJEN LÖYDYTTÄ KADULTAHelsingin Pasilasta Asemapäällikön kadulta löytyi keskiviikkona 25.7.2018 noin 30 arkaluontoista potilasasiakirjaa. Asiakirjat olivat levinneet keskelle nelikaistaista ajoväylää, ajokaistoja jakavalle viheralueelle ja kevyen liikenteen väylälle. Osa asiakirjoista oli otsikoitu ”ehkäisyneuvonnan alkuhaastattelu ja seuranta”. Paperit olivat peräisin pääasiassa
- Herttoniemen terveysasemalta
- Meri-Rastilan terveysasemalta
- Vuosaaren terveysasemalta
- Ehkäisyneuvonnan erityisvastaanotolta Mechelininkadulta
- Karkkilan kaupungin terveyskeskuksesta.
Suurin osa papereista oli noin 30-vuotta vanhoja ja peräisin Helsingin ehkäisyneuvonnasta. Asiakirjoista ilmeni asiakkaiden nimiä, henkilötunnuksia ja terveystietoja. Poliisin mukaan kyseeseen voi tulla useampi rikosnimike, kuten henkilörekisteririkos, salassapitorikos tai salassapitorikkomus sekä virkarikos. Lähteet: is.fi 27.7.2018, mtv.fi 27.7.2018, ts.fi 27.7.2018OPPILAIDEN HENKILÖTIETOJA VARASTETTIIN HAMMASHOITOLASTAVantaalla Vierumäen koulun oppilaslistoja päätyi varkaan käsiin torstaina iltapäivällä 8.2.2018 Korson keskustan hammashoitolasta. Listoissa oli oppilaiden henkilö- ja potilastietoja.Varkauden kohteena oli liikkuvan hoitoyksikön varustelaukku, jonka sisällä oli tietokone, matkapuhelin ja luokkalistapapereita sekä mahdollisesti potilaiden esitietolomakkeita.Varas oli päässyt sisään kenenkään huomaamatta toimistohuoneen auki jätetystä ovesta ja ottanut varustelaukun mukaansa. Oppilaiden huoltajille on lähetetty tieto asiasta ja tapahtuneesta on tehty rikosilmoitus. Lähteet: (Vantaan kaupunki tiedotteet 9.2.2018, yle.fi 9.2.2018)POLIISI KATSOI LUVATTA HENKILÖTIETOJAPoliisi katsoi ilman asianmukaista perustetta (ilman käyttötarkoitussidonnaisuutta) erään naisen henkilötietoja poliisiasiain tietojärjestelmästä Patjasta. Urkinta paljastui poliisin kerrottua asiasta naiselle ravintolassa käydyn keskustelun yhteydessä.Mies myönsi syytteen Pohjois-Savon käräjäoikeudessa. Käräjäoikeus tulkitsi tapauksen virkavelvollisuuden rikkomiseksi. Käräjäoikeuden mukaan rike oli kokonaisuutena arvostellen niin vähäinen, että siitä ei ollut syytä tuomita rangaistusta.Syyttäjä halusi kuitenkin viedä asian hovioikeuteen. Syyttäjä vaati tuomion ohella myös rangaistusta. Hovioikeus asettui samalle kannalle syyttäjän kanssa ja perusteli sakkoa sillä, että mies toimii poliisina ja rikkoi tietoisesti lakia.Itä-Suomen hovioikeus tuomitsi poliisin virkavelvollisuuden rikkomisesta kahdeksaan päiväsakon rangaistukseen yhteensä 192 euroa. Lähteet: (iisalmensanomat.fi 22.1.2018, savonsanomat.fi 22.1.2018, iltalehti.fi 22.1.2018, mtv.fi 23.1.2018)TERVEYDEN JA HYVINVOINTILAITOKSEN TIETOVUOTOTerveyden ja hyvinvoinnin laitokselta vuoti työntekijän inhimillisen erehdyksen johdosta lähes 6000 rekisteröidyn nimet, henkilötunnukset ja yksi laboratoriotulos julkiseen verkkoon noin viiden kuukauden ajaksi. Tietovuoto tapahtui työntekijän käyttäessä henkilörekisterin tietoja esitysmateriaalin laadinnassa.Rekisteröityjen henkilötiedot olivat löydettävissä internetin hakukoneiden avulla huhtikuusta 2017 lähtien. THL sai elokuussa tietosuojavaltuutetulta ilmoituksen tietovuodosta. Tiedot poistettiin tämän jälkeen kahdesta verkkopalvelusta ja internetin hakukoneiden välimuisteista.THL lähetti tietovuodosta ilmoituksen asianosaisille rekisteröidyille 25.9.2017. THL tarjoutui myös maksamaan mahdollisten henkilötietojen väärinkäytösten paljastamiseksi maksuliikenteen tapahtumaseurannan vuodeksi. Lähteet: (thl.fi 26.9.2017, Yle uutislähetykset 26.9.2917)TYÖNTEKIJÄN EPÄILTIIN KOPIOINEEN ASIAKASTIETOJAKiinteistömaailma-ketjun asiakkaiden nimi- ja yhteystietoja epäiltiin päätyneen yhtiön ulkopuolelle. Kiinteistömaailman entisen työntekijän epäiltiin kopioineen alkuvuodesta 2017 oikeudettomasti noin 3 500 asiakkaan tiedot omaan käyttöönsä työsuhteen päättymisen yhteydessä. Rekisteritiedot eivät sisältäneet asuntokauppoihin tai asiakassuhteisiin liittyviä tietoja.Epäilyt vahvistuivat ketjun sisäisissä selvityksissä. Kiinteistömaailma kertoi tiedotteessaan suhtautuvansa asiakkaittensa tietosuojaan äärimmäisen vakavasti ja on jättänyt poliisille tutkintapyynnön ja ilmoittaneensa epäilystään tietosuojavaltuutetulle sekä asiakkaille, joita tiedot koskivat. Lähteet: (kiinteistömaailma.fi tiedotteet 15.2.2017, yle.fi 15.2.2017, aamulehti.fi 15.2.2017, savonsanomat.fi 15.2.2017, mtv.fi 15.2.107)KUUSI POLIISIA JA TOIMISTOSIHTEERI TUOMITTIIN SAKKORANGAISTUKSIIN HENKILÖREKISTERIRIKOKSISTAOulun poliisissa työskennelleet kuusi poliisia ja poliisilaitoksen toimistosihteeri olivat tammikuussa 2014 luvattomasti katselleet eläkkeelle jääneen kollegansa kuolonkolariin liittyviä tietoja poliisin rekisteristä. Kolmen muun poliisin osalta käräjäoikeus hylkäsi syytteet.Oulun käräjäoikeus tuomitsi poliisit 10 päiväsakon sakkorangaistuksiin tuottamuksellisesta virkavelvollisuuden rikkomisesta ja henkilörekisteririkoksesta. Toimistosihteerin käräjäoikeus tuomitsi myös virkavelvollisuuden rikkomisesta ja henkilörekisteririkoksesta 15 päiväsakon sakkorangaistukseen.Ylivieska-Raahen ja Kainuun käräjäoikeudet olivat jo aiemmin tuominneet kaksi Oulun poliisissa työskennellyttä poliisia sakkoihin samaan kolariin liittyvien tietojen luvattomasta katselusta. Lähteet: (yle.fi 10.10.2016, hs.fi 7.10.2016)Henkilörekisterien käyttö edellyttää käyttötarkoitussidonnaisuuden täyttymistä. Käyttötarkoitussidonnaisuus ei täyty, jos henkilö käyttää henkilörekisteriä ilman asiallista yhteyttä vireillä olevaan työ- tai virkatehtäväänsä.SYYTTÄJÄN MUKAAN POLIISIMIES SYYLLISTYI RIKOKSEEN KATSOESSAAN TIETOJA POKE-JÄRJESTELMÄSTÄSyyttäjän näkemyksen mukaan poliisimies oli tarkoituksellisesti hankkinut tietoja entisen puolisonsa uudesta miesystävästä Poke-järjestelmästä. Syyttäjän mukaan poliisimiehen työtehtäviin ei kuulunut arkaluonteisten ja salassa pidettävien tietojen, tietojen käsittelyä.Syyttäjän mielestä teko oli tahallinen ja katsoi vanhemman konstaapelin syyllistyneen virkamiehenä rikokseen ja hakemiensa tietojen levittämiseen ex-puolisolleen. Lähde: (iltalehti.fi 12.4.2016)LÄÄKÄRIN EPÄILTIIN KATSONEEN LUVATTA SATOJEN POTILAIDEN TIETOJAKeski-Suomen keskussairaalassa ja Terveystalossa toimineen lääkärin epäiltiin katsoneen ilman asiallista perustetta useiden satojen potilaiden tietoja. Tapaus tuli ilmi Keski-Suomen sairaanhoitopiirin omavalvonnassa vuoden 2014 alussa.Kyseessä oli poikkeuksellisen laaja tapaus, jossa. satojen potilaiden tietoja oli selattu muutamien vuosien aikana. Tapauksen ilmitulon jälkeen lääkäri asetettiin valvontaan ja hänen potilasrekisterien käytöstä tehtiin tutkintapyyntö Sisä-Suomen poliisilaitokselle. Sittemmin lääkärin työsuhteet Keski-Suomen sairaanhoitopiiriin ja Terveystaloon päättyivät.Juttu eteni syyteharkintaan ja lääkäriä vastaan nostettiin syytteet henkilörekisteririkoksesta ja virkavelvollisuuden rikkomisesta. Jutun pääkäsittely tapahtui syyskuussa 2016 Keski-Suomen käräjäoikeudessa. Lähteet: (ksml.fi 4.1.2015, uutisaalto.fi 4.1.2015, lapinkansa.fi 4.1.2015, mtv3.fi 4.1.2015, yle.fi 29.7.2016)EKSOTEN TYÖNTEKIJÄN EPÄILTIIN KATSONEEN LUVATTA SATOJEN POTILAIDEN TIETOJAEtelä-Karjalan sosiaali- ja terveyspiiri Eksoten työntekijän epäiltiin katsoneen luvatta yli 500 potilaan tietoja. Työntekijän määräaikainen työsuhde purettiin tapauksen paljastuttua.Lokitietojen mukaan työntekijä katsoi potilastietoja Eksoten potilastietojärjestelmästä ajalta 23.3.-14.7. Työntekijälle oli myönnetty potilasrekisterin käyttövaltuudet, vaikka hän ei tarvinnut niitä työtehtävässä.Esimies oli perehdyttänyt työntekijän työtehtävin ja työntekijä oli normaalikäytännön mukaisesti allekirjoittanut tietoturva- ja tietosuojasopimuksen, jossa todetaan, että asiakas- ja potilastiedot olivat salassa pidettäviä asioita. Lähteet: (ts.fi 19.8.2015, iltalehti.fi 19.8.2015, esaimaa.fi 20.8.2015KELAN VIRKAILIJAN EPÄILTIIN KATSONEEN TIETOJA LUVATTA KELAN HENKILÖREKISTEREISTÄPäijät-Hämeen alueella sijaitsevan Kelan toimiston virkailija katsoi luvatta useampaan kertaan lähipiiriinsä kuuluvien henkilöiden tietoja Kelan henkilörekistereistä. Tapaus sattui loppuvuodesta vuonna 2012. Kela jätti kertomatta poliisille tapauksen tutkintaan liittyviä olennaisia tietoja. Tämän johdosta henkilörikoksesta epäilty Kelan virkailija selvisi kirjallisella varoituksella.Kelan hallinto-osaston lakimies oli antanut 10.10.2013 lausunnon, jossa todettiin, että virkailija oli katsonut ainoastaan asianomistajien verotietoja. Lakimiehen mukaan henkilörikoksesta epäillyn virkailijan henkilörekisteriin tekemät kyselyt olivat ”yleisöjulkisen tiedon katselua”.Hallinto-osaston lakimies oli lähettänyt urkinnan kohteeksi joutuneelle henkilölle kirjeen 18.11,2013, jossa todettiin, että henkilörikoksesta epäillyn virkailijan käyttäjätunnuksilla oli tehty kaksi erillistä asianomistajien tietoihin kohdistuvaa CICS-kyselyä (IBM-suurkoneympäristön tapahtumakäsittelijä) loka- ja marraskuun välisenä aikana vuonna 2012.Kirjeessä lakimies kertoi ensimmäisen henkilörekisterikyselyn tapahtuneen 26.19.2012. Kysely kohdistui asianomistajien verotietoihin. Toinen henkilörekisterikysely oli tehty 16.11.2012 ja kohdistuneen asianomistajien perhetietoihin. Nämä tiedot eivät ole julkisia.Kelan hallinto-osaston lakimies oli ilmoittanut poliisille vain ensimmäisen kyselytapahtuman, joka kohdistui ”yleisöjulkisiin” verotietoihin.Kihlakunnansyyttäjä Pertti Kemppi teki 4.11.2013 syyttämättäjättämispäätöksen, koska katsoi Päijät-Hämeen vakuutuspiirin johtajan Markku Lappalaisen 18.12.2012 antaman kirjallisen varoituksen olevan riittävä seuraamus. Kihlakunnansyyttäjä yllättyi myöhemmin kuultuaan toisesta salassa pidettäviin tietoihin kohdistuneesta henkilörekisterikyselystä, koska esitutkintapöytäkirjan selostusosassa puhuttiin vain verotustiedoista.Henkilörekisteririkoksesta epäilty virkailija oli poliisikuulusteluissa kertonut katsoneensa vain asianomistajien verotietoja. Syyttäjä voi peruuttaa syyttämättäjättämispäätöksen, jos päätös on perustunut olennaisesti puutteellisiin tai virheellisiin tietoihin. Kihlakunnansyyttäjä Pertti Kemppi myönsi, että päätös oli perustunut olennaisesti puutteellisiin tietoihin. Lähde: (Iltalehti 21.3.2014 sivu 9, Timo Marttila)TULLIN TYÖNTEKIJÄT URKKIVAT HENKILÖTIETOJATullin mukaan henkilörekistereiden väärinkäytöstapauksia on esiintynyt poikkeuksellisen paljon. Kyse on henkilötietolain mukaisesta henkilörekisterien käyttötarkoitussidonnaisuuden vastaisesta käytöstä. Poliisin henkilörekistereiden käyttö on sallittu yksinomaan tullirikosten torjuntaan ja tutkintaan sekä passintarkastukseen. Muiden virkatehtävien hoitamiseen ei poliisin henkilörekistereitä saa käyttää.Tullin henkilökunta on katsonut poliisin henkilörekistereistä mm. omia tietojaan ja tullin toisen työntekijän tietoja sekä työnhakijoista ja hallinnollisen luvan hakijoista. Omien ja muiden työntekijöiden tietojen katselu on mahdollista vain, jos tulli ei ole rajoittanut omaan henkilöstöön tai muihin viranomaisiin kohdistuvien henkilötietojen (sisäpiiritietojen suojaus) käsittelyä vain muutamille erikseen nimetyille henkilöille.Tullin rikostorjunta ilmoitti aikovansa viedä tapaukset poliisitutkintaan. Lähteet: (mtv3.fi 14.8.2013, karjalainen.fi 14.8.2013, ts.fi 14.8.2013, iltalehti.fi 14.8.2013)KUOPIOSSA TIETOSUOJA-AINEISTOA LÖYTYI KADULTAOhikulkija löysi Kuopion keskustasta Vuorikadulta lauantaina 9.3.2013 kadulle hylättynä kuopiolaisten vanhusten terveys- ja henkilötietoja sisältäviä asiakirjoja.Asiakirjat olivat kotihoidon työlistoja, joihin oli merkittynä noin 30 kotihoidon käyntiä asiakkaiden nimi ja kotiosoitetietoineen sekä myös tietoja asiakkaiden avaimista ja ovikoodeista. Työlistoihin oli myös merkitty asiakkaille suoritettuja hoitotoimenpiteitä kuten mm. alapesu, mielialan seuranta, housuvaipan vaihto ja lääkkeiden antotietoja. Savon Sanomien mukaan Kuopion kaupungin palvelualuejohtaja Markku Tervahauta terveydenhuollon ja perusturvan palvelualueelta totesi, että ”kyse on vakavasta virheestä. Näin ei saisi käydä”.Asiakirjat olivat peräisin lauantaina 9.3.2013 aamuyöllä keskustan ravintolasta varastetusta laukusta. Poliisin mukaan laukun omistajalla oli oikeus kuljettaa asiakirjoja mukanaan. Poliisi epäili, että asiakirjat oli varastettu yhtä aikaa laukun mukana.Poliisi tutki tapausta rikosnimikkeellä tuottamuksellinen virkasalaisuuden rikkominen ja salassapitorikos. Laukun anastuksen osalta tapausta tutkittiin näpistyksenä. Poliisi oli yhteydessä asiakaslistoissa oleviin henkilöihin ja selvitti heidän osaltaan mahdolliset vaatimukset. Poliisi jatkoi myös laukun anastajan selvittämistä. Lähteet: (savonsanomat.fi 11.3.2013, 10.3.2013, mtv3.fi 10.3.2013, 11.3.2013)VIRKAMIES KATSELI LUVATTA HENKILÖTIETOJAPirkanmaalainen virkamies katsoi luvatta viiden henkilön henkilötietoja väestötietojärjestelmästä. Hän oli myös luovuttanut tuttavalleen rekisteristä katsomansa tiedon toisen henkilön siviilisäädystä. Tietojen katselu ei kuitenkaan liittynyt henkilön työtehtäviin.Pirkanmaan käräjäoikeus totesi virkamiehen syyllistyneen virkasalaisuuden ja virkavelvollisuuden rikkomiseen sekä henkilörekisteririkokseen. Pirkanmaan käräjäoikeus tuomitsi virkamiehen 35 päiväsakkoon (1 190 euroa). Lähteet: (aamulehti.fi 24.1.2013, iltasanomat.fi 24.1.2013)POLIISILLE SAKKORANGAISTUS VIRKA-ASEMAN VÄÄRINKÄYTÖSTÄ JA HENKILÖREKISTERIRIKOKSESTAVanhempi konstaapeli tuomittiin käräjäoikeudessa henkilörekisteririkoksesta ja virkavelvollisuuden rikkomisesta. Hovioikeus katsoi myöhemmin virkarikoksen virka-aseman väärinkäytöksi, koska poliisi oli esiintyessään käyttänyt julkista valtaa.Hovioikeus tuomitsi poliisin virka-aseman väärinkäytöstä ja henkilörekisteririkoksesta 80 päiväsakkoon, joka merkitsi 1 040 euron suuruista sakkorankaistusta.Helsingissä Malmin ulkomaalaispoliisissa työskennellyt vanhempi konstaapeli oli urkkinut keväällä 2010 kahden naishenkilön tietoja poliisin, Väestörekisterikeskuksen ja Rajavartiolaitoksen henkilörekistereistä.Poliisi oli käyttänyt myös virkapostia matkatoimistolle osoittamassa kyselyssä, joka koski naisten tilaamia matkoja ja mahdollista matkaseuraa. Toinen naisista oli poliisin ex-puoliso. Lähteet: (ts.fi 1.11.2012, iltasanomat.fi 1.11.2012, aamulehti.fi 1.11.2012)TYÖNTEKIJÄN EPÄILTIIN KATSONEEN LUVATTA POTILASTIETOJAJyväskylän kaupungin terveydenhuollon työntekijä jäi kiinni luvattomasta henkilörekisterin käytöstä. Tapaus paljastui Jyväskylän yhteistoiminta-alueen rutiinivalvonnassa.Työntekijän pääasiallisena tehtävänä oli tietojen vieminen potilastietojärjestelmään. Hänen työtehtäviin ei kuitenkaan liittynyt sellaisia tehtäviä, jotka olisivat edellyttäneet potilastietojen selailua. Osa urkinnan kohteeksi joutuneista yli sadasta henkilöstä oli työntekijän tuntemia. Työntekijän työsuhde purettiin.Jyväskylän kaupunki on etsinyt luvattomia käyttötapauksia lokitiedostoista vain muutaman lähikuukauden osalta. Tapauksen johdosta kaupunki arvioi, olisiko aihetta tarkastella lokeja myös pidemmältä aikajaksolta.Väärinkäytöksen paljastuminen tuli yllätyksenä, koska työntekijät tuntevat hyvin käytännesäännöt ja ovat saaneet koulutuksen. Myös kyseinen työntekijä tunsi säännöt. Lähteet: (hs.fi 26.9.2012, ksml.fi 26.9.2012, ts.fi 26.9.2012)SAIRAANHOITAJAN EPÄILTIIN KATSONEEN LUVATTA POTILASTIETOJAVarkauden sairaalassa epäiltiin sairaanhoitajan katsoneen noin 200 henkilön potilastietoja ilman luvallista käyttötarkoitusta vuosina 2011-2012. Tapaus tuli ilmi sairaalan sisäisessä tarkastuksessa.Varkauden kaupunki teki epäilystä rikosilmoituksen poliisille. Poliisi tutki juttua henkilörekisteririkoksena. Poliisi lähetti asianomistajille tiedon kirjeitse vaatimusten selvittämiseksi. Näin toimimalla poliisi halusi välttää puhelintiedusteluista aiheutuvaa ruuhkaa. Lähteet: (iltasanomat.fi 11.6.2012, iltalehti.fi 11.6.2012, mtv3.fi 11.6.2012)TIETOSUOJAVALTUUTETTU HALUSI VR:LTÄ SELVITYKSENTietosuojavaltuutettu halusi VR:ltä selvityksen, oliko yhtiö pitänyt henkilörekisteriä kiinniotetuista henkilöistä ja näiden tekemisistä. Poliisille tehdyssä tutkintapyynnössä epäiltiin VR:n pitävän henkilörekisteriä mm. kiinniotetuista graffitimaalareista ja tageistaan. Lähde: (yle.fi 15.3.2012, TV1-uutiset klo 17.00)VR päätti vapauttaa lähiliikenteen turvallisuuspäällikön työvelvollisuudesta poliisitutkinnan ajaksi. VR päätti, että henkilö, joka on mukana poliisin esitutkinnassa, ei voi tehdä poliisin esitutkinnan kohteena olevia tehtäviä. Esitutkinnan ajan henkilöliikenteen turvallisuudesta vastasi konsernin turvallisuusjohtaja. Lähteet: (yle.fi 19.3.2012, hs.fi 19.3.2012)Lähiliikenteen turvallisuuspäällikkönä toiminut henkilö irtisanoutui VR:n palveluksesta 10.4.2012. Julkisuudessa irtisanoutumisen uskottiin johtuvan Turvatiimi vartiointiyhtiön VR:lle vuokraaman turvatoiminnan kenttäjohtoauton käyttöön liittyvistä epäselvyyksistä. Lähde: (hs.fi 14.4.2012)Turvallisuusjohtajana toiminut henkilö siirtyi VR:n junaturvallisuusjohtajaksi kesäkuussa 2012 ja jäi eläkkeelle keväällä 2013. VR Groupin uudeksi turvallisuusjohtajaksi siirtyi kesäkuun 2012 alussa Nokian turvallisuusjohtajana toiminut henkilö.Irtisanoutuneelle turvallisuuspäällikölle oli myönnetty VR-Yhtymän hakemuksesta erityiset poliisivaltuudet Poliisihallituksen päätöksellä 2.10.2010. Valtuudet olivat voimassa 2.11.2010-1.11.2015 välisenä aikana VR:n hallinnassa olevilla alueilla. Poliisivaltuuksiin sisältyi seuraavat oikeudet:
- kiinniottaminen henkilön suojaamiseksi
- kotirauhan ja julkisrauhan piiriin kuuluvien alueiden suojaaminen
- paikan ja alueen eristäminen
- rikoksilta ja häiriöiltä suojaaminen
- kulkuneuvon pysäyttäminen ja siirtäminen
- turvallisuustarkastus
- vaarallisten esineiden ja aineiden haltuunotto
- poliisimiehen käskyvalta.
Lähteet: (vrleaks.wordpress.com 17.4.2012, hs.fi 18.4.2012, iltasanomat.fi 18.4.2012)Helsingin poliisi lopetti esitutkinnan VR:n jutussa. Poliisi ei löytänyt viitteitä väitetystä kiinniotettujen henkilöiden rekisteristä. Lähteet: (hs.fi 22.5.2012, yle.fi 22.5.2012, savonsanomat.fi 22.5.2012, iltalehti.fi 22.5.2012)YLILÄÄKÄRI TUOMITTIIN VIRKASALAISUUDEN RIKKOMISESTA SAKKOIHINHelsingin ja Uudenmaan sairaanhoitopiirin Hyvinkään sairaalan neurologian ylilääkäri oli toimittanut potilastietoja Kansaneläkelaitokselle ilman pyyntöä ja ilman potilaan lupaa.Hyvinkään käräjäoikeus tuomitsi ylilääkärin 15 päiväsakkoon. Sakot tekivät lääkärin tuloilla 810 euroa. Lisäksi tuomittu joutuu maksamaan potilaalle tuhat euroa kärsimyskorvausta.Käräjäoikeuden näkemyksen mukaan varsinkin ylilääkärin tulee tietää, ettei potilastietoja saa luovuttaa sivulliselle ilman potilaan kirjallista suostumusta. Teko loukkasi potilaan yksityisyyttä ja horjutti luottamusta potilastietojen salassa pysymiseen siinä määrin, ettei tekoa ei voinut jättää rangaistuksetta. Lieventävänä seikkana käräjäoikeus huomioi sen, että Kela olisi pyytäessään saanut samat tiedot. Lähteet: (hs.fi 2.2.2012, talouselama.fi 2.2.2012, ksml.fi 2.2.2012, savonsanomat.fi 2.2.2012)POLIISIHALLITUS TEKI VALTAKUNNANSYYTTÄJÄVIRASTOLLE TUTKINTAPYYNNÖN POLIISIN HENKILÖREKISTERIEN LUVATTOMASTA KÄYTÖSTÄPoliisiylijohtaja Paateron mukaan poliisihallitus teki valtakunnansyyttäjänvirastolle tutkintapyynnön entisen huippuhiihtäjä Mika Myllylää koskevien rekisteritietojen urkinnasta. Selvityksiä johtaa kihlakunnansyyttäjä Krista Soukola valtakunnansyyttäjänvirastosta. Päätökset esitutkinnan käynnistämisestä päätettiin tehdä selvityksen jälkeen helmikuussa 2012.Henkilörekistereitä on luvallista käyttää ainoastaan virkatehtävien suorittamiseen. Muu käyttö on luvatonta käyttöä ja kyseeseen tulee mukainen henkilörekisteririkos sekä virkavelvollisuuden rikkominen.Poliisiylijohtaja Paateron mukaan tilanne on nolo. Poliisin etiikan pitäisi olla sillä tasolla, ettei tällaista uteliaisuuden takia tule. Mika Myllylän tietoja koskevan tapauksen osalta 190 poliisin lisäksi kolmisenkymmentä poliisilaitosten siviilityöntekijää ja virkamiestä joutuu selvittelemään valtakunnansyyttäjän virastolle, miksi he katsoivat Mika Myllylän kuolemaan liittyviä tietoja poliisin tietojärjestelmästä.Kihlakunnansyyttäjä Krista Soukolan mukaan kolmisenkymmentä muuta henkilöä ovat poliisilaitoksen omaa henkilökuntaa sekä niitä viranomaisia, joilla on käyttöoikeus poliisin tietojärjestelmään. Esimerkkinä käyttöoikeuksista Soukola mainitsi tullin, rajavartiolaitoksen ja puolustusvoimat siltä osin, kun tekevät esitutkintaa ja syyttäjät.Rikosseuraamuslaitoksen viestintäpäällikkö Usko Määttä kertoi iltalehden artikkelissa, että entisen huippumäkihyppääjä Matti Nykäsen vankilatuomioon ja Mika Myllylän kuolemansyyntutkintaan liittyvät urkintatapaukset paljastuivat sisäisessä valvonnassa. Lähteet: (mtv3.fi 19.1.2012, 27.1.2012, iltalehti.fi 27.1.2012, ts.fi 27.1.2012)Myllylän tietojen urkinnasta epäiltiin 136 poliisia. Kihlakunnansyyttäjä, tutkinnanjohtaja Krista Soukola kertoi, että 136 poliisia epäiltiin henkilörekisteririkoksesta ja virkavelvollisuuden rikkomisesta. Soukolan mukaan noin 50 poliisimiehen tietokyselyt olivat lainmukaisia ja asiallisia. Kuuden poliisin osalta juttu oli vielä auki. Selvityspyyntöjä kyselyjen perusteista valtakunnansyyttäjänvirasto lähetti kaikkiaan noin 190 poliisille.Vain pieni osa poliisimiehistä tunnusti tietojen katselemisen syyksi uteliaisuuden. Suurin osa poliiseista kertoi tietojen katselun johtuneen virkatehtävien hoidosta. Selitys ei kuitenkaan vakuuttanut tutkijoita, joten heidän kohdalla asia selvitettiin esitutkinnassa. Virkamiehillä on oikeus katsella tietoja vain, jos he tarvitsevat niitä virkatoimiensa hoitamiseen eli henkilörekisterin käyttötarkoitussidonnaisuuden täyttyessä. Lähteet: (nelonen.fi 23.3.2012, yle.fi 23.3.2012)Tapauksen johdosta syyteharkinnassa oli yli 150 henkilöä eri puolilta Suomea. Heistä 136 oli poliiseja ja loput muita poliisin tietojärjestelmän käyttöoikeudet omaavia virkamiehiä. Valtakunnansyyttäjänviraston asettama tutkintaryhmä päätti lopulta nostaa syytteet 90 tietoja urkkinutta henkilöä vastaan. Syytteet nostettiin henkilörekisteririkoksista ja virkavelvollisuuden rikkomisista.POLIISI LUOVUTTI VUOSIEN AJAN LAITTOMASTI HENKILÖTIETOJA AJOKORTTIREKISTERISTÄPuolustusvoimat laatii henkilöturvallisuusselvityksiä mm. henkilöistä, jotka pyrkivät rauhanturvaajiksi YK-tehtäviin. Poliisi toimi vuosien ajan lain vastaisesti luovuttaessaan Puolustusvoimien kansainväliselle keskukselle henkilötietoja ajoneuvorekisteristä.Poliisin laiton toiminta tuli ilmi, kun erään reservin yliluutnantin valinta peruutettiin poliisin ajokorttirekisteristä luovuttamien tietojen perusteella. Poliisilla on oikeus luovuttaa henkilötietoja vain niistä rekistereistä, jotka on lueteltu laissa (etsintäkuulutus-, tekotapa-, tuntomerkki- ja pidätysrekisteristä sekä valtakunnallisesta rikosilmoitusrekisteristä). Ajokorttirekisteri ei kuulu näihin rekistereihin.Itä-Suomen hovioikeus tuomitsi 8.11.2011 poliisihallituksen maksamaan yliluutnantille korkoineen yli 100 000 euroa korvauksena laittomasta henkilörekisteritietojen luovutuksesta. Lähteet: (iltalehti.fi 9.11.2011, yle.fi 9.11.2011, hs.fi 9.11.2011)VANGINVARTIJAA EPÄILTIIN VATI-VANKITIETOJÄRJESTELMÄN VÄÄRINKÄYTÖSTÄRiihimäen vankilan vartijaa epäiltiin laajamittaisesta Vati-vankitietojärjestelmän väärinkäytöstä. Rikosseuraamuslaitos ja vankila tekivät asiasta tutkintapyynnön poliisille. Väärinkäytös paljastui sisäisen valvonnan yhteydessä.Vartija teki henkilörekisteriin kyselyjä jopa tuhansia kertoja. Kirjautuessaan järjestelmään hän oli käyttänyt myös toiselle vartijalle kuuluvia käyttäjätunnuksia. Väärinkäytöstapaus oli rikosseuraamuslaitoksen pääjohtaja Esa Vesterbackan mukaan lajissaan vankeinhoidon laajin tähän mennessä paljastunut juttu.Vankilavirkailijain Liiton Riihimäen vankilan osaston puheenjohtajan mukaan pidätetyn vanginvartija suhteet vankilan johtoon olivat huonot. Puheenjohtajan mukaan kyse oli ajojahdista.Erään vartijan näkemyksen mukaan Vati-vankitietojärjestelmä oli melko uusi. Ohjelman käytöstä ei ollut ohjeistusta. Ainoa ohje kuului seuraavasti: ”käyttäkää sitä niin paljon kuin mahdollista työaikanne puitteissa, jotta opitte sitä käyttämään”. Lähteet: (mtv3.fi 8.11.2011, 9.11.2011, hs.fi 8.11.2011, iltalehti.fi 8.11.2011, yle.fi 8.11.2011)Itä-Uudenmaan poliisin suorittamassa esitutkinnassa kävi lopulta ilmi, että Riihimäen vankilassa työskennellyt vartija oli tehnyt vuosina 2010 ja 2011 Vati-vankitietojärjestelmään 10 000 kyselyä. Kyselyt kohdistuivat yli 4 000 vangin tietoihin.Vartijana toiminutta miestä epäiltiin virkasalaisuuden ja virkavelvollisuuden rikkomisesta ja törkeästä tietomurrosta. Tietomurron tunnusmerkistö täyttyy, mikäli tietojärjestelmään kirjaudutaan toiselle henkilölle kuuluvilla käyttäjätunnuksilla. Rikoksesta epäiltynä oli näin ollen myös toinen vartija, joka oli luovuttanut henkilökohtaisen käyttäjätunnuksensa luvattomasta käytöstä epäillylle henkilölle. Lähteet: (mtv3.fi 4.5.2012, yle.fi 4.5.2012)SUOMALAISTEN HENKILÖTIETOJA JULKAISTIIN LUVATTA INTERNETISSÄYli 16 000 suomalaisen henkilötietoja julkaistiin luvatta lauantaina 5.11.2011 Yhdysvalloissa Mediafire verkkotallennuspalvelussa. Henkilötietoja sisältänyt tiedosto saatiin nopeasti poistettua sivustolta, mutta se oli ehditty kopioida jo lukuisia kertoja.Tiedosto sisälsi mm henkilöiden nimet, henkilötunnukset, kotiosoitteet, puhelinnumerot, sähköpostiosoitteet ja joissakin tapauksissa muitakin tietoja kuten ammatin tai luonnehdinnan henkilön edustamasta organisaatiosta.Tiedot olivat kuitenkin joiltakin osin jo vanhentuneita mm. henkilöiden osoitetiedot. Hyvin pian vaikutti siltä, että ainakin osa julkaistuista henkilötiedoista olisi ollut peräisin neljästä organisaatiosta. Näitä olivat Työtehoseura, Suomen Opiskelija-Allianssi OSKU ry, Itä-Suomen yliopisto ja öljyn myyntiyhtiö Lämpöpuisto.Tietomurtoepäilyn kohteeksi joutui myös julkisen lähdekoodin ohjelma Moodle, jota lukuisat koulutusorganisaatiot käyttävät oppimisympäristönään. Esimerkiksi Itä-Suomen yliopiston (UEF) Moodlea käyttänyt opiskelija löysi omat tietonsa vuodetulta listalta.Vuonna 2010 CERT-FI varoitti Moodlessa ilmenneestä haavoittuvuudesta, jota hyväksikäyttäen hyökkääjille avautui mahdollisuus hankkia oikeudettomasti tietoa järjestelmässä toteutettavien kurssien osallistujista. Kaikki Moodlen käyttäjät eivät kuitenkaan ottaneet varoitusta huomioon.Keskusrikospoliisi aloitti jutussa esitutkinnan. Juttua tutkittiin törkeänä tietomurtona. KRP selvitti, kuka oli julkaisun taustalla ja mistä tiedot olivat peräisin. Tutkinnanjohtajana toimi rikoskomisario Timo Piiroinen. Hän piti todennäköisenä, että teon taustalla on yksi tai useampi suomalainen henkilö. Lähteet: (yle.fi 5.11.2011, 6.11.2011, 7.11.2011, hs.fi 5.11.2011, 11.11.2011, cert.fi 5.11.2011)Vuonna 2008 Saksassa kaupiteltiin 21 miljoonan kansalaisen henkilötietoja yli 12 miljoonan euron hintaan. Ostajaehdokkaaksi tekeytynyt saksalainen lehti tilasi näytteeksi tarkoitetun CD-levyn, johon oli kopioitu 1,2 miljoonan kansalaisen tiedot.ETELÄ-POHJANMAAN SAIRAANHOITOPIIRISSÄ EPÄILTIIN SALASSAPITORIKOSTAEtelä-Pohjanmaan sairaanhoitopiirissä Seinäjoella paljastui salassapitorikosepäily. Kaksi naispuolista hoitohenkilökuntaan kuulunutta työntekijää olivat ilman sairaanhoidollista (ilman käyttötarkoitussidonnaisuutta) perustetta tutkineet lähisukulaisiin tai avioliiton kautta entisiin sukulaisiin kuuluneiden henkilöiden sairauskertomuksia.Toinen henkilöistä myönsi tekonsa ja toinen selitteli oikeuttaan sairaskertomusten selailuun. Asian tultua ilmi, heille annettiin varoitus ja tapahtuneesta tehtiin tutkintapyyntö Etelä-Pohjanmaan poliisille.Poliisi tutki tapauksia salassapitorikos rikosnimikkeellä. Rangaistusasteikko lähtee sakkorangaistuksesta ja päätyy maksimissaan vuoden vankeusrangaistukseen. Lähteet: (mtv3.fi 28.9.2011.seinajoensanomat.fi 28.9.2011)HAARTMANIN SAIRAALASSA PALJASTUI LAAJA HENKILÖTIETOJEN URKINTATAPAUSHaartmanin sairaalan tietosuoja murtui osaston määräaikaisen sihteerin selailtua luvatta lähes kahdensadan potilaan rekisteritietoja. Sairaala ja poliisi salasivat henkilörekisteririkosta noin puolitoista vuotta. Rikostutkinta oli jutun tultua julkisuuteen yhä kesken.Tapauksen johdosta sairaala lähetti ilmoituksen niille rekisteröidyille, joiden tietoja se tiesi katsotun. Haartmanin sairaalan ylilääkäri Jukka Toivosen mukaan ilmoituksia lähetettiin kaikkiaan 188 henkilölle."Kaupunginsairaalassa työskennellyt osaston sihteeri on avannut sähköisen sairauskertomuksenne ja mahdollisesti lukenut potilastietojanne. Osaston sihteerillä ei ole ollut oikeutta sairauskertomuksenne avaamiseen."Sairaalalle henkilörekisteritietojen väärinkäytös paljastui keväällä 2010. Määräaikainen sihteeri oli ehtinyt työskennellä Haartmanin sairaalan palveluksessa noin neljä kuukautta, kun väärinkäytös paljastui. Sihteerin työsuhde päätettiin. Lähteet: (yle.fi 12.7.2011, hs.fi 12.7.2011)Haartmanin sairaalan henkilötietojen urkintatapauksen syyteoikeus vanheni. Käräjäoikeus ei saanut haastetuksi rikoksesta epäiltyä oikeuteen määräajassa. Jos rikoksesta säädetty enimmäisrangaistus on korkeintaan vuosi vankeutta, vanhenee syyteoikeus kahdessa vuodessa. Syyteoikeus vanheni 22.2.2012. Jutussa asianomistajina oli sairaalan lisäksi useita kymmeniä potilaita.Tietosuojavaltuutettu Reijo Aarnion mukaan on erittäin valitettavaa, jos yhteiskunta ei ehdi eikä kykene reagoimaan ilmeisiin laittomuuksiin liian tiukkojen määräaikojen takia. Hän koventaisi tietosuojarikosten rangaistusasteikkoja.Tietosuojalainsäädäntö on parhaillaan suuren remontin edessä. Tietosuojavaltuutetun mukaan rangaistusasteikon koventamista on arvioitava samassa yhteydessä. Lähde: (yle.fi 2.10.2012)HOVIOIKEUS PITI ENNALLAAN TIETOJA URKKINEEN POLIISIN TUOMIONRovaniemen hovioikeus piti ennallaan Lapin käräjäoikeuden marraskuussa 2009 antaman tuomion sodankyläläisen poliisin sakkotuomion virkavelvollisuuden rikkomisesta.Syytetty tuomittiin maksamaan korvauksia 200-1 200 euroa neljälle asianomistajalle yksityisyyden loukkaamisesta sekä 750 euron sakkorangaistukseen. Oikeudenkäyntikuluja tuomitulle kertyi maksettavaksi yli 37 000 euroa.Vanhempi konstaapeli oli katsonut tietoja lähes 60 poliisin Patja-tietojärjestelmästä ilman asiallista perustetta. Poliisi oli tehnyt lukuisia kyselyjä tietojärjestelmään vuosina 2005-2006. Osa kyselyistä kohdistui rikosilmoituksiin, joissa hän itse oli joko syytettynä tai asianomistajana. Lähteet: (iltasanomat.fi 12.11.2009, 17.6.2011)HENKILÖTIETOJA VUOTI TYÖTTÖMYYSKASSASTAULKOPUOLISELLEYTK:ssa (Yleinen työttömyyskassa) tapahtuneen virheen johdosta noin 50 ihmisen nimet ja henkilötunnukset päätyivät vääriin käsiin. Kaarinalainen mies sai vireillä olleeseen asiaansa päätöksen postitse. Päätöksen oheen oli liitetty lista myös muista henkilöistä, jotka olivat hakeneet samaan koulutukseen miehen kanssa.Lista oli lähetetty Kaarinan TE-toimistosta tiedoksi YTK:lle, jossa se virheellisesti liitettiin mukaan kaarinalaisen miehen saamaan päätökseen. Lähteet: (ts.fi 14.6.2011, yle.fi 14.6.2011, mtv3.fi 14.6.2011)HENKILÖTIETOJA PÄÄTYI KAATOPAIKALLEKymmenittäin laboratorioputkiloissa olevia verinäytteitä tunnistetietoineen löytyi Lapista kaatopaikalta. Laboratorioputkiloista ilmeni verinäytteisiin liittyvien henkilöiden nimet ja henkilötunnukset (hetut). Henkilötietojen paljastumisen lisäksi verinäytteisiin liittyi tartuntavaara. Lähteet: (pohjolansanomat.fi 24.2.2011, iltalehti.fi 24.2.2011)APULAISVALTAKUNNANSYYTTÄJÄ MÄÄRÄSI POLIISIN SELVITTÄMÄÄN VÄÄRINKÄYTÖSEPÄILYNApulaisvaltakunnansyyttäjä Jorma Kalske määräsi poliisin suorittamaan esitutkinta, oliko lääkäriasema Pulssissa ja Turun yliopistollisessa keskussairaalassa syyllistytty rikokseen, tutkimalla potilaan tietoja hänen kuoleman jälkeen. Jutussa epäiltynä oli kaksi henkilöä, jotka kuuluivat Pulssin ja Tyksin henkilökuntaan.Apulaisvaltakunnansyyttäjän mielestä esitutkinta oli suoritettava tärkeän yleisen edun ja järjestelmään kohdistuvan luottamuksen säilyttämisen vuoksi. Apulaisvaltakunnansyyttäjä totesi seuraavaa: ”Yleisprevention kannalta järjestelmän toiminnassa ei ole keskeistä pelkästään rangaistuksen langettaminen, vaan myös se, että järjestelmä toimii yleisen oikeustajunnan suuntaisesti ja luottamusta herättävällä tai ylläpitävällä tavalla. Epäilty rikosasia on laadultaan sellainen, että järjestelmää kohtaan tunnettavan luottamuksen ylläpitäminen edellyttää rikosepäillyn selvittämistä ja esitutkinnan toimittamista.”Vainajan vanhempien mukaan kuolema ja kuolinsyy herättivät uteliaisuutta ja juoruilua. Tämän vuoksi he katsoivat tarpeelliseksi selvittää potilastietoihin kohdistuneet kyselyt.Varsinais-Suomen viranomaiset olivat tehneet aiemmin päätöksen, jonka mukaan asiassa ei ole syytä aloittaa esitutkintaa. Päätöstä perusteltiin henkilörekisteririkoksen ja henkilörekisteririkkomuksen todennäköisellä vanhentumisella (2 vuotta) ja rikosten vähäisyydellä. Lähteet: (vksv.fi 10.1.2011, ts.fi 18.1 2011)PIKAVIPPIYHTIÖN LUOTTOTIETOJA PALJASTUI ASIAKKALLEOsuusluoton pikavippipalvelun asiakaspalvelijan virhe vaaransi tuhansien asiakkaiden henkilö- ja luottotietojen luottamuksellisuuden. Sanomalehti Karjalaisen artikkelin mukaan asiakkaalle lähetetty sähkö-postiviesti sisälsi linkin, joka johti suoraan yhtiön sisäiselle verkkosivulle ja sitä kautta tuhansien asiakkaiden henkilö- ja luottotietoihin.Artikkelin mukaan asiakas arveli, että olisi todennäköisesti saanut avattua kaikkien kyseisen yhtiön asiakkaiden kaikki tiedot henkilötunnuksineen, osoitteineen ja luottosummineen.Vippipalvelun 25.2.2010 julkaiseman tiedotteen mukaan tapaus osoittautui pelättyä pienemmäksi ja tietovuoto on nyt kokonaisuudessaan tukittu. Asiakkaiden yksityisyystietoja ei ole päässyt vuotamaan julkisuuteen. Tietosuojavaltuutettu Reijo Aarnio piti tapausta vakavana ja harkitsi tutkintapyynnön tekemistä. Lähteet: (karjalainen.fi 24.2.2010, iltasanomat.fi 25.2.2010, pikavippi.osuusluotto.fi 25.2.2010)HELSINGIN JA UUDENMAAN SAIRAANHOITOPIIRIN TIETOSUOJASSA PUUTTEITAVantaan sosiaaliasiamies nosti esiin HUSin potilastietojen käytönvalvonnan puutteet. Lehtiartikkeleiden mukaan asiamiehen tiedossa oli tapauksia, joissa HUSin sairaanhoitopiirin arkaluonteisia potilastietoja oli katsottu ilman, että kyse olisi ollut potilaan hoitoon liittyvästä asiasta.Vastaavia epäilyjä oli tullut asiamiehen tietoon myös Vantaan terveyskeskuksen puolelta. Asiamies uskoi, että laiton potilastietojen katselu voi olla yleisempää kuin on tiedossa. Hänen mielestä sairaanhoitopiirillä ja terveyskeskuksessa ei valvota potilastietoihin pääsyä riittävästi. Lähteet: (YLE.fi 18.5.2009, HS.fi 18.5.2009)EU:N HUIPPUVIRKAMIEHIÄ KOSKEVIA TIETOJA LÖYTYI TSHEKISTÄ PRAHASSA SIJAITSEVAN HOTELLIN TIETOKONEELTAPrahalaisen hotellin yleisökoneelta löytyi EU-USA-huippukokouksen kokousvieraiden tietoja sisältänyt tiedosto. Tietokoneelle tallennetussa tiedostossa oli noin 200 kokousedustajaa koskevia henkilökohtaisia tietoja, joita tarvittiin kokousjärjestelyiden toimeenpanossa. Tiedostoon oli tallennettu mm. kokousedustajien passi- ja lentotietoja sekä ruokavalio- ja veriryhmätietoja.Tshekin hallituksen edustajan välittämän lausunnon mukaan tiedot poistettiin prahalaishotellin tietokoneelta. Edustajan mukaan tiedosto ei sisältänyt maan lainsäädännön mukaan luottamuksellisiksi luokiteltavia tietoja (Suomessa kyse olisi ollut henkilötietolain mukaan salassa pidettävistä henkilötiedoista ja rekisterinpitäjälle olisi näin ollen saattanut syntyä vahingonkorvausvelvollisuus, SecMeter huomautus). Kyse oli yhden työntekijän inhimillisestä virheestä, joka johti "välittömiin henkilöstötoimenpiteisiin". Lähteet: (Iltalehti 17.4.2009, EES.fi 17.4.2009, MTV3 17.4.2009)VEROTTAJA VUOTI TURVAKIELLON SAANEIDEN HENKILÖIDEN ASUINPAIKAT JULKISUUTEENTuhansien turvakiellon alaisten suomalaisten olinpaikkatiedot vuotivat julkisuuteen verottajan toimesta. Kunnittain koottuihin verotusluetteloihin sisältyy myös tieto turvakiellon saaneen henkilön asuinkunnasta. Olinpaikkatiedon paljastuminen voi aiheuttaa henkilön turvallisuuteen kohdistuvan konkreettisen uhan. Valtiovarainministeriön henkilöverotusyksikkö aikoo käsitellä syntynyttä ongelmaa vielä tänä vuonna. Lähteet: (HS.fi 5.2.2009, Iltalehti 5.2.2009, Ilta-Sanomat 5.2.2009)"HÄLYTYSKELLOT SOIVAT" TIETOSUOJAVALTUUTETTU VAATII GREY EMINENCELTÄ SELVITYSTÄTietosuojavaltuutettu vaatii viestintätoimisto Grey Eminenceltä selvitystä toimittajalistauksista. Viestintätoimisto on tehnyt "arvolataus" -selvityksiä ainakin kolmelle ministeriölle. Tietosuojavaltuutettu on huolissaan viestintätoimiston tietokoneissa olevista rekistereistä ja voidaanko mielipidetietoja yhdistelemällä ja täydentämällä tuottaa selvityksiä myös muihin tarkoituksiin. Lähde: (Iltalehti 4.4.1998)INFARKTIPOTILAIDEN TIEDOT VUOTIVAT ULKOPUOLISISLLELähes 3000 potilaan rekisteri joutui ulkopuolisiin käsiin, kun Pohjois-Karjalan keskussairaala unohti infarktitiedot vanhaan tietokoneeseen Pohjois-Karjalan keskussairaala myi käytöstä poistettujen atk-laitteiden mukana tietokoneen, joka sisälsi sairaalan sydänpoliklinikan sydäninfarktirekisterin (SIR). Epäkuntoisena pidetty tietokone oli lojunut sairaalan atk-toimistossa puoli vuotta käyttämättömänä.Tietokoneen hankkinut opiskelija toimitti tietokoneen Joensuun rikospoliisin tutkittavaksi. Vanhan 386-tietokeneen levyltä löytyi 2880 potilaan tiedot. Potilasrekisteriin oli tallennettu yksityiskohtaisia tietoja potilaiden sydäninfarkteista mm. selviävätkö he infarktista vai eivät ja kauanko heitä tullaan elvyttämään. Lähde: (hs.fi 17.9.1997)VÄÄRÄN YRITTÄJÄN TIEDOT KIRJATTIIN MAKSUHÄIRIÖREKISTERIINLappeenrantalainen yrittäjä vaati Helsingin käräjäoikeudessa vahingonkorvauksia Asiakastieto Oy:ltä väärästä maksuhäiriörekisterimerkinnästä. Asiakastieto Oy yhdisti virheellisesti kahden samannimisen yrittäjän tiedot. Asiakastieto Oy kirjaa rekistereihinsä vuosittain yli 400 000 maksuhäiriötä. Vuonna 1996 virheitä sattui 110 kappaletta. Lähde: (Ilta-Sanomat 27.3.1997)PALKKATIETO VUOTI JULKISUUTEENUudenkaupungin lääninhallitus jätti poliisin selvitettäväksi, kuka luovutti julkisuuteen viiden johtavan virkamiehen palkanlisät. Tutkintapyyntöä perusteltiin sillä, että kaupunginhallituksen kokoukset ovat suljettuja, eikä niissä käsitellyistä salaisista asioista saa kertoa. Uudenkaupungin Sanomien päätoimittaja piti poliisitutkintaa täysin turhana. Lähde: (Iltalehti 20.12.1995)ELÄKETIETO VUOTI JULKISUUTEENValtion vakuusrahaston johtaja Heikki Koivisto aikoi haastaa oikeuteen henkilön, joka vuoti julkisuuteen tiedot hänen Kansallispankista saamastaan eläkkeestä. Talouselämän haastattelussa Koivisto hyökkäsi voimakkaasti tietovuodon mahdollista aiheuttajaa kohtaan. Lähde: (Ilta-Sanomat 28.1.1995)