Rekisterinpitäjän vastuu - SecMeter

Sisältöön

Rekisterinpitäjän vastuu

Yritysturvallisuus > Tietosuoja
Mikäli rekisteröidylle aiheutuu tietosuoja-asetuksen rikkomisesta vahinkoa, on hänellä oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta vahingosta.

Rikosoikeudellinen vastuu voi seurata myös silloin, jos kyse on jonkin muun lain kuin henkilötietolain säännösten vastaisesta menettelystä.

Rekisterinpitäjä joutuu itse suorittamaan rekisterinkäyttöön liittyvää laillisuusvalvontaa. Tilanne on johtanut siihen, että laadullisesti samansisältöisten rekisterisovellusten tietoturvaratkaisut vaihtelevat rekisterinpitäjäkohtaisesti.

Lähtökohtaisesti rekisterinpitäjä vastaa kaikkien rekisterinkäyttäjien lain vastaisesta henkilötietojen käsittelystä kuin omastaan. Jos rekisterinpitäjä ei anna suojausmääräyksiä tai ota niitä käyttöön, voidaan tekoa arvioida henkilörekisteririkoksena (RL 38:9 §).


TEHTÄVÄLISTA

  1. Selvitä, onko henkilörekisteristä laaditut rekisteriselosteet asetettu rekisteröityjen saataville?
  2. Selvitä, onko henkilörekistereiden suojauksesta huolehdittu asianmukaisesti?
  3. Selvitä, valvotaanko henkilörekistereiden käytön asianmukaisuutta?

Tietosuoja-asetuksen 83 artiklan mukaan valvontaviranomaisella on oikeus määrätä rekisterinpitäjälle ja henkilötietojen käsittelijälle sakkoja tai hallinnollisia seuraamuksia tietosuoja-asetuksen velvoitteiden laiminlyönnistä. Hallinnollinen sakko määräytyy kunkin yksittäisen tapauksen olosuhteiden mukaisesti.

Sakon enimmäismäärä voi olla 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Niiden laiminlyöntien osalta, joihin ei sovelleta hallinnollisia sakkoja, voi valvontaviranomainen määrä muita seuraamuksia. Seuraamuksena voi olla esimerkiksi käsittelyn kieltäminen.

Tietovuodon uhri voi vaatia korvauksia henkisestä kärsimyksestä tai henkilötietojen väärinkäytön aiheuttamista taloudellisista vahingoista. Korvausten saamisen edellytyksenä on, että rekisterinpitäjä on rikkonut EU:n tietosuoja-asetusta (GDPR), joka määrittelee, miten henkilötietojen turvallisesta käsittelystä on huolehdittava.

Kärsimyskorvauksen lisäksi yksityisyyden suojaa loukkaavista rikoksista voi saada myös rikosperusteista korvausta, jos rekisteröity on tehnyt asiasta rikosilmoituksen. Oikeusministeriön alainen henkilövahinkoasiain neuvottelukunta (HEVA) on linjannut vahingonkorvaussuositukset mm. yksityisyyden suojaan liittyvissä tapauksissa. Esimerkiksi varsin yleisestä rikoksesta oikeudettomasta arkaluonteisten henkilötietojen käsittelystä on suosituksena 300–800 euron vahingonkorvaus.

Psykoterapiakeskus Vastaamolle määrättiin seuraamusmaksu
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Psykoterapiakeskus Vastaamolle 608 000 euron suuruisen hallinnollisen seuraamusmaksun tietosuoja-asetuksen säännösten rikkomisesta. Vastaamo oli laiminlyönyt mm. henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan.

Vastaamon potilastietojärjestelmän tietovuodon mahdollisti potilastietokannan suojaamaton MySQL-portti. Tietokannan root-pääkäyttäjätunnus oli suojaamaton ja sillä pääsi kirjautumaan potilastietokantaan mistä tahansa IP-osoitteesta ainakin 26.11.2017 ja 13.3.2019 välisen ajan. Lähde: (tietosuoja.fi tiedote 16.12.2021 9.30)

Psykoterapiakeskus Vastaamon tietomurron epäilty tekijä pidätettiin
Keskusrikospoliisi pääsi tekijän jäljille teknisen tutkinnan ja saksalaisen datakeskuspalvelinyhtiö Hezner Online GmbH:n Tuusulassa sijaitsevan palvelinkeskuksen palvelimen takavarikon avulla. Epäilty pidätettiin Ranskassa ja noudettiin 24.2.2023 poliisin toimesta Suomeen.

Länsi-Uudenmaan käräjäoikeus määräsi 1.3.2023 epäillyn tutkintavankeuteen todennäköisin syin epäiltynä kahdeksasta eri rikoksesta mm. törkeästä tietomurrosta, tietomurrosta, törkeästä kiristyksen yrityksestä, kiristyksestä, kiristyksen yrityksestä, törkeästä yksityiselämää loukkaavan tiedon levittämisestä ja todistusaineiston vääristelemisestä. Epäillyt teot tapahtuivat vuosina 2019–2020. Syytteen noston määräaika määrättiin poikkeuksellisen pitkälle. Oikeuden mukaan syyte epäiltyä vastaan on nostettava viimeistään 18.10.2023 mennessä.
Lähteet: (mtvuutiset.fi 1.3.2023, iltalehti.fi 1.3.2023, yle.fi 1.3.2023)

Psykoterapiakeskus Vastaamon entiselle toimitusjohtajalle vaadittiin rangaistusta
Syyttäjä vaati Vastaamon entiselle toimitusjohtajalle vankeutta tietosuojarikoksesta. Syyttäjän mukaan Vastaamon entinen toimitusjohtaja oli joko tahallaan tai törkeästä huolimattomuudesta laiminlyönyt Vastaamon tietoturvan, tietosuojan ja yrityksen hallussaan pitämien henkilötietojen käsittelyn turvallisuuden, joka mahdollisti tietomurron ja 33 000 asiakkaan arkaluontoisten tietojen varastamisen. Syyttäjän mukaan Vastaamon entinen toimitusjohtaja ei ilmoittanut asiasta viranomaisille, vaan salasi murron ilmoittamalla sen käyttökatkokseksi ja huolloksi.

Vastaamon entinen toimitusjohtaja syytti puolestaan Vastaamon IT-työntekijöitä tietomurron peittelemisestä ja laiminlyönneistä. Entisen toimitusjohtajan mukaan vastuu IT-asioista oli delegoitu kahdelle palkatulle työntekijälle. Syyttäjä ei kuitenkaan nostanut Vastaamon IT-työntekijöitä vastaan syytettä. Syyttäjä katsoi heidän olleen aliresursoituja ja pyrkineen saamaan muutosta tilanteeseen. Vastaamon tietoturvapuutteet olivat varsin merkittäviä.

  • Vastaamon asiakasrekisterin ylläpitäjän käyttäjätunnukselle ei oltu määritelty salasanaa.
  • Asiakasrekisterin hallintaan käytetyn vastaamo-käyttäjätunnuksen salasanaksi oli määritelty ”skuja66”.
  • Vuodesta 2012 alkaen pääkäyttäjän valtuudet sai käyttöön kirjautumalla palvelimelle toisena käyttäjänä ja sen jälkeen vaihtamalla itsensä pääkäyttäjäksi ilman erillistä salasanakyselyä.
  • Potilastietokanta ei ollut anonymisoitu. Henkilötiedot oli suoraan yhdistettävissä psykoterapiaistuntojen kirjauksiin.
  • Palvelimen etäkäyttö oli mahdollista.
  • Salattuja VPN-yhteyksiä ei käytetty säännömukaisesti.
  • Tietoliikenne kulki tasolla L2. Liikenteen rajoitukset oli tehty tasolla L3, jonka seurauksena palomuuri päästi läpi kaiken tietoliikenteen.
  • Palvelimen portti 3306 oli auki internetiin puolentoista vuoden ajan.
  • Päivitykset tehtiin suoraan tuotantojärjestelmään ilman testausta.

Lähde: (is.fi 2.3.2023)

Psykoterapiakeskus Vastaamon jutussa Helsingin käräjäoikeuden tuomio
Helsingin käräjäoikeus tuomitsi Vastaamon entisen toimitusjohtajan tietosuojarikoksesta kolmen kuukauden ehdolliseen vankeusrangaistukseen. Käräjäoikeus katsoi entisen toimitusjohtajan syyllistyneen tietosuojarikokseen, koska ei huolehtinut yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta. Muilta osin käräjäoikeus hylkäsi syytteen. Molemmat osapuolet kertoivat olevansa osin tyytymättömiä tuomioon. Lähteet: (yle.fi 18.4.2023, ess.fi 18.4.2023, hs.fi 18.4.2023)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön