Tulostusversio

2/2008

Lyhyesti tietosuojasta 2/2008

Teletunnistetiedot vuodeksi talteen

Eduskunta on hyväksynyt sähköisen viestinnän tietosuojalain muutoksen, jonka mukaan teleyritysten on säilytettävä teletunnistetietoja vuoden ajan.

Säilytettävistä tiedoista käyvät ilmi muun muassa puhelun soittaja tai sähköpostiviestin lähettäjä, vastaanottaja sekä soitto- tai lähetysaika. Säilytysvelvollisuus ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.

Laki pidentää tunnistetietojen säilytysaikaa mutta ei laajenna viranomaisten valtuuksia tietojen käyttämiseen. Valiokuntakäsittelyssä tehdyn täsmennyksen mukaan tunnistetietoja saa käyttää tutkinnassa, kun tutkittavasta rikoksesta säädetty ankarin rangaistus on vähintään neljä vuotta vankeutta. Tunnistetietoja saa käyttää myös tietojenkäsittelyrikoksen, parituksen, oikeudenkäynnissä kuultavan uhkauksen, laittoman uhkauksen, huumausainerikoksen ja terroristisen rikosepäilyn yhteydessä.

Laki tulee voimaan kesäkuun alussa. Sähköposti- ja internetpuhelinpalvelutietoja yritysten on alettava säilyttää viimeistään 15.3.2009.

---

Ohjausta lasten henkilötietojen käsittelyyn

Tietosuojadirektiivin artiklan 29 mukainen työryhmä on helmikuussa antanut ohjausta lasten henkilötietojen käsittelystä.

Lapsia koskevien yleisten tietosuojaperiaatteiden lisäksi ohjaus sisältää erityisesti koulumaailmaan soveltuvia neuvoja muun muassa biometrisen tiedon ja lasten valokuvien käsittelystä. Ohjauksessa otetaan myös kantaa oppilaiden vanhempiin liittyvien tietojen keräämisen tarpeellisuuteen.

Ohjaus on kohdistettu lasten henkilötietoja käsitteleville tahoille. Työryhmä pyytääkin erityisesti opettajia ja kouluviranomaisia kommentoimaan ohjaustaan kesäkuun loppuun mennessä.

-----

Hakukonetietoja saa säilyttää puoli vuotta

Artiklan 29 mukainen työryhmä on huhtikuussa julkaissut kannanoton internetin hakukoneiden toiminnasta. Työryhmän mukaan tietosuojadirektiiviä sovelletaan hakukoneyrityksiin, vaikka niiden pääkonttorit olisivat EU:n ulkopuolella.

Hakukoneyritysten tulee informoida käyttäjiä henkilötietojen käsittelystä ja tarjota heille mahdollisuus käyttää tietosuojadirektiivissä tarkoitettuja rekisteröityjen oikeuksia, mukaan lukien tarkastusoikeus ja oikeus virheen korjaamiseen.

Työryhmän mukaan hakukoneiden käyttöön liittyviä tietoja voidaan yhdistää muihin tietoihin vain asianomaisen henkilön suostumuksella. Hakukoneyritykset voivat säilyttää käyttäjätietoja pääsääntöisesti enintään kuusi kuukautta.

Työryhmä on käynyt kirjeenvaihtoa muun muassa hakukoneyhtiö Googlen kanssa siitä, onko pääkonttoriaan Yhdysvalloissa pitävän yhtiön noudatettava EU:n tietosuojadirektiiviä ja kuinka kauan palvelinlokitietoja saa säilyttää. Google on ilmoittanut anonymisoivansa 18–24 kuukautta vanhemmat palvelinlokitiedot, mutta työryhmän mukaan tämä ei riitä, sillä säilytysaika on liian pitkä.

-----

Teletunnistelaki osin ristiriidassa Saksan perustuslain kanssa

Saksan perustuslakituomioistuimen väliaikaisen päätöksen mukaan teletunnistedirektiivin (2006/24/EY) kansalliseksi voimaansaattamiseksi laadittu laki on osin ristiriidassa maan perustuslain kanssa.

Tuomioistuin ei kuitenkaan puutu teletunnistetietojen keräämiseen, mutta edellyttää, että tietoja voidaan luovuttaa lainvalvontaviranomaisille vain vakavissa rikostapauksissa oikeudellisesti perustellun päätöksen nojalla. Vähäisemmissä rikoksissa tietoja voidaan luovuttaa vain tuomioistuimen päätöksen perusteella.

Perustuslakituomioistuin antaa lopullisen päätöksen asiassa sen jälkeen, Euroopan Yhteisöjen tuomioistuin antaa päätöksen Irlannin vireille panemassa direktiiviä koskevassa asiassa.

Tammikuussa Saksassa voimaan tullut laki antoi viranomaisille laajan pääsyn teletunnistetietoihin. Kysymys on ollut Saksassa vilkkaan huomion kohteena, ja yli 30 000 saksalaista laittoi asian vireille perustuslakituomioistuimessa.

-----

Britannian tietosuojavaltuutetulle sakotusoikeus

Isossa-Britanniassa on lisätty tietosuojavaltuutetun toimivaltuuksia. Tietosuojavaltuutettu saa oikeuden asettaa uhkasakon tapauksissa, joissa yhteisö rikkoo tietosuojalakia tahallaan tai törkeää huolimattomuuttaan.

Lainmuutoksen taustalla ovat Isoa-Britanniaa vaivanneet tietoturvaskandaalit. Viime marraskuussa maan vero- ja tullivirasto kadotti 25 miljoonan britin henkilötiedot. Tiedot postitettiin kahdella salaamattomalla cd-levyllä. 

Vero- ja tulliviraston tieto-onnettomuus on mittakaavaltaan maan vakavin tieto-onnettomuus, mutta sen jälkeen maan tietosuojavaltuutetulle on ilmoitettu vielä miltei sadasta muusta tapauksesta, joissa viranomaiset ja yritykset ovat kadottaneet kansalaisten henkilötietoja.

Ison-Britannian tietosuojavaltuutettu Richard Thomas on kehottanut yritysten ja viranomaisten johtohenkilöitä ottamaan tietosuoja ykkösasiaksi. Maan tietosuojavaltuutetun toimisto julkaisi alkukeväällä uudet ohjeet siitä, miten yhteisöjen tulee toimia tieto-onnettomuuden sattuessa.

-----

Uusi opas tietosuojavastaaville

Tietosuojavaltuutetun toimisto sekä sosiaali- ja terveysministeriö ovat yhdessä laatineet esitteen tietosuojavastaavan toimenkuvasta, tehtävistä ja asemasta.

Henkilötietolaki, julkisuuslaki, laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä sekä laki sähköisestä lääkemääräyksestä edellyttävät, että rekisterinpitäjä nimeää tietosuojavastaavan.

Tietosuojavastaavan tehtävänä on auttaa rekisterinpitäjää toteuttamaan henkilötietojen käsittelyyn liittyviä velvoitteita. Tietosuojavastaavan nimeäminen ei silti poista rekisterinpitäjänä olevan organisaation vastuuta henkilötietojen lainmukaisesta käsittelystä.

Lue myös

Lyhyesti tietoturvasta 2/2008 »
Lyhyesti yksityisyydestä 2/2008 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.