Miten DVV on varmistanut, että Suomi.fi -yhteyttä käyttävät rekisterit tunnistavat automaattisesti poikkeavan tietojen hakemisen?
Onko Sinulla suomi.fi -järjestelmää käyttävänä kuluttaja-asemassa olevana kansalaisena turvallinen olo?
Katsoin alla olevaa Laki julkisen hallinnon tiedonhallinnasta säädettyä lakia alla olevilta kohdiltaan (20 § – 24 §); ja en tullut lainkaan vakuuttuneeksi siitä, että minun yksityiset henkilö-, potilas- ym. tietoni ovat PL 10 §:n mukaisesti suojassa luvattomasti – jopa laittomasti – toimivien katseilta ja yksityisten henkilötietojeni väärinkäytöiltä.
Digi- ja väestöviraston (DVV) tulee kertoa, onko suomi.fi -alustalle tehty ennen sen käyttöönottoa GDPR:n mukaiset vaikutusarvioinnit? Missä vaikutusarvioinnit ovat saatavilla?
Huomasin lisäksi, että ”Vaikutustenarvioinnin tekemistä koskevia vaatimuksia sovelletaan myös ennen 25.5.2018 alkaneisiin, edelleen käynnissä oleviin käsittelytoimiin. Rekisterinpitäjän on siis tehtävä käynnissä olevan käsittelyn osalta vaikutustenarviointi silloin, kun siihen olisi velvoite muutoinkin tietosuojalainsäädännön mukaan.”
—
Ks. (9.8.2019/906) Laki julkisen hallinnon tiedonhallinnasta
20 § Tietoaineistojen kerääminen viranomaisen tehtäviä varten
Viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen rajapinnan tai katseluyhteyden avulla. Tietojen hyödyntämisessä on huolehdittava asianosaisen tai muun hallinnon asiakkaan oikeusturvasta.
Jos viranomaisella on oikeus saada toisen viranomaisen tietovarannosta tehtäviensä hoitamista varten tietoja luotettavasti ja ajantasaisesti teknisen rajapinnan tai katseluyhteyden avulla, se ei saa vaatia asiakastaan esittämään tai toimittamaan tällaista todistusta tai otetta, ellei se ole välttämätöntä asian selvittämiseksi.
—
21 § Tietoaineistojen säilytystarpeen määrittäminen
Jos tietoaineistojen tai asiakirjojen säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä on otettava huomioon:
1) tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus viranomaisen toiminnassa;
2) luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen;
3) sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus;
4) vahingonkorvausoikeudelliset vanhentumisajat; ja
5) rikosoikeudelliset vanhentumisajat.
Säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.
Säilytysaikojen määrittämisen vastuista, arkistoinnista ja arkistotoimen tehtävistä säädetään erikseen.
—
22 § Tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
Viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa säädetty tiedonsaantioikeus. Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Asiakirjojen ja tietojen antamisesta muulla tavalla säädetään erikseen.
Sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.
Teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisten rajapintojen avulla on tietorakenteen kuvaus määriteltävä ja ylläpidettävä toimialasta vastaavan ministeriön johdolla.
—
23 § Katseluyhteyden avaaminen viranomaiselle
Viranomainen voi avata katseluyhteyden toiselle viranomaiselle tietovarannon sellaisiin tietoihin, joihin katseluoikeuden saavalla viranomaisella on tiedonsaantioikeus. Sen lisäksi, mitä 4 luvussa säädetään, edellytyksenä katseluyhteyden avaamiselle on, että:
1) katselumahdollisuus on rajattu vain yksittäisiin hakuihin, jotka voivat kohdistua tiedonsaantioikeuden mukaisesti tarpeellisiin tai välttämättömiin tietoihin; sekä
2) tietojen hakemisen yhteydessä selvitetään tietojen käyttötarkoitus.
Viranomaisen on toteutettava katseluyhteys siten, että katseluyhteyden mahdollistava tietojärjestelmä tunnistaa automaattisesti poikkeavan tietojen hakemisen.
—
24 § Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.
Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.
—
Ks. samaan aiheeseen liittyen myös US-Puheenvuoro 28.5.2023:
”Ole hyvin tarkkana Suomi.fi -alustaan liittyvien sähköisten palveluiden käytössä ja näistä palveluista uloskirjautuessa!”
https://puheenvuoro.uusisuomi.fi/kirsiomp/ole-hyvin-tarkkana-suomi-fi-alustaan-liittyvien-sahkoisten-palveluiden-kaytossa-ja-naista-palveluista-uloskirjautuessa/
Ilmoita asiaton viesti
—
”Tietosuojavaltuutetun päätös luetteloksi käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi
Päivitetty 21.12.2018
Tietosuoja-asetuksen 35 artiklan 1 kohta edellyttää, että vaikutustenarviointi tehdään silloin, kun käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn oikeuksille ja vapauksille.
Tietosuoja-asetuksen 35 artiklan 3 kohta sisältää listan käsittelytoimista, jotka vaativat vaikutustenarvioinnin. Lista ei ole tyhjentävä.
Tietosuoja-asetuksen 35 artiklan 4 kohdan mukaan tietosuojaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi.
Luettelon luonne
Tämä luettelo ei ole tyhjentävä.
Viittaus ohjeistuksiin
Tämä luettelo täydentää tietosuoja-asetuksen 35 artiklan 1 kohtaa. Tämä lista on laadittu Tietosuojaryhmä 29 lausunnon 248 (Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”) pohjalta ja tämä luettelo täydentää ja täsmentää tätä lausuntoa.
Tietosuojavaltuutetun toimisto katsoo, että seuraavien käsittelytoimien yhteydessä tulee tehdä vaikutustenarviointi:
Biometriset tiedot
Rajoittamatta tietosuoja-asetuksen 35 artiklan 3 kohdan soveltamista, vaikutusten arviointi tulee tehdä silloin, kun biometrisiä tietoja käsitellään henkilön yksiselitteistä tunnistamista varten ja lisäksi vähintään yksi seuraavista kriteereistä täyttyy:
– biometrisiä tietoja käsitellään henkilön arvioimiseksi tai pisteyttämiseksi
– biometrisiä tietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
– biometrisiä tietoja käsitellään järjestelmällisen valvonnan yhteydessä
– biometrisiä tietoja käsitellään laajamittaisesti
– biometrisiä tietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin
– käsiteltävät biometriset tiedot ovat heikossa asemassa olevien rekisteröityjen
– uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä
– biometristen tietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua
Geneettiset tiedot
Rajoittamatta tietosuoja-asetuksen 35 artiklan 3 kohdan soveltamista, vaikutusten arviointi tulee tehdä, kun geneettisiä tietoja käsitellään ja lisäksi vähintään yksi seuraavista kriteereistä täyttyy:
– geneettisiä tietoja käsitellään henkilön arvioimiseksi tai pisteyttämiseksi
– geneettisiä tietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia rekisteröityyn
– geneettisiä tietoja käsitellään järjestelmällisen valvonnan yhteydessä
– geneettisiä tietoja käsitellään laajamittaisesti
– geneettisiä tietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin
– käsitellään heikossa asemassa olevien rekisteröityjen geneettisiä tietoja
– uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä
– geneettisten tietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua
Sijaintitiedot
Kun sijaintietoja käsitellään ja vähintään yksi seuraavista kriteereistä täyttyy
– sijaintitietoja käsitellään henkilön arvioimiseksi tai pisteyttämiseksi
– sijaintitietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
– sijaintitietoja käsitellään järjestelmällisen valvonnan yhteydessä
– sijaintitiedot paljastavat arkaluontoisia tai luonteeltaan hyvin henkilökohtaisia tietoja
– sijaintitietoja käsitellään laajamittaisesti
– sijaintitietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin
– heikossa asemassa olevien rekisteröityjen sijaintitietoja käsitellään
– uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä
– sijaintitietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua
Poikkeaminen rekisteröidyn informoinnista tietosuoja-asetuksen 14.5 artiklan nojalla
Kun rekisterinpitäjä poikkeaa rekisteröidyn informoinnista tietosuoja-asetuksen 14 artiklan 5 b-kohdan perusteella ja lisäksi vähintään yksi seuraavista kriteereistä täyttyy
– henkilötietoja käsitellään henkilön arvioimiseksi tai pisteyttämiseksi
– henkilötietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
– henkilötietoja käsitellään järjestelmällisen valvonnan yhteydessä
– henkilötietoja käsitellään laajamittaisesti
– henkilötietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin
– heikossa asemassa olevien rekisteröityjen henkilötietoja käsitellään
– henkilötietoja käsitellään uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä
– henkilötietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua
Whistleblowing
Ilmiantojärjestelmien kautta organisaation henkilöstön jäsen tai muu taho voi nimettömänä tuoda ilmi organisaation epäeettistä ja arvojen vastaista toimintaa tai sisäisiä rikkomuksia. Ilmiantojärjestelmien tavoitteena voi olla esimerkiksi varmistaa, että organisaation päivittäisessä hallinnossa noudatetaan asianmukaisesti päätöksenteko- ja valvontajärjestelmän periaatteita.”
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista
Ilmoita asiaton viesti
—
1171/2022
Helsingissä 20.12.2022
Laki
Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta
1 §
Lain tarkoitus
Tämän lain tarkoituksena on tehostaa Euroopan unionin oikeuden ja kansallisen lainsäädännön täytäntöönpanon valvontaa säätämällä niiden henkilöiden suojelusta, jotka ilmoittavat tämän lain soveltamisalaan kuuluvista rikkomisista. Tällä lailla pannaan täytäntöön unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1937, jäljempänä ilmoittajansuojeludirektiivi.
2 §
Soveltamisala
Tätä lakia sovelletaan sellaisten henkilöiden suojeluun, jotka ilmoittavat ilmoittajansuojeludirektiivin liitteessä tarkoitetun Euroopan unionin lainsäädännön tai sen kansallisen täytäntöönpanolainsäädännön tai muun kansallisen lainsäädännön rikkomisista seuraavilla lainsäädännön aloilla:
1) julkiset hankinnat lukuun ottamatta puolustus- ja turvallisuushankintoja;
2) finanssipalvelut, -tuotteet ja -markkinat;
3) rahanpesun ja terrorismin rahoittamisen estäminen;
4) tuoteturvallisuus ja vaatimustenmukaisuus;
5) liikenneturvallisuus;
6) ympäristönsuojelu;
7) säteily- ja ydinturvallisuus;
8) elintarvikkeiden ja rehujen turvallisuus sekä eläinten terveys ja hyvinvointi;
9) Euroopan unionin toiminnasta annetun sopimuksen 168 artiklan tarkoittama kansanterveys;
10) kuluttajansuoja;
11) yksityisyyden ja henkilötietojen suoja sekä verkko- ja tietojärjestelmien turvallisuus.
Lakia sovelletaan 1 momentissa tarkoitetuissa asioissa tekoihin tai laiminlyönteihin:
1) jotka on säädetty rangaistavaksi;
2) joista voi seurata rangaistusluonteinen hallinnollinen seuraamus; taikka
3) jotka voivat vakavasti vaarantaa lainsäädännön yleisen edun mukaisten tavoitteiden toteutumista.
Poiketen siitä, mitä 1 momentin 9 kohdassa säädetään, lakia ei sovelleta rikkomiseen, joka koskee lääkelain (395/1987) 19 §:n 1 momenttia tai 68–73 §:ää, ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä annetun lain (101/2001) 2–5 lukua, 14, 15 tai 17–20, 21, 21 a, 22 tai 23 §:ää taikka rajat ylittävästä terveydenhuollosta annetun lain (1201/2013) 9 §:n 2–4 momenttia, 10 §:ää, 11 §:n 2 momenttia, 12 §:n 2 momenttia tai 13–23 tai 32 §:ää.
Sen lisäksi, mitä 1 momentissa säädetään, lakia sovelletaan sellaisten henkilöiden suojeluun, jotka ilmoittavat:
1) Euroopan unionin varainhoitoa tai menojen toteuttamista tai unionin tulojen taikka varojen keräämistä koskevan lainsäädännön tai määräysten rikkomisesta;
2) Euroopan unionin tai kansallisten avustusten tai valtiontukien myöntämistä, käyttämistä tai takaisinperintää koskevan lainsäädännön tai ehtojen rikkomisesta;
3) Euroopan unionin tai kansallisten kilpailusääntöjen rikkomisesta;
4) Euroopan unionin tai kansallisen yritysten ja yhteisöjen verotusta koskevan lainsäädännön rikkomisesta taikka järjestelystä, jonka tarkoituksena on saada yritysten tai yhteisöjen verotusta koskevan lainsäädännön tavoitteen tai tarkoituksen vastaista veroetua; tai
5) muun kuin 1 momentin 10 kohdassa tarkoitetun Euroopan unionin tai kansallisen kuluttajan suojaamiseksi säädetyn lainsäädännön rikkomisesta.
https://www.finlex.fi/fi/laki/alkup/2022/20221171
Ilmoita asiaton viesti
—
HE 284/2018
– – ”Ehdotettavalla tiedonhallintalailla pantaisiin kansallisesti voimaan Euroopan parlamentin ja neuvoston direktiivin 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä 5 artiklan kohta 1 sellaisena kuin se on muutettuna Euroopan parlamentin ja neuvoston direktiivissä 2013/37/EU annettu 26 päivänä kesäkuuta 2013, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun direktiivin 2003/98/EY muuttamisesta (jäljempänä PSI-direktiivi). PSI-direktiivin sisältö on muilta osin sisällytetty osaksi viranomaisten toiminnan julkisuudesta annettua lakia.” – –
https://finlex.fi/fi/esitykset/he/2018/20180284
Ilmoita asiaton viesti
—
– – ”2.2.3 Euroopan unionin perusoikeuskirja ja Euroopan unionin yleinen tietosuoja-asetus
– – ”Johdanto-osan 45 kohdan mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.” – –
https://finlex.fi/fi/esitykset/he/2018/20180284
Ilmoita asiaton viesti