Ole hyvin tarkkana Suomi.fi -alustaan liittyvien sähköisten palveluiden käytössä ja näistä palveluista uloskirjautuessa!
—
Oletko Sinä tietoinen siitä, kun käytät Suomi.fi -palvelussa olevia palveluita esim. OmaKela, OmaKanta, OmaVero, Digi- ja väestövirasto (DVV) jne. palveluita eli tätä samaa järjestelmää/alustaa käyttäviä Suomi.fi -palveluita, niin kun olet kirjautuneena yhteen näistä palveluista, otetaan esimerkiksi vaikka OmaKela, niin silloin kun olet OmaKelassa sisällä olet samalla kaikissa muissakin em. palveluissa sisällä, esim. OmaKannan terveystiedoissasi?
Onko tämä Sinusta tietoturvallista? Tällaisina kybervakoilun ja tekoälyn kulta-aikoina?..
Olen nyt selvittänyt asiaa ja tosiaankin on niin, että kun yhteen Suomi.fi -palveluun on kirjautunut omilla pankkitunnuksilla sisään, niin pääsee tällä samalla nk. kertakirjautumisella vapaasti sisään samaan aikaan kaikkiin muihinkin samalla henkilöllä oleviin Suomi.fi -palveluihin ja rekistereihin jopa 32 min. ajan.
Tehdäänkö ajatusharjoitus?
Entäpä kun työpaikoilla, kirjastoissa, perheissä ja muissa yhteisissä tiloissa käytetään samoja tietokoneita, niin jos joudut poistumaan koneeltasi kesken kaiken kun olet kirjautuneena johonkin omaan Suomi.fi -palveluusi, niin ehkä jopa koko 30 min. pituisen puhelusi ajan sinun kaikki Suomi-rekistereiden tiedot ovat jonkun toisen katselijan ulottuvilla ilman, että mitään asiasta tiedät tai että voit asiaan mitenkään vaikuttaa, jos olet poistunut paikalta ja olet jättänyt kirjautumatta ulos tästä palvelusta – eli kaikki Suomi.fi -sivustosi ja rekisteritietosi ovat siten yhtä aikaa ja vapaasti auki tälle toiselle tietokoneen käyttäjälle ja tietojen katselijalle – joka ei aina ole suinkaan hyvissä aikeissa tai että hän olisi edes sinun läheisesi tai tuttavasi.
Maanmittauslaitoksen, kuntien ja kiinteistönvälittäjien (ja kaikkien muiden KTJ-palvelua käyttävien) tulisi olla nyt todella tarkkoina – jopa aika huolissaankin – palkkaamistaan kesätyöntekijöistä, joilla on nämä käyttöoikeuksien ja -tunnuksien tuomat ”taika-avaimet” KTJ-kiinteistötietojärjestelmän kautta kaikkiin kiinteistönomistaja-, lainhuuto- ja rasitusrekisteritietoihin, joista pystyy keräämään valtavasti henkilö- ja kiinteistötietoja ja aiheuttamaan hyvin paljon pahaa, niin halutessaan..
HUOMIO!!! 🙂
Näitä em. rekistereitä pitävät tahot ovat voineet suht’ vapaasti päättää puolestasi, mitkä henkilö- ym. omistaja- tai edunsaajatiedot sinusta heidän rekistereistään näytetään Suomi.fissä.
Huom. rekisteritietoja ei ole tallennettu Suomi.fihin, vaan alla olevat rekisterinpitäjät ovat ne sinne itse ’valinneet’, koska sinultahan ei ole asiasta mitään useinkaan edes kysytty tai että olisit voinut siihen mitenkään vaikuttaa. Vrt. esim. Väestörekisterikeskus (nyk. DVV), jolle olet ehkä joskus vuonna X osannut laittaa merkinnän omien henkilötietojesi luovutuskielloista, mutta nekään eivät sinua nyt tässä Suomi.fi -asiassa juurikaan auta. Tietojasi luovutetaan niistä luovutuskielloista huolimatta.
Näitä rekistereitä ovat:
—
Onko tällainen Suomi.fi -alustan ja järjestelmän käyttö tietoturvallista ja täyttääkö se GDPR:n vaatimukset ja meidän oman Tiedonhallinta- ja Tietosuojalain sääntelyn, jossa kaikki Suomi.fi -palveluun liittyvät palveluntarjoajat ja tahot ovat yhtenä suurena ”viuhkana” auki mahdollisille tietomurtautujille vain yhdellä pankkitunnistautumisella 30 min. ajan, jos he sinne pääsevät esim. tietyn henkilön tietokoneen kaappauksen tai muun luvattoman katselun kautta – tai kuten edellä olevassa ajatusharjoitusesimerkissäni ”vain harmittomalta tuntuvan puhelinsoiton aikana” yhteiskäyttöiseltä tietokoneelta (tai tabletilta)?
Mitäpä jos joku ”pahis” haluaa saada esim. kaikkien suomalaisten Suomi.fi -palvelussa olevien henkilö-, terveys- ja kiinteistörekistereiden tiedot imuroitua erilaisiin tekoälysovelluksiin ja alkaa käyttää näitä tekoälyn ”päättelyssä” ja ”hallussa” olevia henkilö-, kiinteistö- ja terveystietoja suomalaisia vastaan?
Kuka vastaa Suomi.fi -alustaa käyttäville aiheutuneista vahingoista, joita heidän yksityisten henkilö-, terveys- ja kiinteistötietojensa käyttö voi heille aiheuttaa?
Olen ymmärtänyt, että jokainen em. rekisterinpitäjä vastaa asiasta itse, ei siis Suomi.fi -järjestelmä.
—
Mikä on lainsäätäjän vastuu tässä kohdin Suomi.fi -palvelun tietosuojasta?
Suomen eduskunta ja EU:han nämä lait ja direktiivit säätää, joita eu-kansalaisen tietoturvan kohdalla sovelletaan.
Entäpä jos tästä Suomi.fi -alustan nk. kertakirjautumisesta ja sen väärinkäytöstä aiheutuu yksittäiselle eu-kansalaiselle aineellista ja aineetonta merkittävää vahinkoa?
Kuka tai mikä taho vastaa näistä vahingoista tietomurron ja tietojen laittoman katselun uhriksi joutuneelle?
Vastaako Suomi valtiona, jos se ei ole huolehtinut Suomi.fi -alustalle etukäteen ennen palvelun käyttöönottoa tehtävistä vaikutusarvioinneista, palvelua käyttävän riittävästä ja tarpeenmukaisesta tietosuojasta, tarvittavista käyttäjältä pyydettävistä suostumuksista henkilötietojen luovutuksille GDPR:n, EU:n perusoikeuskirjan ja Suomea sitovien kv-ihmisoikeussopimusten mukaisesti?
Vai onko vastuussa EU, joka ei ole valvonut GDPR:n täytäntöönpanoa eu-jäsenmaissa?
Suomi.fi -alustan kaltaisten huonosti tietosuojattujen sähköisten rekisterien luvaton käyttö ja käyttäjän yksityisten henkilö-, terveys, kiinteistö- ja omistajatietojen luvaton louhinta tulee tehokkaasti estää.
Tekoälyn käytössä ”pahiksilla” nämä Suomi.fi -palveluun kohdistetut luvattomat tietojen kalastelut – jopa louhinnat – voivat voivat olla meille suomalaisille todella vahingollisia.
—
Ks. HE 174/2022:
– – ”Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain (731/1999) 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentilla turvataan jokaisen yksityiselämä sekä todetaan, että henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan vakiintuneen käytännön mukaan henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (PeVL 14/2018 vp). (tummennus oma)
Perustuslakivaliokunta on kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojen luovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta ”tarpeellisiin tietoihin”, jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus ”tietojen välttämättömyydestä” jonkin tarkoituksen kannalta (PeVL 17/2016 vp). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (PeVL 62/2010 vp, PeVL 59/2010 vp). (tummennus oma)
Perustuslakivaliokunta on painottanut toistuvasti, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi. (PeVL 21/2020 vp). (tummennukset omia)
Ehdotettuun lainkohtaan on yksilöity, mitä varten tietoja voidaan salassapitosäännösten estämättä luovuttaa. Tietoja voidaan luovuttaa Ahvenanmaan maakunnan hallitukselle vain valvontatehtäviä varten, joten tietojensaantiin oikeuttavaa sääntelyä ei voida pitää yleisluontoisena, vaan rajattuja ja asiallisiin edellytyksiin kytkettynä perustuslakivaliokunnan lausuntokäytännön mukaisesti.
Perustuslakivaliokunnan mielestä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä (PeVL 14/2018 vp). (tummennus oma)
Perustuslakivaliokunta on katsonut, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (PeVL 14/2018 vp).” – – (tummennus oma)
Lähde: HE 174/2022
https://www.finlex.fi/fi/esitykset/he/2022/20220174
Ilmoita asiaton viesti
—
suomi.fi
”Mitä tarkoittaa kertakirjautuminen?
Kertakirjautuminen tarkoittaa, että voit yhdellä tunnistautumisella käyttää useita julkishallinnon asiointipalveluja. Voit esimerkiksi tunnistautua Suomi.fihin ja käyttää samalla kerralla muita palveluja ilman erillistä kirjautumista. Kirjautuminen on kerrallaan voimassa 32 minuuttia.
Myös uloskirjautuminen tapahtuu samanaikaisesti kaikista asiointipalveluista. Kertakirjautuminen ei ole mahdollista muiden maiden tunnistusvälineillä eikä Finnish Authenticator -sovelluksella.”
Päivitetty: 17.10.2022
https://www.suomi.fi/ohjeet-ja-tuki/tunnistus/mita-tarkoittaa-kertakirjautuminen
Ilmoita asiaton viesti
—
Ks. ”Valiokunnan lausunto PeVL 14/2018 vp─ HE 9/2018 vp”
– -”Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa sääntelyä vakiintuneessa käytännössään katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla.
Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa.
Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. PeVL 14/1998 vp, s. 2 ja esimerkiksi PeVL 1/2018 vp, s. 2).
Perustuslakivaliokunta on kuitenkin kiinnittänyt huomiota myös siihen, että Euroopan unionin yleisessä tietosuoja-asetuksessa vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta (ks. PeVL 2/2018 vp, s. 4—8, PeVL 31/2017 vp, s. 3 ja PeVL 42/2016 vp, s. 7—8).
Tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. myös esim. PeVL 51/2014 vp, s. 2/II).
Perustuslakivaliokunta on uudemmassa käytännössään katsonut, ettei estettä ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 2/2018 vp, s. 4—8, PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9 ja PeVL 38/2016 vp, s. 4).” – –
https://www.eduskunta.fi/FI/vaski/Lausunto/Documents/PeVL_14+2018.pdf
Ilmoita asiaton viesti
—
”Valiokunnan lausunto PeVL 14/2018 vp─ HE 9/2018 vp”
– – ”Perustuslakivaliokunta kiinnittää lisäksi huomiota siihen, että tietosuojalakiehdotuksen 25 §:n 2 momentin mukaan lailla kumotaan henkilötietolaki sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki. Henkilötietolaki on yleislaki, jossa säädetään mm. käsittelyn lainmukaisuuden edellytyksistä, valvontaviranomaisen tehtävistä ja toimivallasta sekä rekisteröidyn oikeuksista ja oikeusturvasta.
Perustuslakivaliokunta kiinnittää huomiota siihen, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa.
Valiokunnan mielestä henkilötietolakia ei voi kumota ennen mainitun lain voimaantuloa kokonaisuudessaan, sillä perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan mielestä on selvää, että perustuslain 10 §:n 1 momentin sääntelyvarauksella ilmaistaan lailla säätämisen lisäksi se lähtökohta, että henkilötietojen suojaa koskeva perusoikeus selvästi edellyttää tuekseen tavallista lainsäädäntöä (ks. myös PeVM 25/1994 vp, s. 5/II—6/I).
Hallintovaliokunnan on siirtymäsäännöksin varmistettava, että henkilötietojen suojaa koskevan yleislainsäädännön soveltamisala on kattavaa myös ennen mainitun poliisidirektiivin toimeenpanoon liittyvän lain voimaantuloa, mikäli tietosuojalakiehdotus hyväksytään ennen sitä.
Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
VALIOKUNNAN PÄÄTÖSESITYS
Perustuslakivaliokunta esittää, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli valiokunnan sen eduskunnan valtiopäivätoimintaan kohdistuvasta soveltamisalasta, valvontaviranomaisen ylimpiin laillisuusvalvojiin kohdistuvasta valvontavallasta, hallinnollisten seuraamusten määräämismenettelystä sekä henkilötietolain kumoamisesta tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huo-
mioon.” – –
https://www.eduskunta.fi/FI/vaski/Lausunto/Documents/PeVL_14+2018.pdf
Ilmoita asiaton viesti
—
5.12.2018/1054
”Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä”
10 luku
Erinäiset säännökset
60 §
Vahingonkorvaus
Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.
Muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa.
61 §
Rangaistussäännökset
Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta säädetään mainitun lain 38 luvun 3 §:ssä, törkeästä viestintäsalaisuuden loukkauksesta 4 §:ssä, tietomurrosta 8 §:ssä ja törkeästä tietomurrosta 8 a §:ssä. Rangaistus tämän lain 55 §:n 3 momentissa säädetyn salassapitovelvollisuuden ja 62 §:ssä tarkoitetun vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.
62 §
Vaitiolovelvollisuus
Vaitiolovelvollisuudesta ja tietojen hyväksikäyttökiellosta säädetään viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 23 §:ssä.
https://www.finlex.fi/fi/laki/ajantasa/2018/20181054
Ilmoita asiaton viesti
Tämä ongelmahan poistuu sillä, että kirjaudut, hoidat juttusi, ja uloskirjaudut.
Ilmoita asiaton viesti
Tasan näin.
Aivan absurdi lähtökohta urputuksella: ”jos joudut poistumaan koneeltasi kesken kaiken kun olet kirjautuneena johonkin omaan Suomi.fi -palveluusi…”. Ikään kuin olisi jotenkin turvallisempaa jättää kirjautumatta pois vain yhdestä omien suomi.fi -palvelujensa osasta.
Ilmoita asiaton viesti
Jari-Pekka, luitkohan tekstin ihan ajatuksen kanssa?
Esim. tämän:
– – ”Onko tällainen Suomi.fi -alustan ja järjestelmän käyttö tietoturvallista ja täyttääkö se GDPR:n vaatimukset ja meidän oman Tiedonhallinta- ja Tietosuojalain sääntelyn, jossa kaikki Suomi.fi -palveluun liittyvät palveluntarjoajat ja tahot ovat yhtenä suurena ”viuhkana” auki mahdollisille tietomurtautujille vain yhdellä pankkitunnistautumisella 30 min. ajan, jos he sinne pääsevät esim. tietyn henkilön tietokoneen kaappauksen tai muun luvattoman katselun kautta – tai kuten edellä olevassa ajatusharjoitusesimerkissäni ”vain harmittomalta tuntuvan puhelinsoiton aikana” yhteiskäyttöiseltä tietokoneelta (tai tabletilta)?” – –
Ilmoita asiaton viesti
Milli, näin parhaassa ideaali tilanteessa, jossa ei ole mitään häiriötekijöitä esim.yhteiskäyttökoneita, keskeytyksiä, sähköpostitilin/tietokoneen kaappauksia, identitettivarkauksia ym. tämän ajan ikäviä kyberilmiöitä.
Suomi.fi -palvelu sinänsä on ihan ok, mutta tietoturvan, tietojen luovutuskieltojen ja omia tietoja koskevien nimenomaisten suostumusten puuttumisten osalla siinä on m i n u n m i e l e s t ä n i ja m i n u n työ- ja e l ä m ä n k o k e m u s t e n i perusteella todella pahoja ongelmia.
Olen joskus v. 2007 paikkeilla joutunut itse identiteettivarkauden kohteeksi entisessä yrittäjäelämässä ja luulen ainakin tietäväni mistä hankaluudesta esim. KTJ-järjestelmän (Kiinteistötietojärjestelmä) kohdalla nyt asiasta tässä kohtaa teille kirjoitan.
Ilmoita asiaton viesti
Niin, kyllä autojakin varastetaan. Ihan käteviä pelejä ovat siitä huolimatta.
Ilmoita asiaton viesti
Milli, totta.
Minultakin joskus nuoruudessani huijattiin auto osamaksukaupan kautta. Auto ajettiin hetken päästä romuksi. Sinne tielleen jäivät osamaksusaatavat – ja auto.
Identiteettivarkaudessa tai muussa tietoturvarikoksessa kun pahimmassa tapauksessa rahojen ja perhesuhteiden lisäksi voi mennä myös terveys..
Ilmoita asiaton viesti
—
eduskunta.fi (julkaistu 23.5.2023 15.45) (tummennukset omia)
”Nato-jäsenyyteen liittyvä tietoturvallisuussopimus eduskunnan lähetekeskustelussa”
– – ”Tietoturvallisuussopimuksessa määritellään Naton ja sen jäsenvaltioiden turvallisuusluokiteltu tieto, johon sopimusta sovelletaan. Sopimuksen keskeinen lähtökohta on, että osapuolet säilyttävät tiedon turvallisuusluokituksen ja pyrkivät kaikin keinoin turvaamaan tietoa. Tietoa ei luovuteta kolmansille osapuolille ilman tiedon luovuttajan suostumusta. Sopimuksen toimeenpanoa varten osapuolilla tulee olla kansallinen turvallisuusviranomainen. Sopimuksen mukaan luottamuksellista (CONFIDENTIAL) ja sitä ylempiin turvallisuusluokkiin kuuluvaa tietoa käsittelevillä henkilöillä tulee myös olla asianmukainen turvallisuusselvitys.
Asia lähetetiin ulkoasianvaliokuntaan, jolle hallintovaliokunnan ja puolustusvaliokunnan on annettava lausunto.” – –
Ks. ”Hallituksen esitys HE 4/2023 vp Hallituksen esitys eduskunnalle tietoturvallisuudesta Pohjois-Atlantin sopimuksen osapuolten välillä tehdyn sopimuksen ja turvallisuussääntöjen hyväksymiseksi ja voimaansaattamiseksi sekä Suomen ja Pohjois-Atlantin liiton kesken vaihdettavan turvallisuusluokitellun tiedon suojaamiseksi tehdyn hallinnollisen järjestelyn ja Pohjois-Atlantin liiton kanssa tehdyn tietoturvallisuussopimuksen irtisanomiseksi”
– – ”2.1.3 Lain soveltaminen elinkeinonharjoittajiin
Kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on osapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 §:n 2 momentti).
Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 §:n 1 momentin 3 kohta).
Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus, velvollisuus käyttää tällaista tietoaineistoa vain siihen tarkoitukseen, jota varten se on annettu sekä velvollisuus pitää huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoa tehtävän hoitamisessa (6 §). Elinkeinonharjoittajalla on myös velvollisuus antaa toimivaltaiselle turvallisuusviranomaiselle tietoja kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 §:n 2 momentti ja 18 §:n 2 momentti).
2.1.4 Lain täytäntöönpanoviranomaiset
Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:ssä on säännökset niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii ulkoministeriö. Puolustusministeriö, Pääesikunta, Suojelupoliisi sekä Liikenne- ja viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA).
2.1.5 Tietojen salassapito ja käytön sääntely
Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu (6 §:n 1 momentti). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän ollessa osapuolena turvallisuusluokitellussa sopimuksessa. Suomen tekemissä sopimuksissa, jotka koskevat eri valtioiden viranomaisten välistä salassa pidettävien tietojen vaihtoa ja suojaamista, on säännönmukaisesti määräys, joka rajoittaa luovutettujen tietojen käyttöä. Kyseisen määräyksen mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan. Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.
2.1.6 Turvallisuusluokittelu ja suojaamistoimenpiteet
Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Erityissuojattavaan tietoaineistoon on tehtävä luokittelumerkintä, joka osoittaa, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava (8 §). Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä valtioneuvoston asetuksella (9 §). Asiakirjojen turvallisuusluokittelusta valtionhallinnossa annetun valtioneuvoston asetuksen (1101/2019, jäljempänä turvallisuusluokitteluasetus) 4 §:ssä säädetään turvallisuusluokituksen vastaavuudesta kansainvälisiä tietoturvallisuusvelvoitteita toteutettaessa. Säännöstä sovelletaan, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu.
Erityissuojattava tietoaineisto on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 10 §:n mukaan säilytettävä tiloissa, joissa asiakirjojen ja materiaalien sekä niihin sisältyvien tietojen suojaamisesta voidaan huolehtia kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyllä tavalla. Tilojen turvallisuusvaatimuksista säädetään turvallisuusluokitteluasetuksen 9 ja 10 §:ssä.
Lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa oleva yleinen vaatimus siitä, että erityissuojattavaan tietoaineistoon annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos kansainvälisessä tietoturvallisuusvelvoitteessa tätä edellytetään (lain 6 §:n 3 momentti). Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa.
2.1.7 Tietojärjestelmäturvallisuus
Liikenne- ja viestintävirasto toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaan kansallisen turvallisuusviranomaisen asiantuntijana tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa asioissa ja vastaa muun muassa kansainvälisten tietoturvallisuusvelvoitteiden edellyttämistä tietojärjestelmien arvioinnista ja hyväksyntätehtävistä (akkreditointi). Viranomaisten tietojärjestelmien tietoturvallisuuden arviointia koskevasta menettelystä ja Liikenne- ja viestintäviraston tietoturvallisuuden arviointitehtävästä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011, jäljempänä arviointilaki). Viranomaiset voivat käyttää tietojärjestelmäarvioinneissa myös laissa tietoturvallisuuden arviointilaitoksista (1405/2011) tarkoitettuja Liikenne- ja viestintäviraston hyväksymiä arviointilaitoksia. Toistaiseksi arviointilaitoksia ei ole hyväksytty tekemään EU:n tai Naton turvallisuusluokiteltuja tietoja käsittelevien tietojärjestelmien arviointeja. Yritysten tietojärjestelmien arvioinnista osana yritysturvallisuusselvitystä säädetään turvallisuusselvityslaissa.” – –
https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Sivut/HE_4+2023.aspx
Ilmoita asiaton viesti
—
Taloustaito.fi
”Nyt tarkkana – kaapattuja Facebook-tilejä hyödynnetään uusien tilien kaappaamiseen” (26.5.2023)
https://www.taloustaito.fi/koti/nyt-tarkkana—kaapattuja-facebook-tileja-hyodynnetaan-uusien-tilien-kaappaamiseen/?utm_source=Veroviikko&utm_medium=email&utm_campaign=Veroviikko&liana_pv=81cf627543e46b12404a4cea4e046736#99aa9850
—
Kyberturvallisuuskeskuksen viikkokatsaus – 21/2023
Tietoturva Nyt!
Julkaistu 26.05.2023 10:29
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus-212023
Ilmoita asiaton viesti
—
”Arviointi, hyväksyntä ja neuvonta
NCSA-toimintomme lakisääteisenä tehtävänä on tarjota arviointi- ja hyväksyntäpalveluita. Lisäksi tarjoamme tietoturvaneuvontaa valtionhallinnolle sekä huoltovarmuuskriittisille toimijoille.” – –
– – ”Kansallista turvallisuusluokiteltua tietoa käsitteleviin viranomaisten tietojärjestelmiin ei kohdistu lainsäädännöstä yleistä velvoitetta tietojärjestelmän hyväksynnälle (akkreditoinnille). Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, tiedonhallintalaki) mukaisesti viranomaisen tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan.
Viranomaisen tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti (13 §). Traficomin arviointia on mahdollista hakea tietojärjestelmissä käsiteltävien kansallisten turvallisuusluokiteltujen tietojen suojaamiseen.” – –
https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/arviointi-hyvaksynta-ja-neuvonta?toggle=Liikenne-%20ja%20viestint%C3%A4virasto%20Traficomin%20ohje%20tietoj%C3%A4rjestelmien%20arviointi-%20ja%20hyv%C3%A4ksynt%C3%A4prosesseista
Ilmoita asiaton viesti
—
”Easywhistle: Whistleblow-kanava viestii yritysvastuusta”
– – ”Tietoturva ohjaa tekemistä
Toimivan ilmoituskanavan kulmakiviä ovat tekninen tietoturva, ilmoittajan henkilöllisyyden suoja sekä selkeät vastuut ilmoitusten käsittelyssä.
Niille on pantu paljon painoa myös Easywhistlessä. Kaikki kanavassa tapahtuva viestintä on suojattu ulkopuolisilta eikä sieltä kerätä mitään analytiikkaa. Ilmoittajaa suojaa sekin, ettei mukaan mahdollisesti liitettäviin tiedostoihin ja valokuviin jää mitään metatietoja.
– Riippumaton ja täysin anonyymi ilmoituskanava madaltaa kynnystä tuoda epäiltyjä väärinkäytöksiä yrityksen tietoon ennen suurempia vahinkoja. Se myös ennaltaehkäisee niitä pelkällä olemassaolollaan, Robin Pulkkinen muistuttaa.”
https://www.epressi.com/tiedotteet/teknologia/easywhistle-whistleblow-kanava-viestii-yritysvastuusta.html
Ilmoita asiaton viesti
—
Ks. myös edellinen blogini (alla) samaan asiaan. Myös muutamat sitä edeltävät blogini käsittelevät tietosuoja-asioita ja EU:n yleistä tietosuoja-asetusta::
”Kuka on viime kädessä vastuussa Suomi.fi -palvelun tietosuojasta? Onko Suomi.fi -palvelun vaikutusarvioinnit tehty?” (27.5.2023 14:11)
https://puheenvuoro.uusisuomi.fi/kirsiomp/prof-teemu-roosin-toivoisi-vastaavan-kysymykseen-onko-suomi-fi-alustan-ja-jarjestelman-kaytto-tietoturvallista/
Ilmoita asiaton viesti
—
9.8.2019/906
Laki julkisen hallinnon tiedonhallinnasta
24 §
Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.
Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.
24 a § (15.7.2021/710)
Tiheästi päivittyvän tiedon saatavuus
Viranomaisten toiminnan julkisuudesta annetun lain 16 §:n 2 momentissa tarkoitetun sähköisessä muodossa olevista tiheästi tai reaaliaikaisesti päivittyvistä julkisista asiakirjoista annettavan tiedon on pyynnöstä oltava saatavilla teknisten rajapintojen avulla heti tiedon keräämisen jälkeen ja tarvittaessa useana kerralla ladattavana tiedostona.
Jos 1 momentin noudattaminen aiheuttaisi viranomaiselle kohtuutonta vaivaa taloudellisista tai teknisistä syistä, tiedon on oltava saatavilla sellaisella aikavälillä tai sellaisin tilapäisin teknisin rajoituksin, jotka eivät tarpeettomasti haittaa sen hyödyntämistä.
24 b § (15.7.2021/710)
Arvokkaiden tietoaineistojen saatavuus
Arvokkailla tietoaineistoilla tarkoitetaan sellaisia tietoaineistoja, joiden saatavuutta koskevista menettelyistä säädetään avoimesta datasta ja julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/1024 14 artiklan 1 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä niiden taloudellisen tai yhteiskunnallisen merkityksen vuoksi.
Arvokkaiden tietoaineistojen, joihin tiedon saajalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja, on pyynnöstä oltava saatavilla teknisten rajapintojen avulla. Tiedon on tarvittaessa oltava saatavilla myös useana kerralla ladattavana tiedostona.
Arvokkaiden tietoaineistojen luettelosta sekä näiden tietoaineistojen saatavuudesta säädetään tarkemmin valtioneuvoston asetuksella sen mukaan kuin niistä Euroopan unionin lainsäädännössä säädetään tai jollei toisin säädetä muualla lainsäädännössä.
https://www.finlex.fi/fi/laki/ajantasa/2019/20190906
Ilmoita asiaton viesti
—
Viittaus edelliseen – – ”Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/1024 14 artiklan 1 kohdassa tarkoitetuilla täytäntöönpanosäädöksillä niiden taloudellisen tai yhteiskunnallisen merkityksen vuoksi.” – –
EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2019/1024, annettu 20 päivänä kesäkuuta 2019, avoimesta datasta ja julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (uudelleenlaadittu)
”14 artikla
Tietyt arvokkaat tietoaineistot ja julkaisemisen sekä uudelleenkäytön järjestelyt
1. Komissio hyväksyy täytäntöönpanosäädöksiä, joissa vahvistetaan niiden asiakirjojen joukosta, joihin tätä direktiiviä sovelletaan, luettelo liitteessä I esitettyihin luokkiin kuuluvista ja julkisen sektorin elinten ja julkisten yritysten hallussa olevista tietyistä arvokkaista tietoaineistoista.
Tällaisten tiettyjen arvokkaiden tietoaineistojen on oltava saatavilla
a) maksutta, jollei 3, 4 ja 5 kohdasta muuta johdu,
b) koneellisesti luettavassa muodossa,
c) API-rajapintojen kautta ja
d) tarvittaessa useana kerralla ladattavana tiedostona (bulk download).
Näissä täytäntöönpanosäädöksissä voidaan eritellä arvokkaiden tietoaineistojen julkaisemisen ja uudelleenkäytön järjestelyt. Tällaisten järjestelyjen on oltava yhteensopivia avointen standardilisenssien kanssa.
Järjestelyt voivat sisältää uudelleenkäytön edellytykset, tietojen ja metatietojen muodot ja levittämistä koskevat tekniset järjestelyt. Jäsenvaltioiden investoinnit avointa dataa koskeviin toimintatapoihin, kuten investoinnit tiettyjen standardien kehittämiseen ja käyttöönottoon, on otettava huomioon ja punnittava suhteessa luetteloon merkitsemisen potentiaalisiin hyötyihin.
Nämä täytäntöönpanosäädökset hyväksytään 16 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.”
—
16 artikla
Komiteamenettely
1. Komissiota avustaa avointa dataa ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttöä käsittelevä komitea.
Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.
2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artikla
https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32019L1024&from=ES
—
Euroopan unionin virallinen lehti
L 55/13
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) N:o 182/2011,
annettu 16 päivänä helmikuuta 2011,
yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä” – –
– – ”5 artikla
Tarkastelumenettely
1. Jos sovelletaan tarkastelumenettelyä, komitea antaa lausuntonsa Euroopan unionista tehdyn sopimuksen 16 artiklan 4 ja 5 kohdassa ja, soveltuvissa tapauksissa, Euroopan unionin toiminnasta tehdyn sopimuksen 238 artiklan 3 kohdassa määrätyllä enemmistöllä, kun on kyse säädöksistä, jotka hyväksytään komission ehdotuksesta. Komiteaan kuuluvien jäsenvaltioiden edustajien äänet painotetaan mainituissa artikloissa määrätyin tavoin.
2. Jos komitea antaa puoltavan lausunnon, komissio hyväksyy ehdotuksen täytäntöönpanosäädökseksi.
3. Jos komitea antaa kielteisen lausunnon, komissio ei hyväksy kyseessä olevaa ehdotusta täytäntöönpanosäädökseksi, sanotun kuitenkaan rajoittamatta 7 artiklan soveltamista. Jos täytäntöönpanosäädös katsotaan tarpeelliseksi, puheenjohtaja voi joko toimittaa muutetun ehdotuksen täytäntöönpanosäädökseksi samalle komitealle kahden kuukauden kuluessa kielteisen lausunnon antamisesta tai toimittaa ehdotuksen täytäntöönpanosäädökseksi muutoksenhakukomitean käsiteltäväksi kuukauden kuluessa tällaisen lausunnon antamisesta.
4. Jos lausuntoa ei anneta, komissio voi, toisessa alakohdassa säädettyjä tapauksia lukuun ottamatta, hyväksyä ehdotuksen täytäntöönpanosäädökseksi. Jos komissio ei hyväksy ehdotusta täytäntöönpanosäädökseksi, puheenjohtaja voi esittää komitealle sitä koskevan muutetun ehdotuksen.
Jäljempänä olevan 7 artiklan soveltamista rajoittamatta komissio ei hyväksy ehdotusta täytäntöönpanosäädökseksi, jos
a)
säädös koskee verotusta, rahoituspalveluja tai ihmisten, eläinten tai kasvien terveyden tai turvallisuuden suojelua taikka lopullisia monenvälisiä suojatoimenpiteitä;
b)
perussäädöksessä säädetään, ettei ehdotusta täytäntöönpanosäädökseksi voida hyväksyä, ellei lausuntoa ole annettu; tai
c)
komitean jäsenten yksinkertainen enemmistö vastustaa sitä.
Jos täytäntöönpanosäädös katsotaan jossain toisessa alakohdassa tarkoitetussa tapauksessa tarpeelliseksi, puheenjohtaja voi joko toimittaa muutetun ehdotuksen mainitusta säädöksestä samalle komitealle kahden kuukauden kuluessa äänestyksestä tai toimittaa ehdotuksen täytäntöönpanosäädökseksi muutoksenhakukomitean käsiteltäväksi kuukauden kuluessa äänestyksestä.
5. Poiketen siitä, mitä 4 kohdassa säädetään, seuraavaa menettelyä noudatetaan hyväksyttäessä ehdotuksia lopullisiksi polkumyynti- tai tasoitustoimenpiteiksi, jos komitea ei ole antanut lausuntoa ja sen jäsenten yksinkertainen enemmistö vastustaa ehdotusta täytäntöönpanosäädökseksi.
Komissio neuvottelee jäsenvaltioiden kanssa. Aikaisintaan 14 päivän ja viimeistään kuukauden kuluttua komitean kokouksesta komissio ilmoittaa komitean jäsenille neuvottelujen tuloksista ja toimittaa ehdotuksen täytäntöönpanosäädökseksi muutoksenhakukomitean käsiteltäväksi. Poiketen siitä, mitä 3 artiklan 7 kohdassa säädetään, muutoksenhakukomitea kokoontuu aikaisintaan 14 päivän ja viimeistään kuukauden kuluttua siitä, kun ehdotus täytäntöönpanosäädökseksi on saatettu sen käsiteltäväksi. Muutoksenhakukomitea antaa lausuntonsa 6 artiklan mukaisesti. Tässä kohdassa säädetyt määräajat eivät vaikuta tarpeeseen noudattaa asiaa koskevissa perussäädöksissä säädettyjä määräaikoja.”
https://eur-lex.europa.eu/legal-content/FI/ALL/?uri=CELEX%3A32011R0182
Ilmoita asiaton viesti
—
HE 177/2021
Hallituksen esitys eduskunnalle laiksi tutkimustietovarannosta
– – ”2.4 Perustuslaillisia näkökulmia
Henkilötietojen käsittelyllä tutkimustietovarannossa on perustuslaillisia liittymäpintoja. Henkilötietojen suoja on perus- ja ihmisoikeutena suojattu oikeus ja perustuslain (731/1999) 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään lailla. Kun viranomainen käsittelee henkilötietoja, käsittelylle on oltava erillinen toimivaltasäännös.9 Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Vaikka tutkimustietovarannon perustaminen ja tietojen julkaiseminen ei välttämättä ole suoraan julkisen vallan käyttöä, kyse on kuitenkin viranomaisen toiminnasta, jota koskee lainalaisuusvaatimus. Lailla säätämiseen puolestaan kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkarajaisuudesta. Tätä puoltaa sekin, että viranomaisten tietojen luovuttaminen edellyttää valtiosääntöön liittyvistä syistä täsmällisempää sääntelyä. Oikeuskäytännössä on katsottu jo pelkästään tietojen tallentamisen viranomaisen rekisteriin merkitsevän puuttumista yksityiselämän suojaan, millä on merkitystä perusoikeusherkässä sääntelykontekstissa. Perustuslakivaliokunta on viranomaisten toimesta tapahtuvan henkilötietojen luovuttamisen osalta pitäytynyt pitkälti aiemmissa yksityiskohtaisuutta ja tarkkarajaisuutta koskevissa linjauksissaan.10 (tummennus oma)
Perustuslakivaliokunnan henkilötietojen suojaa koskevan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa perustuslain 10 § 1 momentin lisäksi myös se, että henkilötietojen suoja sisältyy osittain samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee näin ollen turvata oikeus henkilötietojen suojaan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Säännös viittaa tarpeeseen lainsäädännöllisesti turvata yksilön oikeusturva ja yksityisyyden suoja. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). (tummennus oma)
Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. PeVL 14/1998 vp, s. 2 ja esimerkiksi PeVL 1/2018 vp, s. 2). (tummennus oma)
Perustuslakivaliokunta on EU:n tietosuojauudistuksen voimaantulon myötä tarkistanut kantaansa henkilötietojen suojaa koskevan sääntelyn vaatimuksista. Enää henkilötietojen käsittelystä kansallisesti säädettäessä ei yleisen tietosuoja-asetuksen soveltamisalalla yleensä edellytetä edellä kuvatun kaltaista kattavaa ja yksityiskohtaista sääntelyä. Valiokunta on katsonut, että yleisen tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. PeVL 14/2018 vp, s. 4). Valiokunnan mukaan henkilötietojen suoja tulee näin ollen turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata se vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5). Perustuslakivaliokunnan tavoitteena on turvata lainsäädännön selkeys verrattuna yleistä tietosuoja-asetusta edeltävään raskaaseen säätelyyn.” – – (tummennus oma)
https://www.finlex.fi/fi/esitykset/he/2021/20210177
Ilmoita asiaton viesti
—
”EU:n uudet tietosuojasäännöt: soveltamisohjeet”
https://eur-lex.europa.eu/content/news/guidance-for-general-data-protection-regulation-application.html?locale=fi
Ilmoita asiaton viesti
—
”Voivatko yksilöt pyytää tietojensa siirtämistä toiselle organisaatiolle”
”Vastaus
Kyllä, yksilöillä on oikeus tietojensa siirtämiseen eli saada yritykseltäsi/organisaatioltasi sille antamansa henkilötiedot koneluettavassa muodossa ja saada ne siirretyksi toiselle yritykselle/organisaatiolle. Oikeutta voidaan käyttää vain, jos henkilötiedot on kerätty sopimuksen tai suostumuksen perusteella. Tällaiset tiedot käsitellään automaattisesti.
Esimerkki
Yksityisklinikan potilas Belgiassa siirtyy toiselle klinikalle Saksaan. Yksilö pyytää belgialaista klinikkaa, joka säilyttää hänen tietojaan sähköisesti, toimittamaan henkilötiedot koneluettavassa muodossa, jotta hän voi siirtää ne toiselle klinikalle Saksaan. Belgialaisen klinikan on toimitettava henkilötiedot yleisesti käytetyssä muodossa (mm. XML, JSON, CSV). Tiedon muotoa valitessaan organisaation on otettava huomioon, vaikuttaako muoto yksilön oikeuksiin käyttää tietoja uudelleen tai estääkö se oikeuden käytön. Tietojen toimittaminen PDF-muodossa ei välttämättä riitä varmistamaan, että henkilötietoja voidaan helposti käyttää uudelleen.
Viitteet
Artikla 20; johdanto-osan kappale 68
Euroopan tietosuojaneuvoston suuntaviivat tietojen siirrettävyydestä
https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/dealing-citizens/can-individuals-ask-have-their-data-transferred-another-organisation_fi
—
HUOM!! Tällä hetkellä julkisen terveydenhuollon/ julkisen vallan toimesta Sinun arkaluontoisia terveys-, tutkimus- ja potilastietojasi siirretään Omakannasta ilman erillistä suostumustasi yksityisille hoitopaikoille. Kukaan ei tässä välissä tarkista, toimivatko ko. yksityiset hoitopaikat lakien ja annettujen lupien mukaan.
Ilmoita asiaton viesti
—
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679,
annettu 27 päivänä huhtikuuta 2016,
luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
(ETA:n kannalta merkityksellinen teksti)” – –
– – ”(69) Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.” – – (tummennus oma)
https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Ilmoita asiaton viesti
—
Suomi.fi -järjestelmässä (ja nk. kertakirjautumisessa) tämä em. (69) ei ole mahdollista eli että ”rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet”
Ilmoita asiaton viesti
—
Ks. aiheeseen liittyvät aikaisemmat US-blogit:
”Ole hyvin tarkkana Suomi.fi -alustaan liittyvien sähköisten palveluiden käytössä ja näistä palveluista uloskirjautuessa!” (28.5.2023)
https://puheenvuoro.uusisuomi.fi/kirsiomp/ole-hyvin-tarkkana-suomi-fi-alustaan-liittyvien-sahkoisten-palveluiden-kaytossa-ja-naista-palveluista-uloskirjautuessa/
—
”Miten DVV on varmistanut, että Suomi.fi -yhteyttä käyttävät rekisterit tunnistavat automaattisesti poikkeavan tietojen hakemisen?” (8.6.2023)
https://puheenvuoro.uusisuomi.fi/kirsiomp/miten-dvv-on-varmistanut-etta-suomi-fi-yhteytta-kayttavat-rekisterit-tunnistavat-automaattisesti-poikkeavan-tietojen-hakemisen/
Ilmoita asiaton viesti