Itsenäisyyspäivän jälkimainingeissa somessa kuohahti. Trafin uusi ajokorttitietopalvelu herätti huolta henkilötietojen päätymisestä vääriin käsiin. Palvelun avulla oli mahdollista vähäisellä vaivalla selvittää julkiseksi määriteltyjen tietojen ohella mm. henkilötunnuksia. Jo ajokorttitietojen saaminen julkisesta palvelusta ilman käyttäjän tunnistamista oli riittävän huono juttu. Henkilötunnusten vuotaminen palvelun kautta on jo aidosti vakavampi paikka ja herätti aiheellisesti kansalaisissa sekä närkästystä että huolta Trafin tietoturva- ja tietosuojaosaamisesta. Käytännössä kaikki sanomalehdet ja uutispalvelut tarttuivat aiheeseen ja kirjoittivat viikon aluksi runsaasti aiheesta. Selvisi, että palvelu oli itse asiassa aiemmin syksyllä vielä heikompi. Eräs käyttäjä oli saanut selville helposti kymmenen tuntemattoman henkilön henkilötunnukset ja muut henkilötiedot, joiden avulla identiteettivarkaus käytännössä tehdään. Tästä lisää YLE:n uutisessa. Katso samalla myös juttu Jarin tapauksesta, johon on linkki ko. uutisessa. Se avaa hyvin henkilötunnuksen vääriin käsiin vuotamisen merkitystä. Trafi joutui some-kohun myötä kaltevalle pinnalle ja päätti sulkea palvelun, kunnes sen tietosuojaongelmat on selvitetty. Samalla kaikki muutkin Trafin julkiset tietopalvelut laitettiin ns. seisontaan (liikennekäytöstä poisto), kunnes Viestintävirasto olisi Liikenne- ja viestintäministeriön toimesta selvittänyt Trafin palveluiden turvallisuuden. Yhden palvelun huonon suunnittelun vuoksi useat Trafin palvelut ovat siis olleet pois käytöstä aiheuttaen ongelmia mm. autokauppiaille. Yhden palvelun huonon suunnittelun vuoksi useat Trafin palvelut ovat olleet pois käytöstä. Jotta asia ei jäisi pelkästään kuohunnaksi, on syytä pysähtyä pohtimaan, mitä voimme oppia Trafin tapauksesta! Trafi perusteli palvelua sillä, että Laki liikenteen palveluista määrää ajokorttitiedot julkisiksi. Tähän antoi jo tietosuojavaltuutettu Reijo Aarnio edellä mainitussa YLEn artikkelissa vastakommentin, että se ei tarkoita, että tietoja voisi käsitellä miten haluaa. Eikä voikaan. Tietosuoja-asetus lähtee ensinnäkin siitä, että henkilötietojen käsittelylle on oltava laillinen peruste (Artikla 6, Käsittelyn lainmukaisuus). Trafin palvelussa tehtävä tietojen julkaisu on yksi henkilötietojen käsittelyn muoto. Tietosuoja-asetus antaa käsittelyn lailliseksi perusteeksi mm. lakisääteisen velvoitteen noudattamisen (Artikla 6, kohta 1 c) ja tähän Trafi nojasikin käsittelynsä. Henkilötietojen käsittelyssä ei voida kuitenkaan tukeutua vain käsittelyperusteeseen ja unohtaa sen jälkeen kaikki muu lainsäädäntö, tietosuoja-asetuksen velvoitteet mukaanlukien. Henkilötietojen käsittelyssä ei voida tukeutua vain käsittelyperusteeseen Tietosuoja-asetuksen yhtenä keskeisistä vaatimuksista on sisäänrakennettu ja oletusarvoinen tietosuoja (Artikla 25). Tämä tarkoittaa käytännössä sitä, että jo palvelua suunniteltaessa on otettava huomioon henkilön yksityisyyden suojan toteutuminen ja suunniteltava mm. palvelun tietoturvaratkaisut tätä tukien. Tietoturvaan ja tietosuojaan liittyviä ratkaisuja ei voida ns. päälleliimata palvelukehityksen lopuksi tai myöhemmin saadun asiakaspalautteen pohjalta. Toki palautteen ja/tai muun jatkuvan riskiarvioinnin pohjalta palvelua sekä sen tietoturvaa voidaan ja on syytäkin edelleen kehittää. Keskeisiä puutteita ja ongelmia Trafin palvelussa olivat ainakin seuraavat:
Palvelun puutteet mahdollistivat mm. täydellisen identiteettivarkauden! Trafin palvelun kohdallakin on syytä palata yhteen asetuksen vaatimukseen, eli tietojen minimointiin. Asetus ja sen vaatimukset sisäänrakennetusta ja oletusarvoisesta tietosuojasta (Artikla 25) sekä yleiset henkilötietojen käsittelyä koskevat periaatteet (Artikla5) lähtevät siitä, että kussakin tilanteessa käsitellään vain sellaista tietoa, jota todella tarvitaan ja vain niin pitkään, kuin on tarvetta. On paikallaan arvioida, ovatko kaikki palvelun tarjoamat tiedot sellaisenaan todella tarpeen esimerkiksi tilanteessa, jossa kuljetuspalvelua tilaava kuluttaja selvittää kuljetuspalvelun suorittavan henkilön ajolupa-asioita. Eikö tämän voisi toteuttaa esimerkiksi seuraavasti?
Tämä on yksi esimerkki, kuinka tietojen minimointia voisi toteuttaa. Nyt Trafi julkaisi palvelussa mm. henkilön koko nimen sekä kaikki ajokorttiluokat ja erikoisluvat. Hakutoiminnon avulla pystyi siis kokeilemalla selvittämään myös henkilötunnuksen. Näiden tietojen perusteella voi muista lähteistä selvittää mm. henkilön kotiosoitteen, puhelinnumeron jne. Tässä kohtaa on toki syytä pohtia myös, onko uuden lain teksti määritelty huonosti tai tulkittu väärin Trafin toimesta, kun päädyttiin kehittämään tietosuojan kannalta kyseenalainen palvelu. Käsitellään vain sellaista tietoa, jota todella tarvitaan! Summa summarum. Mitä opimme?
Me olemme pohtineet näitä asioita yhdessä eri toimialojen asiakkaidemme kanssa hyvin käytännönläheisestä näkökulmasta. Mikäli kaipaatte organisaatiossanne käytännön osaamista ja näkökulmaa tietosuoja-asetuksen selättämiseen, tutustu esimerkiksi koulutustarjontaamme. Katso myös, mitä asiakkaamme ovat kertoneet palveluistamme. Kun laadin tietosuojaselostetta, mistä minä sen itse asiassa laadinkaan? Siinä kun pitää määritellä henkilörekisterin nimi. Vai pitääkö? Mikä se henkilörekisteri on? Eihän tietosuoja-asetus puhu enää henkilörekistereistä? Näitä kysymyksiä moni saattaa pohtia. Olen törmännyt aika ajoin siihen, että tietosuoja-/rekisteriselostetta laaditaan jostain tietojärjestelmästä, esim. rekrytointijärjestelmästä. Eli henkilörekisteri = rekrytointijärjestelmä. Joskus näin voikin olla ja seloste on tällöin ihan riittävä, jos siinä puhutaan vain rekrytointijärjestelmästä. Käytännössä kuitenkin usein tai lähes aina henkilörekisteriin liittyy myös muita välineitä, joissa ko. henkilötietojen käsittelyyn liittyen joko arkistoidaan, säilytetään tai vähintään väliaikaisesti käsitellään tietoa. Rekrytointiprosessissa tyypillisesti tällainen voisi olla vaikkapa soveltuvuusarvioinnit sisältävä mappiarkisto. Tai ansiovertailut / hakijavertailut, joita tulostetaan exceliin, kenties viedään johtoryhmään esiteltäväksi ja (toivottavasti) jossain vaiheessa joko tuhotaan tai säilytetään hyvin suojattuna. Henkilörekisterihän ei muuten välttämättä sisällä lainkaan tietojärjestelmiä. Myös vaikkapa sähköpostiin tai paperilla vastaanotetut työhakemukset muodostavat henkilörekisterin. Rajanvetoa, missä menee eri rekisterien rajat, ei ole missään laissa tai asetuksessa sanottu, eli sitä pitää pohtia tapauskohtaisesti. Joku voisi ajatella, että soveltuvuusarvioinneista tehtäisiin oma rekisteri. Ja näin voi hyvinkin olla. Siitä pitää sitten tehdä oma seloste. Henkilörekisteri ei välttämättä sisällä lainkaan tietojärjestelmiä Kun määrittelet jotain tiettyä henkilörekisteriä, lähde ajattelemaan henkilötietojen käsittelyn tarkoitusta. Eli mihin tarkoitukseen keräämme henkilötietoja ja miten niitä käsitellään? Ota huomioon koko prosessi:
Tällä ajattelulla saat kiinni, mihin liittyen olitkaan laatimassa sitä rekisteri- tai tietosuojaselostetta. Rekrytoinnin kohdalla rekisterin nimi voisi olla vaikkapa "työnhakijarekisteri", joka sisältää työhakemusten lisäksi soveltuvuusarviointiraportit, haastattelijoiden erikseen laatimat haastattelumuistiot (toivottavasti nämä on laadittu ja tallennettu vain rekryjärjestelmään, jos sellainen on käytössä), tulostetut työhakemukset (toivottavasti tuhotaan heti käytön jälkeen), erikseen laaditut ansiovertailut jne. Määritellään, mihin tarkoitukseen henkilötietoja kerätään ja miten niitä käsitellään Nyt tullaan sitten yhteen oleelliseen muutokseen verrattuna vanhaan lainsäädäntöön. Nykyinen henkilötietolaki vaatii (10 § Rekisteriseloste), että rekisteriselosteen on mm. sisällettävä "kuvaus rekisterin suojauksen periaatteista". Eli kuinka tiedot eri järjestelmissä tai muissa tallennusvälineissä on suojattu. Ja tämä rekisteriseloste on pidettävä jokaisen saatavilla. Tietosuoja-asetus sen sijaan ei enää puhu rekisteriselosteesta (sen enempää kuin tietosuojaselosteestakaan), vaan että käsittelyä koskevat tiedot on toimitettava rekisteröidyille "tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä". Toisekseen, tietosuoja-asetus ei enää vaadi, että edellä kuvattuun informaatioon olisi sisällytettävä tieto rekisterin suojaustoimenpiteistä. Artiklassa 30 taas määritellään "Seloste käsittelytoimista", joka on toimitettava tietyissä tilanteissa tietosuojaviranomaiselle. Tämän selosteen on sisällettävä myös mahdollisuuksien mukaan yleinen kuvaus artikla 32 ("Käsittelyn turvallisuus") kohdassa 1 tarkoitetuista teknisistä ja organisatorisista turvatoimista. Meidän ei tarvitse siis julkisesti kertoa, miten rekisteri on suojattu, mutta tietosuojaviranomaiselle tämä tieto on tarvittaessa annettava. Oletettavasti, jotta viranomainen voi arvioida, kuinka hyvin asetuksen vaatimuksia toteutetaan. Hyvä muutos! Tosin tullaan taas pieneen jippoon asetuksessa, eli asetuksen perusteissa, esim. kohdassa 39 mainitaan muun ohella "Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista...". Eli onko sitten kuitenkin kerrottava myös suojatoimista julkisesti? Toivottavasti tuleva tietosuojalaki tai vähintään tietosuojaviranomaisen ohjeistus antaa tälle selvyyden. Meidän ei tarvitse julkisesti kertoa, miten rekisteri on suojattu PS. Vielä loppuun on tuotava esille, kun jotkut ovat tarttuneet termeihin "rekisteriseloste" tai "henkilörekisteri", että eihän asetus näistä puhu, vaan siinä puhutaan vain henkilötiedoista ja rekisteröidyn informoinnista. No ei puhutakaan, mutta mielestäni voimme silti käyttää jo vakiintuneita termejä, joilla asiasta arkikielessä puhutaan. Väittipä joku kerran, että pitäisi tehdä vain yksi kuvaus henkilötietojen käsittelystä koko organisaatiossa. Fakta on kuitenkin se, että meillä on käytännössä erilaisia henkilörekistereitä ja niiden käyttötarkoitukset, tietosisällöt ym. vaihtelevat. On nimenomaan asetuksen mukaista selkeyttä tehdä näitä kuvauksia rekisterikohtaisesti. Eli puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta (tai vaihtoehtoisesti tietosuojaselosteesta). Ei kuitenkaan sekoiteta tätä artiklan 30 mukaiseen "Selosteeseen käsittelytoimista", joka on siis tietosuojaviranomaista varten tehtävä dokumentti. Puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta tai tietosuojaselosteesta Joko meni pää pyörälle? Toivottavasti ei!
Mikäli kaipaat selvyyttä asetuksen koukeroihin, osallistu tietosuojakoulutukseemme, niin pääset kärryille, mihin seikkoihin olisi syytä kiinnittää huomiota ja millä toimenpiteillä selätät asetuksen haasteet. Tietosuoja-asetus lähtee siitä, kuten jo vanha henkilötietolaki, että rekisterinpitäjä saa käsitellä vain tarpeellista henkilötietoa. Tietosuoja-asetuksessa asia on määritelty mm. artiklassa 5 seuraavasti: c) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”); Mitä "tietojen minimointi" sitten käytännössä tarkoittaa? Mikä on tarpeellista tietoa? Jotta rekisterinpitäjä voi toteuttaa tietosuoja-asetuksen vaatimuksia, täytyy käsiteltävän tiedon rajoittua vain niihin tietoihin, jotka ko. rekisterin käyttötarkoituksen kannalta ovat olennaisia. Jokaiselle henkilörekisterille on rekisterinpitäjän toimesta määriteltävä aivan ensiksi rekisterin käyttötarkoitus. Henkilötietojen käsittelijä, kuten vaikkapa rekrytointijärjestelmän toimittaja, ei määritä rekisterin käyttötarkoitusta, vaikka järjestelmätoimittaja onkin kehittänyt järjestelmän tiettyä käyttötarkoitusta varten. Rekisterinpitäjä määrittää siis aina rekisterin käyttötarkoituksen. Käyttötarkoitus voi olla vaikkapa asiakastietojen hallinta myynti-tilaus-toimitusprosessissa (asiakasrekisteri) tai työnhakijatietojen hallinta rekrytointiprosessissa (työnhakijarekisteri). Rekisterinpitäjä määrittää aina rekisterin käyttötarkoituksen Kun henkilörekisterille on löydetty lainmukainen käyttötarkoitus, voidaan tarkastella, mitä henkilötietoja rekisteriin voidaan tallentaa. Tämä on se kohta, jossa toteutetaan tietosuoja-asetuksen mukaista tietojen minimointia. Esimerkiksi kattoremontteja tekevän yrityksen on tuskin tarpeellista edes tietää, saati sitten tallentaa omiin järjestelmiinsä (asiakasrekisteriin) tietoa vaikkapa asiakasperheen lasten lukumäärästä, lasten nimistä puhumattakaan. Myyjä voi toki näistä asioista jutustella asiakkaan luona ja usein jutteleekin, synnyttääkseen luottamuksen ja helpottaakseen kaupan tekoa, mutta mihinkään muistiinpanoihin tai järjestelmiin tietoa ei ole syytä kirjata. Sen sijaan toimituksen ja laskutuksen kannalta on olennaista tietää, missä osoitteessa remonttikohde sijaitsee tai kenelle tarjous tehdään ja lasku lähetetään (henkilön nimi). Jopa henkilötunnus voidaan pyytää rahoitushakemusta varten (ja tämä tieto pitää suojata erityisen huolellisesti, mutta se on jo toisen artikkelin aihe). Kattoremontteihin liittyen vielä yksi näkökulma: Moni perustelee asiakastietojen pitkäaikaisella säilytyksellä sitä, että uudella katolla voi olla jopa 25 vuoden takuu ja tietoja joudutaan säilyttämään takuukäsittelyä varten. Nytpä kysynkin, mitä jos ko. talo vaihtaakin omistajaa vuoden päästä? Haetko siihen uuden omistajan tiedot? Niinpä. Takuukäsittelyä varten riittänee, kun järjestelmissänne on tieto, mihin kohteeseen (osoitteeseen) ko. remontti on tehty. Kattoremontteja tarjoavan yrityksen on tuskin tarpeellista tallentaa asiakasrekisteriin tietoa asiakasperheen lasten lukumäärästä Totesimme siis edellä, että osoite on tarpeellinen tieto asiakasrekisterin käyttötarkoituksen toteuttamisessa, joten saamme sen kysyä tässä tapauksessa (ja tällä rekisterinpitäjällä). Mutta tarkoittaako tämä sitä, että osoitetiedon kysyminen on aina muissakin henkilörekistereissä OK? Ei ole, vaan asia pitää ratkaista tapauskohtaisesti. Tarkastellaanpa seuraavaksi rekrytointiprosessia. Työnhaku ja työntekijän valintaprosessi on siirtynyt jo lähes täysin sähköiseen muotoon, myös julkisella sektorilla (vaikka siellä lähetellään myös paljon paperihakemuksia ja päätöksiä kirjepostilla). Olen itse ollut aikoinaan "sähköistämässä" rekrytointiprosesseja ja vuosien varrella olen saanut tehdä rekrytointijärjestelmän toimituksen yli sataan organisaatioon. Aikoinaan läheteltiin vielä jonkin verran perinteisellä kirjepostilla hakijoille tietoa, mm. valintapäätöksestä. Työnantajat eivät juurikaan enää lähetä kirjeitä työntekijöille missään vaiheessa prosessia. Siitä huolimatta minäkin määrittelin lähes aina työhakemuslomakkeeseen hakijan kotiosoitteen. En ole haastanut aiemmin kotiosoitteen kysymisen tarpeellisuutta. Montaa muuta kysymystä kyllä olen saanut haastaa, kuten kysymystä henkilön asevelvollisuuden suorittamisesta tai jopa kysymystä hakijan syntymäpaikkakunnasta (ja kieltäydyin näitä kysymyksiä lisäämästä lomakkeelle). Nyt haastan myös kotiosoitteen tarpeellisuutta! Käytännössä edes työntekijän esimiehen ei ole tarve tietää, missä osoitteessa työntekijä pistää päänsä tyynyyn. Tänä päivänä lähes kaikki viestintä rekrytointiin liittyen tehdään sähköpostitse tai puhelimella. Silti lähes kaikissa työhakemuslomakkeissa kysytään yhä hakijan kotiosoitetta. Eli kotiosoite kysytään tuhansilta tai jopa kymmeniltä tuhansilta työnhakijoilta, vaikka esimies ei tiedä edes lähimmän alaisensa osoitetta. Miksi näin? Jos keksit asiallisen perustelun, mihin tarkoitukseen tarvitsette työnhakijan kotiosoitetta hakuvaiheessa, pitäkää kysymys työhakemuslomakkeella. Ja muistakaa perustella tämä tietosuojaselosteessa. Jos et keksi mitään järkevää perustetta, poistakaa kysymys lomakkeelta (ja huolehtikaa, että myös vanhoista hakemuksista ko. tieto poistetaan). Näin toteutatte asetuksen mukaista tietojen minimointia työnhakijarekisterin kohdalla. Samaa harjoitusta voi sitten jatkaa muiden tietojen kanssa. Jos et keksi mitään järkevää perustetta kotiosoitteen kysymiselle, poistakaa se työhakemuslomakkeelta! Kuten huomaamme, käsittelemme tiedon tarpeellisuutta nimenomaan rekisterikohtaisesti. Henkilön kotiosoite on asiakasrekisterissä OK, mutta työnhakijarekisterissä sitä ei nykypäivänä enää käytännössä tarvita. Näin toteutamme tietosuoja-asetuksen vaatimusta "mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään". Emme siis voi tehdä yleisiä johtopäätöksiä minkään henkilötiedon osalta, vaan asia täytyy aina ratkaista rekisterikohtaisesti tarpeen mukaan. Edetään siis seuraavia portaita pitkin:
Käytyäsi kaikki portaat läpi, pystyt tarkastelemaan kuinka esim. nykyinen järjestelmänne pystyy vastaamaan tietosuoja-asetuksen vaatimuksiin tältä osin. Tai kuinka voitte huolehtia tietojen ja käsittelyn minimoinnista, kun henkilötietoja on tallennettu manuaalisiin rekistereihin (esim. mappiarkistot). Lopuksi on vielä hyvä erottaa kaksi samankaltaista termiä, eli käsiteltävien henkilötietojen minimointi ja henkilötietojen käsittelyn minimointi. Tietojen minimoinnista puhutaan, kun mietitään, mitä tietoja käsitellään ja käsittelyn minimointi taas on sitä, kun rajataan tieto vain tarpeen mukaisen joukon saataville (mm. organisaation sisäiset henkilötietojen käsittelijät eli vaikkapa esimiehet) sekä poistetaan tieto, kun sitä ei enää tarvita. Minkään henkilötiedon osalta ei voida tehdä yleisiä johtopäätöksiä liittyen käsittelytarpeeseen Mikäli sinulla on tarvetta kasvattaa tietosuojaosaamista, osallistu koulutuksiimme. Erittäin hyvää palautetta saaneet, käytännönläheiset tietosuojakoulutuksemme ovat auttaneet jo lukuisia organisaatioita tietosuoja-asetuksen haltuunotossa ja paremman tietosuojan toteutuksessa.
Katso yleinen koulutustarjontamme täältä tai ota yhteyttä, niin järjestetään teille asiakaskohtainen tietosuojakoulutus! |
Arkisto
February 2021
Kategoria
All
|