Tietosuojavaltuutetun uutiset ja tiedotteet 11/2022

Henkilötietoja LinkedIn-palvelusta on julkaistu hakkerifoorumilla – tutustu neuvoihin, jos tietojasi on julkaistu (1.11.2022)

Marraskuun alussa uutistietojen mukaan 200 000 suomalaisen LinkedIn-käyttäjän profiilitietoja julkaistiin hakkerifoorumilla verkossa. Kyseessä olevat tiedot sisälsivät muun muassa puhelinnumeroita, nimiä sekä sähköpostiosoitteita. F-Securen ilmoittamien tietojen mukaan kyseiset henkilötiedot ovat todennäköisesti kerätty laittomalla kaavinnalla (engl. scraping). Tiedot voivat myös olla tietoja, jotka on jo aikaisemmin vuodatettu palvelusta.

Julkisasiamies esitti tiedotteessaan neuvoja tietovuodon kohteeksi joutuneille.

Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan tästä.

Maksuhäiriömerkintöjen säilytysaika lyhenee joulukuussa – muista huolehtia maksamistietojen ajantasaisuudesta (11.11.2022)

Joulukuun alusta lähtien maksuhäiriömerkintöjen säilytysaika lyhenee kuukauteen. Maksuhäiriömerkintä poistuu kuukauden kuluttua siitä, kun maksun suorittamisesta on tullut tieto luottotietoyritykselle. Muutos koskee yleisempiä luottorekisteriin henkilötietoina ja yritysluottotietoina merkittyjä maksuhäiriötietoja. Tämän lisäksi säilytysaika on jatkossa jokaisen merkinnän kohdalla itsenäinen, eikä näin ollen uusi merkintä pidennä maksuhäiriömerkinnän säilytysaikaa.

Koska käytössä on useampi menettely liittyen maksamistiedon merkitsemisestä luottorekisteriin, tulee yritysten ja yksityishenkilöiden huolehtia, että tiedot ovat ajantasaiset. Joissakin tilanteissa ilmoittajalla on velvollisuus ilmoittaa maksusuorituksesta, kun taas tietyissä tilanteissa velallinen voi tai on velvollinen pyytäämään maksutiedon merkitsemistä luottorekisteriin

Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan tästä. 

Tietosuojavaltuutettu antoi Verohallinnolle huomautuksen liian laajoista tietopyynnöistä (15.11.2022)

Tietosuojavaltuutetun toimiston suorittamassa tutkinnassa kävi ilmi, että Verohallinto oli pyytänyt Suomessa toimivilta pankeilta selvitystä Suomen rajat ylittävistä siirroista vuosina 2015-2021. Tietopyynnöt kattoivat lähteviä sekä saapuvia maksuja, jossa saajan tai maksajan pankki sijaitsi muualla kuin Suomessa. Toimitettavissa tiedoissa Verohallinto pyysi verovalvonnan tekemisen takia pankkeja toimittamaan muun muassa asiakkaiden yhteistietoja, maksujen määriä sekä päivämääriä. Tietopyynnön suhteen Verohallinto ei ollut asettanut rajoitteita, kuten esimerkiksi tilitapahtumien suuruus, jonka perusteella tietosuojavaltuutettu katsoi, että pyyntö koski merkittäviä osia pankkien asiakasrekisteristä.

Tietosuojavaltuutettu huomautti, että Verohallinto ei ollut riittävissä määrin huomioinut käsittelyn riskejä. Verohallinnon olisi tapauksessa etukäteen pitänyt rajata pyytämiään tietoja siten, että henkilötietoja ei kerättäisi tai käsiteltäisiin laajemmin, kun on välttämätöntä suhteessa käyttötarkoitukseen. Menettelyyn liittyen on huomioitava, että viranomaisen rajattu toimivalta on yksi oikeusvaltion tukipilareista.

Verohallinto perusteli menettelyään muun muassa verotustietojen julkisuudesta ja salassapidosta annetun lain 10 §:llä. Lainsäädännön nojalla on mahdollista rajata tiettyjä tietosuoja-asetuksen velvoitteita perusteilla, jotka ovat liitännässä verotukseen.  Tietosuojavaltuutettu totesi kuitenkin tapauksessa, että Verohallinto ei voi poiketa minimointiperiaatteesta tai yleisen tietosuoja-asetuksen periaatteista säännöksen nojalla, sillä poikkeuksessa ei mainita rajoitusten laajuudesta tai yksilöidyistä olosuhteissa, jolloin rajoitus tulisi sovellettavaksi.

Tapauksessa tietosuojavaltuutettu antoi yleisen tietosuoja-asetuksen nojalla huomautuksen Verohallinnolle. Tämän lisäksi Verohallinto velvoitettiin poistamaan henkilötiedot, joita oli käsitelty asetuksen vastaisesti sekä lopettamaan näin laajojen tietopyyntöjen esittämisen pankeille. Päätös ei ole lainvoimainen ja muutosta voi hakea valittamalla hallinto-oikeuteen.

Alkuperäisen pääset lukemaan tästä sekä päätöksen tästä.

Tietosuojaviranomaiset kehottavat varovaisuuteen qatarilaisten sovellusten lataamisessa ja käytössä MM-kisojen aikana (22.11.2023)

Qatariin jalkapallon MM-kisoihin matkustavia kehotetaan varoivaisuuteen qatarilaisten Hayya – ja Ehtreraz- mobiilisovellusten käytössä. Eurooppalaiset tietosuojaviranomaisten toteamuksen mukaan sovellukset voivat todennäköisesti aiheuttaa vakavia turvallisuus- sekä tietosuojariskejä.

Hayya-järjestelmä on otettu käyttöön ajalla 1.11.- 23.12.2022 korvaamaan viisumin. Tämän lisäksi matkustajien pyydetään lataamaan Ehteraz-koronasovellus, mitä mahdollisesti voidaan käyttää käyttäjien seurantaan. Viranomaiset suosittelevat sovellusten käyttöä vain, jos se on välttämätöntä kisoihin matkustamisen tai muun syyn vuoksi ja näissä tapauksissa tulee noudattaa erilaisia varotoimia.

Julkisasiamies esitti tiedotteessaan neuvoja liittyen sovellusten lataamiseen sekä käyttöön.

Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan tästä.

Uusi hanke edistää lasten ja nuorten tietosuojaa harrastustoiminnassa (28.11.2022)

Tietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n uudessa kaksivuotisessa GDPR4CHLDRN-hankkeessa pyritään tarjoamaan tietoa henkilötietojen käsittelystä lasten harrastetoimintaa järjestäville tahoille ja yksityishenkilöille. Hankkeen tarkoituksena on kehittää tietosuojalainsäädännöstä soveltamista helpottava työpakki, luomaan selkeitä käytännön ohjeita sekä lisäämään nuorten ja lasten tietämystä tietosuojasta. Työkalupakki tullaan hankkeen lopuksi julkaisemaan suomeksi, ruotsiksi ja englanniksi sekä keskeisimmät materiaalit myös venäjäksi, viroksi, somaliksi ja arabiaksi.

Keskeisimmät sidosryhmät hankkeessa ovat Suomen Palloliitto, Suomen Olympiakomitea ja Suomen Partiolaiset. Projektin alussa tullaan kartoittamaan tahojen ja yksityishenkilöiden tietosuojaosaamista ja tarpeita alkukyselyn avulla, joka on auki 5. joulukuuta asti.

Alkuperäisen tiedotteen ja lisätietoja hankkeesta pääset lukemaan tästä.

Kuva: Unsplash, Paulius Dragunas