Tietosuojavaltuutetun uutiset ja tiedotteet 3/2022
Sote-sektorilla tapahtuvien tietoturvaloukkausten esimerkkitilanteita täydennetty (1.3.2022)
Tietosuojavaltuutettu on päivittänyt nettisivuilleen koottuja esimerkkejä sosiaali- ja terveydenhuollon henkilötietojen tietoturvaloukkaustilanteista ja niihin liittyvistä ilmoittamiskäytännöistä. Päivitys vastaa Euroopan tietosuojaneuvoston ohjetta.
Päivitetyt tiedot löytyvät tästä ja tästä.
Alkuperäisen tiedotteen pääset lukemaan tästä.
Koronarokotuksiin ja koronapassiin liittyviä usein kysyttyjä kysymyksiä täydennetty (17.3.2022)
Tietosuojavaltuutettu on täydentänyt koronarokotuksiin ja koronapassiin liittyviä usein kysyttyjä kysymyksiä. Täydennykset koskevat etenkin koronapassia ja koronarokotetta. Tietosuojavaltuutettu myös tarkensi, että koronapassin näyttämistä voidaan vaatia vain vaihtoehtona voimassa oleville rajoituksille.
Verkkosivuille on myös lisätty tietoa sote-työntekijöiden rokotustietojen käsittelystä.
Alkuperäisen tiedotteen pääset lukemaan tästä.
Henkilötieto.fi -palvelulle huomautus useista tietosuojarikkomuksista (22.3.2022)
Tietosuojavaltuutettu on todennut, että Henkilötieto.fi-palvelussa henkilötietoja käsiteltiin ilman laillista perustetta. Tietosuojavaltuutettu antoi Oy Suomen Henkilötieto Ab:lle maaliskuussa huomautuksen yleisen tietosuoja-asetuksen vastaisesta toiminnasta ja määräsi yhtiön muuttamaan käytäntönsä lainmukaiseksi, jos se aikoo jatkaa vastaavaa toimintaa.
Henkilö on voinut Henkilötieto.fi-sivuston kautta tehdä tietosuojaoikeuksiaan koskevan pyynnön eri rekisterinpitäjille. Useat palveluun liittyvät kantelut olivat tulleet yrityksiltä, jotka olivat saaneet ilmoituksen tietojen tarkastuspyynnöstä. Yritysten olisi pitänyt rekisteröityä palvelun asiakkaiksi 300 euron vuosimaksua vastaan, jotta ne olisivat saaneet pyynnöt nähtäväkseen. Sivustolla annettiin virheellisesti ymmärtää, että lähes 300 000 yritystä on sen käyttäjiä, vaikka suurin osa yrityksistä ei ollut tehnyt sopimusta rekisteröidyn pyyntöjen välittämisestä palvelun kautta.
Pääset lukemaan koko tiedotteen tästä.
Euroopan tietosuojaneuvostolta ohjeistusta valvontaviranomaisten yhteistyöstä ja sosiaalisen median käyttöliittymistä sekä tietosuojatakeita koskeva välineistö (23.3.2022)
Euroopan tietosuojaneuvosto on maaliskuun täysistunnossaan hyväksynyt valvontaviranomaisten välistä rajatylittävää yhteistyötä kuvaavan ohjeen. Ohjeet auttavat valvontaviranomaisia tulkitsemaan ja soveltamaan kansallisia menettelyjään, jotta ne täyttävät tehtävän yhteistyön vaatimukset yhden luukun mekanismin puitteissa. Yleisen tietosuoja-asetuksen artiklaa 60 koskevat ohjeet löytyvät tietosuojaneuvoston verkkosivuilta.
Euroopan tietosuojaneuvosto on hyväksynyt myös sosiaalisen median käyttöliittymiä koskevan ohjeen, joka kuvaa harhaanjohtavia ”dark pattern”-tekniikoita. Ohjeessa annetaan alustojen suunnittelijoille ja käyttäjille käytännön suosituksia turvaamaan henkilötietojen suojaa sekä konkreettisia esimerkkejä harhaanjohtavien ”dark pattern”-tekniikoiden tyypeistä.
Lisäksi Euroopan tietosuojaneuvosto on hyväksynyt välineistön keskeisille tietosuojatakeille, jotka helpottavat ETA-alueen ja kolmansien maiden valvontaviranomaisten yhteistyötä lainvalvonnassa. Välineistöä voidaan käyttää valvontaviranomaisten omissa hallinnollisissa järjestelyissä ja Euroopan komission neuvottelemissa kansainvälisissä sopimuksissa.
Pääset lukemaan koko tiedotteen tästä.
Lausunto Euroopan tietosuojaneuvostolta ja Euroopan tietosuojavaltuutetulta EU:n digitaalista koronatodistusta koskevan asetuksen voimassaolon jatkamisesta (23.3.2022)
Euroopan komissio on ehdottanut, että EU:n digitaalista koronatodistusta koskevan asetuksen voimassaoloa jatkettaisiin vuodella. Ehdotuksessaan komissio on myös esittänyt erinäisten säännösten muuttamista, kuten laajempien koronatestityyppien hyväksymistä matkustuksessa. Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu pitävät kyseisen asetuksen voimassaolon jatkamista tarpeellisena samalla korostaen tarvetta arvioida toimenpiteitä tietosuojan näkökulmasta.
Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu ovat todenneet, ettei komission ehdotus muuta asetuksen nykyisiä säännöksiä henkilötietojen käsittelystä olennaisella tavalla. Lausunnossaan ne totesivat ymmärtävänsä tarpeen pidentää koronatodistusta koskevan asetuksen voimassaoloa, koska koronapandemian mahdollista jatkumista on vaikea ennakoida. Jotta tehokkuuden, tarpeellisuuden ja oikeasuhteisuuden periaatteiden noudattaminen voitaisiin varmistaa, tulisi tieteellistä näyttöä ja käytössä olevia toimenpiteitä kuitenkin säännöllisesti arvioida.
Pääset lukemaan koko tiedotteen tästä.
Kuva: Unspalsh, Dan Nelson
Kirjoittajat
