Tietosuojavaltuutetun uutiset ja tiedotteet 4/2022
Suositus julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri) lausuntokierroksella – mukana myös tietosuojakriteerit (8.4.2022)
Tietosuojavaltuutettu tiedotti, että tiedonhallintalautakunnan suositus julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri) on lausunnoilla 19. huhtikuuta asti. Tähän on laadittu ensimmäistä kertaa erillinen tietosuojavaltuutetun toimiston laatima tietosuojaosio. Osioon on koottu henkilötietojen käsittelyä koskevia kriteerejä.
Tietosuojavaltuutetun mukaan kriteeristön käyttö tukee organisaatioita tietoturvallisuuden ja henkilötietojen suojaamisen suunnittelussa, toteuttamisessa ja arvioinnissa ja se voi olla hyvä apuväline esimerkiksi tietosuoja-asetuksen tietoturvavaatimusten täyttymisen arvioinnissa.
Alkuperäisen tiedotteen pääset lukemaan tästä.
Tietosuojavaltuutettu tiedotti Euroopan tietosuojaneuvoston lausunnosta koskien EU:n ja Yhdysvaltojen välistä tietosuojakehystä ja kirjeestä Belgian valvontaviranomaisen riippumattomuudesta. (14.4.2022)
Tietosuojaneuvosto totesi, että ilmoitus uudesta tietosuojakehyksestä ei vielä muodosta siirtoperustetta tai oikeudellisia puitteita, joiden perusteella ETA-alueen tietojen viejät voisivat siirtää tietoja Yhdysvaltoihin. Tietojen viejien on jatkettava tarvittavia toimia EU-tuomioistuimen oikeuskäytännön ja heinäkuussa 2020 annetun Schrems II -päätöksen noudattamiseksi.
Tietosuojaneuvosto ilmoitti aikovansa kiinnittää erityistä huomiota siihen, miten poliittinen sopimus muunnetaan konkreettisiksi lainsäädäntöehdotuksiksi. Tietosuojaneuvosto tulee analysoimaan etenkin sitä, rajoittuuko henkilötietojen kerääminen kansallista turvallisuutta varten välttämättömiin ja oikeasuhtaisiin tarkoituksiin ja miten muutoksenhakumekanismissa kunnioitetaan ETA-alueen kansalaisten oikeutta suhteessa tehokkaisiin oikeussuojakeinoihin.
Tietosuojaneuvosto on myös hyväksynyt kirjeen, jossa se ilmaisee huolensa Belgian viimeaikaisesta lainsäädännön kehityksestä. Kehitys koskee Belgian valvontaviranomaisen perustamisesta annetun lain uudistamista, muutoksia on ehdotettu valvontaviranomaisen rakenteeseen, hallintoon ja henkilöstöön. Huolta herätti myös se, ovatko ehdotukset yhdenmukaisia yleisen tietosuoja-asetuksen ja EU-tuomioistuimen oikeuskäytännön kanssa. Tietosuojaneuvoston mukaan suunnitellut muutokset voivat vaikuttaa kielteisesti Belgian viranomaisen riippumattomuuteen, joka on tietosuojaa koskevan perusoikeuden kulmakivi.
Alkuperäisen tiedotteen pääset lukemaan tästä.
Ulkoministeriölle huomautus tietoturvaloukkausilmoitusten määräaikojen noudattamatta jättämisestä (12.4.2022)
Tammikuussa 2022 ulkoministeriö ilmoitti joutuneensa NSO Groupin Pegasus-vakoiluhaittaohjelmasta johtuneen tietoturvaloukkauksen kohteeksi. Tietoturvaloukkaus kohdistui henkilöstöön, joka oli lähetetty ulkomaille työskentelemään. Ministeriö oli antamansa selvityksen mukaan saanut kohtuullisen varmuuden tietoturvaloukkauksesta jo huomattavasti ennen ilmoituksen tekemistä valvontaviranomaiselle. Ilmoituksen myöhästymistä perusteltiin pääasiassa tietoturvaloukkauksen selvittämisellä ja selvitykseen liittyvillä kansallisen turvallisuuden näkökohdilla.
Apulaistietosuojavaltuutetun mukaan ministeriön olisi pitänyt noudattaa yleisessä tietosuoja-asetuksessa säädettyjä määräaikoja ilmoittaessaan tietoturvaloukkauksesta valvontaviranomaiselle sekä loukkauksen kohteena olleille henkilöille. Jotta tietoturvaloukkauksesta ilmoittamista voidaan lykätä kansalliseen turvallisuuteen vedoten, on rajoitusmahdollisuudesta oltava säädetty erikseen laissa. Apulaistietosuojavaltuutettu totesi, että ulkoministeriötä koskevassa erityislainsäädännössä ei ole säädetty rajoituksia ilmoitusvelvollisuuteen rekisteröidylle kansallisen turvallisuuden takaamiseksi.
Pääset lukemaan koko tiedotteen tästä.
Tietosuojavaltuutetun toimistolle kaksi ilmoitusta helsinkiläishotelleihin kohdistuneista tietoturvaloukkauksista (26.4.2022)
Henkilötietoja on vuotanut kahdesta helsinkiläisestä Nordic Choice Hotels -ketjun hotellista. Tietoturvaloukkaukset ovat kohdistuneet tuhansiin hotelliasiakkaisiin, joiden nimet, syntymäajat, yhteystiedot sekä virallisten asiakirjojen tiedot ovat vuotaneet julki. Tietosuojavaltuutetun toimisto on vastaanottanut alustavat ilmoitukset tietoturvaloukkauksista kahdelta ketjun hotellilta.
Henkilötietojen vuotamisessa on riski niiden hyväksikäytölle. Tietosuojavaltuutetun sivuille on koottu ohjeita tietoturvaloukkauksen kohteeksi joutuneille.
Pääset lukemaan koko tiedotteen tästä.
Kuva: Unsplash, Dan Nelson
Kirjoittajat
