Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Tietosuoja - 04022014

Ville Oksanen
Ville Oksanen
1 of 54
Henkilötietolaki ym. 6. helmikuuta 14
Henkilötiedot ja tietosuoja 6. helmikuuta 14
Herkkä aihe 6. helmikuuta 14
Herkkä aihe 6. helmikuuta 14
Lainsäädäntö - EU Perustana EU-tason sääntely Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Positiivinen puoli - alue hyvin harmonisoitu Unionissa 6. helmikuuta 14
Perusidea Henkilötietoja voidaan kerätä ja tallettaa: “kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa” kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde Säädetty muussa laissa 6. helmikuuta 14
Rekisteriseloste Kertoo tallennuksen kohteelle Miksi kerätään Mitä kerätään Miten käytetään Miten korjata virheelliset tiedot Työkalu tietoisuus-kriteerin täyttämiseen 6. helmikuuta 14
Rekisteröidyn oikeuksia Oikeus tarkastaa itseään koskevat tiedot Oikeus vaatia virheellisen tiedon oikaisua Oikeus kieltää henkilötietojen käsittely: suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa) markkina- ja mielipidetutkimukseen henkilömatrikkeliin Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä. 6. helmikuuta 14
Arkaluonteisten tietojen kerääminen Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat: rotua tai etnistä alkuperää henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. 6. helmikuuta 14
Onko kategoriat ajan tasalla? 6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
6. helmikuuta 14
Sallittua jos Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; Esimerkiksi ehdokkuudet julkisia -> vaalikoneet 6. helmikuuta 14
Ilmoitusvelvollisuus (36§) Tietosuojavaltuutetulle tulee tehdä ilmoitus (ts. lähettää rekisteriseloste), jos käsitellään henkilötietoja toimeksiannosta toisen lukuun kyse elinkeinotoiminnasta http://www.tietosuoja.fi/uploads/dbg4s32ces.pdf 6. helmikuuta 14
Tietojen luovutus EU:n ulkopuolelle Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso Tapauskohtainen harkinta Tietojen luonne Suunnitellun käsittelyn tarkoitus ja kestoaika Alkuperämaa ja lopullinen kohde Asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt 6. helmikuuta 14
Safe Harbor –järjestely Komissio todennut tietyt maat valmiiksi turvallisiksi Mm. Sveitsi, Kanada, Argenttiina USA:n kanssa erikoisjärjestely Organisaatiokohtainen oikeutus Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita 6. helmikuuta 14
USA:sta Safe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja sitoutuminen järjestelmään on tehtävä julkisesti. Jos järjestelmässä mukana oleva organisaatio ei noudata tietosuojaperiaatteita, voidaan sitä vastaan nostaa kanne. 6. helmikuuta 14
NSA-valvonta? 6. helmikuuta 14
Mitä jos ei turvallinen? Nimenomainen suostumus Mitä tietoja Mitä tarkoitusta varten Kenelle ja mihin maahan tietoja siirretään Tilanne, jossa rekisteröidylle on ilmoitettu siirrosta, eikä tämä ole vastustanut sitä, ei täytä poikkeuksen ehtoja. Jos suostumus on ilmaistu epäsuorasti, se ei riitä täyttämään poikkeuksen ehtoja. 6. helmikuuta 14
Myös jos... “...Siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä” Tietosuojavaltuutettu: Monikansallisen yrityksen intranet on OK. 6. helmikuuta 14
Kysymyksiä pilviratkaisuille Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen? Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan? Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat? 6. helmikuuta 14
Hyvä rekisteritapa? Laki edellyttää ns. hyvän rekisteritavan noudattamista Sisältö oikeuskäytännön kautta Tietosuojavaltuutettu, tietosuojalautakunta Hallinto-oikeudet 6. helmikuuta 14
Mitä jos rikotaan? Yleensä - ei mitään Henkilötietolaki: Sakko Oikeudenkäymiskulut 6. helmikuuta 14
Tietosuojauudistus 6. helmikuuta 14
6. helmikuuta 14
Oikeus unohtamiseen Article 16 Right to erasure 1. Member States shall provide for the right of the data subject to obtain from the controller the erasure of personal data relating to them where the processing does not comply with the provisions adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive. 2. The controller shall carry out the erasure without delay. 6. helmikuuta 14
Tieto tietovuodoista Article 28 Notification of a personal data breach to the supervisory authority 1. Member States shall provide that in the case of a personal data breach, the controller notifies, without undue delay and, where feasible, not later than 24 hours after having become aware of it, the personal data breach to the supervisory authority. The controller shall provide, on request, to the supervisory authority a reasoned justification in cases where the notification is not made within 24 hours. 2. The processor shall alert and inform the controller immediately after having become aware of a personal data breach. 6. helmikuuta 14
3. The notification referred to in paragraph 1 shall at least: (a) describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned; (b) communicate the identity and contact details of the data protection officer referred to in Article 30 or other contact point where more information can be obtained; (c) recommend measures to mitigate the possible adverse effects of the personal data breach; (d) describe the possible consequences of the personal data breach; (e) describe the measures proposed or taken by the controller to address the personal data breach. 6. helmikuuta 14
Todellinen suostumus tiedonkäsittelyyn, ei oletettu Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data. 6. helmikuuta 14
Henkilötietojen siirron vapaus “...Member States shall provide for the right of the data subject to obtain from the controller a copy of the personal data undergoing processing.” 6. helmikuuta 14
Yhden luukun periaate? 3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board. - Saksa vastustaa. 6. helmikuuta 14
TSV voisi aina käsitellä yksilöiden pyynnöt... ...vaikka tiedot olisivatkin ulkomailla Article 50 Right to lodge a complaint with a supervisory authority 1. Without prejudice to any other administrative or judicial remedy, Member States shall provide for the right of every data subject to lodge a complaint with a supervisory authority in any Member State, if they consider that the processing of personal data relating to them does not comply with provisions adopted pursuant to this Directive. Saksa vastustaa. 6. helmikuuta 14
Privacy by design Article 19 Data protection by design and by default 1. Member States shall provide that, having regard to the state of the art and the cost of implementation, the controller shall implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of provisions adopted pursuant to this Directive and ensure the protection of the rights of the data subject. 2. The controller shall implement mechanisms for ensuring that, by default, only those personal data which are necessary for the purposes of the processing are processed. 6. helmikuuta 14
Avoin data? Regulaatiosa ei erityisoikeuksia Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä Esimerkki: Pöytäkirjat voivat muodostaa edelleen henkilörekisterin Tietojen anonymisointi Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus 6. helmikuuta 14
Prosessi tästä eteenpäin? 6. helmikuuta 14
Tallennusvelvollisuus 6. helmikuuta 14
Lyhyt historia • Sähköisen viestinnän tietosuojadirektiivi 2002: ei tallennusvelvollisuutta • 6. helmikuuta 14 “The Civil Liberties Committee expressed itself in favour of a strict regulation of law enforcement authorities' access to personal data of citizens, such as communication traffic and location data. This decision is fundamental because in this way the EP blocks European Union States' efforts underway in the Council to put their citizens under generalised and pervasive surveillance, following the Echelon model.”
“Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication... data necessary for the purposes of subscriber billing and interconnection payments may be processed...” Tilanne uuden direktiivin mukaan 2002... 6. helmikuuta 14
Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
Direktiivi • Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services • Säädettiin pikavauhtia terroristi-iskujen jälkeen ilman sen suurempaa julkista keskustelua 6. helmikuuta 14
“Declaration on Combating Terrorism adopted by the European Council on 25 March 2004 ja On 13 July 2005, the Council reaffirmed in its declaration condemning the terrorist attacks on London the need to adopt common measures on the retention of telecommunications data as soon as possible” Uuden 2006 säädetyn direktiivin johdanto-osa 6. helmikuuta 14
Sisältö • Yllättävä lakitekninen lähtökohta: “This Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data.” • Vain “vakavien” rikosten tutkinta: “for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law” - määritelmä varsin väljä 6. helmikuuta 14
Suomen laki • 1 vuosi • Vain tiedot, jotka operaattorit muutenkin tallentaisivat liiketoimintaansa varten • Vain viranomaiskäyttöön • Kovin lobbaustaisto • Tekee TekL 60b:n käytön hankalaksi? • Pakkokeinolain 5 a luvun 3 §:n 1 momentissa mainittujen rikosten tutkimiseen • Poliisi maksaa kustannukset 6. helmikuuta 14
Tietolajit 1) palveluyrityksen tarjoamaan kiinteän verkon puhelinpalveluun tai lisäpalveluun taikka matkaviestinverkon puhelinpalveluun, lisäpalveluun, tekstiviestipalveluun, EMS-palveluun tai multimediapalveluun; 2) palveluyrityksen tarjoamaan internet-yhteyspalveluun; 3) palveluyrityksen tarjoamaan sähköpostipalveluun; 4) palveluyrityksen tarjoamaan internet-puhelinpalveluun; 5) puheluun, jossa yhteys on saatu muodostettua, mutta puheluun ei vastattu tai puhelu on estynyt verkonhallintatoimenpiteestä johtuen. ( ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.) 6. helmikuuta 14
Tietoyhteiskuntakaari? 6. helmikuuta 14
Kuka maksaa verkkovalvonnan? 6. helmikuuta 14
Suomi, tietosuojan Sveitsi? 6. helmikuuta 14
Peruskonsepti Suomesta “turvasatama” tiedoille ja pilvipalvelujille Ei vakoilua. Piste. Viranomaisilla pääsy tietoihin vakavien rikosten selvittämiseksi Täysi kaksipuolinen läpinäkyvyys Tietopyynnöt aina oikeuteen Aggressiivinen tietosuojan valvonta 6. helmikuuta 14
Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14

More Related Content

Tietosuoja - 04022014

  • 5. Lainsäädäntö - EU Perustana EU-tason sääntely Henkilötietodirektiivi (95/46 EY) yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Sähköisen viestinnän tietosuojadirektiivi (2002/58 EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla. Positiivinen puoli - alue hyvin harmonisoitu Unionissa 6. helmikuuta 14
  • 6. Perusidea Henkilötietoja voidaan kerätä ja tallettaa: “kun henkilö antaa siihen yksilöidyn, vapaaehtoisen ja tietoisen suostumuksensa” kun rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys kuten asiakassuhde tai palvelussuhde Säädetty muussa laissa 6. helmikuuta 14
  • 7. Rekisteriseloste Kertoo tallennuksen kohteelle Miksi kerätään Mitä kerätään Miten käytetään Miten korjata virheelliset tiedot Työkalu tietoisuus-kriteerin täyttämiseen 6. helmikuuta 14
  • 8. Rekisteröidyn oikeuksia Oikeus tarkastaa itseään koskevat tiedot Oikeus vaatia virheellisen tiedon oikaisua Oikeus kieltää henkilötietojen käsittely: suoramarkkinointiin (sekä myynnissä että muussa suoramarkkinoinnissa) markkina- ja mielipidetutkimukseen henkilömatrikkeliin Rekisteröijän tulee informoida kielto-oikeudesta henkilötietojen keräämisen yhteydessä. 6. helmikuuta 14
  • 9. Arkaluonteisten tietojen kerääminen Arkaluonteisten henkilötietojen käsittely on pääsääntöisesti kiellettyä. Arkaluonteisia tietoja ovat henkilötiedot, jotka kuvaavat: rotua tai etnistä alkuperää henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta ammattiliittoon kuulumista rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta henkilön terveydentilaa, sairautta, vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä henkilön seksuaalista suuntautumista tai käyttäytymistä henkilön sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. 6. helmikuuta 14
  • 10. Onko kategoriat ajan tasalla? 6. helmikuuta 14
  • 14. Sallittua jos Tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa; sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi; Esimerkiksi ehdokkuudet julkisia -> vaalikoneet 6. helmikuuta 14
  • 15. Ilmoitusvelvollisuus (36§) Tietosuojavaltuutetulle tulee tehdä ilmoitus (ts. lähettää rekisteriseloste), jos käsitellään henkilötietoja toimeksiannosta toisen lukuun kyse elinkeinotoiminnasta http://www.tietosuoja.fi/uploads/dbg4s32ces.pdf 6. helmikuuta 14
  • 16. Tietojen luovutus EU:n ulkopuolelle Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen ulkopuolelle ainoastaan, jos kyseissä maassa taataan riittävä tietosuojan taso Tapauskohtainen harkinta Tietojen luonne Suunnitellun käsittelyn tarkoitus ja kestoaika Alkuperämaa ja lopullinen kohde Asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt 6. helmikuuta 14
  • 17. Safe Harbor –järjestely Komissio todennut tietyt maat valmiiksi turvallisiksi Mm. Sveitsi, Kanada, Argenttiina USA:n kanssa erikoisjärjestely Organisaatiokohtainen oikeutus Tietosuojan riittävä taso on turvattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä yksityisyyden suojaa koskevia safe harbor –periaatteita 6. helmikuuta 14
  • 18. USA:sta Safe harbor –järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaatiot päättävät liittymisestään täysin vapaaehtoisesti ja sitoutuminen järjestelmään on tehtävä julkisesti. Jos järjestelmässä mukana oleva organisaatio ei noudata tietosuojaperiaatteita, voidaan sitä vastaan nostaa kanne. 6. helmikuuta 14
  • 20. Mitä jos ei turvallinen? Nimenomainen suostumus Mitä tietoja Mitä tarkoitusta varten Kenelle ja mihin maahan tietoja siirretään Tilanne, jossa rekisteröidylle on ilmoitettu siirrosta, eikä tämä ole vastustanut sitä, ei täytä poikkeuksen ehtoja. Jos suostumus on ilmaistu epäsuorasti, se ei riitä täyttämään poikkeuksen ehtoja. 6. helmikuuta 14
  • 21. Myös jos... “...Siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä” Tietosuojavaltuutettu: Monikansallisen yrityksen intranet on OK. 6. helmikuuta 14
  • 22. Kysymyksiä pilviratkaisuille Miten kysyä suostumus asialle, jota ei välttämättä tiedetä etukäteen? Tulisiko listata kaikki maat, joissa henkilötiedot mahdollisesti tulevat sijaitsemaan? Miten merkitä tietoihin, missä menevät niiden käsittelyn rajat? 6. helmikuuta 14
  • 23. Hyvä rekisteritapa? Laki edellyttää ns. hyvän rekisteritavan noudattamista Sisältö oikeuskäytännön kautta Tietosuojavaltuutettu, tietosuojalautakunta Hallinto-oikeudet 6. helmikuuta 14
  • 24. Mitä jos rikotaan? Yleensä - ei mitään Henkilötietolaki: Sakko Oikeudenkäymiskulut 6. helmikuuta 14
  • 27. Oikeus unohtamiseen Article 16 Right to erasure 1. Member States shall provide for the right of the data subject to obtain from the controller the erasure of personal data relating to them where the processing does not comply with the provisions adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive. 2. The controller shall carry out the erasure without delay. 6. helmikuuta 14
  • 28. Tieto tietovuodoista Article 28 Notification of a personal data breach to the supervisory authority 1. Member States shall provide that in the case of a personal data breach, the controller notifies, without undue delay and, where feasible, not later than 24 hours after having become aware of it, the personal data breach to the supervisory authority. The controller shall provide, on request, to the supervisory authority a reasoned justification in cases where the notification is not made within 24 hours. 2. The processor shall alert and inform the controller immediately after having become aware of a personal data breach. 6. helmikuuta 14
  • 29. 3. The notification referred to in paragraph 1 shall at least: (a) describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned; (b) communicate the identity and contact details of the data protection officer referred to in Article 30 or other contact point where more information can be obtained; (c) recommend measures to mitigate the possible adverse effects of the personal data breach; (d) describe the possible consequences of the personal data breach; (e) describe the measures proposed or taken by the controller to address the personal data breach. 6. helmikuuta 14
  • 30. Todellinen suostumus tiedonkäsittelyyn, ei oletettu Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data. 6. helmikuuta 14
  • 31. Henkilötietojen siirron vapaus “...Member States shall provide for the right of the data subject to obtain from the controller a copy of the personal data undergoing processing.” 6. helmikuuta 14
  • 32. Yhden luukun periaate? 3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board. - Saksa vastustaa. 6. helmikuuta 14
  • 33. TSV voisi aina käsitellä yksilöiden pyynnöt... ...vaikka tiedot olisivatkin ulkomailla Article 50 Right to lodge a complaint with a supervisory authority 1. Without prejudice to any other administrative or judicial remedy, Member States shall provide for the right of every data subject to lodge a complaint with a supervisory authority in any Member State, if they consider that the processing of personal data relating to them does not comply with provisions adopted pursuant to this Directive. Saksa vastustaa. 6. helmikuuta 14
  • 34. Privacy by design Article 19 Data protection by design and by default 1. Member States shall provide that, having regard to the state of the art and the cost of implementation, the controller shall implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of provisions adopted pursuant to this Directive and ensure the protection of the rights of the data subject. 2. The controller shall implement mechanisms for ensuring that, by default, only those personal data which are necessary for the purposes of the processing are processed. 6. helmikuuta 14
  • 35. Avoin data? Regulaatiosa ei erityisoikeuksia Sillä, että tieto on vapaasti saatavissa viranomaiselta, ei ole merkitystä Esimerkki: Pöytäkirjat voivat muodostaa edelleen henkilörekisterin Tietojen anonymisointi Teknisesti haasteellinen tehtävä, jos tavoitteena huomattava luotettavuus 6. helmikuuta 14
  • 38. Lyhyt historia • Sähköisen viestinnän tietosuojadirektiivi 2002: ei tallennusvelvollisuutta • 6. helmikuuta 14 “The Civil Liberties Committee expressed itself in favour of a strict regulation of law enforcement authorities' access to personal data of citizens, such as communication traffic and location data. This decision is fundamental because in this way the EP blocks European Union States' efforts underway in the Council to put their citizens under generalised and pervasive surveillance, following the Echelon model.”
  • 39. “Traffic data relating to subscribers and users processed and stored by the provider of a public communications network or publicly available electronic communications service must be erased or made anonymous when it is no longer needed for the purpose of the transmission of a communication... data necessary for the purposes of subscriber billing and interconnection payments may be processed...” Tilanne uuden direktiivin mukaan 2002... 6. helmikuuta 14
  • 40. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 41. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 42. Tilanteen muutos Madrid 2004 Lontoo 2005 6. helmikuuta 14
  • 43. Direktiivi • Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services • Säädettiin pikavauhtia terroristi-iskujen jälkeen ilman sen suurempaa julkista keskustelua 6. helmikuuta 14
  • 44. “Declaration on Combating Terrorism adopted by the European Council on 25 March 2004 ja On 13 July 2005, the Council reaffirmed in its declaration condemning the terrorist attacks on London the need to adopt common measures on the retention of telecommunications data as soon as possible” Uuden 2006 säädetyn direktiivin johdanto-osa 6. helmikuuta 14
  • 45. Sisältö • Yllättävä lakitekninen lähtökohta: “This Directive aims to harmonise Member States’ provisions concerning the obligations of the providers of publicly available electronic communications services or of public communications networks with respect to the retention of certain data.” • Vain “vakavien” rikosten tutkinta: “for the purpose of the investigation, detection and prosecution of serious crime, as defined by each Member State in its national law” - määritelmä varsin väljä 6. helmikuuta 14
  • 46. Suomen laki • 1 vuosi • Vain tiedot, jotka operaattorit muutenkin tallentaisivat liiketoimintaansa varten • Vain viranomaiskäyttöön • Kovin lobbaustaisto • Tekee TekL 60b:n käytön hankalaksi? • Pakkokeinolain 5 a luvun 3 §:n 1 momentissa mainittujen rikosten tutkimiseen • Poliisi maksaa kustannukset 6. helmikuuta 14
  • 47. Tietolajit 1) palveluyrityksen tarjoamaan kiinteän verkon puhelinpalveluun tai lisäpalveluun taikka matkaviestinverkon puhelinpalveluun, lisäpalveluun, tekstiviestipalveluun, EMS-palveluun tai multimediapalveluun; 2) palveluyrityksen tarjoamaan internet-yhteyspalveluun; 3) palveluyrityksen tarjoamaan sähköpostipalveluun; 4) palveluyrityksen tarjoamaan internet-puhelinpalveluun; 5) puheluun, jossa yhteys on saatu muodostettua, mutta puheluun ei vastattu tai puhelu on estynyt verkonhallintatoimenpiteestä johtuen. ( ei koske viestin sisältöä eikä verkkosivustojen selaamisesta kertyviä tunnistamistietoja.) 6. helmikuuta 14
  • 51. Peruskonsepti Suomesta “turvasatama” tiedoille ja pilvipalvelujille Ei vakoilua. Piste. Viranomaisilla pääsy tietoihin vakavien rikosten selvittämiseksi Täysi kaksipuolinen läpinäkyvyys Tietopyynnöt aina oikeuteen Aggressiivinen tietosuojan valvonta 6. helmikuuta 14
  • 52. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
  • 53. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14
  • 54. Liittoutumaton Kylmä ilmasto Silta Euroopan ja Aasian välissä Ei juuri korruptiota http://en.wikipedia.org/wiki/File:North_Atlantic_Treaty_Organization_(orthographic_projection).svg 6. helmikuuta 14