Tietosuojavaltuutettu tekee tarkastuksen henkilötietojen käsittelystä ja suojaamisesta verkkopalveluissa

Julkaistu 25.7.2012

Tietosuojavaltuutettu tekee tarkastuksen henkilötietojen käsittelystä ja suojaamisesta kotimaisissa verkkopalveluissa. Tarkastuksella pyritään selvittämään, miten tietoturvaloukkauksen tai muun tietoturvauhan kohteeksi joutuneet rekisterinpitäjät sekä palveluntarjoajat ovat reagoineet mahdollisiin puutteisiin tietojärjestelmiensä suojaamisessa ja miten ne siis huomioivat lainmukaisen velvollisuutensa suojata käsittelemänsä henkilötiedot. Samalla kartoitetaan, miten yksityisyyden suoja toteutuu tietoverkkoympäristössä kuten verkkokaupoissa.

Tietosuojavaltuutettu on pyytänyt viestintävirastolta tietoa sille ilmoitetuista verkkopalveluista, jotka ovat joutuneet vuoden 2011 loka-, marras- tai joulukuun aikana tietoturvaloukkauksen tai muun tietoturvauhan kohteeksi. Näiden tapausten yhteydessä varastettiin kymmenien tuhansien kotimaisia internetpalveluita käyttävien henkilöiden tietoja, mikä osoitti, että verkkopalveluissa käsiteltävien henkilötietojen suojaamiseksi toteutetut toimenpiteet ovat olleet puutteellisia. Saamiensa tietojen perusteella tietosuojavaltuutettu lähettää selvityspyynnöt noin 70 yksityiselle ja julkiselle toimijalle. Vastausaikaa selvityksen antamiselle on 10.8.2012 asti. Tarkastusta koskeva loppuraportti on tarkoitus julkistaa syyskuussa 2012.

Henkilötietolain (523/1999) 38 §:n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi. Nyt toteutettava tarkastus kuuluu näihin tehtäviin, ja sen kohteena ovat henkilötietolain 5 §:n mukainen huolellisuusvelvoite sekä henkilötietolain 32 §:n mukainen velvollisuus toteuttaa tarpeelliset tekniset ja organisatoriset toimet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Kyseiset velvollisuudet koskevat sekä rekisterinpitäjää että sen lukuun henkilötietoja käsittelevää elinkeinon- tai toiminnanharjoittajaa.

Tarkastuksella selvitetään, miten tietoturvaloukkauksen tai -uhan kohteeksi joutunut rekisterinpitäjä tai palveluntarjoaja on suojannut käsittelemänsä henkilötiedot ja miten se on reagoinut mahdollisesti puutteelliseen suojaamiseen. Samalla pyritään auttamaan rekisterinpitäjiä itse arvioimaan oman toimintansa lainmukaisuutta ja osoittamaan kehittämiskohteita henkilötietojen käsittelyssä. Toteutettava tarkastus palvelee siten rekisteröityjen yksityisyyden suojaa ja samalla sekä rekisterinpitäjiä että muita toimijoita, jotka toiminnassaan käsittelevät henkilötietoja.

Lisätietoja asiassa antavat:

IT-erityisasiantuntija Lauri Karppinen, puh 050 588 0798
Tarkastaja Iiro Loimaala, puh. 029 56 66708
Tarkastaja Joona Pöyhönen, puh. 029 56 66747