Herran vuonna 2020 on tietosuojan tuntemus organisaatioissa jo hyvällä mallilla, tietosuojadirektiivi on tehnyt meistä viisaampia ja tietosuojasta vastuullisempaa. Sitten minä heräsin. Herättyäni kirjasin ylös pahimpia tietosuojakatastrofeja joita olen havainnut yksin alkuvuoden aikana. Oi itkua, oi parkua, oi tuskien taivalta – joskin pientä iloakin.
Tein päätöksen, että en nimeä tässä tunaroivia firmoja, koska olen kuitenkin ilmoittanut heille asiasta.
Monimutkainen majoitus
Tammikuun loppupuolella vei tieni hotelliin erääseen suomalaiskaupunkiin. Majoitus oli varattu jo puoli vuotta sitten suoraan hotellifirmalle (ei siis kilpailutussivuston, matkafirman tjsp kautta). Tarkistaessani varauksen tilaa sain kuitenkin hotellifirman sivuilta virheilmoituksen. Soitin, ja pitkän puhelun aikana selvisi, että varaukseni oli myyty toiselle hotelliyritykselle. Henkilötietoni oli lähetetty siinä mukana uudelle firmalle, mutta minulle ei viitsitty siitä mainita. Majoitukseni myyneen hotellifirman tietosuojaehdot eivät sallineet tätä. Majoitukseni ostaneella hotellilla ei myöskään tästä ollut mainintaa ja heidän tietosuojalauseke oli muutenkin kelvoton. Se ei myöskään ollut nähtävillä vastaanotossa. Henkilökunta ei tiennyt asiasta mitään. Tähän päivään mennessä ainoa selvitys jonka olen saanut on, että ”oletimme ettei tästä tarvitsisi kertoa”. Väärin oletettu. Asiakaspalvelu sinänsä oli kohteliasta molemmilla osapuolilla ja ymmärrystä piisasi, teoista vain jäi uupumaan.
Sujuvaa sähköistystä
Jotain positiivista väliin, joten firmankin voin nimetä. Tampereen sähköverkon kanssa piti asioida vuoden alussa. Heillä oli asiointisivusto, joka pyöri USA:ssa, sisältäen tietosuojalausekkeen että tiedot eivät poistu EU/ETA alueelta. Reklamoin asiasta heille ja heti seuraavana päivänä sain kohteliaan soiton, jossa selvennettiin asiaa, pahoiteltiin ja annettiin mahdollisuus keskustella. He kiittivät palautteestani ja laittoivat jopa pienen lahjan perästä. Annoin toki parhaani mukaan ajatuksia jatkokehitykselle, toivottavasti auttoi. Näin se pitää mennä, maailma ei ole valmis ja virheet korjataan. Kriittiseen palautteeseenkin voi suhtautua rakentavasti, tästä kehtaa ottaa oppia.
Viheliäinen visiitti
Vierailin taannoin erään yrityksen toimistolla. Aulassa pyydettiin kirjaamaan nimeni ja yritykseni, sekä ketä olin tulossa tapaamaan – eikä siinä mitään. Sitten haluttiin nähdä henkilöllisyystodistus ja ottaa kuva siitä. Kysyin että mikä on peruste, ja saisinko nähdä tietosuojaselosteen. Lähimmäs vastausta päästiin toteamalla, että ”sen pitäisi olla täällä, muttei ole”. Noh, henkilökorttini ei poistunut lompakostani ja päädyimme pitämään tapaamisen kahviossa. Vieläkään en tiedä perustetta vahvalle tunnistautumiselle, mutta palaute otettiin firmassa vastaan asiallisesti ja luvattiin käydä vähän keskustelua aulapalvelun kanssa.
Uhkaava ulkoistus
Osallistuin tietosuoja-asiantuntijan ominaisuudessa keskusteluun erään ulkoistuskumppanin kanssa liittyen taloushallinnon tietojärjestelmiin. Pyysin tapaamisen pohjalle tietosuojaselosteita, jotka nopeasti lähetettiin. Tekstiä oli paljon ja pintapuolisesti näytti hyvältä. Kyse oli kuitenkin esimerkillisestä leveällä pensselillä piirtämisestä, jossa pyrittiin antamaan lähes rajattomat oikeudet tietojen käsittelyyn. Se ei ole asiallista toimintaa, eikä välttämättä lainmukaistakaan. Pieniä asia- ja tyylivirheitä oli roppakaupalla. Lisäksi tekstissä viitattiin lainsäädännön pykäliin numeroilla ”pykälän x momentti y” – sääli vaan että ko. pykälässä ei edes ollut niin montaa momenttia, ei nykyisessä tai edellisessä laissa. Se ei osunut myöskään edelliseen tai seuraavaan pykälään, eli ihan pieni kirjoitusvirhe ei ollut kyseessä. Palaute otettiin kuitenkin positiivisesti vastaan ja itse sopimuksiin tietosuoja-asiat kirjattiin asianmukaisesti. Pakko kuitenkin ihmetellä: eikö kukaan ole koskaan oikolukenut näitä?
Muuta mukavaa
Muutaman viikon aikana olen myös törmännyt lukuisiin tarpeettoman tiedon keräämisiin (=tietoja kerätään ilman osoitettua tarvetta), tietosuojaselosteen tai muun dokumentaation puutteisiin, valheellisiin EU/ETA säilytyslupauksiin ja pariin tarpeettomaan arkaluonteisen tiedon keräämiseen, sekä yhteen suoraan tietokyselystä kieltäytymiseen. Pikainen visiitti muutaman kotimaisen kuluttajatuotteita tai -palveluita myyvän yrityksen sivuille osoittaa, että huomattavan monella on asiassa eri kokoisia puutteita.
Tietosuojan hoitaminen asianmukaisesti ei ole niin vaikeaa, ei vanhalla lailla, ei nykyisellä. Laiminlyönnit ovat härskejä, alati lisääntyviä ja masentavia. Vain pienellä silmien avaamisella ja hyvin pienellä asiointitahdilla on jo tusina ongelmatapausta löytynyt muutamassa viikossa. Pystymme parempaan. Ongelman korjaamiseksi tarjoan nyt erittäin tiiviin henkilötietojen käsittelyn perusohjeen. Se ei kerro kaikkea, mutta jo tätä noudattamalla pääsee pitkälle. Sitä saa siteerata ja parempi apu on lähellä.
- Kerää vain tietoja, joihin sinulla on perusteltu tarve.
- Kerro tuo tarve ja tietojen käyttötapa tietojen keräämisen yhteydessä.
- Käytä tietoja vain em. kohdan mukaisesti.
- Vastaa kyselyihin ja poista tai korjaa tiedot pyydettäessä.
Tutkihan laskuissa lauseketta:’ mikäli maksua ei ole suoritettu eräpäivään mennessä, lähetämme laskunne perintäyhtiölle”.
Perintäyhtiöt jobbaavat asiakkaittensa perittäviä toisille yhtiöille henkilötietoineen.
Tämä on hyvin yleistä yrityksissä.
Balttiassa ovat asiat nykyisin edenneet siihen, että vaikka passi/henkilöllisyystiedot tarkistetaan, esim hotellissa, kirjataan vain hetu:n loppuosa (itse kirjaat), siitäkin on osin jo luovuttu.
Esim Tallinkin Pree-Orderissa ei juurikaan enää edes kysytä passia, ostosten luovutus kun tapahtuu sisätiloissa.
Aivan oma lukunsa ovat esim puolustusvoimien, poliisin, rvl:n jne tilat; henkilöllisyys tarkistetaan ja saat vierailijakortin, jolla on rajoitettu pääsy eri osastoille ja yleensä ”isännän” seurassa. Pv:n osalta on käytännön kokemusta mutta niin korkeasti koulutettu sotilas en ole, että minulla olisi asiointia sotilaslaitoksiin tai -alueille. Aikanaan oli Suomessakin niin tiukka linja, että ammattisotilaan tuli ottaa esimiehiinsä yhteys jos aikoi tavata ulkomaisia sotilashenkilöitä tai vierailla sotilasalueilla ulkomailla.
En oikein ymmärrä ongelmaa.
Jos jollakulla on asiaa jonkun yrityksen, viraston, joukko-osaston, tms. tiloihin, niin kyseisellä instanssilla on oikeus tietää sisään pyrkivän henkilön identiteetti ihan tarkasti – myös henkilötunnus. Jos ei halua antaa henkilötietojaan, niin pysyköön poissa.
Vaikkapa oheisen linkin takaa löytyvässä kuvassa kaulassani riippuu Viron Puolustusvoimain Päämajan henkilökortti/avainkortti. Siinä on kuvani, nimeni ja koko henkilötunnukseni kaikkien nähtävillä – eikä siinä ole minusta mitään ongelmaa.
http://jput.fi/Pilotka.jpg
Juhani, kyllä ja ei. Puolustuskriittiset paikat, tai vaikka eduskunta yms, niissä on perusteltu syy tunnistaa henkilö ja kirjata hänet tarkkaan. Baarissa on perusteltu syy varmistaa henkilön ikä – mutta ei ottaa talteen henkilötunnusta. Tässä on merkittävä ero.
Henkilötunnuksen käsittely löytyy lain 5 luvun 29 pykälästä.
No, joo, baarissa tarjoilijan ei ehkä ole välttämätöntä rekisteröidä asiakkaan henkilötunnusta – mutta ehkäpä tulevaisuudessa siitäkin olisi hyötyä. Sitten kun islamistiterroristi räjäyttää pommin baarissa, niin hänen henkilöllisyytensä olisi rekisteröity. Se helpottaisi rikoksen selvittämistä.
Kieltämättä on tilanteita että henkilöllisyyden rekisteröinti on hyödyksi.
Vaan otetaan tämä esittämäsi surullinen skenaario. Eräs Abderrahman Bouanane oli esittänyt henkilöllisyystodistuksen ja hän oli kirjoilla hetuineen kaikkineen. Hän tosin oli kirjoilla nimellä Abdul Rahman, joka oli varastettu henkilöllisyys.
Valitettavasti henkilöllisyyden varastaminen on kovin helppoa. Toki tässä tapauksessa osasyynä oli kovin hutiloitu tarkistusprosessi 2015-2016 turvapaikanhakijoiden suuren määrän yhteydessä. Osasyynä identiteettivarkausten helppouteen on kuitenkin se, että ihmiset ovat niin varomattomia, henkilötunnuksesta ei pidetä huolta ja osaratkaisuna tähän puolestaan on tietosuojalainsäädäntö.
Henkilöllisyyden kirjaaminen joka paikassa sataa rikollisten laariin, valitettavasti. Siksi on hyvä, että jätetään se oikeus viranomaisille.
Tietosuoja on lapsen kengissä.
Sähköinen asiointi ja moni muu.
Tietosuoja ei ole turvassa sillä sitä voi ostaa rahalla.
Tänään AL postin tietoturvasta: Postin voi siirtää paperilapulla
kunhan tietää henkilön tunnuksen ja aiheuttaa paljon harmia kohdehenkilölle.