Pitkä kuuma tietosuojakesä 2016!

Pitkä kuuma tietosuojakesä 2016!

Kun Suomen lomakausi alkaa hiljalleen olla lopuillaan, on aika kerrata kesän tietosuojauutisia. Kuten sivustomme kirjoituksista on voinut havaita, tietosuoja-asiat ovat olleet läpi kesän tapetilla.

Kuluvasta kesästä ei siis tulla laulamaan ”jytäkesänä”, kuten orkesteri Jukka ja Jytämimmit laulaa suositussa kappaleessaan ”Jytäkesä-015”. Tätä kesää voi sen sijaan kutsua nimellä ”Tietosuojakesä 2016”.

Ohessa muutamia nostoja kesän puheenaiheista:

  • Brexit-äänestyksen tulos selvisi juhannuksena. Brexitillä tulee olemaan monenlaisia liityntöjä myös tietosuoja-asioihin. Käsittelimme aihetta heti tuoreeltaan kirjoituksessa ”Brexit, tietosuoja ja pilvipalveluiden tulevaisuus
  • Heinäkuussa Yhdysvalloissa annettiin tuomio Microsoftin pilvipalveluita koskevassa asiassa. Paikallinen tuomioistuin katsoi, että Microsoft ei ole pakotettu luovuttamaan asiakkaidensa viestejä Yhdysvaltojen viranomaisille, mikäli materiaali on tallennettu Yhdysvaltojen ulkopuolelle sijaitseville palvelimille. Tässä pitkään vireillä olleessa tapauksessa oli siis kyse kansallisen lainsäädännön ulottuvuudesta ulkomailla sijaitsevaan dataan. Näin ollen asia on kiinnostanut erityisesti pilvipalveluiden käyttäjiä ja tarjoajia.
  • Suomi Areenan tietosuojakeskusteluista ja erityisesti pääministeri Sipilän potilastietoja koskevista linjauksista ja ns. Suomi-alustasta raportoitiin erikseen Tietosuojauutiset.fi-artikkelissa.
  • Direktiivi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa eli ns. Kyber/NIS-direktiivi julkaistiin EU:n virallisessa lehdessä 19.7.2016. Kaikkien jäsenvaltioiden on implementoitava säännökset kansalliseen lainsäädäntöön viimeistään 10.8.2018. Tätä direktiiviä on käsitelty myös Tietosuojauutiset.fi:n aiemmassa artikkelissa ”Lisää teknologiainvestointeja Suomeen uuden verkko- ja tietoturvallisuusdirektiivin viisaalla implementoinnilla?”.
  • Heinäkuun 12. päivä EU:n komissio antoi täytäntöönpanopäätöksen ns. Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä. Varsinainen päätöksen teksti julkaistiin elokuun alussa ja teksti löytyy EU:n sivuilta. Tätä päätöstä ja EU:n tietosuojaryhmän (Working Party 29) suhtautumisesta siihen on käsitelty aiemmassa artikkelissa ”Murtuuko Privacy Shield? (osa II)”. Nyt kannattaa huomata, että U.S. Department of Commerce on 1.8.2016 avannut rekisteröitymisen Privacy Shield -ohjelmaan. Tulemme varmasti tulevina viikkoina näkemään useilta pilvipalveluiden tarjoajilta ilmoituksia siitä, että he ovat saaneet hyväksymisen omalla Privacy Shield -hakemukselleen.
  • EU:n tietosuojaviranomaisten työryhmä Working Party 29 on ollut myös aktiivinen kesällä. Ryhmä julkaisi heinäkuussa kannanoton sähköisen viestinnän tietosuojadirektiivin ns. ”ePrivacy”-direktiivin (2002/58/EU) uudistustyöstä. Tätä direktiiviä ollaan uudistamassa, jotta se saadaan linjaa esim. tulevan tietosuoja-asetuksen kanssa. Kuten edellä on mainittu, ryhmä antoi myös lausuntonsa Privacy Shield –päätöksestä 26.7.2016.
  • Edellä mainitun ”ePrivacy”-direktiivin uudistuksen osalta kannattaa myös huomata, että EU:n komissio julkisti yleisen konsultaatiokierroksen tulokset elokuun alussa.
  • Myös Suomen tietosuojavaltuutettu Reijo Aarnio on antanut oman lausuntonsa ePrivacy-direktiivin uudistamisesta.
  • Tietosuojavaltuutettu julkaisi myös kesällä muistion pankeille henkilötietojen keräämisestä asiakkaiden tunnistamiseen liittyen. Tämä aihe on herättänyt aiemmin paljon keskustelua, koska mm. pankit joutuvat rahanpesulainsäädännön takia keräämään monenlaisia tietoja asiakkaistaan.
  • Suomessa tietosuojakeskustelu kiihtyi huippuunsa heinäkuussa erityisesti sen jälkeen, kun S-ryhmä ilmoitti alkavansa kerätä tarkempaa tietoa s-etukortilla tehdyistä ostoista. Tietosuojavaltuutettu ilmoitti alkavansa tutkia asiaa. Nyt elokuussa S-ryhmä on ilmoittanut, että tietojen hyödyntämistä mietitään uudelleen.
  • Bonuskorttikohun jälkeen julkisuuteen tuli epäily varusmiesten psykologisten testitulosten eli ns. ”palikkatestien” vuotamisesta mahdollisesti ulkomaille. Uusimpien uutisten perusteella Puolustusvoimat ei enää epäile tietovuotoa.
  • Heinäkuussa myös uutisoitiin, että tietosuoja-asiat saattavat estää ns. rauhanturvaajien veteraanikorttien lähettämisen.

Edellä on vain osa tietosuojakesän uutisista ja tapahtumista. Esimerkiksi erilaiset uutiset  Pokemon GO -pelin tietosuojakysymyksistä puuttuvat listalta. Toisaalta tämäkin lista kertoo kesän olleen sen verran vilkas, että ”Tietosuojakesä 2016”-nimi on perusteltu.