Lokitiedot henkilötietojen suojaamisen välineinä

» Lakipuhelin neuvoo - Soita 0600 12 450 »

Lokitiedot voidaan määritellä tiedoiksi, joita tieto- ja viestintäjärjestelmät tallentavat toimintaansa liittyen. Lokitiedot ovat näin ollen käyttäjäkohtaisia merkintöjä, joita kerätään suojattavan henkilötietoja sisältävän tietojärjestelmän käsittelystä. Lokitiedot voivat näyttäytyä hyödyllisinä johtuen esimerkiksi niiden mahdollistamista keinoista selvittää ja ratkaista häiriöitä ja virheitä tieto- ja viestintäjärjestelmien toiminnassa. Lokitietoja voidaan käyttää myös tietojärjestelmän käytön ja näin ollen järjestelmän sisältämien henkilötietojen käsittelyn valvonnassa. Henkilötietojen suojaamisen välineinä tarkasteltuina lokitiedot voidaan määritellä nimenomaisesti henkilötietojen suojaamistarkoituksessa ylläpidetyn käyttövalvontajärjestelmän tuottamiksi tiedoiksi. Lokitietojen avulla voidaan saada selville henkilötietojen väärinkäyttöä tarkoittavia tilanteita. Lokitietojen osalta on huomionarvoista, että tietosuojalainsäädännön tarkoittama rekisteröity, eli henkilö, jota tiedot koskevat, on käyttäjä ja käytönvalvontajärjestelmän rekisteröity, ei asiakas. Asiakkaalla tarkoitetaan puolestaan suojattavan tietojärjestelmän kannalta rekisteröityä. Tallennetut lokitiedot mahdollistavat sen tarkastelun, kuka käyttäjä henkilötietoja on käsitellyt tai tarkastellut, miten ja milloin. Lokitiedoilla voidaan näin ollen valvoa järjestelmän käyttäjien henkilötietoja.

Henkilötiedoilla tarkoitetaan sellaisia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Tunnistettavissa oleva on sellainen henkilö, joka voidaan suoraan tai epäsuorasti tunnistaa joko tunnistetietojen tai hänelle tunnusomaisten tekijöiden perusteella. Tunnistetietoja ovat esimerkiksi nimi, henkilötunnus. sijaintitieto tai verkkotunnistetieto. Tunnusomaiset tekijät voivat olla fyysisiä, geneettisiä, psyykkisiä, taloudellisia, fysiologisia, kulttuurillisia tai sosiaalisia. Tunnusomaisia tekijöitä voivat olla esimerkiksi henkilön potilastiedot tai isovanhempien perinnöllisiä sairauksia koskevat tiedot.

Artikkelin aikana keskitytään esittelemään lokitietoja henkilötietojen suojaamisen välineinä voimassa olevan sääntelyn mukaisesti ja perehtymään aihepiiriin tarkasteluhetkellä olennaisesti liittyviin muihin seikkoihin.

Tietojen suojaamisesta yleisesti

Rekisterinpitäjä velvoitetaan lain tasoisesti toteuttamaan henkilötietojen suojaamiseksi tarvittavat tekniset ja organisatoriset toimenpiteet. Henkilötietojen suojaamiseen pyritään tällä tavoin, jotta voitaisiin välttää asiattomat tietoihin pääsyt, vahingossa tai laittomasti tapahtuva tietojen hävittäminen, tietojen muuttaminen, luovuttaminen, siirtäminen ja muunlainen laiton käsittely. Toimenpiteiden toteuttamisessa voidaan ottaa huomioon uusin tekniikka, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Myös henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit on huomioitava ja rekisterinpitäjän on toteutettava näitä riskejä vastaava turvallisuustaso. Organisatorisina suojauskeinoina voidaan pitää artikkelissa tarkoitettavien käyttäjien osalta esimerkiksi käyttäjille annettuja ohjeita ja henkilötietojen käsittelyyn liittyviä määräyksiä sekä omavalvonnan kautta tapahtuvaa käytönvalvontaa. Teknisten suojauskeinojen katsotaan tällöin voivan liittyä puolestaan niin käyttäjien yksilöintiin sekä tunnistamiseen kuin käytön selvittämiseen lokitietojen avulla jälkikäteen.

Itsenäisenä elinkeinonharjoittajana rekisterinpitäjän lukuun toimiva tai taho, jolle rekisterinpitäjä teknisen käyttöyhteyden avulla luovuttaa tietoja, on velvollinen antamaan rekisterinpitäjälle asianmukaisina pidettävät selvitykset ja sitoumukset ja muutoin riittävät takeet liittyen henkilötietojen suojaamiseen. Mainittujen tietojen antaminen on tehtävä ennen kuin tietojen käsittelyyn ryhdytään.

Myös henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittavaan henkilöön kohdistettu vaitiolovelvollisuus suojaa tietyllä tavalla henkilötietoja. Kyseinen velvollisuus tarkoittaa sitä, että mainitunlainen henkilö ei saa ilmaista sivulliselle tietoja, jotka hän on saanut suorittaessaan henkilötietojen käsittelyyn liittyviä toimenpiteitä. Tiedoilla tarkoitetaan tällöin ainakin henkilön ominaisuuksiin, henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyviä tietoja. Rekisterinpitäjän toiminnan kannalta tarpeettomaksi käynyt henkilörekisteri on pääsääntöisesti hävitettävä. Toisaalta voidaan toimia myös toisin, jos kyse on tiedoista, jotka on säädetty tai määrätty säilytettäviksi tai jos rekisteri siirretään lain tarkemmin määrittelemällä tavalla arkistoon.

- Lakipuhelin neuvoo aamusta iltaan joka päivä -

» Etsitkö yhä vastausta lakiasiaasi? - Soita 0600 12 450 »

Suomen paras lakipuhelin! Kiitos tästä palvelusta.

Käytönvalvonnalle henkilötietojen käsittelyn osalta asetettavat vaatimukset

Jotta henkilötietojen käsittelyn valvontaa voidaan tehdä lokitietoja apuna käyttäen, pidetään välttämättömänä sekä käyttäjien yksilöintiä että heidän tunnistamistaan. Tällöin luvallisista käyttäjistä, heitä koskevista tunnisteista ja heidän käyttöoikeuksistaan on ylläpidettävä käyttöoikeusjärjestelmää, joka lokitietojen kanssa yhdistettynä muodostaa niin sanotun ”käytönvalvontajärjestelmän”. Käytönvalvontajärjestelmältä vaaditaan rekisterinpitäjän toiminnan kannalta asiallista perusteltavuutta, mikä asetetaan yleisesti ottaenkin vaatimukseksi silloin, kun henkilötietoja käsitellään. Käytönvalvonnan osalta käyttäjän ja rekisterinpitäjän välisen työsuhteen katsotaan tavallisesti täyttävän vaatimuksen. Käyttöoikeuksien rajaamismahdollisuuksista huolimatta henkilötietojen käsittelyn voidaan katsoa perustuvan usein korostetusti käyttäjän omalle harkinnalle ja häneen kohdistettavalle luottamukselle sääntöjen noudattamista koskien. Lokitiedot tarjoavat kuitenkin keinon selvittää käsittelyn lainmukaisuutta myös jälkikäteen.

Kun arvioidaan henkilötietojen käsittelyltä vaadittavan käyttötarkoitussidonnaisuuden täyttymistä, voidaan tarkoituksena käsittelyn suorittamiselle pitää suojattaviin henkilötietoihin kohdistuvaa käytönvalvontaa. Käsiteltäviksi otettujen henkilötietojen on oltava tarpeellisia käsittelyn tarkoituksen kannalta, minkä katsotaan käytönvalvonnan suhteen määräytyvän joko käytännössä tai oikeudellisessa näytönarvioinnissa tiedontarpeita mukaillen. Rekisterinpitäjän tulee huolehtia myös tietojen virheettömyydestä, mitä voidaan käsiteltävänä olevan asiayhteyden osalta hahmottaa esimerkiksi käyttäjätunnusten henkilökohtaisuudesta lähtien.

Rekisteröidyn oikeuksista

Rekisteröitynä voidaan käytönvalvontajärjestelmän tilanteissa artikkelin aikana mainitunmukaisesti pitää yksittäistä käyttäjää, jolloin käyttäjällä on oltava mahdollisuus tarkastaa omat tietonsa, jotka käyttöjärjestelmään on tallennettu ja hänen käytössään olleiden tunnusten käytöstä syntyneet lokitiedot. Tarkastusoikeus ei koske siis asiakasta, vaan nimenomaan järjestelmän käyttäjää, johon liittyvää tietoa lokitiedot ovat. Käyttäjä voi tietyin edellytyksin myös vaatia tietojen korjaamista ja rekisterinpitäjän on annettava käyttäjälle mahdollisuus tiedonsaantiin esimerkiksi rekisterinpitäjästä, tietojen käsittelytarkoituksesta ja tietojen säännönmukaisesta luovuttamisesta. Henkilötiedot tulee hävittää niiden käydessä rekisterinpitäjän kannalta tarpeettomiksi. Lokitietojen osalta säilyttämistarpeen voidaan katsoa kestävän niin kauan, kuin suojattavan oikeushyvän haltija on oikeutettu esittämään vaatimuksia koskien luvatonta henkilötietojen käsittelyä.

Lokitietojen rooli henkilötietojen suojaamisen välineenä voi olla oikeudellisesti hankalasti avautuva aihepiiri. Epäselviksi jääneiden kysymysten osalta saattaa näin ollen olla suositeltavaa olla yhteydessä asiantuntevaan lakimieheen.

» Suomen suurin lakipalvelu auttaa - Soita 0600 12 450 »

Vinkit

Lokitiedot voidaan määritellä käyttäjäkohtaisiksi tiedoiksi, joita kerätään sellaisen tietojärjestelmän käsittelystä, joka sisältää suojattavia henkilötietoja.
Lokitietojen avulla on mahdollista selvittää henkilötietojen käsittelyyn liittyviä väärinkäytöksiä.

Varoitukset

Myös henkilötietojen käsittelyyn kohdistettavan valvonnan tulee täyttää henkilötietojen käsittelylle laissa asetetut edellytykset.

- Lakipuhelin neuvoo aamusta iltaan joka päivä -

» Etsitkö yhä vastausta lakiasiaasi? - Soita 0600 12 450 »

Selvitämme maksutta, tarvitseeko sinun maksaa lakikulujasi

Tiesitkö, että monissa asioissa lakikulusi ovat katettavissa kotivakuutuksen oikeusturvavakuutuksesta tai julkisesta oikeusavusta. Usein lakikulut voidaan myös vaatia vastapuolen maksettavaksi.

Lähettämällä yllä olevan tarjouspyynnön tai soittamalla asiakaspalveluun 0400 4111 43 saat:

maksuttoman selvityksen lakikuluistasi
maksuttoman alkukartoituksen asiaasi
halutessasi asiaasi erikoistuneen juristin maan kattavasta, laajasta juristiverkostosta.

Jos tarvitset vain lakineuvontaa, niin soitathan lakipuhelimeen 0600 12 450. Asiakaspalvelu ei anna lakineuvoja.

Lokitiedot henkilötietojen suojaamisen välineinä

Pyydä tarjous lakipalvelusta

Jätä sitomaton tarjouspyyntö lakimiehen palkkaamiseksi

Selvitämme maksutta, tarvitseeko sinun maksaa lakikulujasi

Aiheeseen liittyvät artikkelit

› Luottamuksellisen viestin salaisuus on loukkaamaton

› Luottolaitosten käytännesäännöt

› Markkinarauha suojaa massamarkkinoinnilta

› Median ja yksityisyyden intressit ovat usein vastakkaiset

› Mitä on hyvä tietojenkäsittelytapa?

› Oikeudesta olla yksin

› Potilaalla on oikeus yksityisyyteen

› Rekisterinpidon on oltava avointa

› Rekisterinpitäjää koskee tiedottamisvelvollisuus

› Rekisterinpitäjiä koskevat periaatteet

› Rekisteriseloste yksityisyyden suojan näkökulmasta

› Rekisteriselosteella toteutetaan suunnitelmallista henkilötietojen käsittelyä

› Rekisteröidyllä on oikeus tarkastaa ja oikaista itseään koskevia tietoja

› Sähköisen kuluttajakaupan käytännesäännöt

› Sananvapaus ja yksityisyyden suoja

› Sanktiojärjestelmällä suojataan yksityisyyttä

› Sosiaalinen yksityisyys on suojattua

› Sosiaalisen median käytännesäännöt

› Sukututkimuksen käytännesäännöt

› Suostumus henkilötietojen käsittelyn edellytyksenä

› Tarkoitussidonnaisuuden periaate tietosuojaperiaatteena

› Tietosuojavaltuutetun tehtävät ovat moninaisia

› Tietosuojaviranomaisten tulisi olla riippumattomia

› Tietoturvallisuus oikeuksien takuuna

› Trafin toimialan käytännesäännöt

› Turvallisesti tuntemattomana?

› Työelämään soveltuvat lait

› Vain oikeita ja ajantasaisia tietoja

› Vain tarpeellisia tietoja on lupa käsitellä

› Valokuvaus

› Verkkokaupan käytännesäännöt

› Yksityisyyden ja henkilötietojen suoja

› Yksityisyyden suoja internetissä

› Yksityisyyden suoja ja Euroopan unioni

› Yksityisyyden suoja ja henkilötietojen käsittely

› Yksityisyyden suoja ja kotirauha

› Yksityisyyden suoja ja kuvaaminen

› Yksityisyyden suoja ja raskaus

› Yksityisyyden suoja ja rekisterinpito

› Yksityisyyden suoja ja rikoslaki

› Yksityisyyden suoja ja selaushistoria

› Yksityisyyden suoja ja videokuvaus

› Yksityisyyden suoja kameravalvonnassa

› Yksityisyyden suoja koti

› yksityisyyden suoja koulussa

› Yksityisyyden suoja lapsi

› Yksityisyyden suoja markkinoinnissa

› Yksityisyyden suoja mediassa

› Yksityisyyden suoja perusoikeutena

› Yksityisyyden suoja perustuslaissa

› Yksityisyyden suoja potilas

› Yksityisyyden suoja rangaistus

› Yksityisyyden suoja sähköisessä viestinnässä

› Yksityisyyden suoja sosiaalihuollossa

› Yksityisyyden suoja sosiaalisessa mediassa

› Yksityisyyden suoja Suomessa

› Yksityisyyden suoja taloyhtiössä

› Yksityisyyden suoja terveydenhuollossa

› Yksityisyyden suoja työhaastattelussa

› Yksityisyyden suoja työnhaussa

› Yksityisyyden suoja työpaikoilla

› Yksityisyyden suoja verkkokaupassa

› Yksityisyyden suoja viestinnässä

› Yksityisyyden suojan loukkaus

› Yksityisyyden suojan määritelmä

› Yksityisyydensuoja internetissä

› Yksityisyydensuoja ja valokuvaus

› Yksityisyydensuoja lastensuojelussa

› Yksityisyys ja henkilötietojen suoja kunnallisessa virantäytössä

› Yksityisyyttä on julkisuudessakin

› Arkaluonteisia tietoja suojataan tiukemmin

› Henkilön taloudellinen asema on osa yksityisyyttä

› Henkilötiedot ovat jokaisen omaa omaisuutta

› Henkilötiedot ovat tunnistetietoja

› Henkilötietojen käsittelyä on monenlaista