Minilex - Lakipuhelin

Lokitiedot henkilötietojen suojaamisen välineinä

» Lakipuhelin neuvoo - Soita 0600 12 450 »

Lokitiedot voidaan määritellä tiedoiksi, joita tieto- ja viestintäjärjestelmät tallentavat toimintaansa liittyen. Lokitiedot ovat näin ollen käyttäjäkohtaisia merkintöjä, joita kerätään suojattavan henkilötietoja sisältävän tietojärjestelmän käsittelystä. Lokitiedot voivat näyttäytyä hyödyllisinä johtuen esimerkiksi niiden mahdollistamista keinoista selvittää ja ratkaista häiriöitä ja virheitä tieto- ja viestintäjärjestelmien toiminnassa. Lokitietoja voidaan käyttää myös tietojärjestelmän käytön ja näin ollen järjestelmän sisältämien henkilötietojen käsittelyn valvonnassa. Henkilötietojen suojaamisen välineinä tarkasteltuina lokitiedot voidaan määritellä nimenomaisesti henkilötietojen suojaamistarkoituksessa ylläpidetyn käyttövalvontajärjestelmän tuottamiksi tiedoiksi. Lokitietojen avulla voidaan saada selville henkilötietojen väärinkäyttöä tarkoittavia tilanteita. Lokitietojen osalta on huomionarvoista, että henkilötietolain tarkoittama rekisteröity, eli henkilö, jota tiedot koskevat, on käyttäjä ja käytönvalvontajärjestelmän rekisteröity, ei asiakas. Asiakkaalla tarkoitetaan puolestaan suojattavan tietojärjestelmän kannalta rekisteröityä. Tallennetut lokitiedot mahdollistavat sen tarkastelun, kuka käyttäjä henkilötietoja on käsitellyt tai tarkastellut, miten ja milloin. Lokitiedoilla voidaan näin ollen valvoa järjestelmän käyttäjien henkilötietoja.

Henkilötiedoilla tarkoitetaan yleisesti ottaen sellaisia merkintöjä, jotka kuvaavat jollakin tavalla luonnollista henkilöä, hänen ominaisuuksiaan tai elinolosuhteitaan. Henkilötiedot on mahdollista tunnistaa joko henkilöä itseään, hänen perhettä tai muita hänen kanssaan samassa taloudessa asuvia koskeviksi. Henkilötiedot määritellään henkilötietolaissa, joka sisältää sääntelyä liittyen esimerkiksi henkilötietojen käsittelyyn niin, että lain tarkoituksena on yksityiselämän suojan ja sitä turvaavien perusoikeuksien toteuttaminen käsittelyn yhteydessä. Toisaalta tarkoituksena on edistää myös hyvään tietojenkäsittelytapaan liittyvää kehitystä ja kyseisen tavan noudattamista.

Henkilötietolain, henkilötietojen käsittelyn ja ylipäätänsä henkilötietojen suojaamisen osalta saattaa olla hyödyllistä tutustua Euroopan unionin tietosuojauudistukseen, jonka myötä sovellettavaksi tulee 25.5.2018 lähtien uusi yleinen tietosuoja-asetus. Yleinen tietosuoja-asetus voi merkitä muutoksia liittyen myös artikkelissa käsiteltäviin aiheisiin. Artikkelin aikana keskitytään kuitenkin esittelemään lokitietoja henkilötietojen suojaamisen välineinä voimassa olevan sääntelyn mukaisesti ja perehtymään aihepiiriin tarkasteluhetkellä olennaisesti liittyviin muihin seikkoihin.

Tietojen suojaamisesta yleisesti

Rekisterinpitäjä velvoitetaan lain tasoisesti toteuttamaan henkilötietojen suojaamiseksi tarvittavat tekniset ja organisatoriset toimenpiteet. Henkilötietojen suojaamiseen pyritään tällä tavoin, jotta voitaisiin välttää asiattomat tietoihin pääsyt, vahingossa tai laittomasti tapahtuva tietojen hävittäminen, tietojen muuttaminen, luovuttaminen, siirtäminen ja muunlainen laiton käsittely. Toteutettaessa tarvittavia toimenpiteitä, voidaan huomioitavaksi ottaa muun muassa käytettävissä olevat tekniset mahdollisuudet ja kustannukset, joita toimenpiteistä aiheutuu. Lisäksi voidaan huomioida käsiteltävänä olevien tietojen määrä, laatu ja ikä. Myös käsittelyn merkitys yksityisyyden näkökulmasta saattaa olla huomionarvoinen seikka. Organisatorisina suojauskeinoina voidaan pitää artikkelissa tarkoitettavien käyttäjien osalta esimerkiksi käyttäjille annettuja ohjeita ja henkilötietojen käsittelyyn liittyviä määräyksiä. Teknisten suojauskeinojen katsotaan tällöin voivan liittyä puolestaan niin käyttäjien yksilöintiin sekä tunnistamiseen kuin käytön selvittämiseen lokitietojen avulla jälkikäteen.

Itsenäisenä elinkeinonharjoittajana rekisterinpitäjän lukuun toimiva tai taho, jolle rekisterinpitäjä teknisen käyttöyhteyden avulla luovuttaa tietoja, on velvollinen antamaan rekisterinpitäjälle asianmukaisina pidettävät selvitykset ja sitoumukset ja muutoin riittävät takeet liittyen henkilötietojen suojaamiseen. Mainittujen tietojen antaminen on tehtävä ennen kuin tietojen käsittelyyn ryhdytään.

Myös henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittavaan henkilöön kohdistettu vaitiolovelvollisuus suojaa tietyllä tavalla henkilötietoja. Kyseinen velvollisuus tarkoittaa sitä, että mainitunlainen henkilö ei saa ilmaista sivulliselle tietoja, jotka hän on saanut suorittaessaan henkilötietojen käsittelyyn liittyviä toimenpiteitä. Tiedoilla tarkoitetaan tällöin ainakin henkilön ominaisuuksiin, henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyviä tietoja. Rekisterinpitäjän toiminnan kannalta tarpeettomaksi käynyt henkilörekisteri on pääsääntöisesti hävitettävä. Toisaalta voidaan toimia myös toisin, jos kyse on tiedoista, jotka on säädetty tai määrätty säilytettäviksi tai jos rekisteri siirretään lain tarkemmin määrittelemällä tavalla arkistoon.

Käytönvalvonnalle henkilötietojen käsittelyn osalta asetettavat vaatimukset

Jotta henkilötietojen käsittelyn valvontaa voidaan tehdä lokitietoja apuna käyttäen, pidetään välttämättömänä sekä käyttäjien yksilöintiä että heidän tunnistamistaan. Tällöin luvallisista käyttäjistä, heitä koskevista tunnisteista ja heidän käyttöoikeuksistaan on ylläpidettävä käyttöoikeusjärjestelmää, joka lokitietojen kanssa yhdistettynä muodostaa niin sanotun ”käytönvalvontajärjestelmän”. Käytönvalvontajärjestelmältä vaaditaan rekisterinpitäjän toiminnan kannalta asiallista perusteltavuutta, mikä asetetaan yleisesti ottaenkin vaatimukseksi silloin, kun henkilötietoja käsitellään. Käytönvalvonnan osalta käyttäjän ja rekisterinpitäjän välisen työsuhteen katsotaan tavallisesti täyttävän vaatimuksen. Käyttöoikeuksien rajaamismahdollisuuksista huolimatta henkilötietojen käsittelyn voidaan katsoa perustuvan usein korostetusti käyttäjän omalle harkinnalle ja häneen kohdistettavalle luottamukselle sääntöjen noudattamista koskien. Lokitiedot tarjoavat kuitenkin keinon selvittää käsittelyn lainmukaisuutta myös jälkikäteen.

Kun arvioidaan henkilötietojen käsittelyltä vaadittavan käyttötarkoitussidonnaisuuden täyttymistä, voidaan tarkoituksena käsittelyn suorittamiselle pitää suojattaviin henkilötietoihin kohdistuvaa käytönvalvontaa. Käsiteltäviksi otettujen henkilötietojen on oltava tarpeellisia käsittelyn tarkoituksen kannalta, minkä katsotaan käytönvalvonnan suhteen määräytyvän joko käytännössä tai oikeudellisessa näytönarvioinnissa tiedontarpeita mukaillen. Rekisterinpitäjän tulee huolehtia myös tietojen virheettömyydestä, mitä voidaan käsiteltävänä olevan asiayhteyden osalta hahmottaa esimerkiksi käyttäjätunnusten henkilökohtaisuudesta lähtien.

Rekisteröidyn oikeuksista

Rekisteröitynä voidaan käytönvalvontajärjestelmän tilanteissa artikkelin aikana mainitunmukaisesti pitää yksittäistä käyttäjää, jolloin käyttäjällä on oltava mahdollisuus tarkastaa omat tietonsa, jotka käyttöjärjestelmään on tallennettu ja hänen käytössään olleiden tunnusten käytöstä syntyneet lokitiedot. Tarkastusoikeus ei koske siis asiakasta, vaan nimenomaan järjestelmän käyttäjää, johon liittyvää tietoa lokitiedot ovat.  Käyttäjä voi tietyin edellytyksin myös vaatia tietojen korjaamista ja rekisterinpitäjän on annettava käyttäjälle mahdollisuus tiedonsaantiin esimerkiksi rekisterinpitäjästä, tietojen käsittelytarkoituksesta ja tietojen säännönmukaisesta luovuttamisesta.  Henkilötiedot tulee hävittää niiden käydessä rekisterinpitäjän kannalta tarpeettomiksi ja lokitietojen osalta säilyttämistarpeen voidaan katsoa kestävän niin kauan kuin suojattavan oikeushyvän haltija on oikeutettu esittämään vaatimuksia koskien luvatonta henkilötietojen käsittelyä.

Lokitietojen rooli henkilötietojen suojaamisen välineenä voi olla oikeudellisesti hankalasti avautuva aihepiiri. Epäselviksi jääneiden kysymysten osalta saattaa näin ollen olla suositeltavaa olla yhteydessä asiantuntevaan lakimieheen.

Vinkit

- Lokitiedot voidaan määritellä käyttäjäkohtaisiksi tiedoiksi, joita kerätään sellaisen tietojärjestelmän käsittelystä, joka sisältää suojattavia henkilötietoja.

- Lokitietojen avulla on mahdollista selvittää henkilötietojen käsittelyyn liittyviä väärinkäytöksiä. 

Varoitukset

- Myös henkilötietojen käsittelyyn kohdistettavan valvonnan tulee täyttää henkilötietojen käsittelylle laissa asetetut edellytykset.

 

- Lakipuhelin neuvoo aamusta iltaan joka päivä -


Pyydä tarjous lakipalvelusta

 

Jätä sitomaton tarjouspyyntö lakimiehen palkkaamiseksi




Lakimiehet käsittelevät tietojasi luottamuksellisesti, eikä niitä tallenneta
Minilex.fi-palveluun.


 

Aiheeseen liittyvät artikkelit


 

Selaa lakitietoa