Lokitietojen käsittelystä



Samankaltaiset tiedostot
Lokipolitiikka (v 1.0/2015)

Varmaa ja vaivatonta

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Lokiohje 3/2009 VAHTI. Valtionhallinnon tietoturvallisuuden johtoryhmä

AVAINBIOTOOPPITIEDON SAATAVUUS

Sähköisen viestinnän tietosuojalain muutos

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Abuse-toiminnan ajankohtaiset ilmiöt

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

SISÄLLYS. Lyhenteet 11. Esipuhe 13. Johdanto

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJA JA TIETEELLINEN TUTKIMUS

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

SÄHKÖISET JA LAINSÄÄDÄNTÖ

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Auditoinnit ja sertifioinnit

Sähköisen viestinnän tietosuojalaki

SELVITYS TIETOJEN SUOJAUKSESTA

Tutkittavan informointi ja suostumus

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

Abuse-seminaari

Tietosuojakysely 2018

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

FI Moninaisuudessaan yhtenäinen FI A8-0245/235. Tarkistus

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietosuoja henkilöstön rekrytoinnissa

TIETOSUOJAILMOITUS EU:n yleinen tietosuoja-asetus (2016/679), Artiklat 13 ja 14 Laadittu: , päivitetty

Tietojen käytön valvonta ja seuranta helpommaksi: käyttölokien kansalliset linjaukset ja määrittelyt

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

Sähköisen viestinnän tietosuojalaki yhteisötilaajan näkökulmasta. Antti Järvinen

Tietosuojakysely 2019

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

DLP ratkaisut vs. työelämän tietosuoja

MITÄ TIETOSUOJA TARKOITTAA?

Laatua ja tehoa toimintaan

ASIAKASALOITTEINEN KÄYTÖNVALVONTA TERVEYDENHUOLLOSSA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Arkistoinnin tarkoituksena on tiedon säilyttäminen

Katoaako yksityisyyden suoja pilveen?

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

OMAVALVONTASUUNNITELMA

Korkeakoulujen valtakunnallinen tietovaranto. Ilmari Hyvönen

Tietosuoja sosiaali- ja terveyspalveluissa

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Jarkko Tolonen Lokitiedon merkitys käyttöjärjestelmän asennuksessa SCCM-ympäristössä

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Eläketurvakeskuksen tietosuojapolitiikka

VIESTINTÄVIRASTON SUOSITUS TUNNISTAMISTIETOJEN KÄSITTELYÄ KOSKEVIEN TIETOJEN TALLENTAMISESTA

Ekosysteemin eri toimijat. Yritys Työntekijä Ulkopuolinen taho Media Muut tiedonvälittäjät (esim. Wikileaks)

Tietoturva ja viestintä

EU:n tietosuoja-asetus ja tieteellinen tutkimus

Yksityisyyden suoja työsuhteessa

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

KILOMETRIVERO JA TIETOSUOJA

OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Sosiaalihuollon asiakkaan oikeuksien toteutuminen

Tietosuojanäkökulma biopankkilainsäädäntöön

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuojaseloste. Trimedia Oy

Tiedollinen itsemääräämisoikeus ja MyData

FI Moninaisuudessaan yhtenäinen FI A8-0245/258. Tarkistus

Fennian tietoturvavakuutus

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietoturvaloukkausten hallinta

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Kansallinen tietosuojalaki

Digital by Default varautumisessa huomioitavaa

TIETOSUOJASELOSTE Voimassa EU:n yleinen tietosuoja-asetus (2016/679) jatietosuojalaki Sivu 1/5. Keiturin Sote Oy Henkilöstörekisteri

Tekijänoikeuden suoja tekijän & käyttäjän näkökulmasta

Hyvät käytännöt ja mahdolliset aukot?

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

TIETOSUOJASELOSTE Laatimispäivämäärä:

Hyvin suunniteltu on melkein tehty. Neuvontainsinööri Jaakko Laksola

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

HENKILÖTIETOJEN KERÄÄMINEN KOULUTUKSEN ITSEARVIOINTIIN LIITTYVISSÄ KYSELYISSÄ

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tietosuoja-asetus (GDPR)

Kuusamon energia- ja vesiosuuskunnan tietosuojaseloste

TYÖNTEKIJÖIDEN SÄHKÖPOSTIEN TUNNISTAMISTIETOJEN KÄSITTELYOIKEUS, KUN EPÄILLÄÄN YRITYSSALAISUUKSIEN VUOTAMISTA

YHTEISÖTILAAJAN OIKEUS KÄSITELLÄ TUNNISTAMISTIETOJA VÄÄRINKÄYTÖSTAPAUKSISSA

Transkriptio:

Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja aina uusiin lokityyppiin Näkökulma rikostorjunnallinen. Tarkoituksena auttaa teitä käsittelemään lokeja siten, ettette itse joudu tutkinnan kohteeksi edesauttaa teitä keräämään sellaista lokitietoa, joka olennaisesti auttaa toipumista (ja rikostutkintaa ; ). Näkökulma ei ole kovin hallinnollinen... 1

Lokien tarkoitus 1/2 Lokit ennalta määriteltyä tarkoitusta varten. Lokit edesauttavat: oikeusturvan toteutumista: käyttäjien ylläpidon niiden henkilöiden, joiden tietoja käsitellään järjestelmien ja verkon toiminnan optimointia erilaisten tietoturvapoikkeamien selvittämistä. Lokien tarkoitus 2/2 Keruun oltava järkevässä suhteessa hyötyyn. Siis keruukustannukset ja keruusta aiheutuva oikeuksien rajoitus Normaalitilanteessa lokeja tarvitaan toiminnan häiriöttömyyden seurantaan Poikkeamatilanteessa lokeja tarvitaan tilanteen normalisointiin ja tapahtumien osapuolten, vaikutusten laajuuden sekä syiden selvittämiseen todisteeksi rikosprosessiin. 2

Lokien käsittely Käsittely kattaa lokin koko elinkaareen liittyvät toimenpiteet eli lokien keräämisen, analysoinnin, säilyttämisen, luovuttamisen ja poistamisen tai arkistoinnin. Käsittelyn oltava suunnitelmallista, huolellista ja tarkoitussidonnaista! Lokien käsittelykriteerit Lokit ovat erilaisia! Henkilötietoa tai viestinnän tunnistamistietoa on suojattava paljon tiukemmin kuin WWWpalvelimen kuormitustilastoa. Lokien käsittelyvelvollisuudet ja oikeudet riippuvat tietojen luonteesta: Millaista tietoa itse loki sisältää? Millaista tietoa lokia tuottava järjestelmä sisältää? 3

Lokien käsittelyvaatimukset 1/2 Käsittelytapavaatimukset tulevat suoraan lainsäädännöstä Myös siviilioikeudelliset sopimukset saattavat asettaa käsittelyvaatimuksia Hyvä tietojenkäsittelytapa ja VAHTI ohjeisto asettaa suosituksia. Lokien käsittelyvaatimukset 2/2 Julkisuuslaki edellyttää viranomaiselta hyvää tiedonhallintatapaa (JulkL 18 )... eli että käsiteltävän tiedon saatavuus, suoja, eheys ja laatu turvataan. Henkilötietolaki edellyttää henkilötietoa sisältävän aineiston suojaamista (Henkilötietolaki 32 ) Erityislainsäädännöstä tulee velvoitteita rajattujen tietotyyppien kuten esimerkiksi viestinnän tunnistamistietojen käsittelylle. 4

(Muistilista normistosta) Julkisuuslaki (621/1999) Henkilötietolaki (523/1999) Sähköisen viestinnän tietosuojalaki (526/2004) Laki yksityisyyden suojasta työelämässä (759/2004) (Lempinimeltään Työelämän tietosuojalaki ) Hallinnonalaspesifinen lainsäädäntö Lainsäädännön rajoitukset 1/2 Erityistä tarkkuutta käsittelyssä, jos lokitiedoissa on Henkilötietoja => Käsittely Työelämän tietosuojalain ja henkilötietolain puitteissa Yksityisen viestinnän tunnistamistietoja => Käsittely Sähköisen viestinnän tietosuojalain puitteissa Voi myös olla, että lokitiedolla suojataan rekisteriä, joka sisältää henkilötietoa, mutta loki itse ei sisällä henkilötietoa (kuormitustilasto). 5

Lainsäädännön rajoitukset 2/2 Huomioikaa käsittelijän roolit! Esimerkiksi viestin välittäjänä toimivan yhteisötilaajan rooli on ERI asia kuin työnantajan rooli. Se, että tunnistamistietoja saa käsitellä viestin välittäjän roolissa, ei tarkoita että tunnistamistietoja saisi käsitellä työnantajan roolissa, vaikka käsittelijä olisi sama henkilö. Viestinnän tunnistamistietojen käsittely (SVTSL) Yhteisötilaaja saa (viestin välittäjän roolissa) käsitellä tunnistamistietoa: Palvelujen toteuttamiseksi ja käyttämiseksi (sisältää tietoturvallisuudesta huolehtimisen) Laskutusta varten Markkinointia varten Teknistä kehittämistä varten Lähinnä maksullisen palvelun käyttöön liittyvissä väärinkäytöstapauksissa Teknisen vian tai virheen havaitsemiseksi Direktiivi on tehty teleyrityksille... 6

Esimerkkejä lokityypeistä 1/2 Viestinnän loki Sisältää tietoa viestintätapahtumista viestin tunniste tapahtuma aika osapuolet järjestelmän sisäistä ohjaustietoa, kuten tilatiedon Tarkoitus: Virhetilanteiden selvitys, todentaminen Sähköpostiloki, keskustelujärjestelmän loki,... Huomioitavaa: Sisältää viestinnän tietoa ja henkilötietoa Esimerkkejä lokityypeistä 2/2 Sovellusloki Tiedon sisältö vaihtelee (lokia tuottavasta) ohjelmasta riippuen. Tyypillistä lokiin kirjattavaa tietoa on käynnistysajankohta, tunnus, joka käynnisti ohjelman sekä tilatieto virhetilanteista Ei välttämättä sisällä lainkaan henkilötietoa tai viestinnän tietoa Tunnistettava kussakin yksityistapauksessa sisältääkö vai ei 7

Rikostorjunta täällä, hei... Lokit ja niiden käsittely tulee suojata myös: lokeista tulisi kerätä kopio erilliseen suojattuun lokipalvelimeen. Käyttäkää lokia tuottavassa järjestelmässä aikapalvelinta (ntp) ja ottakaa selvää aikavyöhykkeestä. Huomioikaa lokien saanti ulkoistuksessa! Jos verkkolokeja halutaan käyttää väärinkäytösten torjuntaan, lokiin tulee kirjata onnistuneet tapahtumat... Palomuurin torjumat yhteydet ovat palomuurin markkinointiviestintää. Harjoitussessio lokityyppejä Transaktioloki (tietokannan tapahtumaloki) Muiden lokien käsittelyloki Kirjautumisloki Tarjottujen, julkisten verkkopalveluiden sovelluslokit (WWW palvelin) Verkkotason pääsyvalvonta ja yhteyslokit (palomuuri tai reititinloki) Raakalokista automaattisesti tuotettu aineisto Kuormitusraportit Tilastot 8

Harjoitussessio Voiko lokissa olla terveystietoa? [Käydään läpi erillisen slide shown lokitesimerkkejä] Miksi lokia kerätään/mihin lokia voi käyttää? Mitä suojattavia intressejä lokitiedon vuotaminen/väärinkäyttö loukkaisi? Onko lokissa tietoa, jota työnantaja voisi käyttää työntekijän valvontaan? Mitä se edellyttää? Onko lokissa henkilötietoa? Onko lokissa viestinnän tunnistamistietoa? Onko lokia tuottava organisaatio viestinnän osapuoli? Sparrauslista 1/2 Miksi ja mihin tarkoitukseen lokia käsitellään? Arvioi myös tallennettavien tietojen tarpeellisuus Suunnittele ja dokumentoi käsittely koko elinkaaren ajalta. Tunnista lokeihin tallentuvat tietotyypit, erityisesti henkilötiedot ja viestinnän tunnistamistiedot. Tunnista tallentuvien tietotyyppien suojaustarpeet ja varmista, että tietojen suojaustarve toteutuu myös toteutuksessa Huomioi edellä mainitut myös hankinnoissa ja ulkoistuksissa! 9

Sparrausta 2/2 Jos lokitieto käytettävissä tekniseen valvontaan, tarvitaan YT menettely. Huomioi muu käyttäjien, rekisteröityjen ja muiden tahojen informointivelvollisuus. Huomioi henkilörekisteriin liittyvät vaatimukset, jos lokeista muodostuu henkilörekisteri Lisätietoja: Syksyllä ilmestyvä VAHTI ohje lokitietojen käsittelystä. Tietosuojavaltuutetun toimiston mainiot webisivut: www.tietosuoja.fi 10

Luovutusoikeuksista Toiselle viranomaiselle Työnantajaroolille työelämän Käyttäjälle Esitutkintaviranomaiselle 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute