Helsingin kaupungin kasvatuksen ja koulutuksen toimialan tietomurto voi koskea jopa 120 000 henkilöä. Tekijä on saattanut saada käsiinsä arkaluontoisia henkilötietoja.
Tietosuojavaltuutetun toimisto on alkanut selvittämään, onko Helsingin kaupunki huolehtinut asianmukaisesti tietosuojavaatimuksista ja ovatko sen suojatoimet olleet puutteelliset. On tiedossa, että tietomurrossa käytetyn haavoittuvuuden korjauspäivitys on jäänyt tekemättä.
Vaikka suojatoimet osoittautuisivat puutteellisiksi, Helsingin kaupunki voi selvitä ilman merkittäviä seuraamuksia tai pelkällä huomautuksella.
Tietosuojavaltuutetulla ei ole kaikkia toimivaltuuksia julkisella sektorilla
Tietosuojavaltuutettu Anu Talus kertoo Ylen aamussa, että vaikka tietosuojavaltuutetulla on vahvat toimivaltuudet yksityisellä sektorilla, kaikki tietosuojavaltuutetun toimivaltuudet eivät koske julkista sektoria. Taluksen mukaan kyseessä on merkittävä epäsuhta.
– Yksityisellä puolella me voidaan esimerkiksi kieltää henkilötietojen käsittely tai määrätä organisaatio tekemään jotain tiettyjä toimenpiteitä.
Julkisella sektorilla tämä ei ole mahdollista. Sama koskee muita järeitä toimia, kuten hallinnollisia seuraamusmaksuja.
Helsingin kaupungille ei voi määrätä hallinnollista seuraamusmaksua
Hallinnollisia seuraamusmaksuja on pidetty yleisesti ottaen merkittävinä. Korkeimmillaan voidaan puhua miljardien hallinnollisista seuraamusmaksuista isojen toimijoiden kuten vaikkapa Metan kohdalla.
Talus kertoo, että Euroopassa on jo aika tavanomaista määrätä miljoonien eurojen hallinnollisia seuraamusmaksuja ja kansallisellakin tasolla voidaan puhua sadoista tuhansista.
– Mutta julkiselle sektorille meillä ei tällä hetkellä ole mahdollista määrätä hallinnollisia seuraamusmaksuja. Siten käytännössä mahdollisuudeksi jää ainoastaan antaa esimerkiksi huomautus tällaisessa tilanteessa, Talus kertoo.
Taluksen mukaan on myös mahdollista lähteä viemään asiaa eteenpäin virkavastuun kautta.
– Mutta silloin se kohdistuu yhteen yksittäiseen henkilöön.
Taluksen mukaan sääntelyn taustalla on se, että organisaatio vastaa, eikä yksittäinen henkilö siellä organisaatiossa.
Tietosuojavaltuutettu toivoo lakimuutosta
Tietosuojavaltuutettu toivoo yksityisen ja julkisen sektorin väliseen epäkohtaan korjausta ja suuntaa katseensa hallitukseen.
– Hallitusohjelmassa on tällä hetkellä kirjaus siitä, että nämä hallinnon seuraamusmaksut ulotetaan myös julkiselle sektorille. Nyt olisikin erittäin paikallaan, että tätä asiaa edistetään, Talus sanoo.
Hallitusohjelmaan on kirjattu, että hallitus toteuttaa kansallisen tietosuojalainsäädännön kokonaisuudistuksen ja sen yhteydessä säädetään hallinnolliset sakot tietosuojaloukkauksista koskemaan julkista ja yksityistä sektoria yhtäläisesti.
Kaupungilta voi hakea vahingonkorvausta
Tietomurtaja on päässyt käsiksi Helsingin kaupungin 38 000 työntekijän tietoihin. Lisäksi tietovuoto koskee lisäksi pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajaansa.
Tekijä on saattanut saada käsiinsä henkilötunnuksia ja arkaluontoisiakin henkilötietoja, esimerkiksi tietoja lasten erityisen tuen tai oppilashuollon tarpeesta.
Tietosuojavaltuutetun mukaan tällaisessa tilanteessa, missä tiedot ovat vuotaneet julkisen toimijan alustalta rikollisiin käsiin, on mahdollista lähteä hakemaan vahingonkorvausta.
– Vahingonkorvausta voidaan pyytää esimerkiksi tässä tilanteessa Helsingin kaupungilta. Tämä on yksi vaihtoehto tai mahdollisuus ihmisille tässä tilanteessa, Talus sanoo.
Arkaluontoisia tietoja voi pyytää poistettavaksi
Vuotaneita henkilötietoja voidaan väärinkäyttää esimerkiksi sähköpostikalasteluna, huijausviestinä tai identiteettivarkauden yrityksenä. Sen lisäksi arkaluontoisia tietoja voi levitä nettiin, mikä jo itsessään olisi tietosuojavaltuutetun mielestä hyvin harmillista.
Tietosuojavaltuutettu voi järjestää arkaluontoisen nettiin ilmestyneen tiedon poistamisen.
– Jos arkaluontoisia tietoja päätyy nettiin sellaiseen paikkaan, missä niitä ei kuuluisi olla, meille voi tehdä poistopyynnön, Talus kertoo.
Jutun videon kuvatekstiä korjattu 16.5.2024 klo 5.18. Täsmennetty, että tietosuojavaltuutetun kaikki toimivaltuudet eivät koske julkista sektoria. Aiemmin siinä luki että tietosuojavaltuutetun toimivalta ei koske julkista sektoria. Osa toimivaltuuksista on kuitenkin käytössä yhtäläisesti sekä yksityiselle että julkiselle sektorille.
17.5.2024 klo 0.44 Korjattu ylläoleva sama tieto myös jutun väliotsikkoon ja yhteen virkkeeseen.