Etsi

Tietoturva

Tulorekisterin sivuilla oli nähtävillä satoja henkilö- ja palkkatietoja – Tiedot esillä 5 kuukauden ajan

Tulorekisteriyksikkö tiedotti eilen verkkosivustollaan olleesta virheellistä teknisestä ohjeesta. Näkyvillä olleet palkkatiedot liittyivät yhden työnantajan 384 työntekijän yhteen palkanmaksutapahtumaan.

5. joulukuuta havaittuun virheelliseen ohjeeseen oli päätynyt koodikielinen esimerkki, jossa oli käytetty oikeita henkilö- ja palkkatietoja keinotekoisten tietojen sijaan. Ohje poistettiin sivulta välittömästi, kun erehdys havaittiin. Tekniset esimerkit on tarkoitettu palkkahallinnon ohjelmistokehittäjille, ja niissä käytetään normaalisti keinotekoisia henkilötunnuksia ja tulotietoja. Tässä tilanteessa esimerkissä oli käytetty erehdyksessä oikeita henkilötietoja.

Virhe johtui inhimillisestä erehdyksestä. Ohjetta oli ladattu verkkosivustolta 53 osoitteesta ennen kuin se poistettiin. Ohje ehti olla verkkosivustolla noin viisi kuukautta.

– Tulorekisteri.fi-sivulle julkaistavien ohjeiden julkaisuprosessia on nyt käyty läpi ja tiukennettu entisestään. Virhe tapahtui teknisen xml-muotoisen ohjeen laadinnassa. Kyseessä ei siis ole tulorekisterijärjestelmään tai ilmoittamiseen liittyvä virhe, kertoo Tulorekisteriyksikön johtaja Terhi Holmström.

Tulorekisteri on yhteydessä henkilöihin, joita asia koskee

Tulorekisterijärjestelmässä tiedot ovat erittäin vahvasti suojattuja. Tässä tilanteessa henkilötietoja sisältävä aineisto oli ollut manuaalisessa virheselvittelyssä, josta sen tiedot olivat päätyneet ohjeen esimerkkiin. Tulorekisteri on yhteydessä kirjeitse henkilöihin, joiden tiedot olivat esimerkissä. Myös kyseinen työnantaja on ollut yhteydessä henkilöihin, joita asia koskee.

–  Otamme tilanteen erittäin vakavasti ja pyydämme sitä anteeksi. Selvitämme perin pohjin, miten tilanne on tapahtunut ja varmistamme, ettei vastaavaa enää tapahdu. Olemme tehneet tapahtuneesta ilmoituksen tietosuojavaltuutetulle, sanoo Terhi Holmström.

Tulorekisteri pyytää kaikkia ohjeen ladanneita tuhoamaan kyseisen dokumentin.

Ohje, jossa virheellisiä tietoja on ollut: Tekninen rajapinta – ZIP – Sovelluskehittäjälle 2020 (zip),6.2019, versio 1.0

GDPR-asiat tulee olla hoidettuina – Yrittäjien opas auttaa

Tietosuoja-asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Tästä oppaaseen.

Puutteellisesti hoidetusta tietosuojasta voidaan määrätä EU:ssa sakot, viime vuoden toukokuusta lähtien GDPR-sakkoja on määrätty yli 400 miljoonan edestä.

Toimitus