KOMMUNIKATIONSVERKETS REKOMMENDATION OM REGISTRERING AV UPPGIFTER OM BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER

Relevanta dokument
Föreskrift om televerksamhetens informationssäkerhet

Föreskrift OM INTEROPERABILITET AV KOMMUNIKATIONSNÄT OCH KOMMUNIKATIONSTJÄNSTER. Meddelad i Helsingfors den 24 november 2010

Föreskrift OM INTERNETFÖRBINDELSETJÄNSTERNAS INFORMATIONSSÄKERHET. Meddelad i Helsingfors den 9 mars 2011

Föreskrift om interoperabilitet av kommunikationsnät och kommunikationstjänster

Låsanordning för utrustningsutrymmen i en fastighet. Kommunikationsverkets rekommendationer

Föreskrift OM SKYLDIGHET ATT LAGRA IDENTIFIERINGSUPPGIFTER. Meddelad i Helsingfors den 24 maj 2011

Föreskrift om telefonnummerportabilitet

Användningsvillkor Datalagret för egna uppgifter på mina Kanta-sidor

PRESENTATIONSBLAD J U S T I T I E M I N I S T E R I E T. Utgivningsdatum

Föreskrift om tekniskt genomförande och säkerställande av nödtrafik

Kommunikationsverket 46 F/2007 M. Föreskrift OM TELEFONNUMMERPORTABILITET. Meddelad i Helsingfors den 24 juli 2007

Lagen om dataskydd vid elektronisk kommunikation

Nyckelord EG-lagstiftning, rättegångsförfarande, internationell processrätt, verkställighet av utländska domar, utsökningsrätt

MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 53 A/2011 M FÖRESKRIFT OM SKYLDIGHET ATT LAGRA IDENTIFIERINGSUPPGIFTER MPS 53

Föreskrift OM SPÄRRKATEGORIER INOM TELETRAFIKEN. Meddelad i Helsingfors den 16 augusti 2011

Publikation (även den finska titeln) Skydd för miljön genom strafflagstiftning (Ympäristön suojelu rikosoikeudellisin keinoin)

ARBETSGRUPPSBETÄNKANDE 2008:4. Kommunernas deltagande i den automatiska trafikövervakningen

Kommunikationsverket 1C/2003 M. Föreskrift OM SÄKERSTÄLLANDET AV RADIOANLÄGGNINGARS ÖVERENSSTÄMMELSE MED VÄSENTLIGA KRAV OCH OM MÄRKNINGEN AV DEM

Föreskrift om spärrtjänster för abonnemang

Utfärdad i Helsingfors den xx xx 2016

Publikation (även den finska titeln) Rättegångens offentlighet i förvaltningsrättskipningen (Oikeudenkäynnin julkisuus hallintolainkäytössä)

Offentligt. Frågor och svar (Q&A) Offentliggörande och uppskjutande av offentliggörandet av insiderinformation (artikel 17 i MAR)

1/7. Mitt resekort. Användarvillkor för tjänsten

I betänkandet föreslås också de behövliga ändringar i äktenskapslagen som föranleds av den nya lagen.

Föreskrift om störningar i televerksamheten

PRESENTATIONSBLAD. Utgivningsdatum

PRESENTATIONSBLAD. Nyckelord Kreditupplysning, kreditgivning, kreditriskbedömning, skydd för personuppgifter, företagsuppgifter

Föreskrift om auktion av nätkoncessioner på frekvensområdet MHz

Motivering till och tillämpning av föreskrift 38

PRESENTATIONSBLAD. Nyckelord Vård oberoende av den åtalades vilja, verkställighet av påföljder, rättspsykiatrisk vård

Routning av nödtrafik från företagsnät. Kommunikationsverkets rekommendationer

Information om informationssäkerheten i tjänster som genomförts i utlandet. Kommunikationsverkets rekommendationer

Informationssäkerhet

PRESENTATIONSBLAD. Utgivningsdatum

Föreskrift OM UNDERHÅLL AV KOMMUNIKATIONSNÄT OCH -TJÄNSTER SAMT OM FÖRFARANDE OCH INFORMATION VID FEL OCH STÖRNINGAR

Allmänt om administrativ datasäkerhet. Stödutbildning Anne Juutilainen

PRESENTATIONSBLAD J U S T I T I E M I N I S T E R I E T. Utgivningsdatum

Certifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat

Handledning i informationssäkerhet Version 2.0

Särskilda förfaranden i anslutning till anonym bevisning

PRESENTATIONSBLAD J U S T I T I E M I N I S T E R I E T. Utgivningsdatum Typ av publikation Förslag till regeringens proposition

Föreskrift OM AUKTION AV FREKVENSOMRÅDET MHZ. Meddelad i Helsingfors den 4 september 2009

Föreskrift 3/2010 1/(8)

Lag Nr 516 om dataskydd vid elektronisk kommunikation Given i Helsingfors den 16 juni 2004

Vad säger lagen om cookies och andra frågor och svar

Bilaga 1 - Handledning i informationssäkerhet

HEIDELBERG SVERIGE AB ALLMÄNNA VILLKOR FÖR ANVÄNDNING AV WEBBPLATS/ON-LINE SHOP

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Vid behandlingen av personuppgifter iakttar vi EU:s lagstiftning och bestämmelser och anvisningar som myndigheter gett.

Att öka förtroende. Verksamhetsplan

RP 237/2014 rd. ska ändras. möjligt.

Lag. RSv 69/2004 rd RP 125/2003 rd. RIKSDAGENS SVAR 69/2004 rd

PRESENTATIONSBLAD. J U S T I T I E M I N I S T E R I E T Utgivningsdatum

Informationssäkerhetspolicy inom Stockholms läns landsting

Kommunikationsverkets rekommendationer

Föreskrift OM KOMMUNIKATIONSNÄTENS OCH -TJÄNSTERNAS KVALITET SAMT OM SAMHÄLLSOMFATTANDE TJÄNSTER. Meddelad i Helsingfors den 4 april 2012

LANTEAMS INTEGRITETSPOLICY

Förordning om offentlighet och god informationshantering i myndigheternas verksamhet /1030

Allmänna råd. Datainspektionen informerar. Nr 3/2016

Innehåll. Frågor och svar (Q&A) - Insiderförteckningar (artikel 18 i MAR) Tolkningar och ställningstaganden om förordningen om marknadsmissbruk (MAR)

Beslut om ändring av telefoninummerplanen

FINLANDS FÖRFATTNINGSSAMLING

Innehållsförteckning

PRESENTATIONSBLAD J U S T I T I E M I N I S T E R I E T. Utgivningsdatum Typ av publikation Förslag till regeringsproposition

Kommunikationsverket 25 E/2008 M. Föreskrift om INOMHUSNÄTET I EN FASTIGHET. Meddelad i Helsingfors den 14 januari 2008

Tillsyn över dokumentation av informationsbehandlingstillgångar

MEDDELANDE OM LEDIGFÖRKLARING AV KONCESSIONER Koncessioner för televerksamhet i frekvensområdet megahertz

(Text av betydelse för EES)

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTER

RP 170/2008 rd. Lagen avses träda i kraft den 1 januari 2009.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Finansinspektionens författningssamling

ANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI

Datasekretessbeskrivning Informationshanteringstjänsten

Cybersäkerhetsöversikt

Föreskrift om säkerställandet av radioanläggningars överensstämmelse med väsentliga krav och om märkningen

STATSRÅDETS FÖRORDNING OM ÄNDRING AV STATSRÅDETS FÖRORDNING OM BEFOLKNINGSDATASYSTEMET

Högskolebiblioteket i Halmstad Manual för registrering av uppsats i DiVA

Lag om dataskydd vid elektronisk kommunikation (516/2004)

Jord- och skogsbruksministeriets förordning om veterinärernas bokföring över medicinsk behandling

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

Policy för användande av IT

MARKNADSANALYS AV STÖDBERÄTTIGANDE AV PROJEKTOMRÅDET ÖSTRA NYLAND, LAPPTRÄSK (6)

Information till undersökningsdeltagare

Sammanfattning av riktlinjer

Svensk författningssamling

Riktlinjer för personuppgiftshantering AAKERMOUNT Marknadsutveckling AB

Lag. om ett övervakningssystem för bank- och betalkonton. Övervakningssystemet för bank- och betalkonton

Föreskrift om kommunikationsnätens och -tjänsternas kvalitet samt om samhällsomfattande tjänster

PERSONUPPGIFTSBITRÄDESAVTAL

BEHANDLINGEN AV PERSONUPPGIFTER I VÄGLAGET Väglaget är skyldigt att iaktta EU:s allmänna dataskyddsförordning (GDPR) i behandlingen av personuppgifter

Kanta-tjänsterna. Medborgarinfo 2018

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

Dataskyddsmeddelande för kommunikation och evenemang vid Aalto-universitetet

Motivering till och tillämpning av föreskrift 53 B. Föreskrift om teleföretagens skyldighet att lagra uppgifter för myndigheternas behov

Befolkningsregistercentralens krav på registrerare för social- och hälsovården och på registreringsställen inom certifieringsverksamheten

Kommunikationsverkets ställningstagande om fördelningen av frekvensresurser för mobila bredbandsabonnemang inom ramen för nätneutralitetsregleringen

Vad är en personuppgift och vad är en behandling av personuppgifter?

Amatörradioföreskrift

Föreskrift OM TEKNISKA EGENSKAPER HOS ABONNENTFÖRBINDELSER MED LEDARE AV METALL OCH NÄTVERKSUTRUSTNING SOM KOPPLATS TILL DEM

Transkript:

24.11.2004 KOMMUNIKATIONSVERKETS REKOMMENDATION OM REGISTRERING AV UPPGIFTER OM BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER

REKOMMENDATION 308/2004 S 1 (5) Utgivare Författare PRESENTATIONSBLAD Utgivningsdatum 24.11.2004 Typ av publikation Rekommendation Uppdragsgivare Publikation s rekommendation om registrering av uppgifter om behandlingen av identifieringsuppgifter Referat Denna rekommendation innehåller principer om hur den förpliktelse som avses i 15 i lagen om dataskydd vid elektronisk kommunikation (516/2004) och som gäller registrering av uppgifter om behandlingen av identifieringsuppgifter bör genomföras hos teleföretag. Rekommendationen har utarbetats i en grupp kallad logguppgift som bildades av s TELCOSEC-arbetsgrupp. Nyckelord Seriens namn s publikationer Sidoantal 6 Distribution Språk Svenska Pris 3,50 Förlag Sekretessgrad Offentlig Postadress Besöksadress Telefon E-post PB 313 Östersjögatan 3 A (09) 69 661 info@ficora.fi 00181 HELSINGFORS 00180 HELSINGFORS Telefax Webbplats FO-nummer 0709019-2 (09) 6966 410 http://www.ficora.fi

REKOMMENDATION 308/2004 S 2 (5) Innehåll 1 INLEDNING... 3 2 UTMANINGAR SOM HÄNFÖR SIG TILL REGISTRERING AV UPPGIFTER SOM GÄLLER BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER... 3 2.1 System som inte stöder registrering av uppgifter om behandlingen av identifieringsuppgifter och system som inte längre har tillverkarens produktstöd... 3 2.2 Spridda system / spridda logguppgifter / logguppgifter i realtid... 4 2.3 Registrering av uppgift om behandlingens varaktighet... 4 2.4 Att logga in som administratör och användning av konsol... 4 3 LÖSNINGS- OCH TILLÄMPNINGSANVISNINGAR... 4

REKOMMENDATION 308/2004 S 3 (5) 1 INLEDNING I 15 i lagen om dataskydd vid elektronisk kommunikation (516/2004) sägs följande: "Ett teleföretag skall registrera detaljerade uppgifter om hur behandlingen av identifieringsuppgifter skett. Av uppgifterna skall framgå tidpunkten för behandlingen, dess varaktighet samt vem som utfört behandlingen. Händelseuppgifterna skall förvaras två år från lagringen. kan meddela närmare föreskrifter om hur den i 1 mom. avsedda registreringen och förvaringen tekniskt skall genomföras." I detaljmotiveringen för 15 i regeringens proposition för lagen om dataskydd vid elektronisk kommunikation (RP 125/2003) konstateras bl.a. följande: [Registreringsförpliktelsen]... gäller bara sådana identifieringsuppgifter som omedelbart kan ha avgörande betydelse för att skydda konfidentiella meddelanden och integritet. [...] Registreringsförpliktelsen enligt det föreslagna 1 mom. är av behovet påkallad speciellt för att utreda eventuellt missbruk i sådana fall då personer i ett teleföretags tjänst misstänks ha behandlat identifieringsuppgifter, som ansluter sig till konfidentiell kommunikation mellan abonnenter eller användare, för annat ändamål än sådant som är acceptabelt enligt denna lag. Å andra sidan kan man med de lagrade behandlingsuppgifterna bevisa att ingen har gjort sig skyldig till misstänkt missbruk, vilket har en positiv inverkan på rättskyddet för dem som behandlar uppgifter. Man kan anse att den föreslagna bestämmelsen har stor betydelse i fråga om det allmänna förtroendet för elektroniska kommunikationstjänster. I lagens 44 (ikraftträdande- och övergångsbestämmelser) bestäms följande om registreringsförpliktelsen: "Teleföretagen skall inleda i 15 avsedd registrering av uppgifter inom sex månader från denna lags ikraftträdande. Med anledning av ovan anförda frågor om registreringsförpliktelsen har beslutat att utfärda detta memorandum om hur registrering och förvaring av uppgifter om behandlingen av identifieringsuppgifter skall genomföras. Under utarbetandet har teleföretagens representanter inom Telcosec-arbetsgruppen hörts. 2 UTMANINGAR SOM HÄNFÖR SIG TILL REGISTRERING AV UPPGIFTER SOM GÄLLER BEHANDLINGEN AV IDENTIFIERINGSUPPGIFTER 2.1 System som inte stöder registrering av uppgifter om behandlingen av identifieringsuppgifter och system som inte längre har tillverkarens produktstöd Flera av teleföretagens system stöder inte registrering av uppgifter som gäller behandlingen av identifieringsuppgifter. För många system är det inte möjligt att uppbygga en sådan funktionalitet för skäliga kostnader även om tillverkaren hade nominellt produktstöd till exempel telefoncentraler. Dessutom är många system sådana för vilka tillverkarens produktstöd har upphört och därför är nya egenskaper inte längre tillgängliga. Uppdatering av alla dessa system i nya system inom den i lagen utsatta övergångsperioden är i praktiken inte möjligt. Teleföretagen använder också en hel del sådana aktiva utrustningar (routrar, centraler, brytare osv.) som inte är avsedda för registrering av uppgifter om behandlingen av identifieringsuppgifterna, och för vilka den avsedda funktionaliteten inte står till buds. I teleföretagen kan man också överföra identifieringsuppgifter för fortsatt behandling till ett sådant off-linesystem eller distanssystem som inte stöder registrering av uppgifter om behandlingen av identifieringsuppgifterna. Sådana system är till exempel tillämpningsprogram som körs lokalt på PC och behandlar identifieringsuppgifter. Det är också möjligt att identifieringsuppgifter skrivs ut på papper för fortsatt behandling, varvid det är omöjligt att med tekniska medel registrera uppgifter om hur behandlingen av identifieringsuppgifterna har skett.

REKOMMENDATION 308/2004 S 4 (5) 2.2 Spridda system / spridda logguppgifter / logguppgifter i realtid På grund av telenätens komplicerade struktur registreras uppgifter om behandlingen av identifieringsuppgifter i flera spridda system i samband med behandlingsåtgärderna. För behandlingen av enskilda identifieringsuppgifter lagras då inte några händelseuppgifter i realtid utan vederbörande uppgift kan bildas senare genom att kombinera logguppgifter från flera olika system. Det är dock inte alltid möjligt att kombinera logguppgifter i efterhand. Ibland överförs identifieringsuppgifter längs en kedja av system: från ett originalsystem, där identifieringsuppgifterna skapas, via ett förmedlingssystem till ett insamlingssystem, där den faktiska behandlingen av identifieringsuppgifterna sker. Typiskt för system som finns i början av kedjan är att de inte är avsedda för behandlingen av identifieringsuppgifter utan enbart för förmedling av uppgifterna vidare till insamlingssystemet. Det kan också förekomma situationer då identifieringsuppgifterna har fördelat sig mellan flera system så att uppgifterna i ett enskilt system inte bildar sådana identifieringsuppgifter som lagen avser. I sådana fall är tillämpningen av registreringsförpliktelsen problematiskt. 2.3 Registrering av uppgift om behandlingens varaktighet Registrering av uppgift som beskriver behandlingens varaktighet blir en utmaning till exempel i de fall då en kundrådgivare eller faktureringsexpert behandlar identifieringsuppgifterna på skärm eller papper. När uppgifterna behandlas på skärmen är det möjligt att de står där mycket längre än den tid som den faktiska behandlingen kräver. Det kan också hända att identifieringsuppgifter överförs för fortsatt behandling till ett sådant off-linesystem (t.ex. till bärbar dator) där registrering av behandlingstiden inte är möjligt med tekniska medel. 2.4 Att logga in som administratör och användning av konsol För upprätthållande av system skall systemen ha aktiverade identifikationer och lösenord för administratör och de skall också vara i bruk. Administratörens inloggning är inte alltid personlig och därför är det möjligt att åtgärder som utförts som administratör inte alltid med tekniska medel kan förknippas med en viss person (den som behandlar identifieringsuppgifter). Administratören kan vanligen också i efterhand modifiera eller manipulera uppgifter som beskriver behandlingen av identifieringsuppgifterna i det lokala systemet. Därför är det också möjligt för administratören att täcka spåren av sådan behandling som kanske strider mot lagen. Konsolförbindelser behövs till exempel när systemet blir trasigt eller när det är nödvändigt att göra ändringar i specifikationer som direkt gäller aktiva utrustningar. Vid användning av konsolförbindelser sker åtgärden typiskt genom administratörens inloggning direkt bredvid utrustningen, och det är inte möjligt att registrera uppgifter om behandlingen av identifieringsuppgifterna. 3 LÖSNINGS- OCH TILLÄMPNINGSANVISNINGAR Ett teleföretag skall kartlägga processer för hanteringen av identifieringsuppgifterna i sina system och tjänster samt skapa tillräckligt detaljerade anvisningar för personalen om behandlingen av identifieringsuppgifterna för olika ändamål. Teleföretaget skall definiera de hanteringsprocesser och system vilka innehåller uppgifter som omedelbart kan ha avgörande betydelse för konfidentialiteten av kommunikationen samt genomföra registrering av uppgifter om behandlingen av identifieringsuppgifterna (logguppgifter) i fråga om dessa. Sådana är bl.a. system i vilka identifieringsuppgifterna förvaras annat än kortvarigt, i vilka identifieringsuppgifterna behandlas av fysiska personer och i vilka händelserna i behandlingen kan riktas mot vissa kommunikationshändelser för en viss kommunikationspart. Exempel på sådana system är biljettlager, faktureringssystem samt olika system som används för analysering av kommunikationshändelsers historia. Registreringsförpliktelsen gäller inte behandling av anonymt och/eller summerat datamaterial. Av logguppgifterna skall framgå vilka identifieringsuppgifter som behandlingen gäller, tidpunkten för behandlingen, behandlingens varaktighet och vem som utfört behandlingen.

REKOMMENDATION 308/2004 S 5 (5) Teleföretaget skall kontrollera det lokala underhållet av nätets låg-nivå komponenter samt hanteringen av administratörens inloggning med tanke på personalens tillämplighet. Teleföretaget skall dessutom se till att de lokala systemens fysiska säkerhet kontrolleras på ändamålsenliga sätt. För distansunderhåll och distanskontroll måste teleföretaget ha processer där utrustningars operationskontroller definieras. I processerna bör man ta hänsyn till bl.a. tillförlitlig identifiering av dem som behandlar identifieringsuppgifterna. Dessutom skall teleföretaget, om möjligt, registrera de kommandon som utförs via distansförbindelser med administratörsrättigheter. Logguppgifterna skall registreras på ett säkert sätt och det skall finnas relevanta säkerhetskopior på uppgifterna. Teleföretaget skall registrera logguppgifterna i olika system så att olika användningsfall kan kombineras vid behov. Uppgifterna skall vara tillgängliga inom skälig tid. För system där behandlingens varaktighet inte kan definieras måste teleföretaget försöka arrangera registreringen på ett sådant sätt att en uppskattad behandlingstid kan antas på grund av händelsernas tidstämplar. har utfärdat en föreskrift som gäller teleföretagens allmänna informationssäkerhetsförpliktelser, nämligen föreskrift 47 B/2004 M om informationssäkerhet hos teleföretag. Föreskriften innehåller bestämmelser om teleföretagens skyldigheter bl.a. i fråga om administrativ säkerhet, användarsäkerhet och datasäkerhet. Om kontroll av fysisk säkerhet bestäms i s föreskrift 48 A/2004 M som gäller fysiskt skydd av kommunikationsnät.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss