Järjestelmien tietoturvallisuus ja salasanakäytäntöjen turvallisuus
- Tapausvuosi
- 2024
- Antopäivä
- Diaarinumero
- TSV/955/2023
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Suomen Golfliitto ry:n ylläpitämien järjestelmien tietoturvallisuus
Rekisterinpitäjä
Suomen Golfliitto ry
Vireillesaattajan vaatimukset perusteluineen
Vireillesaattaja on 27.5.2023 ollut yhteydessä tietosuojavaltuutetun toimistoon liittyen rekisterinpitäjän ylläpitämien järjestelmien tietoturvallisuuteen. Vireillesaattaja on ilmoittanut, että kyse ei ole hänen henkilötietojensa käsittelystä. Vireillesaattajaa ei ole pidettävä hallintolain (434/2003) 11 §:ssä tarkoitettuna asianosaisena. Vireillesaattaja on yhteydenotossaan viitannut rekisterinpitäjän järjestelmissä tapahtuneeseen tietoturvaloukkaukseen, josta on ilmoitettu tietosuojavaltuutetun toimistolle 18.5.2023 tehdyllä tietoturvaloukkausilmoituksella (5143/171/23). Kyseisen tietoturvaloukkausilmoituksen käsittely on tietosuojavaltuutetun toimistossa päättynyt 25.5.2023. Kyseistä tietoturvaloukkausilmoitusta ja sen kuvaamaa henkilötietojen tietoturvaloukkausta ei arvioida tässä päätöksessä, koska kyseinen asia on jo ratkaistu.
Vireillesaattaja on yhteydenotossaan tuonut esille, että rekisterinpitäjän ylläpitämien järjestelmien tietoturvallisuuden taso ei hänen näkemyksensä mukaan täytä tietosuojalainsäädännön vaatimuksia. Vireillesaattaja on erityisesti nostanut esiin järjestelmien tunnistautumiseen ja salasanakäytäntöihin liittyviä haavoittuvaisuuksia. Vireillesaattajan mukaan rekisterinpitäjän ylläpitämissä palveluissa käytetään oletussalasanoina esimerkiksi henkilöiden syntymäaikoja, eikä käytössä ole kaksivaiheista tunnistautumista. Vireillesaattaja on viitannut yhteydenotossaan eBirdie-, Nexgolf-, Wisegolf- ja Golfbox-järjestelmiin.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjälle on toimitettu asiassa tietosuojavaltuutetun toimiston selvityspyyntö 28.2.2024.
Rekisterinpitäjä on toimittanut asiassa selvityksen 14.3.2024. Rekisterinpitäjän toimittaman selvityksen mukaan Suomen Golfliitto ry toimii rekisterinpitäjänä eBirdie-järjestelmäkokonaisuuden osalta, joka sisältää sekä eBirdie-palvelun, että eBirdie-sovelluksen. Rekisterinpitäjän mukaan Nexgolf, Wisegolf sekä Golfbox puolestaan ovat jäsenseurojen seuranhallintajärjestelmiä, joiden osalta Suomen Golfliitto ry ei toimi rekisterinpitäjänä tai henkilötietojen käsittelijänä.
Rekisterinpitäjä on kuvaillut eBirdie-järjestelmäkokonaisuuden tietoturvallisuutta selvityksessään. Rekisterinpitäjän toimittaman selvityksen mukaan eBirdie-palvelussa luodaan seura- tai liittokäyttäjän toimesta uudet käyttäjät, joille järjestelmä lähettää sähköpostitse aktivointilinkin. Selvityksen mukaan käyttäjä luo aktivointilinkin kautta oman salasanan, jonka voi halutessaan vaihtaa myöhemmin. Rekisterinpitäjä katsoo, ettei eBirdie-palvelussa ilmene selvityspyynnössä kuvailtua haavoittuvuutta. Rekisterinpitäjän toimittamassa selvityksessä kuvaillaan järjestelmien arviointiin ja tietoturvallisuuden testaukseen liittyviä toimenpiteitä.
Rekisterinpitäjän toimittaman selvityksen mukaan eBirdie-sovelluksen kirjautumisessa ei käytetä salasanoja, vaan sovelluksen jäsenpuolelle kirjaudutaan jäsentiedoilla (seura, jäsennumero, etunimi, sukunimi, syntymävuosi) ja Green Card-puolelle Green Card tiedoilla (Green Card-numero, myöntäjäseura, etunimi, sukunimi, syntymävuosi). Rekisterinpitäjän näkemyksen mukaan kirjautumiskäytäntö on tietoturvan näkökulmasta riittävä. Rekisterinpitäjän mukaan kirjautumiseen vaadittavien tietojen saaminen vaatii selvitystyötä useammasta lähteestä eikä ole suoraan ulkopuolisen pääteltävissä. Rekisterinpitäjän toimittaman selvityksen mukaan sovelluksen kautta pääsee tarkastelemaan rajattuja henkilötietoja (jäsenpuolella nimi, jäsenseura(t), jäsen- ja seuranumero(t), tasoitustiedot ja tasoituskierroksen tulokset sekä jäsenkortin voimassaolo ja Green Card -puolella Green Card -numero, myöntäjäseura, nimi ja suoritusajankohta). Rekisterinpitäjän toimittaman selvityksen mukaan rekisterinpitäjä ei tästä syystä ole pitänyt rekisteröidyn oikeuksille ja vapauksille kohdistuvaa uhkaa merkittävänä.
Rekisterinpitäjän toimittaman selvityksen mukaan rekisterinpitäjä on vuonna 2022 käynnistänyt ”Suomi Golf ID-projektin”. Rekisterinpitäjä kertoo, että kyseisen projektin tuloksena jäsenpuolen kirjautumismenetelmänä toimisi jatkossa käyttäjätunnuksena yksilöllinen sähköpostiosoite sekä salasana, jonka käyttäjä vastaanottaa sähköpostiinsa aktivoinnin yhteydessä. Rekisterinpitäjän toimittaman selvityksen mukaan tämä salasana tulisi järjestelmän vaatimuksesta muuttaa ensimmäisen kirjautumiskerran yhteydessä. Rekisterinpitäjän mukaan järjestelmän käyttöönotto olisi pelaajille mahdollista alkukesästä 2024, jonka jälkeen jäsentiedoilla kirjautuminen kyseisen pelaajan jäsentilille ei olisi enää mahdollista. Rekisterinpitäjän mukaan Suomi Golf ID tarjottaisiin kirjautumismenetelmänä käyttöön myös kaikissa seuranhallintajärjestelmissä.
Vireillesaattajan vastine
Asiassa ei ole pyydetty vastinetta vireillesaattajalta, koska vireillesaattajaa ei ole pidettävä hallintolain (434/2003) 11 §:ssä tarkoitettuna asianosaisena. Asia voidaan ratkaista sovellettavan lainsäädännön, vakiintuneen käytännön sekä tietosuojavaltuutetun toimiston tietoon saatetun vireillesaattajan vaatimuksen sekä rekisterinpitäjän vastauksen ja selvityksen perusteella.
Sovellettava lainsäädäntö
Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Tietosuoja-asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Artiklan 1 kohdan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Artiklan 1 kohdan b alakohdan mukaan näihin teknisiin ja organisatorisiin toimenpiteisiin kuuluvat muun muassa kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta. Asiaan liittyy seuraavat oikeudelliset kysymykset:
1, Onko rekisterinpitäjä toiminut vastoin tietosuoja-asetuksen 25 artiklan 1 kohdassa ja 32 artiklan 1 kohdan b alakohdassa säädettyä eBirdie-järjestelmäkokonaisuuden tietoturvallisuuden suunnittelun ja ylläpidon osalta?
2. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautus?
3. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla määräys saattaa käsittelytoimensa tietosuoja-asetuksen säännösten mukaisiksi?
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole riittävällä tavalla varmistanut ylläpitämänsä palvelun tietoturvallisuutta tietosuoja-asetuksen 25 artiklan 1 kohdan ja 32 artiklan 1 kohdan b alakohdan vaatimalla tavalla. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on laiminlyönyt 25 artiklan 1 kohdan mukaisen velvoitteen varmistaa rekisterinpitäjän käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettavat tehokkaat asianmukaiset tekniset ja organisatoriset toimet. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on laiminlyönyt 32 artiklan 1 kohdan mukaisen velvollisuuden varmistaa asianmukaiset tekniset ja organisatoriset toimet riskiä vastaavan turvallisuustason varmistamiseksi alakohdan b mukaisesti.
Apulaistietosuojavaltuutettu määrää rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautuksen.
Apulaistietosuojavaltuutettu määrää rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla määräyksen saattaa käsittelytoimensa tietosuoja-asetuksen säännösten mukaisiksi.
Perustelut
Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta oletusarvoisesta tietosuojasta. Rekisterinpitäjän on toteutettava tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Tietosuoja-asetuksen johdanto-osan 78 kappaleessa todetaan, että tietojärjestelmiä kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.
Tietosuoja-asetuksen johdanto-osan 74 perustelukappaleen mukaan rekisterinpitäjällä on velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä ja sen tulee pystyä osoittamaan, että tietosuoja-asetusta on noudatettu tehokkaasti. Perustelukappaleessa todetaan niin ikään, että toimenpiteiden toteutuksessa on otettava huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.
Rekisterinpitäjän eBirdie-sovellukseen kirjautumisessa ei käytetä salasanoja, vaan henkilön jäsennumeroa, etu- ja sukunimen kahta ensimmäistä kirjainta sekä syntymävuotta. Golfliiton jäsennumero koostuu maaosasta, seuraosasta ja 1-4 numeroisesta jäsennumerosta, esim. fi-123-4321, josta jälkimmäiset 4 numeroa muodostavat varsinaisen jäsennumeron. Järjestelmässä on siten ennalta arvattava ja myös koneellisesti helposti selvitettävissä oleva sisäänkirjautumismekanismi, jonka ei voida katsoa estävän luvatonta pääsyä järjestelmän käyttäjien henkilötietoihin. Näin ollen rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät ole olleet riittävän tehokkaita estämään luvattoman henkilötietojen katselun, eikä järjestelmässä ole sovellukseen kirjautumiseksi käytännön tasolla ollut tarvittavia tietosuoja-asetuksen 25 artiklan 1 kohdan mukaisia suojatoimia, joilla voitaisiin estää luvaton henkilötietojen katselu tai kopiointi.
Rekisterinpitäjällä ei ole eBirdie-sovelluksen osalta yllä todetun syyn takia ollut tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohdan mukaista mahdollisuutta taata käsittelyjärjestelmien ja palveluiden jatkava luottamuksellisuus. Palvelussa ei ole ollut riittävää teknistä tai organisatorista rajoitusta, joka olisi estänyt ulkopuolisten pääsyn tietoihin, joihin heidän ei kuulu päästä. Vaikka kirjautumiseksi tietoja pitäisi rekisterinpitäjän mukaan kerätä useammasta lähteestä, tämä olisi mahdollista huomioiden palvelun käyttötarkoitus ja sen käyttäjien yleisesti tiedossa olevat tiedot muista käyttäjistä.
Rekisterinpitäjän eBirdie-sovelluksen kautta on ollut mahdollista saada luvatta haltuun toisten henkilöiden henkilötietoja, koska sovelluksen salasanakäytäntö on ollut heikko tai olematon, eikä rekisterinpitäjä ole näin noudattanut tietosuoja-asetuksen 25 artiklan 1 kohdan mukaista velvollisuutta toteuttaa sellaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittely vastaisi tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Rekisterinpitäjä ei ole noudattanut 25 artiklan kohdan 1 ja 32 artiklan kohdan 1 b alakohdan vaatimuksia, eikä ole varmistanut riittäviä organisatorisia ja teknisiä suojatoimia tietosuoja-asetuksen vaatimusten noudattamiseksi. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjälle on annettava huomautus tietosuoja-asetuksen 25 artiklan 1 kohdan ja 32 artiklan 1 kohdan b alakohdan vaatimusten rikkomisesta yllä mainituin perustein.
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä tulee määrätä saattamaan käsittelytoimet tietosuoja-asetuksen mukaisiksi sen ylläpitämän eBirdie-järjestelmäkokonaisuuden tietoturvakäytäntöjen osalta, kiinnittäen erityistä huomiota salasanakäytäntöjen turvallisuuteen.
Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 30.9.2024 mennessä, ellei rekisterinpitäjä hae muutosta tähän päätökseen. Tieto siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt, pyydetään toimittamaan tietosuojavaltuutetun toimistoon sähköpostitse osoitteeseen tietosuoja(at)om.fi tai postitse osoitteeseen Tietosuojavaltuutetun toimisto, PL 800, 00531 Helsinki. Pyydämme käyttämään asian tunnusta selvityksessä. Mikäli asiakirja sisältää salassa pidettäviä (laki viranomaisten toiminnan julkisuudesta 24 §) kuuluvia tietoja, ohjaamme käyttämään oikeusministeriön suojattua sähköpostiyhteyttä selvityksen ja aineistojen lähettämiseen osoitteessa https://turvaviesti.om.fi/.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös on lainvoimainen.