Hyppää sisältöön

Tullin Tilirekisteriin tallennettu ylimääräisiä tietoja

Julkaisuajankohta 3.12.2021 8.25
Tiedote

Tullin ylläpitämässä, tiettyjen toimivaltaisten viranomaisten työn tueksi tarkoitetussa pankki- ja maksutilirekisterissä (Tilirekisterissä) on havaittu tietoturvapoikkeama, sillä rekisteriin on tallennettu ylimääräisiä henkilötietoja. Arvion mukaan tiedot eivät ole vaarantuneet ja lakimuutosten myötä suurin osa näiden tietojen käsittelystä on jo mahdollista. Rekisteri ei ole vielä operatiivisessa käytössä.

Tilirekisteri on Tullin ylläpitämä rekisteri, jonka tarkoituksena on edistää ja tehostaa toimivaltaisten viranomaisten työtä muun muassa rahanpesun estämiseksi. Tulli on havainnut, että järjestelmään on luovutettu, vastaanotettu ja talletettu henkilö- ja muita tietoja laajemmin, kuin mihin Tullilla on käsittelyoikeus. Tallennetut ylimääräiset tiedot ovat esimerkiksi henkilöiden tileihin liittyviä haltija- ja käyttöoikeustietojen kaltaisia tietoja. Tiedot eivät liity tilien maksutapahtumiin. Kaikki ylimääräiset tallennetut tiedot eivät ole henkilötietoja, vaan osa niistä koskee ainoastaan yrityksiä.

Tietoturvapoikkeama havaittiin Tullin omissa selvityksissä 2.11.2021. Sen katsotaan alkaneen 1.9.2020 eli siitä asti, kun Tilirekisteriin on ollut mahdollista luovuttaa tietoa. Tilirekisteri ei ole vielä operatiivisessa käytössä, eli sen tietoja ei vielä hyödynnetä eivätkä toimivaltaiset viranomaiset sitä vielä käytä. Tapauksella ei ole ollut vaikutusta viranomaisten toimintaan esimerkiksi viranomaisten tiedonsaantioikeuksia kaventamalla.

Tulli suhtautuu henkilötietojen käsittelyyn ja tietoturvapoikkeamaan vakavasti. Tullin alustavan riskiarvion mukaan ei ole syytä epäillä, että virheellisesti tallennettuja tietoja olisi katseltu tai muutoin käsitelty. Pääsy tietoihin on ollut ainoastaan Tullin ja käyttöpalvelutoimittajan teknisillä järjestelmäkehittäjillä, alle 10 henkilöllä. Ylimääräiset tallennetut tiedot koskevat alustavan arvion mukaan 30 000 yksityishenkilöä, joiden tiedot on saatu 12 yritykseltä. Tulli on ollut yhteydessä yrityksiin tietoturvapoikkeamaan liittyen.

Tietoturvapoikkeamasta ilmoitettiin Tietosuojavaltuutetulle 18.11.2021.

Lakimuutokset laajentaneet Tilirekisterin tietojenkäsittelyoikeuksia

Tilirekisteriin liittyvä lainsäädäntö on päivittynyt viimeisen reilun vuoden aikana, ja lainsäädäntöön on edelleen ehdotettu muutoksia. Suurinta osaa nyt havaituista, aiemmin vastaanotetuista ylimääräisistä tiedoista on voitu lainsäädäntömuutosten myötä tallentaa ja muutoin käsitellä Tilirekisterissä. Osaa tiedoista ei kuitenkaan ole saanut kerätä lakimuutosten jälkeenkään.

Tulli on aloittanut välittömästi toimenpiteet ylimääräisten tietojen poistamiseksi sekä järjestelmän puutteiden korjaamiseksi. Ylimääräiset tiedot on poistettu järjestelmästä ja tietojen vastaanottamisen estävä järjestelmäversio on julkaistu. Päivitetyt järjestelmäversiot sekä muutokset Tullin määräykseen rajapinnoista julkaistaan mahdollisimman pian. Tulli arvioi myös sisäisiä prosessejaan, jotta vastaavat tilanteet vältetään jatkossa. Tulli pahoittelee tapahtunutta.

Lisätietoja:
Tietoa Tilirekisteristä ja pankki- ja maksutilien valvontajärjestelmästä
tilirekisteri(at)tulli.fi 

Verkkouutinen