Katsaus toimintaan vuodelta 2010

2

Sisältö 1. Tietosuojavaltuutetun katsaus 2010 3 2. Tietosuojan vuosi 2010 2.1 Monipuolista yhteistyötä sidosryhmien kanssa 5 2.2 Vakiintunutta vaikuttamista kansainvälisissä tietosuojaelimissä 10 3. Tietosuojavaltuutetun toimiston resurssit, toiminta-ajatus ja arvot

sekä yhteystiedot 14 4. Tietosuojaa koskevia ratkaisuja ja kannanottoja 2010 17 5. Tietosuojalautakunnan vuosi 2010 47 6.1 Katsaus vuoden 2010 toimintaan 6.2 Vuonna 2010 käsitellyt lupa-asiat 6.3 Vuonna 2010 käsitellyt määräysasiat

6.4 Vuonna 2010 annetut lausunnot 6.5 Lautakunnan kokoonpano

6. Dataombudsmannens översikt 2010 51

Tämä katsaus tietosuojavaltuutetun toimiston toimintaan 2010 on laadittu perinteisen vuosikertomuksen sijasta. Katsaus sekä vuoden 2010 toimintakertomus ovat luettavissa toimiston kotisivuilla osoitteessa www.tietosuoja.fi/tehtävät.

3

1. TIETOSUOJAVALTUUTETUN KATSAUS Tietosuojavaltuutetun toimiston 23. toimintavuonna käynnistyi yleisen tietosuojadirektiivin 95/46/EY kokonaisuudistus. Tämä lienee syynä siihen, ettei oikeusministeriön julkiseen hankerekisteriin ilmoittamaa henkilötietolain (523/1999) kokonaisuudistusta viety eteenpäin. Sen sijaan ns. Veropörssi-asian aiheuttama muutos toteutettiin henkilötietolakiin kumoamalla sen soveltamisalasäännöksessä ollut jo julkaistuja henkilötietoja koskenut poikkeus. Merkillepantavaa on, että samalla kun yleinen direktiivi ja sen nojalla voimaansaatettu henkilötietolaki ovat pitäneet pintansa niin hyvin, on sähköisen viestinnän tietosuojalakeja jouduttu uudistamaan samaan aikaan useita kertoja. Asian ongelmallisuus tuli ilmi muun muassa sähköisen viestinnän tietosuojalain seurantaryhmän julkaisemassa väliraportissa; muutamat kyselytutkimukseen vastanneet yhteisötilaajat kun ilmoittivat ottaneensa tuohon lakiin perustuvat yhteisötilaajille suodut oikeudet käyttöönsä huolehtimatta kuitenkaan esimerkiksi lakiin perustuvasta ennakkoilmoitusmenettelystä. Komissio julkaisi useita tietosuojan kannalta merkittäviä tiedonantoja. Toimintavuoden lopulla annetussa tiedonannossaan “Kattava lähestymistapa tietosuojaan” se jopa esitti kokonaan uuden oikeuden lanseeraamista, nimittäin oikeutta unohtaa. Tämä ehdotus liittyi kuitenkin lähinnä suostumuksen käyttöön sosiaalisessa mediassa. Kansalaisten tiedollinen itsemääräämisoikeus kun ei oikein näyttäisi toimivan riittävän hyvin heidän peruuttaessaan suostumuksensa. Uuteen direktiiviin, tai muuhun sen korvaavaan instrumenttiin, tullaan komission mukaan kirjaamaan velvoitteet noudattaa ”Privacy by Design” ja ”Privacy by Default” periaatteita. Suuri haaste, mutta samalla myös mahdollisuus rekisterinpitäjille tulee olemaan ns. todennettavuuden vaatimus (accountability). Komissio pohti myös tietoturvaloukkauksista ilmoittamisen tekemistä pakolliseksi. Yhteisen eurooppalaisen toimintamallin luomista identiteettivarkauksien varalle esitettiin. Tämä kysymys nousi esille sisäministeriön asettamassa identiteetinhallintaohjelma-työryhmän työssä. Keskeinen komission kiinnostuksen kohde on kansallisten tietosuojaviranomaisten rooli ja asema. Jo Lissabonin sopimus edellyttää meiltä itsenäisyyttä, mutta myös tosiasiallisia mahdollisuuksia toimia oikeusvaltioperiaatteen mukaan aktiivisesti perusoikeuksien käyttöä edistäen. Tähän toimintakykyymme kiinnitti myös eduskunnan apulaisoikeusasiamies huomionsa tehdessään toimintavuonna tarkastuksen toimistoomme. Tietosuojavaltuutetun toimisto pyrki reagoimaan ennakoivasti tähän toimintaympäristömme rajuun muutokseen. Suoritimme laajakantoisen toimistomme ohjausjärjestelmän uudistuksen. Yhdessä koko henkilöstön kanssa – myös sitoutumisen varmistamiseksi – uusimme toimintavuonna tahtotilaamme kuvaavan visiomme, aktiivista toimintaamme määrittävän toiminta-ajatuksemme, päätöksentekoamme varten vahvistetut arvot ja keinojamme osoittavat strategiamme. Toimintavuoteen mahtui monia uutiskynnyksen ylittäneitä tapahtumia, isoja tietomurtoja, valelääkäreitä ja myrkkyhoitajia, julkisen tiedon parempaan saatavuuteen tähtääviä hankkeita, mutta myös tietoturvan parantamista näinä Wikileaksin aikoina. Uusi tietoturva-

4

asetus neliportaisine luokitteluineen ohjaa hallinnon yksiköitä kohti parempaa tiedonhallintatapaa. Me koetimme osaltamme auttaa myös yksityisen sektorin toimijoita. Kiitän jälleen toimistomme henkilöstöä hyvin sujuneesta vuodesta. Helsingissä 27. päivänä kesäkuuta 2011 Tietosuojavaltuutettu Reijo Aarnio

5

2. TIETOSUOJAN VUOSI 2010 2.1 Monipuolista yhteistyötä sidosryhmien kanssa Tietosuojavaltuutetun toimiston toiminnan tulostavoitteet on vahvistettu oikeusministeriön tulosohjauksessa laaditussa tulossopimuksessa. Osa tavoitteista on määritelty sidosryhmittäin tärkeimpien yhteistyökumppanien ja hallinnonalakohtaisen yhteistyön mukaisesti. Keskeisimmät palvelukohtaiset tavoitteet koskivat oikeusturvapalveluita, kansainvälisiä asioita ja tarkastustoimintaa. Tietosuojavaltuutetun toimiston henkilötietolain soveltamiseen liittyvä ohjaus- ja valvontatehtävä on valtakunnallinen ja kattaa sekä julkisen sektorin että yksityisen sektorin rekisterinpitäjät ja rekisteröidyt. Valtuutetun ohjaus- ja valvontatoimivalta ulottuu henkilötietolain lisäksi erityislainsäädännön perusteella tapahtuvaan henkilötietojen käsittelyyn. Tulostavoitteiden mukaan tehtävien pääpaino oli ennaltaehkäisevässä toiminnassa. Vaikuttavuutta pyrittiin lisäämään yleisohjauksen oikealla kohdentamisella ja integroitumalla toiminnallisesti erilaisiin ryhmiin, toimikuntiin jne. Tietosuojavaltuutetun toimiston edustaja osallistui yhteensä noin 80 neuvottelukuntaan, työryhmään tai muuhun yhteistyöryhmään. Tietosuojavaltuutettu on kuulunut jäsenenä tai asiantuntijajäsenenä Arjen tietoyhteiskuntaohjelman tietoturvaryhmään, jonka mandaatti päättyi 28.2.2011, sekä valtion tietoturvallisuusasiain johtoryhmään. Toimiston edustajia on osallistunut useisiin valtion tietoturvallisuuden johtoryhmän alaisiin työryhmiin. Kansainvälisenä tietosuojapäivänä keskusteltiin tietoturvalain tarpeellisuudesta Tietosuojavaltuutetun toimisto ja Valtiontalouden tarkastusvirasto (VTV) järjestivät kansainvälisenä tietosuojapäivänä 28.1.2010 IT-foorumin eduskunnan Pikkuparlamentin Auditoriossa. Tilaisuuden puheenjohtajana toimi tietosuojavaltuutettu Reijo Aarnio.

IT-foorumin aiheita olivat tietotilinpäätöksen kehittäminen ja sen tarkastaminen sekä IT-toiminnan ohjauksen tehostaminen ja sen vaikutukset tarkastustoimintaan. Alustajina foorumissa toimivat pääjohtaja, OTT Tuomas Pöysti, ylijohtaja Marjatta Kimmonen ja johtava tuloksellisuustarkastaja, HTT Tomi Voutilainen Valtiontalouden tarkastusvirastosta, erityisasiantuntija Jari Råman tietosuojavaltuutetun toimistosta, puheenjohtaja Tapani Tarvainen Effi ry:stä ja Oulun kaupungin vs. tietohallintojohtaja Juhani Heikka.

Foorumissa ehdotettiin siirtymistä nykyaikaiseen tietojohtamiseen ja valtion vanhojen virastorakenteiden radikaalia muuttamista. Tämä tapahtuisi siten, että koottaisiin perusrekistereiden ja perustietovarantojen hallinta yhdelle viranomaiselle yhdistämällä useita nykyisiä valtion virastoja.

Tilaisuuden lopuksi järjestettiin paneelikeskustelu aiheesta "Tarvitaanko Suomeen tietoturvalakia?" Paneelikeskusteluun osallistuivat toimitusjohtaja Ilkka Kananen Huoltovarmuuskeskuksesta, johtaja Timo Lehtimäki Viestintävirastosta sekä tietosuojavaltuutettu Reijo Aarnio ja pääjohtaja Tuomas Pöysti. Paneelikeskustelun puheenjohtajana toimi ylijohtaja Vesa Jatkola Valtiontalouden tarkastusvirastosta.

6

IT-foorumin johdosta annetussa lehdistötiedotteessa pääjohtaja Pöysti sanoi, että Suomi tarvitsee selkeän tietoturvallisuuslain ollakseen kilpailukykyinen. Tällä hetkellä käytössä on liian paljon ja liian hajanaista erityislainsäädäntöä. ”Sekavan mutta runsaan lainsäädännön ja ohjeistuksen opetteluun menee aikaa, ja aika maksaa. Esimerkiksi valtionhallinnon käytössä oleva VAHTI -ohjeistus on niin laaja, että organisaation yleisjohtaja ei voi sitä hallita”, Pöysti painotti. Pääjohtajan mukaan tietoturvallisuussääntely olisi koottava johdonmukaiseksi kokonaisuudeksi ja virtaviivaistettava kilpailukyvyn tarpeisiin. Liiallista sääntelyä on varottava, koska se voi tukahduttaa teknologista kehitystä ja innovaatioita. Tietoturvaviikolla puhuttiin kuvista netissä ja nettikiusaamisesta Tietosuojavaltuutetun toimisto osallistui myös kansallisen tietoturvapäivän viettoon 9.2.2010 ja tietoturvaviikon toteutukseen 8.-13.2.2010. Seitsemännen kerran järjestetty Tietoturvapäivä on osa kansallista tietoturvallisuusstrategiaa. Tietoturvapäivä-hankkeen keskeisenä päämääränä on viestinnän keinoin kohentaa kansalaisten tietoisuutta internetin mahdollisuuksista sekä tietoturvauhista ja keinoista, joilla näiltä uhilta voidaan suojautua ja välttyä. Kaudella 2010 hankkeessa oli mukana 33 toimijaa ja sitä johti Viestintävirasto. Viime kaudella keskityttiin koulujen ja kotien tietoturvatietoisuuden edistämiseen. Tietoturvaviikon pääteemaksi otettiin Insafe-verkoston valitsema teema eli kuvien julkaisu netissä. Aiheesta teetettiin myös kyselytutkimus, jonka tulokset julkaistiin Tietoturvaviikolla. Tietoturvapäivä-hanke teetti kyselyn 9-15-vuotiaille lapsille ja nuorille heidän kuvienkäyttö- ja julkaisutottumuksistaan internetissä. Kyselyn tulosten perusteella vastaajista noin 10 % oli joskus katunut julkaisemaansa kuvaa ja samoin 10 % oli löytänyt itsestään ikäviä kuvia netistä. Myös nettikiusaamista käsiteltiin erityisesti syksyn 2009 aikana. Verkkosivujen kävijämäärät Tietoturvakoulu.fi:ssä olivat ajalla 1.9.2009–30.4.2010 eri kävijöitä 38 500 ja samalla aikavälillä tietoturvaopas.fi:ssä 21 200. Tietoturvakoulu.fi:ssä oli ajanjaksolla ollut keskimäärin 4 800 eri kävijää ja tietoturvaopas.fi:ssä 2 650. Sivulatauksia tietoturvaopas.fi:ssä oli samalla aikavälillä tehty noin 206 000 ja tietoturvakoulu.fi:ssä 442 000. Tämä kertoo siitä, että käyttäjiä oli todellisuudessa tilastotietoja enemmän. Tilastot eivät kerro todellisia kävijämääriä, sillä usein yhden ip-osoitteen takaa löytyy monta käyttäjää, etenkin kouluissa. Karkeasti arvioiden molemmilla sivustoilla on käynyt kauden aikana 150 000–200 000 henkilöä. TELLU:ssa käsiteltiin terveydenhuollon tietosuoja-asioita Tietosuojavaltuutetun johdolla toimii terveydenhuollon tietosuoja-asioiden asiantuntijaviranomaisten yhteistyöryhmä (TELLU). Ryhmään kuuluvat tietosuojavaltuutetun toimiston edustajien lisäksi sosiaali- ja terveysministeriön, Suomen Kuntaliiton, Terveyden ja hyvinvoinnin laitoksen, Sosiaali- ja terveysalan lupa- ja valvontaviraston (Valvira), Etelä-Suomen aluehallintoviraston, Kelan, Suomen Lääkäriliiton, Pohjois-Pohjanmaan sairaanhoitopiirin, Varsinais-Suomen sairaanhoitopiirin sekä Helsingin ja Tampereen kaupungin terveydenhuollon edustajat. Ohjausryhmä kuulee lisäksi tarvittaessa asiantuntijoita. TELLUN tarkoituksena on seurata ja käsitellä terveydenhuollon ajankohtaisia tietosuojakysymyksiä ja ongelmia. Keskeinen tavoite on kartoittaa, koordinoida, kommentoida ja ohjeistaa terveydenhuollon valtakunnallisiin ja muihin hankkeisiin liittyviä

7

tietosuojakysymyksiä sekä varmistaa viranomaisten ja muiden toimijoiden ohjauksen ja neuvonnan yhdenmukaisuus. Ryhmä toimii myös jäsentensä keskustelufoorumina ja tuottaa tarpeen mukaan omaa ohjausmateriaalia ja malleja. Kertomusvuonna TELLU kokoontui 5 kertaa. Käsiteltävinä asioina olivat mm. poliisin virka-apupyyntö lääkärille, valelääkäritoiminta, eResepti ja Reseptikeskuksen käyttöönotto, tietosuojavaltuutetun kesällä tekemä tarkastus (webropol-selvitys) noin 1700 terveydenhuollon organisaatiolle, tietosuojavastaavien järjestäytyminen ja yhteistyö (TIEVA ry:n pj Kirsi-Marja Remes), tunnistaminen terveydenhuollon sähköisissä ajanvarausjärjestelmissä, ns. "läheltä piti" -tilanteet, vaikuttavuusarviot, terveydenhuoltolaki, laki sosiaali- ja terveydenhuollon asiakastiedon sähköisestä käsittelystä sekä STM:n muut lainsäädäntökatsaukset joka kokouksessa. Tietosuojavaltuutettu teki 16.4.2010 (Dnro 1820/452/2006) aloitteen STM:lle tarvittaviin toimenpiteisiin ryhtymiseksi koskien potilasrekisteritietojen säilyttämistä ammatinharjoittajan kuolintapauksessa tai kun toimintayksikkö lopettaa toimintansa. Asiaa käsiteltiin ensin TELLU:ssa, jonka seurannassa oli myös tietosuojavaltuutetun 23.1.2009 (Dnro 1777/02/2009) tekemä lakialoite STM:lle sosiaalihuollon asiakas- ja potilastietojen käytön selkeyttämiseksi ja mahdollisiin tarvittaviin lainsäädäntötoimenpiteisiin ryhtymiseksi. TELLUn kokouksessa 16.12.2010 päätettiin, että tietosuojavaltuutettu tekee aloitteen STM:lle ja THL:lle tietosuojasäännösten selkeyttämiseksi terveydenhuollossa. Tavoitteena oli, että STM, THL, TSV ja TELLU laativat yhdessä ”Terveydenhuollon tietosuojan parhaat käytännöt” – listan. Sen avulla olisi tarkoitus pyrkiä toimintojen yhdenmukaisuuteen, potilasturvallisuuden parantamiseen, terveydenhuollon toimintayksiköiden henkilökunnan oikeusturvan parantamiseen ja terveydenhuollon tietosuojan laadun parantamiseen. Tämä aloite tehtiinkin seuraavana vuonna (TSV 3.2.2011, Dnro243/44/2011). TELLU oli myös järjestämässä seminaareja, joissa käsiteltiin ajankohtaisia terveydenhuollon asioita kuten sähköistä lääkemääräystä eli eReseptiä ja Reseptikeskusta, Kelan tulevaisuudessa teknisesti ylläpitämää sähköistä potilasarkistoa eli eArkistoa, kansalaisen oikeutta selata näyttöpäätteensä kautta em. sähköisiä palveluja eli kansalaisen eKatselua sekä tietosuojavastaavan asemaa, tehtäviä ja toimenkuvaa: - Lääkäripäivät 11.1.2010, Helsinki - Terveydenhuollon valtakunnalliset ATK-päivät 25.-26.5.2010, Tampere - Kuntamarkkinat 15.-16.9.2010, Helsinki - TELLU-seminaari (16.11.) ja 17-18.11.2010, Lahti SOHVI keskittyi sosiaalihuollon tietosuojakysymyksiin Tietosuojavaltuutetun johdolla kokoontuvaan Sosiaalihuollon tietosuojan ohjausryhmään (SOHVI) kuuluu asiantuntijoita Suomen Kuntaliitosta, sosiaali- ja terveysministeriöstä, Sosiaaliturvan Keskusliitosta ja eri viranomaistahoilta sekä kunnista. Ryhmässä kuultiin ja keskusteltiin lainsäädännön uudistushankkeista, sosiaalialan tietoteknologiahankkeen (www.tikesos.fi) piirissä esiin nousseista tietosuojakysymyksistä ja hankkeen etenemisestä sekä muista ajankohtaisista sosiaalihuollon tietosuojakysymyksistä. Esillä oli mm. pakolaisten henkilötietojen käsittely, ennakolliseen lastensuojeluilmoitukseen liittyvä henkilötietojen käsittely ja teknisen käyttöyhteyden

8

avaamisen edellytykset. Ryhmä myös järjesti yksipäiväisen sosiaalihuollon tietosuojaseminaarin tietosuojavaltuutetun toimiston ja Suomen Kuntaliiton kanssa. Seminaariin osallistui noin 160 henkilöä, joista parikymmentä videoneuvotteluyhteyden avulla. TERTUSSA puhutti teletoiminnan kehittäminen Teletoiminnan tietosuojaryhmä (TERTTU) on toiminut vuodesta 2003 lähtien tietosuojavaltuutetun toimiston sekä Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry:n johdolla. Ryhmän kokoonpanoon kuuluu teletoimialan yritysten ja toimialajärjestön edustajia. TERTTU käsittelee toimialalla kulloinkin ajankohtaisia kansallisia ja kansainvälisiä kysymyksiä sekä seuraa tietoyhteiskuntakehitystä myös yleisemmällä tasolla. Lisäksi ryhmän kokoukset mahdollistavat tietosuojavaltuutetun ohjaus- ja neuvontatyön. Kertomusvuonna TERTUSSA käsiteltiin ja seurattiin erityisesti teleyritysten tarjoaman mobiilivarmennepalvelun kehitystyötä. Vuoden lopulla lanseerattu mobiilivarmenne mahdollistaa tunnistautumisen ja allekirjoittamisen erilaisissa sähköisissä palveluissa. Tunnistautumisen ohella myös asiakasrekisteritietojen käsittelyn ns. lokittaminen oli keskeisesti esillä TERTUN kokouksissa. Luettelo- ja numerotiedotuspalveluiden osalta kokouksissa käsiteltiin tietosuojavaltuutetun toimistoon tulleisiin kansalaisyhteydenottoihin perustuneita teemoja, joilla oli yleistä merkitystä koko toimialan kannalta. Muuttuneiden oppimisympäristöjen luomat uudet haasteet lisäsivät OTON merkitystä Tietosuojavaltuutetun toimistossa kokoontui opetustoimen tietosuojan ohjausryhmä (OTTO), jonka työskentelyyn osallistuu viranomaisten ja järjestöjen ohella käytännön toimijoita erilaisista oppilaitoksista. Ryhmän toiminnan merkitys on korostunut vuosi vuodelta, koska oppilaiden henkilötietojen käsittelyyn oppilaitoksissa on tullut uusia haasteita oppimisympäristöjen muuttuessa. Oppilaitoksissahan käytetään yhä enenevässä määrin erilaisia sähköisiä käyttöliittymiä ja oppimisalustoja, jotka asettavat uudenlaisia haasteita myös henkilötietojen käsittelyn suunnittelulle. Yhtenä esimerkkinä ovat ”sähköiset reissuvihot”, joihin kertomusvuonna tutustuttiin tarkemmin ryhmän kokouksissa. Henkilötietojen käsittelystä vastaa opetuksen järjestäjä rekisterinpitäjänä. Esimerkiksi perusopetuksessa rekisterinpitäjänä on kuntalain mukainen opetustoimen hallinnosta vastaava lautakunta. Oppilaitokset voivat käsitellä opetuksen järjestämiseksi tarpeellisia tietoja oppilaistaan ja opiskelijoistaan, mutta henkilötiedot tulee suojata ulkopuolisilta, joita ovat myös ne, jotka eivät tarvitse tietoja työtehtävissään. Arkaluonteisten ja salassa pidettävien tietojen suojaaminen on erityisen tärkeää. Henkilötietolain tarpeellisuus- ja asianmukaisuusvaatimus vaikuttavat henkilötietojen säilyttämiseen operatiivisessa toiminnassa. Arkistonmuodostamissuunnitelmassa määritellään, kuinka kauan tietoja säilytetään sen jälkeen, kun oppilas on päättänyt koulunkäyntinsä. OTON kokouksissa keskusteltiin henkilötietojen käsittelyn ohjaustarpeesta ja ohjauksen antamisesta esimerkiksi valtakunnallisina suositusten muodossa. Näin varmistettaisiin sekä hyvän tietojenkäsittelytavan toteutuminen että yhdenmukaisen käytännön aikaansaaminen ja siten oppilaiden ja opiskelijoiden yhdenvertaisuus henkilötietojen käsittelyssä.

9

Kun OTOSSA keskusteltiin sosiaalisen median käytöstä opetuksessa, pidettiin tärkeänä, että palvelun käyttöönottoa harkitseva tutustuu yhteisöpalvelun käyttöehtoihin, joissa kerrotaan, mihin käyttäjä sitoutuu. Suomalaisessa palvelussa olevasta rekisteriselosteesta ilmenee palvelussa kerättävien henkilötietojen käsittelystä vastuussa oleva taho, henkilötietojen käsittelyn tarkoitus ja mahdolliset säännönmukaiset luovutukset (henkilötietolaki HTL 24 §). Palvelun käyttäjän asemaan vaikuttaa se, minkä maan lainsäädäntöä henkilötietojen käsittelyyn sovelletaan (HTL 4 §) ja luovutetaanko henkilötietoja EU:n ulkopuolelle (HTL 5 luku). Esimerkiksi tietojen poistaminen palvelusta voi tuottaa ongelmia ja tietoja saatetaan käyttää käyttöehdoissa kerrotulla tavalla palvelun tuottajan omiin tarkoituksiin. Tietosuojavaltuutetun käsityksen mukaan koulutuksen järjestäjä ei voi velvoittaa opiskelijoita käyttämään sellaisia välineitä, joiden käyttöön liittyvä henkilötietojen käsittely ei täytä lain vaatimuksia. Opiskelijoille tulee laatia oppimisympäristön käytöstä pelisäännöt ja työnantajan tulee opastaa työntekijät hyvän tietojenkäsittelytavan noudattamiseen. Kertomusvuonna muuttuneesta lainsäädännöstä aiheutui henkilötietojen käsittelyn ohjaustarvetta. Perusopetuslakia muutettiin (642/2010) tavalla, joka selkeyttää muun muassa oppilashuoltotyön kirjaamista kouluissa, kun oppilashuoltoryhmissä käsitellään yksittäistä oppilasta koskevaa asiaa. Keskusteluissa oli laajemminkin esillä oppilaiden henkilötietojen käsittely erilaisissa oppilashuoltopalveluissa, joihin sisältyvät kouluterveydenhuolto sekä koulukuraattori- ja koulupsykologipalvelut. Lisäksi kertomusvuonna muutettiin nuorisolakia siten, että siinä säädetään etsivästä nuorisotyöstä (693/2010), jossa käsitellään tuen tarpeessa olevan nuoren henkilötietoja. OTON tavoitteena onkin omalta osaltaan tukea oppilaitoksia osallistumalla asiantuntemuksellaan koulujen ja oppilaitosten käyttöön suunnattujen tietosuoja-aiheisten materiaalien valmisteluun. Tietosuojavaltuutettu ja elinkeinoelämä tiivistivät yhteistyötä

Kertomusvuonna syntyi myös uusi tietosuojaryhmä (MAISA), kun tietosuojavaltuutettu ja elinkeinoelämä tiivistivät yhteistyötä ja perustivat ryhmän käsittelemään ajankohtaisia markkinoinnin ja asiakkuuden tietosuojakysymyksiä. Digitaalinen markkinointi, sosiaalinen media ja yhä tietointensiivisempi asiakkuudenhallinta saavat koko ajan uusia kaupallisia muotoja. Yhä useammin niihin liittyy myös vahva tietosuojanäkökulma. MAISA -ryhmän perustivat Tietosuojavaltuutetun toimisto, Asiakkuusmarkkinointiliitto, IAB Finland ja Teleforum. Ryhmän tarkoitus on edistää hyvien tietosuojakäytäntöjen syntymistä ja tukea kaupallisen sektorin itsesääntelyä sekä parantaa tiedonvaihtoa eri sektoreiden välillä. Ryhmä tulee käsittelemään laajaa asiakirjoa. Käsiteltävien asioiden joukkoon mahtuvat mm. sosiaalisen median ilmiöt, asiakastietojen hyödyntäminen, sähköinen suoramarkkinointi, cloud computing, yksityisyyden suoja ja lähiteknologiat sekä paikkatiedon hyödyntäminen. ”Kaikkien itsenäisten toimijoiden yhteistyö tulee tehostamaan parhaiden ja samalla markkinoinnin kohteiden oikeusturvan huomioivien käytäntöjen luomiseen tähtäävää työtä. Tässä on toimialan etujärjestöjen tuhannen taalan paikka osoittaa tehokkuutensa” totesi tietosuojavaltuutettu Reijo Aarnio asiaa koskeneessa lehdistötiedotteessa.

10

2.2 Vakiintunutta vaikuttamista kansainvälisissä tietosuojaelimissä

Tietosuojavaltuutetun toimisto osallistui aktiivisesti pohjoismaisiin ja kansainvälisiin kokouksiin, mm. tietosuojadirektiivin 29 art. tietosuojaryhmän, Europolin yhteisen valvontaelimen ja muutoksenhakuelimen, Schengenin tietojärjestelmän yhteisen valvontaelimen ja tullitietojärjestelmän kokouksiin. EU:n tietosuojadirektiivin artikla 29:n tietosuojatyöryhmä Tietosuojadirektiivin (95/46/EC) 29 artiklaan perustuva EU:n jäsenvaltioiden tietosuojaviranomaisista koostuva tietosuojatyöryhmä kokoontui vuoden 2010 aikana 5 kertaa. Tietosuojatyöryhmä on riippumaton neuvoa antava asiantuntijaelin tietosuojaan liittyvissä kysymyksissä ja se on toiminnassaan itsenäinen. Työryhmän tavoitteena on mm. tutkia ja esittää tietosuojadirektiivin soveltamiseen ja tulkintaan liittyviä kysymyksiä. Se antaa tietosuojaan liittyviä lausuntoja ja suosituksia komissiolle. Tietosuojatyöryhmän alatyöryhmistä tietosuojavaltuutetun toimistolla oli vuonna 2010 edustaja ryhmässä ”Technology Subgroup”. Vuonna 2010 tietosuojatyöryhmä käsitteli ja/tai antoi lausuntonsa seuraavista aiheista:

Lausunto 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä (WP 169, 16.02.2010)

Työohjelma 2010–2011 (WP 170, 15.02.2010) Lausunto 2/2010 käyttötottumuksia seuraavasta internetmainonnasta (WP 171,

22.06.2010) Report 01/2010 on the second joint enforcement action: Compliance at national

level of Telecom Providers and ISPs with the obligations required from national traffic data retention legislation on the legal basis of articles 6 and 9 of the e-Privacy Directive 2002/58/EC and the Data Retention Directive 2006/24/EC amending the e-Privacy Directive (WP 172, 13.7.2010), ei julkaistu suomeksi)

Lausunto 3/2010 tilivelvollisuuden periaatteesta (WP 173, 13.7.2010) Lausunto 4/2010 henkilötietojen käyttöä suoramarkkinoinnissa koskevista Euroopan

suoramarkkinointiliiton (FEDMA) eurooppalaisista käytännesäännöistä (WP 174, 13.7.2010)

Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFID sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille (WP 175, 13.7.2010)

FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC (WP 176, 12.7.2010, ei julkaistu suomeksi)

Lausunto 6/2010 henkilötietojen suojan tasosta Uruguayn itäisessä tasavallassa (WP 177, 12.10.2010)

Lausunto 7/2010 matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta annetusta komission tiedonannosta (WP 178, 12.11.2010)

11

Opinion 8/2010 on applicable law (WP 179, 16.12.2010, ei julkaistu suomeksi) Artikla 29 työryhmän kokouksiin osallistuu myös Euroopan tietosuojavaltuutettu, jona toimii Peter Hustinx. Euroopan tietosuojavaltuutettu on riippumaton valvontaelin, jonka tehtävänä on valvoa luonnollisten henkilöiden suojelemista henkilötietojen käsittelyssä ja tällaisten tietojen vapaata liikkuvuutta koskevien yhteisön säädösten soveltamista yhteisön toimielimiin. Europolin yhteinen valvontaelin Euroopan poliisivirasto (jäljempänä Europol) on Euroopan unionin lainvalvontaorganisaatio. Europolin tavoite on parantaa jäsenvaltioiden toimivaltaisten viranomaisten tehokkuutta ja yhteistyötä vakavan kansainvälisen järjestäytyneen rikollisuuden ja terrorismin ehkäisemisessä ja torjunnassa. Euroopan unionin neuvoston 6 päivänä huhtikuuta 2009 tekemä päätös Europolin perustamisesta (2009/371/YOS), korvaa Europolin oikeusperustana aikaisemmin olleen Europol-yleissopimuksen. Europol-päätöksen tavoitteena on yksinkertaistaa ja parantaa Europolin säädöskehystä, rahoittaa Europol unionin yleisestä talousarviosta ja luoda mahdollisuuksia muuttaa päätöstä tarvittaessa joustavasti. Europol-päätös tuli voimaan 2010 lukien. Tietosuojavaltuutetun toimisto osallistuu Europolin mukaisen yhteisen valvontaelimen toimintaan. Yhteisen valvontaelimen tehtävänä on valvoa Europolin toimintaa sen varmistamiseksi, että Europolin elinten käytössä olevien tietojen tallentaminen, käsittely ja käyttö eivät vaaranna rekisteröidyn oikeuksia. Vuonna 2010 valvontaelin valvontaelin toimeenpani mm. vuosittaisen laajan tarkastuksen Europolissa. Valvontaelin käsitteli lukuisia Europolin toimesta tapahtuvaan henkilötietojen käsittelyyn liittyviä kysymyksiä. mm. kolmansien maiden kanssa tehtävään tietojenvaihtoon liittyviä kysymyksiä, analyysitietokantojen toiminnassa noudatettavia menettelytapoja sekä tietojen hankintaan liittyviä asioita. Europolin yhteisen valvontaelimen muutoksenhakukomitea tutkii Europol-päätöksessä tarkoitetut rekisteröityjen oikeuksia koskevat asiat ja antaa asioissa lopullisen päätöksen. Komiteassa on yksi jäsen kustakin valtuuskunnasta. Muutoksenhakukomitean toimintaan vaikutti keskeisesti se, että kansalaisten vireille panemien muutoksenhakuasioiden määrä on lisääntynyt. Schengenin tietojärjestelmän yhteinen valvontaelin Schengenin säännöstön tarkoituksena on helpottaa henkilöiden vapaata liikkumista unionin jäsenmaissa, tästä syystä rajatarkastukset Euroopan unionin sisärajoilla on poistettu. Rajamuodollisuuksien sijaan viranomaisvalvonnan tukena on Schengen-valtioiden yhteinen tietojärjestelmä (SIS). Tietosuojavaltuutetun toimiston edustaja

12

osallistuu Schengen-yleissopimuksen mukaisen tietojärjestelmän yhteisen valvontaelimen toimintaan. Yhteisen valvontaelimen tehtävänä on mm. tutkia tietojärjestelmän käyttöön liittyviä oikeudellisia kysymyksiä. Valvontaelin käsitteli Schengenin tietojärjestelmän käyttöön liittyviä kysymyksiä, keskeisenä asiana oli mm. Schengenin tietojärjestelmän eri kuulutusluokkiin tehdyt yhteiset tarkastuksen ja niiden jatkotoimenpiteet. Tullitietojärjestelmän yhteinen valvontaelin Euroopan Unionin tullitietojärjestelmää koskevan säännöstön perusteella tullitietojärjestelmää valvoo yhteinen valvontaviranomainen, jossa tietosuojavaltuutetun toimiston edustaja on jäsenenä. Keskeisenä asiaryhmänä oli mm. yhteisen kattavan tarkastuksen valmistelu ja kansallisen ohjeistuksen selvittäminen ja arvioiminen. EURODAC-järjestelmän yhteinen valvonta Järjestelmä on perustettu Dublinin yleissopimuksen soveltamista varten. EURODAC-järjestelmän avulla jäsenvaltiot voivat tunnistaa turvapaikanhakijat ja henkilöt, jotka on pidätetty heidän ylittäessään yhteisön ulkorajan luvatta. Sormenjälkiä vertaamalla jäsenvaltiot voivat tarkistaa, onko turvapaikanhakija tai jäsenvaltion alueella luvattomasti oleskeleva ulkomaalainen tehnyt jo hakemuksen toisessa jäsenvaltiossa tai onko turvapaikanhakija tullut unionin alueelle laittomasti. Järjestelmä koostuu Euroopan komission hallinnoimasta keskusyksiköstä, sähköisestä sormenjälkien keskustietokannasta sekä välineistä, joilla siirretään tietoja sähköisessä muodossa jäsenvaltioiden ja keskustietokannan välillä. Tietosuojavaltuutetun toimiston edustaja osallistui EURODAC-sormenjälkirekisterin valvontaan liittyvään yhteistyöhön. Yhteistyössä arvioidaan järjestelmän käyttöön liittyviä tietosuojakysymyksiä. Yhteistyössä valmisteltiin mm. yhteistä ns. tietojen poistoaikojen noudattamista koskevaa tarkastusta, joka toteutetaan jäsenmaiden tietosuojaviranomaisten toimesta vuoden 2011 aikana. Yhteistyö poliisi- ja oikeusasioissa – WPPJ Tietosuojavaltuutetun toimisto osallistui poliisi- ja oikeusasioiden työryhmän toimintaan (Working Party on Police and Justice-WPPJ). Työryhmä käsittelee laaja-alaisesti poliisi- ja oikeusasioihin liittyviä tietosuojakysymyksiä. Työryhmän toiminta perustuu Euroopan tietosuojaviranomaisten kokouksessaan antamaan toimeksiantoon. Työryhmä käsitteli mm. poliisi- ja oikeusasioiden tietosuojan puitepäätöksen toimeenpanoon ja lainvalvontaviranomaisten tietojenvaihtoon liittyviä asioita.

13

Euroopan unionin tietosuojaviranomaisten esittelijäkokous Vuonna 2010 järjestettiin kaksi EU-esittelijäkokousta, ensimmäinen Brysselissä 18.-19.3. ja toinen Manchesterissä 20.-21.9. Brysselin kokouksen asialistalla olivat tieteellinen tutkimus, suoramarkkinointia koskevat kansalliset käytännesäännöt sekä liikenneasiat (kuten tietullit). Manchesterissä keskityttiin puolestaan tietosuojaviranomaisten omiin prosesseihin ja menettelytapoihin asioiden käsittelyssä. Tavoitteena oli jakaa hyviä käytäntöjä sekä tehostaa toimintatapoja esim. valitusten käsittelyssä ja tarkastusten tekemisessä. Tieteellisen tutkimuksen kokous Brysselissä Brysselissä järjestettiin 22. – 23.11.2010 kansainvälinen konferenssi ”Privacy Scientific Research: from Obstruction to Construction”, johon tietosuojavaltuutetun toimiston edustajat osallistuivat. Konferenssin tavoitteena oli luoda tietosuojaviranomaisten, lakiasiantuntijoiden, akateemikoiden sekä tutkijoiden välille dialogi, jonka pohjalta pyrittiin hahmottamaan tieteellisen tutkimuksen parhaat käytännöt yksityisyyden suojan näkökulmasta. Konferenssin teemana oli selvittää, kuinka tieteellistä tutkimusta voidaan toteuttaa tehokkaasti ottaen asianmukaisesti huomioon tietosuojalainsäädännön vaatimukset . Euroopan tietosuojavaltuutettujen kevätkokokous Euroopan tietosuojavaltuutettujen kevätkokous pidettiin Prahassa 29-30.4.2010. Kokous antoi seuraavat julkilausumat:

Resolution on the use of body scanners for airport security purposes Resolution on the envisaged agreement between the European Union and the

United States of America on data protection standarts in the area of police and judical co-operation in criminal matters

Resolution on future development of data protection and privacy Resolution on set up of joint actions of awareness and education of youngsters at

an European and international level Tietosuojan 31. maailmankokous 32. kansainvälinen tietosuojaviranomaisten maailmankokous pidettiin Jerusalemissa, Israelissa 27.-29.10.2010. Kokousta edelsi 25.-26.10.2010 OECD:n tietosuojakonferenssi The Evolving Role of the Individual in Privacy Protection: 30 years after the OECD Privacy Guidelines. Maailmankokous antoi 5 julkilausumaa:

Accreditation Resolution Administrative Resolutions Resolution on International Conference Resolution on Improvement of the Conference Organizational Setup Resolution on Privacy by Design

14

3. TIETOSUOJAVALTUUTETUN TOIMISTON RESURSSIT, TOIMINTA-AJATUS JA ARVOT SEKÄ YHTEYSTIEDOT RESURSSIT Toimiston vakinaisten täytettyjen virkojen määrä oli vuoden 2010 lopussa 18. Toimistossa työskenteli lisäksi yksi oikeusministeriön virassa oleva henkilö, joka nimilautakunnan tehtävien ohella hoitaa tietosuojavaltuutetun toimiston ylitarkastajan tehtäviä. Osa vakinaista viroista jouduttiin pitämään budjettisyistä täyttämättä vuonna 2010. Henkilötyövuosien kokonaismäärä oli 22,80 htv, kun mukaan lasketaan myös harjoittelijat ja muut määräaikaisissa virkasuhteissa vuoden 2010 aikana työskennelleet. VAKITUINEN HENKILÖKUNTA 31.12. 2010 Aarnio, Reijo, tietosuojavaltuutettu

Helén, Pirjo, tarkastaja

Huhtiniemi, Heikki, ylitarkastaja

Höök, Marita, ylitarkastaja

Järvinen, Johanna, ylitarkastaja

Kara, Eija, ylitarkastaja

Karppinen, Lauri, IT -erityisasiantuntija

(Ketomäki, Juhani, ylitarkastaja, OM)

Kumpula, Elisa, toimistopäällikkö

Laiho, Erna, osastosihteeri

Lankinen, Hanna, ylitarkastaja

Lehto, Anne, tietopalvelusihteeri

Murtomäki, Mia, ylitarkastaja

Partanen, Heikki, ylitarkastaja

Pihamaa, Heljä-Tuulia, ylitarkastaja

Puukka, Arja, ylitarkastaja

Tamminen-Dahlman, Anne, ylitarkastaja

Vuorivirta, Lauri, ylitarkastaja,

Ylipartanen, Arto, ylitarkastaja

15

TOIMINTA-AJATUS JA ARVOT VISIO: Tietosuoja on menestystekijä TOIMINTA-AJATUS: Vapaus tehdä itsenäisesti, yhteisön voimaa hyödyntäen, ammattitaidolla, ennaltaehkäisevästi ja ohjaten. STRATEGIAT: 1) ennakointi ja priorisointi 2) osaaminen 3) informaatio-ohjaus 4) liittoutuminen Ennakointi ja priorisointi osana strategiaamme tarkoittaa, että tunnistamalla kehittämiskohteet sekä keskittymällä oikea-aikaisesti ja ennakoiden tärkeimpiin asioihin ja ilmiöihin vahvistamme kykyämme vaikuttaa oikeisiin ja merkittäviin asioihin. Osaaminen. Ilman osaamista toiminnaltamme putoaisi pohja pois. Informaatio-ohjauksen keinoin saavutamme tavoitteemme tietoyhteiskunnassa ja verkostoituneessa maailmassa. Liittoutuminen vahvistaa rajallisia voimavarojamme. Verkottuminen yhteiskuntaan sekä luotettavien ja tehokkaiden kumppanien kanssa toimiminen tehostaa toimintaamme ja sen vaikuttavuutta. ARVOT: 1) yhteisöllisyys 2) oikeudenmukaisuus ja riippumattomuus 3) ajanmukaisuus 4) luovuus 5) avoimuus ja ymmärrettävyys Yhteisöllisyys arvona tarkoittaa meidän kannaltamme ”samassa veneessä ollaan”- ajattelutapaa. Tekemisemme vaikuttavat asiakkaidemme lisäksi aina myös muiden toimistossamme työskentelevien töihin, tuloksiin ja työviihtyvyyteen. Työkaveria ei jätetä pulaan. Oikeudenmukaisuus ja riippumattomuus kuvastavat arvoina asemaamme ja toimintamme perustetta. Jo meitä koskevista säädöksistä johtuu, että toimistomme tulee olla itsenäinen ja riippumaton. Toisaalta osana lainvalvontakoneistoa voimme perustaa päätöksemme vain lakiin. Ajanmukaisuus viestii siitä, että meidän tulee seurata ”turbulenssia”, jossa lainsäädäntö elää jatkuvasti sekä vastata teknologisesta kehityksestä aiheutuviin haasteisiin. Nämä luovat haasteita osaamisellemme ja kyvyllemme ymmärtää ajassa liikkuvia ilmiöitä.

16

Luovuus on välttämätöntä sovitettaessa yhteen uusia ilmiöitä ja ”vanhaa” lainsäädäntöä. Toisaalta tunnustettu tosiasia on, että näköpiirissä olevassa tulevaisuudessa toimistomme resurssit eivät kasva samaan tahtiin tehtäviemme ja niiden vaativuuden kanssa. Onnistuaksemme meidän tulee etsiä jokapäiväiseen lainvalvontatoimeemme liittyen luovia ratkaisua, joiden avulla varmistetaan yhteiskunnallinen vaikuttavuutemme. Avoimuus ja ymmärrettävyys ovat menestyksekkään toimintamme kulmakiviä. Sisäiset ja ulkoiset tiedonhallinta- ja viestintäjärjestelmät palvelevat paitsi omia, myös asiakkaittemme ja sidosryhmiemme tarpeita. Avoimuus ei kuitenkaan yksin riitä, vaan viestimme asiakkaillemme ja yhteiskunnan eri toimijoille tulee olla selkeä ja ymmärrettävä. YHTEYSTIEDOT Osoite: Albertinkatu 25 A, 3. krs. Postiosoite: PL 315, 00181 Helsinki Puhelin: vaihde: 010 36 66700 puhelinneuvonta: 0100 86205

neuvonta-aika: ma-ti klo 9.00-11.00 sekä 13.00-15.00 perj. klo 9.00 – 12.00

Telefax: 010 36 66735 Sähköposti: tietosuoja@om.fi kotisivu/Internet: www.tietosuoja.fi

17

5. TIETOSUOJAA KOSKEVIA RATKAISUJA JA KANNANOTTOJA 2010

MITEN OPISKELIJOIDEN HENKILÖTIETOJA KÄSITELLÄÄN OPISKELIJAN VALMISTUTTUA?

Dnro 775/41/2010

Asian kuvaus:

Tietosuojavaltuutetulta tiedusteltiin, minkälaiset käytänteet olisivat hyviä tietosuojan kannalta koskien opiskelijoiden henkilötietojen poistamista opintohallintojärjestelmästä sen jälkeen, kun opiskelija valmistuu tai eroaa.

Tietosuojavaltuutetun vastaus:

Toimintaa koskevassa opetustoimen lainsäädännössä voi olla henkilötietojen käsittelyyn vaikuttavia säännöksiä. Sen lisäksi henkilötietojen käsittelyyn sovelletaan henkilötietolakia (HTL) yleislakina. Henkilötieto on määritelty lain 3 §:n 1 kohdassa.

Henkilötietojen käsittely tulee suunnitella. Käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään (6 §). Oppilaitoksissa käsitellään sekä hakijoiden että opiskelijoiden henkilötietoja ja tietojen käsittelyn on katsottu perustuvan lain 8.1 § 5 kohtaan. Lain 11 §:ssä määriteltyjen arkaluonteisten tietojen (esim. terveydentilaa tai sairautta kuvaavat tiedot) käsittelyn edellytyksistä säädetään lain 12 §:ssä.

Samaan henkilörekisteriin kuuluvat käyttötarkoituksensa vuoksi yhteenkuuluvat merkinnät (3 § 3 kohta). Opiskelijavalinnassa hakijasta voidaan kerätä valinnan suorittamisen kannalta tarpeellisia henkilötietoja. Tiedot talletetaan valintarekisteriin. Koulutusta järjestettäessä opiskelijasta kerättävät tarpeelliset tiedot talletetaan opiskelijarekisteriin. Henkilötietojen käsittelystä vastaa lain 3 §:n 4 kohdassa määritelty rekisterinpitäjä (koulutuksen järjestäjä).

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (6 §). Henkilötietolaki asettaa rekisterinpitäjille huolellisuusvelvoitteen (5 §), käyttötarkoitussidonnaisuuden vaatimuksen (7 §) sekä tietojen laatua koskevat vaatimukset (9 §). Rekisterinpitäjän tulee suojata tiedot asiattomalta pääsyltä ja laittomalta käsittelyltä (32 §). Koulun henkilökunnalle annetaan työtehtävien edellyttämät käyttöoikeudet ja käyttöoikeuksien käyttöä valvotaan säännöllisesti.

Tietojen säilyttämistarvetta arvioitaessa tulee ottaa huomioon henkilötietolain 9.1 §, 12.2 § ja 34 §, ellei erityisiä säännöksiä ja määräyksiä henkilötietojen säilyttämisestä ole. Esimerkiksi kunnan ja kuntayhtymän järjestämään opetukseen sovelletaan arkistolakia. Arkistonmuodostamissuunnitelmassa määritellään, kuinka kauan opiskelijoiden henkilötietoja säilytetään arkistossa sen jälkeen, kun tietoja ei ole enää tarpeen käyttää aktiivikäytössä päivittäisessä toiminnassa. Arkistolaitos on antanut oppaan Säilytysaikojen

18

määrittelyn periaatteiksi (Arkistolaitos 2005), jossa asiaa käsitellään tarkemmin. Oppaasta ilmenee, että passiivisessa säilytysvaiheessa olevaa tietoa ei käytetä enää hyväksi rekisterinpitäjän operatiivisessa toiminnassa. Passiivisessa säilytysvaiheessa olevien tietojen käyttöoikeudet täytyy rajoittaa siten, että vain arkistonhoidosta vastaavat henkilöt voivat käsitellä niitä. Tietoja hävitettäessä on toimittava siten, että hävitettävät tiedot eivät päädy ulkopuolisten käsiin. Tietojen arkistoinnin osalta tarkempaa neuvoa antaa arkistolaitos.

SOSIAALIPALVELUJEN TARPEEN KARTOITUSTA JA ENNAKOLLISTA LASTENSUOJELUILMOITUSTA KOSKEVIEN HENKILÖTIETOJEN KÄSITTELY Dnro 2128/41/09 Tietosuojavaltuutetun saama tiedustelu: Sosiaalihuoltolain 40 a §:n 2 momentin mukaan kunta on velvollinen järjestämään säännöksessä tarkoitetulle vanhuusväestöön kuuluvalle henkilölle pääsyn sosiaalipalvelujen tarpeen arviointiin. Samankaltainen säännös sisältyy myös vammaispalvelulain 3 a §:ään. Palvelutarpeen arviointi on lopetettava henkilön sitä pyytäessä. Palvelutarpeen arviointi voi johtaa varsinaiseen asiakkuuteen ja palvelujen järjestämiseen. Asiaa koskevat päätökset tehdään aina hakemuksen perusteella. Palvelutarpeen arvioinnin yhteydessä viranomainen saa haltuunsa sen kohteena olevasta henkilöstä tietoja ja asiakirjoja. Viranomainen joutuu arvioimaan, missä kyseiset tiedot säilytetään ja miten ne järjestetään. On myös arvioitava, miten suhtaudutaan niihin asiakirjoihin, jotka on saatu ennen palvelutarpeen kartoituksen keskeyttämistä. Onko kysymys sosiaalihuollon asiakirjoista, vaikka varsinaista asiakkuutta asiassa ei ole syntynyt? Sosiaalihuollon asiakaslain 3 §:ssä on määritelmät asiakkaasta, sosiaalihuollosta ja asiakirjasta. Säännöksessä tarkoitettuna asiakkaana pidetään henkilöitä, jotka hakevat ja käyttävät sosiaalihuollon palveluja tai saavat sosiaalihuollon etuuksia. Asiakkuus aktualisoituu tietyn toimenpiteen, hakemuksen, päätöksen, ilmoituksen tai palvelun kautta. Kyseisen lainkohdan perustelujen mukaan asiakkaita ovat myös ne, jotka saavat esimerkiksi palveluja koskevaa ohjausta tai neuvontaa. Määritelmä kattaa myös sellaiset asiakassuhteet, joissa asiakas omasta tahdostaan riippumatta tulee sosiaalihuollon piiriin. Sosiaalihuollon asiakaslaissa tarkoitettu asiakirja laaditaan lain tarkoittaman asiakkaan osalta. Säännöstä arvioitaessa on asiaa tietosuojavaltuutetulta tiedustelleen henkilön mukaan mahdollista lähteä siitä, että kysymys on sellaisista sosiaalihuollon asiakaslain tarkoittamista asiakirjoista, jotka koskevat asiakasta, vaikka varsinaista asiakkuutta ei olekaan syntynyt. Kysymys on kuitenkin ollut sosiaalihuoltolain tarkoittamien toimenpiteiden kohteena olleesta henkilöstä, jonka palveluntarvetta on jo aloitettu kartoittamaan. Henkilölle on voitu antaa yksityiskohtaista tai yleistä ohjausta esimerkiksi sosiaalihuollon palvelujärjestelmistä sosiaalihuollon asiakaslain 5 §:n mukaisesti. Lastensuojelulain muutos, joka tuli voimaan 1.3.2010, sisältää säännöksen (25 c §) ns. ennakollisesta lastensuojeluilmoituksesta. Sen mukaan ilmoitusvelvollisen pitää tehdä ennakollinen lastensuojeluilmoitus ennen lapsen syntymää, mikäli on perusteltua syytä

19

epäillä lapsen tarvitsevan lastensuojelun tukitoimia välittömästi syntymänsä jälkeen. Sosiaaliviranomaisen on arvioitava ilmoituksen kohteena olevien henkilöiden sosiaalipalvelujen tarve. Lisäksi voidaan arvioida välittömästi lapsen syntymän jälkeen tarvittavat sosiaalipalvelut. Säännöksessä on nimenomaisesti mainittu, että lastensuojeluasia tulee vireille ja lastensuojelun asiakkuus alkaa vasta lapsen syntymän jälkeen siten kuin lastensuojelulain 26 §:ssä säädetään. Asiaa tietosuojavaltuutetulta tiedustellut henkilö katsoi ennakollisen lastensuojeluilmoituksen osalta olevan selvää, että mikäli odottavalle äidille annetaan sosiaalipalveluja, on hän asiakaslain tarkoittama asiakas ja hänestä laaditut asiakirjat ovat sosiaalihuollon asiakasasiakirjoja. Sellainen tilanne on kuitenkin epäselvempi, jossa ennakollinen lastensuojeluilmoitus on tehty, mutta viranomainen ei ole sen johdosta ryhtynyt järjestämään odottavalle äidille palveluja tai tukitoimia. Tietosuojavaltuutetulta tiedusteltiin, voiko viranomainen ja onko siihen jopa velvollisuus, säilyttää ennakollisen lastensuojeluilmoituksen osalta asiakirjoja ja seurata tilannetta ainakin siihen asti kun lapsi syntyy. Mikäli lapsen äiti tai lapsi ei tarvitse lastensuojelulain mukaisia palveluja, ei säännöksen nimenomaisen maininnan mukaan lastensuojelun asiakkuuttakaan synny. Voidaanko asiakirjat tästä huolimatta säilyttää kunnan rekisterissä ja ketä mainitut asiakirjat (lähinnä ilmoitus) koskee, lapsen äitiä vai lasta? Tulisiko mainittu ilmoitus poistaa viranomaisen rekisteristä vai voidaanko se siirtää viranomaisen passiivirekisteriin? Jos ja kun viranomaiselle syntyy ennakollisen lastensuojeluilmoituksen perusteella vähintäänkin seurantavelvollisuus, muodostuuko ennakollisista lastensuojeluilmoituksista erillinen henkilörekisteri? Tietosuojavaltuutetun kannanotto: Henkilötietolaista ja sosiaalihuollon asiakaslaista Henkilötietolaki on henkilötietojen käsittelyä koskeva yleislaki, jota on sovellettava, jollei muualla laissa toisin säädetä. Tiedustelussa mainituissa sosiaalihuollon palveluissa kerätään henkilötietolain tarkoittamia arkaluonteisia henkilötietoja. Kyseisen lain mukaan arkaluonteisten henkilötietojen käsittely, esimerkiksi niiden kerääminen ja tallettaminen rekisteriin, on mahdollista mm. silloin, jos käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Lisäksi henkilötietolaki oikeuttaa sosiaalihuollon viranomaisen käsittelemään toiminnassaan saamiaan tietoja rekisteröidyn sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista tai hänelle myönnetyistä muista sosiaalihuollon etuuksista taikka muita rekisteröidyn huollon kannalta välttämättömiä tietoja. Sosiaalihuollon asiakaslaki on erityislaki, joka syrjäyttää henkilötietolain siltä osin kuin siinä on henkilötietojen käsittelystä säädetty. Sosiaalihuollon asiakaslaissa mm. määritellään, mitä tarkoitetaan asiakkaalla. Tietosuojavaltuutetun käsityksen mukaan edellä mainitut henkilötietolain säännökset oikeuttavat henkilöä koskevia tietojen keräämiseen ja tallettamiseen siinäkin tilanteessa, ettei henkilön katsottaisi olevan sosiaalihuollon asiakaslain määrittelemä asiakas.

20

Sosiaalipalvelun tarpeen arviointia koskevien henkilötietojen käsittelystä Sosiaalihuoltolain 40 a §:n mukaan kiireellisissä tapauksissa sosiaalipalvelujen tarve on arvioitava viipymättä. Muissa tapauksissa kunta on velvollinen järjestämään 75 vuotta täyttäneelle pääsyn sosiaalipalvelujen tarpeen arviointiin määräajassa siitä kun hän itse tai muu säännöksessä mainittu taho on ottanut yhteyttä sosiaalipalveluista vastaavaan kunnan viranomaiseen palvelujen saamiseksi. Vastaava velvoite koskee vammaisetuuksista annetun lain 9 §:n 3 momentin 3 kohdan mukaista eläkettä saavan hoitotukea saavalle. Tietosuojavaltuutetun käsityksen mukaan kyseessä on laissa säädetty tehtävä, joka antaa myös kunnan sosiaalipalveluista vastaavalle viranomaiselle oikeuden henkilötietojen käsittelyyn ja mm. niiden tallettamiseen. Tietojen avulla voidaan mm. valvoa ja seurata, onko yhteydenoton johdosta ryhdytty määräajassa lain edellyttämiin toimiin sekä minkälaiseksi sosiaalipalvelujen tarve on arvioitu. Jos saman henkilön osalta tulee myöhemmin yhteydenottoja muiltakin tahoilta, niin talletetuista tiedoista selviää aiempi tilanne. Koska tietojen käsittely perustuu laissa säädettyyn tehtävään, ei henkilötietolain kannalta ole estettä tietojen säilyttämiseen niissäkään tilanteissa, joissa palvelutarpeen arviointi on keskeytetty. Tietosuojavaltuutettu katsoo, että kyseisiä henkilöitä voidaan pitää myös sosiaalihuollon asiakaslain tarkoittamina sosiaalihuollon asiakkaina ja siten heitä koskevat tiedot ovat myös sosiaalihuollon asiakastietoja. Ennakollista lastensuojeluilmoitusta koskevien henkilötietojen käsittelystä Lastensuojelulain 25 c §:n mukaan ennen lapsen syntymää ilmoitusvelvollisten henkilöiden on tehtävä ennakollinen lastensuojeluilmoitus, jos on perusteltua syytä epäillä, että syntyvä lapsi tulee tarvitsemaan lastensuojelun tukitoimia valittömästi syntymänsä jälkeen. Kiireellisessä tapauksessa on arvioitava viipymättä ennakollisen lastensuojeluilmoituksen kohteena olevien henkilöiden sosiaalipalvelujen tarve. Voidaan arvioida myös välittömästi lapsen syntymän jälkeen tarvittavat sosiaalipalvelut. Laissa ei ole määritelty, mihin ennakollinen lastensuojeluilmoitus ja sen käsittelyyn liittyvät tiedot tulisi tallettaa. Lastensuojelulain 25 b §:ssä säädetään, että sosiaalihuollosta vastaavan toimielimen on pidettävä rekisteriä lastensuojeluilmoituksista ja ilmoitusten sijaan tehdyistä pyynnöistä lastensuojelutarpeen arvioimiseksi. Kyseisessä pykälässä ei ole säädetty siitä, että rekisteriin talletettaisiin myös ennakolliset lastensuojeluilmoitukset. Myös ennakollisten lastensuojeluilmoitusten tarkoituksena on lastensuojelu kuten muidenkin 25 b §:ssä säädettyjen ilmoitusten. Hallituksen esityksen perustelujen (HE 225/2009vp) mukaan kyse olisi tilanteista, joissa ilmoittajalla olisi varmaa tietoa esimerkiksi lapsen äidin päihdeongelmasta, vakavasta mielenterveyden häiriöstä tai vapausrangaistuksesta. llmoitus voisi koskea myös muita sellaisia tilanteita, joissa on ilmeistä, että perhe tulee tarvitsemaan lastensuojelun tukitoimia heti synnytyksen jälkeen. Ennakollisen lastensuojeluilmoituksen tarkoituksena olisi ensisijaisesti turvata odottavalle äidille ja lapsen tulevalle perheelle riittävät tukitoimet jo raskausaikana. Ilmoitus antaisi

21

mahdollisuuden lastensuojelun tukipalvelujen suunnittelemiseen ennakolta ja velvollisuuden arvioida välittömästi muiden kiireellisten sosiaalipalvelujen tarve. Henkilötietolain mukaan henkilörekisterin muodostavat samaa käyttötarkoitusta varten kerätyt tiedot. Kyseinen laki edellyttää, että henkilötietojen käsittelyn tarkoitukset tulee määritellä. Tietosuojavaltuutetun käsityksen mukaan on mahdollista määritellä tietojen käyttötarkoitus niin, että ennakolliset lastensuojeluilmoitukset ja niiden käsittelyyn liittyvät tiedot talletetaan omaan erilliseen ennakollisten lastensuojeluilmoitusten rekisteriin. Toisaalta tietosuojavaltuutetun mielestä on mahdollista määritellä tietojen käyttötarkoitus myös siten, että ennakolliset lastensuojeluilmoitukset talletettaisiin samaan ilmoitusrekisteriin yhdessä varsinaisten lastensuojeluilmoitusten ja lastensuojelutarpeen arvioimiseksi tehtyjen pyyntöjen kanssa. Niiden kaikkien tarkoituksenahan on saattaa sosiaaliviranomaisen tietoon lapsen mahdollinen lastensuojelun tarve. Kustakin ilmoituksesta ja pyynnöstä tulee ilmetä, onko se varsinainen lastensuojeluilmoitus, ennakollinen lastensuojeluilmoitus vai edellä mainitussa lainkohdassa tarkoitettu pyyntö. Henkilötietolain 3 §:n mukaan rekisteröidyllä tarkoitetaan henkilöä, jota henkilötieto koskee. Kyseistä pykälää koskevassa hallituksen esityksen perusteluissa (HE 96/98 s. 34) todetaan henkilötiedon käsitteen osalta, että syntymättömän lapsen yksityisyyden suoja voidaan ottaa huomioon siten, että hänen tietojaan pidetään äidin tietojen liitännäistietoina. Lapsen synnyttyä nämä tiedot ovat lapsen henkilötietoja. Ennakollinen lastensuojeluilmoitus ja sen käsittelyyn liittyvät tiedot talletetaan äidin nimellä rekisteriin. Tietosuojavaltuutetun käsityksen mukaan ennakollisen lastensuojeluilmoituksen voidaan katsoa koskevan sekä lasta että hänen äitiään. Lapsen syntymän jälkeen ilmoitus tarvittaessa löytyy, kun lapsen tietojen yhteydessä on tieto hänen äidistään. Äidille ja perheelle mahdollisesti annettaviin etuuksiin tai palveluihin liittyvät tiedot talletetaan asianomaisiin sosiaalihuollon rekistereihin. Ennakollisen lastensuojeluilmoituksen tekovelvollisuudesta säädetään laissa. Tämän vuoksi henkilötietolain kannalta ei ole estettä ennakollisten lastensuojeluilmoitusten sälyttämiseen, vaikkei viranomainen olisi ryhtynytkään järjestämään palveluja tai tukitoimia odottavalle äidille tai ryhtynyt johonkin muuhun toimenpiteisiin. Tilannetta saattaa olla tarpeen seurata ja ilmoituksen tiedoilla saattaa myöhemmin olla merkitystä lastensuojelun tarvetta arvioitaessa. Ilmoitus ja sen käsittelyyn liittyvät tiedot voidaan säilyttää joko ennakollisten lastensuojeluilmoitusten rekisterissä tai edellä mainitussa ilmoitusrekisterissä yhdessä varsinaisten lastensuojeluilmoitusten ja pyyntöjen kanssa. Erikseen tulee määritellä, miten pitkään ennakollista lastensuojeluilmoitusta ja siihen liittyviä tietoja on tarpeen säilyttää. Asiakirjojen säilytysajat määritellään viranomaisen arkistonmuodostussuunnitelmassa. Parhaillaan on sosiaali- ja terveysministeriön alaisen sosiaalialan tietoteknologiahankkeen (www.tikesos.fi) piirissä käynnissä työ, jossa määritellään sosiaalihuollon asiakirjoille säilytysaikoja. Säilytysajoista annettaneen aikanaan sosiaali- ja terveysministeriön asetus.

22

Sovelletut säännökset: Henkilötietolaki (523/1999) 2 §, 3 § 3 ja 5 k, 6 §, 11 § ja 12 § 5 ja 12 k Lastensuojelulaki (417/2007) 25 b ja 25 c § Sosiaalihuoltolaki (710/1982) 40 a § Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000; sosiaalihuollon asiakaslaki) 3 §

ONKO TELEYRITYKSEN PYSTYTTÄVÄ SELVITTÄMÄÄN ASIAKKAAN SALAISTEN YHTEYSTIETOJEN MUUTTUMISTA JULKISIKSI? Dnro 1186/452/2010 Asian kuvaus: Erään henkilön yhteystiedot olivat olleet vuosia siten salaiset, etteivät ne olleet saatavilla numerotiedotuspalveluissa. Henkilö otti tietosuojavaltuutetun toimistoon yhteyttä havaittuaan, että tiedot olivat jostain syystä tulleet julkisiksi hänen teleoperaattorinsa rekisterissä ja päätyneet saataville numerotiedotuspalveluun. Teleyritys muutti tiedot takaisin salaisiksi, muttei kuitenkaan kyennyt selvittämään tietojen julkiseksi tulemisen ajankohtaa ja syytä. Henkilö pyysi tietosuojavaltuutettua ottamaan kantaa siihen, tulisiko teleyrityksen pystyä selvittämään nämä seikat. Tietosuojavaltuutetun vastaus: Liittymäsopimuksen tehneellä kuluttajalla on oikeus päättää, julkaistaanko hänen tietojaan luettelo- ja numerotiedotuspalveluissa. Sähköisen viestinnän tietosuojalain 25.4. §:n mukaan teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on tilaajana olevan luonnollisen henkilön pyynnöstä maksutta poistettava ja korjattava virheelliset tiedot. Teleyrityksen tulee käsitellä kuluttaja-asiakkaidensa henkilötietoja huolellisesti ja huolehtia niiden suojaamisesta (vrt. henkilötietolain 5 § ja 32 §). Rekisterinpitäjälle säädetystä suojaamisvelvoitteesta huolehtiminen edellyttää mm. sitä, että teleyrityksen on ensinnäkin tullut määritellä, keillä sen työntekijöillä on oikeus käsitellä asiakkaiden henkilötietoja ja millä tavoin (katsella, tallentaa, muuttaa, tuhota jne.). Yrityksen tulee varmistaa esim. käyttäjätunnus- ja salasanajärjestelmän avulla, että tietoja pääsevät käsittelemään vain ne työntekijät, joilla on siihen työtehtäviensä johdosta oikeus. Asiakasrekisteriin talletettujen henkilötietojen käsittelyn tulisi olla todennettavissa. Teleyrityksen on siis luotava menettelytavat, joiden avulla sen asiakasrekisterin tietojen käsittelyä voidaan seurata (esim. kuka on käsitellyt tietoja ja mitä toimenpiteitä hän on suorittanut). Todentaminen voidaan mahdollistaa lokitietojärjestelmällä.

23

Edellä todetut seikat huomioon ottaen tietosuojavaltuutettu katsoi, että teleyrityksellä tulisi lähtökohtaisesti olla edellytykset selvittää, kuka sen edustaja on tehnyt tiettyä henkilöä koskeviin asiakasrekisteritietoihin muutoksia siten, että tiedot ovat ns. muuttuneet salaisista julkisiksi ja päätyneet saataville luettelo- tai numerotiedotuspalveluun. Myös kyseisen muutoksen tekemisen ajankohdan tulisi lähtökohtaisesti olla selvitettävissä. Sovelletut säännökset: Henkilötietolaki 5 § ja 32 §, sähköisen viestinnän tietosuojalaki 25 § HENKILÖTIETOJEN KERÄÄMISEN ASIANMUKAISUUDESTA AVOINTEN HAKEMUSTEN YHTEYDESSÄ (DNRO 3661/4/08 JA 3999/4/08) Eduskunnan apulaisoikeusasiamies oli varannut tietosuojavaltuutetulle tilaisuuden lausua asiassa siltä osin kuin kyse oli henkilötietojen keräämisen asianmukaisuudesta avointen hakemusten yhteydessä. Kyseessä oli valtionhallinnon sähköinen rekrytointijärjestelmä Heli, joka toimii Valtiolle.fi -internet-portaalin kautta. Valtiolle.fi -palvelussa ilmoitetaan valtion avoimista työpaikoista. Helissä avoinna oleviin virkoihin/tehtäviin voidaan hakea Valtiolle.fi -palvelun kautta. Myös valtion erikseen haettavaksi julistamattomiin alle vuoden määräaikaisiin tehtäviin on mahdollista hakeutua Valtiolle.fi- palvelun kautta, jolloin työnhakija voi jättää avoimen hakemuksen em. sähköiseen palveluun. Valtiolle.fi -palvelun ohjeiden mukaan tavoitteena on nopeuttaa rekrytointiprosesseja ja se on tarkoitettu helpoksi ja työekonomiseksi vaihtoehdoksi työnhakijalle jättää esim. avoimia hakemuksia valtion lyhytaikaisiin määräaikaisiin tehtäviin. Avoinna olevien työpaikkojen selaaminen ei vaadi työnhakijan tunnistautumista/ rekisteröintiä. Valtiolle.fi -palvelun käyttäminen eli tietyn tehtävän/viran hakeminen sekä työnhakijan avointen hakemusten jättäminen järjestelmään edellyttää ns. vahvaa tunnistautumista joko pankkitunnistuksen tai varmennekortin (sähköisen henkilökortin) kautta. Valtiolle.fi -palvelun ohjeiden mukaan hakijoiden tietoturvan varmistamisen vuoksi järjestelmä edellyttää vahvaa tunnistusta. Valtionhallinnon edellyttämä vahva tunnistautuminen järjestelmään toimii työnhakijan sähköisenä allekirjoituksena ja suojaa samalla henkilökohtaiset tiedot. Allekirjoitettuja kirjallisia hakemuksia ja liitteitä ei enää tarvitse lähettää ellei niitä erikseen vaadita. Ohjeissa on myös selostettu, miten verkkopankkitunnukset tai sähköinen henkilökortti voidaan hankkia. Kantelijat olivat esittäneet lisäksi huolestuneisuutensa avointen hakemuslomakkeiden tietosisältöjen osalta sekä henkilötietojen keräämisen asianmukaisuudesta ja lainmukaisuudesta tässä yhteydessä. Tietosuojavaltuutettu esitti lausuntonaan seuraavaa: Valtuutettu tarkasteli tässä yhteydessä Valtiolle.fi -palvelun lainmukaisuutta toimivaltaansa kuuluvan henkilötietolain (523/1999) ja yksityisyyden suojasta työelämässä annetun lain (759/2004, työelämän tietosuojalaki) tarkoittaman henkilötietojen lainmukaisen käsittelyn kannalta.

24

Henkilötiedon käsitteestä ja ns. vahvasta tunnistautumisesta Henkilötietolain 3 §:n 1 mom. 1 kohdan mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Näin ollen luonnollisen henkilön sähköisen tunnistamisen yhteydessä käsiteltävät tiedot ovat henkilötietolain tarkoittamia henkilötietoja, jos hänet voidaan näistä tiedoista tunnistaa. Henkilötietolaissa ei nimenomaisesti tehdä eroa ns. vahvan tai muun tunnistamisen välillä. Sen sijaan henkilötietolain 9 § edellyttää, ettei rekisteriin merkitä virheellisiä henkilötietoja. Ns. vahvan tunnistautumisen osalta totean, että työnantajalla on oikeus henkilötietolain 8 §:n 1 mom. 1 kohdan suostumuksen ja 5 kohdan asiallisen yhteysvaatimuksen mukaisesti käsitellä työnhakijaa koskevia henkilötietoja. Tähän liittyy tietosuojavaltuutetun käsityksen mukaan myös oikeus tunnistaa luotettavasti työnhakija henkilötietojen avulla. Työelämän tietosuojalain 3 §:ssä säädetään välittömästä tarpeellisuusvaatimuksesta: Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Em. säännöksen valossa on kuitenkin esitettävä kysymys, onko avoimen hakemuksen osalta, joka täytetään käyttäen palvelussa olevaa tyhjää lomaketta ja jota ei välttämättä edes toimiteta Valtiokonttorille, ylipäätänsä tarpeen tunnistaa eli käsitellä henkilötietoja henkilötietolain 8 §:n mukaisesti. Tietosuojavaltuutettu on mm. aikaisemmissa kannanotoissaan todennut, ettei työnhakuvaiheessa ole välttämättä tarpeellisuusvaatimuksen mukaista kerätä esim. työnhakijan henkilötunnusta. Vahvan tunnistautumisen osalta on kuitenkin annettava painoarvoa henkilötietojen suojaamisen ja eheyden varmistamiselle sekä tietoturvan toteuttamiselle, siten kuin henkilötietolain 32 §:ssä suojaamisvelvoitteesta säädetään. Rekisterinpitäjästä Henkilötietolain 3 §:n 1 mom. 3 kohdan mukaan rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Henkilötietolain 8 §:n 7 kohdan mukaan henkilötietojen käsittely voidaan myös toimeksiannosta ulkoistaa kolmannelle osapuolelle. Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

25

Valtiolle.fi -palvelun sivustolta löytyy henkilötietolain 10 §:n mukainen rekisteriseloste, jonka mukaan rekisterinpitäjänä on Valtiokonttori / Valtion IT-palvelukeskus. Rekisteriselosteesta ilmenevien tietojen mukaan rekisterin käyttötarkoitus on valtion hallinnonalojen ja virastojen käytössä työnantajan tehtävien hoitoa varten. Valtiokonttori rekisteripitäjänä on myöntänyt käyttöoikeuden valtion hallinnonalojen ja virastojen edustajille, jotka käyttävät järjestelmää työtehtävien (rekrytoinnin) hoitamisessa. Heidät rekisteröidään järjestelmän käyttäjiksi ja he tunnistautuvat järjestelmään käyttäen sähköistä asiointikorttia. Rekisteriselosteessa on selostettu kohdassa 11. Rekisterihallinto, ne rekisteripitoon liittyvät tehtävät, joista Valtiokonttori vastaa ja käyttää rekisterinpitäjänä rekisteriä koskevaa päätösvaltaa. Tietosuojavaltuutettu kiinnitti tässä yhteydessä huomiota rekisterinpidon toimivaltakysymyksiin, erityisesti henkilötietolain 8 §:n 1 mom. 4 kohdan säännöksen huomioiden. Em. säännöksen mukaan henkilötietojen käsittely on sallittua, jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta. Valtiokonttorin lakisääteisenä tehtävänä on valtiokonttorista annetun lain (305/1991) 1 §:n mukaan tuottaa valtionhallinnon yhteisiä tukipalveluita, joista säädetään tarkemmin valtioneuvoston asetuksessa valtiokonttorista (1155/2002) 1a §:ssä. Kyseisen lain ja asetuksen kohta on - ottaen huomioon toiminnan työvälityksellisen luonteen - sanonnaltaan väljä ja epätäsmällinen, eikä siten mm. perustuslakivaliokunnan henkilötietojen käsittelystä antamien kannanottojen mukainen. Tietosuojavaltuutetun käsityksen mukaan hieman epäselväksi jää myös tässä yhteydessä, miten palvelua käyttävät virastot ja hallinnonalat hoitavat henkilötietojen käsittelyä ja rekisterinpitoaan koskevat velvoitteet. Hänen käsityksensä mukaan kukin hallinnonala ja virasto vastaa aina omasta rekrytoinnistaan ja työnhakijoiden henkilötietojen lainmukaisesta käsittelystä, siten kuin henkilötietolaissa säädetään. Valtiolle.fi- palvelun avoimen hakemuksen voi määritellä näkymään vain haluamillaan hallinnonalalla tai virastossa. Työnhakija voi halutessaan myös valita useamman hallinnonalan ja/tai viraston. Avoimen hakemuksen voi lähettää myös jokaiselle valtion viranomaiselle erikseen sähköpostitse, postitse, telefaxilla tai toimittamalla sen itse tai lähetin välityksellä perille kunkin viranomaisen kirjaamoon. Tietosuojavaltuutettu kiinnitti huomiota siihen, että henkilötietolain 24 §:n mukaisesti rekisteripitäjän tulee huolehtia henkilötietojen käsittelyn informoimisesta rekisteröidyille. Epäselvää on, onko informointi toteutunut riittävällä tavalla siten, että työnhakijat ymmärtävät ja osaavat rajata avoimen hakemuksensa näkymään vain tietyille haluamilleen työnantajille. Valtuutetun käsityksen mukaan puutteita esiintyy informoinnin osalta siitä, kuka vastaa siitä mihin avoin hakemus päätyy ja kuka vastaa rekisterinpitäjänä hakemusten käsittelystä rekrytointivaiheessa. Avoimen hakulomakkeen henkilötietojen tarpeellisuusvaatimuksesta Valtiolle.fi -palvelun ohjeiden mukaan palvelun käyttäminen ja avoimen hakemuksen jättäminen palveluun perustuu vapaaehtoisuuteen ja palvelun käyttäminen työnhakijan suostumukseen. Työnhakija voi käyttää myös muita perinteisiä keinoja työhakemusten lähettämiseen haluamalleen työnantajalle. Näin ollen näyttää siltä, että henkilötietolain 8

26

§:n 1 ja 5 kohdan käsittelyn perusteiden lainmukaiset edellytykset täyttyvät palvelun käyttämisen osalta. Työelämän tietosuojalain välittömän tarpeellisuusvaatimuksen mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Rekisteriselosteen ja palvelujen ohjeiden mukaan avoimessa lomakkeessa kysytään hakijan yksilöintitiedot, nimi, syntymäaika, lähiosoite, puhelinnumerot ja sähköpostiosoite. Lisäksi kysytään hakijan koulutustiedot, hakijan työkokemus sekä työnhakijan oma esittely. Em. kohdassa informoidaan siitä, kyseessä on työnhakijan vapaamuotoinen esittely itsestään, osaamisestaan ja odotuksistaan. Työelämän tietosuojalain 3 § tarpeellisuusvaatimus huomioon ottaen tietosuojavaltuutetulla ei ollut huomauttamista em. henkilötietojen keräämisestä avoimen hakemuksen tietojen osalta. Tietosuojavaltuutettu kiinnitti myös huomiota työelämän tietosuojalain 4 §:ssä säädettyyn työntekijän henkilötietojen keräämisen yleisiin edellytyksiin ja työnantajan tiedonantovelvollisuuteen. Työnantajan on kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on hankittava suostumus tietojen keräämiseen. Suostumus ei kuitenkaan ole tarpeen silloin, kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai kun työnantaja hankkii henkilöluottotietoja tai rikosrekisteritietoja työntekijän luotettavuuden selvittämiseksi. Valtiolle.fi- palvelun ohjeiden mukaan kaikki tiedot avoimeen hakemukseen kerätään työnhakijalta itseltään kuten edellä mainittu säännös edellyttää. Tietosuojavaltuutetulla oli ollut esillä muita kanteluasioita, joissa työnhakijoilta oli kerätty selvästi tarpeettomia tietoja, kuten terveydentilaan, perhesuhteisiin tai henkilökohtaisiin oloihin liittyviä henkilötietoja. Valtiolle.fi- palvelun avoimen hakemuksen osalta tarpeellisuutta oli arvioitava kaikkien kyseeseen tulevien tehtävien näkökulmasta. Tietosuojavaltuutetulla vireillä olleita tapauksia Valtiolle.fi palveluun liittyen Tietosuojavaltuutetun toimistossa oli ollut vireillä ainakin kaksi kanteluasiaa em. palveluun liittyen. Kanteluasiassa dnro 2379/452/2007, 16.11.2009, oli kysytty, miksi valtion rekrytointijärjestelmä HELI vaatii henkilötunnuksen antamista työpaikkaa hakiessa. Järjestelmä vaatii pankkitunnistusta ja kun tunnistuksen antaa, pankin sivu kertoi, että se lähettää henkilötunnuksen ja nimen vastaanottavalle taholle. Kantelija oli kysynyt, mihin työpaikkaa hakiessa valtionhallinto tarvitsee hänen henkilötunnustaan. Asiassa oli annettu kantelijalle neuvot siitä, että TUPAS toimii niin, että pankki välittää tunnistamansa henkilötunnuksen tunnistamista vaativalle palvelulle.

27

Kanteluasiassa dnro 2099/452/2009, 6.9.2010, oli ollut kyse siitä, että henkilö oli hakenut Valtiolle.fi -palvelun kautta Maanmittauslaitoksen avoinna ollutta virkaa. Kantelu oli koskenut lähinnä Maanmittauslaitoksen taholta tapahtunutta henkilötietojen käsittelyä rekrytoinnin yhteydessä, kun em. virasto oli ulkoistanut rekrytoinnin ja haastattelut ulkopuoliselle rekrytointialalla toimivalle yritykselle. Kyseinen kantelu osoitti tietosuojavaltuutetun mielestä sen, ettei informointi avointen hakemusten ja henkilötietoja käsittelevien tahojen osalta ollut toteutunut riittävästi. Lopuksi Tietosuojavaltuutettu pyysi ottamaan huomioon edellä lausumansa asiat asiaa ratkaistaessa ja arvioimaan, onko Valtiolle.fi -palvelun osalta syytä antaa tarkempaa ohjausta ja neuvontaa rekisterinpitäjälle henkilötietolain ja työelämän tietosuojalain velvoitteista. Kanteluissa ja vastineessa oli kyseenalaistettu järjestelmän asianmukaisuus etenkin viranomaisten toiminnan julkisuudesta annetun lain 9 §:n 1 mom., 13 §:n 1 mom. ja 18 §:n 1 mom. sekä sähköisestä asioinnista viranomaistoiminnassa annetun lain 5 §:n 1 mom. ja 3 mom. näkökulmasta. Koska tietosuojavaltuutettu oli ottanut kantaa tässä lausunnossa ainoastaan toimivaltaansa kuuluvien lainsäännösten osalta, hän viittasi em. säännösten osalta apulaisoikeusasiamiehen omaan ratkaisuun dnro 2051/4/05, 30.11.2006, jossa kyse oli ollut uskonnollisesta yhdyskunnasta eroamisesta sähköposti-ilmoituksella. KOTIHOIDON KAMERAVALVONTA Dnro:1357/41/2010 Asian kuvaus: Ammattiliiton lakimies kysyi tietosuojavaltuutetulta kotihoidon kameravalvontaan liittyvästä jäsenkentän ongelmasta: Osa jäsenistä työskentelee kotihoitoyksiköissä ympäri Suomea ja heidän tehtävänään on toimia yksityisten henkilöiden kotona apua antaen. Nyt omaiset ovat alkaneet asentaa vanhusten koteihin tallentavia kameroita valvomaan vanhusten toimia, jolloin samalla kotihoitoa tekevät työntekijät tallentuvat kameraan. Jäsenet ovat huolissaan yksityisyyden suojastaan, koska he eivät tiedä, kuka nauhoja katsoo, mihin ne päätyvät, poistetaanko nauhojen sisältö vai ei ja missä ajassa, kuka valvoo jne. Laki yksityisyyden suojasta työelämässä ei varmaankaan tule asiassa sovellettavaksi, mutta voisiko asiaan pyrkiä puuttumaan esim. henkilötietolain perusteella. Tietosuojavaltuutetun kannanotto: Tietosuojavaltuutetun toimivaltaan kuuluu antaa yleistä ohjausta ja neuvontaa koskien henkilötietolain (523/1999) tarkoittamaa henkilötietojen käsittelyä, mutta tietosuojavaltuutetun kannanotot eivät ole oikeudellisesti sitovia päätöksiä.

28

Tietosuojavaltuutetun toimivaltaan ei myöskään kuulu ottaa kantaa rikosoikeudellisten salakatselu- tai salakuuntelusäännösten taikka kotirauhan piiriä koskevaan tulkintaan. Tietosuojavaltuutettu valvoo yksityisyyden suojasta työelämässä annetun lain (työelämän tietosuojalaki) (759/2004) 22 §:n mukaan lain noudattamista yhdessä työsuojeluviranomaisten kanssa. Yleisenä ohjauksena ja kannanottona tietosuojavaltuutettu totesi, että hänen käsityksensä mukaan yksityiskodit tai -asunnot kuuluvat rikoslain 24 luvun 11 §:ssä (531/2000) tarkoitetun kotirauhan piiriin. Henkilö, joka oleskelee kotonaan tai jota hoidetaan kotona potilaana, saanee kotirauhan piirissä nauhoittaa kameralla tai muulla laitteella tapahtumia, tilanteita tai keskusteluja sekä hoitotoimenpiteitä, joihin itse osallistuu. Tällöin ei voine syyllistyä salakatseluun tai -kuunteluun. Asiassa tulee kiinnittää huomiota henkilön itsemääräämisoikeuteen omien henkilötietojensa käsittelyssä sekä laissa potilaan asemasta ja oikeuksista (785/1992, potilaslaki) 6 §:ssä säädetystä potilaan itsemääräämisoikeudesta. Potilasta on hoidettava yhteisymmärryksessä hänen kanssaan. Siltä osin kun kyseessä on kotihoidossa olevan henkilön omaisen tai muun sivullisen henkilön taholta toteutettavaa kamera- tai muulla teknisellä välineellä tapahtuvaa nauhoittamista tai teknisellä välineellä kuuntelemista, tulevat asiassa käsitykseni mukaan huomioitavaksi rikoslain 24 luvun 5-7 §:ssä (531/2000) olevat salakatselua ja salakuuntelua koskevat rangaistussäännökset. Salakatselusäännöksen mukaan se, joka oikeudettomasti teknisellä laitteella katselee tai kuvaa 1) kotirauhan suojaamassa paikassa tai käymälässä, pukeutumistilassa tai muussa vastaavassa paikassa oleskelevaa henkilöä taikka 2) yleisöltä suljetussa 3 §:ssä tarkoitetussa rakennuksessa, huoneistossa tai aidatulla piha-alueella oleskelevaa henkilöä tämän yksityisyyttä loukaten, on tuomittava salakatselusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Yritys on rangaistava. Salakuuntelusäännöksen mukaan se, joka oikeudettomasti teknisellä laitteella kuuntelee tai tallentaa 1) keskustelua, puhetta tai yksityiselämästä aiheutuvaa muuta ääntä, jota ei ole tarkoitettu hänen tietoonsa ja joka tapahtuu tai syntyy kotirauhan suojaamassa paikassa, taikka 2) muualla kuin kotirauhan suojaamassa paikassa salaa puhetta, jota ei ole tarkoitettu hänen eikä muunkaan ulkopuolisen tietoon, sellaisissa olosuhteissa, joissa puhujalla ei ole syytä olettaa ulkopuolisen kuulevan hänen puhettaan, on tuomittava salakuuntelusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Yritys on rangaistava. Kyseistä salakatselu lainkohtaa koskevien hallituksen esityksen perustelujen mukaan (HE 184/1999) oikeudetonta ei olisi esimerkiksi laissa nimenomaan sallittu katselu. Katselu tai kuvaaminen teknisellä laitteella ei olisi oikeudetonta myöskään silloin, kun siihen on saatu tarkkailtavan suostumus. Tietosuojavaltuutetun käsityksen mukaan asiassa tulisi kiinnittää erityisesti huomiota potilaan omaan tahtoon ja nimenomaiseen suostumukseen esim. hoitotoimenpiteiden, tapahtumien ja keskustelujen tallentamisessa potilaan omaisen tai muun henkilön taholta, joka tässä yhteydessä oli ilmeisesti sivullinen.

29

Kotihoitoa tai kotisairaanhoitoa toteutettaessa hoitajan tulee myös ottaa huomioon potilaslain ja terveydenhuollon ammattihenkilöistä annetun lain (559/1994) mukainen salassapito- ja vaitiolovelvollisuus sivullisiin nähden. Siltä osin kun kotihoidossa työskentelevää hoitajaa kuvataan, nauhoitetaan tai kuunnellaan teknisen laitteen avulla, tietosuojavaltuutettu viittasi työelämän tietosuojalakiin. Koska siinä säädetään, että työnantaja saa toteuttaa jatkuvasti kuvaa välittävää tai tallentavaa kameravalvontaa käytössään olevissa tiloissa, eivät työelämän tietosuojalain 16 - 17 §:n säännökset kameravalvonnasta työpaikoilla tule sovellettavaksi yksityiskodissa tai -asunnossa tapahtuvaan kameravalvontaan tai muuhun tallentamiseen, vaikka kotihoidon työntekijä tekeekin työtä yksityiskodissa. Tietosuojavaltuutettu katsoi myös, että yksityiskodin- tai asunnon tai muutoin kotirauhan piirissä tapahtuvat kameratallentamiset ja keskustelujen nauhoittamiset jäävät pääsääntöisesti henkilötietolain 2 §:n 3 mom. mukaisesti lain soveltamisen ulkopuolelle sellaisena henkilötietojen käsittelynä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai näihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Hyviin ja asianmukaisiin tapoihin kuulunee kuitenkin sopia ja ilmoittaa toiselle osapuolelle nauhoittamisesta, varsinkin jos tapahtumat, keskustelut ja hoitotoimenpiteet on tarkoitus käydä luottamuksellisesti kahden osapuolen, esimerkiksi hoitajan ja potilaan välillä. Hoitajan ja potilaan välisen hoitosuhteen tulisi tietosuojavaltuutetun käsityksen mukaan perustua potilaan itsemääräämisoikeuteen sekä mahdollisimman hyvään luottamukseen ja yhteisymmärrykseen. Eri asiana on arvioitava, miten nauhoitteita aiotaan jatkossa käyttää. Jos nauhoitteita annetaan muiden katseltavaksi tai kuultavaksi tulisi ottaa huomioon, ettei samalla syyllistytä toisen kunnian loukkaamiseen, yksityiselämää loukkaavaan tiedon levittämiseen tai paljasteta salassa pidettäväksi säädettyä tietoa, esim. potilastietoja tai terveydentilaa koskevia tietoja. Tietosuojavaltuutetulla ei ole toimivaltaa ratkaista, millä tavoin nauhoitteita voidaan käyttää tai kenelle ne voidaan antaa. Tietosuojavaltuutetun toimivaltaan ei kuulu arvioida, onko syyllistytty rangaistavaan tekoon salakatselun, salakuuntelun tai salassapitorikoksen osalta. Em. rikokset ovat ns. asianomistajarikoksia, jolloin henkilön tulee itse tehdä asiassa rikosilmoitus tai tutkintapyyntö poliisille. Asian ratkaisee viime kädessä yleinen tuomioistuin. Tietosuojavaltuutettu oheisti vielä tiedoksi aikaisemman kannanottonsa dnro 248/41/2002, jossa oli kyseessä vanhusten pienkodin asukkaiden yövalvonta ja henkilötietojen kerääminen kameravalvonnan avulla. PAIKANTAMINEN TYÖELÄMÄSSÄ Dnro 87/41/2010 Asian kuvaus: Ammattiliitto pyysi tietosuojavaltuutetulta tulkintaa/lausuntoa koskien työntekijän ja hänen käytössään olevan ajoneuvon/huoltoauton paikantamisesta. Kysymys koski erityisesti henkilöstön edustajaa, jolla on lakiin ja työehtosopimukseen perustuva osittainen työstävapautus. Jatkuvan seurannan kautta kertyy data-aineisto ja rekisteri, jossa on

30

tarkalleen kuvattuna ketä, milloin ja kauanko henkilöstön edustaja kulloinkin on tavannut. Rekisterin perusteella voi siis muutoin arkaluontoiseksi katsottua aineistoa syntyä yrityksen käyttöön. Liitto pyysi myös ottamaan kantaa siihen, minkälaista ohjeistusta ja selvitystä yrityksen tulee työntekijöilleen antaa kertyvästä aineistosta. Esillä olleissa tapauksissa on edellytetty, että laitteisto on jatkuvasti päällä, eikä sitä ohjeen mukaan saa kytkeä pois. Esille tulleessa tapauksessa on kyse hissiasentajista, joilla on käytössään huoltoauto tarvikkeineen. Ajoneuvo on myös useasti asentajalla tämän kotona, sillä erilaisissa varaolojärjestelmissä työkomennuksia tulee hälytyksinä. Näillä asentajilla on ennestään olemassa autopuhelin sekä kannettava tietokone, jossa on järjestelmä, jonne on tullut kirjata laskutusta ja muita järjestelmiä varten matka-aika sekä kohteeseen saapuminen ja työn päättyminen. Nyt seuranta voi siis koskea taukoja, kulkureittejä sekä sitä, missä muualla auto liikkuu joko työ- taikka vapaa-aikana. Päivystävällä asentajalla on ollut lupa käyttää työajoneuvoa vähäisiin omiin ajoihinsa, sillä hälytyksen sattuessa on asentajan voitava heti lähteä kohteeseen. Työaikana poikkeamia laskutettavasta liikkumisesta ovat olleet mm. luvalliset asioiden hoitamiset kuten pääluottamusmiehen taikka työsuojeluvaltuutetun tehtävän hoitamiseen liittyvät ajot. Yritys on perustellut paikannusjärjestelmän käyttöä yksintyöskentelyn turvallisuuden ja asiakaspalvelun parantamisella. Turvallisuuteen liittyviä perusteluja ei ole esitetty yksityiskohtaisesti. Asiakaspalvelussa asiakkaat ovat ennalta sopimussuhteessa olevia käyttäjiä ja työtehtävät käytännössä yrityksen vikapalvelun tiedoksi antamia. Toimistolta annetaan päivän normaalikohteet, joissa säännönmukainen työ tehdään ja poikkeuksena on hälytysluontoinen työ, jossa henkilö hälytetään vapaa-ajaltaan työhön. Liitto kysyi, mitä aikaa ja miten kulloinkin voidaan koneellisesti seurata ja miten näistä asioista on informoitava henkilöstöä ja onko jotakin, jossa edellytetään asianomaisen suostumusta. Liitto kertoi, että heidän käytössään on ollut tietosuojavaltuutetun toimiston lausunto 22.3.2006, mutta lausunto ei yleisluontoisuutensa puolesta riittävästi vastaa esille nousseisiin kysymyksiin. Tietosuojavaltuutetun ohjaus: Tietosuojavaltuutetun toimivaltaan kuuluu antaa yleistä ohjausta ja neuvontaa koskien henkilötietolaissa (523/1999) tarkoitettua henkilötietojen käsittelyä. Tietosuojavaltuutetun toimivaltaan kuuluu laki yksityisyyden suojasta työelämässä (759/2004) valvonta yhdessä työsuojeluviranomaisten kanssa. Sähköisen viestinnän tietosuojalain (516/2004) 32 §:n mukaan tietosuojavaltuutetun tehtävänä on valvoa mm. lain 4 luvun säännöksiä (16-18 §) paikkatietojen käsittelystä. Tietosuojavaltuutetun toimivaltaan ei kuulu työoikeudellinen tulkinta, eikä tietosuojavaltuutetulla ole yleistä lupa- tai kieltotoimivaltaa. Paikkatieto henkilötietona ja paikantamisen asiallisista käyttötarkoituksista

31

Paikka- ja paikannustietoa voidaan pitää henkilötietolain 3 §:n 1 mom. 1 kohdan tarkoittamana henkilötietona, jos siitä voidaan tunnistaa luonnollinen henkilö. Lakia yksityisyyden suojasta työelämässä (työelämän tietosuojalaki, 759/2004) 2 §:n mukaan lakia sovelletaan työnantajan ja työntekijän, virkamiehen tai muussa palvelussuhteessa olevan väliseen suhteeseen. Työelämän tietosuojalain 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuisuuksiin taikka johtuvat työtehtävien erikoisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Tietosuojavaltuutettu katsoi, että mikäli työnantajan tarkoituksena on paikantaa työntekijöitään paikannusjärjestelmän avulla, tulee paikantamiselle ensinnäkin olla henkilötietolain 6 §:n tarkoittama etukäteen määritelty asiallinen käsittelyn peruste ja käyttötarkoitus. Tällaisia asiallisia käsittelyn perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen tai resurssien ohjaaminen oikeaan paikkaan. Työnantajalla on työsuhteessa ns. johto- ja valvontaoikeus eli työntekijä on sitoutunut tekemään töitä työnantajan johdon ja valvonnan alaisena. Työnantaja voi johto- ja valvontaoikeutensa perusteella määrätä miten, missä ja milloin työ tulee suorittaa. Kun työtä tehdään muualla kuin työnantajan tiloissa voi työntekijän paikannus olla välittömästi työsuhteen oikeuksien ja velvollisuuksien kannalta tarpeellista. Jos työtehtävät liittyvät esim. huolto- tai turvallisuuspalveluihin, joissa ohjataan työntekijöitä hälytysten tai vikailmoitusten mukaan, voitaneen paikantamista pitää tarpeellisena, kun ohjataan vapaata tai lähintä työntekijää ilmoituksen mukaiseen paikkaan. Joissakin tilanteissa työntekijöiden työturvallisuus voi edellyttää heidän paikantamistaan (esim. arvokuljetukset). Näin ollen yksilöidyissä työtehtävissä näyttäisi olevan piirteitä, joiden nojalla voidaan katsoa, että työntekijän paikannus ja paikkatietojen käsittely voi olla osapuolten oikeuksien ja velvollisuuksien kannalta tai työtehtävien erikoisluonteen johdosta tarpeellista. Tietosuojavaltuutettu on aikaisemmissa tulkintakannanotoissaan todennut, ettei paikannustietojen käyttäminen työoikeudellisten velvoitteiden noudattamisen valvontaan, esim. työajan valvontaan, ole pääsääntöisesti paikantamisen asiallisesti perusteltua käyttötarkoitusta. Mikäli paikannusjärjestelmää on tarkoitus käyttää työajan valvontaan ja seurantaan, tulee tämä määritellä etukäteen paikantamisen käyttötarkoitukseksi ja olla asiallisesti perusteltua, esim. työtä suoritetaan kokonaan tai enimmäkseen muualla kuin työnantajan tiloissa eikä työajanvalvontaan ei ole käytettävissä muita vähemmän yksityisyyden suojaan puuttuvia keinoja. Tällaisen paikantamiseen perustuvan työajan seurantajärjestelmän tulee olla mahdollisimman selkeä ja määritelty sekä mahdollisesti erillinen järjestelmä. Työntekijöillä tulee olla selkeät ohjeet siitä, kuinka työajanseurantajärjestelmää käytetään ja mitä henkilötietoja se kerää työntekijöistä työajanseurantaa varten. Mikäli paikannusjärjestelmää ei ole edellä tarkoitetulla tavalla etukäteen määritelty työajanseurantaa varten, eikä asiasta ole käyty lain edellyttämää yhteistoimintamenettelyä työpaikalla, tietosuojavaltuutettu katsoi, ettei paikannustietoja tule käyttää työntekijöiden tai

32

muiden henkilöiden työ- tai palvelussuhteen ehtojen noudattamisen valvontaan. Tällainen tietojen käsittelyn tarkoitus ei ole lain edellyttämällä tavalla yhteensopiva em. käsittelyn tarkoituksen kanssa. Yhteistoimintamenettely ennen paikantamisen käyttöönottoa Ennen kuin työntekijöiden paikantaminen ja teknisin keinoin toteutettu valvonta voidaan ottaa käyttöön organisaatiossa, tulee työelämän tietosuojalain 21 §:ssä säädetty yhteistoimintavelvoite teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä ottaa huomioon: Työntekijöihin kohdistuvan kameravalvonnan, kulunvalvonnan ja muun teknisin menetelmin toteutetun valvonnan tarkoitus, käyttöönotto ja valvonnassa käytettävät menetelmät sekä sähköpostin ja muun tietoverkon käyttö sekä työntekijän sähköpostin ja muuta sähköistä viestintää koskevien tietojen käsittely kuuluvat yhteistoiminnasta yrityksissä annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin. Muissa kuin yhteistoimintalainsäädännön piiriin kuuluvissa yrityksissä ja julkisoikeudellisissa yhteisöissä työnantajan on ennen päätöksentekoa varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluiksi edellä mainituista asioista (13.3.2009/126). Työantaja on velvollinen käymään paikantamisen asialliset käyttötarkoitukset ja menettelytavat läpi työpaikan yhteistoimintamenettelyssä ja laatimaan kirjalliset käyttösäännöt paikantamisesta. Työnantaja on velvollinen informoimaan työntekijöitä paikkatietojen ja henkilötietojen käsittelystä ja käsittelyn tarkoituksesta siten kuin henkilötietolain 24 §:ssä ja työelämän tietosuojalain 21 §:ssä säädetään. Välillisestä paikantamisesta Kun työnantajan on tarkoitus järjestää paikantaminen siten, että paikannetaan esim. ajoneuvoja tai muita liikkuvia kohteita, on kyseessä välillinen paikantaminen. Tietosuojavaltuutettu oli todennut välillisen paikantamisen osalta, esim. ajoneuvon paikantaminen, jossa työntekijä voidaan tunnistaa esim. työ- tai ajovuorolistojen avulla, että sovellettavaksi tulevat työelämän tietosuojalain 21 §:n säännökset yhteistoimintamenettelyistä työnantajan suorittaessa työntekijöihin kohdistuvaa teknistä valvontaa. Erillistä suostumusta työntekijältä välilliseen paikantamiseen ei tällöin tarvita, mikäli edellä mainitut asialliset käsittelyn perusteet toteutuvat ja paikantamisen periaatteet ja käyttösäännöt on käyty läpi työpaikan yhteistoimintamenettelyssä. Lisäksi niistä tulee tiedottaa työntekijöitä em. tavalla. Välittömästä paikantamisesta Tietosuojavaltuutettu oli todennut, että mikäli paikannus kohdistuu välittömästi ja suoraan työntekijään, esim. matkapuhelimen, gps-paikannuksen tai muun henkilökohtaisen laitteen avulla, tulisi tähän olla työntekijän suostumus. Tulkintansa osalta valtuutettu viittasi sähköisen viestinnän tietosuojalain 16-18 §:ien säännöksiin paikkatietojen käsittelystä.1

1 Koska käytännössä lähes kaikki paikannusjärjestelmät käyttävät ja siirtävät tietoa yleistä viestintäverkkoa käyttäen tai myös useimmat sisäiset ja muut rajoitetulle käyttäjäpiirille tarkoitetut viestintäverkot on liitetty yleiseen viestintäverkkoon, tulevat sähköisen viestinnän tietosuojalain säännökset sovellettavaksi.

33

Teleyritys saa käsitellä paikkatietoja, jollei tilaaja ole sitä kieltänyt. Paikkatiedot ovat sellaisia matkapuhelimen maantieteellisen sijainnin ilmaisevia tietoja, joita käytetään muuhun kuin viestin välittämiseen. Lain 18 §:n mukaan lisäarvopalvelun tarjoajan tai yhteisötilaajan on pyydettävä paikannettavalta palvelukohtainen suostumus ennen paikkatietojen käsittelyn aloittamista, jollei suostumus yksiselitteisesti ilmene asiayhteydestä tai jollei laissa toisin säädetä. Ennen kuin luovuttaa paikkatietoja lisäarvopalvelun tarjoajalle tai yhteisötilaajalle teleyrityksen on varmistuttava, ettei tilaaja ole kieltänyt niiden käsittelyä ja että luovutuksensaaja on saanut paikannettavalta palvelukohtaisen suostumuksen. Pääsääntöisesti suostumuksen hankkii paikannuspalvelun tarjoaja. Mikäli työnantaja itse hallinnoi ja käsittelee paikkatietoja, on tämä lain tarkoittama yhteisötilaaja, jonka tulee huolehtia työntekijöiden suostumuksen olemassaolosta. Paikantamisen avulla kerättävät henkilötiedot Työelämän paikantamisen osalta tietosuojavaltuutettu oli erityisesti todennut, että työnantajan on huolehdittava siitä, että työntekijä voi kytkeä paikannuksen päälle ja pois päältä, varsinkin silloin kun päätelaitetta voi luvallisesti (esim. työsuhdepuhelin) käyttää työajan ulkopuolella. Työnantajan työnjohto- ja valvontaoikeus ei hänen käsityksensä mukaan ulotu työntekijöiden työajan ulkopuoliseen vapaa-aikaan tai esim. lakisääteiseen työstävapautuksen ajalla tapahtuvaan liikkumiseen. Tämän lisäksi työnantajan tulee varmistaa, että paikannuksen tarvetta on työtehtäväkohtaisesti arvioitu ja työntekijät, joihin se kohdistuu, ovat siitä erityisesti tietoisia. Jos päätelaitetta voi luvallisesti käyttää työajan ulkopuolella, on työnantajan myös huolehdittava, ettei päälle jäänyt paikannus tuota oikeudettomasti tietoa työnantajalle työntekijän liikkumisesta työajan ulkopuolella tai muutoin työnantajan työnjohto- ja valvontaoikeuden ulkopuolella tapahtuvasta liikkumisesta. Tietosuojavaltuutettu katsoi tämän koskevan myös välillisen paikantamisen avulla kerättäviä tietoja. Mikäli paikka- tai paikannustietoa ja työntekijöitä koskevia muita henkilötietoja kerätään ja tallennetaan automaattisen tietojenkäsittelyn avulla ja/tai niistä muodostuu henkilörekisteri, tulevat kaikki henkilötietolain velvoitteet huomioitavaksi. Tietosuojavaltuutettu kiinnitti erityisesti huomiota etukäteiseen suunnitteluvelvoitteeseen, asiallisesti perustellun käyttötarkoituksen määrittelyyn sekä henkilötietolain 10 §:n mukaisen rekisteriselosteen laatimiseen. Työnantajan tulee huolehtia myös henkilötietolain 32 §:n suojaamisvelvoitteesta sekä 33 §:n mukaisesta vaitiolovelvollisuudesta henkilötietoja käsitellessä. Organisatorinen suojaamisvelvoite tarkoittaa mm. sitä, että työnantajan tulee etukäteen määritellä, kenellä organisaatiossa on työtehtäviin ja/tai asemaan perustuva oikeus käsitellä työntekijöistä kerättäviä paikannus- tai muita henkilötietoja. Työsuhteen aikana kerättävät henkilötiedot tulee käydä läpi työpaikan yhteistoimintamenettelyssä siten kuin työelämän tietosuojalain 4 §:n 3 mom. säädetään. Henkilötietolain 24 §:n työantajan rekisterinpitäjänä on informoitava työntekijöitä henkilötietojen käsittelystä. Tämä tarkoittaa sitä, että paikannusjärjestelmän avulla kerättävien työntekijöitä koskevien paikannustietojen käytöstä on riittävällä tavalla tiedotettava työpaikalla, siten että kaikki työntekijät ovat ovat tietoisia paikannuksen tarkoituksesta ja heidän henkilötietojensa käsittelystä paikantamisen yhteydessä.

34

SÄHKÖPOSTIN JA TEKSTIVIESTIEN KÄYTTÄMINEN TERVEYDENHUOLLOSSA Dnro 1475/41/2009 (1.7.2010) Asian kuvaus: Tietosuojavaltuutetun toimistolta pyydettiin kannanottoa kysymykseen koskien sähköpostin ja tekstiviestien käyttämistä perusterveydenhuollossa ja sosiaalipalveluissa, lähinnä asiakkaan/potilaan ja työntekijän välisessä kommunikoinnissa, sekä tietojen siirrossa. Tietosuojavaltuutetun vastaus: Henkilötietolain 32 §:n 1 mom. suojaamisvelvoitteen mukaisesti rekisterinpitäjän tulee toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla. Tietosuojavaltuutettu on aikaisemmassa ohjauskäytännössään todennut, että käsiteltäessä henkilörekisteriin kuuluvia henkilötietoja automaattisen tietojenkäsittelyn avulla, esim. lähettämällä sähköpostitse henkilötietoja, tulee edellä mainitut huolellisuus- ja suojaamisvelvoitteet sekä tietoturva ottaa riittävällä tavalla huomioon. Ohjauskäytännössä on todettu myös, että esim. arkaluonteisia tai lain mukaan salassa pidettäviä (esim. potilastiedot ja sosiaalihuollon tiedot) henkilötietoja ei tulisi lähettää suojaamattomassa sähköpostiyhteydessä. Jo tieto potilassuhteesta voidaan katsoa arkaluonteiseksi tiedoksi. Näin ollen suojaamattoman sähköpostin käyttöä potilastietojen lähettämiseen ei lähtökohtaisesti voida pitää tietosuojavaatimukset täyttävänä. Suojaamattoman sähköpostiyhteyden kautta voidaan kysyä yleistä neuvontaa esim. siitä, millä edellytyksillä ja miten jotain etuutta tai palvelua voi hakea. Tällaiseen yleiseen tiedusteluun voi myös vastata sähköpostitse. Asiakkaan ei ole suositeltavaa lähettää Internet-sähköpostin kautta arkaluonteisia henkilötietoja. Jos asiakas lähettää esimerkiksi aikavarauksen sähköpostilla, siihen tulee vastata puhelimella tai kirjallisesti. Sama koskee myös muita tiedusteluja, joihin ei voida vastata yleisellä neuvolla paljastamatta asiakkaan nimeä tai muita asiakastietoja. Viranomainen tai muu terveydenhuollon järjestäjä ei saa myöskään oma-aloitteisesti lähettää tavallisessa suojaamattomassa sähköpostissa asiakkaan nimeä tai muita terveydenhuollon asiakkuuden paljastavia tietoja asiakkaalle itselleen tai muille tahoille. Eduskunnan oikeusasiamiehen ratkaisun 12.11.2009 Dnro 704/4/08 mukaan henkilötietolain 32 §:ssä on rekisterinpitäjälle säädetty velvollisuus muun muassa riittävin teknisin toimenpitein suojata henkilötiedot sivullisilta. Tämä velvollisuus koskee myös asiakastietojen lähettämistä sähköpostitse. Tietosuojadirektiivin 17 artiklassa on jäsenvaltioille asetettu velvollisuus säätää henkilötietojen suojaamisesta erityisesti, jos käsittely muodostuu tietojen siirtämisestä verkossa. Henkilötietolakia koskevassa

35

hallituksen esityksen perusteluissa (HE 96/1998 S.66) on kyseisen säännöksen osalta todettu muun muassa, että tietojen siirto on varmistettava erityisin toimenpitein, esimerkiksi siten, että siirto ei aiheuta muutoksia tietojen sisällössä ja että tietoja ei häviä siirron yhteydessä. Rekisterinpitäjä ei voi poiketa henkilötietojen suojaamisvelvollisuudestaan rekisteröidyn suostumuksella. Tietojen suojaamisvelvollisuudesta ja salassapitovelvollisuudesta seuraa, että terveydenhuollon viranomainen voi lähettää asiakkaalle viestejä vain, mikäli sillä on käytössään sähköposti, jossa on riittävän vahva salaus ja osapuolet voidaan tunnistaa. Salassapitosäännökset ja henkilötietolain mukainen suojaamisvelvoite eivät mahdollista salassa pidettävien päätös- ja muiden tietojen lähettämistä tavallisessa suojaamattomassa Internet-sähköpostissa siitäkään huolimatta, että siihen olisi potilaan suostumus. Sosiaali- ja terveysministeriön 10.5.2010 "Sähköpostin käytöstä terveydenhuollossa" s. 3 ohjeen mukaan terveydenhuollossa (ja erityisesti käsiteltäessä tunnisteellisia potilastietoja) turvallisuusvaatimukset korostuvat. Käsiteltävä tieto on arkaluonteista, sen oikeellisuus ja muuttumattomuus ovat tärkeitä ja lisäksi myös tieto saattaa olla aikakriittistä. Tämän takia turvallisuusvaatimukset on otettava erityisesti huomioon. Keskeisiä ratkaistavia ongelmia ovat: - luottamuksellisuuden turvaaminen: esim. viestin välitys vain luotettavassa verkossa, salaus - muuttumattomuuden turvaaminen: esim. kuittaukset, uudelleenlähetykset - palvelutason turvaaminen: esim. viesti lähetetään välitysjärjestelmään, joka ohjaa sen paikalla olevalle henkilölle käsiteltäväksi - tiedonvaihdon dokumentointi: esim. lähetys ja vastaanotto potilastietojärjestelmän kautta Sähköpostin käyttö terveydenhuollon toimijoiden kesken taikka potilaalle suunnatussa viestinnässä ei ole suositeltavaa silloin kun viesti sisältää arkaluonteista salassa pidettävää potilas- ja hoitotietoa. Ammattihenkilöiden keskinäisessä tiedonvaihdossa tunnisteellista terveystietoa voidaan käsitellä, mikäli edellä mainitut ongelmat on ratkaistu. Lähtökohtaisesti salassa pidettävää luottamuksellista tietoa ei saa välittää sähköpostilla edes potilaan nimenomaisella suostumuksella. Suojaamattomaan sähköpostiin verrattuna matkapuhelimen tekstiviestiä voidaan tietosuojavaltuutetun käsityksen mukaan pitää teknisesti turvallisempana vaihtoehtona. Arvioitaessa tekstiviestin turvallisuusominaisuuksia lainsäännösten valossa tulee ottaa huomioon ainakin seuraavat riskit ja seikat: - tekstiviestin lähettäjäpään tietosuojariskit, - tekstiviestin välittämisen tietosuojariskit ja - tekstiviestin vastaanottajapään tietosuojariskit. Tekstiviestin lähettäjäpäässä matkapuhelinnumeroiden hallinnointi on oltava suunnitelmallista, asiallisesti perusteltua ja huolellista eli tekstiviestit on kohdennettava potilaan kanssa sovittuun matkapuhelinnumeroon. Numeron valinta- ja näppäilyvirhe on lähettäjän vastuulla. Potilasta on informoitava tekstiviestin välityksellä tapahtuvasta ajanvaraukseen liittyvien tietojen ilmoitusmenettelystä. Potilaan ja lääkärin välinen tekstiviestivaihto on yhtä luottamuksellista tietoa kuin muukin lääkärin ammatissaan saama tieto, ja lääkäri on osaltaan vastuussa tiedon pysymisestä luottamuksellisena. Tietosuojavaltuutetun käsityksen mukaan viestin välitys lähettäjältä vastaanottajan/potilaan matkapuhelimeen on henkilötietolain 32 §:n mukaisesti riittävästi sivullisilta suojattu ja

36

lisäksi mm. teleoperaattorin työntekijöitä koskevat sähköisen viestinnän tietosuojalain (516/2004) mukaisesti vaitiolovelvollisuussäännökset. Lisäksi menettelyn kokonaisarviointiin vaikuttaa, että viestin vastaanottaja/potilas on käyttänyt itsemääräämisoikeuttaan pyytäessään ajanvaraukseen liittyvistä tiedoista ilmoitusta tekstiviestillä matkapuhelimeensa. Tekstiviestipalvelun käyttäminen terveydenhuollossa edellyttää potilaan suostumusta. Tietosuojavaltuutetun käsityksen mukaan, kun tekstiviesti on tullut vastaanottajalle/potilaalle, ei tekstiviestin hallinnointi ja suojaaminen ole enää lähettäjän eikä viestin välittäjän eli teleoperaattorin vastuulla, vaan lähinnä potilaan vastuulla, miten hän matkapuhelintaan ja siihen tulleita tekstiviestejä hallinnoi ja säilyttää sivullisilta suojassa. Potilaan ja lääkärin välinen tekstiviestivaihto on kuitenkin yhtä luottamuksellista tietoa kuin muukin lääkärin ammatissaan saama tieto, ja lääkäri on näin ollen osaltaan vastuussa tiedon pysymisestä luottamuksellisena. Henkilötietolain 32 §:n mukaisesti ja yleisen tietosuojaperiaatteen "suostumus ei syrjäytä tarpeellisuusvaatimusta" perusteella lähetettäessä tekstiviestiä tulisi lähettäjäpäässä kiinnittää huomiota tekstiviestin laatuun eli sisällön virheettömyyteen ja tarpeellisuuteen. Tekstiviestin ei tule sisältää käsittelyn tarkoituksen (ajanvaraukseen liittyvän tiedon) kannalta tarpeettomia tietoja, koska käsittelyn tarkoituksen kannalta tarpeettomia tietoja ei ole laillista käsitellä ei edes rekisteröidyn/potilaan suostumuksella. Näin ollen tekstiviestin sisältö tulisi rajoittaa, potilasturvallisuus huomioon ottaen, käsittelyn tarkoituksen kannalta välttämättömiin tietoihin. Kuten edellä olevista seikoista käy imi, pelkästään tekstiviestin kustannustehokkuus ei voi olla perusteluna henkilötietojen käsittelyn laillisuuden arvioinnissa. VASTAANOTTOTOIMINTANSA POIS SIIRTÄVIEN VUOKRALAISHAMMASLÄÄKÄREIDEN OIKEUS OTTAA MUKAANSA POTILASREKISTERIT Dnro 1674/451/2009 (28.6.2010)

Asian kuvaus:

Tietosuojavaltuutetun tietoon on saatettu, että hammaslääkäriasema X Oy on kieltäytynyt luovuttamasta sen toimitiloissa toimineiden vuokralaishammaslääkäreiden potilasrekistereitä vuokralaishammaslääkäreille heidän siirtäessään vastaanottotoimintansa pois X Oy:n tiloista ja että vuokralaishammaslääkäreiden potilastyöhön on puututtu siirtelemällä potilaita kesken hoitojakson taloon vielä jäävien vuokralaisten hoitoon eli hoitosuhteen ulkopuoliselle henkilölle tai henkilöille.

Hammaslääkäriasema X Oy on saattanut Oulun lääninhallitukseen tiedoksi asian koskien vuokralaishammaslääkäreiden potilasrekistereiden mukaan ottamista heidän siirtäessään vastaanottotoimintansa pois ja pyytänyt kantaa menettelyn lainmukaisuuteen.

Saatu selvitys:

Vuokralaishammaslääkäreiden tietosuojavaltuutetun toimistoon tekemässä kantelussa kerrotaan, että hammaslääkärit ovat toimineet vuokralaishammaslääkäreinä hammaslääkäriasema X Oy:n ylläpitämässä hammaslääkäriasema X Oy:ssä Oulussa.

37

Vuokralaishammaslääkärit ovat toimineet itsenäisinä ammatinharjoittajina ja olleet näin itse rekisterinpitäjinä toiminnassa tuottamistaan potilastiedoista. Rekisterin käytännön ylläpito on siirretty vuokrasopimuksin X Oy:n tehtäväksi. Potilasasiakirjoja on säilytetty yhteisesti ylläpidetyssä potilasrekisterissä.

Kantelusta käy ilmi, että vuokralaishammaslääkäreiden siirtäessä vastaanottotoimintansa pois X Oy:n tiloista, on vuokranantaja estänyt vuokralaishammaslääkäreiden potilasrekistereiden mukaan ottamisen ilmoittaen, että vuokralaishammaslääkäreiden potilasrekisterit ovat yhtiön omaisuutta ja liikesalaisuutta. Hammaslääkäriasema X Oy on siirtänyt vuokralaishammaslääkäreiden potilaita kesken hoitojakson vielä taloon jäävien vuokralaisten hoitoon, jolloin hoitosuhteiden ulkopuolinen henkilö tai henkilöt ovat puuttuneet potilastyöhön. Vuokralaishammaslääkärit ovat vaatineet X Oy:tä luovuttamaan potilasrekisterit ja poistamaan tiedot X Oy:n ylläpitämästä järjestelmästä. Tähän X Oy:ssä ei ole suostuttu.

Oulun lääninhallitus on vastauksessaan X Oy:n lääninhallitukselle lähettämään kirjeeseen todennut, että sosiaali- ja terveysministeriön antaman asetuksen (99/2001) 22 §:n mukaan potilasasiakirjojen ja hoitoon liittyvän muun materiaalin säilyttämisestä vastaa se terveydenhuollon toimintayksikkö tai itsenäisesti ammattiaan harjoittava terveydenhuollon ammattihenkilö, jonka toiminnassa ne ovat syntyneet. Itsenäisesti ammattiaan harjoittavat terveyden huollon ammattihenkilöt, esimerkiksi lääkärit, jotka toimivat lääkäriasemalta vuokraamissaan tiloissa, voivat kirjallisen sopimuksen perusteella antaa potilasasiakirjojen säilyttämisen ja arkistoinnin lääkäriaseman toiminnan järjestämisestä vastaavan hoidettavaksi. Tällainen sopimus ei muuta rekisterinpitäjää eikä vähennä itsenäisen ammattiharjoittajan vastuuta asiakirjojen käsittelystä. Potilasasiakirjat on säilytettävä sen rekisterinpitäjän vastuulla, jonka toiminnassa ne ovat syntyneet.

Tietosuojavaltuutetun ohjaus:

Tietosuojavaltuutettu yhtyi Oulun lääninhallituksen vastaukseen mm. siinä, että itsenäisenä ammatinharjoittajana hammaslääkäriasemalla vuokralla toiminut hammaslääkäri on velvollinen itse pitämään potilasasiakirjarekisteriä. Hän on omien potilaidensa osalta rekisterinpitäjä. Rekisterin ylläpito voidaan sopimuksella antaa hammaslääkärikeskuksen ylläpidettäväksi, mutta itsenäisenä ammatinharjoittajana toimivan terveydenhuollon ammattihenkilön velvollisuutta potilasrekisteriin liittyviin asioihin ei voida hammaslääkäriaseman ja itsenäisen ammatinharjoittajan välisellä sopimuksella sivuuttaa. Potilaalla on oikeus valita, mistä yksiköstä hän hakee palvelunsa. Potilasasiakirjat on säilytettävä sen rekisterinpitäjän vastuulla, jonka toiminnassa ne ovat syntyneet. Tietosuojavaltuutettu on myös samalla linjalla vastauksen muun osan kanssa.

Yleisenä ohjauksena tietosuojavaltuutettu totesi että, sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009) 5 §:n mukaan hankkiessaan palveluja toiselta palvelujen tuottajalta terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee sopia tämän kanssa kirjallisesti tehtävällä sopimuksella potilasasiakirjatietojen rekisterinpitoon ja tietojen käsittelyyn liittyvistä tehtävistä ja vastuusta sekä varmistua siitä, että potilasasiakirjoihin sisältyvien tietojen salassapitoa ja vaitiolovelvollisuutta koskevia säännöksiä noudatetaan.

Edellä mainitun asetuksen 22 §:n mukaan potilasasiakirjojen ja hoitoon liittyvän muun materiaalin säilyttämisestä vastaa se terveydenhuollon toimintayksikkö tai itsenäisesti

38

ammattiaan harjoittava terveydenhuollon ammattihenkilö, jonka toiminnassa ne ovat syntyneet, jollei sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetusta laista muuta johdu.

Terveydenhuollon oikeusturvakeskuksen 5.9.2007 "Yksityisen terveydenhuollon potilasasiakirjat" s. 2-3 ohjeen mukaan rekisterinpitäjä (terveydenhuollon toimintayksikkö tai itsenäinen ammatinharjoittaja) vastaa potilasasiakirjajärjestelmän suunnittelusta, toteuttamisesta, säilyttämisestä sekä henkilötietojen käsittelyyn liittyvistä velvoitteista. Rekisterinpitäjä ei voi delegoida vastuutaan muille, vaikka joitakin rekisterinpitoon liittyviä tehtäviä voikin sopimuksella antaa toisen hoidettavaksi. Rekisterinpitäjän velvoitteista säädetään tarkemmin henkilötietolaissa. Terveydenhuollon oikeusturvakeskuksen ohjeen mukaan itsenäiset ammatinharjoittajat ja terveydenhuollon palvelujen tuottajat, jotka toimivat esim. lääkäriasemalta vuokraamissaan tiloissa, voivat antaa kirjallisen sopimuksen perusteella osan rekisterinpitäjän tehtävistään, esimerkiksi potilasasiakirjojen säilyttämisen ja arkistoinnin, lääkäriaseman hoidettavaksi. Tällainen sopimus ei kuitenkaan muuta rekisterinpitäjää, eikä vähennä tai muuta itsenäisen ammatinharjoittajan vastuuta asiakirjojen käsittelystä. Potilasasiakirjoja ei voida siis tällöinkään antaa ilman potilaan suostumusta esimerkiksi lääkäriasemalla työskentelevän toisen terveydenhuollon ammatinharjoittajan käyttöön. Mikäli itsenäiset terveydenhuollon ammatinharjoittajat antavat yllä mainitun kaltaisella sopimuksella potilasasiakirjojensa säilyttämisen ja arkistoinnin esim. lääkäriaseman hoidettavaksi, on heidän informoitava siitä potilaitaan (henkilötietolain 24 §). Rekisterit ovat kuitenkin tässäkin tapauksessa edelleen itsenäisten ammatinharjoittajien potilasasiakirjarekisterejä, ja ne on myös esim. tietoteknisesti pidettävä erillisinä rekistereinä, eikä niiden sisältämiä tietoja voida missään tilanteessa ilman potilaan suostumusta (tai laissa todettua edellytystä) luovuttaa muille. Lisäksi yleisenä ohjauksena tietosuojavaltuutettu totesi, että lain potilaan asemasta ja oikeuksista (785/1992) 13 §:n mukaan potilasasiakirjoihin sisältyvät tiedot ovat salassa pidettäviä. Terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa kirjallisella suostumuksella. Sivullisella tarkoitetaan tässä laissa muita kuin asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin tehtäviin osallistuvia henkilöitä. Salassapitovelvollisuus säilyy palvelussuhteen tai tehtävän päättymisen jälkeen. Jos henkilötietoja ryhdytään käsittelemään vastoin henkilötietolakia (523/1999) tai jotain erityislakia, arvioidaan sitä viime kädessä rikoslain (39/1889) mukaan.

TUTKIMUSREKISTERIN SIIRTO

Dnro 1236/41/10

39

Asian kuvaus: Konkurssipesän edustaja otti yhteyttä tietosuojavaltuutetun toimistoon asiassa, joka koski konkurssiin menneen säätiön hallussa olevia tutkimusrekistereitä sekä niiden siirtämistä Tampereen yliopistoon. Kysymys koski erityisesti käynnissä olevien tutkimusten tutkimusrekisterien siirtoa siten, että tutkimus voidaan saattaa loppuun. Tässä yhteydessä on kyse nimenomaan rekistereistä, joissa säätiö on ollut rekisterinpitäjänä. Pesän edustaja tiedusteli myös sitä, tuleeko rekisterien siirrolle hakea henkilötietolain 35 §:n mukainen Kansallisarkiston lupa? Tietosuojavaltuutetun vastaus: Käynnissä olevat tutkimushankkeet Tietosuojavaltuutetun käsityksen mukaan siirron edellytykset riippuvat siitä, millä perusteella tutkimusrekisterissä olevia henkilötietoja käsitellään. Henkilötietoja voidaan käsitellä tutkittavien itsensä antamilla suostumuksilla, mikä on ensisijainen tapa, kun tutkimusaineistoon tarvitaan tunnistettavia henkilöitä koskevia tietoja. Jos suostumusten hankkiminen ei ole mahdollista tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi, tietojen käyttöön voidaan hakea viranomaislupaa. Viranomaislupaa haetaan, kun tutkimusaineistona halutaan käyttää esimerkiksi valtakunnallisten henkilörekisterien sisältämiä tietoja. Tutkimusta varten tutkijoille muodostuu oma, tietolähteenä käytetystä henkilörekisteristä erillinen rekisteri. Pääsääntöisesti tutkimusrekistereitä on kolmenlaisia; 1) tutkimusrekistereitä, jotka perustuvat kokonaisuudessaan tutkittavien suostumuksella kerättyihin tietoihin 2) tutkimusrekistereitä, jotka sisältävät suostumuksella kerättyjen tietojen lisäksi rekisteritietoja viranomaisrekisteristä sekä 3) tutkimusrekistereitä, joiden tiedot on kerätty pelkästään eri rekistereistä viranomaislupien perusteella. Suostumuksella kerätyistä tiedoista Henkilötietojen käsittelyyn oikeuttavan suostumuksen on oltava henkilötietolain 3 §:n 1 momentin 7-kohdassa tarkoitetun tavoin vapaaehtoinen, yksilöity ja tietoinen. Arkaluonteisten henkilötietojen osalta henkilötietolain 12 §:n 1 momentin 1 kohdan mukaan suostumuksen tulee lisäksi olla myös nimenomainen. Henkilötietolain 24 §:ssä edellytetään, että rekisteröityjä informoidaan heidän henkilötietojensa käsittelystä. Jotta tietojen keräämisen voidaan katsoa tapahtuneen asianomaisen rekisteröidyn suostumuksella, suostumusta pyydettäessä rekisteröityä on tullut henkilötietolain 24 §:n mukaisesti informoida kaikista suostumuksen antamisen kannalta merkityksellisistä seikoista. Myös laki lääketieteellisestä tutkimuksesta (488/1999) edellyttää 6 – 8 §:ien mukaisesti tutkittavan suostumusta. Suostumuksen sisällöstä on tarkemmin säädetty valtioneuvoston asetuksella (313/2004). Tietosuojavaltuutetun saamien tietojen mukaan kysymys on tilanteesta, jossa alkuperäisen tutkimussuunnitelman mukaiset, kesken olevat tutkimukset pyritään saattamaan loppuun tilanteessa, jossa rekisterinpitäjän toiminta on päättynyt. Tutkimusrekisterien säilyttämisen tarpeellisuus perustuu siihen, että tutkimukset saadaan saatettua loppuun. Tämän

40

tavoitteen saavuttamiseksi tutkimusrekisterien aktiivikäytön täytyisi yhä olla mahdollista. Henkilötietojen käsittelyperuste ei muutu, koska tarkoituksena on saattaa loppuun alkuperäinen tutkimushanke, johon nimenomainen suostumus on saatu. Tietosuojavaltuutetun saaman tiedon mukaan tutkimuksen tekemistä käytännössä jatkaisivat myös samat henkilöt, jotka sitä alun perinkin ovat tehneet ja joille suostumus kyseessä olevien henkilötietojen käsittelyyn on annettu. Tutkimushankkeet ovat valtuutetun saaman tiedon mukaan olleet pääsääntöisesti väitöskirjatöitä sekä julkaisuihin tähtääviä tieteellisiä artikkeleita. Tietosuojavaltuutetun käsityksen mukaan kyseisessä poikkeustilanteessa rekisterinpitäjyyden uudelleenjärjestely voi olla mahdollista, jos henkilötietojen käsittelyn asianmukaisuudesta sekä lainmukaisuudesta voidaan varmistua. Uudelleen järjestelyn edellytyksenä ovat 1) henkilötietojen käsittelyn tarkoitus ei muutu eli suostumuksella kerättyjä tietoja käytetään vain siihen tutkimustarkoitukseen, johon suostumus on saatu, 2) tutkimusrekisterissä olevien henkilötietojen salassa pidettävyys ei muutu ja 3) varmistutaan siitä, että tutkimusrekisteriin talletetut tiedot on suojattu henkilötietolain 5 §:ssä ja 32 §:ssä edellytetyllä tavalla. Tutkimuksen rekisterinpitäjä vastaa rekisterinpidon ja henkilötietojen käsittelyn laillisuudesta tutkimuksen jatkuessa sekä sen päätyttyä. Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun. Henkilötietolain 32 §:n 1 momentin mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Mitä arkaluonteisempaa tietoa rekisteri sisältää, sitä parempaa huolta sen suojauksesta on pidettävä. Rekisterinpitäjyyden uudelleen järjestelyn sekä tutkimusrekisterien siirron yhteydessä suojaustoimenpiteiden merkitys korostuu. Tutkimusrekisterin rekisterinpitäjän on varmistuttava kyseessä olevien arkaluonteisten henkilötietojen manuaalisen sekä automaattisen aineiston suojauksen asianmukaisuudesta sekä siitä, että aineiston suojaus täyttää edellä esitetyt henkilötietolain säännökset. Koska rekisterinpitäjän muutos on olennainen, tulee suostumuksellaan tutkimukseen osallistuneita informoida tutkimuksen rekisterinpitäjän muuttumisesta sekä siitä, että suostumus on mahdollista peruuttaa. Myös tutkimusrekistereistä laaditut henkilötietolain 10 §:n mukaiset rekisteriselosteet on syytä päivittää siten, että tieto oikeasta rekisterinpitäjästä on kaikkien saatavilla. Muilta osin siirto ei tietosuojavaltuutetun näkemyksen mukaan anna aihetta huomautuksiin. Niiden tutkimushankkeiden kohdalla, jotka eivät jatku ja joiden yhteydessä muodostunut henkilörekisteri ei enää ole aktiivikäytössä, tulee menetellä henkilötietolain 34 §:n

41

mukaisesti. Henkilötietolain 34 §:n mukaan henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 §:ssä tarkoitetulla tavalla arkistoon. Viranomaisluvalla saaduista tiedoista Mikäli tutkimusrekisteriin on talletettu tietoja, jotka on saatu viranomaisen rekisteristä luvanvaraisesti, tietojen siirron mahdollisuus riippuu lupaehdoissa sovitusta. Esimerkiksi Terveyden ja hyvinvoinninlaitoksen lupaehtojen mukaan ”Jos tutkimusta suorittavassa organisaatiossa tai rekisterinpitäjän osalta tapahtuu olennaisia muutoksia, niistä tulee ilmoittaa luvan myöntäjälle, joka harkitsee edellyttääkö muutos uutta lupaa.”. Näin ollen rekisteritietoja sisältävien tutkimusrekistereiden osalta on oltava yhteydessä asianomaiseen lupaviranomaiseen. Arkistoidut tutkimusrekisterit Henkilötietolain 14 §:n 4 kohdan mukaan tieteellisen tutkimuksen tarkoituksessa käsiteltäviä henkilötietoja saa säilyttää vain niin kauan, kuin ne ovat tarpeellisia tutkimuksen suorittamiseksi tai sen tulosten asianmukaisuuden varmistamiseksi. Kun henkilötiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai sen tulosten varmistamiseksi, henkilörekisteri täytyy joko hävittää, siirtää arkistoitavaksi tai muuttaa anonyymiin muotoon. Henkilötietolain 35 §:n 2 momentin mukaan henkilörekisteri, joka on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen, voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan laitoksen tai viranomaisen arkistoon, jos kansallisarkisto on antanut siihen luvan. Kansallisarkisto voi antaa yhteisölle, säätiölle ja laitokselle luvan siirtää arkistoonsa omassa toiminnassa syntyneitä henkilörekistereitä, jotka täyttävät edellä mainitut vaatimukset. Kansallisarkiston on päätöksessään määrättävä, miten rekistereiden suojaus on järjestettävä sekä miten henkilötietojen käyttöä on valvottava. Henkilötietolain 35 § koskee siis nimenomaan henkilörekisterin siirtoa arkistoon. Yksityinen rekisterinpitäjä saa arkistoida henkilötiedot vain, jos kansallisarkisto antaa siihen tietosuojavaltuutettua kuultuaan henkilötietolain 35 §:n mukaisen luvan. Useimmiten henkilötietoja sisältävän tutkimusaineiston arkistointi edellyttää, että tutkimuksen tehnyt rekisterinpitäjä on viranomainen, joka voi arkistoida tiedot arkistolakia noudattaen. YKSITYISVASTAANOTON POTILASKORTISTO KUOLINPESÄSSÄ Dnro 1820/452/2006 (22.12.10 ) Asian kuvaus: Perikunta kysyi tietosuojavaltuutetulta ohjeita, miten menetellä kuolinpesästä löytyneen potilasarkiston suhteen, jotta tietosuoja toteutuisi. Psykiatrilla oli ollut vuosikausia yksityisvastaanotto päätyönsä ohella muutamassa lääkärikeskuksessa ja perikunta sai hoitaakseen kuolleen psykiatrin asunnosta löytyneet paperit.

42

Perikunta oli yrittänyt selvittää asiaa yksityiseltä lääkäriasemalta, Suomen Lääkäriliitosta ja eri viranomaistahoilta, mutta ei ollut saanut tyydyttävää vastausta kysymykseensä. Perikunnalle oli selvinnyt, että järjestelmässä on terveydenhuollon yksityisen ammatinharjoittajan kuoleman kokoinen aukko. Perikunta totesi lisäksi, että vaikka voisi joten kuten ymmärtää, että asiasta ei ole olemassa lakia tai säädöstä, joka tämän huomioisi, niin ei ole mitenkään puolustettavissa, että viranomaiset eivät osaa ohjeistaa tällaisissa tilanteissa. Tietosuojavaltuutetun vastaus: Tietosuojavaltuutettu ei ole voinut ohjeistaa asiaa siten, että potilastiedot tulisi hävittää, koska on huomioitava potilaiden oikeusturvanäkökohdat, mikä on potilastietojen säilyttämisajan ja menettelyn tarkoitus. Valtuutettu ilmoitti lähettäneensä perikunnan kirjeen sosiaali- ja terveysministeriölle (STM) tiedoksi ja mahdollisiin toimenpiteisiin ryhtymiseksi ohjauksen antamiseksi tässä ja vastaavissa tapauksissa. Perustelut 1. Lainsäädäntökehikko 1.1. Suomen perustuslaki 10 § Tietosuojavaltuutettu totesi aluksi, että Suomen perustuspotilain 10 § sisältää lainsäädäntötoimeksiannon henkilötietojen suojasta on säädettävä tarkemmin lailla. Kuten perikuntakin totesi, ainakin kuvatun kaltaisissa tilanteissa on lainsäädännössä olemassa selkeästi aukko. Henkilötietojen käsittelystä on säädetty yleislakina henkilötietolailla (523/1999). 1.2. Yleislakina henkilötietolaki Henkilötietolain 3 §:ssä on lueteltuna henkilötietojen käsittelyyn liittyviä määritelmiä mm. rekisterinpitäjän määritelmä ja ns. henkilötietojen käsittelyn määritelmä, mikä pitää sisällään myös henkilötietojen luovutukset. Kuitenkin terveydenhuollon erityislait kuten laki potilaan asemasta ja oikeuksista (785/1992) ja sen nojalla annetut asetukset syrjäyttävät henkilötietojen käsittelyn yleislain eli henkilötietolain silloin kun erityislainsäännös säätää samasta asiasta toisin tai tarkemmin kuin yleislaki. Tapauksessa on kysymys siitä, onko kyseessä rekisterinpitäjän vaihtuminen ns. yleisseuraannon perusteella vai potilastietojen luovutus? Tietosuojavaltuutetun käsityksen mukaan kyse ei tässä tapauksessa ole kummastakaan em. ilmiöstä. Arvioitavaksi jää säilyttämisvelvoitteen kohdistaminen, kun lääkäri/rekisterinpitäjä on kuollut. Henkilötietolaki edellyttää rekisterinpitäjän ja potilasrekisterin välisessä suhteessa suunnitella etukäteen toiminnan lopettamistilanne (HetiL 5 § ja 6 § eli ns. rekisterinpitäjän henkilötietojen käsittelyn suunnittelu- ja huolellisuusvelvoite). Ongelma koskee kuolleita ammatinharjoittajia, mutta myös toimintansa muutoin lopettavia. Potilastietojen säilyttämisvelvoitteen ideana on henkilötietolain (523/1999) 35 §:n sisäisen oikeusohjeen mukaisesti, että tarpeeton tieto pitää hävittää tai muutoin arkistoida. Henkilörekisteri, joka on tieteellisen tutkimuksen tai muusta syystä merkityksellinen voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan

43

laitoksen tai viranomaisen arkistoon, jos kansallisarkisto on antanut siihen luvan (HetiL 35 §). 1.3. Laki potilaan asemasta ja oikeuksista (Potilaslaki) terveydenhuollon erityislakina Potilasasiakirjojen laatimisesta ja säilyttämisestä on oikeusnormeja potilaslaissa ja potilasasiakirja-asetuksessa. Tallennusajoista ja velvoitteesta säilyttää potilastietoja on säädetty mm. osapuolten oikeusturvan ja tieteellisen tutkimuksen turvaamisen tarpeiden takia. Lain potilaan asemasta ja oikeuksista (Potilaslaki, 785/1992) 12 §:n mukaan terveydenhuollon ammattihenkilön tulee merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee säilyttää potilasasiakirjat sekä tutkimuksessa ja hoidossa syntyvät biologista materiaalia sisältävät näytteet ja elinmallit potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika. Potilasasiakirjat, näytteet ja mallit tulee hävittää välittömästi sen jälkeen, kun niiden säilyttämiselle ei ole edellä tarkoitettua perustetta. Potilasasiakirjojen laatimisesta sekä niiden ja 1 momentissa tarkoitettujen näytteiden ja mallien säilyttämisestä sekä käyttötarkoituksen perusteella määräytyvistä säilytysajoista säädetään tarkemmin sosiaali- ja terveysministeriön asetuksella. Potilasasiakirjoja, näytteitä ja malleja saa säilyttää sosiaali- ja terveysministeriön asetuksella säädetyn säilytysajan päätyttyä, jos se on välttämätöntä potilaan hoidon järjestämisen tai toteuttamisen kannalta. Säilyttämisen tarvetta on sosiaali- ja terveysministeriön asetuksella säädetyn säilytysajan päätyttyä arvioitava vähintään viiden vuoden välein, jollei laista tai henkilötietolain 43 §:n 2 momentissa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu. STM on antanut em. asetuksen potilasasiakirjoista (298/2009, voimaan 1.8.2009), joka korvasi aiemman vastaavan STM:n asetuksen potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (99/2001, voimaan 1.3.2001). Näissä edellä mainituissa asetuksissa on potilasasiakirjoille määritelty eri pituisia säilyttämisaikoja tietotyypeittäin. Osa potilastiedoista on velvollisuus säilyttää potilaan kuoleman jälkeenkin ja osa pysyvästi. STM:n asetuksen (298/2009) 23 §:n mukaan potilasasiakirjoja sekä tutkimuksessa ja hoidossa syntyviä biologista materiaalia sisältäviä näytteitä ja elinmalleja on säilytettävä vähintään tämän asetuksen liitteessä tarkoitettu aika. Potilasasiakirjojen, näytteiden ja mallien säilyttämisestä säilytysajan päätyttyä säädetään potilaan asemasta ja oikeuksista annetun lain 12 §:n 2 momentissa. Kun tämän asetuksen liitteessä tarkoitettu säilytysaika on päättynyt tai kun sen jälkeen säilytetyt potilasasiakirjat, näytteet ja elinmallit eivät enää ole välttämättömiä potilaan hoidon järjestämiseksi tai toteuttamiseksi, on hoidon järjestämistä vastaavan terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön huolehdittava siitä, että potilasasiakirjat ja muu edellä tarkoitettu materiaali hävitetään välittömästi ja siten, että sivulliset eivät saa niistä tietoa.

44

Tämän asetuksen (298/2009) 26 §:n mukaan liitteessä tarkoitettuja säilytysaikoja sovelletaan potilasasiakirjoihin, jotka on laadittu tai saatu 1 päivänä toukokuuta 1999 tai sen jälkeen. Jos asiakirjan säilytysaika lasketaan potilaan kuolemasta, säilytysaikoja sovelletaan kuitenkin asiakirjoihin, jotka koskevat 1 päivänä toukokuuta 1999 tai sen jälkeen kuollutta henkilöä. Potilasasiakirjoihin, jotka on laadittu tai saatu ennen 1 päivää toukokuuta 1999, taikka jos asiakirjan säilytysaika lasketaan potilaan kuolemasta, jotka koskevat ennen 1 päivää toukokuuta 1999 kuollutta henkilöä, sovelletaan kunnallisen ja yksityisen sekä vankeinhoitolaitoksen terveydenhuollossa laadittujen potilasasiakirjojen osalta valtionarkiston kunnallisten asiakirjojen hävittämisestä 14 päivänä huhtikuuta 1989 antamassa päätöksessä säädettyjä säilytysaikoja. Sen lisäksi sovelletaan, mitä valtionarkisto ja arkistolaitos ovat erikseen määränneet asiakirjojen säilyttämisestä pysyvästi. Kuten edellä mainituista säännöksistä ilmenee STM on antanut säännökset siitä, miten pitkään potilastietoja tulee säilyttää. Edellä kuvatuissa säännöksissä ja muutoinkaan ei ole ohjeita siitä, missä kuolleen terveydenhuollon ammattihenkilön yksityisvastaanoton potilastiedot tulisi säilyttää. Säännökset koskevat rekisterinpitäjää ja näin ollen tilanne on ristiriitainen eikä vastaa perustuslain 10 §:ää. Jos muu kuin rekisterinpitäjä hävittää potilastiedot, voi menettely loukata potilaiden oikeusturvaa. Arvioitavaksi voi muodostua, olisiko Arkistolaitoksella jokin rooli asiassa mm. luvan myöntävänä viranomaisena kuten edellä henkilötietolain 35 §:n osalta on kuvattu (ks. s. 2). 2. Yhteenveto Tietosuojavaltuutettu totesi, että terveydenhuollossa on ollut lukuisia lainsäädännön uudistuksia, joiden osalta hän on pannut toivossa siihen, että asia tulisi lainsäädännössä huomioiduksi ja että ammatinharjoittajia valvovat viranomaiset voisivat ohjata rekisterinpitäjiä. Valtuutettu on eri yhteyksissä pyrkinyt saattamaan ongelman STM:n ja eri viranomaisten tietoon. STM on parhaillaan laatimassa potilaslain 12 §:n ja em. potilasasiakirja-asetuksen (298/2009) pohjalta nimenomaista käytännön potilasasiakirjaopasta, jonka tarkoituksena on muun muassa ohjata potilasasiakirjojen laatimista ja säilyttämistä käytännössä tarkemmin. Lisäksi STM:ssä on vireillä lainsäädäntöhanke potilastietojen säilyttämisen järjestämiseksi terveydenhuollon toimintayksikön/itsenäisen ammatinharjoittajan toiminnan lopettamistilanteisiin. Tämän vuoksi valtuutettu lähetti jäljennöksinä tämän kirjeen ja perikunnan kirjeen tiedoksi STM:lle mahdollisia toimenpiteitä varten. Ideaalitilanne lainsäädännönvalossa olisi, jos ammatinharjoittajat voisivat huolehtia jo ennen toimintansa lopettamista asiakirjojen säilyttämisestä (säilyttämissopimukset). Jos ja kun kuolinpesä säilyttäisi potilasasiakirjoja käyttämättä niitä mihinkään muuhun tarkoitukseen, ei sen osakkaat tietosuojavaltuutetun arvion mukaisesti näyttäisi syyllistyvän mihinkään lainvastaiseen. Toisaalta, jos kuolinpesä päättäisi hävittää asiakirjat, voitaisiin tilannetta viime kädessä joutua arvioimaan jonkun muun kuin tietosuojalain kannalta. Lopuksi tietosuojavaltuutettu totesi, että koska tallennusaika palvelee potilaan intressiä ja tietosuojaa (mm. potilaan oikeutta tarkastaa itseään koskevat tiedot (HetiL 26-28 §:t) ja

45

vahingonkorvauskysymykset), ei hän voi antaa potilaan intressiä vastaan toimivaa määräystä. Toisaalta, jos ei ole rekisterinpitäjää (enää), ei tietosuojavaltuutettu ole asiassa toimivaltainenkaan. Sovelletut lainkohdat: - Suomen perustuslaki (731/1999) 10 § - Henkilötietolaki (523/1999) 3 §, 5 §, 6 § ja 35 § - Laki potilaan asemasta ja oikeuksista (785/1992) 12 § - STM:n asetus (99/2001) potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä (voimassa 1.3.2001- 31.7.2009) - STM:n asetus (298/2009) potilasasiakirjoista (voimaan 1.8.2009) HENKILÖTUNNUKSET INTERNETISSÄ Dnro 307/41/10 Asian kuvaus: Tietosuojavaltuutettua pyydettiin selvittämään, onko rikottu lakia ja onko oikeus vaatia va-hingonkorvauksia, kun yksityisille verkkosivuille on tallennettu yhdistyksen hallituksen jäsenten ja muiden luottamushenkilöiden nimet ja henkilötunnukset. Tietosuojavaltuutetun vastaus: Tietosuojavaltuutettu totesi, ettei hänellä ole ns. esitutkintavaltuuksia eikä myöskään toimi-valtaa arvioida vahingonkorvauskysymyksiä. Vain poliisiviranomaiset voivat kuulustella syylliseksi epäiltyjä samoin kuin selvitellä syntyneiden vahinkojen määriä. Tietosuojavaltuutetun toimiston kotisivuilla on osoitteessa www.tietosuoja.fi/9123.htm henkilötietolain seuraamusjärjestelmää koskeva esite, johon perehtymällä voi itse arvioida tilannetta, mutta tietosuojavaltuutettu lausuu asiasta poliisitutkinnan jälkeen suoraan poliisille/syyttäjälle ja myöhemmin myös tuomioistuimelle. Valtuutetun lausunto kuitenkin edellyttää, että hän voi tutustua esitutkinta-asiakirjoihin, joista selviää tapahtumien kulku, tahallisuuden aste, teon motiivi yms. ja sitten arvioida tekoa. Valtuutetulle toimenpidepyynnön tehnyt voi halutessaan tehdä myös tutkintapyynnön poliisille. Tietosuojavaltuutettu totesi kuitenkin yleisesti, että lähtökohtaisesti henkilötunnuksia ei tulisi laittaa yksityisille sivuille avoimeen internet- verkkoon. Muutoinkin hänen aiemmin ottamansa kannan mukaan etenkään toisten henkilöiden henkilötunnuksia ei saisi käyttää ilman asianomaisen henkilön suostumusta eikä silloinkaan tietoturvasyistä muutoin kuin ns. suojatussa verkossa. HAKUTIETOKANNAN TIEDOT INTERNETISSÄ Dnro 1509/41/09 Asian kuvaus:

46

X:n Arkisto kysyi yksittäisten henkilöiden haastatteluihin perustuvaan muistitietokantaan tehtyjen sisällysluetteloiden julkaisemisesta avoimessa internet-verkossa. Muisteloihin sisältyy luonnollisesti myös viittauksia vielä elossa oleviin henkilöihin, vaikka kyseessä on X:n Arkiston muistitietokokoelma. Tietosuojavaltuutetun vastaus: Suomen perustuslain turvaamaan sananvapauteen kuuluu olennaisena osana myös muistelun ja omien näkemysten esittämisen vapaus. Sananvapauden käyttämisestä on lisäksi säädetty erikseen sananvapauslaissa (460/2003). Tietosuojavaltuutettu viittasi jäljempänä selvitettyyn toimivaltaansa ja totesi lisäksi, että henkilötietolain 2 §:n mukaan kyseistä lakia ei lähtökohtaisesti sovelleta silloin, kun asiasta on säädetty muussa laissa tai kyse on henkilötietojen käsittelystä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksiin. Arkistolakihan säätää erikseen arkistoihin talletettujen tietojen käsittelystä ja vaikka on kyse laadituista sisällysluetteloista, ei niitä asiallisesti/sisällöllisesti voine erottaa arkistosta. Tietosuojavaltuutettu totesi vielä, että henkilötietojen käsittelystä säädettäessä on periaatteena ollut ns. välineriippumattomuus, jolloin arkistolaitokseen kuuluvissa arkistoissa tutkittavana olevat tiedostot voitaisiin julkistaa millä tahansa menetelmällä. Valtuutettu katsoi, että tämä ei kuitenkaan koske tiedostoja, jotka sisältävät laissa viranomaisten toiminnan julkisuudesta annetun lain mukaan salassa pidettävää tietoa. Julkisuuslain salassapitosäännökset olisi hänen mielestään joka tapauksessa parasta ottaa huomioon eräänlaisena tulkintaohjeena, vaikkei viimeksi mainittu laki suoraan tulisikaan sovellettavaksi muistitietokantaan. Edes toimivaltaansa kuuluvan henkilötietojen käsittelyn osalta tietosuojavaltuutettu ei voi lausua yksittäistapauksista mitään sitovaa, vaan jokaisella, joka tuntee yksityisyytensä tulevan loukatuksi, on oikeus saattaa asia tietosuoja- tai poliisiviranomaisten tutkittavaksi. X:n Arkiston antamat esimerkit viittasivat valtuutetun mielestä kuitenkin siihen, että sanotussa muistitietokannassa oleviin tietoihin ei tultaisi soveltamaan henkilötietolain säännöksiä eikä asia siten kuuluisi tietosuojavaltuutetun toimivaltaan.

47

TIETOSUOJALAUTAKUNTA VUOSIKERTOMUS 2010 Tietosuojalautakunta on päätösvaltaa tietosuoja-asioissa käyttävä elin, jonka valtioneuvosto nimittää kolmeksi vuodeksi kerrallaan. Tietosuojalautakunta voi

myöntää rekisterinpitäjälle luvan henkilötietojen käsittelyyn määrätyillä edellytyksillä ja

antaa tietosuojavaltuutetun hakemuksesta henkilötietojen käsittelyä koskevia määräyksiä

Lisäksi lautakunta

käsittelee henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä,

seuraa henkilötietojen käsittelyä koskevan lainsäädännön kehittämistarvetta ja tekee tarpeelliseksi katsomiaan aloitteita.

Katsaus vuoden 2010 toimintaan Tietosuojalautakunta kokoontui 6 kertaa vuonna 2010 ja ratkaisi kuusi asiaa sekä antoi kaksi lausuntoa. Lautakunta käsitteli viisi lupahakemusta ja yhden tietosuojavaltuutetun lautakunnalle käsiteltäväksi saattaman hakemuksen. Lisäksi tietosuojalautakunta antoi Turun hallinto-oikeudelle yhden lausunnon ja oikeusministeriön hallintoyksikölle yhden lausunnon. Lupahakemuksen keskimääräinen käsittelyaika oli hieman yli kolme kuukautta, määräysasian noin seitsemän kuukautta. Tietosuojalautakunnan menot vuonna 2010 olivat 11 910 euroa. Vireille tulleet ja lautakunnassa käsitellyt lupa- ja määräysasiat v. 2006 – 2010 2006 2007 2008 2009 2010 vireille tulleet 7 7 6 2 22 ratkaistu 4 6 8 4 6 - joista hyväksytty 3 3 4 3 4 - joista hylätty tai jätetty tutkimatta

1

3

4

1

2

48

Taulukosta ilmenee, että lautakunnan käsittelemien asioiden määrä on pysynyt tarkasteluajanjaksona kutakuinkin samana. Vuonna 2010 vireille tulleiden asioiden määrän huomattava kasvu edelliseen vuosiin verrattuna selittyy nk. pikavippiasioilla. Tietosuojavaltuutettu saattoi lautakunnan käsiteltäväksi 16 pikaluottoja tarjoavia yrityksiä koskevaa asiaa. Aikaisempien vuosien tapaan tietosuojalautakunta tiedotti päätöksistään kotisivuillaan ja valtion säädöstietopankissa Finlexissä. Tietosuojalautakunta osallistui tietosuoja-asioista tiedottamiseen myös toimittamalla Tietosuoja-lehteä yhdessä tietosuojavaltuutetun ja Viestintäviraston kanssa. Vuonna 2010 käsitellyt lupa-asiat Lupa käsitellä henkilötietoja ammattimaisen perintätoimen kohdentamiseksi oikeaan henkilöön Trust Perintätoimisto Oy:lle myönnettiin määräaikainen lupa käsitellä ammattimaisessa perintätoiminnassaan THS-tunnistusohjelman avulla saatavia myös sellaisten henkilöiden tietoja, joiden osalta yhtiöllä ei ole perintätoimeksiantoa. Mainittu tunnistusohjelma mahdollistaa väestötietojärjestelmään merkittyjen henkilötietojen selailumahdollisuuden suorakäyttöyhteyden avulla. Käsittelyn tarkoitus on helpottaa perintätoimen kohdentamista oikeaan henkilöön. Ajoneuvojen huoltohistoriatietoja käsittely Tietosuojalautakunta hylkäsi lupahakemuksen käsitellä tietoja ajoneuvojen huoltohistoriaa koskevan tietokannan muodostamiseen, ylläpitämiseen ja tietojen välittämiseen. Tietosuojalautakunta katsoi, etteivät virheettömyysvaatimus ja vaatimus käyttötarkoitussidonnaisuudesta täyty. Tietosuojalautakunta katsoi päätöksessään ajoneuvon rekisteröintitunnuksen olevan henkilötietolaissa tarkoitettu henkilötieto. Tietosuojalautakunta hylkäsi myös toisen, samanlaista tietokannan muodostamista koskevan hakemuksen. Tietosuojalautakunta katsoi päätöksessään ajoneuvon valmistenumeron olevan henkilötietolaissa tarkoitettu henkilötieto. Lupa verrata henkilötietoja SAL –järjestelmään tallennettujen apteekkisopimuspotilaiden tietoihin Tietosuojalautakunta myönsi Apteekkariliitolle luvan verrata hakemuksessa tarkoitettuja lääkkeitä ostavien asiakkaiden tietoja SAL-järjestelmään tallennettujen apteekkisopimuspotilaiden tietoihin. Apteekkisopimuspotilaat ovat potilaita, jotka ovat tehneet sopimuksen tiettyjen lääkkeiden saannista vain tietyistä apteekeista, SAL –järjestelmä puolestaan apteekkien keskinäinen tietoverkkoratkaisu. Siltä osin kuin hakemus koski arkistointikappaleen säilyttämistä ja henkilötietojen keräämistä,

49

tallettamista ja säilyttämistä yksittäisten apteekkien omiin järjestelmiin tietosuojalautakunta hylkäsi lupahakemuksen. Lisäksi lautakunta asetti lupamääräyksen henkilötietojen käsittelylle. Lupaa oli myös haettu tiettyjen työntekijöihin mahdollisesti yhdistettävissä olevien teknisten tietojen käsittelyyn. Lautakunta katsoi henkilötietojen käsittelyn yleisten edellytysten täyttyvän tältä osin, joten kyseisten tietojen käsittely ei edellyttänyt lautakunnan lupaa. Lautakunnan päätöksestä on valitettu ja asian käsittely on kesken Helsingin hallinto-oikeudessa. Vuonna 2010 käsitellyt määräysasiat Henkilötietojen käsitteleminen katunäkymäpalvelussa Tietosuojavaltuutettu oli hakemuksessaan pyytänyt tietosuojalautakuntaa arvioimaan käsitteleekö Fonecta Oy katunäkymäpalvelussaan henkilötietoja sekä velvoittamaan Fonectan määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty. Fonecta oli ensisijaisesti katsonut, ettei käsittele laisinkaan henkilötietoja katunäkymäpalvelussaan ja toissijaisesti pyytänyt tietosuojalautakunnalta lupaa kyseisten tietojen käsittelyyn. Tietosuojalautakunta katsoi Fonecta Oy:n käsittelevän katunäkymäpalvelussaan henkilötietoja ja yhtiön tarvitsevan tätä tarkoitusta varten tietosuojalautakunnan luvan. Lautakunta myönsi luvan kerätä ja käsitellä henkilötietoja Fonecta Oy:n katunäkymäpalvelun luomiseksi ja ylläpitämiseksi edellyttäen, että Fonecta toimii lautakunnan asettamien lupamääräysten mukaisesti. Lupa ja lupaehdot asetettiin määräaikaisina. Luvassa edellytettiin katunäkymässä esiintyvien henkilöiden tekemistä tunnistamattomaksi. Fonecta on valittanut lautakunnan päätöksestä siltä osin kuin lautakunta katsoi, ettei kyse ole henkilötietojen käsittelystä toimituksellisia tarkoituksia varten ja asian käsittely on kesken Helsingin hallinto-oikeudessa. Vuonna 2010 annetut lausunnot Tietosuojalautakunta antoi lausunnon Turun hallinto-oikeudelle siellä vireillä olevassa verotustietojen käsittelyä koskevassa asiassa. Satakunnan Markkinpörssi Oy ja Satamedia Oy olivat valittaneet hallinto-oikeuteen tietosuojalautakunnan päätöksestä, jonka lautakunta oli tehnyt korkeimman hallinto-oikeuden palautettua asian lautakunnan ratkaistavaksi. Lisäksi lautakunta antoi lausunnon oikeusministeriön hallintoyksikölle hallinnonalalla toimivien viranomaisten maksullisia suoritteita koskevassa asetuksessa asetettujen maksujen muutostarpeista.

50

Tietosuojalautakunnan kokoonpano (2009 - 2011) Tietosuojalautakunnan kokoonpano (jäsen/varajäsen) oli kertomusvuonna seuraava: Puheenjohtaja

Ylijohtaja Pekka Nurmi, oikeusministeriö

Erityisasiantuntija Leena Vettenranta, oikeusministeriö

Varapuheenjohtaja

Professori Ahti Saarenpää, Lapin yliopisto

Professori Kai Kalima, Helsingin yliopisto

Jäsenet

Hallintojohtaja Anna-Leena Reinikainen, Tilastokeskus

Hallintojohtaja Eila Ratasvuori, Helsingin kaupunki

Konsultti Pertti Saloranta, Hämeenlinna

Lainsäädäntöneuvos Ilkka Turunen, valtionvarainministeriö

Johtaja Lea Mäntyniemi, Finanssialan Keskusliitto ry

Johtava asiantuntija Riitta-Sisko Koskela, Työterveyslaitos

Johtaja Leena Linnainmaa, Keskuskauppakamari

Lakiasianjohtaja Hannu Rautiainen, Elinkeinoelämän Keskusliitto EK ry

Johtava lakimies Tuula Sario, Suomen Kuluttajaliitto ry

Lakimies Timo Koskinen, Suomen Ammattiliittojen Keskusjärjestö ry

Tietosuojalautakunnan sihteerit: varatuomari Anu Talus ja lainsäädäntöneuvos Camilla

Busck-Nielsen

51

6. Dataombudsmannens översikt 2010 Under dataombudsmannens byrås 23. verksamhetsår påbörjades en reform av dataskyddsdirektivet 95/46/EU. Detta ligger som grund för att reformen av personuppgiftslagen (523/1999) inte framskridit, denna nämns i justitieministeriets offentliga projektregister. Däremot ändrades personuppgiftslagens norm angående tillämpningen av personuppgifter som publicerats på grund av det så kallade Skattebörs-ärendet. Märkbart är att medan det allmänna direktivet och personuppgiftslagen som kommit av detta har stått sig väl, så har lagen om dataskydd vid elektronisk kommunikation ändrats ett flertal gånger. Problem i ärendet framkom bl.a. i en mellanrapport; några sammanslutningsabonnenter som svarat på undersökningen menade att rättigheterna kommer av lagen, men de har ändå förbisett t.ex. förhandsanmälan. Kommissionen publicerade ett flertal viktiga ställningstaganden. I anslaget från verksamhetsårets slut ”Omfattande sätt att betrakta dataskydd” presenterade den t.o.m. lansering av en helt ny rättighet; nämligen rätt att glömma. Detta förslag förknippades ändå främst med samtycke av sociala media. Detta kommer av att medborgarna inte verkar vara medvetna om självbestämmande rätten då de skall återta samtycke som de givit. I det nya direktivet eller annat instrument som skall ersätta detta, kommer enligt kommissionen att skrivas in skyldigheten att följa principerna ”Privacy by Design” och ”Privacy by Default”. En stor utmaning men samtidigt en möjlighet för registerföraren kommer att vara det s.k. kravet för verifiering (accountability). Kommissionen funderade även på att göra datasäkerhetsintrång anmälningsskyldiga. En enhetlig europeisk verksamhetsplan för identitetsstölder presenterades. Detta ärende kom på fråga i arbetsgruppen för besittande av identitetsuppgifter som satts upp av inrikesministeriet. Den centrala frågan som kommissionen hade intresse av var de nationella dataskyddsmyndigheter-nas roll och ställning. Redan av Lissabon fördraget framkommer att vi skall verka självständigt, men även att jobba för grundrättigheterna som kommer av rättsstatsprincipen. Denna funktionsför-måga fäste även riksdagens biträdande justitieombudsman uppmärksamhet på, då han under verksamhetsåret gjorde en inspektion av vår byrå. Dataombudsmannens byrå försökte på förhand reagera på dessa stora förändringar i verksamhets-miljön. Vi uträttade en vid förnyelse i byråns styrsystem. Tillsammans med hela personalen –för att försäkra sig om åtagandet– förnyar vi under nästa verksamhetsår vår vision av vår strategi, den uttrycker vår viljeyttring, vår verksamhetsidé angående effektivitet, värden och medel för vårt beslutsfattande. Verksamhetsåret fylldes av många händelser som nådde nyhetströskeln, stora dataintrång, falska läkare och förgiftande sköterskor, initiativ för förenklad tillgång till offentliga uppgifter, men även förbättring av datasäkerheten i dessa Wikileaks tider. Det nya datasäkerhets fördraget, med sina fyra nivåer instruerar förvaltningens enheter till en bättre datahantering. För vår del försökte vi även att hjälpa enheterna i den privata sektorn.

52

Jag tackar åter vår byrås personal för det fint gångna året. I Helsingfors den 27. juni 2010 Dataombudsman Reijo Aarnio