Tietojen saamisesta ja luovuttamisesta eri organisaatioiden välisessä moniammatillisessa yhteistyössä 16.11.2016 Tietosuojavaltuutettu Reijo Aarnio Henkilötietolaki 8.4 Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään. 1 HE 96/1998 Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi YKSITYISKOHTAISET PERUSTELUT Luovutettaessa tietoja viranomaisten henkilörekistereistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset. Julkisuusperiaatteen toteuttamistavoista ja yleisimmistä salassapitoperusteista ehdotetaan säädettäväksi eduskunnan käsiteltävänä olevassa laissa viranomaisten toiminnan julkisuudesta. Yhdenmukaisuuden vuoksi on tarkoituksenmukaista, että henkilötietojen luovuttamisesta viranomaisen tiedostoista säädettäisiin tuossa laissa. Ehdotettuun lakiin viranomaisten toiminnan julkisuudesta on sisällytetty yksityisyyden suojan kannalta tarpeelliset henkilötietojen luovuttamisen rajoitukset. Lähtökohtana on, ettei laissa edelleenkään rajoitettaisi yksittäisen tiedon luovuttamista viranomaisen henkilörekisteristä, jollei salassapitosäännöksistä muuta johdu. Laissa viranomaisten toiminnan julkisuudesta säädettäisiin myös, millä edellytyksillä henkilötietojen laajamittainen luovuttaminen esimerkiksi sähköisessä muodossa on sallittua. 2 1
Henkilötietolaki ja Julkisuuslaki Viranomaisten henkilötietojen käsittely eli henkilötietolain ja julkisuuslainsäädännön suhde on pyritty sääntelemään selkeästi. Henkilötietolaki luonnollisesti koskee myös viranomaisia henkilötietojen käsittelijänä. Tiedonsaantioikeus viranomaisrekistereistä määräytyy kuitenkin julkisuuslainsäädännön mukaan. Tiedon antamisesta silloin kun kysymys on henkilörekisterissä olevista henkilötiedoista sisältyy yksityiskohtainen säännös julkisuuslain 16 :n 3 momenttiin 3 Julkisuuslaki 18 Hyvä tiedonhallintatapa Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus.sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi, 5) huolehtia, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta.noudattamista valvotaan. Tarkempia säännöksiä 1 momentissa säädettyjen velvoitteiden toteuttamiseksi tarpellisista toimenpiteistä annetaan asetuksella Arkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään. - TIETOHALLINTOLAKI 4 2
Julkisuuslaki (621/1999) 16.3 Asiakirjan antamistavat Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. 5 Laki viranomaisten toiminnan julkisuudesta 621/1999 julkisuuslaki 29 Salassa pidettävien tietojen antaminen toiselle viranomaiselle Viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos: 1) tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty; 2) se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa; Viranomainen voi antaa toiselle viranomaiselle tiedon sellaisista osoite- tai muista yhteystiedoista, jotka ovat 24 :n 1 momentin 31 kohdan mukaan salassa pidettäviä. Viranomainen voi avata toiselle viranomaiselle teknisen käyttöyhteyden henkilörekisterinsä sellaisiin tietoihin, jotka toisen viranomaisen on laissa erikseen säädetyn velvollisuuden mukaan otettava päätöksenteossaan huomioon. Jos henkilötiedot on säädetty salassa pidettäväksi, käyttöyhteyden avulla saa hakea tietoja vain henkilöistä, jotka ovat antaneet siihen suostumuksensa, jollei salassa pidettävien tietojen luovuttamisesta erikseen nimenomaisesti säädetä toisin. 6 3
Eduskunnan perustuslakivaliokunta on lausunnossaan PeVL 14/1998 vp todennut, että henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat: - Rekisteröinnin tavoite - Rekisteröitävien henkilötietojen sisältö - niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä - sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla 7 Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi (96/1998) 2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet 5 Huolellisuusvelvoite Pykälässä säädetään huolellisuusvelvoite rekisterinpitäjälle ja sille, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun. Se ilmentää laissa omaksuttua rekisterinpidon itseohjautuvuuden ajatusta, mikä tarkoittaa, että rekisterinpitäjät pyrkivät oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. 4
EVA 2010 Säädösten muutoksia tarvitaan etenkin tietoon (tietosuojasäännökset) ja julkisen vallan suoritteisiin (maksuperustelaki) kohdistuvan lainsäädännön osalta. Eri ministeriöiden ja valtion virastojen autonomia tai kunnallinen itsehallinto ei saa nousta esteeksi. Keinot tietosuojan periaatteiden toteuttamiseksi on tarvittaessa mietittävä uudestaan. Ratkaisu tietosuojan toteuttamiseksi ei enää voi olla tiedon lokeroiminen lukemattomiin erillisiin rekistereihin. (EVA:n marraskuussa 2009 julkaisema raportti Nykyaikaa etsimässä - Suomen digitaalinen tulevaisuus ) VTV 1998 Automaattiseen tietojenkäsittelyyn liittyvän teknologisen kehityksen mukanaantuomia hyötyjä ei hallinnon sisällä ole kyetty ulosmittaamaan sillä teholla, mihin voimassaoleva lainsäädäntö antaisi mahdollisuudet. Yhtenä keskeisistä syistä tähän ovat vaikuttaneet eri hallinnonalojen sisäisen erityislainsäädännön puutteellisuudet. Tietosuojaa koskeva laki on yleinen, ns. puitelaki. Jos varsinaisessa asiakohtaisessa lainsäädännössä on tietojenluovutusta koskeva säädös laadittu silmälläpitäen yhteistyön mahdollisuutta, ei tietosuojalaki ole esteenä viranomaisten eri tarkoitusta varten keräämien tietojen hyödyntämiselle muussa tarkoituksessa. (VTV:n tarkastuskertomus 8/1998 Tietosuoja ja viranomaisyhteistyö ) 9 JULKISUUSLAKI 621/1999 2 momentti on kumottu L:lla 10.6.2011/635, joka tulee voimaan 1.9.2011. TIETOHALLINTOLAKI (634/2011) Lain velvoitteet viranomaisille ja valtiovarainministeriön rooli: Aiempi sanamuoto kuuluu: Jos tämän lain nojalla annetussa valtioneuvoston asetuksessa niin säädetään, valtion hallinto- ja lainkäyttöviranomaisten on sen lisäksi, mitä 1 momentin 1 5 kohdassa säädetään, hyvän tiedonhallintatavan toteuttamiseksi velvollisuus: 1) turvata tietojärjestelmiä suunnitellessaan ja kehittäessään mahdollisuudet hyödyntää tietojärjestelmiä muiden viranomaisten toiminnassa sekä ottaa tässä tarkoituksessa huomioon yhteensopivuuden varmistamiseksi tämän lain nojalla säädetyt tekniset vaatimukset; 2) osallistua useammalle viranomaiselle yhteiseen yleisen tietoverkon avulla toteutettavaan asiakaspalvelujärjestelmään taikka yleisesti merkittävien asioiden valmistelun julkisuutta edistävien rekisterien ylläpitoon. Lain voimaantulon myötä julkisen hallinnon viranomaiselle tulee kolme keskeistä velvoitetta: 1) Suunnitella ja kuvata tietohallintonsa julkisen hallinnon tietohallinnon kokonaisarkkitehtuurin mukaisesti. 2) Noudattaa tietojärjestelmien yhteentoimivuuden mahdollistamiseksi julkisen hallinnon kokonaisarkkitehtuuria ja sen edellyttämiä yhteentoimivuuden kuvauksia ja määrityksiä sekä toimialakohtaisia kuvauksia ja määrityksiä, joiden sisältö määritellään asetuksissa. 3) Ottaa käyttöön sellaisia sähköisen asioinnin ja hallinnon tukipalveluja, jotka luovat edellytykset yhteentoimivuudelle. Yhteiset tukipalvelut määritellään tulevassa ICT-strategiassa 10 5
VIRANOMAISTEN (SALASSAPIDETTÄVIEN) TIETOJEN LUOVUTTAMINEN pyyntö / luovutus Tiedon luovuttaja EI (rekisterinpitäjä A) SOVELLETA, koska: Henkilötietolaki 8 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) Oma-aloitteinen ilmoitusoikeus tai -velvollisuus LUOVUTUKSEEN SOVELLETAAN Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - - - 24 salassapitosäännös - salassapidettävien tietojen luovuttamisen edellytykset 26-30 * lainsäännös, suostumus, toimeksianto ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 - luovutus 16-18 - tiedonsaantioikeus 20 - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 - - - - - - - - - - - - - - - - - - - Sekä muut erityislait Tiedon pyytäjä (rekisterinpitäjä B) Henkilötietolaki 8 ja 12 + 6 - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) 11 11, 3.4.2014 ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA POLIISI PÄIVÄKOTI KOULU TERVEYDEN- HUOLTO MUUT TAHOT SIJOITUS- KUNTA LsL 78 LS-ilmoitukset Tiedot LASTENSUOJELU UUDEN KOTIKUNNAN LASTENSUOJELU SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki 12 päiv. 9.11.2015 6
JULKISUUSLAKI (621/1999) HENKILÖTIETOLAKI (523/1999) MIKÄ? Asiaosaisen tiedonsaantioikeus (JulkL 11 ) Rekisteröidyn tarkastusoikeus (HetiL 26 ) KUKA? Asianosainen Rekisteröity Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. (JulkL 11:1 ) Se henkilö, jota henkilötieto koskee. (HetiL 3 ) MIHIN KOHDISTUU Asiakirja Henkilörekisteri LAAJUUS Asiakirjan sisältö, joka voi tai on voinut vaikuttaa Vain rekisteröityä itseään koskevat tiedot (HetiL 26:1 ) asianosaisen asian käsittelyyn. (JulkL 11:1 ) LOKITIETOJEN OSALTA Se asianosainen, jonka tietojen suojaksi lokijärjestelmä on rakennettu eli suojattavan tietojärjestelmän rekisteröity HUOM!KHO: 2014:69 Julkisuuslain 11 ei mahdollistanut tiedonsaantioikeutta siinä tilanteessa, jossa lokitietoja pyytänyt vasta epäili, että häntä koskevien poliisin tietojärjestelmiin sisältyvien tietojen käyttäminen ei ollut ollut asianmukaista. Lokitietoja koskeva asianosaisen tiedonsaantioikeus saattoi perustua vain siihen, että tiedot vaikuttivat tai olivat voineet vaikuttaa jonkin poliisissa vireillä olevan tai olleen, tiedon pyytäjää koskevan asian käsittelyyn. Rekisteröity on se tietojärjestelmän käyttäjä, jonka tietojärjestelmän käytöstä lokitiedot kertyvät eli käytönvalvonnan rekisteröity RAJOITUSPERUSTEET JulkL 11 2 mom. HetiL 27 TOTEUTTAMISMUOTO Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. (JulkL 16 ) Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. (HetiL 28:2 ) VALITUSTIE Hallinto-oikeus Tietosuojavaltuutettu Hallinto-oikeus 13 HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 RISKIPERUSTEINEN LÄHESTYMISTAPA Aloitus 2 Tietoturvallisuus 32 PRIVACY BY DEFAULT PRIVACY BY DESIGN HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus Oikeus käsitellä 3 3-k & 6 8, 12, 13, 14-20 Suunnittelu huolellisuus 5-6 - DPIA - PRIOR CONSULTING Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 PROFILOINTI OSS Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Käytön hallinnointi 5 - KIRJANPITO - PSEUDONYYMIT - GENEETTISET, BIOMETR. Rekisteröidyn oikeudet 24-29 Viranomaisilmoitukset 36-37 Informointivelvollisuus 24 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 YHDENMUKAISUUS- MEKANISMI Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 - RTBF - PORTABILITY - VASTUSTUS ACCOUNTABILITY Ulkomaille siirrot 22-23 + 10 art. Kouluta, ohjeista 5 Päiv. 11.3.2016 EDPB PRIVACY SHIELD - SERTIFIKAATIT - AUDITOINNIT PIA TIETOSUOJAVASTAAVA DBN14 14 7