TIETOSUOJAVALTUUTETUN TOIMISTO LAUSUNTO Dnro 1898/03/13 29.07.2013 Liikenne- ja viestintäministeriö Kirjaamo kirjaamo@lvm.fi Viitaten lausuntopyyntöönne 19.06.2013 Tietosuojavaltuutetun lausunto Olette pyytäneet lausuntoa liittyen liikenne- ja viestintäministeriön 28.5.2012 asetetun työryhmän raportteihin postinumerojärjestelmän ja osoiterekisterin avoimuuden parantamisesta ja niiden ylläpidon mahdollisesta siirtämisestä Viestintävirastolle. Työryhmän toimeksianto perustuu pääministeri Kataisen hallituksen hallitusohjelmassa tekemään linjaukseen, jonka mukaan julkisin varoin tuotettuja tietovarantoja tulisi avata kansalaisten ja yritysten käyttöön. Kiitän mahdollisuudesta lausua asiassanne ja totean kunnioittaen seuraavaa: Katson voivani toimivaltani puitteissa ottaa kantaa Osoiterekisterin avoimuutta koskevaan raporttiin (18/2013). Kiinnitän huomiota seuraaviin kohtiin: 1. Omakotitaloja ja huoneistoja koskevat tiedot Raportin kohdassa 5.3.3 sanotaan, että väestörekisterikeskuksen mukaan osoite- ja koordinaattitietojen luovuttaminen avoimen rajapinnan kautta olisi periaatteessa mahdollista, sillä osoitetietoon katunumerotasolla ja koordinaattitietoon ei sisälly tietosuojariskejä. Pidän tarpeellisena huomauttaa, että osoitetieto katunumerotasolla voi käytännössä kuvata myös omakotitalon osoitetta. Tietosuojatyöryhmän lausunnossa (ks. liitteet) on katsottu, että kiinteistön kauppahinta on käyttötarkoituksesta riippuen joko henkilötieto tai kiinteistön ominaisuutta kuvaava tieto. Tämän lisäksi tietosuojalautakunta on eräässä toukokuussa 2008 antamassaan ei-julkisessa päätöksessä tietosuojavaltuutetun näkemyksen kanssa yhtenevästi - todennut, että omakotitalojen ollessa kyseessä verkkopalvelussa olevien kiinteistön sijainti- ja osoitetietojen perusteella on kohtuullisesti toteutettavissa olevin keinoin julkisista rekistereistä selvitettävissä kiinteistön omistajatiedot. Jos kiinteistön omistajana on luonnollinen henkilö, kuten omakotitalon ollessa kyseessä tavallisesti on, on kiinteistöä kuvaava tieto eittämättä myös henkilötieto, jolloin henkilötietolain säännöksiä tiedon käsittelyn suhteen tulee noudattaa.
TIETOSUOJAVALTUUTETUN TOIMISTO 2/5 Käytännössä tämä tarkoittaa sitä, että omakotitalon tietoja omistajansa henkilötietoina voidaan käsitellä avoimessa tietoverkossa vain omistajan antamaan suostumukseen, toimeksiantoon tai sopimukseen liittyen sekä, siten kuin jäljempänä tarkemmin kuvataan, säätämällä siitä nimenomaisesti laissa. Raportin kohdassa 5.3.3. työryhmä pitää perusteltuna tukea VRK:n tavoitetta asettaa rakennuksien osoite- ja koordinaattitiedot saataville avoimeen rajapintaan ja edistää siten avoimen datan käyttöä. Katson, että tässä on tarpeen kiinnittää huomiota omakotitalossa asuvien tietosuojaan. Mikäli omakotitalojen osoitetietoja luovutetaan avoimen rajapinnan kautta, on kyse henkilötietojen sähköisestä luovuttamisesta rajoittamattomalle vastaanottajajoukolle, jonka jälkeen tietojen luovuttaja ei voi enää hallita tietojen käyttöä. Työryhmä toteaa raportissaan (kohta 7.1.1.), että väestötietojärjestelmän tiedot voidaan jakaa henkilöiden ja rakennusten osoitteisiin. Tältäkin osin haluan tähdentää, että olen käytännössäni katsonut, että omakotitalot ovat erityisasemassa kun arvioidaan rakennusten osoitteita henkilötietoina. Tällöin rakennuksen osoite saattaa olla myös henkilön elinolosuhteita kuvaava tieto. Myös omakotitalossa asuvilla on oikeus yksityisyyden suojaan ja myös heillä saattaa olla esim. lain väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) tarkoittama turvakielto. Raportissa esitellyssä ensimmäisessä ratkaisuvaihtoehdossa VRK avaisi rakennusten osoite- ja koordinaattitiedot. Toisessa ratkaisuvaihtoehdossa VRK avaisi sekä rakennusten osoite- ja koordinaattitiedot että rakennusten huoneistotasoiset tiedot. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Henkilön nimen, puhelinnumeron sekä sähköpostiosoitteenkin useimmissa tapauksissa on katsottu olevan henkilötietoja. Jos rakennuksen osoitetieto on luonnollisen henkilön osoitetieto, on kyseessä henkilötieto. Niin ikään, jos huoneistokohtainen osoitetieto koskee luonnollisen henkilön huoneistoa, kyseessä on henkilötieto. Tällöin tietosuojasääntelyllä voi olla ehdotusten kannalta merkitystä. Raportin sivulla 34 on kohdassa 3 ehdotettu, että osoitteellista jakelutoimintaa harjoittaville yrityksille voitaisiin luovuttaa myös luonnollisten henkilöiden huoneistotasoinen osoitetieto siten, että luonnollisten henkilöiden henkilöllisyyttä koskevaa tietoa (esim. nimitietoja) ei luovutettaisi. Ehdotus koskee tällöin kaikkia osoitetietoja, sekä yhteisöjen että luonnollisten henkilöiden huoneistokohtaisia osoitetietoja. Todettakoon, ettei henkilön tunnistamiseksi edellytetä henkilön nimeä, vaan muukin henkilöä koskeva tieto voi olla tämän henkilötieto. Kohdan 8.4. ehdotus postilain 38 3 momentiksi mukaan "Huoneistokohtaisia osoitetietoja, jotka eivät sisällä luonnollisten henkilöiden henkilötietoja, voidaan lisäksi luovuttaa edelleen osoitteellista jakelutoimintaa harjoittaville yrityksille jakelutoiminnan harjoittamista varten." Kuten jo lausunnossani 705/06/13 toin esille, henkilön tunnistamiseksi ei välttämättä tarvita tämän nimeä. Vaikka henkilön nimi on yleisin käytössä oleva tunnistamistapa, henkilö voidaan tunnistaa muidenkin
TIETOSUOJAVALTUUTETUN TOIMISTO 3/5 tietojen kuin nimen perusteella. Lisäksi huolimatta siitä, että käytettävissä olevat tunnisteet eivät lähtökohtaisesti mahdollista henkilön tunnistamista, henkilö saattaa silti olla tunnistettavissa, koska tieto yhdistettyinä muihin tietoihin, joiden ei välttämättä tarvitse olla rekisterinpitäjän hallussa, mahdollistaa henkilön erottamisen muista. Raportin kohdassa 8.4. on ehdotus postilain 38 :n 3 momentiksi, jossa sanotaan mm. näin "Huoneistokohtaisia osoitetietoja, jotka eivät sisällä luonnollisten henkilöiden henkilötietoja, voidaan lisäksi luovuttaa edelleen osoitteellista jakelutoimintaa harjoittavilla yrityksille jakelutoiminnan harjoittamista varten." Katson, että tässä on erityisen tärkeää pitää mielessä tietosuojanäkökulma. 2. Osoiterekisterin tietosisällön laajentaminen Työryhmä on pohtinut (kohta 7.1.2) mahdollisuuksia muun muassa osoiterekisterin tietosisällön määrittelyn muuttamisesta, jolloin tarkoitetaan osoiterekisterin tietosisällön laajentamista siten, että se kattaisi esimerkiksi sähköpostiosoitteet ja puhelinnumerot. Tältä osin haluan painottaa, että käsiteltävien henkilötietojen tulee olla tarpeellisia käsittelyn tarkoituksen näkökulmasta. Henkilörekisteriin ei tule tallettaa käyttötarkoituksen kannalta tarpeettomia henkilötietoja. Perustuslakivaliokunnan käytännön mukaan tämä tulee ottaa huomioon myös uutta lakia säädettäessä. Työryhmän tulee siis kiinnittää huomiota siihen, että muutosta valmisteltaessa otetaan huomioon henkilötietojen käsittelyn tarkoitus ja tallennettavien tietojen tarpeellisuus, kun määritellään uudelleen osoiterekisterin tietosisältöä. Työryhmän raportissa ei ole tarkemmin määritelty, mitä käyttötarkoitusta varten näitä tietoja oltaisiin keräämässä rekisteröidyistä. Voimassa olevan postilain (415/2011) mukaan osoiterekisterissä olevia tietoja käytetään lähetysten perille toimittamiseen sekä osoitepalveluista sopimuksen tehneiden postinlähettäjien hallussa olevien nimi- ja osoitetietojen tarkistamiseen ja korjaamiseen. 3. Nk. 10 vuoden sääntö Työryhmän raportissa kiinnitetään huomiota postilain 38.6 :ssä olevan ns. 10- vuotissäännön tarkoituksenmukaisuuteen (raportin s. 21 ja 28). Ko. säännön mukaan postiyrityksen on poistettava osoiterekisterissä oleva aiempi tieto viimeistään kymmenen vuoden kuluttua siitä, kun postiyritys on saanut tiedon siinä tapahtuneesta muutoksesta. Tältä osin haluan tuoda esille, että rekisterinpitäjän ei tule säilyttää tietoja pidempään kuin on tarpeen. Lisäksi yleisten henkilötietojen käsittelyä koskevien periaatteiden mukaan on paikallaan määritellä etukäteen, kuinka kauan henkilötietoja säilytetään. Perustuslakivaliokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeänä sääntelykohteena mm. henkilötietojen säilytysaikaa henkilörekisterissä. Niin ikään korostan, että henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Yhteenveto Henkilötietojen sähköisestä luovuttamisesta Viranomaisen henkilörekistereistä voidaan luovuttaa henkilötietoja verkossa, jos siitä
TIETOSUOJAVALTUUTETUN TOIMISTO 4/5 on nimenomaisesti säädetty laissa. Jotta henkilötietojen luovuttamisesta avoimen verkon kautta voidaan säätää laissa, tulee henkilötietojen käsittelyn olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta ja lisäksi tietojen tällaisen luovuttamisen tulee olla tarpeellista kyseisessä toiminnassa. Olen katsonut, että henkilötietojen vieminen avoimeen verkkoon, on henkilötietojen sähköistä luovuttamista. Tällöin luovutuksen saajia ovat kaikki, jotka voivat Internetiä käyttää ja kyseistä sivua katsella. Vietyään henkilötietoja avoimeen verkkoon, rekisterinpitäjä ei käytännössä voi enää hallita niiden käyttöä tai arvioida tietojen käyttötarkoitusta. PSI-direktiivi ja henkilötietojen käsittely Yksilöiden suojelua henkilötietojen käsittelyssä käsittelevä työryhmä, joka on perustettu Euroopan parlamentin ja neuvoston 24 päivänä lokakuuta 1995 antamalla direktiivillä 95/46/EY. Antamassani lausunnossa 705/06/13 viittasin tietosuojatyöryhmän antamaan lausuntoon 4/2007 henkilötiedon käsitteestä. Tietosuojatyöryhmä WP 29 on antanut myös lehdistötiedotteen (27. kesäkuuta 2013) liittyen ns. PSI-direktiiviin eli direktiiviin julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä 2003/98/EY. (Directive on the re-use of public sector information, the PSI directive). Tiedotteessa todetaan, että julkisen sektorin hallussa olevien tietojen uudelleenkäyttö hyödyttää yhteiskuntaa julkisen sektorin paremman läpinäkyvyyden kautta ja mahdollistaen innovaatioita. Julkisen sektorin hallussa olevien tietojen saatavuuden parantaminen ei ole riskitöntä, etenkään silloin kun luovutettavat tiedot sisältävät henkilötietoja. Työryhmä painottaa, että on tärkeää, että henkilötietojen julkisesti saataville laittamiselle on vahva oikeusperusta ottaen huomioon, että tilanteen kannalta olennaiset tietosuojasäännökset (tarpeellisuusvaatimus, käyttötarkoitussidonnaisuus). Jotta huolehdittaisiin riittävistä suojatoimenpiteistä, on suositeltavaa tehdä tietosuojavaikutusten arviointi (data protection impact assessment) ennen kuin julkisen sektorin tietoja, joihin sisältyy henkilötietoja voidaan laittaa saataville uudelleenkäyttöä varten. Työryhmä myös suosittelee, että julkisen sektorin tietojen käyttöehtoihin sisällytetään tietosuojalauseke silloin kun se on tarpeen. Tässä on huomattava, että osoiterekisterin kohdalla rekisterinpitäjä ei ole viranomainen eikä mikään julkinen toimija, vaan Itella Oyj. Työryhmän raportissa onkin todettu, että PSI-direktiiviä ei sellaisenaan sovelleta postinumerojärjestelmään, koska direktiivi koskee julkisen hallinnon ylläpitämää tietoa (raportin s. 17). Siinä tapauksessa, että viranomainen luovuttaa henkilötietoja avoimessa verkossa, siitä on säädettävä erikseen lailla, kuten edellä selostettiin. Perustuslakivaliokunta ja henkilötietojen suoja Perustuslakivaliokunnan vakiintunut käytäntö on, että lainsäätäjän liikkumavaraa rajoittaa se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan sitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien
TIETOSUOJAVALTUUTETUN TOIMISTO 5/5 henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Katja Ahola Liitteet - Article 29 Data Protection Working Party: Lausunto henkilötiedon käsitteestä 4/2007 WP136 - Article 29 Data Protection Working Party: Opinion 06/2013 on Open Data and Public Sector Information ('PSI') Re-use WP207 Tietosuojavaltuutetun toimivalta Henkilötietolain (523/1999) 38 :n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään. Henkilötietolain 40 :n 1 momentin mukaan tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava syytteeseen panoa varten. Henkilötietolain 40 :n 2 momentin mukaan tietosuojavaltuutetun on ratkaistava asia, jonka rekisteröity on saattanut 28 ja 29 :n nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Tietosuojavaltuutettu valvoo yksityisyyden suojasta työelämässä annetun lain (työelämän tietosuojalaki) (759/2004) 22 :n mukaan lain noudattamista yhdessä työsuojeluviranomaisten kanssa. Sähköisen viestinnän tietosuojalain (516/2004) 32 :n mukaan tietosuojavaltuutetun tehtävänä on valvoa mm. lain 7 lukuun (26-29 ) sisältyvien suoramarkkinointia koskevien säännösten noudattamista.