Tietosuojalautakunnan ratkaisut 2013

Tarkastusoikeutta ei tarvitse toteuttaa sähköisesti

Tietosuojalautakunta hylkäsi tietosuojavaltuutetun hakemuksen, jossa lautakuntaa pyydettiin määräämään luottotietoyritys tarjoamaan henkilötietolain mukaista omien tietojen tarkastuspalvelua sähköisesti.

Luottotietoyritys tarjosi asiakkailleen maksullista sähköistä otetta omista luottotiedoista ja perusteli sitä luottotietolaissa tarkoitetulla rekisteröidyn oikeudella saada ote luottotiedoistaan kohtuullista korvausta vastaan. Henkilötietolain mukaan rekisteröidyllä on oikeus tarkastaa omat rekisteriin tallennetut henkilötietonsa kerran vuodessa maksutta. Henkilötietolain mukaisen, pääsääntöisesti maksuttoman tarkastusoikeuden käyttäminen ei onnistunut sähköisessä palvelussa, vaan sitä varten oli joko käytävä henkilökohtaisesti yrityksessä tai lähetettävä pyyntö postitse tai faksilla.

Tietosuojavaltuutetun mukaan ote omista tiedoista ja tarkastusoikeuden käyttäminen ovat kaksi erilaista tiedonsaantioikeutta, joista ote oli jo yrityksessä toteutettu sähköisesti. Tarkastusoikeutta käyttäessään rekisteröity haluaa vain tietää, onko hänestä tietoja luottotietorekisterissä ja mitä tietoja ne ovat. Oman luottotieto-otteen tilaaminen taas liittyy rekisteröidyn tarpeeseen saada itsestään tietoja siinä muodossa, että hän voi toimittaa ne esimerkiksi vuokranantajalle. Tarkastusoikeus näyttäisi olevan käyttäjän ensisijainen tiedonsaantioikeus, ja luottotietolain mukaan luottotietoyrityksen on pidettävä huolta rekisteröityjen tiedonsaantioikeuksien toteutumisesta.

Yrityksen mukaan luottotietotoiminnalle ei ole annettu nimenomaista määräystä toteuttaa omien tietojen tarkastusoikeus myös sähköisesti. Asiakkaalle tuodaan eri tavoin selvästi ilmi se, että omien tietojen tarkastus ilmaiseksi on mahdollista.

Tietosuojalautakunta perusteli valtuutetun hakemuksen hylkäämistä sillä, että yrityksen asiakkailla oli henkilötietolain mukainen mahdollisuus tarkastaa itseään koskevat tiedot, vaikka he eivät voineet tehdä sitä sähköisesti. Henkilötietolaki ei velvoita toteuttamaan tarkastusoikeutta sähköisesti, eikä lain tarkastusoikeutta koskevia säännöksiä voi tulkita sillä tavoin laajentavasti, että rekisterinpitäjälle asetettaisiin muitakin kuin laissa nimenomaisesti mainittuja velvoitteita. Myöskään lain esitöiden ja henkilötietodirektiivin perusteella velvoitteita laajentavaan tulkintaan ei ole perusteita.

päätös 1/17.4.2013
diaarinumero 1/933/2011

-----

Oikeus käsitellä väestötietoja perinnässä

Luottotieto- ja perintätoimintaa harjoittava yritys pyysi tietosuojalautakunnalta puoltavaa lausuntoa liitteeksi hakemukseen, jolla se haki Väestörekisterikeskukselta käyttölupaa suorakyselyihin (VTJ-kysely). Yritys haki käyttölupaa helpottaakseen perintätoimen kohdentamista oikeaan henkilöön.

Lautakunta tutki pyynnön hakemuksena saada käsitellä väestötietojärjestelmän THS-tunnistusohjelmalla sellaisten henkilöiden tietoja, jotka eivät ole perintätoimien kohteina ja joilla ei siten ole henkilötietolain mukaista asiallista yhteyttä yrityksen perintätoimintaan.

Väestötietojärjestelmän THS-sovellusta käyttämällä henkilön tietoja voi hakea järjestelmästä ilman henkilötunnusta. Esimerkiksi nimen perusteella haettaessa THS antaa vastaukseksi tiedot kaikista kyseisen nimisistä henkilöistä. THS:n avulla perintäyritys voi varmistua velallisen henkilöllisyydestä ja siitä, että perintäkirje menee oikealle henkilölle.

Perintäyhtiöllä oli oikeus käsitellä väestötietojärjestelmän tietoja sekä oikeus hakea THS:n avulla tietoja perinnän kohteina olevista henkilöistä, koska heillä on asiallinen yhteys yrityksen toimintaan. THS-haku tuo kuitenkin näkyviin myös muiden kuin velallisten henkilötietoja, ja näiden tietojen käsittelyyn yritys tarvitsi tietosuojalautakunnan luvan.

Lautakunta antoi yhtiölle luvan käsitellä perintätoiminnassaan muiden kuin velallisten tietoja THS-ohjelmalla, koska se auttaa perinnän kohdentamista oikeaan henkilöön sekä yksinkertaistaa ja nopeuttaa perintään kuuluvaa henkilötietojen käsittelyä.

Lupamääräyksen mukaan yhtiö saa käsitellä tietoja vain velallisen tunnistamiseksi ja henkilötietolain huolellisuusvelvoitetta noudattaen, jotta rekisteröityjen yksityisyydensuojaa ja oikeuksia ei vaaranneta. Niin ikään tiedot on hävitettävä välittömästi, kun ne eivät ole enää tarpeen perinnän kohdistamiseksi oikeaan henkilöön.

päätös 2/17.4.2013
diaarinumero 1/932/2013

-----

Kieltolista olisi vaatinut tarkempia selvityksiä

Suomeen rekisteröity lentoyhtiö pyysi tietosuojalautakunnalta lupaa ylläpitää rekisteriä henkilöistä, joita se kieltäytyy kuljettamasta ilmailun vaarantavan käytöksen tai aiemman, yhtiötä vastaan tehdyn rikkomuksen takia. Yhtiö liitti hakemukseensa otteen kuljetussääntöjensä rajoituksia koskevasta kohdasta. Hakemuksen mukaan yhtiö halusi käyttää jo olemassa olevaa, brittiläisen emoyhtiönsä kieltolistamenettelyä tai ottaa käyttöön oman listansa Suomessa.

Tietosuojalautakunta pyysi yhtiötä perustelemaan lupahakemuksensa tarkemmin. Selvitystä olisi kaivattu myös siitä, mitä tietoja yhtiön olisi tarkoitus kerätä, ja minkä vuoksi kyseiset tiedot ovat tarpeen. Niin ikään selvityspyynnössä toivottiin rekisteriselostetta ja selvitystä siitä, miten kieltolistalle kerättävät tiedot suojattaisiin.

Yhtiö ei toimittanut lisäselvityksiä, ja tietosuojalautakunta jätti hakemuksen tutkimatta, koska pelkän hakemuksen perusteella ei ollut mahdollista arvioida, täyttyivätkö luvan myöntämisen edellytykset.

päätös 4/27.8.2013
diaarinumero 2/932/2013

------

Organisoitu tiedonkeruu vaati rekisteröidyn luvan

Tietosuojalautakunta kielsi Jehovan todistajien uskonnollista yhdyskuntaa käsittelemästä henkilötietoja ovelle ovelle -saarnaamistyössä ilman henkilötietolain mukaista perustetta. Henkilötietojen käsittely voi perustua esimerkiksi kyseisten henkilöiden yksiselitteisesti antamaan suostumukseen. Lautakunta myös velvoitti Jehovan todistajat huolehtimaan siitä, että yhdyskunnan tarkoituksia varten ei kerätä henkilötietoja ilman, että henkilötietolaissa tarkoitetut henkilötietojen käsittelyn edellytykset täyttyvät.

Lautakunnan mukaan on ilmeistä, että ovelta ovelle -työssä syntyy henkilörekisteri tai -rekistereitä. Lautakunnan määrittelemänä henkilörekisteri muodostuu silloin, kun tiettyä henkilöä koskevat tiedot on järjestetty siten, että ne löytyvät helposti.

Merkityksellistä on pikemminkin muistiinpanojen käsittelymahdollisuus kuin se, millaiselle alustalle ne on koottu. Jehovan todistajien muistiinpanot toimivat muistin apuna vierailtaessa uudelleen kiinnostusta osoittaneiden luona. Tiettyä henkilöä koskevat tiedot ovat siis löydettävissä. Lisäksi ovelta ovelle -työtä tehdään alueittain, joten muistiinpanot on järjestetty alueittain. Vierasta kieltä tai viittomakieltä puhuvista kerätään tietoja lomakkeella. Näin ollen lomake edesauttaa henkilöä koskevien tietojen etsimistä ja siirtämistä.  

Toinen keskeinen kysymys koski rekisterinpitäjän määritelmää.

Jehovan todistajat olivat vedonneet siihen, ettei yhdyskunta säilytä yksittäisten saarnaajien keräämiä tietoja eikä siten voi olla rekisterinpitäjä. Lautakunnan mukaan rekisterinpitäjän määritelmän kannalta ei kuitenkaan ole keskeistä, kuka tietoja säilyttää. Yhdyskunta oli kehottanut saarnaajia tekemään muistiinpanoja ja antanut ohjeita kerättävistä tiedoista. Tietojen kerääminen tapahtui siis yhdyskunnan toimintaa varten ja yhdyskunnan antamien suuntaviivojen mukaisesti. Tällaista tietojen keruuta ei lautakunnan mukaan voi pitää yksityiseen tarkoitukseen tehtävänä henkilötietojen käsittelynä, joka ei kuuluisi henkilötietolain soveltamisalaan.

päätös 3/17.9.2013
diaarinumero 1/933/2013

Tietosuojalautakunnan päätös ei ole lainvoimainen, sillä asiasta on valitettu korkeimpaan hallinto-oikeuteen.

-----

Apteekkisopimusmenettely vaati osittain luvan

Päihde- tai lääkeriippuvuudesta kärsiviä potilaita vieroitetaan suunnitelmallisella lääkehoidolla. Siinä käytetään ns. apteekkisopimusmenettelyä, jossa potilas sitoutuu kirjallisesti yhden hoitopaikan määräämään lääkehoitoon ja noutamaan vieroituslääkkeensä aina samasta apteekista. Muut apteekit eivät toimita vieroituslääkkeitä toisen apteekin sopimuspotilaalle väärinkäytön estämiseksi.

Aikaisemmin apteekit vaihtoivat tietoja sopimuksen piirissä olevista potilaista puhelimitse tai faksitse. Vuonna 2013 otettiin käyttöön apteekkien keskinäinen sähköinen tietojärjestelmä. Siellä apteekki kirjaa välityspalvelimelle omat sopimuspotilaansa ja toimii heidän sopimustietojensa rekisterinpitäjänä. Vieroituslääkkeitä toimitettaessa apteekki tarkistaa automaattisesti, onko potilaalla voimassa sopimus toiseen apteekkiin. Jos näin on, apteekki saa välityspalvelimelta tiedon sopimuksesta ja sopimusapteekista, johon potilas ohjataan. Järjestelmää hallinnoi ja ylläpitää apteekkarien edunvalvontajärjestö, joka haki jatkoa luvalle.

Menettelyssä mukana olevien potilaiden tiedot ja lääkemääräykset ovat arkaluonteisia henkilötietoja. Tietosuojalautakunta totesi, että sopimusapteekilla on oikeus käsitellä oman sopimuspotilaansa tietoja potilaan antaman nimenomaisen suostumuksen perusteella, eikä tähän siis tarvita lautakunnan lupaa. Sen sijaan lupaa edellytetään muiden kuin omien sopimuspotilaiden tietojen käsittelyyn. Tästä on kyse, kun apteekki tarkistaa järjestelmästä, onko vieroituslääkkeitä hakevalla potilaalla sopimus toisen apteekin kanssa.

Lautakunta myönsi luvan menettelylle tärkeää yleistä etua koskevasta syystä, koska apteekkisopimusmenettely on osoittautunut toimivaksi ratkaisuksi. Lupamääräyksen mukaan muiden kuin apteekkisopimuspotilaiden henkilötiedot tulee poistaa sekä yksittäisten apteekkien omista järjestelmistä että sopimusmenettelyjärjestelmästä välittömästi, kun ne eivät ole tarpeellisia. Lupa myönnettiin määräaikaisena 30.11.2017 saakka.

päätös 31.10.2013
diaarinumero 5/932/2013

----

Päivitetty 20.1.2015: Muokattu mainintaa päätöksen lainvoimaisuudesta.
Päivitetty 15.10.2014: lisätty ratkaisulyhennelmiä ja maininta päätöksen lainvoimaisuudesta.

 
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.