OTT VT Rauno Korhonen oikeusinformatiikan professori Lapin yliopiston

OTT, VT Rauno Korhonen oikeusinformatiikan professori Lapin yliopiston oikeustieteiden tiedekunta 20. 3. 2015 YKSITYISYYDEN SUOJAN JA TIETOSUOJAN PERUSTEET 2015 Hallinto-oikeuden ja oikeusinformatiikan pooli ONPOOL 5 tai Oikeusinformatiikan perusteet OPEO 0505

Luentosarja Tietosuoja ja tietoturvallisuus Aikataulu: Ma 23. 3. klo 12. 15 – 15. 00 Ti 24. 3. klo 12. 15 – 15. 00 Ke 25. 3. klo 12. 15 – 14. 00 To 26. 3. klo 12. 15 – 14. 00 LS 3 Luentosarjalta voi perustellusta syystä olla pois 2 h.

Huom! - Merkitse listaan nimesi ja opiskelijanumerosi sekä rastita vaihtoehtoinen valintasi, joko 10 h pakollinen luentosarja tai 2 lisäpistettä poolin tai vanhan tutkintorakenteen opintojakson tenttiin!!!!

Tämän luento-osion tarkemmasta sisällöstä: 1) Yksityisyyden ja tietosuojan käsitteistä 2) Yksityisyyden suojan ja tietosuojan lainsäädännön historiallinen kehitys 3) Henkilötietolaki ja henkilötietodirektiivi: 1) Tietosuojan yleiset periaatteet 2) Rekisterinpitäjän eli henkilötietojen käsittelijän velvoitteisiin liittyvät periaatteet 3) Yksilön eli rekisteröidyn oikeuksiin sisältyvät keskeiset periaatteet Toisessa laajemmassa luento-osiossa syvennytään TIETOTURVALLISUUDEN käsitteisiin ja lainsäädäntöön, sen mukaan kuin aikataulu sallii!!

ALUKSI: * Jotta ”maallikko” voisi ymmärtää henkilötietolain tavoitteita ja sisältöä on välttämätöntä aluksi luoda katsaus: - yksityisyyden ja tietosuojan käsitteistöön - lain perus- ja ihmisoikeuslähtökohtiin sekä - nuoren tietosuojalainsäädäntömme syntyyn ja kehitykseen.

Yksityisyydestä ja tietosuojasta käsitteinä * Yksityisyydestä puhuttaessa käytetään usein joko synonyymeina tai lähes rinnasteisina käsitteinä seuraavia termejä: - yksityiselämän suoja - yksilön suoja - intimiteettisuoja - integriteetti (integritets skydd) - persoonallisuuden suoja - henkilötietojen suoja - tietosuoja

* Yksityisyyttä ja tietosuojaa on vaikea määritellä täsmällisesti, koska käsitteiden sisältö on riippuvainen asiayhteydestä ja merkitykset myös muuttuvat yhteiskunnan muutoksen myötä. * Tarkkoja määritelmiä ei ole haluttu ottaa yhteenkään suomalaiseen säädökseen vaikkakin sanat esiintyvät lakitekstissä yksityisyys ensimmäisen kerran vuoden 1987 henkilörekisterilaissa. * Oikeustieteellisessä kirjallisuudessa on analysoitu yksityisyyden ja tietosuojan sisältöä, löytämättä kuitenkaan yksimielisiä määritelmiä. * Käsitteet voivat olla myös harhaanjohtavia. Esimerkiksi tietosuoja voi käsitteenä antaa kuvan tiedon suojaamisesta tai salaamisesta, kun kysymys on kuitenkin henkilön yksityisyyden suojaamisesta rajoittamalla hänen henkilötietojensa tarpeetonta käsittelyä tai kieltämällä se kokonaan tai osittain.

* Yksityisyys kuten myös henkilötietojen suoja ovat kansalaisen perusoikeuksia, joista on säädetty perustuslakitasolla vuodesta 1995 lähtien. * Perustuslain 10 §: n 1 momentissa lausutaan seuraavasti: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. * Ennen perusoikeusuudistusta kansalaisen yksityisyyden piiriä suojattiin mm. Hallitusmuodon eräillä säännöksillä (henkilökohtainen vapaus, kotirauha, luottamuksellisen viestin suoja sekä rikoslainsäädännön kunnianloukkaussäännöksillä). * Perustuslain säännöksessä mainittu henkilötietoja suojaava laki on henkilötietolaki (523/1999), joka korvasi aiemman ensimmäisen tietosuojalain eli henkilörekisterilain.

Vrt. Euroopan Neuvoston ihmisoikeussopimus 8 artikla Oikeus nauttia yksityis- ja perhe-elämän kunnioitusta 1. Jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. 2. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi tai epäjärjestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

Vrt. myös Euroopan unionin perusoikeuskirja, jonka merkitys Lissabonin sopimuksen myötä voimistunut: 7 artikla Yksityis- ja perhe-elämän kunnioittaminen Jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. 8 artikla Henkilötietojen suoja 1. Jokaisella on oikeus henkilötietojensa suojaan. 2. Tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuiksi. 3. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista.

* Käsitteiden välisistä hierarkisista suhteista esiintyy erilaisia näkemyksiä suomalaisten oikeustieteilijöiden keskuudessa (lain esityöt ja tutkimuspainotteisuus) * Jotkut katsovat yläkäsitteen olevan yksityiselämän suojan, kun taas useimmat näkevät juuri yksityisyyden suojan laajempana yläkäsitteenä ja sen alakäsitteinä mm. yksityiselämän suojan, luottamuksellisen viestin suojan ja kunnian sekä henkilötietojen suojan. * Henkilötietojen suoja ja tietosuoja nähdään yleensä synonyymeina, mutta toisaalta näistä tietosuojan voidaan katsoa tarkoittavan enemmän koko tietosuojalainsäädännön kenttää erityislakeineen, kun taas henkilötietojen suoja sisältää lähinnä perusoikeussäännöksen, henkilötietodirektiivin ja henkilötietolain.

- Jos yksityisyys valitaan yläkäsitteeksi, se voi sisältää lukuisia elementtejä tai intressejä, joista Pe. L 10. 1 §: stä löydämme mm. yksityiselämän suojan, kunnian, kotirauhan, henkilötietojen suojan. - Yksityisyyden sisältöä on analysoitu jo vuosikymmeniä, erityisesti 1960 -luvulta lähtien ATK: n kehityksen myötä. - Lukuisat oikeustieteilijät ja yhteiskuntatieteilijät ovat laatineet omia ryhmittelyjään. Yksityisyys on esim. luokiteltu neljään ulottuvuuteen: 1) Informaatioyksityisyys 2) Fyysinen yksityisyys 3) Viestintäyksityisyys 4) Alueellinen yksityisyys

Vielä yksityiskohtaisemmin eritellen yksityisyyden voidaan katsoa koostuvan esimerkiksi: - Alueellisesta yksityisyydestä - Sosiaalisesta yksityisyydestä - Mediayksityisyydestä - Anonymiteetistä (oikeudesta olla tunnistamaton) - Henkilötieto -yksityisyydestä - Oikeudesta tulla arvioiduksi oikeassa valossa - Tiedollisesta omistusoikeudesta - Yksityisyyden erityisalueista kuten potilasyksityisyys

- Perustuslain 10 §: n 1 momentin mukaan siis yksityisyyteen eli pykälän otsikon mukaisesti yksityiselämän suojaan kuuluu kunnia ja kotirauha. - Saman pykälän 2 momentissa todetaan lisäksi, että kirjeen, puhelun ja luottamuksellisen viestin salaisuus on loukkaamaton. - Monen muunkin perusoikeuden voidaan katsoa osaltaan suojaavan yksityisyyttä ja yksityiselämää. Esim. henkilökohtainen vapaus ja koskemattomuus sekä uskonnonvapaus. - Yksityiselämän suoja klassisena vapausoikeutena on määritelty sanomalla, että ”yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten ja muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä. ”

- Yksityiselämä nauttii suojaa toisaalta vertikaalisuhteessa valtioon ja viranomaisiin ja toisaalta horisontaalisuhteessa muihin ihmisiin ja yhteisöihin kriminalisoimalla yksityisyyden loukkaukset (kotirauhan suojaaminen, luvaton viestien avaaminen, kunnianloukkausrikokset, salakatselun ja kuuntelun kielto) - Kotirauhan suoja oli vakiintunut perustuslakivaliokunnan tulkintakäytännössä jo ennen perusoikeusuudistusta 1995 ja sen jälkeen siitä on annettu uusia valiokunnan lausuntoja. - Kunnian suoja siirtyi sellaisenaan vuoden 1919 Hallitusmuodosta Perustuslakiin. Vastaisuudessa se realisoituu kunnianloukkausrikoksia tarkoittavina kriminalisointeina. (Huom! Herjaus ja solvaus poistuneet rikoslaista nimikkeinä!)

- Perustuslain 10 §: ssä mainittu yksityiselämän suoja on puolestaan suojan kohteena uusi ja siihen liittyy jossain määrin kotirauhan suoja. - Säännöksestä jätettiin perhe-elämän suoja pois tuon käsitteen määrittelyn vaikeuden johdosta, mutta tämän katsotaan kuuluvan yksityisyyden suojan alaisuuteen. - Pe. L 10 §: n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Säännös viittaa tarpeeseen lainsäädännöllä varmistaa yksilön oikeusturva ja yksityisyyden suoja henkilötietojen käsittelyssä, jolla tarkoitetaan kaikkia henkilötietoihin kohdistuvia toimia aina rekisteröinnistä luovuttamisen kautta hävittämiseen saakka.

YKSITYISYYDEN SUOJAN JA TIETOSUOJALAINSÄÄDÄNNÖN KEHITYKSEN PÄÄKOHDAT SUOMESSA - Suomen lainsäädännössä yksityisyyttä ja henkilötietoja on siis suojattu perinteisesti kotirauhaa, kirje- ja puhelinsalaisuutta, salassapitoa sekä kunnianloukkausta koskevin rikosoikeudellisin säännöksin - Myös aiemmassa perustuslaissamme Hallitusmuodossa oli näistä perusoikeussäännöksiä, joilla oli kuitenkin eri merkitys ja painoarvo kuin nykyään!!! - Julkisuusperiaatteen syntyjuuret ovat puolestaan jo 1700 luvun Ruotsi-Suomen painovapaussäädöksissä. - Ensimmäinen varsinainen julkisuuslaki eli laki yleisten asiakirjain julkisuudesta säädettiin 1951 (ns. asiakirjajulkisuuslaki)

- Tietosuojaongelmat nousivat esille 1960 -luvulla tietokoneiden ja ensimmäisten laajojen henkilörekistereiden kehityksen myötä. - Suomessa tietosuojatoimikunta asetettiin vuonna 1971 ja se jätti mietintönsä (KM 1972: B 31) seuraavana vuonna. - Jatkovalmistelua varten asetettiin jo 1972 tietojärjestelmäkomitea, joka antoi osamietinnön (KM 1974: 110). - Samoihin aikoihin vuonna 1973 oli Länsi-Saksan eräässä osavaltiossa ja Ruotsissa (datalagen) tulleet voimaan maailman ensimmäiset tietosuojalait. - Mutta rikoslakiin lisättiin vuonna 1973 salakatselun ja kuuntelun kieltäneet säännökset (RL 24: 3 b) sekä 1974 pykälä yksityiselämän loukkaamisesta joukkotiedotusvälinettä käyttäen (RL 27: 3 a) eli ns. Lex Hymy (Timo Mukan kuoleman ym. Ns. sensaatiolehdistön nousu)

Salakatselua ja - kuuntelua koskevan RL: n uudistuksen taustalla oli osin KKO: n ratkaisu vuodelta 1971 (7. 12. 1971, 346/174 VD): Syytetty oli käyttänyt huoneistossaan vahvistinlaitteita kuullakseen naapurinaan asuneen henkilön huoneistosta kantautuneita ääniä, joiden kuuleminen ei muuten ollut mahdollista, sekä tallentanut vahvistimien kautta kuulemansa äänet ääninauhalle ja sallinut muiden henkilöiden kuulla noita ääninauhoja. Koskei kerrottua menettelyä voitu pitää sellaisena tekona, josta laissa olisi säädetty rangaistus, syyte kotirauhan rikkomisesta on hylätty. - Huom! Legaliteetti-periaate

- Syytetty oli toteuttanut kuuntelun ja nauhoittamisen itse rakentamillaan ja seinään kiinnittämillään, varsin yksinkertaisilla laitteilla. - Syytetty oli esittänyt sitten äänitteitään ajanviihteenä tuttavilleen. - Raastuvanoikeus (RO) tuomitsi hänet jatketusta kotirauhan rikkomisesta sakkoihin. - Hovioikeus (HO) katsoi kylläkin, että kantajan oikeutta saada suojaa yksityiselämälleen oli loukattu, mutta kumosi RO: n päätöksen, koska tekoa ei voitu pitää sellaisena, josta RO: n mainitsemissa rikoslainkohdissa tai muuallakaan laissa olisi säädetty rangaistus -- Korkein oikeus KKO katsoi, ettei ollut syytä muuttaa HO: n päätöstä.

RL 24 luvun 3 b § (11. 7. 1972/543) Joka luvattomasti teknisellä laitteella kuuntelee tai tallentaa, mitä tapahtuu 1 §: ssä tarkoitetussa paikassa tai alueella, on tuomittava salakuuntelusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Joka luvattomasti teknisellä laitteella tarkkailee tai kuvaa 1 §: ssä tarkoitetussa paikassa tai alueella oleskelevaa henkilöä, on tuomittava salakatselusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Jos joku 1 tai 2 momentissa mainitussa tarkoituksessa sijoittaa salakuuntelun tai -katselun mahdollistavan teknisen laitteen 1 §: ssä mainittuun paikkaan tai alueelle, on rikoksentekijä tuomittava salakuuntelun tai salakatselun valmistelusta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi. - 1 §: ssä mainitulla paikalla tarkoitettiin tuolloin kotirauhan suojaamaa paikkaa kuten omaa tai vuokra-asuntoa, taloa ja mm. alusta.

KKO: 1981 -II-182, jossa henkilö oli äänittänyt omassa asunnossaan siellä läsnä olleiden suostumuksetta ja heidän tietämättään keskustelun, jossa hän oli itse mukana. Henkilön ei katsottu tällöin syyllistyneen rangaistavaan salakuunteluun. - Tulkinta voimassa myös uuden lainsäädännön suhteen!!! - Analogia siihen, että oman puhelinkeskustelun saa nauhoittaa! -- Materiaalin käyttö ja levittäminen on sitten eri asia ---- RL 24 luvun 8 -10 §: t? ? ? !

Kts. Myös KKO: 1990: 36 (Salakatselu, Salakuuntelu) Ollessaan poliisin kuulusteltavana C oli vastoin poliisimiesten kieltoa salaa videolaittein tallentanut käytyä keskustelua. Tällä menettelyllään C ei ollut syyllistynyt salakatseluun tai – kuunteluun, koska se ei ollut loukannut poliisimiesten yksityisyyttä. - KO ja HO olivat tuominneet salakatselusta ja –kuuntelusta sakkorangaistukseen. KO oli takavarikoinut videokameran rikoksentekovälineenä. KKO: n perusteluista: ” C on kutsuttu Polvijärven nimismiespiirin virkahuoneeseen poliisikuulusteluun. A ja B (nimismies ja poliisi) ovat kieltäneet C: tä videolaittein tallentamasta kuulustelua. C on kuitenkin salaa tallentanut asianosaisten tämän jälkeen käymää keskustelua. C on kuvannut ja äänittänyt vain sellaista, mistä hän luvallisesti virkahuoneessa ollessaan on A: n ja B: n tieten voinut omin aistein tehdä havaintoja. Teknisen laitteen avulla hän ei ole siten tallentanut keskustelutilanteesta mitään muita A: n ja B: n yksityisyyden kannalta merkityksellisiä seikkoja. Hän ei siten menettelyllään ole loukannut A: n ja B: n yksityisyyttä. C ei näin ollen ole syyllistynyt RL 24 luvun 3 b §: ssä tarkoitettuun salakatseluun tai –kuunteluun. ”

Salakuuntelua ja salakatselua koskevia rangaistussäännöksiä on sittemmin vuonna 2000 muutettu rikoslain osittaisuudistuksessa (531/2000, voimaan 1. 10. 2000): RL 24 luvun 5 § Salakuuntelu Joka oikeudettomasti teknisellä laitteella kuuntelee tai tallentaa 1) keskustelua, puhetta tai yksityiselämästä aiheutuvaa muuta ääntä, jota ei ole tarkoitettu hänen tietoonsa ja joka tapahtuu tai syntyy kotirauhan suojaamassa paikassa, taikka 2) muualla kuin kotirauhan suojaamassa paikassa salaa puhetta, jota ei ole tarkoitettu hänen eikä muunkaan ulkopuolisen tietoon, sellaisissa olosuhteissa, joissa puhujalla ei ole syytä olettaa ulkopuolisen kuulevan hänen puhettaan, on tuomittava salakuuntelusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Yritys on rangaistava.

RL 24 luku 6 § Salakatselu Joka oikeudettomasti teknisellä laitteella katselee tai kuvaa 1) kotirauhan suojaamassa paikassa taikka käymälässä, pukeutumistilassa tai muussa vastaavassa paikassa oleskelevaa henkilöä taikka 2) yleisöltä suljetussa 3 §: ssä tarkoitetussa rakennuksessa, huoneistossa tai aidatulla piha-alueella oleskelevaa henkilöä tämän yksityisyyttä loukaten, on tuomittava salakatselusta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Yritys on rangaistava. RL 24 luku 7 § Salakuuntelun ja salakatselun valmistelu Joka sijoittaa 5 tai 6 §: ssä tarkoitetun laitteen salakuuntelussa tai katselussa käytettäväksi, on tuomittava salakuuntelun valmistelusta tai salakatselun valmistelusta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi.

LEX HYMY: • Ns. sensaatio- tai juorulehdistö nosti levikkiään 1960 -luvulla ja merkittävin näistä lehdistä oli Urpo Lahtisen Hymy. • Lehtimiehet Oy julkaisi myös esim. Alibia, Nykypostia ja Suosikkia!

* Uudenlaisen journalismin vastaiset reaktiot kärjistyivät kirjailija Timo K. Mukan kuolemaa edeltäviin tapahtumiin, joissa Hymylehti hyökkäsi voimakkaasti parjaten kuolemansairaan Mukan kimppuun. * Mukka kanteli kirjoittelusta Eduskunnan oikeusasiamiehelle ja päätti oikeusjutun nostamisesta lehteä vastaan. * Mukka (Tabu, Maa on syntinen laulu ym. ) kuoli kuitenkin pian Rovaniemellä vain 28 -vuotiaana vuonna 1973 sydänsairauteen. * Hymy-lehden kirjoitus vauhditti osaltaan uuden rikoslain intimiteettisuojasäännöksen säätämistä. Lain muutos annettiin noin vuosi Mukan kuolemasta

Timo K. Mukka 1944 - 1973

Rikoslain 27 luvun 3 a § (13. 12. 1974/908) Joka ilman laillista oikeutta joukkotiedotusvälinettä käyttäen tai muulla sen kaltaisella tavalla julkisesti levittää toisen yksityiselämästä tiedon, vihjauksen tai kuvan, joka on omiaan aiheuttamaan hänelle vahinkoa tai kärsimystä, on tuomittava yksityiselämän loukkaamisesta vankeuteen enintään kahdeksi vuodeksi tai sakkoon. Yksityiselämän loukkaamisena ei ole pidettävä julkistamista, joka koskee henkilön menettelyä julkisessa virassa tai tehtävässä, elinkeinoelämässä, poliittisessa toiminnassa tai muussa näihin rinnastettavassa toiminnassa ja on tarpeen yhteiskunnallisesti merkittävän asian käsittelemiseksi. - Säännöstä, joka nykyään on RL 24 luvun 8 §, on muutettu hieman sanamuodoltaan lailla 9. 6. 2000/531

Rikoslain 24 luvun 8 § (531/2000) (1. 1. 2014 asti!!!!) Yksityiselämää loukkaava tiedon levittäminen Joka oikeudettomasti 1) joukkotiedotusvälinettä käyttämällä tai 2) muuten toimittamalla lukuisten ihmisten saataville esittää toisen yksityiselämästä tiedon, vihjauksen tai kuvan siten, että teko on omiaan aiheuttamaan vahinkoa tai kärsimystä loukatulle taikka häneen kohdistuvaa halveksuntaa, on tuomittava yksityiselämää loukkaavasta tiedon levittämisestä sakkoon tai vankeuteen enintään kahdeksi vuodeksi Yksityiselämää loukkaavana tiedon levittämisenä ei pidetä sellaisen yksityiselämää koskevan tiedon, vihjauksen tai kuvan esittämistä politiikassa, elinkeinoelämässä tai julkisessa virassa tai tehtävässä taikka näihin rinnastettavassa tehtävässä toimivasta, joka voi vaikuttaa tämän toiminnan arviointiin mainitussa tehtävässä, jos esittäminen on tarpeen yhteiskunnallisesti merkittävän asian käsittelemiseksi. - 2 momentin tulkinta kyseessä ns. Vanhasen jutussa!!!!! Siitä myös EIT: n ratkaisu! ja Ruususen

Rikoslain 24 luvun 9 § Kunnianloukkaus (531/2000) (1. 1. 2014 asti) Joka 1. esittää toisesta valheellisen tiedon tai vihjauksen siten, että teko on omiaan aiheuttamaan vahinkoa tai kärsimystä loukatulle taikka häneen kohdistuvaa halveksuntaa, taikka 2. muuten kuin 1 kohdassa tarkoitetulla tavalla halventaa toista, on tuomittava kunnianloukkauksesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi. Edellä 1 momentin 2 kohdassa tarkoitettuna kunnianloukkauksena ei pidetä arvostelua, joka kohdistuu toisen menettelyyn politiikassa, elinkeinoelämässä, julkisessa virassa tai tehtävässä, tieteessä, taiteessa taikka näihin rinnastettavassa julkisessa toiminnassa ja joka ei selvästi ylitä sitä, mitä voidaan pitää hyväksyttävänä. Kunnianloukkauksesta tuomitaan myös se, joka esittää kuolleesta henkilöstä valheellisen tiedon tai vihjauksen siten, että teko on omiaan aiheuttamaan kärsimystä ihmiselle, jolle vainaja oli erityisen läheinen.

Rikoslain 24 luvun 10 § Törkeä kunnianloukkaus (531/2000). (1. 1. 2014 asti) Jos 9 §: n 1 momentissa tarkoitetussa kunnianloukkauksessa 1. rikos tehdään joukkotiedotusvälinettä käyttämällä tai muuten toimittamalla tieto tai vihjaus lukuisten ihmisten saataville taikka 2. aiheutetaan suurta tai pitkäaikaista kärsimystä taikka erityisen suurta tai tuntuvaa vahinkoa ja kunnianloukkaus on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä kunnianloukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

Median vastuu ja ”julkkiksen” yksityisyyden suoja? ? - Lehdistön ja muun median, erityisesti iltapäivä- ja ns. juorulehtien uutisointi on viime vuosina herättänyt keskustelua siitä, mikä on median vastuu ja kuinka pitkälle ns. ”julkkisten” yksityiselämään voidaan mediassa puuttua. - Viime vuosina esim. iltapäivälehtiä on toistuvasti tuomittu rangaistuksiin ja korvauksiin joko yksityiselämää loukkaavan tiedon levittämisestä tai (törkeästä) kunnianloukkauksesta. - Jorma Reini, Nils Gustafsson, Vanhasen tekstiviesti, Ministeri Karpela, Ilkka Kanerva tekstiviestijupakka ja ero jne. - Perusoikeuksien yhteensovittaminen? ? ? - Sananvapauslain, rikoslain, henkilötietolain ja julkisuuslain säännösten yhteensovittaminen? ? ? - Aihepiiristä enemmän luentosarjalla Johdatus viestintäoikeuteen!!!

KKO 2002: 55 Yksityiselämän suoja Tapauksessa oli kysymys julkisuuden henkilön lähipiiriin kuuluvan ihmisen yksityiselämän suojasta. A oli haastatellut suorassa valtakunnallisessa televisio-ohjelmassa Y: tä, joka oli ollut merkittävässä julkisessa virassa. Haastattelun yhteydessä A oli nimeltä mainiten kertonut, että henkilö X oli naimisissa olleen Y: n naisystävä, joka oli ollut osallisena Y: n kotona sattuneessa julkisuudessa näkyvästi esillä olleessa ja sittemmin oikeudessa käsitellyssä väkivaltaisessa välikohtauksessa. A oli lisäksi haastattelun kuluessa X: n nimen mainiten vihjannut erityisen arkaluonteiseen yksityiskohtaan X: n ja Y: n seurustelussa. KKO totesi, että RL 27 luvun 3 a §: n toinen virke sisälsi poikkeussäännöksen, joka merkitsee lainkohdassa kuvatussa asemassa olevan tai toimivan henkilön yksityisyyden suojan rajoittamista……

… Tuo poikkeussäännös ei sanamuotonsa mukaan koske julkisuuden henkilön lähipiiriin kuuluvaa henkilöä. KKO: n mukaan X ei työnsä tai muun toimintansa perusteella itse ollut sellaisessa asemassa, joka sovellettavaan lainkohtaan sisältyvän poikkeussäännöksen perusteella voisi rajoittaa yksityisyyden suojaa. Tällä ja eräillä lisäperusteilla KKO katsoi, että A oli ilman laillista oikeutta joukkotiedotusvälinettä käyttäen julkisesti levittänyt X: n yksityiselämästä tietoja ja vihjauksia, jotka olivat omiaan aiheuttamaan hänelle vahinkoa ja kärsimystä. A tuomittiin RL 27: 3 a §: n nojalla yksityiselämän loukkaamisesta päiväsakkoihin. A ja ohjelmayhtiö B Oy velvoitettiin yhteisvastuullisesti suorittamaan X: lle korvausta henkisestä kärsimyksestä. - Tämä tapaus synnytti muitakin oikeudenkäyntejä eräitä lehtiä vastaan. Huom! sittemmin annetut langettavat Euroopan Neuvoston ihmisoikeustuomioistuimen ratkaisut, joihin tässä ei voida yksityiskohtaisemmin mennä. !

OM: n työryhmä (toimikausi oli 16. 4. 2012 asti) OM asetti syksyllä 2011 Kataisen hallituksen ohjelman mukaisesti työryhmän miettimään sananvapausrikoksia ja erilaista vakavaa häirintäkäyttäytymistä koskevaa rikoslain sääntelyä ja sen muutostarpeita. Työryhmän tehtävät: 1. Työryhmän tulee arvioida, antaako EIT: n ratkaisukäytäntö aihetta sananvapausrikoksia koskevan sääntelyn tarkistamiseen. EN on vuonna 2007 kehottanut jäsenvaltioita poistamaan kunnianloukkausta koskevista rangaistussäännöksistään vankeusrangaistuksen uhan.

2. Työryhmän tulee myös selvittää, minkä tyyppistä yksityisyyteen kohdistuvaa häirintää ja ilkivaltaa moderneilla viestintävälineillä voidaan aiheuttaa, minkälaisia oikeussuojakeinoja tällaista menettelyä vastaan laissa on ja olisiko niitä syytä tehostaa. Eduskunta edellytti asian selvittämistä hyväksyessään vuonna 2009 rikoslain muutoksen, jolla häiritsemistarkoituksessa tehty matkapuhelinviestien lähettäminen tuli kotirauhan rikkomisena rangaistavaksi. 3. Lisäksi tehtävänä arvioida, edellyttääkö EN: n naisiin kohdistuvan väkivallan ja perheväkivallan ehkäisemistä ja torjuntaa koskevassa yleissopimuksessa rangaistavaksi mainittu vainoaminen rikoslain muuttamista. Sopimuksen mukaan toiseen henkilöön kohdistuva tahallinen ja toistuva uhkaava käyttäytyminen, joka saa tämän henkilön pelkäämään turvallisuutensa vaarantumista, on kriminalisoitava. -- Englanninkielinen nimitys stalking (ahdistelu, häirintä, vainoaminen)

Sananvapausrikokset, vainoaminen ja viestintärauhan rikkominen. OM: n mietintöjä ja lausuntoja 24/2012 - Mietinnöstä annettujen lausuntojen tiivistelmä OM 49/2012. - Työryhmä ehdottaa, että rikoslain yksityisyyden, rauhan ja kunnian loukkaamista koskevaan 24 lukuun lisätään uusi viestintärauhan rikkomista koskeva rangaistussäännös. - Viestintärauhan rikkomiseen syyllistyisi se, joka häirintätarkoituksessa toistuvasti lähettää toiselle viestejä tai soittaa siten, että teko on omiaan aiheuttamaan huomattavaa häiriötä tai haittaa. - Yksityiselämää loukkaava tiedon levittäminen ehdotetaan jaettavaksi tavalliseen ja törkeään tekomuotoon. - Kumpaankin säännökseen ehdotetaan lisättäväksi rangaistusta rajoittava lauseke.

- Lausekkeen mukaan tällaisena rikoksena ei pidettäisi yleiseltä kannalta merkittävän asian käsittelemiseksi esitettyä ilmaisua, jos sen esittäminen, huomioon ottaen sisältö, muoto, toisten oikeudet sekä muut olosuhteet, ei selvästi ylitä sitä, mitä voidaan pitää hyväksyttävänä. - Törkeän kunnianloukkauksen ankaroittamisperusteena ei enää olisi rikoksen tekeminen joukkotiedotusvälinettä käyttämällä tai muuten toimittamalla tieto tai vihjaus lukuisten ihmisten saataville. - Vapauteen kohdistuvia rikoksia koskevaa rikoslain 25 lukua ehdotetaan täydennettäväksi uudella Vainoamista koskevalla rangaistussäännöksellä. - Vainoamiseen syyllistyisi se, joka toistuvasti uhkaa, seuraa, tarkkailee, ottaa yhteyttä tai muuten näihin rinnastettavalla vainoaa toista siten, että se on omiaan aiheuttamaan pelkoa tai ahdistusta.

Asian jatkovalmistelu Eduskunnassa: - HE 19/2013 vp - La. VM 11/2013 vp - Pe. VL 16/2013 vp. - Lainmuutokset (879/2013) tulivat voimaan 1. 1. 2014

Rikoslain 24 luvun 8 § (muutos 879/2013 voimaan 1. 1. 2014) Yksityiselämää loukkaava tiedon levittäminen Joka oikeudettomasti 1) joukkotiedotusvälinettä käyttämällä tai 2) muuten toimittamalla lukuisten ihmisten saataville esittää toisen yksityiselämästä tiedon, vihjauksen tai kuvan siten, että teko on omiaan aiheuttamaan vahinkoa tai kärsimystä loukatulle taikka häneen kohdistuvaa halveksuntaa, on tuomittava yksityiselämää loukkaavasta tiedon levittämisestä sakkoon. - Aiemmin voitiin tuomita myös vankeuteen enintään 2 vuotta!

Yksityiselämää loukkaavana tiedon levittämisenä ei pidetä sellaisen yksityiselämää koskevan tiedon, vihjauksen tai kuvan esittämistä politiikassa, elinkeinoelämässä tai julkisessa virassa tai tehtävässä taikka näihin rinnastettavassa tehtävässä toimivasta, joka voi vaikuttaa tämän toiminnan arviointiin mainitussa tehtävässä, jos esittäminen on tarpeen yhteiskunnallisesti merkittävän asian käsittelemiseksi. Yksityiselämää loukkaavana tiedon levittämisenä ei myöskään pidetä yleiseltä kannalta merkittävän asian käsittelemiseksi esitettyä ilmaisua, jos sen esittäminen, huomioon ottaen sisältö, toisten oikeudet ja muut olosuhteet, ei selvästi ylitä sitä, mitä voidaan pitää hyväksyttävänä. (3. momentti aivan uusi!!!!!)

Rikoslain 8 a § (lailla 879/2013 uusi pykälä, joka tuli voimaan 1. 1. 2014) Törkeä yksityiselämää loukkaava tiedon levittäminen Jos yksityiselämää loukkaavassa tiedon levittämisessä aiheutetaan suurta kärsimystä tai erityisen suurta vahinkoa ja rikos on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä yksityiselämää loukkaavasta tiedon levittämisestä sakkoon tai vankeuteen enintään kahdeksi vuoksi.

Rikoslain 24 luvun 9 § Kunnianloukkaus (muutokset lailla 879/2013 voimaan 1. 1. 2014) Joka 1. esittää toisesta valheellisen tiedon tai vihjauksen siten, että teko on omiaan aiheuttamaan vahinkoa tai kärsimystä loukatulle taikka häneen kohdistuvaa halveksuntaa, taikka 2. muuten kuin 1 kohdassa tarkoitetulla tavalla halventaa toista, on tuomittava kunnianloukkauksesta sakkoon. Kunnianloukkauksesta tuomitaan myös se, joka esittää kuolleesta henkilöstä valheellisen tiedon tai vihjauksen siten, että teko on omiaan aiheuttamaan kärsimystä ihmiselle, jolle vainaja oli erityisen läheinen. (- aiemmin myös vankeutta enintään 6 kk)

Edellä 1 momentin 2 kohdassa tarkoitettuna kunnianloukkauksena ei pidetä arvostelua, joka kohdistuu toisen menettelyyn politiikassa, elinkeinoelämässä, julkisessa virassa tai tehtävässä, tieteessä, taiteessa taikka näihin rinnastettavassa julkisessa toiminnassa ja joka ei selvästi ylitä sitä, mitä voidaan pitää hyväksyttävänä. Kunnianloukkauksena ei myöskään pidetä yleiseltä kannalta merkittävän asian käsittelemiseksi esitettyä ilmaisua, jos sen esittäminen, huomioon ottaen sisältö, toisten oikeudet ja muut olosuhteet, ei selvästi ylitä sitä, mitä voidaan pitää hyväksyttävänä. (4. momentti aivan uusi)

Rikoslain 24 luvun 10 § Törkeä kunnianloukkaus (uusittu muoto lailla 879/2013, joka voimaan 1. 1. 2014) Jos 9 §: n 1 momentissa tarkoitetussa kunnianloukkauksessa aiheutetaan suurta kärsimystä tai erityisen suurta vahinkoa ja rikos on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä kunnianloukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.

KKO: 2013: 70. Kunnianloukkaus – Sananvapaus (23. 9. 2013) 7 päivää –nimisessä lehdessä 30. 3. 2006 julkaistussa kirjoituksessa oli käsitelty kolmeen henkilöön kohdistunutta epäiltyä henkirikosta. Kirjoituksessa todettiin tekoihin olevan epäiltynä 29 -vuotiaan helsinkiläismiehen. Esitutkinnan aikana julkaistussa kirjoituksessa ei ollut mainittu epäiltyä nimeltä, mutta hänestä oli esitetty osittain kasvojen alueelta peitetty kuva. Lehtikirjoituksen otsikko oli ollut seuraava: ”Tuttava sarjamurhista epäillystä: Hän on mielistelevä limanuljaska!” Kirjoituksessa oli käsitelty edelleen epäiltynä olevan henkilön suhdetta surmansa saaneisiin henkilöihin, hänen työhistoriaansa sekä taloudellista asemaansa. Korkeimman oikeuden ratkaisusta tarkemmin ilmenevillä perusteilla katsottiin, etteivät kirjoituksessa esitetyt tiedot olleet virheellisiä eikä kirjoituksen perusteella ollut syntynyt virheellistä käsitystä siitä, että kysymys olisi ollut jo selvitetyistä rikoksista. Myöskään lehtijutun otsikossa käytettyä ilmaisua ei pidetty, ottaen huomioon kirjoituksen asiayhteys ja ilmaisun muotoilu sekä olosuhteet muutoinkin, halventavana. Syyte kunnianloukkauksesta hylättiin. Ihmisoikeus. Sop 8 ja 10 art; RL 24 luku 9 § 1 ja 2 mom.

KKO: 2013: 69. Kunnianloukkaus – Törkeä kunnianloukkaus – Yksityiselämän suoja – Yksityiselämää loukkaava tiedon levittäminen – Vahingonkorvaus – Korvattava vahinko – Kärsimys (23. 9. 2013) 7 päivää –nimisessä lehdessä 16. 6. 2005 julkaistussa kirjoituksessa X: n oli mainittu pettävän silloista seurustelukumppaniaan erään toisen naisen Y: n kanssa, jonka nimeä lehtikirjoituksessa ei ollut kuitenkaan mainittu. Kirjoituksessa oli kuvailtu Y: n ihonväriä ja ilmoitettu tämän asuinpaikkana oleva kaupunki. Edelleen kirjoituksessa oli mainittu X: n ja Y: n väliseen kanssakäymiseen liittyviä tiettyjä yksityiskohtia. Kirjoituksessa olleet lausumat olivat osittain liioittelevia ja vihjailevia. Korkeimman oikeuden ratkaisusta ilmenevillä perusteilla katsottiin, että väitteet tai vihjaukset eivät olleet rikoslain 24 luvun 9 §: n 1 momentin 1 kohdassa tarkoitetulla tavalla valheellisia eivätkä säännöksen 2 kohdassa tarkoitetulla tavalla myöskään halventavia. Kirjoituksen laatinut toimittaja B ja vastaava toimittaja A eivät olleet syyllistyneet X: ään ja Y: hyn kohdistuneeseen törkeään kunnianloukkaukseen. Jatkuu……>

KKO: 2013: 69 jatkuu…. . Kysymys myös siitä, oliko kirjoitus lehdessä julkaisemalla syyllistytty Y: n yksityiselämää loukkaavaan tiedon levittämiseen. Edelleen kysymys kärsimyksen perusteella suoritettavan korvauksen tuomitsemisen edellytyksistä tämän kirjoituksen sekä kahden muun kirjoituksen osalta, joita koskevat rangaistusvaatimukset oli jätetty tutkimatta. Ihmisoikeus. Sop 8 ja 10 artikla RL 24 luku 8 -10 § Vah. L 5 luku 6 §

KKO: 2014: 89 Oikeudenkäyntimenettely – Jatkokäsittelylupa – Ennakkoratkaisuperuste – Muutosperuste – Kunnianloukkaus – Sananvapauden käyttäminen joukkoviestinnässä – Verkkoviestin hävittämismääräys. A: n internet –sivustoillaan julkaisema laaja aineisto oli sisältänyt X: n ja Y: n kunniaa loukkaavia väitteitä, joiden osalta A tuomittiin käräjäoikeudessa rangaistukseen kunnianloukkauksesta. Sananvapauden käyttämisestä joukkoviestinnässä annetun lain 22 §: n 3 momentin nojalla käräjäoikeus määräsi A: n poistamaan ylläpitämiltään internet-sivustoilta kaikki sellaiset verkkoviestit, joissa mainittiin X: n tai Y: n nimi tai muutoin esitettiin viittauksia heihin tai heitä koskevaan asiaan. Valituksessaan hovioikeudelle A katsoi, että poistettavaksi olisi saanut määrätä ainoastaan lainvastaisiksi todetut verkkoviestit. Hovioikeus ei myöntänyt asiassa jatkokäsittelylupaa. Korkeimman oikeuden päätöksestä ilmenevillä perusteilla katsottiin, että hovioikeuden olisi pitänyt myöntää jatkokäsittelylupa muutos- ja ennakkoratkaisuperusteella. Sananvapaus. L 22 § 3 mom OK 25 a luku 11 §

- Suomalaisen tietosuojalainsäädännön kehitys jatkui niin, että 1975 julkaistiin ehdotus luottotietolaiksi, joka ei kuitenkaan edennyt hallituksen lakiesityksen asteelle. (2007 hyväksytty uusi laki) - Vuonna 1976 asetettiin ns. henkilörekisterityöryhmä, joka ei poliittisten erimielisyyksien vuoksi päässyt työssään eteenpäin. - Vuonna 1980 asetettu tietosuojakomitea sai tehtäväkseen valmistaa hallituksen lakiesityksen muotoon laadittu ehdotus henkilötietojen rekisteröinnissä noudatettaviksi säännöksiksi. - Tietosuojakomitea jätti mietintönsä (KM 1981: 66) seuraavana vuonna, mutta hallituksen esitys (HE 49/1986) jätettiin pitkällisten lausuntokierrosten jälkeen vasta keväällä 1986. - Suomen ensimmäinen tietosuojalaki, henkilörekisterilaki (471/1987) vahvistettiin huhtikuussa 1987 ja se tuli voimaan vuoden 1988 alussa (viisitoista vuotta Ruotsin jälkeen)

- Tietosuojalainsäädännön valmistelussa edettiin Suomessa siis varsin hitaasti, minkä etuna oli se, että voitiin ottaa oppia muualla karttuneista kokemuksista ja tehdyistä virheistä. - Suomen henkilörekisterilaissa ei menty rekisterinpidon lupajärjestelmään kuten Ruotsissa vaan pääasialliseen ilmoitusjärjestelmään. - Henkilörekisterilakimme oli ns. toisen polven tietosuojalaki, jossa painotettiin hyvää rekisteritapaa ja itseohjautuvuutta. - Tietosuojalainsäädäntöömme on kuluneen 15 vuoden aikana tehty joitain pienempiä muutoksia sekä suurempi kokonaisuusuudistus. - Merkittävä muutos oli se, että henkilörekisterilakia muutettiin 1994 siten, että tiedotusvälineiden toimitukselliset rekisterit rajattiin pitkälti lain soveltamisalan ulkopuolelle (387 -388/1994) - - Samalla helpotettiin henkilömatrikkeleita ja sukututkimusta varten tarpeellisten tietojen luovutusta ja henkilörekisterinpitoa.

- Laki poliisin henkilörekistereistä (509/1995) tuli voimaan lokakuussa 1995 (korvattu 2003 uudella lailla) - Rikoslain kokonaisuudistuksen toisessa vaiheessa siirrettiin tärkeimmät henkilörekistereitä koskeneet rangaistussäännökset rikoslakiin (630/1995). - Perusoikeusuudistuksessa (969/1995) lisättiin Hallitusmuotoomme erityinen säännös yksityiselämän suojasta, jossa todettiin henkilötietojen suojasta säädettävän tarkemmin lailla - HRL --- Heti. L - Myös julkisuusperiaatteesta säädettiin perusoikeusuudistuksessa ensimmäisen kerran perustuslain tasolla. - Suomi liittyi Euroopan unioniin ja samaisena vuonna 1995 säädettiin ns. henkilötieto- tai tietosuojadirektiivi eli Euroopan parlamentin ja neuvoston direktiivi yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY; annettu 24. 10. 1995)

- Oikeusministeriö asetti syksyllä 1995 henkilötietotoimikunnan pohtimaan tietosuojalainsäädännön kokonaisuudistusta EU: n henkilötietodirektiivin ja perusoikeusuudistuksen pohjalta. - Toimikunta jätti mietintönsä (KM 1997: 9) syksyllä 1997. - Henkilörekisterilain korvannut henkilötietolaki (523/1999) tuli voimaan 1. 6. 1999. - Julkisuuslainsäädännön kokonaisuudistus puolestaan oli valmisteilla pitkään aina 1970 -luvulta lähtien ja loppuvaiheessa sen valmistelusta vastasi lainsäädäntöneuvos A-R Wallin. - Laki viranomaisten toiminnan julkisuudesta (621/1999) tuli voimaan 1. 12. 1999 ja se kumosi vuoden 1951 asiakirjajulkisuuslain. - Uudistuksessa muutettiin lisäksi kymmeniä säädöksiä (623699/1999) ja lakiin koottiin pääosin kaikki salassapitosäännökset.

- Valtiosääntöuudistuksessa (731/1999) Suomi sai uuden 1. 3. 2000 voimaan tulleen Suomen perustuslain. - Perusoikeusuudistuksessa Hallitusmuotoon vuonna 1995 säädetyt yksityiselämän ja henkilötietojen suojaa sekä asiakirjajulkisuutta koskeneet pykälät siirrettiin uuteen Perustuslakiin sanamuodoltaan muuttumattomina - Vain entinen pykälänumerointi muuttui: Yksityiselämä ja henkilötiedot HM 8 § ------------- Pe. L 10 § 1 momentti Asiakirjajulkisuus HM 10 § 2 momentti ----- Pe. L 12 § 2 momentti

Perustuslain 2 luvussa säännellään seuraavista perusoikeuksista: 6§ Yhdenvertaisuus 7§ Oikeus elämään sekä henkilökohtaiseen vapauteen ja koskemattomuuteen 8§ Rikosoikeudellinen laillisuusperiaate 9§ Liikkumisvapaus 10 § Yksityiselämän suoja 11 § Uskonnon ja omantunnon vapaus 12 § Sananvapaus ja julkisuus 13 § Kokoontumis- ja yhdistymisvapaus 14 § Vaali- ja osallistumisoikeudet 15 § Omaisuuden suoja 16 § Sivistykselliset oikeudet 17 § Oikeus omaan kieleen ja kulttuuriin 18 § Oikeus työhön ja elinkeinovapaus 19 § Oikeus sosiaaliturvaan 20 § Vastuu ympäristöstä

Julkiselle vallalle on asetettu erityinen velvoite turvata perusoikeudet: Pe. L 22 § Perusoikeuksien turvaaminen Julkisen vallan on turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Perusoikeuksia voidaan kaventaa pääsääntöisesti vain poikkeusoloissa: Pe. L 23 § Perusoikeudet poikkeusoloissa Perusoikeuksista voidaan säätää lailla sellaisia tilapäisiä poikkeuksia, jotka ovat välttämättömiä Suomeen kohdistuvan aseellisen hyökkäyksen samoin kuin vakavuudeltaan aseelliseen hyökkäykseen lain mukaan rinnastettavien, kansakuntaa uhkaavien poikkeusolojen aikana ja jotka ovat Suomen kansainvälisten ihmisoikeusvelvoitteiden mukaisia.

Lisäksi on todettava, että Perustuslain 2 §: n 3 momentin mukaan: Julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava lakia. Yksilön oikeuksien kannalta on myös tärkeää, että Perustuslain 80 §: n 1 momentti velvoittaa säätämään aina lailla yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Eli asetustasoisesti ei voida puuttua yksilön oikeuksiin!!!

Tietosuojalainsäädäntöön luettavia henkilötietojen suojaakin (käsittelyä) kokonaan tai osaltaan koskevia lakeja: - Laki verotustietojen julkisuudesta ja salassapidosta (1346/1999) - voimaan 1. 1. 2000 - Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) - voimaan 1. 1. 2001 - Laki henkilötietojen käsittelystä rangaistusten täytäntöönpanossa (422/2002) - voimaan 1. 1. 2003 - Laki työhallinnon asiakaspalvelun tietojärjestelmästä (1058/2002) – voimaan 1. 1. 2003 - Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) - voimaan 1. 2. 2003 - Laki henkilötietojen käsittelystä poliisitoimessa (761/2003) - 1. 10. 2003

- Lait väestötietolain ja henkilökorttilain muuttamisesta - Sähköisen viestinnän tietosuojalaki (299 -300/2003) (516/2004) - 1. 9. 2004 - Laki yksityisyyden suojasta työelämässä (759/2004) - 1. 10. 2004 -- korvasi aiemman samannimisen säädöksen (477/2001), joka tuli voimaan 1. 10. 2001 - Laki henkilötietojen käsittelystä rajavartiolaitoksessa (579/2005) - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) - voimaan 1. 7. 2007 - Luottotietolaki (527/2007) - voimaan 1. 11. 2007 Huom! Myös Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) ja Laki oikeudenkäynnin julkisuudesta hallintotuomioistuimissa (381/2007), jotka tulivat voimaan 1. 10. 2007

EU: n tietosuojauudistus vireillä!!!!!. - Komissio julkisti tammikuussa 2012 ehdotuksen EU: n yleiseksi tietosuoja-asetukseksi, jolla korvattaisiin EU: n henkilötieto- eli tietosuojadirektiivi vuodelta 1995. - EU: n asetus olisi säädösluonteensa vuoksi kaikkia 28 jäsenmaata suoraan velvoittava!!!!. Jäsenmaiden tietosuojalakien harmonisointi ei siten olisi ehkä enää välttämätöntä? ? Tarvitaanko henkilötietolakia? - Suomen yleinen, henkilötietodirektiivin mukainen tietosuojalaki on henkilötietolaki vuodelta 1999.

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) Bryssel 25. 1. 2012; COM (2012) 11 final - Asetuksessa 139 recitaalia (johdantolauseketta), kun nykyisessä henkilötietodirektiivissä 72. Asetuksessa 11 lukua, kun direktiivissä nyt 7. Asetuksessa 91 artiklaa, direktiivissä 34.

Tulevan yleisen henkilötietoasetuksen rakenne: Luku I Yleiset säännökset Luku II Periaatteet Luku III Rekisteröidyn oikeudet Luku IV Rekisterinpitäjä ja henkilötietojen käsittelijä Luku V Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille Luku VI Riippumattomat valvontaviranomaiset Luku VII Yhteistyö ja yhdenmukaisuus Luku VIII Oikeussuojakeinot, vastuu ja seuraamukset Luku IX Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset Luku X Delegoidut säädökset ja täytäntöönpanosäädökset Luku XI Loppusäännökset

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (1): • Yhtenäiset tietosuojasäännökset, jotka ovat voimassa kaikkialla EU: ssa • Oikeus tulla unohdetuksi (a Right to be forgotten) auttaa ihmisiä paremmin hallitsemaan tietosuojariskejä mm. verkkomaailmassa (online). Kun he eivät enää halua henkilötietojansa käsiteltävän ja tietojen säilytykselle ei ole perusteltuja, laillisia syitä, tulee tiedot poistaa. • Milloin tahansa suostumus vaaditaan henkilötietojen käsittelylle, tulee se antaa yksilöidysti. Suostumuksen olemassaolo ei voi jäädä olettamuksen varaan.

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (2): • Vaivattomampi pääsy ja tutustuminen omiin tietoihin sekä oikeus tiedon uudelleen käyttöön yhteentoimivien teknisten sovellusten kautta; tarkoitetaan mm. helpompaa henkilötietojen siirtoa palvelujen tarjoajalta toiselle. • Yhtiöiden ja muiden organisaatioiden (rekisterinpitäjät ja henkilötietojen käsittelijät) tulee ilmoittaa vakavista tietoturvaloukkauksista ja – väärinkäytöksistä valvontaviranomaisille viipymättä, viimeistään 24 tunnin sisällä, jos mahdollista.

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (3): • Yhtiöiden tarvitsee asioida tietosuoja-asioissa EU: n alueella vain yhden kansallisen tietosuojaviranomaisen kanssa – siinä EU-jäsenvaltiossa, jossa niillä on pääkonttori/päätoimipaikka. • Yksilöillä (rekisteröidyt) on oikeus viedä kaikki EUalueen tietosuoja-asiansa omalle kansalliselle tietosuojaviranomaiselleen silloinkin, kun heidän henkilötietojaan käsitellään kotimaansa ulkopuolella. • EU-sääntöjä sovelletaan myös yrityksiin, joita ei ole perustettu EU: ssa, jos ne tarjoavat tuotteita ja palveluja EU: n sisällä tai tarkkailevat täällä kansalaisten verkkokäyttäytymistä. (monitor the online behaviour of citizens)

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (4): • Tarpeettomia hallinnollisia taakkoja kuten esim. henkilötietoja käsittelevien yritysten ilmoitusvelvollisuuksia tullaan vähentämään. • Toisaalta lisääntyvä vastuu ja tilivelvollisuus niille tahoille, jotka käsittelevät henkilötietoja. • Kansallisten tietosuojaviranomaisten asemaa vahvistetaan, jotta nämä voivat paremmin panna täytäntöön EU-sääntöjä ja –määräyksiä kotimaassaan.

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (5): - Alaikäisten suojaamiseen kiinnitetään erityistä kasvavaa huomiota: 8 artikla Lapsen henkilötietojen käsittely 1. Tätä asetusta sovellettaessa katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, alle 13 -vuotiaan lapsen henkilötietojen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai huoltaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet todennettavissa olevan suostumuksen saamiseksi, käytettävissä oleva teknologia huomioon ottaen.

Tietosuojauudistuksen keskeisiä ehdotettuja muutoksia (6): - Asetusehdotusluonnoksen 79 artiklan mukaisesti jokaisella valvontaviranomaisella oli valtuudet määrätä hallinnollisia seuraamuksia asetuksen vastaisesta toiminnasta riippuen toiminnan laadusta, toimijan koosta ja liikevaihdosta: - Aluksi varoitus, sitten -- sakkoa enintään 250 000 euroa tai yritykselle enintään 0, 5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta; -- sakkoa enintään 500 000 euroa tai yritykselle enintään 1 %. . -- sakkoa enintään 1000 0000 euroa tai yritykselle enintään 2 %. . .

Tietosuojavastaava pakolliseksi asetus-ehdotuksen mukaan…!? - Asetuksen 4 luvun 35 -37 artikloissa säädettäisiin ns. Tietosuojavastaavan (Data Protection Officer) nimittämisestä, asemasta ja tehtävistä. - Huomattava se, että Suomessahan jo nyt tietosuojavastaavan toimi on pakollinen mm. sosiaali- ja terveydenhuollossa!!!! - Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja laki sähköisestä lääkemääräyksestä (61/2007) edellyttävät, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja sekä KELA nimeävät tietosuojavastaavan.

Asetusehdotusluonnos; 4 luku: 35 artikla Tietosuojavastaavan nimittäminen 1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun a) Tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai b) Tietojenkäsittelyä suorittaa yritys, jossa on vähintään 250 työntekijää; tai c) Rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. 2. Edellä 1 kohdan b alakohdassa tarkoitetussa tapauksessa yritysryhmä voi nimittää vain yhden tietosuojavastaavan 3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen viranomaisen tai elimen organisaatiorakenne huomioon ottaen.

35 artikla Tietosuojavastaavan nimittäminen 4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan. 5. Rekisterinpitäjän tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa 37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella. 6. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta. jatkuu…………

35 artikla Tietosuojavastaavan nimittäminen 7. Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään kahden vuoden ajaksi. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen. Tietosuojavastaava voidaan erottaa toimestaan vain, jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia. 8. Rekisterinpitäjä tai henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella. 9. Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja yhteystiedot valvontaviranomaiselle ja yleisölle. jatkuu……

35 artikla Tietosuojavastaavan nimittäminen 10. Rekisteröidyllä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan. 11. Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan c alakohdassa tarkoitettuja rekisterinpitäjän ja henkilötietojen käsittelijän keskeisiä tehtäviä koskevat kriteerit ja vaatimukset sekä 5 kohdassa tarkoitettua tietosuojavastaavan ammattipätevyyttä koskevat vaatimukset. -- Siis Euroopan unionin komissio tullee saamaan oikeudet antaa tarkempia määräyksiä mm. tietosuojavastaavalta edellytettävästä osaamisesta tai tieto- ja taitotasosta. --- > Koulutusvelvoite ammattipätevyyden osalta? ? ?

Huomaa myös seuraava valmisteilla oleva EU-säädös: Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI Yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta. Bryssel 25. 1. 2012; COM (2012) 10 final

”Uutta” sähköisen asioinnin kentältä: - Heinäkuussa 2007 tuli voimaan laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007); HE 253/2006, (sittemmin pieniä muutoksia tehty!!) - Lain tarkoituksena on edistää sosiaali- ja terveydenhuollon asiakastietojen tietoturvallista käsittelyä. - Lailla luodaan yhtenäinen sähköinen potilastietojen käsittely- ja arkistointijärjestelmä terveydenhuollon palvelujen tuottamiseksi potilasturvallisesti ja tehokkaasti sekä potilaan tiedonsaantimahdollisuuksien edistämiseksi. - Laissa on säännökset sosiaali- ja terveydenhuollon asiakastietojen sähköisen käsittelyn yleisistä vaatimuksista, joilla turvataan näiden tietojen käytettävyys, eheys ja säilyminen sekä asiakkaan yksityisyyden suoja näiden tietojen käytössä.

- Terveydenhuollon potilastietojen säilyttämistä ja luovuttamista varten perustetaan keskitetyt valtakunnalliset tietojärjestelmäpalvelut tietojen arkistoimiseksi ja tietojen luovuttamisen toteuttamiseksi. Päävastuu tästä on KELA: lla eli Kansaneläkelaitoksella! Keskitettyyn käsittely- ja arkistointijärjestelmään sisältyy myös eräitä muita valtakunnallisena toteutettavia palveluita, kuten varmennepalvelu, josta vastasi alunperin TEO eli Terveydenhuollon oikeusturvakeskus ja koodistopalvelu, jonka sisällöstä vastasi STAKES eli Sosiaali - ja terveysalan tutkimus- ja kehittämiskeskus. - Eri rekisterinpitäjien välinen potilastietojen luovutus tapahtuu lähtökohtaisesti näiden palvelujen avulla.

- Potilastietojen luovutuksen perustana tulee aina olla joko potilaan suostumus taikka luovutukseen oikeuttava lain säännös (vrt. Heti. L) - Sekä julkisen että yksityisen sektorin terveydenhuollon palvelujen tuottajilla on eräin poikkeuksin velvollisuus liittyä valtakunnallisena toteutettavien tietojärjestelmäpalveluiden käyttäjäksi!!!!! - Tiedon säilytys- ja välityspalvelujen sekä liittymisvelvollisuuden kautta pystytään toteuttamaan yhtenäinen sähköinen arkistointijärjestelmä (KELA). - Sosiaali- ja terveydenhuollon asiakkaalla on tarkastusoikeus asiakastietoihinsa. Uutta on tiedonsaantioikeus myös asiakastietojensa käyttöön liittyviin lokitietoihin sekä yksikön sisäisen käyttölokin että muulle kuin tietoihin oikeutetuille luovutettujen asiakastietojen luovutuslokin osalta.

- Potilas voi saada sähköisen katseluyhteyden avulla tiedon eräistä potilastiedoistaan ja potilastietojen käyttöön liittyvistä luovutuslokitiedoista. - Katseluyhteyden toteuttaa KELA valtakunnallisena tietojärjestelmäpalveluna. - Potilaalla on mahdollisuus yhden käyttöyhteyden avulla katsoa omia potilastietojaan kaikkien järjestelmään liittyneiden terveydenhuollon palvelujen osalta. - Sosiaali- ja terveysministeriön yhteyteen on perustettu sosiaali- ja terveydenhuollon tietohallinnon neuvottelukunta.

HUOM! Muutoksia…. ! Stakes eli Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskus sekä KTL eli Kansanterveyslaitos lakkautettiin ja niiden aiemmat toiminnot yhdistyivät 1. 1. 2009 alkaen. - Uusi elin on nimeltään Terveyden ja hyvinvoinnin laitos. TEO eli Terveydenhuollon oikeusturvakeskus ja STTV eli Sosiaali- ja terveydenhuollon tuotevalvontakeskus yhdistyivät myös 1. 1. 2009 alkaen ja uuden laitoksen nimi on Valvira eli Sosiaali- ja terveysalan lupa- ja valvontavirasto.

- Sosiaali- ja terveydenhuollon sähköiseen asiakastietojen käsittelyuudistukseen liittyy läheisesti 1. 4. 2007 voimaan tullut laki sähköisestä lääkemääräyksestä (61/2007). - Sähköisellä lääkemääräyksellä tarkoitetaan lääkkeen määräämiseen oikeutetun henkilön tietojenkäsittelylaitteella laatimaa lääkemääräystä, joka siirretään tietoverkkoja käyttäen reseptikeskukseen. - Lain tarkoituksena on parantaa potilas- ja lääketurvallisuutta sekä helpottaa ja tehostaa lääkkeen määräämistä ja toimittamista. - Taustalla ilmeisesti myös väärinkäytösten estäminen!

- Tämä toteutetaan järjestelmällä, 1) jossa potilaan lääkemääräykset voidaan tallettaa sähköisesti valtakunnalliseen reseptikeskukseen ja 2) jossa reseptikeskukseen talletetut lääkemääräykset voidaan toimittaa potilaalle hänen haluamanaan ajankohtana hänen valitsemastaan apteekista. - Reseptikeskukseen talletetut lääkemääräykset mahdollistavat potilaan suostumuksella hänen kokonaislääkityksensä selvittämisen ja huomioon ottamisen lääkehoitoa toteutettaessa. - Reseptikeskukseen ja reseptiarkistoon koottuja tietoja voidaan hyödyntää myös terveydenhuollon viranomaistoiminnassa. - Kts. Lisätietoja HE 250/2006. - Järjestelmän tuli olla valtakunnallisesti käytössä 2011.

- Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) -- annettiin 7. 8. 2009 ja tuli voimaan 1. 9. 2009 -- kumosi voimaan tullessaan lain sähköisistä allekirjoituksista (14/2003) -- tuore muutos lailla 139/2015, voimaan 1. 1. 2016!!!! - Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) - annettiin 21. 8. 2009 ja tuli voimaan 1. 3. 2010 - kumosi voimaan tullessaan väestötietolain (507/1993) - sisältää mm. uudistetut laajat säännökset väestötietojärjestelmän tietojen luovutusperusteista.

”UUSI” LUOTTOTIETOLAKI - Eduskunta hyväksyi vuonna 2007 hallituksen lakiesityksen uudeksi luottotietolaiksi ja siihen sisältyviksi muiksi laeiksi (HE 241/2006 vp. ) - Laki 527/2007 tuli voimaan 1. 11. 2007 - Henkilötietolain luottotietosäännökset siirrettiin luottotietolakiin, jota sovelletaan sekä yrityksiä että luonnollisia henkilöitä koskevien luottotietojen käsittelyyn. - Luottotietolaissa määritellään luottotietorekisterien tietosisältö ja tietojen säilyttämisajat. - Maksuhäiriöiden säilyttämisajat porrastetaan sen mukaan, onko merkinnän aiheuttanut saatava suoritettu ja tuleeko rekisteröidylle uusia maksuhäiriöitä. - Rekisteriin voidaan tallettaa myös tiedot maksuhäiriön taustatekijöistä, kuten sen liittymisestä takausvastuuseen.

YKSITYISYYDEN SUHDE JULKISUUTEEN - Yksityisyyttä ja tietosuojaa tarkasteltaessa on aina huomioitava myös pohjoismaisittain pitkän perinteen omaava julkisuusperiaate, joka on meillä perusoikeustasoisesti säännelty perustuslain 12 §: n 2 momentissa: Viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Julkisuusperiaatteesta yksityiskohtaisemmin ja käytännön tasolla säännellään laissa viranomaistoiminnan julkisuudesta (621/1999), jota puhekielessä kutsutaan julkisuuslaiksi.

- - Asiakirjajulkisuus koskee vain ”viranomaisten” hallussa olevia asiakirjoja. Pe. L 12. 2 §: n säännös ja myös itseään koskevien tietojen saantioikeus ei ulotu yksityisten pitämiin tietojärjestelmiin tai arkistoihin. - Henkilötietolakia puolestaan sovelletaan sekä yksityisen että julkisen sektorin henkilörekisterien ylläpitoon. - Perustuslakivaliokunta on lausunnoissaan todennut, että perustuslain mukaista julkisuutta voidaan rajoittaa esim, jos välttämättömien syiden voidaan katsoa puoltavan sitä, ettei henkilö voi vapaasti tutustua esim. itseään koskeviin poliisin tai puolustusvoimien rekisteritietoihin.

Henkilötietolain ja julkisuuslain välisestä suhteesta - Yksityisyys ja henkilötietojen suoja toisaalta sekä asiakirjojen ja viranomaistiedon julkisuus toisaalta ovat molemmat siis perustuslailla suojattuja perusoikeuksia. - Molemmista, niin tietosuojasta kuin julkisuudesta, säännellään tarkemmin yksityiskohtaisessa yleislaissa. - Henkilötietolaki on tietosuojan yleislaki, jossa on säännökset henkilötietojen käsittelyn perusteista. - Julkisuuslaki on julkisuusperiaatteesta säätävä yleislaki, jossa on mm. keskeisimmät salassapitosäännökset. - Käytännön lainsoveltamisessa on perusoikeuskollisiota enemmän ongelmana näiden kahden yleislain yhteensovittaminen sekä toisaalta niiden suhde tiettyihin erityissäädöksiin.

Lakien tarkoituksesta: Henkilötietolaki 1 § Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Julkisuuslaki 3 § Tässä laissa säädettyjen tiedonsaantioikeuksien ja viranomaisten velvollisuuksien tarkoituksena on toteuttaa avoimuutta ja hyvää tiedonhallintatapaa viranomaisten toiminnassa sekä antaa yksilöille ja yhteisöille mahdollisuus valvoa julkisen vallan ja julkisten varojen käyttöä, muodostaa vapaasti mielipiteensä sekä vaikuttaa julkisen vallan käyttöön ja valvoa oikeuksiaan ja etujaan.

Henkilötietolain soveltamisala 2 § Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä. Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Tätä lakia ei sovelleta henkilörekistereihin, jotka sisältävät vain tiedotusvälineessä julkaistua aineistoa sellaisenaan. (kumottu 1049/2010) Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevat soveltuvin osin ainoastaan 1 -4 ja 32 §, 39 §: n 3 momentti, 40 §: n 1 ja 3 momentti, 42 §, 44 §: n 2 kohta, 45 -47 §, 48 §: n 2 momentti sekä 50 ja 51 §, jollei 17 §: stä muuta johdu.

Kysymys: Mitä on sellainen Heti. L 2§: ssä mainittu luonnollisen henkilön yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin suorittama henkilötietojen käsittely, joka jää lain ulkopuolelle? - henkilökohtaiseen kirjeenvaihtoon liittyvät tiedot - henkilökohtaiseen käyttöön tarkoitetut nimi-, osoite- ja puhelinnumerotiedot ja tiedot tuttavien merkkipäivistä - puhelinvastaajan käyttäminen ja omien puhelujen nauhoittaminen - keskustelun nauhoittaminen salaa omiin tarkoituksiin (eri asia sen julkinen levittäminen vrt. RL 24: 8 §)

- 2 §: n 5 momentissa säädetään, että ainoastaan toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettavaan henkilötietojen käsittelyyn sovelletaan vain tiettyjä lain säännöksiä ja soveltuvin osin. - Sovellettavia säännöksiä ovat lain 1 luvun yleisten säännösten lisäksi mm. 32 §, jossa säädetään rekisterinpitäjän ja tämän lukuun toimivan velvollisuudesta huolehtia tietojen asianmukaisesta suojaamisesta. - Tietosuojavaltuutetulla ja tietosuojalautakunnalla on 5 momentin mukaan tiettyjä neuvonta-, ohjaus- ja valvontaoikeuksia myös toimituksellisen henkilötietojen käsittelyn osalta. - Samoin toimituksellisestakin tietojen käsittelystä voi seurata vahingonkorvausvastuu sekä rangaistus henkilörekisteririkkomuksesta!!!!!

-Toimituksellisia rekistereitä ovat sellaiset henkilörekisterit, jotka on tarkoitettu käytettäväksi yksinomaan tiedotusvälineen toimitustyössä ja jotka eivät ole muiden käytettävissä. - Tiedotusvälineillä ymmärretään joukkotiedotukseen tarkoitettuja viestintävälineitä. - Myös uutis- ja kuvatoimistot rinnastetaan tiedotusvälineisiin silloin, kun niillä on henkilörekistereitä, jotka palvelevat tiedotusvälineen julkaisutoimintaa tai uutistoimiston omaa julkaisutoimintaa. - Toimituksellisen rekisterin tietoja voidaan käyttää vain toimitustyöhön liittyvissä tehtävissä. Eli niitä ei saa käyttää esim. tiedotusvälineen hallinto- ja markkinointitehtävissä. - Toimituksellinen rekisteri voi myös olla esim. sanomalehden julkaisijan pitämä rekisteri tai yksittäisen toimittajan taikka free lance –toimittajan pitämä rekisteri.

KHO: 2009: 82; antopäivä 23. 9. 2009 ”ns. Veropörssi-lehti -juttu” Tietosuoja – Tietosuojadirektiivi – Henkilötietolain soveltamisala – Direktiivin tulkintavaikutus – Henkilötietojen käsittely – Journalistinen tarkoitus – Toimituksellinen tarkoitus – Henkilötietojen suoja – Yksityiselämän suoja – Sananvapaus – Verotusta koskevat tiedot – Painettu julkaisu – Tekstiviestipalvelu – EY-tuomioistuimen ratkaisu Yhtiö julkaisi vuosittain yli miljoonan suomalaisen verotustiedot alueellisissa lehdissä ja luovutti tiedot edelleen toiselle yhtiölle tekstiviestipalvelun toteuttamista varten. Lehdissä julkaistuja tietoja luovutettiin maksua vastaan tekstiviestipalveluna. Korkeimman hallinto-oikeuden ratkaistavana oli kysymys siitä, oliko yhtiöiden toimintaa pidettävä yksityisyyden suojaa turvaavien henkilötietojen käsittelyä koskevien säännösten vastaisena. Korkeimman hallinto-oikeuden ratkaistavana ei ollut kysymys siitä, olivatko verotusta koskevat tiedot julkisia. Kysymys ei myöskään ollut oikeudesta julkaista näitä tietoja. Saatuaan Euroopan yhteisöjen tuomioistuimelta ennakkoratkaisun tietosuojadirektiivin tulkinnasta korkein hallinto-oikeus katsoi, ettei henkilötietolain 2 §: n 4 momenttia voitu…….

. . tulkita siten, että kertaalleen julkaistuja henkilötietoja voitaisiin yksin julkaisemisen perusteella yleisesti käsitellä uudelleen, eri yhteyksissä ja eri tarkoituksessa henkilötietojen käsittelyä koskevien säännösten millään tavoin toimintaa rajoittamatta. Edelleen yhteisöjen tuomioistuimen ennakkoratkaisu huomioon ottaen korkein hallinto-oikeus katsoi, ettei henkilötietojen käsittely yhtiöiden toiminnassa ollut tapahtunut henkilötietolain 2 §: n 5 momentissa tarkoitetulla tavalla toimituksellisessa tarkoituksessa. Tietosuojavaltuutetun valituksesta korkein hallinto-oikeus kumosi hallinto-oikeuden ja tietosuojalautakunnan päätökset ja palautti asian tietosuojalautakuntaan uudelleen käsiteltäväksi henkilötietolain 44 §: ssä tarkoitettujen määräysten antamiseksi yhtiölle. Ks. Myös KHO 2007: 9 ja EY-tuomioistuimen 16. 12. 2008 asiassa C 73/07 antama tuomio. Kts. KHO: n koko ratkaisu (36 sivua) www. kho. fi/paatokset Kts. Tietosuojalautakunnan ratkaisu 26. 11. 2009 3/09

- Henkilötietolaissa säännellään siis henkilötietojen käsittelyn perusteista, mm. henkilötietojen luovuttamisesta henkilörekistereistä. - Julkisuuslakia ja henkilötietolakia valmisteltiin oikeusministeriössä samoihin aikoihin. Koska henkilötietolain valmistelun lopullisesta sisällöstä ei ollut tietoa, otettiin julkisuuslakiin hieman ristiriitaisesti säännökset henkilötietojen luovuttamisesta viranomaisten henkilörekistereistä. - Kritiikkiä voisi myös esittää ratkaisusta valita kahteen merkittävään ja samaan aikaan valmisteltuun informaatiota koskevaan yleislakiin tarpeettomasti toisistaan vain hieman poikkeavat käsitteet: - - hyvä tietojenkäsittelytapa (henkilötietolaissa) - - hyvä tiedonhallintatapa (julkisuuslaissa, erityisesti 18 §)

Henkilörekisterillä tarkoitetaan henkilötietolaissa käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. - Määritelmä sisältää ajatuksen loogisesta rekisterikäsitteestä. Henkilörekisteriin luetaan kuuluviksi kaikki ne tiedot, joita käytetään samassa käyttöyhteydessä riippumatta siitä, miten ja mihin ne on talletettu. - Tietojenkäsittelyssä syntyviä lyhytaikaisia tiedostoja ja tallenteiden eri sukupolvia ei pidetä eri henkilörekistereinä silloin, kun ne ovat rekisterinpitäjän hallussa ja niitä käytetään määriteltyihin henkilötietojen käsittelyn tarkoituksiin.

- Henkilötietolain 3 §: ssä puolestaan määritellään käsitteet henkilötieto, henkilötietojen käsittely, henkilörekisteri, rekisterinpitäjä, rekisteröity, sivullinen ja suostumus - Näistä henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. (myös valokuva ja ip-osoite voi olla henkilötieto) - Henkilötietojen käsittely tarkoittaa henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä --- ns. tiedon elin- tai elämänkaari -ajattelu.

Henkilötietolain rakenne: 1 luku Yleiset säännökset 2 luku Henkilötietojen käsittelyä koskevat yleiset periaatteet 3 luku Arkaluonteiset tiedot ja henkilötunnus 4 luku Henkilötietojen käsittely erityisiä tarkoituksia varten 5 luku Henkilötietojen siirto Euroopan unionin ulkopuolelle 6 luku Rekisteröidyn oikeudet 7 luku Tietoturvallisuus ja tietojen säilytys 8 luku Ilmoitus tietosuojavaltuutetulle 9 luku Henkilötietojen käsittelyn ohjaus ja valvonta 10 luku Erinäiset säännökset 11 luku Voimaantulo- ja siirtymäsäännökset

Henkilötietojen käsittelyn yleisistä edellytyksistä - Henkilötietojen käsittelyn yleiset periaatteet löytyvät henkilötietolain 2 luvusta. - 3 luvussa säännellään lisäksi arkaluonteisten tietojen käsittelykiellosta, siitä tehtävistä poikkeuksista sekä henkilötunnuksen käsittelystä. 4 luvussa ovat säännökset henkilötietojen käsittelystä erityisiä tarkoituksia varten. - Henkilötietolain 2 luvun alussa on joukko tärkeitä henkilötietojen käsittelyn yleisperiaatteita: huolellisuusvelvoite (5 §), suunnitteluvelvoite (6 §) ja käyttötarkoitussidonnaisuus (7 §) - Näihin voidaan lisätä tietojen laatua koskevat periaatteet eli tarpeellisuus- ja virheettömyysvaatimukset (9 §) sekä lain 32 §: ssä säännelty velvoite suojata tiedot ja tietojärjestelmät.

Henkilötietolain ehkä tärkein yksittäinen pykälä on henkilötietolain käsittelyn yleiset edellytykset sisältävä 8 §: Henkilötietoja saa käsitellä ainoastaan: 1) rekisteröidyn yksiselitteisesti antamalla suostumuksella; 2) rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; 3) jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; 4) jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta.

5) jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus) 6) jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä. 7) jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten. 8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai 9) jos tietosuojalautakunta on antanut käsittelyyn 43 §: n 1 momentissa tarkoitetun luvan.

Heti. L 8 §: n 2 -4 momentit: Henkilötietojen luovuttaminen voi tapahtua 1 momentin 5 kohdan nojalla vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen edellyttäen, että tarkoitus, johon tiedot luovutetaan, ei ole yhteen sopimaton henkilötietojen käsittelyn tarkoituksen kanssa ja että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta. Arkaluonteisten henkilötietojen käsittelystä säädetään 3 luvussa. Henkilötietojen käsittelystä erityisiä tarkoituksia varten säädetään 4 luvussa. Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.

Tietosuojavaltuutetulle esitetty kysymys vastauksineen: Kysymys: Saako työnantaja julkaista työntekijöiden nimet, valokuvat, ammattinimikkeet ja työyhteystiedot kotisivuillaan ilman työntekijän suostumusta? Vastaus: ” Henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavat yleisesti saatavilla olevat tiedot ovat henkilötietolain 8 §: n 1 momentin 8 kohdan mukaan erityisessä asemassa. Tällaisia tietoja ovat esimerkiksi työntekijöiden nimet, valokuvat sekä työyhteisötiedot. Edellä mainittuja tietoja voidaan julkaista työnantajan kotisivuilla ilman työntekijän suostumusta, jos julkaiseminen on asiallisesti perusteltua ja tarpeellista työnantajan toiminnan kannalta. Tietojen julkaiseminen voi olla mahdollista esimerkiksi silloin, kun työntekijän velvollisuuksiin kuuluu olla tunnistettavissa ja saavutettavissa ammattinimike-, työyhteystietojen sekä kuvan perusteella…. ” Jatkuu…….

”…Työnantajan tulee huolellisesti harkita, onko joidenkin työntekijöiden tiedot ja kuvat tarpeen julkaista Internet –sivuilla. Perusteettomasti tietoja ei tule viedä Internetiin. Työnantajan tulee tarvittaessa perustella niin työntekijöille kuin tietosuojavaltuutetulle, miksi edellä mainitut tiedot on ollut tarpeen julkaista Internetissä. Vaikka suostumusta julkaisemiseen ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heitä koskevia tietoja on Internetissä: ” (Kts. www. tietosuoja. fi, kohta Kysyttyä – Internet) - Tietosuoja-lehden nrossa 1/2006 on julkaistu Suomen Kuntaliiton lakimies Tanja Mikkosen artikkeli Kuntien Internet –tiedottaminen lisää avoimuutta, jossa käsitellään mm. kunnan työntekijöiden yksityiselämän tietojen julkaisemista kunnan verkkosivuilla. Kuntaliitto on antanut suositukset kunnille henkilötietojen käsittelystä Internetissä mm. Kuntien www-viestinnän ohjeessa ja julkisuuslain muutoksia koskevassa yleiskirjeessä 19/80/2005. Kts. Lähemmin www. kunnat. net

Reijo Aarnio Tietosuojavaltuutettu vuodesta 1997 lähtien.

Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä - Henkilötietolain 8 §: n 4 momentin mukaan siis oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä asiakirjojen julkisuudesta säädetään. - Julkisuuslain 13 §: n 2 momentin mukaan pyydettäessä saada tieto salassa pidettävästä asiakirjasta taikka viranomaisen henkilörekisteristä tai muusta asiakirjasta, josta tieto voidaan luovuttaa vain tietyin edellytyksin, tiedon pyytäjän on, jollei erikseen toisin säädetä, ilmoitettava tietojen käyttötarkoitus sekä muut tietojen luovuttamisen edellytysten selvittämiseksi tarpeelliset seikat sekä tarvittaessa tiedot siitä, miten tietojen suojaus on tarkoitus järjestää.

Julkisuuslain 16 §: n 3 momentissa puolestaan todetaan, että viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää tällaisia henkilötietoja. Henkilötietoja saa kuitenkin lainkohdan mukaan luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. (vrt. Heti. L 8 § ja 19 §) - Huom! Heti. L: n 30 §: n kieltomahdollisuus, josta enemmän jäljempänä

MITÄ NÄIDEN SÄÄNNÖSTEN JA LAINSÄÄTÄJÄN TARKOITUKSEN PERUSTEELLA VOIDAAN PÄÄTELLÄ HENKILÖTIETOLAIN JA JULKISUUSLAIN VÄLISESTÄ SUHTEESTA, ERITYISESTI HENKILÖTIETOJEN KÄSITTELYÄ TARKASTELTAESSA? ?

* Julkisuuslaki ja henkilötietolaki ovat molemmat toissijaisia henkilötietojen käsittelyn yleislakeja, jotka väistyvät siltä osin kuin erityislainsäädännössä jokin asia tyhjentävästi säännellään (esim. laki henkilötietojen käsittelystä poliisitoiminnassa) * Muulta osin ne toimivat henkilötietojen käsittelyssä täydentävinä säännöksinä. * Henkilötietolain voidaan katsoa olevan monilta osin keskeisempi yleislaki erityisesti henkilötietojen käsittelyn osalta. * Julkisuuslaissa ei säännellä yleisesti henkilötietojen käsittelyn perusteista.

* Luovutettaessa henkilötietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate sekä julkisuuslain salassapitosäännökset. * Mutta henkilötietojen luovuttaminen on vain yksi osa henkilötietolain yleiskäsitteeksi valitusta tiedon käsittelystä. * Sen lisäksi mitä Julk. L 13. 2 § ja 16. 3 § edellyttävät tietosuojalta, henkilötietojen muunlaiseen käsittelyyn kuin luovuttaminen on myös viranomaisten henkilörekistereiden osalta edelleen pääsääntöisesti sovellettava henkilötietolain säännöksiä - erityisesti käsittelyn yleisiä periaatteita (5 -7 ja 9 §: t)

* Viranomaisten ylläpitämien henkilötietojen käsittelyssä on aina huomioitava myös henkilötietolain tietojen käsittelylle asettamat vaatimukset. * Lisäksi on muistettava, että tietosuoja- ja julkisuuslainsäädäntöön kuuluvat useat erityislait voivat sisältää poikkeavia ehtoja ja määräyksiä esimerkiksi tietojen luovutukselle. * Henkilötietojen käsittelyssä, kuten myös muissa laintulkintatilanteissa, on siis vältettävä yhteen pykälään tuijottamista ja varauduttava aina usean eri säädöksen vertailuun. -- Tämä vaatii lainsäädäntöön ja systematiikkaan perehtymistä ja siten useimmiten juridista ammattitaitoa!!!!!!

TIETOSUOJAN KESKEISISTÄ PERIAATTEISTA. - Henkilötietojen suojan lainsäädännöllisen järjestämisen keskeiset periaatteet ovat vakiintuneet pitkälti kansainvälisen lainvalmistelun pohjalta – henkilötietodirektiivi yhtenä tärkeimpänä vaikuttajana! - Periaatteiden avulla voidaan pyrkiä ymmärtämään tietosuojalainsäädännön pyrkimyksiä niin yksityisellä kuin julkisella sektorilla. - Tietosuojalainsäädännön periaatteet voidaan jakaa kolmeen ryhmään: 1) TIETOSUOJAN YLEISIIN PERIAATTEISIIN 2) HENKILÖTIETOJEN KÄSITTELIJÖITÄ ELI REKISTERINPITÄJIÄ KOSKEVIIN PERIAATTEISIIN 3) YKSILÖN ELI REKISTERÖIDYN OIKEUKSIA KOSKEVIIN PERIAATTEISIIN. - Nämä pohjautuvat pitkälti lainsäädäntöön eli henkilötietodirektiiviin, henkilötietolakiin sekä tietosuojan erityislakeihin ja –säännöksiin.

Tietosuojan keskeisistä yleisistä periaatteista: 1) lakisääteisyyden vaatimus 2) yksilön tunnistettavuus 3) avoimuus 4) tarpeellisuus 5) hyvä tietojenkäsittelytapa 6) tietoturva 7) automaattisen henkilöarvioinnin rajoittaminen 8) käytännesäännöt 9) viranomaiskoneiston olemassaolo 10) sanktiojärjestelmä

1) Lakisääteisyyden vaatimus * Henkilötietojen suojasta on säädettävä laissa. * Henkilötietojen suojassa ei ole enää kysymys alemman asteisen sääntelyn tai yksittäistapauksissa hallinnollisen päätöksenteon varaan jätettävissä olevasta, vain tietohallinnon ja tietojenkäsittelyn alaan kuuluvasta teknisluonteisesta asiasta. * Vrt. Pe. L 80 § ja Pe. L 10 §

2) Yksilön tunnistettavuus * Tietosuojalainsäädäntö koskee lähtökohtaisesti vain kaikkea sellaista informaatiota, joka on välittömästi tai välillisesti yhdistettävissä tiettyyn luonnolliseen henkilöön. Henkilötietojen tekeminen pysyvästi ja tehokkaasti anonyymeiksi poistaa ne ja niiden käsittelyn tietosuojan piiristä. * Henkilötieto on aina tunnistetieto, joka voidaan liittää henkilöön. * Mutta henkilötiedolla tarkoitetaan myös sellaista välillistä, esimerkiksi perheeseen, asuinpaikkaan tai työhön liittyvää informaatiota, jonka avulla henkilö voidaan tunnistaa. * Käytännössä tulkintaongelmia voi syntyä siitä, minkälaista tunnistettavuutta vaaditaan. Yksin se seikka, että jonkin henkilön suppea henkilöpiiri voi tunnistaa hänet tiedoista, jotka eivät muille kerro hänestä mitään, ei tee tiedosta henkilötietoa.

3) Rekisterinpidon avoimuuden vaatimus * Henkilötietojen käsittelyn tulee lakisääteisesti olla avointa! * Tämä tarkoittaa sitä, että henkilötietojen käsittely ei saa jäädä minkäänlaisen salaisen vallankäytön välineeksi, esim. mustat listat yms. * Avoimuuden toteuttamisessa on useita eri tapoja alkaen rekisteröityjen tiedonsaantioikeuksista ja edeten aina tietosuojaviranomaisten tarkastusoikeuksiin. * Suomessa vain tietyistä keskeisimmistä rekistereistä sekä automatisoidun, ihmisiä arvioivan päätöksentekojärjestelmän käyttöönotosta on rekisterinpitäjän oma-aloitteisesti ilmoitettava tietosuojavaltuutetulle. * Tietosuojaviranomaisten ylläpitämää rekisterien rekisteriä on meillä pidetty liian byrokraattisena mallina.

4) Tarpeellisuus * Henkilörekisterien pitäjien tulee ylläpitää vain tarpeelliseksi osoitettuja rekistereitä ja niissä tarpeellisia tietoja. * Toisaalta me voimme yksilöinä koota ja luovuttaa muiden käyttöön myös tarpeetonta, ylimääräistä informaatiota. Tämä kuuluu tiedolliseen itsemääräämisoikeuteemme. * Siksi henkilötietolaki ei koskekaan luonnollisen henkilön omaan käyttöönsä kokomaan henkilötietoainesta. (puhelinkatalogit, muistiot yms. ) Heti. L 2. 3 §

5) Hyvä tietojenkäsittelytapa * Hyvä tietojenkäsittelytapa on yksi lain keskeisiä tavoitteita. (Heti. L 1 ja 32 §) Jo aiemmassa henkilörekisterilaissa puhuttiin hyvästä rekisteritavasta. * Taustalla se, että laissa ei ole voitu mennä yksityiskohtaiseen, kaikki tulkintatilanteet kattavaan sääntelyyn. * Laissa myös korostettu rekisterinpitäjän itsekontrollin ja itseohjautuvuuden periaatetta. ----Rekisterinpitäjään halutaan luottaa…!!. * Toimittaessa jo ennakoiden hyvän tietojenkäsittelytavan puitteissa, viranomaisten ohjaava rooli ohittaa valvovan roolin ja tuomioistuinten toiminta kiistojen ratkaisijana jää mahdollisimman vähäiseksi.

6) Tietoturva * Eri yhteiskunnan toimintojen lisääntyvä riippuvuus automaattisesta tietojenkäsittelystä ja tietoliikenteestä – informaatioinfrastruktuurin toiminta. * Henkilötietolaissa tietoturvallisuus on yksi keskeisiä periaatteita. * Henkilötiedot on asianmukaisesti suojattava luvatonta käsittelyä varten. * Kysymys on myös henkilöstöturvallisuudesta. - Työpaikalla vain se, jolla tehtäviensä puitteissa ennalta määritellysti on oikeus henkilötietojen käsittelyyn, saa niitä tuon tehtävän mukaisesti käsitellä. - Muulta henkilöstöltä tiedot tulee suojata. (Huom! väärinkäytökset poliisihallinnossa, terveydenhuollossa, tunnistetieto -uudistus sähköisen viestinnän tietosuojalakiin, väestötietolainsäädännön uudistus – lokitietojen seuranta, käyttöoikeudet? ? ) - Heti. L: n tietoturvallisuussäännös on suhteellinen, tietoturvallisuus on mitoitettava suojatason mukaan, myös kustannukset vaikuttavat.

- Rekisterinpitäjän tulee määritellä tietojen käyttöoikeudet ja käsittelyyn oikeuttavat, kuten esimerkiksi tallennus, muuttaminen, haku ja tuhoaminen. - Salasanajärjestelmän avulla tai vastaavin turvajärjestelyin on varmistettava, että tietoja pääsevät käsittelemään vain ne henkilöt, joilla on siihen oikeus. - Tarvittaessa on luotava menettelytavat, joiden avulla voidaan seurata tietojen käsittelyä, kuten esim. sitä, kuka on käsitellyt tietoja ja mitä toimenpiteitä hän on suorittanut. - Henkilörekisteri on suojattava siten, että 1) laittomat yritykset päästä jo siihen laitteistoon, jossa henkilötietoja talletetaan, ja 2) erityisesti yritykset päästä käsittelemään rekisterin tietoja, aiheuttavat ilman viiveitä hälytyksen rekisterinpitäjälle. - Tietojen siirto on varmistettava erityisin toimenpitein, esim. siten, että siirto ei aiheuta muutoksia tietojen sisällössä ja ettei tietoja häviä siirron yhteydessä.

Henkilötietolaissa tietoturvallisuuden vaatimus on ilmaistu 32. 1 §. ssä: Tietojen suojaaminen Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Tietosuojavaltuutetulle esitetty kysymys ja vastaus: Kysymys: Saako työnantaja laittaa työpaikalle näkyville listauksen, josta käyvät ilmi eniten työstä poissa olleiden henkilöiden nimet tai kuhunkin työntekijään kohdistettujen valitusten lukumäärät? Vastaus: ”Työntekijän sairauspoissaolotiedot tai häneen kohdistetut valitukset ovat ko. työntekijää koskevia henkilötietoja. Näiden tietojen laittaminen esille työpaikalla saattaa olla työnantajan vaitiolovelvollisuuden vastaista sekä omiaan loukkaamaan työntekijän yksityisyyden suojaa. Henkilötietolain 32 §: ssä säädetään työnantajalle rekisterinpitäjänä velvollisuus suojata tarpeellisin teknisin ja organisatorisin toimin henkilötiedot asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Työnantajan tulee määritellä, keillä on työtehtäviensä vuoksi oikeus käsitellä työntekijöiden henkilötietoja. Tämä määrittelee samalla sen, keillä ei ole oikeutta henkilötietojen käsittelyyn. ”

”…Henkilötietolain 33 §: ssä säädetään vaitiolovelvollisuudesta seuraavaa: joka on henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti sivulliselle ilmaista näin saamiaan tietoja. Arkaluonteisia tai muitakaan henkilötietoja ei siis saa ilmaista sivullisille henkilöille, jotka eivät tarvitse niitä työtehtäviensä suorittamisessa. Käytännössä työpaikalla voi olla tarpeen tiedottaa esim. työntekijöihin kohdistetuista valituksista yleisesti tilastollisena tietona. Henkilötietojen ilmaisemisen osalta tässä yhteydessä on otettava huomioon edellä todettu. Tuomioistuin ratkaisee, onko työnantaja tai sen edustaja syyllistynyt rangaistavaan tekoon laittaessaan henkilötietoja esille. Tietosuojavaltuutetulla ei ole toimivaltaa ratkaista tätä. ”

7) Viranomaiskoneiston olemassaolo * Suomessa tietosuojavaltuutettu toimistoineen sekä sivutoiminen tietosuojalautakunta muodostavat tietosuojan viranomaiskoneiston. * Työelämän tietosuojan alueella sitä täydentävät nykyisin työsuojeluviranomaiset ja sähköisessä viestinnässä viestintävirasto. * Suomessa tietosuojaviranomaiset oikeusministeriön alaisuudessa, vaikkakin henkilötietodirektiivi edellyttää riippumatonta viranomaista. * Huomattava myös muutama vuosi sitten perustettu Euroopan unionin tietosuojavaltuutetun virka. (www. edps. eu. int)

Heti. L 9 luku Henkilötietojen käsittelyn ohjaus ja valvonta 38 § Tietosuojaviranomaiset 39 § Tietosuojaviranomaisten tiedonsaanti- ja tarkastusoikeus 40 § Tietosuojavaltuutetun toimenpiteet 41 § Tietosuojavaltuutetun kuuleminen 42 § Toimialakohtaiset käytännesäännöt 43 § Tietosuojalautakunnan lupatoimivalta 44 § Tietosuojalautakunnan määräykset 45 § Muutoksenhaku 46 § Uhkasakko

8) Automaattisen henkilöarvioinnin rajoittaminen * Ihmisen ominaisuuksia koskevien arviointien tulee pääsääntöisesti tapahtua ihmisen, ei koneen toimesta. * Koskee yhtä hyvin hallintoviranomaisia kuin tuomioistuimia. * Automaattisten henkilöarviointien erilaisten mahdollisuudet ovat lisääntyneet merkittävästi viime vuosina ja ulottuvat jo arkipäivän toimistoautomaation tasolle. * Henkilötietolakiin on automaattisen arvioinnin rajoittaminen otettu henkilötietodirektiivin pohjalta. * Laissa ei kuitenkaan täysin kielletä automaattista henkilöarviointia ------------>

Heti. L 31 § Automatisoitu päätös Sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtuu ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla, on sallittu, jos: 1) siitä on laissa säädetty; tai 2) päätös tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä edellytyksellä että rekisteröidyn oikeuksien suojaaminen varmistetaan tai että päätöksellä täytetään rekisteröidyn sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö.

9) Käytännesäännöt * Meidän tulisi yksilöinä tuntea laki, mutta lait ovat usein vaikeaselkoisia ja joskus myös tosiasiallisesti kirjoitettu vain lakimieskuntaa tai eri alojen ammattilaisia ajatellen. * Henkilötietodirektiivissä edellytetään, että eri aloilla pyritään luomaan toimialakohtaisia käytännesääntöjä (code of conduct, uppförandekodex), jotka helpottavat lain ymmärtämistä. * Käytännesääntöjen avulla välitetään lakitekstiä yksityiskohtaisemmalla tavalla ohjeita ja tietoja hyvästä, yksilön oikeudet huomioon ottavasta, henkilötietojen käsittelytavasta. * Tietosuojavaltuutetun tehtäviin kuuluu niiden tarkastaminen. * Tietosuojavaltuutettu pyrkii yhteistyössä eri alojen käytännesääntöjen laatijoiden kanssa arvioimaan niiden lainmukaisuuden – ohjaustyötä…

Heti. L 42 § Toimialakohtaiset käytännesäännöt Rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä tämän lain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi sekä toimittaa laatimansa ehdotukset tietosuojavaltuutetulle. Tietosuojavaltuutettu voi tarkastaa, että käytännesäännöt ovat tämän lain ja muiden henkilötietojen käsittelyyn vaikuttavien säännösten mukaisia.

10) Sanktiojärjestelmä * Sanktiot ovat viimekätisiä keinoja henkilötietojen suojan toteuttamisessa. * Tietosuojavaltuutetun ohjauksen sekä valvonnan ja hyvän tietojenkäsittelytavan puitteissa pyritään siihen, että tuomioistuintie vältetään. * Oikeusvaltiossa kuitenkin kiistatilanteessa tulkinnat on aina voitava saattaa tuomioistuinten ratkaistaviksi. * Tietosuojaviranomaisten ratkaisuista haetaan muutosta hallintotuomioistuimista ja rikosoikeudelliset sanktiot kuuluvat yleisille tuomioistuimille (KO, HO, KKO). * Henkilötietojen käsittelyn osalta on olemassa kaksi sanktiota: henkilörekisteririkkomus henkilötietolaissa ja henkilörekisteririkoslaissa. * Usein täyttyy myös jokin muu rikoksen tunnusmerkistö. * Syyttäjän on ennen syytteen nostamista henkilötietolain vastaisesta teosta kuultava tietosuojavaltuutettua. * Tuomioistuimen puolestaan varattava TSV: lle tilaisuus tulla kuulluksi.

Henkilörekisterinpitäjiä koskevat erityiset periaatteet: 1) Tarpeellisuus 2) Suunnitelmallisuus 3) Tarkoitussidonnaisuus 4) Huolellisuusvelvoite 5) Laatuvelvoite 6) Tiedottamisvelvollisuus 7) Ankara vastuu

Taustaa: * Informaation vapaan kulun periaate ja informaation käsittelyn vapaus on tietosuojalainsäädännössä korvattu varsin tarkalla lakisidonnaisuudella. * Henkilötietoja on lupa käsitellä vain tietyin edellytyksin. * Henkilötietolaki koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä ja kaikkia käsittelijöitä ellei laissa ole toisin säädetty. (vrt. yksityiset pienet rekisterit ja median asema) * Niitä, jotka käsittelevät omiin tarkoituksiinsa toisten henkilötietoja, kutsutaan rekisterinpitäjiksi. * Kun laissa ei pääsääntöisesti aseteta henkilötietojen käsittelyä luvanvaraiseksi, rekisterinpitäjiä koskevat säännökset muokkaavat merkittävästi henkilötietojen käsittelyä käytännössä.

1) Tarpeellisuus - Rekisterinpitäjillä on lupa käsitellä vain omalle toiminnalleen tarpeellisia tietoja. - Tarpeellisuus liittyy suunnitelmallisuuteen eli tietojärjestelmät ja niiden käyttö on suunniteltava tarpeellisten tietojen käsittelyä varten. - Tarpeellisuutta tulee arvioida ajan ja käyttötarkoituksen näkökulmasta suppeasti. Vain todellinen ajankohtainen tarve on hyväksyttävä tarve. - Esim. avointen suostumusten pyytäminen henkilöiltä heidän tietojensa mahdollista myöhempää käsittelyä varten on tarpeellisuusvaatimuksen vastaista.

Tarpeellisuusvaatimus on ilmaistu henkilötietolain 9. 1. §: ssä tietojen laadun yhteydessä lyhyesti: 9 § Tietojen laatua koskevat periaatteet Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus)

2) Suunnitelmallisuus - Rekisterinpitäjällä ei ole lupa koota, ylläpitää ja käsitellä satunnaisia informaatiomassoja. - Henkilötietojen käsittelyn tulee olla perusteltua ja tiettyä tai tiettyjä käyttötarkoituksia varten rajattua. Sellaista se voi olla ja siltä näyttää vain suunnitelmallisena. - Suunnitelmallisuuden vaatimus edellyttää sellaista ennen sallitun käsittelyn aloittamista tapahtuvaa suunnittelua, missä otetaan huomioon informaation hankintatavat, sen erilaiset käsittelytavat, käyttötarkoitukset, mahdolliset luovutukset sekä säilyttäminen, arkistointi ja tuhoaminen.

Henkilörekisterin käsitehän on laissa ilmaistu seuraavasti: Tässä laissa tarkoitetaan 3) henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla siten, että tiettyä henkilö koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta; - Keskeistä roolia suunnitelmallisuuden toteuttamisessa ja sen muille osoittamisessa näyttelee rekisteriseloste. - Rekisterinpitäjän tulee laatia Heti. L: n 10 §: n mukainen rekisteriseloste, jossa kuvataan muun ohella rekisterin sisältö, tietolähteet, tietojen käyttötarkoitus, niiden käsittely- sekä luovutustavat ja tietojen suojaustapa. - Kaikkien rekisteriselosteiden on oltava jokaisen saatavilla!!!

Jokaisen rekisterinpitäjän tulee siis suunnittelun yhteydessä käydä läpi henkilötietolain edellytykset henkilötietojen käsittelylle. Nämä edellytykset voidaan ryhmitellä seuraavasti: * Milloin henkilötietoja saa käsitellä? * Minkälaisia henkilötietoja voi käsitellä? * Mitä yleisvelvoitteita käsittelyssä tulee huomioida? * Miten rekisteröidyn oikeudet huomioidaan? * Onko rekisterinpitäjä ilmoitusvelvollinen? Tietosuojavaltuutetun toimiston nettisivuilta www. tietosuoja. fi löytyy paljon ohjeistusta, kannanottoja, esitteitä ja mallikaavakkeita erilaisiin rekisterinpidon ja henkilötietojen käsittelyn tilanteisiin. - Toimistosta voi myös pyytää tulkintaohjeita!!!!

3) Tarkoitussidonnaisuus - Lailla pyritään siihen, että henkilötietoja käsitellään vain ennalta määritellyin tarkoituksin. - Suunnitelmallisuus, tarpeellisuus ja tarkoitussidonnaisuus ovat siten tarkoin yhteydessä toisiinsa!!!!! - Tarkoitussidonnaisuus on henkilötietojen käsittelyyn lähtökohtaisesti kaikissa eri tilanteissa vaikuttava periaate. - Se rajoittaa ja ohjaa koottavaa informaatiota, ohjaa henkilötietojen tavanomaista käsittelyä ja rajoittaa mahdollisuuksia luovuttaa vapaasti henkilötietoja. - Tarkoitussidonnaisuus rajaa myös niiden henkilöiden joukkoa, jotka organisaatioissa voivat käsitellä henkilötietoja. - Henkilötietojen käyttötarkoitusta ei ole lupa muuttaa niin, että se olisi yhteensopimaton alkuperäisen käyttötarkoituksen kanssa!!!!! - Sallittuja poikkeuksia on esim. historiallisten, tieteellisten ja tilastollisten tietojen osalta. Kts. Henkilötietolain 14 -15 §: t

Heti. L 7 § Käyttötarkoitussidonnaisuus Henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 §: ssä tarkoitettujen käsittelyn tarkoitusten kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei pidetä yhteensopimattomana alkuperäisten käsittelyn tarkoitusten kanssa.

Heti. L 18 § Sukututkimusta varten pidettävään henkilörekisteriin saa muilla kuin 8 §: n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa sukuun kuuluvasta henkilöstä ja tämän aviopuolisosta rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot samoin kuin muut sukututkimuksen kannalta tarpeelliset henkilötiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista. Edellä 1 momentissa tarkoitettua sukututkimusrekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

Tietosuojavaltuutettu (TSV) on esitteessään Sukututkimus henkilötietolain mukaan (Asiaa tietosuojasta 7/1999) antanut seuraavaa ohjeistusta: - TSV katsoo, että henkilötietoja sukututkimukseen voi kerätä (tietyin ehdoin) esim. oppilaitosten ja työnantajan rekisteristä samoin kuin väestörekisteristä ja kirkonkirjoista. - Heti. L 18 §: n 1 momentin mukaisilla yksilöintitiedoilla tarkoitetaan nimeä, syntymäaikaa ja –paikkaa, vihkimisaikaa, kuolinaikaa ja –paikkaa sekä arvoa ja ammattia. - Tapauskohtaisesti tulee harkita, mitä tietoja voidaan sisällyttää lainkohdan sanontaan ”muut sukututkimuksen kannalta tarpeelliset tiedot”. -----Eri sukututkimuksiin sisällytettävät tiedot voivat vaihdella mm. sukututkimuksen tarkoituksen kannalta.

- Arkaluonteisia henkilötietoja saa sukututkimuksen sisällyttää (ja luovuttaa) vain, jos Heti. L 12 §: n mukaiset poikkeusperusteet arkaluonteisten tietojen käsittelyyn ovat olemassa. - Käytännössä tämä tarkoittaa rekisteröidyn nimenomaista suostumusta. Suostumus tarvitaan aina, kun sukututkimukseen on tarkoitus sisällyttää edellä mainittuja 18 §: n 1 momentissa lueteltuja henkilötietoja laajemmat tiedot. - Sukututkimuksella ei saa loukata rekisteröidyn yksityisyyden suojaa. - - Tällä tarkoitetaan sitä, että maininnat adoptioista tai muista yleisen elämänkokemuksen nojalla henkilökohtaisiksi koetuista aiheista tulee jättää arkistoihin, jollei nimenomaista suostumusta asianosaisilta voida hankkia.

- Henkilötunnusta ei tule koskaan käyttää itse sukututkimuksessa, koska tutkimuksesta yleensä luovutetaan kappale kaikille sukututkimukseen osallistuneille. ------- Henkilötunnuksen käsittely ei ole tässä mielessä henkilötietolain mukaista. - Henkilötietolain 24 §: ään viitaten TSV katsoo, että sukututkimuksen tekijän pitää ilmoittaa elossa oleville suvun jäsenille tutkimuksestaan, tutkimukseen otettavista tiedoista, kuinka laajasti sukututkimusta tullaan luovuttamaan suvun jäsenille ja mahdollisesti ulkopuolisille sekä painetaanko tutkimus kirjaksi, joka on kaikkien ostettavissa. - Samalla tulisi ilmoittaa rekisteröidyn kielto-oikeudesta.

Saako viranomainen laittaa henkilötietoja esille internetin verkkosivuilleen? - Lähtökohtaisesti ei ilman asianomaisen suostumusta!!!! - Taustalla em. Heti. L: n säännökset käyttötarkoitussidonnaisuudesta ja suunnitelmallisuudesta. - - Se, miten henkilötietoja käsitellään ja mihin niitä luovutetaan, tulee määritellä ennen tietojen keräämistä ja henkilörekisteriksi muodostamista. - Yleensä henkilötietojen levittäminen internetissä ei vastaa alun perin suunniteltua käyttötarkoitusta!!!! - Laitettaessa henkilötietoja internetiin ei voida enää valvoa sitä, mihin tiedot jatkossa mahdollisesti joutuvat ja kuinka niitä käytetään.

4) Huolellisuus - Neljäs keskeinen henkilörekisterinpitäjää velvoittava periaate on huolellisuusvelvollisuus. - Se liittyy hyvään tietojenkäsittelytapaan ja velvoittaa meidät toimimaan huolellisesti yksityisyyttä ja muita perusoikeuksia kunnioittaen. Heti. L 5 § Huolellisuusvelvoite Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

- Henkilötietoja on käsiteltävä niin, että huolellinen henkilötietojen käsittelijä varoo avoimissa tulkintatilanteissa toimimasta yksityisyyttä loukkaavalla tavalla. - Esimerkiksi pohdittaessa tarpeellisten tietojen määrää huolellisuusvelvoite ohjaa ensisijaisesti minimoimaan käsiteltävien tietojen määrän rekisteröitävien yksityisyyden ja muiden perusoikeuksien suojaamiseksi. - Huolellisuusvelvoite on laissa nimenomaisesti ulotettu myös toimeksiantosuhteeseen, mikä on tärkeää tietojenkäsittelyalalla yleisen ulkoistamisen suhteen.

5) Laatu - Laatuperiaate liittyy ensinnäkin siihen, että käsiteltävän informaation/tiedon laadusta on säädettävä laissa. - Toiseksi laatuperiaate merkitsee vaatimusta informaation tilannekohtaisesta oikeellisuudesta huolehtimisesta sekä oma-aloitteisesti että asianomaisen henkilön eli rekisteröidyn vaatimuksesta. - Kolmanneksi tietojen oikeellisuus ja laatu liittyy siihen, että jokaisella on oikeus tulla arvioiduksi oikeassa valossa eli virheettömän ja ajantasaisen tiedon perusteella.

6) Tiedottamis- ja tiedonantovelvollisuus - Henkilötietolain lähtökohtaisena periaatteena on rekisterinpitäjien ilmoittamisvelvollisuus. - Rekisterinpitäjän on pääsääntöisesti ilmoitettava rekisterinpidosta ja henkilötietojen käsittelystä rekisteröidylle, jos tämä ei siitä muutoin tiedä. - Samoin tietojen luovuttamisesta on eräissä tapauksissa tiedotettava. - Ilmoittamisvelvollisuus ei ole kuitenkaan kaiken kattava!! - Siitä voidaan poiketa joko a) tietojen laadun vuoksi (esim. rikosten selvittämiseksi) tai b) tarkoituksenmukaisuusperustein kerättäessä tietoja muilta kuin rekisteröidyiltä. - Jälkimmäisessä tapauksessa kohtuuton haitta tai vaiva antavat oikeutuksen ilmoittamatta jättämiseen silloin, kun kysymyksessä ei ole rekisteröityä koskeva päätöksenteko. – Poikkeuksista voidaan säätää myös erikseen laissa.

Heti. L 24 § Informointi tietojen käsittelystä Rekisterinpitäjän on henkilötietoja kerätessään huolehdittava siitä, että rekisteröity voi saada tiedon rekisterinpitäjästä ja tarvittaessa tämän edustajasta, henkilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja säännönmukaisesti luovutetaan, samoin kuin ne tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä. Tiedot on annettava henkilötietoja kerättäessä ja talletettaessa tai, jos tiedot hankitaan muualta kuin rekisteröidyltä itseltään ja tietoja on tarkoitus luovuttaa, viimeistään silloin kun tietoja ensi kerran luovutetaan. Huom! Poikkeukset 2 momentissa !

7) Ankaran vastuun korvausvelvollisuus - Huolellisuusvelvoitteen vastinparina henkilötietolaissa on erityinen vahingonkorvausvelvollisuus. - Rekisterinpitäjä on velvollinen korvaamaan taloudellisen ja muun vahingon, joka aiheutuu henkilötietojen lainvastaisesta käsittelystä. ---- Kyseessä on poikkeuksellinen ankaran vastuun vahingonkorvausvelvollisuus, joka ei edellytä rekisterinpitäjältä toiminnassaan tahallisuutta tai tuottamuksellisuutta. ------- Jo henkilötietojen lainvastainen käsittely voi johtaa korvausvelvollisuuteen Heti. L 47. 1 § Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Yksilön oikeudet henkilötietolain näkökulmasta: 1) Suostumuksen ensisijaisuus 2) Arkaluonteisten tietojen sekä henkilötunnuksen erityisasema 3) Tarkastus- ja oikaisuoikeus 4) Kielto-oikeus 5) Oikeus tietosuojaviranomaisten palveluihin

1) Suostumuksen ensisijaisuus * Kaikkein keskeisin yksilön oikeuksia ilmaiseva periaate henkilötietojen käsittelyssä on suostumusperiaate. Henkilötietoja on lupa käsitellä vain henkilön itsensä antaman suostumuksen turvin. * Heti. L 8 §: n mukaan henkilötietoja on lupa lähtökohtaisesti käsitellä henkilön yksiselitteisellä suostumuksella, hänen toimeksiannostaan tai hänen elintärkeiden etujensa suojaamiseksi. • Vasta näiden tilanteiden jälkeen seuraavat poikkeukset, josta ensimmäisenä mainitaan sellainen henkilötietojen käsittely, josta on säädetty erikseen laissa. * Suostumuksen korvaa siis ensisijaisesti laki.

* Yhteysvaatimuksen mukaan tietojen käsittely on sallittua, jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan. * Julkisiin tehtäviin eri yhteisöissä ja elinkeinoelämässä liittyvien tietojen käsittelyn vapaampi sallittavuus liittyy yhteiskunnan avoimuuteen. - Kansalaisten on voitava tietää millaiset henkilöt toimivat vastuullisissa tehtävissä. (vrt. hanke terveydenhuollon ammattirekisterin julkistamisesta) * Kun laissa puhutaan yksiselitteisestä suostumuksesta, edellytetään paitsi suostumustahdonilmaisun selkeyttä, myös sen kohdistumista tiettyyn käyttöön. Siten avoimet suostumuslausekkeet eivät yleensä ole hyväksyttäviä.

2) Arkaluonteisten tietojen sekä henkilötunnuksen erityisasema * Arkaluonteiset (sensitiiviset) tiedot muodostavat yksityisyytemme ankarimmin suojatun tiedollisen alueen * Siksi niiden käsittely on lähtökohtaisesti kiellettyä ilman asianomaisen suostumusta tai erityistä lakisääteistä perustetta. * Arkaluonteisten tietojen luettelo henkilötietolaissa (11 §) kuvastaa yleistä eurooppalaista käsitystä siitä, mitkä henkilötiedot eivät kuulu julkisuuteen eivätkä vaihdantaan. * Arkaluonteisia tietoja voidaan luonnehtia tiedoiksi joiden avulla identiteettiämme ja yksilöllisyyttämme voitaisiin helposti käyttää yhdenvertaisuutta loukkaavalla tavalla väärin, mikäli niiden käsittely olisi vapaata. * Uutta työmarkkinajärjestöön kuulumisen arkaluonteisuus!!?

* Arkaluonteisten tietojen käsittely eri tilanteissa on kuitenkin yhteiskunnassa välttämätöntä. * Siksi henkilötietolaissa (12 §) on erikseen lueteltu joukko tehtäviä, joissa muutoin kielletty käsittely on sallittua. * Poikkeukset ulottuvat henkilöiden itsensä julkistamien arkaluonteisten tietojen käsittelystä esim. sosiaali- ja terveydenhuollon viranomaisten oikeuteen saada käsitellä sosiaalihuollon tarvetta ja hoitotyötä koskevia tietoja. * Viime kädessä tietosuojalautakunnalla on rajoitettu oikeus myöntää lupia arkaluonteisten tietojen käsittelyyn. * Myös erityislainsäädäntö kuten rikosrekisterilaki sisältää poikkeussäännöksiä.

Henkilötietolain 11 §: n mukaan arkaluonteisten henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan: 1) rotua tai etnistä alkuperää; 2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista; 3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta; 4) henkilö terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia; 5) henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka 6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia. On huomattava, että lain 12 §: ssä säännellään 13 -kohtainen luettelo poikkeustilanteista, jolloin arkaluonteisten tietojen käsittely voi olla sallittua.

* Henkilötunnus ihmisen tällä hetkellä tärkeimpänä yleisenä tunnistetietona on tietosuojan kannalta poikkeuksellisen tärkeä henkilötieto. * Se on yhä lukuisten eri henkilörekistereiden käytön avainväline ja se antaa mahdollisuuden erilaisten rekisteritietojen yhdistämiseen. * Henkilötietodirektiivi velvoittaa säätämään henkilötunnuksesta laissa. * Henkilötunnuksen kehityksestä 1960 -luvulta lähtien (työeläkenumero, sosiaaliturvatunnus, väestörekisteritunnus…) * Henkilötunnukset eri vuosisadoilla syntyneille + , - , A * Henkilönumerot muissa maissa? ?

* Myös henkilötunnuksen käytön lähtökohtana on henkilön oma yksiselitteinen suostumus. * Henkilötunnuksen käyttö on sallittua Heti. L: n ja muiden lakien ehdoilla. * Henkilötunnuksen käytön tarpeellisuus on aina voitava tapauskohtaisesti perustella. (- ei vain vanhasta tottumuksesta) * Vaikka henkilötunnuksen käsittely sinänsä olisi tarpeellista, sitä rajoittaa olennaisesti ns. tulostesääntö: ----- Henkilötunnus ei pääsääntöisesti saisi olla näkyvillä henkilörekistereistä tulostettavissa tulosteissa.

* Tämä edellyttää joko kehittynyttä dokumenttilogistiikkaa tai sen puuttuessa henkilötunnusten peittämistä tulosteissa. -- Kts. Kuitenkin KKO: 2004: 15 eli tapaus, jossa toimittaja pyysi hovioikeudelta jäljennökset hovioikeuden eräissä rikosasioissa antamista tuomiolauselmineen. Kysymys oli siitä, oliko vastaajien ja asianomistajien henkilötunnusten loppuosat peitettävä. (Äänestysratkaisu) - KKO päätyi ratkaisuun, jossa henkilötunnusten loppuosia ei tarvinnut peittää (kts. Yksityiskohtaisemmat perustelut ratkaisusta, jonka saat www. finlex. fi) - On huomattava, että ratkaisussa viitataan vanhaan oikeudenkäynnin julkisuuslakiin vuodelta 1984. Se on korvattu kahdella uudella säädöksellä 2007.

- Henkilötunnuksen tallettaminen voi olla tärkeää rekisteröidyn yksiselitteiseksi yksilöimiseksi. - Kysymys on tällöin yleensä sekä rekisteröidyn että rekisterinpitäjän oikeusturvasta. - Tieto tarvitaan, jotta eri rekisteröityjen tiedot eivät sekaannu keskenään. - Mikäli muu yksilöintitieto on riittävä, henkilötunnusta ei tule kerätä!!!!!!! - Henkilötunnuksen keräämisen tarve ja vaihtoehtoisten yksilöintitietojen käyttömahdollisuudet tulee selvittää aina jo suunnitteluvaiheessa kaikkien käsittelyvaiheiden varalta.

Heti. L 13 § Henkilötunnuksen käsittely (1 momentti) Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: 1) laissa säädetyn tehtävän suorittamiseksi; 2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai 3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten. jatkuu….

Heti. L 13 § Henkilötunnuksen käsittely (2 -4 momentit) Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-; vuokrausja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä. Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

3) Tarkastus- ja oikaisuoikeus * Meillä on oikeus tarkastaa tietomme ja vaatia tarvittaessa rekisterinpitäjää oikaisemaan virheelliset tiedot. * Kaikki rekisterit eivät kuitenkaan ole tarkastusoikeuden piirissä: esim. maan turvallisuuden, yleisen järjestyksen ylläpidon ja rikostutkinnan rekisterit. * Kun rekisteröity havaitsee jonkun tiedon paikkansa pitämättömäksi, tarpeettomaksi, harhaanjohtavaksi tai vanhentuneeksi, hän voi pyytää ja velvoittaa rekisterinpitäjää korjaamaan tiedon. - kieltäytymistilanteessa voi saattaa asian tietosuojavaltuutetulle. - Meillä on oikeus kerran vuodessa maksutta tarkastaa tietomme henkilörekistereistä!!! Maksullisesti useamminkin, mutta maksun tulee olla kohtuullinen, eikä ylittää tiedon antamisesta aiheutuvia kustannuksia.

4) Kielto-oikeus * Kielto-oikeus on ulotettu myös henkilömatrikkeleihin ja sukututkimukseen. * Meillä on oikeus kieltää tietojemme käsittely näihin tarkoituksiin siitä riippumatta, onko kysymyksessä kaupallinen tai kulttuurinen toiminta. * Henkilömatrikkelit, erityisesti eri ammattiryhmien, ovat olleet osa suomalaista kulttuuria ja oikeudesta niiden kokoamiseen on aiemmin ollut kiistaa. * Henkilömatrikkeleista on henkilötietolaissa ohjaavaksi tarkoitettu sallitun sisällön kuvaus 17 §: ssä. * Henkilötietolain 30 §: ssä on puolestaan ns. yleinen kieltosäännös, kts. jäljempänä…. >

Heti. L 17 § Henkilömatrikkelia varten pidettävään henkilörekisteriin saa muilla kuin 8 §: n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa rekisteröidystä ja tämän aviopuolisosta sekä rekisteröidyn lapsista ja vanhemmista rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot, tiedon henkilömatrikkelin perusteena olevasta rekisteröityjä yhdistävästä tekijästä ja tähän liittyvät tiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista. Henkilömatrikkelilla tarkoitetaan julkaisua, jossa rekisteröityjä yhdistävänä tekijänä on tietty ammatti tai koulutus, työ- tai muun yhteisön jäsenyys taikka asema tai saavutukset kulttuurin, urheilun, talouselämän tai muulla yhteiskuntaelämän alalla tai muu näihin rinnastettava seikka. Edellä 1 momentissa tarkoitettua henkilömatrikkelirekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

* Henkilötietolaissa, julkisuuslaissa sekä eräissä erityislaeissa on säännöksiä, joiden perusteella yksilö voi kieltää henkilötietojensa käsittelyn ja luovutuksen tiettyihin tarkoituksiin kuten suoramainontaan, etäkauppaan ja muuhun suoramarkkinointiin sekä markkina- ja mielipidetutkimuksiin (markkinointikielto) * Osa lainkohdista mahdollistaa henkilölle oikeuden kieltää osoitetietojensa luovuttaminen sekä puhelimitse että kirjallisesti muille kuin tietyille viranomaisille (osoitteen luovutuskielto) * Äärimmillään tietojenluovutuskielto tarkoittaa yhteystietojen kuten nimen, puhelinnumeron, osoitteen ja kotikuntatiedon luovutuskieltoa määräajaksi tilanteissa, joissa henkilöllä on perusteltua syytä epäillä oman tai perheensä terveyden tai turvallisuuden olevan uhattu (turvaamiskielto). ---Viimeksi mainittu voi tulla kyseeseen esim. poliisin ja tullin rikos- tai huumetutkijoiden kohdalla.

Edellä mainituista yksilön tiedollista itsemääräämisoikeutta ja yksityiselämän suojaa sekä jopa fyysistä ja psyykkistä turvaa korostavista kieltopykälistä mainittakoon seuraavat: - henkilötietolain (523/1999) 30 § - julkisuuslain (621/1999) 24. 1 §: n 31) kohta - vanhan väestötietolain (507/1993) 25. 4 § ja 25. 5 § ---- ( huom! Tämän korvannut uusi laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista 661/2009, uudet säännökset, voimaan 1. 3. 2010) - ajoneuvoliikennerekisterilain (541/2003) 20 § --- huom! Uusi liikenteen turvallisuusvirasto Trafi 1. 1. 2010 alkaen - sähköisen viestinnän tietosuojalain (516/2004) 25 § --- kumotun lain sisältö siirretty osin Tietoyhteiskuntakaareen (917/2014)!

Heti. L 30 §Kielto-oikeus Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkinaja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.

Tilastoja: Väestötietojärjestelmään oli vuoden 2012 lopussa rekisteröity erilaisia kieltoja seuraavasti (luvut pyöristetty hieman ylöspäin): Suoramarkkinointikielto 273 000 Osoitepalvelukielto 227 000 Henkilömatrikkelikielto 137 000 Sukututkimuskielto 108 500 Turvakielto 12 000 Vuoden 2013 alusta osoitekielto lakkautettiin ja korvattiin kahdella uudella kiellolla: Yhteystietojen luovutuskielto ja Asiakasrekisterin päivityskielto

5) Oikeus tietosuojaviranomaisten palveluihin * Tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi. * Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. * Keskeiset työvälineet ovat tiedonsaanti- ja tarkastusoikeus, joiden avulla TSV voi rekisteröityjä paremmin selvittää yksittäistapauksissa henkilötietojen käsittelyn laillisuuden.

* Tietosuojalautakunnalla oli aiemman henkilörekisterilain mukaan laaja toimivalta poikkeuslupien antamiseen. * Henkilötietolain mukaan tietosuojalautakunnan toimivalta painottuu lainvastaisen henkilötietojen käsittelyn kieltämiseen ja oikaisemiseen sekä lain soveltamisalan kannalta tärkeiden periaatteellisten kysymysten käsittelyyn. * Sen lupatoimivalta puolestaan on nykyään varsin suppea. * Lautakunnan ratkaisuja löydät esim. www. finlex. fi tai www. tietosuoja. fi kautta.

Heti. L 39 § Tietosuojaviranomaisten tiedonsaanti- ja tarkastusoikeus Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Tietosuojalautakunnalla on vastaava oikeus sen käsiteltävissä asioissa. Tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän ja hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettäväkseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet. Kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Tarkastus on toimitettava niin, ettei siitä aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.

Henkilötietolain 7 luvussa säädetään tietoturvallisuudesta ja tietojen säilytyksestä. - Säännökset tarkentavat hyvälle tietojenkäsittelytavalle asetettuja teknisiä ja muita vaatimuksia. 32 § Tietojen suojaaminen 33 § Vaitiolovelvollisuus 34 § Henkilörekisterin hävittäminen 35 § Henkilötietojen siirto arkistoon

Henkilötietolaki 32 § Tietojen suojaaminen Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajan toimii rekisterinpitäjän lukuun, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset sitoumukset ja muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla. (pieni muutos syyskuussa 2007!)

Heti. L 33 § Vaitiolovelvollisuus Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti ilmaista näin saamiaan tietoja. Heti. L 34 § Henkilörekisterin hävittäminen Henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 §: ssä tarkoitetulla tavalla arkistoon. - huom! Ilmenneet väärinkäytökset erityisesti 34 §: n osalta!!!

Heti. L 35 § Henkilötietojen siirto arkistoon Arkistolaitokseen tai siihen verrattavaan arkistoon siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen säädetään. Arkistolaitoksen tai siihen verrattavan arkiston on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä tässä laissa säädetään henkilötietojen käsittelystä ja luovuttamisesta, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

Heti. L 35 § 2 -3 momentit: Henkilörekisteri, joka on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen, voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan laitoksen tai viranomaisen arkistoon, jos kansallisarkisto on antanut siihen luvan. Kansallisarkisto voi antaa yhteisölle, säätiölle ja laitokselle luvan siirtää arkistoonsa omassa toiminnassa syntyneitä henkilörekistereitä, jotka täyttävät edellä mainitut vaatimukset. Kansallisarkiston on päätöksessään määrättävä, miten rekistereiden suojaus on järjestettävä sekä miten henkilötietojen käyttöä on valvottava. Kansallisarkiston on ennen 2 momentissa tarkoitetun luvan antamista varattava tietosuojavaltuutetulle tilaisuus lausunnon antamiseen.

- Yksityisyyden ja henkilötietojen suojan suhdetta sananvapauteen tarkasteltaessa on huomioitava myös korkeimpien oikeusasteiden ratkaisukäytäntö, joka ei oikeusjärjestelmämme mukaan kuitenkaan sido alempia oikeusasteita niiden laatiessa ratkaisujaan. - Erityisesti Korkein oikeus (KKO) on viime vuosina antanut lukuisia keskustelua (ainakin mediassa) herättäneitä ratkaisuja, joilla on haettu rajoja median sananvapaudelle suhteessa yksityiselämän suojaan. KKO 1997: 80 Yksityiselämän suoja, Vahingonkorvaus, Henkinen kärsimys KKO 1997: 81 Yksityiselämän suoja, Vahingonkorvaus, Henkinen kärsimys KKO 2000: 83 Yksityiselämän suoja KKO 2001: 96 Kunnianloukkaus, Yksityiselämän suoja, Vahingonkorvaus KKO 2002: 55 Yksityiselämän suoja (ns. Reinin juttu) KKO 2005: 1 Kunnianloukkaus KKO 2006: 20 Yksityiselämän suoja

* Seuraavaksi esitellään joitain KKO: n ratkaisuja niistä annettujen lyhyiden ratkaisuselosteiden avulla. * Tällöin on huomattava, että KKO: n ratkaisun muodostaa yksinomaan tuomio perusteluineen. * Vuosikirjassa, KKO: n kotisivulla ja finlextietokannassa julkaistavissa päätöksistä laadittu otsikko, ratkaisuseloste ei ole yleensä osa korkeimman oikeuden ratkaisua eikä otsikon tai ratkaisuselosteen sanamuodosta voi tehdä päätelmiä koko ratkaisusta. * Lyhyt ratkaisuseloste voi jopa antaa koko ratkaisusta harhaan johtavan kuvan!!!!!!

KKO 1997: 80 Yksityiselämän suoja, Vahingonkorvaus – Henkinen kärsimys Lehdessä oli julkaistu tuhopolttoja koskeva kirjoitus, jossa oli kerrottu, että syylliseksi epäilty oli paikkakunnan palopäällikön vaimo. Kun palopäälliköllä itsellään ei edes väitetty olleen osuutta tapahtumiin, hänen ja syylliseksi epäillyn aviosuhteen julkistamiselle ei ollut hyväksyttävää perustetta. Lehden kustantaja, päätoimittaja ja jutun kirjoittaja velvoitettiin suorittamaan vahingonkorvausta yksityiselämän loukkaamisesta aiheutuneesta henkisestä kärsimyksestä. - KKO 1997: 81 (Kysymys saman jutun aikaisemmasta julkaisusta toisessa lehdessä)

KKO 2000: 83 Yksityiselämän suoja Television uutislähetyksessä julkistettiin viranomaistietoja Suomessa todettujen sukupuolitautien määrästä ja tartuntalähteistä. Toimittajan mainittua, että tauteja levittävät lähinnä prostituoidut, kuvaruudussa näytettiin stripteasetanssijana esiintyneen A: n mainosvalokuva. Kysymys oli siitä, oliko kuvan esittämistapa aiheen yhteydessä ollut sillä tavoin vihjaileva, että A: n yksityiselämää oli loukattu, ja olivatko televisioyhtiö ja ohjelmasta vastaava päätoimittaja velvollisia suorittamaan A: lle korvausta henkisestä kärsimyksestä. (Ään. )

KKO 2001: 96 Kunnianloukkaus, Yksityiselämän suoja, Vahingonkorvaus Lehdessä olleessa artikkelissa kerrottiin käräjäoikeudessa vireillä olevasta rikosasiasta, jossa A: ta syytettiin muun muassa törkeistä petoksista. Kirjoituksen kuvituksena oli käytetty A: n luvatta eräässä toisessa lehdessä aikaisemmin julkaistua muuta asiaa koskevaa kirjoitusta, jonka tekstistä oli näkynyt A: n nimi, ja sen yhteydessä julkaistua A: n kuvaa, josta A oli tunnistettavissa. Kun kyseisessä rikosjutussa ei ollut kyse asiasta, joka yksittäistapauksena olisi ollut sillä tavoin yhteiskunnallisesti merkittävä, että sitä koskevan artikkelin yhteydessä olisi ollut perusteita luvatta julkaista kuvituksena A: n kaltaisessa asemassa olevan henkilön nimi ja kuva, kysymyksessä oli rikoslain 27 luvun 3 a §: ssä (908/1974) tarkoitettu yksityiselämän loukkaaminen. Artikkelin kirjoittaja, päätoimittaja ja kustantaja velvoitettiin suorittamaan A: lle korvausta henkisestä kärsimyksestä.

Yksityiselämän suojan ja sananvapauden suhteesta käydystä keskustelusta em. KKO: n ratkaisujen johdosta: Keskustelussa on noussut esille mm. kysymyksiä siitä: - Voiko julkisuuslain tai oikeudenkäynnin julkisuuslain (uusittu) perusteella saatavan julkisen tiedon julkaista tiedotusvälineissä? - Onko tieto henkilölle tuomitusta rikoksesta yksityiselämän suojan piirissä ja kuinka pitkälle? Onko rikos yksityiselämää (vrt. Heti. L 11 § ja Julk. L 24 §) -- Mikä on yksityiselämän tai yksityisyyden suojan piiriin kuuluvaa tietoa? - Mikä on yksityiselämän suojan ja tiedollisen itsemääräämisoikeuden välinen suhde esimerkiksi median uutisoinnissa ja henkilöä koskevien tietojen julkaisemisessa? Voiko yksilö päättää, mitä hänestä saa julkaista? - Millaisista rikoksista epäiltyjen tai tuomittujen nimet voidaan julkaista mediassa ja milloin? (vrt. lehtien vallitseva käytäntö ja esim. Bodom-järven juttu) - Missä kulkevat julkisuuden henkilön yksityiselämän suojan rajat? - Ketkä kuuluvat julkisuuden henkilön lähipiiriin?

KANNANOTTOJA ERÄISIIN HENKILÖTIETOLAIN TULKINTAKYSYMYKSIIN

Ensinnäkin on todettava: - Sekä henkilötietolain, julkisuuslain ja erityslakien säännökset eivät ole yksiselitteisiä ja kaikenkattavia. - Erityisaloilla syntyy omia, vaikeitakin tulkintatilanteita, joihin ei välttämättä löydy suoraa vastausta lainsäädännöstä, lain esitöistä tai oikeuskäytännöstä. - Lainsäädännön nuoruus, asiantuntijoiden vähyys, tutkimuksen puute…… - Kaikkiin ongelmatilanteisiin ei voi yksiselitteisesti vastata, tarvittaisiin lisätutkimusta, viranomaisten kannanottoja ja oikeuskäytäntöä. - Kannanottoja ja vastauksia voi pyytää esim Tietosuojavaltuutetun toimistosta (www. tietosuojavaltuutettu. fi), jossa paljon ohjeita ja esitteitä. - Seuraavassa otetaan kantaa joihinkin henkilötietojen käsittelyä koskeviin kysymyksiin.

Moniin ongelmallisiin tulkintatilanteisiin voidaan varautua mm. : * suunnittelemalla mahdollisimman seikkaperäisesti rekisterienpito * laatimalla hyvä rekisteriseloste kuvauksineen * laatimalla esim. jaettava kirjallinen ohje tiedonpyytäjälle tämän oikeuksista ja velvollisuuksista * päättämällä siitä, kuka vastaa mistäkin asiasta rekisterinpidossa * kouluttamalla tietoluovutuksista vastaavat henkilöt - Virastoissa olisi hyvä perustaa oma tietosuoja- ja julkisuustyöryhmä, joka käy läpi kaikki esiintyvät ongelma- ja tulkintatilanteet ja laatii päivitettävän Ohjekirjasen henkilöstölle. - Ohjeistuksen/ Ohjekirjasen laadinnassa kannattaa hyödyntää Tietosuojavaltuutetun toimistoa apuna. Kts. myös esim. TSV: n sivuilta kohdasta Kysyttyä – Kooste tietosuojavaltuutetulta usein kysytyistä asioista sekä Tietosuojalautakunnan ratkaisut www. finlex. fi

Kysymys: Voiko rekisterinpitäjä laittaa ylläpitämäänsä henkilörekisteriin sisältyviä henkilötietoja kotisivuilleen? - Henkilörekisteriin talletettujen henkilötietojen laittaminen internetiin on henkilötietojen sähköistä luovuttamista! - Jos esim. jokin yhdistys julkaisee jäsenrekisterinsä tietoverkossa, yhdistys ei voi varmistua siitä, mihin internetistä tietoja keräävä tulee niitä käyttämään. - Internetissä olevia henkilötietoja voidaan käyttää esim. roskapostituksen osoitelähteenä. - Henkilörekisteriin talletettuja henkilötietoja voi laittaa internetiin vain rekisteröidyn suostumuksella! - Asiasta lisätietoa tietosuojavaltuutetun esitteessä Henkilötietojen luovuttaminen viranomaisten henkilörekistereistä kohdassa 6. 8.

Kysymys: Onko kameravalvonta henkilötietojen käsittelyä? - Tallentavaa kameravalvontaa harjoittavan tulee huomioida toiminnassaan henkilötietolain vaatimukset. - Talletetut kuvat ja ääni ovat henkilötietolaissa tarkoitettuja henkilötietoja, jos luonnollinen henkilö on niistä tunnistettavissa. - Tallentavaa kameravalvonta harjoittava käsittelee henkilötietoja kamerajärjestelmän avulla ja on henkilötietolaissa tarkoitettu rekisterinpitäjä. - Tallenteiden säilytysajalla ei ole merkitystä, tuntikin riittää. - Henkilötietolaissa tarkoitetun henkilörekisterin muodostavat jollekin alustalletetut tiedot. - Jos kameravalvontajärjestelmä ei ole tallentava eikä henkilötietoja muutenkaan kerätä järjestelmän avulla, henkilötietolakia ei sovelleta. - Kts. TSV: n esite Yksityisyyden suoja kameravalvonnassa. - Kts. Tietosuojalautakunnan päätös 25. 2. 2002 1/2002 (Taksien kamerat)

Kysymys: Onko yksittäisellä kansalaisella oikeus nauhoittaa puheluitaan? - Sellaiset puhelut, joihin itse osallistuu joko soittajana tai vastaajana, saa nauhoittaa. - Oman viestinnän taltioiminen on mahdollista Suomen perustuslain mukaan, eikä sitä ole kriminalisoitu myöskään viestinnän suojaa koskevissa rikoslain säännöksissä. - Jos yksittäinen kansalainen nauhoittaa puheluitaan henkilötietojen käsittelyn (esim. keräämisen) tarkoituksessa, sovelletaan henkilötietolakia. - Lain soveltamisala on kuitenkin rajattu niin, ettei lakia sovelleta henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. - Tällainen tarkoitus on esim. puhelinvastaajan käyttäminen kotona.

Kysymys: Kun soitan yritykseen tai viranomaiselle, voidaanko puhelinkeskustelu nauhoittaa? - Jos puhelun nauhoittamisen tarkoituksena on henkilötietojen kerääminen, toiminnassa on huomioitava henkilötietojen käsittelyä koskeva lainsäädäntö. - Nauhoittamiselle ja keräämiselle tulee olla hyväksyttävä peruste. - Henkilötietojen kerääminen ja tallettaminen on mahdollista mm. silloin, kun osapuolten välillä on asiakassuhde tai henkilötietojen käsittely on tarpeen laissa säädetyn tehtävän hoitamiseksi. Henkilötietoja ei kuitenkaan tule käsitellä tarpeettomasti eli siten ei puheluitakaan. - Viranomainenkin voi nauhoittaa puhelun, jos henkilötietojen käsittelylle on peruste. - Viranomaistoiminnassa tallennettu nauhoite on myös julkisuuslaissa tarkoitettu viranomaisen asiakirja. - Viranomaisen asiakirjat ovat pääsäännön mukaan julkisia, jollei asian käsittelyvaiheesta, salassapitoperusteista tai muusta laista johdu.

- Henkilötietolaki edellyttää, että henkilötietojen keräämisestä kuten nauhoittamisesta kerrotaan pääsääntöisesti keskustelukumppanille. - Informoinnin toteuttamistapa jää rekisterinpitäjän harkintaan. - Informointi voi tapahtua joko puhelun alussa tai siitä voidaan kertoa aiemmin esim. siinä sopimuksessa, johon asiakassuhde perustuu. - Asiasta tiedottaminen vain internet-sivuilla ei ole riittävää, koska tieto ei näin välttämättä tavoita kaikkia. - Silloin, kun puheluita nauhoitetaan asiakassuhteen hoitamisen tarkoituksessa, ovat nämä nauhoitteet osa asiakasrekisteriä. - Itseään koskevat nauhoitteet kuuluvat pääsääntöisesti rekisteröidyn (eli asiakkaan) tarkastusoikeuden piiriin. - Määrätyillä toimialoilla, esim. hätäkeskuksissa, säädökset käytännössä velvoittavat nauhoittamaan puhelut.

Kysymys: Voiko yritys käyttää asiakaspuhelunauhoitteita asiakaspalvelun parantamiseen tähtäävissä koulutustarkoituksissa? - Ennen henkilötietojen käsittelyn aloittamista rekisterinpitäjän tulee määritellä tarkoitus, mihin henkilötietoja tullaan käyttämään. - Käsittelyn tarkoitus määrittää sen, mihin esim. nauhoittamisen avulla kerättyjä henkilötietoja tullaan käyttämään. - Käyttötarkoituksen tulee ilmetä rekisteriselosteesta, ja rekisteröityjä tulee informoida niistä henkilötietolain edellyttämällä tavalla. - Asiakastietoja kerätään asiakassuhteen hoitamiseksi.

- Kun rekisterinpitäjä on määritellyt asiakassuhteen hoitoon kuuluvaksi myös esim. hyvän asiakaspalvelun tarjoamisen, asiakaspuhelunauhoitteita on mahdollista käyttää asiakaspalvelun parantamiseen tähtäävässä koulutuksessa. - Tällöin on kuitenkin huomioitava se, kenellä on oikeus esim. kuunnella nauhoitteita ja käsitellä tällä tavalla henkilötietoja. - Henkilötietoja saavat käsitellä vain ne, joilla on siihen työtehtäviensä vuoksi oikeus. - Henkilötietojen käsittelyyn oikeutettujen henkilöiden määritteleminen kuuluu rekisterinpitäjän suunnittelutehtäviin ennen henkilörekisterin perustamista. - ---- Mahdollinen määrittely on esim. sitä, että asiakastietoja saavat käsitellä asiakaspalvelutyössä olevat sekä asiakaspalvelusta vastaavat esimiehet.

- Koulutuksessa, jossa käytetään tunnistettavissa olevien henkilöiden tietoja sisältäviä nauhoitteita, saavat olla läsnä vain ne, joilla on oikeus ko. henkilötietojen käsittelyyn. - Koulutustilaisuuksissa, joissa on läsnä myös sivullisia, tulee käytettävien nauhoitteiden olla niin hyvin anonymisoituja, että niillä esiintyvät henkilöt eivät ole tunnistettavissa. - Kaikki tunnistetiedot tulee siis poistaa ennen nauhoitteiden käyttämistä. - Tunnistetietoja sisältävien nauhojen esittämistä sivullisille arvioidaan henkilötietojen luovuttamisena. - Asiakasrekisteriin kuuluvien puhelunauhoitteiden käyttäminen koulutustarkoituksiin ei saa muuttaa nauhoitteiden säilyttämisaikaa.

Yksityisyyttä ja tietosuojaa käsittelevää juridista kirjallisuutta ja artikkeleita: Mahkonen: Oikeus yksityisyyteen (1997) Lehtonen: Potilaan yksityisyyden suoja (2001) - väitöskirja Saarenpää: Yksityisyys, yksityiselämä, yksilön suoja - yksityisyyden käsitteellistä kuvausta. Teoksessa: Kyösti Holman juhlakirja (2002) Korhonen: Perusrekisterit ja tietosuoja (Edita 2003) - väitöskirja Saarenpää: Yksityisyyden suoja tietämättömyyden yhteiskunnan uteliaisuusympäristössä. Tietosuoja -lehti 1/2004, s. 12 -19. Helopuro - Perttula - Ristola: Sähköisen viestinnän tietosuoja (Talentum 2009) Koskinen – Alapuranen – Heino – Salli: Henkilötietojen käsittely työelämässä. Edita 2005. – uusittu painos 2012. Saarenpää: Henkilö- ja persoonallisuusoikeus. Teoksessa: Niemi Marja-Leena (toim. ) Oikeus tänään. Lapin yliopisto 2015.

Voutilainen T. : Oikeus tietoon. Informaatio-oikeuden perusteet. Edita (2012). Pitkänen O. , Warma E. ja Tiilikka P. : Henkilötietojen suoja. Talentum (2013) Neuvonen R. : Yksityisyyden suoja Suomessa. Lakimiesliiton kustannus (2014) Hoikka M. , Rautiainen P. , ja Neuvonen R. ; Viestintämarkkinaoikeus. Kauppakamari. (2015)

Tietosuojavaltuutetun toimiston verkkosivuilta www. tietosuoja. fi voi tulostaa erilaista ohjausaineistoa kuten oppaita ja lomakkeita: Rekisteröidyille: - Tietosuoja turvaa oikeutesi –esite - Tiedotteet rekisteröidyille –sarja Rekisterinpitäjille: - Ota oppaaksi henkilötietolaki –esite - Asiaa tietosuojasta –sarja - Tietosuojavaltuutetun mallit –sarja - Muiden tahojen laatimia malleja Rekisteröidyille ja rekisterinpitäjille: - Hyvä tietää -sarja

Tietosuojavaltuutetun Asiaa tietosuojasta –sarjassa ovat ilmestyneet mm. : * Työelämän tietosuoja –käsikirja (uusi) * Henkilötietojen luovuttaminen viranomaisten henkilörekistereistä * Salassapidettävien henkilötietojen luovuttaminen henkilörekisteristä viranomaisen luvalla * Kunnat ja henkilötietolaki * Henkilötietolaki ja asiakastietojen käsittely kunnallisessa sosiaalihuollossa.