Rekisteritunnus on henkilötieto

Artikkelin pdf-versio

Positio 2/2018 sisällysluettelo

Kirjoittaja: Katri Isotalo

Kuvassa puutalolähiötä
Uusi tietosuojalaki ryhdistää paikkatietojen käsittelyä kunnissa.
Kuva:
Anteri Aaltonen

"Kiinteistön rekisteritunnuksen mieltäminen henkilötiedoksi ei ole kaikille itsestään selvää”, tietää Kuntaliiton johtava lakimies Ida Sulin.

Henkilötietoa se kuitenkin on, sillä henkilötietoa on kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvä tieto kuten osoite tai auton rekisteritunnus. Tunnistettavuus voi olla suoraa tai epäsuoraa eli vaikkapa puhelinsoitolla selvitettävää. Kun henkilötietoja on useammasta henkilöstä, syntyy henkilörekisteri.

Henkilötiedon määritelmässä ei ole tapahtunut muutoksia, mutta ajankohtaiseksi kysymyksen on tehnyt 25.5.2018 voimaan astunut uusi tietosuojalaki. Sen taustalla on Euroopan unionin yleinen tietosuoja-asetus GDPR (General Data Protection Regulation). Uutta lainsäädäntöä tarvitaan, koska teknologian kehittyminen on tehnyt tietojen jakamisen ja erilaisten tietojen yhdistämisen mahdolliseksi aivan eri tavalla kuin ennen.

Henkilötietojen suoja haasteellista myös kuntalaissa

Henkilötietoja on suojannut Suomessa jo vuodesta 1988 henkilörekisterilaki ja vuodesta 1999 henkilötietolaki. Henkilötietolain korvaava uusi tietosuojalaki ei tuo mullistavia muutoksia rekisterinpitäjille, mutta ryhtiliikettä ainakin paikkatietojen osalta saatetaan tarvita. Viimeistään nyt henkilötietojen, siis myös monien kiinteistöön liittyvien tietojen, käsittelytavat on suunniteltava ja dokumentoitava. Uutta on, että rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta.

Olennainen säännös henkilötietojen luovuttamisesta sisältyy julkisuuslakiin. Sen mukaan yksittäisiä henkilötietoja voidaan tietyin edellytyksin luovuttaa, mutta henkilörekisteriä tai sen osaa luovutettaessa viranomaisen eli rekisterinpitäjän täytyy selvittää, että tietojen vastaanottajalla on peruste kyseisten henkilötietojen käsittelyyn. Viranomaisten välillä peruste tietojen käsittelyyn on harvoin ongelma, mutta tietojen luovuttamisessa esimerkiksi yrityksen käyttöön tilanne on toinen.

Velvoite vastaanottajan käsittelyperusteiden tarkistamiseen säilyy uudessakin laissa, mutta viime metreille jääneessä lakiehdotuksessa käsittelyperusteet ovat Kuntaliiton mielestä julkisuuslakia vaikeaselkoisempia ja riippuvaisia rekisterinpitäjän omista ratkaisuista ja tulkinnoista. Kuntaliitto totesikin huhtikuussa antamassaan lausunnossa, että viranomaisen velvollisuus varmistua luovutuksensaajan oikeudesta käsitellä tietoja muuttuu uudistuksen myötä haastavammaksi.

”Toisin kuin vaikkapa sote-puolella, kiinteistöihin liittyvien tietojen rekisterinpitäjäkään ei ole kaikille aina selvää. Onko se kunta vai Maanmittauslaitos, ja mikä on tietojen luovutusta”, toteaa Ida Sulin.

Kunnissa henkilötietojen julkisuutta jouduttiin pohtimaan jo uuden kuntalain myötä viime kesänä. Kesäkuussa 2017 voimaan tulleen kuntalain mukaan päätökset annetaan tiedoksi pitämällä pöytäkirja nähtävänä yleisessä tietoverkossa. Samaan aikaan pitäisi tietenkin suojata päätöksissä näkyvät henkilötiedot.

Tämä onkin ollut Sulinin mukaan suurempi ongelma kuin uusi tietosuojalaki.

Ongelmana tekninen osaaminen

Tietosuojalain suurimpana haasteena Sulin pitää erityisesti tiedonsiirtoon liittyvää teknistä osaamista. Rekisterinpitäjän on selvitettävä, että sen tietojärjestelmätoimittaja alihankkijoineen käsittelee henkilötietoja oikein. Mutta mistä tiedetään, missä palvelintila sijaitsee ja kuka tietoihin pääsee käsiksi? Suurimmat järjestelmätoimittajat ovatkin lähestyneet asiakkaitaan uusien sopimustekstien kanssa jo hyvissä ajoin. Lisäksi Kuntaliitto on laatinut kunnille malliehdot sopimuksiin, joissa palveluntuottaja käsittelee henkilötietoja tilaajan puolesta.

Myös se vaatii pohdintaa, miten järjestetään henkilön mahdollisuus tarkistaa omat kiinteistöihin liittyvät tietonsa, kun niitä on useissa eri rekistereissä.

Uusi laki velvoittaa rekisterinpitäjän nimeämään tietosuojavastaavan, jonka tehtävä on seurata tietosuojalainsäädännön noudattamista sekä kouluttaa ja neuvoa henkilöstöä. Kunnat olivat nimenneet ennen lain voimaantuloa noin 200 tietosuojavastaavaa, jotka ovat jakaneet tietoa ja hyviä käytäntöjä keskenään.

Olemme olleet holtittomia

EU:n tietosuoja-asetus mahdollistaa jopa kymmenien miljoonien sanktiot lain rikkojille. Niitä ei kuitenkaan olla langettamassa kunnille eikä valtion viranomaisille. Toki viranomainenkin voi joutua vahingonkorvausvastuuseen. Riskinä on myös joutua maksamaan esimerkiksi konsulteille ja tietojärjestelmätoimittajille turhasta, jos ei tiedä, mitä tarvitsee. Tästä tietosuojavaltuutettukin on kuntien paikkatietoasiantuntijoita muistuttanut. Väistämättömiä kustannuksia syntyy tietojärjestelmien ja prosessien kehittämisestä ja koulutuksesta.

Ida Sulinilla on selkeä mielipide suomalaisesta rekisteröinti-innosta: ”Koska Suomella ei ole historiaa rekisterien väärinkäytöstä, meillä on eletty rekisteröinnin kanssa holtittomasti. Rekistereihin kerätään miettimättä asiaa sen enempää todella paljon tietoja henkilökohtaisella tasolla asunnon pohjapiirroksista ja lämmitysmenetelmistä eriryhmiin ja terveystietoihin asti.”

Kustannuksista huolimatta Sulin on tyytyväinen uuden lain tuomaan ryhtiliikkeeseen. ”Kuntalaisten on voitava luottaa siihen, että kunta käsittelee heidän henkilötietojaan turvallisesti.”