Henkilörekistereistä lain kannalta

Esipuhe

Kirjoitin tämän siksi, että henkilörekisterilaista esiintyy suurta tietämättömyyttä ja ennakkoluuloja. En löytänyt mistään sellaista lyhyttä esitystä aiheesta, jonka itse olisin ymmärtänyt, joten tutustuin pitempiin selostuksiin. Olen pyrkinyt niiden pohjalta kirjoittamaan yleisesityksen, joka on tarkoitettu ennen muuta atk-alalla toimiville ihmisille, joille ei ole lainopillisia esitietoja.

Tämä kirjoitus pyrkii lähinnä auttamaan sen hahmottamisessa, milloin atk-järjestelmä saattaa muodostaa henkilörekisterin ja mitä tällöin on eri tilanteissa otettava huomioon. Kyse on ennen muuta siitä, milloin laki asettaa erityisiä velvoitteita. Velvoitteiden yksityiskohdat ja soveltaminen lukijan on kussakin tapauksessa selvitettävä muista lähteistä.

Johdanto

Aluksi on syytä todeta, että usein puhutaan tietosuojalaista, vaikka Suomessa ei ole sennimistä lakia. Yleensä silloin tarkoitetaan ainakin ensisijaisesti henkilörekisterilakia, mahdollisesti myös muita yksityisyyden suojaan liittyviä säädöksiä kuten rikoslain (27. luvun) pykäliä yksityiselämän loukkaamisesta. Asiallisesti tietenkin henkilörekisterilaki on osa yksityisyyden suojaa, joka puolestaan on yksi tietosuojan osa-alue. Kummallista kielenkäyttöä ruokkinee se, että on olemassa tietosuojavaltuutettu ja tietosuojalautakunta, joiden tehtäväalue ja toimivalta kuitenkin rajoittuu nimenomaan henkilörekisterilain soveltamiseen.

On melko yleinen käsitys, että henkilörekisterilaki on tarpeeton laki, joka vain hankaloittaa toimintoja, varsinkin atk-pohjaisia. Lisäksi sitä pidetään paitsi käytännössä hankalana myös periaatteellisesti vääränä tiedonsaannin rajoittamisena. Esimerkiksi toimittaja Seija Sartti on kirjoittanut, että maassamme "ylläpidetään tietosuojatoimistoa, jotta kukaan ei saisi kenestäkään mitään tietoja" (referoituna Tietosuoja-lehdessä 1/94, s. 32).

Toisessa ääripäässä on tietosuojaviranomaisten asenne, jonka mukaan esimerkiksi henkilötunnus on "yksityisyyden yleisavain", jonka salassa pitämistä jopa erityisesti vaaditaan. Lisäksi joskus tietosuojaviranomaisten kannanotot yksittäisissä tietojen luovuttamista koskevissa kysymyksissä näyttävät tukevan Sartin väitettä: kielletään sellaisten tietojen luovuttaminen, joissa ei tuntuisi olevan mitään arkaluontoista, tai ainakin siihen vaaditaan byrokraattisesti tietosuojalautakunnan lupa.

Näin arasta aiheesta kirjoitettaessa on syytä kertoa omat lähtökohtansa. Suhtauduin aluksi henkilörekisteriasioihin vähättelevästi, ja käytin sellaistakin ilmaisua, että tietosuoja on tiedoltasuojaamista. Tähän vaikutti osaltaan se, että samantapaiset asenteet ovat yleisiä atk-alalla. Mutta ruvettuani perehtymään henkilörekisterilakiin, sen tavoitteisiin, lähtökohtiin ja soveltamiseen huomaan suhtautuvani varsin eri tavalla. Silti pyrin tarkastelemaan myös tietosuojaviranomaisten kannanottoja kriittisesti.

Henkilörekisterilain tavoitteet

Henkilörekisterilain tavoitteet on eräässä muodossa esitetty itse laissa, aivan sen alussa. Tavoitteena on

ihmisten yksityisyyden suojeleminen
ihmisten etujen ja oikeuksien suojeleminen
valtion turvallisuuden varmistaminen
hyvän rekisteritavan toteuttaminen.

Yksityisyyden suoja lähtee siitä ikivanhasta periaatteesta, että on olemassa toisaalta julkisen toiminnan piiri, toisaalta yksityiselämä. Yksityiselämästä määräämisen pitää olla ihmisen itsensä vallassa, ellei siinä mennä toisten ihmisten yksityiselämän tai yleisen edun alueelle. Tämän vanhan periaatteen merkitys on pikemminkin korostunut kuin vähentynyt.

Tämän periaatteellisen, ihmisoikeuksista lähtevän ajattelun ohella on huomattava, että yksityiselämän suojalla voi olla keskeinen merkitys ihmisen eduille ja oikeuksille. Mitä enemmän muut ihmiset, yhteisöt ja yritykset voivat asiattomasti saada tietoja yksityiselämästäni, sitä enemmän ne voivat rajoittaa toimintamahdollisuuksiani ja häiritä elämääni. Lisäksi etujen saavuttaminen ja säilyttäminen sekä oikeuksien toteuttaminen riippuu nykyaikana ratkaisevasti erilaisissa henkilörekistereissä olevista tiedoista, joten näiden tietojen oikeellisuus on hyvin tärkeää.

Valtion turvallisuus henkilörekisterilain tavoitteena merkitsee lähinnä sitä, että tietojen luovuttamista ulkomaille on syytä erikseen säädellä.

Hyvä rekisteritapa on tietenkin tulkinnanvarainen ja tulkinnaltaan muuttuvakin käsite. Joka tapauksessa se sisältää ainakin velvoitteen huolehtia siitä, että rekisterissä olevat tiedot pitävät paikkansa. Ei ole mitenkään itsestään selvää, että tämä toteutuu; tietojen pitäminen ajan tasalla on tunnetusti yksi atk-järjestelmien suurimpia ongelmia. Toisaalta juuri henkilörekisterissä olevalla virheellisellä tai harhaanjohtavalla tiedolla, esimerkiksi perättömällä tiedolla luottohäiriöstä, vankeusrangaistuksesta, mielisairaudesta tai veriryhmästä, voi olla hyvin vakavia seuraamuksia asianomaiselle.

Mikä on henkilörekisteri?

Henkilörekisterilain mukaan henkilörekisterejä ovat henkilötietoja sisältävät tietojoukot, jos

niitä käsitellään atk:n avulla tai
kyseessä on sellainen luettelo, kortisto tai näihin verrattavalla tavalla järjestetty tietojoukko, josta tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja ilman kohtuuttomia kustannuksia.

Olennaista atk-alan kannalta on se, että henkilötietojoukon käsitteleminen atk:n avulla tekee siitä ilman muuta henkilörekisterin. Toisaalta myös vaikkapa vanhanaikainen pahvikortisto voi aivan hyvin muodostaa henkilörekisterin; edellä mainitun vaatimuksen tietojen löydettävyydestä täyttää esimerkiksi se, että kortit on aakkostettu ihmisen nimen mukaan.

Henkilötietoja ovat sellaiset henkilön tai hänen ominaisuuksiensa tai elinolojensa kuvaukset, jotka voidaan tunnistaa tiettyä yksityistä ihmistä tai hänen perhettään tai vastaavaa koskevaksi. Tätä tulkitaan niin, että pelkästään ihmisen julkista toimintaa koskevat tiedot eivät ole henkilötietoja tässä mielessä, koska ne eivät koske häntä yksityisenä ihmisenä. Toisaalta muotoilu on muutoin laaja-alainen; henkilötietoja ovat esimerkiksi syntymäaika, kotiosoite, silmien väri ja se, onko ihmisellä koira, puhumattakaan sellaisista tiedoista kuin uskontokunta, seksuaalinen käyttäytyminen ja poliittiset mielipiteet. Kyse ei siis suinkaan välttämättä eikä edes yleensä ole sellaisista tiedoista, jotka olisivat erityisen salaisia tai intiimejä.

Laissa oleva henkilörekisterin määritelmä on luonteeltaan sellainen, että siinä tarkoitetaan loogista rekisterikäsitettä. Sellainen tietojoukko, jota siinä tarkoitetaan, voi teknisesti olla toteutettu esimerkiksi yksinkertaisena tiedostona mutta myös tietokantana tai vain tietokoneen keskusmuistissa olevana aineistona taikka joukkona asiallisesti toisiinsa liittyviä tiedostoja tai tietokantoja tms. Henkilörekisteri voi myös olla osa laajempaa järjestelmää, jonka tietoaineisto sisältää paljonkin muita tietoja kuin henkilötietoja; tällöin henkilörekisterilaki soveltuu siihen nimenomaan henkilötietojen osalta.

Se, että on kyse henkilörekisteristä, ei mitenkään automaattisesti aiheuta, että kyse olisi kielletystä tai moraalisesti paheksuttavasta asiasta. Sen sijaan se aiheuttaa sen, että rekisterin pitäjällä on eräitä laista johtuvia erityisiä velvollisuuksia. Nämä velvollisuudet riippuvat rekisterin luonteesta.

Henkilörekisterilain sovellettavuudella on eräitä rajoituksia. Henkilörekisterilaki "ei koske henkilötietojen keräämistä, tallettamista tai käyttöä yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin". Esimerkiksi yksityisen ihmisen omaa käyttöään varten pitämää ystävien ja tuttavien puhelinluetteloa henkilörekisterilaki ei koske, vaikka se koskeekin samanlaisia luetteloita, jos niitä pitää esimerkiksi yhdistys tai yritys. Koska lain tarkoitus on suojata yksityisyyttä, se ei puutu sellaisiin luetteloihin, joita ihmiset pitävät vain yksityistä käyttöään varten - silloinkaan, kun ne sisältävät ehkä arkaluonteisiakin tietoja muista ihmisistä. Toinen poikkeus on se, että ns. toimituksellisia rekistereitä (tiedotusvälineen toimitustyössä käytettäväksi tarkoitettuja rekistereitä) koskevat vain muutamat henkilörekisterilain säädökset. Lakia ei myöskään sovelleta "henkilörekisteriin, joka sisältää vain tiedotusvälineessä julkaistua aineistoa sellaisenaan".

Perusvelvoitteet: "hyvä rekisteritapa"

Laki asettaa henkilörekisterin pitäjälle eräitä perusvelvoitteita, jotka ovat riippumattomia rekisterin luonteesta kuten siitä, sisältääkö rekisteri arkaluonteisia tietoja. Nämä velvoitteet siis koskevat sellaisiakin henkilörekisterejä, joiden pitäminen on ilman muuta luvallista ja aivan normaalia toimintaa.

Yleisvelvoitteena on noudattaa "hyvää rekisteritapaa" ja tukea edellä kuvattuja henkilörekisterilain tavoitteita. Tästä johtuu suoraan, että henkilörekisteriin ei saa tallettaa sellaisia tietoja yksityisistä ihmisistä, jotka eivät ole tarpeen rekisterin tarkoituksen kannalta. Siihen sisältyy myös yleinen huolellisuusvelvoite.

Laissa on toki paljon täsmällisempiäkin velvoitteita. Valitettavasti ne on laissa esitetty melko hajanaisesti. Rekisterinpitäjän yleiset velvollisuudet voidaan lyhyesti esittää seuraavasti:

rekisterin tarkoitus ja normaali käyttö on määriteltävä etukäteen
rekisteristä on laadittava rekisteriseloste, ja se on pidettävä yleisön nähtävissä
rekisterinpitäjän on huolehdittava tietojen oikeellisuudesta
rekisterinpitäjän on huolehdittava rekisterin ja sen tietojen asianmukaisesta suojaamisesta mm. luvatonta käyttöä ja muuttamista vastaan
rekisteröidyllä on oikeus tarkistaa häntä koskevat tiedot
tietojen keräämisessä, tallettamisessa, käyttämisessä ja luovuttamisessa on noudatettava näitä asioita koskevia erillisiä säädöksiä.

Etukäteen, siis ennen tietojen keräämistä tai ennen olemassaolevien tietojen järjestämistä rekisteriksi,

määritellä rekisterin tarkoitus; tämä on tehtävä niin, että siitä ilmenee, millaisten rekisterinpitäjän tehtävien hoitamiseksi rekisteriä pidetään
määritellä, mistä tiedot säännönmukaisesti hankitaan
määritellä, mihin tietoja säännönmukaisesti luovutetaan
laatia rekisteriseloste, josta ilmenee rekisterin tarkoitus ja tietosisältö; tämä velvoite koskee suoranaisesti vain atk:n avulla ylläpidettäviä rekistereitä (mutta on toki suositeltavaa muidenkin osalta).

Rekisteriseloste on siis tehtävä jokaisesta atk:n avulla ylläpidettävästä henkilörekisteristä. Seloste on "pidettävä jokaisen nähtävänä rekisterinpitäjän toimipaikassa". Selosteen sisällöstä on tarkemmin säädetty henkilörekisteriasetuksessa: selosteen tulee sisältää

rekisterinpitäjän nimi, osoite ja puhelinnumero
rekisteriasioita hoitavan henkilön nimi ja puhelinnumero
rekisterin nimi
rekisterin pitämisen peruste ja rekisterin käyttötarkoitus
rekisterin sisältämät tietotyypit.

Viimeksi mainittu lienee tulkittava tietojen sisältöä koskevana eikä atk-teknisenä asiana, siis vastauksena kysymykseen, mitä eri tietoja rekisterissä on kustakin henkilöstä, eikä kysymykseen, miten nämä tiedot on ohjelmointiteknisesti koodattu.

Rekisterinpitäjällä on velvollisuus huolehtia siitä, ettei rekisteriin merkitä virheellisiä, epätäydellisiä tai vanhentuneita tietoja. Tähän tietenkin sisältyy velvollisuus korjata ilmoitetut virheet. Rekisterinpitäjällä tulee olla tieto siitä, mistä mikin rekisteriin viety tieto on peräisin; jos tieto tulee muusta kuin alun perin määritellystä säännönmukaisesta tietolähteestä, on erikseen kirjattava, mistä tieto on peräisin.

Jokaisella on oikeus saada tietoonsa, mitä tietoja hänestä on henkilörekisterissä. Nämä tiedot on pääsääntöisesti annettava maksutta. Tarkastusoikeudelle on asetettu eräitä rajoituksia.

Yleiset edellytykset tietojen tallettamiselle

Pääsääntönä on, että henkilörekisteriin saa tallettaa tietoja "vain sellaisista henkilöistä, joilla asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi on asiallinen yhteys rekisterinpitäjän toimintaan". Tästä käytetään nimitystä yhteysvaatimus.

Pääsäännöstä voidaan poiketa, jos

rekisteröitävä antaa suostumuksensa tai
tietosuojalautakunta antaa luvan tai
rekisterin pitäminen johtuu tehtävästä, joka rekisterinpitäjällä on lainsäädännön perusteella, tai
tietoja kerätään
- luottotietotoimintaa tai
- puhelinmyyntiä tai muuta suoramarkkinointia tai
- osoitepalvelua tai
- mielipide- ja markkinatutkimusta tai
- tilastointia tai
- henkilömatrikkelia tai
- sukututkimusta
varten ja toiminnassa noudatetaan asiasta annettuja erityisiä säädöksiä, jotka ovat henkilörekisteriasetuksessa; useissa tapauksissa on tällöin lisäksi tehtävä rekisteristä ilmoitus tietosuojavaltuutetulle.

Muodollisesti poikkeuksena yhteysvaatimuksesta, mutta oikeammin sanottuna kai sen tulkintana, on säädetty, että konserni saa kerätä tietoja siihen kuuluvien yksiköiden asiakkaista ja työntekijöistä.

Rekisteröitävän suostumuksen antamiselle ei ole säädetty muotovaatimuksia. Sen ei siis tarvitse välttämättä olla kirjallinen. Luonnollista on ajatella, että rekisteröidyn nimenomainen toimeksianto sisältää samalla suostumuksen; jostain syystä laissa kuitenkin useissa kohdissa erikseen mainitaan "suostumus tai toimeksianto". Suostumus voidaan antaa myös konkludentisti (implisiittisesti) esimerkiksi siten, että rekisteröitävä itse ilmoittaa tietojaan siinä tarkoituksessa, että ne merkittäisiin rekisteriin. Selvempää olisi kuitenkin se, että sellaisessa yhteydessä olisi täsmällinen kirjoitettu lausuma, joka sisältää suostumuksen; näin erityisesti siksi, että olisi selvää, mihin kaikkeen rekisteröitävä on suostunut. Rekisterinpitäjän kannattaa muutoinkin pyrkiä siihen, että sillä olisi selvä todiste kustakin tarvittavasta suostumuksesta. Missään tapauksessa ei ole hyväksyttävää ajatella, että pelkkä nimenomaisen kiellon puute merkitsisi suostumusta. (Eri asia on, että joistakin tapauksista on erikseen säädetty, että jotakin saa tehdä ilman rekisteröitävän lupaa mutta ei vastoin tämän kieltoa.) Jos rekisteröitävältä pyydetään lupaa eikä tämä vastaa mitään, suostumusta ei ole.

Edellä olevassa luettelossa saattaa yllättää se, että eräät tietojenkeruutarkoitukset on asetettu erikoisasemaan. Onko todella perusteltua esimerkiksi suosia suoramarkkinointia mainitsemalla se perusteena, joka oikeuttaa keräämään tietoja siinä missä tietosuojalautakunnan poikkeuslupakin? Tilanne on kuitenkin se, että tietojen kerääminen kyseessä oleviin tarkoituksiin on varsin tarkoin säädelty henkilörekisteriasetuksessa.

Lain säädös ei esimerkiksi suinkaan ilman muuta oikeuta keräämään tietoja osoitepalvelua varten, vaan toiminnan on tällöin noudatettava henkilörekisteriasetuksen 4 §:ssä asetettuja, varsin rajoittavia ehtoja. Rekisteri saa tällöin sisältää rekisteröitävistä vain seuraavat tiedot: nimi, osoite, puhelinnumero, arvo tai ammatti, ikä, sukupuoli ja äidinkieli. (Tiettävästi ei ole ennakkotapausta siitä, tulkitaanko meiliosoite eli ns. sähköpostiosoite tässä tarkoitetuksi osoitetiedoksi. Koska kyseessä on poikkeussäädös, olisi luonnollista omaksua suppea tulkinta.) - Toisaalta osoitepalvelu voidaan tietenkin perustaa myös kunkin rekisteröitävän erikseen antamaan suostumukseen, jolloin rekisteriin voidaan tallettaa muitakin tietoja.

Arkaluonteiset tiedot

Pääsääntönä on, että "henkilörekisteriin merkittäväksi ei saa kerätä eikä rekisteriin tallettaa arkaluonteisia tietoja". Sellaisia ovat lain mukaan tiedot, jotka on tarkoitettu kuvaamaan

rotua tai etnistä alkuperää
henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta
rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia
henkilön seksuaalista käyttäytymistä taikka
henkilön saamia sosiaalipalveluja, toimeentulotukea, sosiaaliavustuksia ja niihin liittyviä sosiaalihuollon palveluja.

Poikkeuksia tähän kieltoon on useita erityyppisiä. Niitä ovat ensinnäkin samat perusteet, jotka oikeuttavat poikkeamaan yhteysvaatimuksesta:

rekisteröitävä antaa suostumuksensa tai
tietosuojalautakunta antaa luvan tai
rekisterin pitäminen johtuu tehtävästä, joka rekisterinpitäjällä on lainsäädännön perusteella.

Lisäksi on poikkeuksia, jotka koskevat sosiaalihuoltoon, terveydenhuotoon, vakuutustoimintaan ja tieteelliseen tutkimukseen liittyviä tapauksia. Niistä on hyvinkin yksityiskohtaisia säädöksiä, esimerkiksi tutkimusrekistereistä henkilörekisteriasetuksen 1 §:ssä.

Arkaluonteisen tiedon käsite on henkilörekisterilaissa määritelty tyhjentäväksi tarkoitetulla luettelolla. Tämä voi tuntua sikäli omituiselta, että tiedon arkaluonteisuus sanan yleiskielisessä merkityksessä riippuu suuresti mm. tiedon sisällöstä (esim. millaisesta sairaudesta on kyse), tiedon käyttöyhteydestä ja rekisteröitävän omista asenteista. On kuitenkin muistettava, että lain arkaluonteisuuskäsite merkitsee vain tiettyjen erityisrajoitusten soveltamista ja että siitä riippumatta ovat voimassa lain keskeiset periaatteet: kenenkään yksityisyyden suojaa ei saa perusteettomasti loukata, eikä rekisteriin saa tallettaa sellaisia tietoja, jotka eivät ole asiallisesti perusteltuja rekisterille määritellyn käyttötarkoituksen kannalta.

Mihin tietoja saa käyttää ja luovuttaa?

Pääsääntönä on, että henkilörekisterissä olevia tietoja saa käyttää vain siihen tarkoitukseen, joka on määritelty ennen tietojen keräämistä. Tähän on joukko poikkeuksia kuten tilastollinen käyttö rekisterinpitäjän tutkimus- ja suunnittelutoiminnassa.

Rekisterinpitäjällä ei yleensä ole velvollisuutta luovuttaa rekisterissä olevia tietoja, vaan rekisterinpitäjä voi itse päättää luovuttamisesta ja sille asetettavista ehdoista (esim. vaadittavasta maksusta). Toisaalta tätä vapautta rajoittavat eräät henkilörekisterilain säädökset luovuttamisesta.

Tietojen luovuttaminen henkilörekisteristä on sallittua vain, jos jokin seuraavista ehdoista täyttyy:

tiedot luovutetaan rekisteröidyn suostumuksella
luovuttaminen perustuu lakiin tai asetukseen
luovuttaminen "kuuluu tavanomaisena osana sellaisen toiminnan harjoittamiseen" (sanan sellaisen korrelaatti puuttuu lakitekstistäkin) ja rekisteröidyn voidaan olettaa tietävän luovuttamisesta ja kysymys ei ole arkaluonteisista tiedoista
tiedot luovutetaan tieteellistä tutkimusta tai tilastointia varten
tiedot luovutetaan suoramainontaa, puhelinmyyntiä tai muuta suoramarkkinointia tai osoitepalvelua varten ja rekisteri ei sisällä arkaluonteisia tietoja ja rekisteröity ei ole kieltänyt tiedon luovuttamista ja on ilmeistä, että rekisteröity tietää henkilötietojen tällaisesta luovuttamisesta ja luovuttamisessa noudatetaan asiaa koskevia henkilörekisteriasetuksen säädöksiä
kyse on luottotiedon luovuttamisesta luottotietotoimintaa harjoittavalle rekisterinpitäjälle tai sille, joka tarvitsee tietoa luoton myöntämistä tai valvontaa tms. varten
tiedot luovutetaan henkilömatrikkelia tai sukututkimusta varten ja rekisteröity ei ole kieltänyt tietojen luovuttamista.

Tietojen käytöstä ilmoittaminen

Henkilörekisterin käytöstä on ilmoitettava eräissä tapauksissa:

Luottotietojen käytöstä on ilmoitettava rekisteröidylle, jos luoton epääminen tms. johtuu pääasiassa saaduista luottotiedoista. Tälllin on ilmoitettava myös siitä, mistä rekisteristä tiedot ovat peräisin.
Suoramarkkinoinnissa (suoramainoksessa, puhelinmyynnissä tms.) sekä markkinointi- ja mielipidetutkimuksen kyselyssä on ilmoitettava käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän osoite.
Henkilömatrikkelia tai sukututkimusta varten kerättyjen henkilötietojen tallettamisesta on yleensä ilmoitettava rekisteröidylle, ellei tietoja ole kerätty rekisteröidyltä itseltään.

"Massaluovutus" ja "arkaluonteinen otanta"

Henkilörekisterilaissa olevan määritelmän mukaan massaluovutuksena pidetään

koko henkilörekisterin sisällön luovuttamista
"suurehkoa määrää rekisteröityjä" koskevien henkilötietojen luovuttamista
henkilötietojen luovuttamista "automaattiseen tietojenkäsittelyyn soveltuvassa muodossa"
henkilötietojen luovuttamista "siten, että luovutuksensaaja voi käyttää henkilörekisteriä teknisen käyttöyhteyden avulla".

Laissa oleva massaluovutuksen määritelmä ei ole täysin yksiselitteinen, mutta sen luonnollisin tulkinta on sellainen, että yhdenkin edellä mainitun ehdon täyttyminen tekee luovutuksesta massaluovutuksen.

Täten tietojen luovuttaminen tietokoneella luettavassa muodossa on aina massaluovutus laissa tarkoitetussa mielessä. Esimerkiksi tietojen luovuttaminen levykkeellä, magneettinauhalla tai tietoliikenneyhteyden kautta siirrettävänä tiedostona on siis massaluovutus. Tulkinnanvaraisempi on tilanne, jossa tiedot luovutetaan paperilla mutta sellaisessa muodossa, että ne on helppo skannerilla siirtää tietokoneella käsiteltävään muotoon.

Massaluovutuksen pidetään myös tilannetta, jossa rekisterissä olevia tietoja voi hakea "teknisen käyttöyhteyden" avulla. Lakia säädettäessä on ehkä ajateltu suorakäyttöyhteyttä, jossa luovutuksensaaja on suoraan yhteydessä rekisterinpitäjän tietokoneeseen ja tekee siinä olevaan rekisteriin kohdistuvia tiedonhakuja. Luonnollista on ajatella, että esimerkiksi Unix-koneissa kaikilla käyttäjillä on tekninen käyttöyhteys siihen rekisteriin, jonka koneessa oleva vapaasti luettavissa oleva käyttäjäluettelo (/etc/passwd) muodostaa. Lain muotoilu on lisäksi niin väljä, että sen voisi hyvin ajatella tarkoittavan myös esimerkiksi tiedonhakua WWW:llä ja ns. finger-komennon käyttöä.

Laissa määritellään, että arkaluonteisella otannalla tarkoitetaan "sellaista henkilötietoja sisältävää tietojoukkoa, joka valintaperusteidensa ja käyttötarkoituksensa vuoksi on omiaan vaarantamaan rekisteröidyn yksityisyyden suojaa". Tämä on aika erikoinen määritelmä, jossa sanalla otanta siis ei ole tavanomaista tilastotieteellistä merkitystään. Määritelmä on sangen tulkinnanvarainen. Sitä ei pidä sekottaa arkaluonteisen tiedon käsitteeseen! Kyse voi olla arkaluonteisesta otannasta, vaikka mukana ei olisikaan arkaluonteisia tietoja.

Sekä massaluovutusta että arkaluonteista otantaa koskevat seuraavat säännöt:

niissä saa luovuttaa tietoja vain, jos
- rekisteröity on antanut siihen suostumuksensa tai
- kyseessä on luottotietojen luovutus siitä erikseen säädetyllä tavalla tai
- luovutus perustuu lakiin tai asetukseen tai
- luovutukseen on saatu tietosuojalautakunnan lupa
- luovutuksensaajalla on lain mukainen oikeus tallettaa luovutettavat tiedot rekisteriin "eikä henkilötietojen luovutus ja käyttö vaaranna rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan taikka valtion turvallisuutta"; tällöin rekisterinpitäjän on kirjattava luovutustapahtuma (millaisia tietoja, kenelle, mihin tarkoitukseen, milloin), ellei kyse ole rekisterin kuvauksessa selostetusta säännönmukaisesta luovuttamisesta
tietojen luovuttamista ulkomaille on rajoitettu: tietoja saa pääsääntöisesti luovuttaa vain sellaiseen maahan, jonka lainsäädäntö vastaa henkilörekisterilain säädöksiä (tällaisista maista säädetään erikseen asetyksella); muussa tapauksessa tarvitaan rekisteröidyn tai tietosuojalautakunnan lupa
henkilötunnuksen saa luovuttaa vain, jos
- luovutuksensaajalla on se jo käytettävissään tai
- luovutuksensaajalla on oikeus saada se rekisteröidyltä itseltään tai väestörekisteristä tai
- luovutus tapahtuu tieteellistä tutkimusta tai tilastointia tai luottotietotoimintaa varten.

Laissa on myös säädöksiä henkilörekisterien yhdistämisestä, joka on sallittua vain erikseen säädetyissä tapauksissa.

Sähköpostijärjestelmä henkilörekisterinä?

Tietosuojavaltuutetun kannanoton mukaan sähköpostijärjestelmä voi olla henkilörekisteri, jolloin rekisterinpitäjän on noudatettava henkilörekisterilakia. Lähde: Tietosuojavaltuutetun toimiston lehdistötiedote 12.6.1996, otsikolla Sähköpostin käytölle saatava pelisäännöt.

Tämä kannanotto voi aluksi tuntua oudolta. Puhehan ei ole sähköpostin osoiteluetteloista - jotka selvästikin ovat henkilörekistereitä, ellei niitä pidetä vain yksityistä käyttöä varten - vaan sähköpostijärjestelmästä järjestelmänä. Kyse onkin siitä, että tämä järjestelmä voi sisältää ja yleensä sisältääkin tietoja, jotka ovat yhdistettävissä nimettyihin henkilöihin ainakin heidän sähköpostiosoitteidensa kautta.

Esimerkiksi tieto siitä, mihin osoitteisiin minä olen lähettänyt viestejä tiettynä päivänä, on minuun liittyvien tietojen kokoelma ja sellaisena henkilötieto. Voidaan tosin kysyä, missä määrin on kyse minun toiminnastani "luonnollisena yksityisenä henkilönä" ja missä määrin julkisesta toiminnastani virkamiehenä tai työntekijänä. (Toisaalta tästä seikasta ja henkilörekisterilaista riippumatta asiaa koskee viestintäsalaisuus, jonka rikkomisesta on säädetty rangaistus rikoslain 38. luvun 3 ja 4 §:ssä.)

Henkilörekisterilain suhde eräisiin muihin lakeihin

Henkilörekisterit ja painovapaus

Henkilörekisterin käytöllä ja tietojen luovutuksella siitä on siis monia rajoituksia. Mutta saako henkilörekisterin sisällön osittain tai kokonaan julkaista kirjana painovapauslain perusteella.

Henkilörekisterilain 1 § 3 mom. oli alun perin seuraava: "Tämä laki ei aiheuta muutosta oikeuteen julkaista painokirjoituksia." Tämä lausuma on maallikolle melko oraakkelimainen, mutta oletettavasti sen tarkoitus oli ratkaista mahdolliset säädösristiriidat henkilörekisterilain ja painovapauslain välillä niin, että jälkimmäinen voittaa.

Myöhemmin, lailla 387/94, on kyseinen säädös kumottu. Sitä vastaa nykyisessä laissa lähinnä seuraava virke: "Oikeudesta julkaista painokirjoituksia säädetään erikseen."

Tilanne ei siis vaikuta kovin selkeältä. Tulkitsisin niin, että henkilörekisterilaki ei mitenkään rajoita painovapauslain sitä periaatetta, että "jokaisella on oikeus viranomaisten ennalta estämättä julkaista painokirjoituksia". Toisaalta julkaiseminen voi täyttää jonkin rikoksen tunnusmerkistön, esim. kunnianloukkaus, liikesalaisuuden loukkaus tai tekijänoikeuden loukkaus. Henkilörekisterilaistakin saattaa johtua tällaisia tilanteita. Luonnollista olisi ajatella, että henkilörekisterin sisällön julkaiseminen kirjana on luonteeltaan tietojen massaluovutus ja siis laillista vain silloin, kun massaluovutus on sallittua. Painovapauslaki sisältää ennakkosensuurin kiellon; kirjoituksen saa siis ilman ennakkotarkastusta julkaista, mutta tämä ei mitenkään estä oikeuslaitosta jälkikäteen tutkimatta julkaisemisen laillisuutta.

Henkilörekisterit ja asiakirjajulkisuus

Henkilörekisterilaki ja asiakirjajulkisuuslaki (viralliselta nimeltään laki yleisten asiakirjojen julkisuudesta) ovat jossain mielessä hyvinkin vastakkaisia lähtökohdiltaan: edellinen lähtee yksityisyyden suojan tarpeesta, jälkimmäinen julkisuuden tarpeesta. Ristiriidat näiden välillä ovat hyvinkin mahdollisia. Silloin joudutaan sovittamaan yhteen kaksi tärkeää periaatetta tai tekemään valinta niiden välillä.

Lainsäätäjä on joiltakin osin ratkaissut edellä mainittuja ongelmia asiakirjajulkisuuslain 18 a §:ssä. Se kuitenkin koskee vain tietojen luovuttamista "teknisestä tallenteesta" massaluovutuksena tai arkaluonteisena otantana.

Henkilörekisterit ja tekijänoikeus

Henkilörekisterilaissa ei käsitellä tekijänoikeuskysymyksiä. Sen sijaan voidaan tekijänoikeuslain perusteella todeta, että henkilörekisteri voi olla teos ja siten saada tekijänoikeuden suojan. Paljon tavallisempaa on, että henkilörekisteri ei ylitä ns. teoskynnystä mutta saa ns. luettelosuojan. Tästä seuraa esimerkiksi se, että vaikka henkilörekisterin sisältö olisi pantu julkisesti nähtäville (esim. kirjaan tai World Wide Webiin), siitä ei yleensä saa tehdä kopiota ilman rekisterin kokoajan lupaa.

Eräitä avoimia kysymyksiä

Seuraavassa on eräitä henkilörekistereihin liittyviä kysymyksiä, jotka ovat minulle epäselviä:

Henkilörekisterilaki tuntuu lähtevän sellaisesta ajattelusta, että yrityksessä tai laitoksessa ylläpidetystä rekisteristä vastaa (ja lain tarkoittamassa mielessä rekisterinpitäjänä toimii) itse yritys tai laitos oikeushenkilönä. Miten on suhtauduttava niihin käytännössä epäilemättä esiintyviin tilanteisiin, joissa henkilörekistereitä luodaan ilman yrityksen tai laitoksen ylimmän johdon päätöstä tai lupaa?
Miten laki suhtautuu sellaiseen rekisteriin, jossa olevia tietoja rekisteröitävät itse ylläpitävät? Ovatko ne laillisia ja kuka on rekisterinpitäjä? Esimerkkinä tällaisesta rekisteristä voisi mainita tietokoneen käyttäjätietokannan, johon koneen ylläpito vie uusien käyttäjien tiedot mutta jossa olevia tietoja käyttäjät itse voivat muuttaa.
Henkilörekisteri on määritelty tietynlaiseksi henkilötietoja sisältäväksi tietojoukoksi. Määritelmään ei sisälly suoranaista viittausta siihen, montako jäsentä joukossa pitää olla. Onko esimerkiksi vain yhden henkilötiedon sisältävä joukko henkilörekisteri?

Lähteet

Lähteinä olen käyttänyt mm.

henkilörekisterilakia ja -asetusta
Timo Konstarin kirjaa Henkilörekisterilaki. Säännökset ja käytäntö, Lakimiesliiton kustannus, 1992
lehteä Tietosuoja, jota julkaisevat tietosuojalautakunta ja tietosuojavaltuutetun toimisto ja jonka kustantaja on Edita
Internetistä löytyviä dokumentteja, joissa käsitellään henkilörekisteriasioita ja joista olen koonnut erillisen luettelon.

Web-linkkejä

World Wide Webistä löytyy mm. seuraavia henkilörekisteriasioihin liittyviä dokumentteja:

Euroopan Unionin tietosuojadirektiivi (95/46/EC)
Henkilörekisterilaki; dokumentissa sanotaan sen perustuvan vuoden 1994 marraskuun tilanteeseen; siinä ei kuitenkaan ole otettu huomioon lakia (387/94) henkilörekisterilain muuttamisesta, joka merkitsi melko paljon muutoksia; huomattakoon myös, että laki 630/95 on aiheuttanut eräitä muutoksia (rikossäädösten muuttaminen rikoslain kokonaisuudistuksen yhteydessä)
Valtionhallinnon tietoturvallisuuden johtoryhmän Internetin käyttö - ja tietoturvallisuussuositukset 1996, erityisesti kohdat 4.3.4 - 4.3.6
Telmo ry:n Tietoverkkotoiminnan pelisäännöt - Hyvä verkkotapa, erityisesti kohta Tietosuoja,
Julkisen hallinnon tietohallinnon neuvottelukunnan julkaisema Johtajan tietoturvallisuusopas
Valtiovarainministeriön yleisohje tarpeettomiksi tulleiden tietoaineistojen hävittämisestä

Jukka Korpela, Jukka.Korpela@hut.fi
14.11.1996