Henkilötietojen käyttäminen tietojärjestelmien testaamisessa

Dnro 2802/41/2013

Asia:

A on pyytänyt ohjausta ja neuvontaa henkilötietojen käyttämisestä tietojärjestelmien testaamisessa. A kysyi, voiko B käyttää järjestelmien testaamisessa arvo-osuusrekisterin todellisia tietoja, jotka sisältävät henkilötietoja.

Tietosuojavaltuutetun ohjaus:

Arvioitaessa kysymystä siitä, voidaanko esimerkiksi arvo-osuusrekisterin henkilötietoja käyttää järjestelmien testaamisessa ja jos voidaan, niin millä edellytyksillä testaamista voidaan tehdä, tulee huomioitavaksi erityisesti henkilötietolaissa säädetyt henkilötietojen käsittelyä koskevat yleiset periaatteet. Huomiota tulee kiinnittää myös tietojen suojaamisvelvoitteeseen.

Henkilötietolain 5 §:ssä säädetyn huolellisuusvelvoitteen mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

Henkilötietolain 6 §:n suunnitteluvelvoitteen mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se mistä henkilötiedot säännönmukaisesti hankitaan ja mihin tietoja säännönmukaisesti luovutetaan on määriteltävä ennen henkilötietojen keräämistä.

Lain 7 §:n käyttötarkoitussidonnaisuutta koskevan säännöksen mukaan henkilötietoja saa käsitellä vain tavalla, joka ei ole yhteensopimatonta määritellyn henkilötietojen käsittelyn tarkoituksen kannalta.

Henkilötietojen käsittelyn edellytyksistä on säädetty henkilötietolain 8 §:ssä. Henkilötietoja voidaan käsitellä mm. rekisteröidyn suostumuksella, laissa säädetyllä perusteella ja asiakas tai palvelusuhteen tai muun näihin verrattavan suhteen perusteella. Jos yritys käsittelee henkilötietoja esimerkiksi järjestelmien testaamisessa tulee toiminnalle olla hyväksyttävä peruste. Todettakoon, ettei laissa säädetyistä henkilötietojen käsittelyn edellytyksistä löydy nimenomaista perustetta käsitellä henkilötietoja järjestelmien testaustarkoituksessa.

Tämä käytännössä tarkoittaa sitä, että jos esim. arvo-osuusrekisterin oikeita henkilötietoja käsitellään testaamistarkoituksessa, tulee sen olla asiallisesti perusteltua tietojen käsittelyn käyttötarkoituksen kannalta, koska henkilötietojen käsittelyn tarkoitus määrittää sen mihin ja millä tavalla henkilötietoja voidaan käyttää. Henkilötietojen käsittelyn tarkoitus tulisi käydä ilmi myös mm. rekisteriselosteesta ja rekisteröityjen tulisi olla informoituja tietojen käyttötarkoituksesta.

Kun tietojärjestelmiä testataan, tulee huomioida erityisesti henkilötietolain 9.1 §:n tarpeellisuusvaatimus. Sen mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn kannalta tarpeellisia. Jos jokin toiminto on mahdollista toteuttaa muulla tavoin kuin henkilötietoja käsittelemällä, ei voida katsoa, että henkilötietojen käsittely olisi henkilötietolaissa tarkoitetulla tavalla tarpeellista ja asianmukaisesti perusteltua rekisterinpitäjän toiminnan kannalta. Jos järjestelmän testaaminen on mahdollista ilman henkilötietojen käsittelyä, niin tällaista käsittelyä ei voida pitää rekisterinpitäjän toiminnan kannalta asiallisesti perusteltuna. On huomioitava, ettei edes rekisteröidyn suostumus syrjäytä laissa säädettyä tarpeellisuusvaatimusta.

Tietosuojavaltuutetun käsityksen mukaan järjestelmien testaaminen tapahtuu usein eri toimintaympäristössä ja tietojen alkuperäisestä käyttötarkoituksesta poikkeavassa intressissä. Tietosuojavaltuutetun käsityksen mukaan järjestelmien testaaminen voidaankin pääsääntöisesti suorittaa erillisellä testaustarkoitukseen luodulla testiaineistolla, joten oikeiden henkilötietojen käsittely tässä tarkoituksessa ei lähtökohtaisesti ole tarpeellista eikä siten myöskään asiallisesti perusteltua.

Voidaan kuitenkin todeta, että henkilötietojen huolellinen ja tietoturvallinen käsittely edellyttää luonnollisesti myös sitä, että ne tietojärjestelmät, joissa henkilötietoja käsitellään esim. asiakassuhteen hoidon tarkoituksessa, toimivat asianmukaisesti. Järjestelmien toimimattomuus voi tietyissä tilanteissa johtaa myös virheellisten henkilötietojen käsittelyyn, mikä olisi puolestaan henkilötietolain 9.2 §:ssä säädetyn tietojen virheettömyysvaatimuksen vastaista. Näin ollen erityisesti tietojärjestelmien testaamisen loppuvaiheessa, järjestelmien testaaminen saattaa olla perusteltua myös oikeilla henkilötiedoilla.

Niissä tilanteissa kun henkilötietojen käsittely on asiallisesti perusteltua järjestelmien testaamisessa, tulee huomiota erityisesti kiinnittää rekisterinpitäjälle säädettyyn tietojen suojaamisvelvoitteeseen. Lain 32 §:n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Tietosuojavaltuutetun toimisto ei ole antanut tämän yksityiskohtaisempia ohjeita tietojen suojaamisesta. Tietojen suojaamissuosituksista voi hakea lisätietoa esim. Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI:n voimassa olevista tietoturvaohjeista.

Johtopäätökset:

Tietosuojavaltuutetun käsityksen mukaan tietojärjestelmien testaus tulisi lähtökohtaisesti suorittaa erillisellä testausta varten luodulla testiaineistolla. Jos kuitenkin järjestelmän kehittäminen ja sen toimivuus perustellusti edellyttää oikeiden henkilötietojen käyttämistä järjestelmän testauksessa ja tietojen käsittelyn voidaan katsoa olevan asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta, tulisi testaus suorittaa testauksen loppuvaiheessa vain minimimäärällä tietoa, eli vain niillä henkilötiedoilla, joidenka voidaan katsoa olevan tarpeellisia tässä tarkoituksessa. Toiminnan riskit yksityisyyden suojalle tulee minimoida riittävästä tietoturvasta huolehtimalla.

 
Julkaistu 20.8.2014