Henkilötietojen poistaminen viranomaisten henkilörekistereistä ja tietojen arkistointi

Dnro 1487/05/2013

Asian kuvaus

Tietosuojavaltuutetun toimistoon saatettiin vireille asia, joka koski henkilörekisteritietojen poistamista viranomaisten tietojärjestelmistä rekisterilakien nojalla. Tietosuojavaltuutetulta pyydettiin yleistä kannanottoa siitä, tarkoittavatko rekisterilakien määräykset tietojen poistamista rekistereistä sitä, että tiedot on hävitettävä tietojärjestelmistä? Vai voidaanko rekisterilakien määräykset tulkita niin, että tiedot on poistettava viranomaisen operatiivisesta tietojärjestelmästä, mutta ne voidaan siirtää passiivitietojärjestelmään ja säilyttää arkistolaitoksen määräyksillä pysyvästi niissä tapauksissa, joissa rekisteritiedoilla tai osalla niistä todetaan huomattava tutkimusarvo?

Tietosuojavaltuutetun toimivalta

Henkilötietolain (523/1999) 38 §:n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Henkilötietolain 40 §:n 1 momentin mukaan tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava syytteeseen panoa varten.

Tietosuojavaltuutetun kannanotto

Henkilötietojen käsittelyä koskeva lainsäädäntö

Yksityiselämän suoja on perusoikeus. Suomen perustuslain 10 §:n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta ja hallintovaliokunta ovat lausunnoissaan ottaneet kantaneet siihen, minkälaisista henkilötietojen käsittelyyn liittyvistä asioista tulee säätää lain tasolla.

Eduskunnan perustuslakivaliokunta on lausunnoissaan (mm. PeVL 35/2008 vp), todennut, että henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla.

Henkilötietolain soveltamisalasta

Henkilötietolain 2 §:n 2 momentin mukaan "Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa."

Henkilötietolain 3 §:n 1 momentin mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. Olennaista henkilörekisterin muodostumisen kannalta on sama käyttötarkoitus. Eri lähteistä kerättävät henkilötiedot kuuluvat samaan loogiseen rekisteriin, vaikka ne kerätään eri lähteistä ja niitä käsittelisivät eri tahot, jos käyttötarkoitus on sama. Henkilörekisteristä tulee laatia muun muassa henkilötietolain 10 §:n mukainen rekisteriseloste.

On syytä tunnistaa, että henkilörekisteri ja vireille saatetussa kysymyksessä mainittu tietojärjestelmä ovat kaksi eri asiaa. Tietojärjestelmä on käsitteenä laaja-alaisempi kuin henkilötietolaissa määritelty henkilörekisteri. Henkilörekisteri voi kuitenkin olla osa tietojärjestelmää. Se, että jokin henkilöä koskeva tieto on tietojärjestelmässä, ei kuitenkaan tarkoita välttämättä sitä, että tieto on osa henkilörekisteriä tai kuuluisi muutoin henkilötietolain soveltamisalaan.

Henkilötietolaki koskee henkilötietolain soveltamisalaan kuuluvaa henkilötietojen käsittelyä. Se, mitä henkilötietoja henkilörekisteriin voi tallettaa, määräytyy henkilötietolain periaatteiden mukaan ja silloin, kun henkilörekisteristä säädetään erityislaissa, henkilötietolain ohella erityislaissa määritettyjen reunaehtojen mukaan. Arkistolain säännökset koskevat puolestaan arkistolain 6 §:ssä tarkoitettuja arkistonmuodostajalle saapuneita asiakirjoja. Arkistolain säännökset ja arkistolain nojalla arkistonmuodostussuunnitelmassa määritetyt säilytysajat soveltuvat käsitykseni mukaan siinä määriteltyihin asiakirjoihin, riippumatta siitä, sisältävätkö ne henkilötietoja vai eivät. Se, mitä tietoja saapuneista asiakirjoista puolestaan sisällytetään henkilörekisteriin tai se, liitetäänkö tietty asiakirja osaksi henkilörekisteriä, riippuu siitä, kuinka henkilörekisterin käyttötarkoitus ja tietosisältö on määritetty laissa tai muutoin henkilötietolain säännösten nojalla.

Henkilötietojen käsittelystä ja arkistoinnista

Henkilötietojen käsittely on suunniteltava henkilötietolain 6 §:n mukaisesti. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. Henkilötietojen käsittelylle tulee aina olla laissa säädetty käsittelyperuste (Henkilötietolain 8 §, 12 §; ja 4 luku). Henkilötietolain 9 §:n mukaisesti käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on myös huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolaki on henkilötietojen käsittelyä koskeva yleislaki, jota sovelletaan lain 2 §:n mukaan, ellei jossain muussa laissa ole toisin säädetty. Jos erityisiä säännöksiä tai määräyksiä henkilötietojen säilyttämisestä ei ole, rekisterinpitäjän on arvioitava henkilötietojen säilytystarvetta muun muassa lainmukaista käsittelyperustetta sekä henkilötietolain 9 §:n mukaista tarpeellisuus- ja virheettömyysvaatimusta vasten. Tarvittaessa "Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan."(Henkilötietolaki 29 §)

Viranomaisten osalta menettelytavat asiakirjojen säilyttämisajan määrittelemiseksi on säädetty arkistolaissa, joka on erityislaki suhteessa henkilötietolakiin (kts. henkilötietolain 35 §). Asiakirjojen säilytysaikoja määriteltäessä tulee kuitenkin huomioida myös muista laeista, mukaan lukien henkilötietolaista, tulevat vaatimukset. Arkistolain 8 §:n mukaisesti "Arkistonmuodostajan on määrättävä tehtävien hoidon tuloksena kertyvien asiakirjojen säilytysajat ja -tavat sekä ylläpidettävä niistä arkistonmuodostussuunnitelmaa. Asiakirjojen säilytysaikoja määrättäessä on otettava huomioon, mitä niistä on erikseen säädetty tai määrätty. Arkistolaitos määrää, mitkä asiakirjat tai asiakirjoihin sisältyvät tiedot säilytetään pysyvästi.". Arkistolakia koskevassa hallituksen esityksessä HE 187/1993 todetaan, että "Kukin arkistonmuodostaja tuntee parhaiten asiakirjojen säilytystarpeen virkatehtäviensä hoidon tukena sekä tehtäväaluettaan koskevien säädösten ja määräysten vaikutuksen asiakirjojen säilytystarpeeseen oikeusturvan takaamiseksi. Arkistolaitoksella on puolestaan asiantuntemus määritellä, mitkä asiakirjat ja tiedot tulisi säilyttää pysyvästi tieteellisen ja muun tutkimuksen tarpeisiin. Tarpeettoman aineiston seulonnan tehostaminen edellyttää, että pysyvästi säilytettävien asiakirjojen määrittely tapahtuu keskitetysti ja yhtenäisten periaatteiden mukaisesti, ja että viranomaiset säilyttävät pysyvästi vain arkistolaitoksen määräämät asiakirjat ja huolehtivat tehokkaasti muun aineiston hävittämisestä." Arkistolain 13 §:n mukaan "Asiakirjat, joita ei ole määrätty pysyvästi säilytettäviksi tulee hävittää niille määrätyn säilytysajan jälkeen siten, että tietosuoja on varmistettu."

Eri viranomaisten ylläpitämiin henkilörekistereihin sisältyvien tietojen säilytysajoista määrätään usein asianomaista henkilörekisteriä koskevassa laissa. Kun viranomainen rekisterinpitäjänä määrittelee arkistonmuodostussuunnitelmassa henkilörekisteriin sisältyvien tietojen ja henkilörekistereihin mahdollisesti sisältyvien asiakirjojen säilytysaikaa, tulee arkistonmuodostussuunnitelmaan määritettävässä säilytysajassa huomioida henkilötietojen poistamista koskeva erityislainsäädäntö sekä varmistaa, ettei tietoja säilytetä henkilörekisterissä pidempää, kuin laissa on säädetty. Tämä ei tietosuojavaltuutetun käsityksen mukaan kuitenkaan kavenna arkistolaitoksen laissa säädettyä määräysvaltaa.

Tiedon elinkaari

"Opas säilytysaikojen määrittelyn periaatteista" (Arkistolaitos 2010) mukaan asiakirjatiedon elinkaari jaetaan aktiivivaiheeseen, passiivivaiheeseen ja historialliseen vaiheeseen. Aineiston säilytys voi olla joko pysyvää (historiallinen vaihe) tai määräaikaista (aktiivinen ja passiivinen vaihe). Pysyvä säilytysvaihe tarkoittaa arkistolaitoksen pysyvästi säilytettäväksi määräämän aineiston säilytystä päätearkistossa tai tietojärjestelmässä, jonka arkistolaitos on hyväksynyt tällaisten tietojen säilytyspaikaksi. Elinkaaren aktiivivaiheessa tietoa käytetään päivittäisessä toiminnassa, jolloin esimerkiksi asiakkaan ja organisaation välinen asiakassuhde on voimassa. Elinkaaren passiivivaiheessa tietoa ei enää käytetä hyväksi organisaation operatiivisessa toiminnassa. Passiivivaiheessa olevien tietojen käyttöoikeudet täytyy rajoittaa siten, että ne ovat käyttöön saatavissa vain asiakirjahallinnon vastuuhenkilöiden kautta."

Tietosuojavaltuutettu huomautti, että henkilötietolaissa ei ole käsitettä "passiivirekisteri". Tietosuojavaltuutettu on kuitenkin aiemmassa ratkaisukäytännössään katsonut, että edellä mainittuun passiivivaiheeseen siirtynyt tieto tai asiakirja ei enää ole henkilötietolain mukainen henkilörekisteri tai sen osa, jos sen käsittely ei enää ole henkilötietolain 6 §:n mukaisesti asiallisesti perusteltua. Esimerkiksi henkilötietolain mukaisen tarkastus- ja virheenkorjausoikeuden ei pääsääntöisesti ole katsottu ulottuvan sellaisten arkistoon siirrettyjen henkilörekisterien henkilötietoihin, jotka ovat joko niin kutsutussa passiivisessa tai historiallisessa vaiheessa.

Johtopäätös

Vireille saatetussa kysymyksessä viitataan eräisiin erityislakeihin. Tietosuojavaltuutettu ei tässä kannanotossa ota kantaa yksittäisten säännösten osalta, vaan yleisellä tasolla siihen, kuinka henkilötietoja voidaan poistaa henkilörekisteristä. Koska erityissäännöksiä on useita, tulee henkilötietojen poistamisesta seuraavat toimenpiteet arvioida aina tapauskohtaisesti ja varmistaa, että näiltä osin menetellään lainmukaisesti.

Viranomaisen osalta lainsäännökset osoittavat joskus sen, kuinka pitkää jotakin tietoa voidaan säilyttää henkilörekisterissä ja käsitellä laissa säädetyn tehtävän hoitamiseksi. Kun erityislainsäädännössä säädetään henkilötietojen poistoajoista, tulee kyseiset henkilötiedot poistaa henkilörekisteristä lain edellyttämällä tavalla. Vireille saatettuun kysymykseen viitaten tietosuojavaltuutettu totesi, että henkilötieto voidaan poistaa henkilörekisteristä esimerkiksi hävittämällä tai siirtämällä se arkistoon siten, että tieto on joko passiivisessa tai historiallisessa vaiheessa. Tällöin kyseisen tiedon käyttömahdollisuudet kaventuvat Arkistolaitoksen oppaassa mainitulla tavalla. Tietoa voidaan siis säilyttää yhä muualla, kuin henkilörekisterissä ja muussa muodossa, kuten passiiviseen vaiheeseen siirrettynä arkistoitavana asiakirjana.

Mikäli kyseistä tietoa halutaan edellä mainitun arkistoinnin jälkeen käsitellä uudelleen, tulee varmistua siitä, että tälle tietojen käsittelylle on olemassa lainmukainen käsittelyperuste. Jos viranomaisen arkistoon siirrettyjä tietoja luovutetaan, tulee luovutuksen yhteydessä varmistua muun muassa siitä, että viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaiset luovutuksen edellytykset täyttyvät. Jos luovutettavat tiedot ovat henkilötietoja, tulee tietojen vastaanottajalla olla lainmukainen oikeus käsitellä kyseisiä tietoja, jollei erityistä syytä poikkeukseen ole.

 
Julkaistu 19.11.2014