Saako henkilötietoja lähettää sähköpostilla salaamattomana?

2008

Asian kuvaus:

Tietosuojavaltuutetulta kysyttiin, onko suomalaisen yrityksen sallittua lähettää yrityksen palveluksessa olevien suomalaisten työntekijöiden ja/tai yrityksen suomalaisten asiakkaiden henkilötietoja, ml. sosiaaliturvatunnus, sähköpostilla salaamattomana.

Tietosuojavaltuutetun vastaus:

Asiassa on kysymys rekisterinpitäjän suojaamisvelvoitteen toteuttamisesta rekisteröityjen henkilötietoja käsiteltäessä.

Henkilötietoja käsiteltäessä on noudatettava, mitä henkilötietolaissa säädetään, jollei muualla laissa toisin säädetä. Henkilötietolakia sovelletaan henkilötietojen automaattiseen käsittelyyn ja myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Suomessa tapahtuvaan henkilötietojen käsittelyyn sovelletaan henkilötietolain säännöksiä. Lakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä. Rekisterinpitäjällä on peruste käsitellä työntekijän ja asiakkaan eli rekisteröidyn henkilötietoja, jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muuhun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus).

Työelämän tietosuojalain 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia työelämässä. Lakia sovelletaan työnantajan ja työntekijän (sekä esim. työnhakijan ja virkamiehen) väliseen suhteeseen. Se, millaisia henkilötietoja työnantaja saa käsitellä, määräytyy työelämän tietosuojalain 3 §:n tarpeellisuusvaatimuksen mukaan. Työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.

Edellä mainitun lisäksi asiassa on otettava huomioon arkaluonteisten henkilötietojen käsittelyä koskevat säännökset. Henkilötietolain 11 §:n mukaan arkaluonteisina tietoina pidetään mm. henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rotua tai etnistä alkuperää, henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista, rikollista tekoa tai rangaistusta, terveydentilaa, sairautta tai vammaisuutta tai häneen kohdistettuja hoitotoimenpiteitä, henkilön seksuaalista suuntautumista tai käyttäytymistä tai henkilön sosiaalihuollon tarvetta, saatuja sosiaalihuollon palveluita tai etuuksia. Arkaluonteisia henkilötietoja saa käsitellä vain henkilötietolain 12 §:ssä säädetyin perustein, esim. rekisteröidyn nimenomaisella suostumuksella tai jos käsittelystä on säädetty laissa.

Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella, tai jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää laissa säädetyn tehtävän suorittamiseksi tai rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, vuokraus- ja lainaustoiminnassa ja luottotietotoiminnassa. Työantajalla on oikeus käsitellä työntekijöidensä henkilötunnusta virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. Rekisterinpitäjän on kuitenkin huolehdittava siitä, että henkilötunnuksia ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Velvollisuudesta suunnitella henkilötietojen käsittely, esim. säännönmukaiset luovutukset, on säädetty lain 6 §:ssä. Lain 7 §:ssä säädetään käyttötarkoitussidonnaisuudesta.

Henkilötietolain 5 § säätää yleisestä huolellisuusvelvoitteesta henkilötietoja käsiteltäessä. Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 32 §:n 1 mom. suojaamisvelvoitteen mukaisesti rekisterinpitäjän tulee toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Pykälän 2 mom. mukaan itsenäisenä elinkeinonharjoittajana rekisterinpitäjän lukuun toimivan on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset sitoumukset ja muutoin riittävät takeet henkilötietojen suojaamisesta 1 mom. tarkoitetulla tavalla.

Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän henkilötietolain vastaisesti sivulliselle ilmaista näin saamiaan tietoja. Rekisterinpitäjän velvollisuus suojata asiakkaidensa ja työntekijöidensä henkilötiedot merkitsee mm. sitä, etteivät sivulliset saa tietoonsa tai esim. pääse katsomaan kyseisiä tietoja. Sivullisia ovat organisaation ulkopuolisten tahojen ohella myös sellaiset kyseisessä organisaatiossa työskentelevät henkilöt, jotka eivät tarvitse kyseessä olevia henkilötietoja työtehtävissään.

Lisäksi rekisterinpitäjällä on velvollisuus kouluttaa henkilökuntansa henkilötietojen lainmukaisen käsittelyn toteuttamiseksi, huolehdittava suojaamisesta tietoverkoissa esim. käyttäjätunnuksin ja salasanoin sekä huolehdittava siitä, että organisaatiossa henkilötietoja käsittelevät henkilöt tietävät ja noudattavat vaitiolovelvollisuutta ja muita henkilötietolain säännöksiä. Suojaamisvelvoitteeseen kuuluu myös fyysisestä tietoturvasta huolehtiminen, mm. ovien lukitseminen sekä henkilötietoja sisältävän manuaalisen aineiston suojaaminen siten, etteivät sivulliset pääse näkemään esim. henkilötunnuksia henkilöstöhallinnollisia tai asiakassuhteeseen liittyviä asioita organisaatiossa hoidettaessa.

Tietosuojavaltuutettu on aikaisemmassa ohjauskäytännössään todennut, että käsiteltäessä henkilörekisteriin kuuluvia henkilötietoja automaattisen tietojenkäsittelyn avulla, esim. lähettämällä sähköpostitse henkilötietoja, tulee edellä mainitut huolellisuus- ja suojaamisvelvoitteet sekä tietoturva ottaa riittävällä tavalla huomioon. Hän on ohjauskäytännössään todennut, että esim. arkaluonteisia tai lain mukaan salassapidettäviä (esim. potilastiedot ja sosiaalihuollon tiedot) henkilötietoja ei tulisi lähettää suojaamattomassa sähköpostiyhteydessä. Ks. Tsv:n opas: Sähköpostin käytöstä sosiaalihuollossa, http://www.tietosuoja.fi/38335.htm.

Henkilötunnuksen osalta asiassa on otettava huomioon niin ikään riittävällä tavalla huolellisuus- ja suojaamisvelvoite sekä kielto tarpeettomasti merkitä henkilötunnusta henkilörekisterin perusteella tulostettaviin ja laadittaviin asiakirjoihin. Sähköpostin osalta kysymykseen tulee myöskin osapuolten tunnistaminen luotettavalla tavalla, sekä sähköpostin lähettäminen ja vastaanottaminen oikeaan osoitteeseen. Lisäksi on kiinnitettävä huomiota verkossa tapahtuvan tiedonsiirron turvallisuuteen.

Henkilötietolain perusteluissa HE 96/1998 (32 §:n yksityiskohtaiset perustelut) todetaan mm. seuraavaa: "Rekisterinpitäjän on toteutettava henkilötietojen suojaaminen laittomalta käsittelyltä, erityisesti silloin, jos käsittely muodostuu tietojen siirtämisestä verkossa. Suojauksen vaatimustasoa arvioitaessa voidaan ottaa huomioon toisaalta suojaukseen käytettävissä olevat tekniset keinot ja niiden aiheuttamat kustannukset. Toisaalta vaadittavaan suojan tasoon vaikuttaa myös se, millaisia henkilötietoja käsitellään. Esim. arkaluonteisia tietoja sisältävän rekisterin suojaamiseen olisi kiinnitettävä erityisen paljon huomiota, samoin tietojen määrään ja ikään.

Salasanajärjestelmän avulla tai vastaavin turvajärjestelyin on varmistettava, että tietoja pääsevät käsittelemään vain ne henkilöt, joilla on siihen oikeus. Tarpeen mukaan on myös luotava menettelytavat, joiden avulla voidaan seurata tietojen käsittelyä, esim. kuka on käsitellyt tietoa ja mitä toimenpiteitä hän on suorittanut. Rekisteri on suojattava niin, että laittomat yritykset päästä jo siihen laitteistoon, jossa henkilötietoja talletetaan ja erityisesti yritykset päästä käsittelemään rekisterin tietoja, aiheuttavat hälytyksen rekisterinpitäjälle. Suojaus on tehtävä niin, että se antaa mahdollisuuksien mukaan tietoa laittoman yrityksen alkuperästä. Tietojen siirto on varmistettava erityisin toimenpitein, esim. siten, että siirto ei aiheuta muutoksia tietojen sisällössä ja että tietoja
ei häviä siirron yhteydessä."

Mikäli henkilötunnusta on tarkoitus käsitellä, suositeltavaa on joko salatun sähköpostin käyttäminen tai esim. rekisteröidyn suostumuksen hankkiminen, jonka yhteydessä on riittävällä tavalla informoitu sähköpostin tietoturvallisuuden tasosta, esim. ettei sähköpostia ole suojattu. Mikäli asiakas haluaa asiakassuhdettaan hoidettavan sähköpostitse, ei minulla ole huomauttamista tällaisesta menettelystä.

Tietosuojavaltuutettu kiinnitti lisäksi yleisellä tasolla huomiota siihen, että rekisterinpitäjä vastaa aina toiminnassaan henkilötietojen käsittelyn lainmukaisuudesta. Vahingonkorvausvelvollisuudesta ja mm. suojaamisvelvoitteen laiminlyönnin rangaistavuudesta on säädetty henkilötietolain 47 § ja 48 §:ssä.

Sovelletut säännökset:

Henkilötietolaki 2 § 1 ja 2 mom., 3 § 1 k., 4 §, 5 §, 8 § 5 k., 11 §, 12 §, 13 §, 32 § 1 ja 2 mom., 33 §
Laki yksityisyyden suojasta työelämässä 1 §, 3 §

 
Julkaistu 27.1.2014