Viranomainen ei saa asiakkaan suostumuksellakaan lähettää salassapidettäviä asiakastietoja suojaamattomassa sähköpostissa

Tietosuojavaltuutetun kannanotto 20.4.2009
Dnro 423/49/2009

Näkövammaisten keskusliitto ry pyysi Helsingin sosiaalivirastoa lähettämään näkö­vammaisille heidän suostumuksellaan heitä koskevat viestit ja päätökset sähköpostitse, jolloin nä­kövammaiset pystyisivät lukemaan ne itse tietokoneeltaan.

Sosiaalivirasto kieltäytyi tietojen lähettämisestä sähköpostitse, koska jo pelkkä tieto sosiaalihuollon asiakkuudesta on salassapidettävä. Yleinen internet-sähköpostijärjes­telmä on suojaamaton, eikä se mahdollista salassapidettävien tietojen lähettämistä. Vi­ranomaisella ei ole mahdollisuutta asioida sähköpostin välityksellä asiakkaan kanssa, vaikka siihen saataisiin asiakkaan nimenomainen suostumus. Sosiaaliviraston käytössä ei ole suojattua sähköpostiyhteyttä tai jotain muuta vahvaa tunnistamista hyväksikäyt­tävää tekniikkaa.

Keskusliitto kanteli asiasta eduskunnan oikeusasiamiehelle, joka pyysi asiasta tieto­suojavaltuutetun lausunnon.

Tietosuojavaltuutetun lausunto

Rekisterinpitäjän on suojattava henkilötiedot mm. riittävin teknisin toimenpitein sivul­lisilta myös niitä sähköpostitse lähetettäessä. Rekisterinpitäjä ei voi poiketa tietojen suojaamisvelvollisuudestaan rekisteröidyn suostumuksella. Tieto sosiaalihuollon asiakkuudesta on salassa pidettävä. Tietojen suojaamisvelvollisuudesta ja salassapito­velvollisuudesta seuraa, että sosiaaliviranomainen voi lähettää asiakkalle viestejä säh­köpostitse vain, mikäli sillä on käytössään shköposti, jossa on riittävän vahva salaus ja osapuolet voidaan tunnistaa. Tavallisessa suojaamattomassa internet-sähköpostissa tiedot eivät ole suojattu sivullisilta. Sitä ei voida käyttää salassa pidettävien tietojen lä­hettämiseen siitäkään huolimatta, että siihen olisi asiakkaan suostumus.

Sähköistä asiointia viranomaistoiminnassa koskevan lain säännöksistä ilmenee, että sähköisiä tiedonsiirtomenetelmiä on tarkoitus käyttää tietoturvallisesti ja salassapito­säännösten ja henkilötietojen käsittelyä koskevia säännösten mukaisesti. Päätösten osalta kyseisessä laissa on erityinen säännös siitä, miten päätös tulee toimittaa asian­osaisen suostumuksella sähköisesti tiedoksi. Viranomainen voi toimittaa asiakkaalle salassa pidettäviä päätöksiä sähköisesti edellä mainitussa laissa kuvatulla tavalla.

Tietosuojavaltuutettu pitää tärkeänä, että kehitetään ja otetaan käyttöön turvallisia säh­köisen asioinnin tapoja, jolloin pystytään noudattamaan sekä tietojen salassapitovel­vollisuutta että suojausvelvollisuutta. Tietosuojavaltuutettu viittasi myös eduskunnan käsiteltävänä olleisiin lakiesityksiin, joiden mukaan Valtiokonttori voi tarjota koko julkiselle hallinnolle sähköisen asioinnin ja hallinnon tukipalveluja (HE 48/2009vp) sekä vahvaa sähköistä tunnistamista ja sähköisiä allekirjoituksia koskevaa lakiesitykseen (HE 36/2009vp). Tietosuojavaltuutettu korosti lopuksi, että viranomaisten pitäisi osa­na tietoyhteiskuntakehitystä kehittää palvelujaan niin, että erityisryhmille tarkoitettuja palveluja voidaan kehittää asiakaslähtöisesti. Sähköpostin käytössä on enemmänkin kyse siitä, miten viranomainen voi tietosuoja ja tietoturva huomioon ottaen tuottaa ky­seiset palvelut turvallisesti.

Sovellettavat säännökset

Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) 14 §
Laki viranomaisten toiminnan julkisuudesta 26 §
Henkilötietolaki (523/1999) 32 §
Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) 1 §, 2 §, 3 §, 5 §, 18 §, 19 §

EDUSKUNNAN OIKEUSASIAMIEHEN VASTAUS

(12.11.2009 704/4/08)
Eduskunnan oikeusasiamies oli samaa mieltä sosiaaliviraston ja tietosuojavaltuutetun kanssa siitä, että rekisterinpitäjä ei voi poiketa henkilötietojen suojaamisvelvollisuu­destaan rekisteröidyn suostumuksella. Oikeusasiamies oli samaa mieltä myös siitä, että salassapitosäännökset ja henkilötietolain mukainen suojaamisvelvoite eivät mah­dollista salassa pidettävien päätös- tai muiden tietojen lähettämistä tavallisessa suojaa­mattomassa Internet-sähköpostissa siitäkään huolimatta, että siihen olisi asiakkaan suostumus. Oikeusasiamies viittasi siihen, että kaupungin tietotekniikkastrategian mu­kaisesti asiakasasioinnin sähköisiä muotoja kehitetään ja sosiaaliviraston tavoitteena, on saada asia ratkaistuksi tulevien vuosien aikana. Eduskunnan oikeusasiamies piti tätä tärkeänä pyrkimyksenä sekä turvallisen ja tehokkaan tietohallinnon että perusoi­keuksien turvaamiseksi.

Edellä mainittujen säännösten lisäksi oikeusasiamies viittasi vastauksessaan seuraaviin säännöksiin: Suomen perustuslain 21 § ja 22 §, Laki sosiaalihuollon asiakkaan ase­masta ja oikeuksista 6 §, Hallintolaki 7 §, 26 §, 44 §, 45 §, 46 §, Laki viranomaisten toiminnan julkisuudesta 24 § 1 mom 5 kohta, Henkilötietolaki 2 § 1 mom, Laki säh­köisestä asioinnista viranomaistoiminnassa 4 §.

Huom!
Valtionkonttoria koskevan lain 2 §:n muutos on tullut voimaan tietosuojavaltuutetun lausunnon antamisen jälkeen 20.05.2009 (317/09) ja laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) on tullut voimaan 01.09.2009.

 
Julkaistu 27.1.2014