Framsida » Avgöranden » Får personuppgifter sändas med hjälp av oskyddad e-post?

Får personuppgifter sändas med hjälp av oskyddad e-post?

2008

Beskrivning av saken:

Av dataombudsmannen frågades om det är tillåtet för ett finskt företag att sända sina finska arbetstagares och/eller finska kunders personuppgifter så som personbeteckning, med hjälp av oskyddad e-post.

Dataombudsmannens svar:

Ärendet gäller förverkligandet av registerförarens skyddsplikt vid behandlingen av den registrerades personuppgifter.

Vid behandling av personuppgifter skall iakttas vad som föreskrivs i personuppgiftslagen, om inte annat föreskrivs i andra lagar. Personuppgiftslagen tillämpas på automatisk behandling av personuppgifter och även annan behandling av personuppgifter då uppgifterna bildar eller de är avsedda att bilda ett personregister eller en del därav. Med personuppgifter menas alla slags anteckningar som beskriver en fysisk person eller hans egenskaper eller levnadsförhållanden som kan hänföras till honom själv eller till hans familj eller någon som lever i gemensamt hushåll med honom. På sådan behandling av personuppgifter som sker i Finland tillämpas personuppgiftslagen. Lagen tillämpas på sådan behandling av personuppgifter där registerföraren har verksamhetsort på Finlands territorium eller annars inom området för Finlands jurisdiktion. Registerföraren har grundad anledning att behandla arbetstagarens och kundens (alltså de registrerades) personuppgifter, om den registrerade är i kund- eller tjänsteförhållande, medlem eller har ett annat liknande motiverat förhållande till registerförarens verksamhet (sambandskrav).

Enligt arbetslivets dataskyddslag 1 § är lagens syfte att förverkliga skyddet av privatlivet och andra grundläggande integritetsskyddsrättigheter i arbetslivet. Lagen tillämpas på förhållandet mellan arbetstagaren och arbetsgivaren (samt t.ex. arbetssökande och tjänstemän). Det, hurudana personuppgifter arbetstagaren får behandla föreskrivs i arbetslivets dataskyddslags 3 § i enlighet med nödvändighetskravet. Arbetsgivaren får behandla endast sådana uppgifter som är i direkt samband och direkt nödvändiga med tanke på arbetsförhållandet, vilka hör till arbetsförhållandets parters rättigheter och skyldigheter eller sådana förmåner som arbetsgivaren ger sina arbetstagare som kommer av arbetsförhållandets särskilda natur. Från nödvändighetskravet kan man inte avvika ens med arbetstagarens samtycke.

Utöver vad som ovan nämns, bör föreskrifterna av behandling av känsliga personuppgifter tas i beaktande. Enligt personuppgiftslagens 11 § avses med känsliga uppgifter personuppgifter som beskriver eller vilkas syfte är att beskriva ras eller etniskt ursprung, någons samhälleliga eller politiska uppfattning eller religiösa övertygelse eller medlemskap i ett fackförbund, en brottslig gärning eller ett straff eller någon annan påföljd för ett brott, någons hälsotillstånd, sjukdom eller handikapp eller vårdåtgärder eller därmed jämförbara åtgärder som gäller honom någons sexuella inriktning eller beteende, eller någons behov av socialvård eller de socialvårdstjänster, stödåtgärder och andra förmåner inom socialvården som någon erhållit. Känsliga personuppgifter får behandlas bara på de sätt som föreskrivs i 12 § i personuppgiftslagen, t.ex. på basis av den registrerades uttryckliga samtycke eller om det stiftas särskilt om i lag.

Den registrerades personbeteckning får behandlas med den registrerades uttryckliga samtycke, eller om det särskilt stiftas om behandlingen i lag. Dessutom får behandling av personbeteckning komma på fråga då den registrerades entydiga identitet är nödvändig för ett i lag specificerat ändamål eller för att fullfölja den registrerades eller registerförarens skyldigheter eller rättigheter. Personbeteckning får behandlas vid behandling av kredit eller andra indrivningsärenden, försäkrings-, kreditinstitut-, uthyrning- och låneverksamhet och kreditupplysningsverksamhet. Arbetsgivaren har rätt att behandla arbetstagarens personbeteckning tjänste-, arbets- och andra tjänsteförhållanden och till dem hörande ärenden. Registerföraren skall ändå se till att inte personbeteckningen antecknas grundlöst på utskrivna dokument eller uppgjorda handlingar. Plikten att planera behandlingen av personuppgifter, t.ex. regelmässiga överlåtelser, har stiftats i personupgiftslagens 6 §. I lagens 7 § stiftas om ändamålsbundenhetsprincipen.

I personuppgiftslagen 5 § stadgas om den allmänna aktsamhetsplikten vid behandling av personuppgifter. Registerföraren skall behandla personuppgifterna på ett lagenligt sätt, gå till väga aktsamt och iaktta ett gott databehandlingsförfarande samt annars också gå till väga på ett sådant sätt att inte skyddet av den registrerades privatliv och andra integritetsskyddande grundrättigheter begränsas på ett sätt som inte grundar sig i lag. Samma förpliktelse har den som som självständig närings- eller verksamhetsidkare verkar å registerförarens vägnar.

Personuppgiftslagens 32 § 1 mom. föreskriver att den registeransvarige skall genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. Vid genomförandet av åtgärderna skall hänsyn tas till de tillgängliga tekniska möjligheterna, kostnaderna som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet. I paragrafens andra moment stiftas att den som i egenskap av självständig näringsidkare handlar för den registeransvariges räkning eller till vilken den registeransvarige lämnar ut uppgifter genom teknisk anslutning, skall innan behandlingen av uppgifterna inleds ge den registeransvarige tillbörliga utredningar och förbindelser och i övrigt tillräckliga garantier för att personuppgifterna skyddas på det sätt som avses i 1 mom.

Den som vid utförandet av åtgärder som har samband med behandlingen av personuppgifter har fått kännedom om något som gäller en annan persons egenskaper, personliga förhållanden eller ekonomiska ställning, får inte i strid med denna lag för tredje man röja de uppgifter som han på detta sätt har erhållit. Registerförarens skyldighet att skydda sina kunders eller arbetstagares personuppgifter innefattar bl.a. att inte utomstående kommer åt uppgifterna. Utomstående är förutom de personer som inte hör till organisationen samt även de i organisationen arbetande vilka inte behöver uppgifterna för att utföra sitt arbete.

Därtill har registerföraren skyldighet att utbilda sin personal gällande förverkligandet av en lagenlig behandling av personuppgifterna, sörja för skyddandet av datanätet t.ex. användarnamnen och lösenorden samt se till att behandlingen av personuppgifterna i organisationen behandlas av personer som är medvetna och uppföljer tystnadsplikten och andra förpliktelser enligt personuppgiftslagen. Till skyddsplikten hör även att fysiskt värna för datasäkerheten, bl.a. låsande av dörrar och skyddande av handlingar som manuellt innehåller personuppgifter, på ett sådant sätt att inte utomstående kommer åt t.ex. personbeteckningar eller till kundförhållandet hörande ärenden inom organisationens behandling.

Dataombudsmannen har i sin tidigare anvisningspraxis kommit till att vid automatisk databehandling (t.ex. genom att sända e-post) av personuppgifter som hör till personregister skall de tidigare nämnda aktsamhets- och skyddsprinciperna tas i beaktande på ett tillräckligt sätt. I sin anvisningspraxis har han kommit till att t.ex. känsliga personuppgifter eller enligt lag sekretessbelagda personuppgifter (t.ex. patientuppgifter och socialvårdsuppgifter) inte skall sändas i oskyddade e-postmeddelanden. Se även broschyren av DO: Användning av e-post i socialvården.

På samma sätt bör vid behandling av personbeteckningen på ett tillräckligt sätt beaktas aktsamhets- och skyddsprincipen samt förbud mot att i onödan anteckna personbeteckningen på dokument och andra handlingar. I fråga om e-post kommer även frågan huruvida parterna kan identifieras på ett korrekt sätt så att både avsändaren och adressaten blir kontaktade till rätt adress. Härutöver bör beaktas graden av säkerhet inom dataöverföring som sker på nätet.

I personuppgiftslagens motiveringar RP 96/1998 (32 § detaljmotiveringar) konstateras bl.a. följande: Registerföraren skall förverkliga skyddet av olaglig behandling av personuppgifter, speciellt då behandlingen utgörs av överföring som sker på nätet. Vid bedömandet av skyddets grad kan i beaktande tas de tekniska förutsättningarna som finns och kostnader som dessa utgör. T.ex. skyddande av register som innehåller känsliga personuppgifter borde fästas extra stor uppmärksamhet på, på samma sätt som uppgifternas mängd och ålder.

Med hjälp av ett lösenords-system eller motsvarande säkerhetssystem skall försäkras att data kan behandlas bara av de personer som har rätt därtill. Enligt behov bör även göras tillvägagångssätt för att kunna granska behandlingen av uppgifterna, t.ex. vem som har behandlat uppgifterna och till vilket ändamål. Registret skall skyddas så att redan olagliga försök till intrång i apparaturen där uppgifterna är sparade och speciellt försök till att olagligt behandla uppgifterna, leder till ett alarm hos registerföraren. Skyddet bör göras så att det så långt som möjligt ger möjlighet att ta reda på de olaga försökens ursprung. Överföringen av datan skall säkras med speciella ingrepp, t.ex. så att överföringen inte tillför ändringar i innehållet och att uppgifterna inte försvinner vid behandlingen.

I så fall att personbeteckning ämnar behandlas, är det rekommenderat att använda sig av antingen dold e-post eller t.ex inhämtande av den registrerades samtycke, då det ges tillräcklig information om standarden av datasäkerhetens standard, t.ex. att e-posten inte är skyddad. Såvida kunden begär att kundförhållandet skall ske via e-post, finns inget att invända i dessa fall.

Dataombudsmannen fäste vidare på ett allmänt plan uppmärksamhet vid att registerföraren alltid är ansvarig för att lagenigheten uppfylls i verksamheten. Om skadeståndsskyldigheten och bl.a straffbarheten av försummelse av skyddsplikten stadgas i personuppgiftslagens 47 § och 48 §.

Tillämpliga stadganden:

Personuppgiftslagen 2 § 1 och 2 mom., 3 § i punkten, 4 §, 5 §, 8 § 5 punkten, 11 § 12 § 13 §, 32 § 1 och 2 mom., 33 §. Lag om integritetsskydd i arbetslivet 1 §, 3 §.

 
Publicerad 6.2.2014