Framsida » Avgöranden » En myndighet får inte ens med klientens samtycke skicka sekretessbelagda uppgifter genom oskyddad e-post

En myndighet får inte ens med klientens samtycke skicka sekretessbelagda uppgifter genom oskyddad e-post

Dataombudsmannens ställningstagande 20.4.2009
Dnr 423/49/2009

Synskadades centralförbund r.f. bad å sina medlemmars vägnar Helsingfors socialbyrå att börja skicka per e-post med samtycke som grund, meddelanden och beslut gällande de synskadade, så att de synskadade själva kunde läsa meddelandena och besluten från sina egna datorer.

Socialbyrån vägrade skicka uppgifter per e-post eftersom redan en uppgift om ett klientförhållande inom socialvården är sekretessbelagd. Det allmänna e-postsystemet i internet är oskyddat och möjliggör inte sändande av sekretessbelagda uppgifter. Det är inte möjligt för myndigheten att uträtta ärenden med klienten per e-post, även om klientens uttryckliga samtycke skulle erhållas. Socialbyrån har inte i sin användning en skyddad e-postkontakt eller annan motsvarande teknik som möjliggör stark identifiering.

Centralförbundet klagade i ärendet till riksdagens justitieombudsman som bad dataombudsmannen ge ett utlåtande i ärende.

Dataombudsmannens utlåtande

Den registeransvariga skall skydda personuppgifterna från utomstående bl.a. med tillräckliga tekniska åtgärder också då de sänds genom e-post. Den registeransvariga kan inte avvika från skyddsplikten med den registrerades samtycke. En uppgift om ett klientförhållande inom socialvården är sekretessbelagd. Från uppgifternas skyddsplikt och sekretesssplikt följer att en socialmyndighet kan skicka meddelanden till en klient per e-post endast om denne använder en e-post som har ett tillräckligt starkt hemlighållande och parterna kan identifieras. I en vanlig oskyddad e-post är uppgifter inte skyddade från utomstående. En sådan kan inte användas till att skicka sekretessbelagda uppgifter oavsett om klientens samtycke skulle ha erhållits.

Från bestämmelserna i lagen om elektronisk kommunikation i myndigheternas verksamhet framgår att elektroniska dataöverföringsmetoder skall användas datasäkert och i enlighet med bestämmelserna om sekretess och behandling av personuppgifter. För beslutens del finns i ifrågavarande lag en särskild bestämmelse om hur ett beslut skall med partens samtycke delges elektroniskt. En myndighet kan delge klienten sekretessbelagda beslut elektroniskt på det sätt som ovan nämnda lag beskriver.

Dataombudsmannen anser det vara viktigt att utveckla och ta i bruk säkra metoder för elektroniskt uträttande av ärenden, genom vilket både sekretessplikten och skyddsplikten kan efterlevas. Dataombudsmannen hänvisade också till de lagförslag som var under behandling i riksdagen, enligt vilka statskontoret kan erbjuda hela den offentliga förvaltningen stödtjänster för elektroniskt uträttande och elektronisk förvaltning (RP 48/2009 vp) och till lagförslaget (RP 36/2009vp) om elektronisk underteckning och stark elektronisk identifiering. Dataombudsmannen underströk slutligen att myndigheterna borde som en del av datasamhällets utveckling utveckla sina tjänster så att tjänster som riktas mot specialgrupper kan utvecklas utgående från klienten. Vid användningen av e-post är det snarare fråga om hur myndigheten med beaktande av dataskyddet och datasäkerheten kan producera ifrågavarande tjänster säkert.

Tillämpade bestämmelser

Lag om klientens ställning och rättigheter inom socialvården (812/2000) 14 §
Lag om offentlighet i myndigheternas verksamhet 26 §
Personuppgiftslag (523/1999) 32 §
Lag om elektronisk kommunikation i myndigheternas verksamhet (13/2003) 1 §, 2 §, 3 §, 5 §, 18 §, 19 §

Riksdagens justitieombudsmans svar
(12.11.2009 704/4/08)

Riksdagens justitieombudsman var av samma åsikt med socialbyrån och dataombudsmannen om att den registeransvariga inte kan avvika från personuppgifternas skyddsplikt med samtycke av den registrerade. Justitieombudsmannen var av samma åsikt också gällande att sekretessbestämmelserna och personuppgiftslagens skyddsplikt inte möjliggör sändande av sekretessbelagda besluts- eller övriga uppgifter per vanlig oskyddad e-post, oberoende av om klienten har gett sitt samtycke till det. Justitieombudsmannen hänvisade till att i enlighet med stadens datateknikstrategi utvecklas elektroniska former för uträttande av ärenden och socialbyråns avsikt är att lösa ärendet under de kommande åren. Riksdagens justitieombudsman ansåg detta vara en viktig strävan både för säkrandet av en säker och effektiv dataförvaltning som för grundrättigheterna.

Förutom ovan nämnda bestämmelser hänvisade justitieombudsmannen i sitt svar dessutom till följande bestämmelser: Finlands grundlag 21 § och 22 §, Lag om klientens ställning och rättigheter inom socialvården 6 §, Förvaltningslag 7 §, 26 §, 44 §, 45 §, 46 §, Lag om offentlighet i myndigheters verksamhet 24 § 1 mom. 5 punkt, Personuppgiftslag 2 § 1 mom, Lag om elektronisk kommunikation i myndigheternas verksamhet 4 §.

Obs!
Ändringen i 2 § i lag om statskontoret har trätt i kraft 20.05.2009 (317/09) efter att dataombudsmannen gett sitt utlåtande och lag om stark autentisering och elektroniska signaturer (617/2009) har trätt i kraft 01.09.2009.

 
Publicerad 6.2.2014