henkilötietojen käsittely - vankilat - viranomaistoiminta

Säädösperusta:	Rikosasioiden tietosuojalain mukaiset päätökset 2019-
Antopäivä:	09.10.2019
Diaarinumero:	1689/41/18

ASIA
Eräässä vankilassa on käytössä tietojärjestelmä, jonka käytössä ei henkilötietolain 2 luvun 8 §:n mukaiset edellytykset täyty. Tietojärjestelmään kirjataan tietoja ilman, että vangeille kerrotaan henkilötietolain mukaisista rekisteröidyn oikeuksista, kuten oikeudesta saada omat tietonsa nähtäväksi. Järjestelmään kirjataan muun muassa tiedot vangin eristyksissä olemisesta (omasta pyynnöstä tai tutkinnallisista syistä), tarkkailuun sijoittamisesta sekä henkilö- ja tilatarkastuksista. Järjestelmään on pääsy kaikilla vankilan työntekijöillä.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS

Rikosseuraamuslaitoksen henkilörekistereistä säädetään henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain 3 §:ssä. Sen mukaan Rikosseuraamuslaitoksen keskushallintoyksikkö pitää Rikosseuraamuslaitoksen tietojärjestelmää ja siihen kuuluvia rekistereitä, kuten täytäntöönpano-, yhdyskuntaseuraamus-, valvonta- ja toiminta- sekä turvallisuustietorekisteriä sekä tapaajarekisteriä. Lisäksi Rikosseuraamuslaitoksen potilasrekisteriä ylläpitää laitoksen terveydenhuoltoyksikkö. Näiden valtakunnallisten tietojärjestelmien tarkoituksena on henkilötietojen käsitteleminen rangaistusten täytäntöönpanon sekä muiden Rikosseuraamuslaitokselle kuuluvien lakisääteisten tehtävien suorittamiseksi.

Henkilötietolain mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla tai joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 3 §:n 4 kohdan mukaan rekisterillä tarkoitetaan jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu.

Henkilörekisterillä tarkoitetaan laissa loogista, ei fyysistä rekisteriä. Looginen rekisteri -käsite merkitsee, että samaan henkilörekisteriin luetaan kuuluviksi kaikki ne tiedot, joita käytetään samassa käyttöyhteydessä riippumatta siitä, miten ja mihin ne on talletettu. Loogisen rekisterin käsite merkitsee myös sitä, että tietojenkäsittelyssä syntyviä lyhytaikaisia tiedostoja ja tallenteiden eri sukupolvia ei pidetä eri henkilörekistereinä silloin, kun ne ovat rekisterinpitäjän hallussa ja niitä käytetään rekisterille määriteltyihin käyttötarkoituksiin.

Rekisterinpitäjä puolestaan on se, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Rekisterinpitäjällä on vastuu henkilötietojen lainmukaisesta käsittelystä. Asiassa saadun selvityksen perusteella Rikosseuraamuslaitoksen keskushallintoyksikkö ei hallinnoi yksittäisen yksikön verkkolevyä tai sen käyttöä. Kyse on yksikön omasta tietojärjestelmästä, johon sisältyy erilaisia henkilörekistereitä, vaikka tietojärjestelmässä käsiteltävät tiedot näyttäisivät asiassa saadun selvityksen perusteella enimmäkseen olevan henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain 3 §:n mukaisiin henkilörekistereihin sisältyviä tietoja.

Asiassa saadun selvityksen perusteella vankila on perustanut Rikosseuraamuslaitoksen valtakunnallisesta tietojärjestelmästä ja rekistereistä erillisen laitoskohtaisen tietojärjestelmän omaan laitoskohtaiseen tiedonhallintaan. Tällaista järjestelmää ei voida pitää lainmukaisena.

Asiassa saadun selvityksen mukaan Rikosseuraamuslaitoksen keskushallintoyksikkö on oma-aloitteisesti puuttunut havaittuun lainvastaiseen henkilötietojen käsittelyyn määräämällä tietojen käsittelyn keskeytettäväksi ja aloittanut korjaavat toimenpiteet asiassa.

Suoritetuista korjaavista toimenpiteistä huolimatta Rikosseuraamuslaitos on käsitellyt henkilötietoja lainvastaisesti. Tämän vuoksi Rikosseuraamuslaitokselle annetaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 51 §:n 4 kohdan mukainen huomautus säännösten vastaisista käsittelytoimista. Huomautuksen antamista puoltavat myös Rikosseuraamuslaitoksen ongelmat rikosasioiden tietosuojalain 14 §:n mukaisen materiaalin laatimisessa osana rekisterinpitäjän osoitusvelvollisuutta.

Rikosseuraamuslaitoksen tulee toimittaa selvitys jo aloitettujen korjaavien toimenpiteiden loppuunsaattamisesta tietosuojavaltuutetulle 31.12.2019 mennessä. Selvityksen saatuaan tietosuojavaltuutettu harkitsee muiden korjaavien toimivaltuuksien käyttämistä.

SOVELLETUT LAINKOHDAT
Laki henkilötietojen käsittelystä Rikosseuraamuslaitoksessa (1069/2015), henkilötietolaki (523/1999), tietosuoja-asetus, tietosuojalaki sekä laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018).