TSV 09.02.2022
Vastaanottajan laillisten käsittelytarkoitusten kannalta liian laajojen tietojen luovutus liikenneasioiden rekisteriin
Tietojen luovuttaminen - Tarpeellisuus
| Säädösperusta: | Rikosasioiden tietosuojalain mukaiset päätökset 2019- |
|---|---|
| Antopäivä: | 09.02.2022 |
| Diaarinumero: | 9824/161/21 |
Apulaistietosuojavaltuutetun päätös
Asia
Vastaanottajan laillisten käsittelytarkoitusten kannalta liian laajojen tietojen luovutus.
Rekisterinpitäjä
Oikeusrekisterikeskus
Asian taustaa
Tietosuojavaltuutetun toimisto vastaanotti 24.10.2019 rekisterinpitäjän tekemän ilmoituksen tietoturvaloukkauksesta, jossa henkilötietoja on luovutettu Traficomille (jäljempänä vastaanottaja), jolla ei ole oikeutta käsitellä kyseisiä tietoja.
Rekisterinpitäjän ilmoituksen mukaan vastaanottajalle on luovutettu Rikostuomioistuinsovelluksen (RITU) kautta ajokorttilain (386/2011) 101 §:n 2 momentin nojalla tietoja liikenneasioiden rekisteriin merkitsemistä varten. Luovutettavia tietoja ovat tiedot ajokorttilain 64 §:ssä mainitun rikoksen johdosta määrätystä rangaistuksesta, ajokiellosta tai ajokieltovaatimuksen hylkäämisestä, alkolukolla valvottuun ajo-oikeuteen määräämisestä taikka ehdollisen ajokiellon täytäntöönpanosta.
Tietojen siirtäminen rekisterinpitäjän ja vastaanottajan välillä on tapahtunut teknisen rajapinnan kautta käyttäen ennalta määriteltyä jakeluskeemaa. Vastaanottaja on rekisterinpitäjän mukaan ilmoittanut toteuttavansa omaan järjestelmäänsä teknisen toiminnallisuuden, joka suodattaa vastaanotettavista tiedoista ne, joita vastaanottajalla ei ole oikeutta käsitellä. Tietoturvaloukkaus on tapahtunut, kun vastaanottajalle on toimitettu rajapinnan kautta ajokorttilain 101 §:n 2 momentissa luovutettaviksi säädettyjen tietojen lisäksi salassa pidettäviä rikoksia ja rikkomuksia koskevia tietoja, joiden käsittelemiseen vastaanottajalla ei ole oikeutta.
Rekisterinpitäjän ilmoituksen mukaan tietoturvaloukkaus on alkanut 16.7.2019. Tietoturvaloukkaus on koskenut 4500 tallennetta, jotka ovat sisältäneet virallisia asiakirjoja sekä rikoksiin ja rikkomuksiin liittyviä tietoja.
Apulaistietosuojavaltuutettu katsoi 5.2.2020 (dnro 8185/171/19), ettei tietoturvaloukkaus aiheuta henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018, jäljempänä rikosasioiden tietosuojalaki) 35 §:n 1 momentin mukaista merkittävää riskiä rekisteröityjen oikeuksille, minkä vuoksi rekisterinpitäjää ei määrätty ilmoittamaan tietoturvaloukkauksesta rekisteröidyille. Apulaistietosuojavaltuutettu kuitenkin katsoi, että tietoturvaloukkauksen taustalla olevia syitä tulisi selvittää tarkemmin.
Rekisterinpitäjältä pyydetty selvitys
Rekisterinpitäjältä pyydettiin asian dnro 8185/171/19 yhteydessä selvitystä siitä, milloin rekisterinpitäjän ilmoittamat korjaustoimenpiteet otetaan käyttöön, onko tapauksessa kyse rekisterinpitäjän toimeksiannosta tapahtuvasta käsittelystä ja miksi käytössä ollut tuomiotietojen jakelutapa valittiin. Lisäksi selvitystä pyydettiin siitä, kuka päätöksen jakelukanavan ottamisesta käyttöön teki ja kuka kantaa päätöksestä virkavastuun.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjä toimitti selvityksen liitteineen tietosuojavaltuutetun toimistolle 5.3.2020.
Rekisterinpitäjän selvityksen mukaan tietojen luovuttamiseen käytettävään sanomaväylään on toteutettu alkuvuodesta 2020 toiminnallisuus, jolla kyseisen tietoturvaloukkauksen toistuminen estetään. Toiminnallisuus on otettu käyttöön helmikuussa 2020. Tietojen suodattajana toimii VIA-sanomaväylän palveluntuottajana toimiva Valtori.
Selvityksen mukaan oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain (372/2010, jäljempänä tietojärjestelmälaki) 7.2 §:n nojalla tietojärjestelmän kehittämisestä ja käyttöpalveluiden järjestämisestä huolehtii oikeusministeriö. Rikostuomiosovellus (RITU), josta tiedot on luovutettu, kuuluu valtakunnallisen tietojärjestelmän ratkaisu- ja päätösilmoitusjärjestelmään.
Rekisterinpitäjän mukaan Oikeushallinnon valtakunnallisessa tietojärjestelmässä ei ole kysymys oikeushallinnon viranomaisten yhteisestä rekisteristä, vaikka oikeushallinnon viranomaisen omat rekisterit sisältävät osin samoja henkilötietoja kuin oikeushallinnon valtakunnallinen tietojärjestelmä. Tietojen käyttötarkoitus ja käsittelyperuste ratkaisevat yhdessä sen, mihin rekisteriin käsiteltävät henkilötiedot kulloinkin kuuluvat. Kun rekisterinpitäjä käsittelee henkilötietoja tietojärjestelmälaissa säädettyihin tarkoituksiin, sovelletaan käsittelyyn tietojärjestelmälakia.
Siirtyminen tietojen välitystapana käytettyyn muotoon tehtiin selvityksen mukaan sen kustannustehokkuuden vuoksi. Muutoksen ovat valmistelleet rekisterinpitäjän Tietojärjestelmäpalvelut -toimialan ja vastaanottajan IT-suunnittelijat.
Muutosehdotus esiteltiin ja hyväksyttiin oikeusministeriön nimeämässä kehittämisryhmässä. Rekisterinpitäjä kuitenkin katsoo selvityksessään, ettei kehittämisryhmän tekemä päätös poista täysin rekisterinpitäjän vastuuta tehdyistä muokkauksista.
Virkavastuuta koskevaan kysymykseen rekisterinpitäjä vastaa viittaamalla muutosajankohtana voimassa olleeseen työjärjestykseen, jonka mukaan toiminnasta on vastannut Kansalais- ja viranomaispalveluiden toimialajohtaja.
Oikeudellinen kysymys
Asiassa on ratkaistava:
1. Onko rekisterinpitäjä tietoja luovuttaessaan toiminut rikosasioiden tietosuojalain 6 §:n mukaisen tarpeellisuusvaatimuksen mukaisesti?
2. Miten rikosasioiden tietosuojalain 14 §:n mukaiseen rekisterinpitäjän vastuuseen tapauksessa vaikuttaa se, että tietojen luovutuksesta on päätetty oikeusministeriön nimeämässä kehittämisryhmässä?
3. Onko rekisterinpitäjälle annettava rikosasioiden tietosuojalain 51 §:n 1 momentin 4 kohdan mukainen huomautus henkilötietojen lainvastaisesta käsittelystä?
Apulaistietosuojavaltuutetun päätös ja perustelut
Oikeudellinen kysymys 1:
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on menetellyt rikosasioiden tietosuojalain 6 §:ssä säädetyn tarpeellisuusvaatimuksen vastaisesti, kun sen luovuttamat tiedot ovat olleet liian laajoja niihin tarkoituksiin, joita varten niiden luovuttamisesta salassapitovelvollisuuden estämättä on laissa säädetty.
Perustelut:
Sovellettavat säädökset ja oikeusohjeet
Rikosasioiden tietosuojalain 3 §:n 1 momentin 2 kohdan mukaan käsittelyllä tarkoitetaan tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muuta toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin.
Rikosasioiden tietosuojalain tarpeellisuusvaatimusta koskevan 6 §:n 1 momentin mukaan käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä.
Ajokorttilain 101 §:n 2 momentin mukaan salassapitosäännösten estämättä tuomioistuimen, syyttäjän ja poliisin on ilmoitettava liikenneasioiden rekisteriin tieto 64 §:ssä mainitun rikoksen johdosta määräämästään rangaistuksesta, ajokiellosta tai ajokieltovaatimuksen hylkäämisestä, alkolukolla valvottuun ajo-oikeuteen määräämisestä taikka ehdollisen ajokiellon täytäntöönpanosta. Muutoksenhakutuomioistuimen on ilmoitettava myös rangaistuksen määräämättä jättämisestä tai sitä koskevan syytteen hylkäämisestä, jos tuomioistuin on muutoksenhaun yhteydessä kumonnut tai poistanut aiemmin tuomitun tai määrätyn rangaistuksen, josta on merkintä liikenneasioiden rekisterissä. Tuomioistuimen ja syyttäjän on tallennettava tieto oikeushallinnon valtakunnallisesta tietojärjestelmästä annetussa laissa (372/2010) tarkoitettuun ratkaisu- ja päätösilmoitusjärjestelmään, josta se välitetään liikenneasioiden rekisteriin.
Ajokorttilain 64 §:n 1 momentin mukaan poliisin on määrättävä moottorikäyttöisen ajoneuvon kuljettaja ajokieltoon, jos tämän on todettu syyllistyneen rikoslain 23 luvun 2 §:ssä tarkoitettuun törkeään liikenneturvallisuuden vaarantamiseen, 3 §:ssä tarkoitettuun rattijuopumukseen tai 4 §:ssä tarkoitettuun törkeään rattijuopumukseen taikka mainitun lain 44 luvun 13 §:ssä tarkoitettuun vaarallisten aineiden kuljetusrikokseen. Ajokielto voidaan jättää määräämättä, jos moottorikäyttöisen ajoneuvon kuljettajaa ei tuomita edellä mainitusta teosta rangaistukseen.
Mainitun pykälän 2 momentin mukaan poliisin on määrättävä ajo-oikeuden haltija ajokieltoon:
1) jos hän ei enää täytä 12 §:ssä säädettyjä ajokorttiluvan myöntämisen edellytyksiä;
2) jos hän rikkoo 16 §:n 1 momentin 4 kohdassa tarkoitettua ehtoa, ei ole toimittanut 20 §:n 4 momentissa tai 112 §:n 3 momentissa tarkoitettua lääkärinlausuntoa laissa säädetyssä määräajassa taikka toimittanut poliisin asettamassa määräajassa 20 §:n 1 momentissa tarkoitettua lääkärinlausuntoa tai 3 momentissa tarkoitettua optikon lausuntoa taikka todistusta uuden hyväksytyn kuljettajantutkinnon, ajokokeen tai ajonäytteen suorittamisesta;
3) jos hänen on todettu moottorikäyttöistä ajoneuvoa kuljettaessaan syyllistyneen rikoslain 23 luvun 1 §:ssä tarkoitettuun liikenneturvallisuuden vaarantamiseen ja teko osoittaa vakavaa piittaamattomuutta liikenneturvallisuutta kohtaan;
4) jos hänen on todettu syyllistyneen rikoslain 23 luvun 10 §:ssä tarkoitettuun kulkuneuvon kuljettamiseen oikeudetta; tai
5) jos hänet on ulkomailla tuomittu liikennejuopumuksesta moottorikäyttöisellä ajoneuvolla tai hän on siellä syyllistynyt tällaiseen tekoon.
Pykälän 3 momentin mukaan edellä 2 momentin 3 kohdassa tarkoitettuna tekona on pidettävä myös sitä, että kuljettaja on käsittelemällä tai ulkoisella apuvälineellä häirinnyt tieliikenteen sosiaalilainsäädännön noudattamisen valvontaan tarkoitettua laitetta siten, että se tuottaa virheellistä tietoa hänen ajo- ja lepoajoistaan.
Oikeudellinen arviointi ja lopputulos
Rekisterinpitäjän luovuttaessa henkilötietoja on kyse rikosasioiden tietosuojalain 3 §:n 2 momentin 2 kohdan mukaisesta henkilötietojen käsittelystä. Rekisterinpitäjää velvoittaa tällöin rikosasioiden tietosuojalain 6 §:n 1 momentin mukainen tarpeellisuusvaatimus, jonka mukaan käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tässä tapauksessa rekisterinpitäjän suorittamasta henkilötietojen käsittelystä, eli tietojen luovuttamisesta, on säädetty ajokorttilain 101 §:n 2 momentissa.
Apulaistietosuojavaltuutettu katsoo, että luovuttaessaan vastaanottajalle enemmän tietoja kuin ajokorttilain 101 §:n 2 momentti edellyttää rekisterinpitäjä on menetellyt vastoin rikosasioiden tietosuojalain 6 §:n mukaista tarpeellisuusvaatimusta.
Oikeudellinen kysymys 2:
Apulaistietosuojavaltuutettu katsoo, ettei oikeusministeriön kehittämisryhmän osallistuminen henkilötietojen käsittelystä päättämiseen poista tai vähennä rekisterinpitäjän vastuuta varmistua siitä, että henkilötietojen käsittely on rikosasioiden tietosuojalain 14 §:n mukaista.
Perustelut:
Sovellettavat säädökset ja oikeusohjeet
Rikosasioiden tietosuojalain 3 §:n 1 momentin 2 kohdan mukaan käsittelyllä tarkoitetaan tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muuta toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin.
Mainitun pykälän 3 §:n 1 momentin 6 kohdan mukaan rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty.
Rikosasioiden tietosuojalain 14 §:n 1 momentin mukaan rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Sen on lisäksi kyettävä osoittamaan, että henkilötietoja on käsitelty 2 luvun mukaisesti.
Mainitun pykälän 2 momentin mukaan rekisterinpitäjän on toteutettava tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet. Toimenpiteiden toteuttamisessa on otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit.
Oikeusrekisterikeskuksesta annetun lain (625/2012) 1 §:n 1 momentin 1 kohdan mukaan Oikeusrekisterikeskus on oikeusministeriön hallinnonalaan kuuluva virasto, jonka tehtävänä on toimia oikeusministeriön hallinnonalan tietojärjestelmien ja rekisterien rekisterinpitäjänä sen mukaisesti kuin niistä erikseen säädetään sekä välittää hallinnonalan viranomaisten ilmoittamia tietoja muille viranomaisille.
Tietojärjestelmälain 7 §:n 1 momentin mukaan Oikeusrekisterikeskus toimii oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjänä.
Mainitun pykälän 2 momentin mukaan oikeusministeriö huolehtii oikeushallinnon valtakunnallisen tietojärjestelmän kehittämisestä ja käyttöpalvelujen järjestämisestä.
Tietojärjestelmälakia koskevan hallituksen esityksen HE 102/2009 vp säännöskohtaisten perusteluiden mukaan Oikeusrekisterikeskukselle rekisterinpitäjänä kuuluisivat kaikki ne tehtävät, jotka johtuvat henkilötietolaissa rekisterinpitäjälle säädetyistä velvoitteista. Näihin kuuluvat yleinen huolenpito tietojenkäsittelyn lainmukaisuudesta ja tietojen laadusta sekä tähän liittyvä rekisteritoiminnan ohjaus ja neuvonta. Oikeusrekisterikeskus vastaisi tietojen luovuttamistehtävistä, tietojen poistamisesta ja tietojenkäsittelyn lainmukaisuuteen liittyvistä tehtävistä, jollei ehdotetussa laissa toisin osoitettaisi.
Tietojärjestelmälain säätämisen aikaan voimassaollut henkilötietolaki (523/1999) on kumottu 1.1.2019 lähtien EU:n yleisen tietosuoja-asetuksen nojalla säädetyllä tietosuojalailla (1050/2018). Rikosasioiden tietosuojalain säännökset määrittävät henkilötietolakia vastaavalla tavalla rekisterinpitäjän vastuita ja velvoitteita.
Oikeudellinen arviointi ja lopputulos
Tietoturvaloukkauksen tapahtuma-aikaan asiassa arvioitavia tietojen luovutuksia säänteli edellä viitattu tietojärjestelmälaki, joka oli voimassa 31.12.2020 saakka. Laki kumottiin lailla oikeushallinnon valtakunnallisesta tietovarannosta (955/2020, jäljempänä tietovarantolaki), joka on ollut voimassa 1.1.2021 lähtien. Tässä päätöksessä apulaistietosuojavaltuutettu arvioi asiassa saadun selvityksen perusteella rekisterinpitäjän toimintaa soveltaen asiassa tietojärjestelmälakia.
Rekisterinpitäjä on selvityksessään kertonut, että tietoturvaloukkaukseen johtanut muutos on esitelty ja hyväksytty oikeusministeriön nimeämässä kehittämisryhmässä. Rekisterinpitäjän tulkinnan mukaan tämä ei kuitenkaan täysin poista tietosuojaoikeudellista rekisterinpitäjän vastuuta tehdystä muutoksesta.
Rikosasioiden tietosuojalain 3 §:n 1 momentin 6 kohdan mukaan rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty. Nyt kyseessä olevan rekisterinpitäjän kohdalla rekisterinpitäjyydestä on säädetty Oikeusrekisterikeskuksesta annetun lain 1 §:n 1 momentin 1 kohdassa ja tietojärjestelmälain 7 §:n 1 momentissa.
Rikosasioiden tietosuojalain 14 §:n mukaan rekisterinpitäjä on vastuussa henkilötietojen käsittelyn lainmukaisuudesta. Kun henkilötietojen käsittelyn on todettu edellä kohdassa 1 olleen rikosasioiden tietosuojalain 6 §:n vastaista, on rekisterinpitäjä rikosasioiden tietosuojalain 14 §:n nojalla vastuussa lain vastaisesta käsittelystä.
Oikeusministeriön asettama kehittämistyöryhmä voi tietojärjestelmälain 7 §:n 2 momentin nojalla huolehtia tietojärjestelmän kehittämisestä ja käyttöpalvelujen järjestämisestä. Laissa säädettyä rekisterinpitäjyyttä sekä siihen liittyviä oikeuksia ja velvollisuuksia ei kuitenkaan tämän pykälän nojalla voida siirtää kehittämisryhmälle. Oikeusministeriön kehittämisryhmän tekemä päätös ei poista tai vähennä rekisterinpitäjän vastuuta henkilötietojen käsittelyn lainmukaisuudesta.
Apulaistietosuojavaltuutettu katsoo, että henkilötietojen käsittelyä tai oikeushallinnon valtakunnallista tietojärjestelmää koskeva lainsäädäntö ei tue rekisterinpitäjän näkemystä siitä, että se ei olisi kokonaan vastuussa henkilötietojen käsittelystä.
Oikeudellinen kysymys 3:
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on käsitellyt henkilötietoja lainvastaisesti ja antaa tälle rikosasioiden tietosuojalain 51 §:n 1 momentin 4 kohdan mukaisen huomautuksen.
Perustelut
Sovellettavat säädökset ja oikeusohjeet
Rikosasioiden tietosuojalain 51 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu voi tämän lain soveltamisalaan kuuluvassa asiassa:
4) antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos tämä on käsitellyt henkilötietoja lainvastaisesti.
Perustelut
Apulaistietosuojavaltuutettu on katsonut, että rekisterinpitäjän suorittama henkilötietojen käsittely ei ole ollut rikosasioiden tietosuojalain 6 §:n 1 momentin mukaista.
Apulaistietosuojavaltuutettu katsoo, että huomioon ottaen rikotun pykälän, tarpeellisuusvaatimuksen vastaisesti käsiteltyjen henkilötietojen luonteen ja tietojen merkityksen rekisteröityjen kannalta, rekisterinpitäjälle on perusteltua antaa rikosasioiden tietosuojalain 51 §:n 1 momentin 4 kohdan mukainen huomautus.
Sovelletut lainkohdat
Päätöksessä mainitut
Muutoksenhaku
Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 59 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös ei ole lainvoimainen.