Tietosuojavaltuutetun vastaus (an answer from The Data Protection Ombudsman)

Tarkastin 22.11.2004 Joensuun kihlakunnan poliisilaitoksella poliisin henkilörekistereiden tiedot omalta osaltani sekä tein tarkastuspyynnön tietosuojavaltuutetulle niihin poliisin henkilörekistereihin joihin minulla ei ole tarkastusoikeutta.

Tietosuojavaltuutetun vastauksen (dnro 1802/522/04, päivätty 4.3.2005) mukaan tietosuojavaltuutettu Reijo Aarnio oli 16.8.2004 pyynnöstäni tarkastanut epäiltyjen tietojärjestelmän, Europol-tietojärjestelmän, kansallisen Schengen -tietojärjestelmän tietojen ja poliisin henkilörekisterien luokitus-, tarkkailu- ja tekotapatietojen lainmukaisuuden osaltani. Lisäksi hän oli 28.9.2004 tarkastanut suojelupoliisin toiminnallisen tietojärjestelmän lainmukaisuuden osaltani.

Koska tietosuojavaltuutettu Reijo Aarnion vastauksen mukaan tarkastus poliisin henkilörekisterien tietojen lainmukaisuudesta osaltani oli tehty ennen kuin varsinainen tarkastuspyyntöni oli lähetetty ja koska nimeni oli kirjoitettu väärin ("Mika Pahnelainen"), soitin 10.3.2005 puhelimitse asiaani käsitelleelle ylitarkastaja Lauri Vuorivirralle. Hänen mukaansa vastauksessa on päivämäärien ja nimen osalta virhe.

Tietosuojavaltuutetun korjatun vastauksen (dnro 1802/522/04, päivätty 11.3.2005) saatteessa pyydetään mitätöimään aiempi vastaus.

Tietosuojavaltuutetun korjatun vastauksen mukaan tietosuojavaltuutettu Reijo Aarnio on 11.1.2005 pyynnöstäni tarkastanut epäiltyjen tietojärjestelmän, Europol-tietojärjestelmän, kansallisen Schengen -tietojärjestelmän tietojen ja poliisin henkilörekisterien luokitus-, tarkkailu- ja tekotapatietojen lainmukaisuuden osaltani. Lisäksi hän on 11.1.2005 tarkastanut suojelupoliisin toiminnallisen tietojärjestelmän lainmukaisuuden osaltani.

Korjatussa vastauksessaan tietosuojavaltuutettu Reijo Aarnio toteaa, että "Rekisterinpidon lainmukaisuutta tarkastaessani olen kiinnittänyt erityisesti huomiota tietojenkäsittelytapaan, käsiteltävien tietojen tarpeellisuuteen ja virheettömyyteen, tietojen tallettamisajankohtaan sekä rekisteröidyn oikeuksien toteutumismahdollisuuteen".

Lopuksi tietosuojavaltuutettu Reijo Aarnio katsoo, että "Suorittamani tarkastuksen tuloksena totean poliisin ylijohdon ja suojelupoliisin noudattavan rekisterinpidossaan voimassa olevia säännöksiä ja hyvää tietojenkäsittelytapaa".

Tietosuojavaltuutetun korjatun vastauksen mukaan tietosuojavaltuutetulla ei ole oikeutta paljastaa rekisteröidylle tarkastuksessa saamiaan tietoja kyseisen rekisterin sisällöstä.

Henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 7 luvun 45 §:n mukaan tarkastusoikeutta ei ole lainkaan epäiltyjen tietojärjestelmän tietoihin, Europol-tietojärjestelmän tietoihin, suojelupoliisin toiminnallisen tietojärjestelmän tietoihin, kansallisen Schengen-tietojärjestelmän tietoihin tietyissä Schengenin yleissopimuksessa määritellyissä tapauksissa, sekä muihin poliisin henkilörekistereihin sisältyviin henkilöä tai tekoa koskeviin luokitus-, tarkkailu-, tekotapa- tai tietolähdetietoihin. Rekisteröity voi pyytää tietosuojavaltuutettua tarkastamaan näiden rekistereiden tietojen lainmukaisuuden omalta osaltaan.

Tarkastusoikeuden toteuttamisesta Euroopan poliisiviraston tietojärjestelmän tietoihin säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain 7 luvun 46 §:ssä ja Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämän tiedoston tietoihin henkilötietojen käsittelystä poliisitoimessa annetun lain 7 luvun 47 §:ssä.

Poliisin henkilörekistereissä olevien tietojen poistamisesta ja arkistoinnista säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 5 luvussa. Virheelliseksi todetun tiedon poistamisesta säädetään ko. lain 5 luvun 27 §:ssä, jonka mukaan "Virheelliseksi todettu tieto on merkittävä virheelliseksi ja tiedon saa säilyttää, jos se on tarpeen rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saa käyttää ainoastaan mainitussa oikeuksien turvaamisen tarkoituksessa", ja edelleen tämä virheelliseksi todettu tieto "on poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen, viimeistään kuitenkin viiden vuoden kuluttua tiedon poistamiselle säädetyn määräajan päättymisestä". Henkilötietojen käsittelystä poliisitoimessa annetun lain 5 luvun 27 §:n mukaan virheelliseksi todettua tietoa ei saa säilyttää kansallisessa Schengen-tietojärjestelmässä tarkoitetussa rekisterissä.

Lisäksi henkilötietolain (523/1999) 2 luvun 9 §:n mukaan: "Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle."

Edelleen henkilötietolain (523/1999) 6 luvun 29 §:n 1 momentin mukaan: "Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan."

Myöhemmin 5.2.2007 kävin Helsingin kihlakunnan poliisilaitoksen Pasilan poliisipiirissä hakemassa kopiot niistä poliisin henkilörekistereiden tiedoista joihin minulla on tarkastusoikeus.

En tiedä mitä tietoja minusta on niissä poliisin henkilörekistereissä joihin minulla ei ole tarkastusoikeutta. Minuun ei ole oltu yhteydessä ko. tietojen lainmukaisuutta tarkastettaessa.

Lähteet

1. Muistiinpanot 2004-2007
2. Tarkastusoikeuden käyttäminen poliisin henkilörekistereiden sisällöstä, päivätty 22.11.2004
3. Tietosuojavaltuutetun vastaus (dnro 1802/522/04), päivätty 4.3.2005
4. Tietosuojavaltuutetun vastaus (dnro 1802/522/04), päivätty 11.3.2005
5. Tiedustelu poliisin henkilörekistereiden sisällöstä tekemääni tarkastuspyyntöön saamani vastauksen (dnro 1802/522/04) julkisuudesta, päivätty 13.6.2006
6. Tietosuojavaltuutetun vastaus (dnro 1154/452/2006), päivätty 22.6.2006
7. Oikaisuvaatimus tietosuojavaltuutetun vastaukseen (dnro 1154/452/2006), päivätty 4.7.2006
8. Tietosuojavaltuutetun vastaus (dnro 1154/452/2006), päivätty 15.9.2006
9. Tarkastusoikeuden käyttäminen poliisin henkilörekistereiden sisällöstä, päivätty 5.2.2007
10. Poliisin henkilörekisterien sisältö 23.1.2007
11. Lakiviitteet FINLEX: www.finlex.fi
12. Tietosuojavaltuutetun toimisto: www.tietosuoja.fi
13. Valtionhallinnon sähköpostien käsittelyohje (VAHTI 2/2005) VM 10/01/2005, päivätty 24.5.2005 (15.3.2007): www.vm.fi
14. Sähköpostikirjeenvaihto

Tätä blogia kirjoittaessani halusin varmistaa tietosuojavaltuutetun vastauksen julkisuuden tai salassapidon.

Lähetin 11.6.2006 sähköpostitse Tietosuojavaltuutetun toimiston organisaatio-osoitteeseen (tietosuoja@om.fi) tiedustelun poliisin henkilörekistereiden sisällöstä tekemääni tarkastuspyyntöön saamani vastauksen (dnro 1802/522/04) julkisuudesta. Sain 12.6.2006 sähköpostitse ilmoituksen, jossa todettiin että lähettämäni tiedustelu on hävitetty ("The message sent to tietosuoja@om.vn.fi has been deleted").

Valtionhallinnon sähköpostien käsittelyohjeen (VAHTI 2/2005) kappaleen 3.5 mukaan "viraston www-sivulla tulee ohjata lähettämään viesti viranomaiselle nimenomaan organisaatio-osoitteeseen, eikä yksittäiselle virkamiehelle tai työntekijälle", ja kappaleen 3.7 mukaan "Vastaukset tulee mahdollisuuksien mukaan lähettää organisaation sähköpostiosoitteesta" sekä "Organisaatio-osoitteeseen saapunut sähköposti jaetaan asian valmistelijalle tai muille asianosaisille tiedoksi". Edelleen Valtionhallinnon sähköpostien käsittelyohjeen (VAHTI 2/2005) kappaleen 3.7 mukaan "Organisaatio-osoitteen käyttöön oikeutetun henkilön tulisi lukea yksikköön saapuneet sähköpostiviestit vähintään kerran päivässä ja etenkin hakemuksille määrättyinä tärkeinä määräaikoina", "Vastaanottajan on (viipymättä) lähetettävä sähköisen viestin lähettäjälle vastaanottokuittaus. Asiakkaalle lähetettävä vastaanottokuittaus ei kuitenkaan ole kannanotto asian käsittelyn edellytyksiin tai lopputulokseen eikä sellaisenaan merkitse sitä, että asia on tullut organisaatiossa vireille. Kuittausviestin lähettää asiaa käsittelevä henkilö, automaattikuittauksia ei tule käyttää", "Viestit on käsiteltävä julkisuuslain edellyttämällä tavalla" ja "Viestit on arkistoitava arkistointisäännösten mukaisesti".

Koska en saanut vastausta Tietosuojavaltuutetun toimiston organisaatio-osoitteesta (tietosuoja@om.fi), soitin 13.6.2006 puhelimitse asiaani käsitelleelle Tietosuojavaltuutetun toimiston ylitarkastaja Lauri Vuorivirralle ja lähetin hänen virkasähköpostiosoitteeseensa tiedusteluni poliisin henkilörekistereiden sisällöstä tekemääni tarkastuspyyntöön saamani vastauksen (dnro 1802/522/04) julkisuudesta uudelleen.

Tiedustelussani haluan tietää kuinka julkinen tai salassapidettävä saamani tietosuojavaltuutetun vastaus (dnro 1802/522/04) on ja voinko julkaista sen sisältöä tai kopiota julkisissa medioissa, esim. kirjassa, www-sivuilla tai muussa vastaavassa.

Tietosuojavaltuutettu Reijo Aarnion vastauksen (dnro 1154/452/2006, päivätty 22.6.2006) mukaan saamani ratkaisu (dnro 1802/522/04, päivätty 4.3.2005) oli varustettu salassapitoleimalla ja korjattu päätös (dnro 1802/522/04, päivätty 11.3.2005) sisälsi myös tarkemman salassapitoa koskevan perusteen (Viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 4 kohta).

Tietosuojavaltuutettu Reijo Aarnion mukaan viranomaisten toiminnan julkisuudesta annettu laki (621/1999) sisältää seuraavat asiaani liittyvät säännökset:

24 §:n 1 momentin 4 kohdan mukaan salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä "poliisin ja muun esitutkintaviranomaisen rikosten ehkäisemistä tai niiden selvittämistä varten ylläpitämät rekisterit ja rikosten ehkäisemistä koskevat selvitykset samoin kuin henkilöllisyyden tai matkustusoikeuden todentamista tai varmentamista koskevan hallintoasian käsittelyssä saamat ja ottamat henkilön valokuvat ja muut henkilötuntomerkkitiedot sekä henkilölle tai henkilökortille tai matkustusasiakirjalle annetut erityiset tunnisteet".

22 §:n mukaan "Viranomaisen asiakirja on pidettävä salassa, jos se tässä tai muussa laissa on säädetty salassa pidettäväksi tai jos viranomainen lain nojalla on määrännyt sen salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus. Salassa pidettävää viranomaisen asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sitä teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi".

23 §:n 2 momentin mukaan "Asianosainen, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asianosaisaseman perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asianosaista itseään" ja 3 momentin mukaan "Asianosainen, hänen edustajansa tai avustajansa saa kuitenkin käyttää muita kuin asianosaista itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asianosaisen tiedonsaantioikeus on perustunut".

Lopuksi tietosuojavaltuutettu Reijo Aarnio toteaa vastauksessaan, että "Tietosuojavaltuutetun toimivaltaan ei kuulu lähemmin julkisuuslain soveltaminen. Esittämäni lainkohtien perusteella jää harkintaanne se tapa, miten asiassa haluatte toimia".

Koska saamani tietosuojavaltuutetun ratkaisu (dnro 1802/522/04, päivätty 4.3.2005) ei ollut varustettu salassapitoleimalla ja korjattu päätös (dnro 1802/522/04, päivätty 11.3.2005) ei myöskään sisältänyt tarkempaa salassapitoa koskevaa perustetta tein tietosuojavaltuutetun vastauksesta (dnro 1154/452/2006, päivätty 22.6.2006) oikaisuvaatimuksen tietosuojavaltuutetulle 4.7.2006.

Oikaisuvaatimuksessani haluan oikaista tietosuojavaltuutettu Reijo Aarnion käsityksen hänen ratkaisunsa (dnro 1802/522/04, päivätty 4.3.2005) ja korjauksensa (dnro 1802/522/04, päivätty 11.3.2005) salassapitomerkinnöistä ja todistan, että kuten asiaani käsitelleelle ylitarkastaja Lauri Vuorivirralle puhelimitse olin todennut ratkaisu ja korjaus eivät sisällä minkäänlaista merkintää niiden salassapidosta. Lisäksi totean, että mikäli ratkaisu ja korjaus olisivat sisältäneet merkinnän niiden salassapidosta en olisi tiedusteluani niiden julkisuudesta asiaani käsitelleelle ylitarkastaja Lauri Vuorivirralle edes lähettänyt.

Lopuksi oikaisuvaatimuksessani vaadin edelleen saada tietää, että ovatko tietosuojavaltuutetun ratkaisu (dnro 1802/522/04, päivätty 4.3.2005) ja korjaus (dnro 1802/522/04, päivätty 11.3.2005) salassa pidettäviä, ja voinko julkaista niiden sisältöä tai kopiota julkisissa medioissa, esim. kirjassa, www-sivuilla tai muussa vastaavassa.

Tietosuojavaltuutetun vastauksessa (dnro 1154/452/2006, päivätty 15.9.2006) tietosuojavaltuutettu Reijo Aarnio toteaa täydennyksenä 22.6.2006 päivättyyn kirjeeseensä seuraavaa: "Tietosuojavaltuutetun toimiston omaksuman tavan mukaan salassapitoleimaa ei laiteta asianosaiselle lähetettävään kappaleeseen, jos siinä on vain häntä koskevia tietoja. Toimistoon jäävään kaksoiskappaleeseen ja arkistokopioon sitä vastoin liitetään salassapitoa osoittava leima. Sen tarkoituksena on myöhemmin kiinnittää salassa pidettävyyteen huomiota, jos asiakirjasta julkisuuslain nojalla pyydetään kopiota."

Lopuksi tietosuojavaltuutettu Reijo Aarnio toteaa vastauksessaan, että "Tietosuojavaltuutetun toimivaltaan ei kuulu lähemmin julkisuuslain soveltaminen. Esittämäni lainkohtien perusteella jää harkintaanne se tapa, miten asiassa haluatte toimia".

Koska tietosuojavaltuutetun vastaukset eivät sisällä muita tietoja kuin asianosaista itseään koskevia tietoja päätin julkistaa vastaukset.

En ole myöskään lähettänyt tietosuojavaltuutettu Reijo Aarniolle kirjettä 16.8.2006.


Tiedusteluni poliisin henkilörekistereiden sisällöstä tekemääni tarkastuspyyntöön saamani vastauksen (dnro 1802/522/04) julkisuudesta kirjoitushetkellä Suomen laissa ja asetuksissa säädettiin mm. seuraavaa:

Hallintolain (434/2003) 2 luvun 7 §:n mukaan "Asiointi ja asian käsittely viranomaisessa on pyrittävä järjestämään siten, että hallinnossa asioiva saa asianmukaisesti hallinnon palveluita ja viranomainen voi suorittaa tehtävänsä tuloksellisesti."

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 2 luvun 6 §:n mukaan "Viranomaisen tulee huolehtia siitä, että sen sähköiset tiedonsiirtomenetelmät ovat toimintakunnossa ja mahdollisuuksien mukaan käytettävissä muulloinkin kuin viraston aukioloaikana."

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 3 luvun 10 §:n mukaan "Sähköinen viesti katsotaan saapuneeksi viranomaiselle silloin, kun se on viranomaisen käytettävissä vastaanottolaitteessa tai tietojärjestelmässä siten, että viestiä voidaan käsitellä. Jos saapumisajankohdasta ei ole selvitystä sen johdosta, että viranomaisen käyttämä sähköinen tiedonsiirtomenetelmä on ollut epäkunnossa tai poissa käytöstä taikka selvitystä ei muusta vastaavasta syystä voida esittää, sähköinen viesti katsotaan saapuneeksi sinä ajankohtana, jona se on lähetetty, jos lähettämisajankohdasta voidaan esittää luotettava selvitys."

Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 5 luvun 18 §:n mukaan "Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä".