20.4.2009
Viranomainen ei saa asiakkaan suostumuksellakaan lähettää salassapidettäviä asiakastietoja suojaamattomassa sähköpostissa
| Asiasanat: | salassapito asiakastiedot sosiaalitoimi |
|---|---|
| Säädösperusta: | Henkilötietolain mukainen päätös |
| Diaarinumero: | - |
Tietosuojavaltuutetun kannanotto 20.4.2009
Diaarinumero: 423/49/2009
Näkövammaisten keskusliitto ry pyysi Helsingin sosiaalivirastoa lähettämään näkövammaisille heidän suostumuksellaan heitä koskevat viestit ja päätökset sähköpostitse, jolloin näkövammaiset pystyisivät lukemaan ne itse tietokoneeltaan.
Sosiaalivirasto kieltäytyi tietojen lähettämisestä sähköpostitse, koska jo pelkkä tieto sosiaalihuollon asiakkuudesta on salassapidettävä. Yleinen internet-sähköpostijärjestelmä on suojaamaton, eikä se mahdollista salassapidettävien tietojen lähettämistä. Viranomaisella ei ole mahdollisuutta asioida sähköpostin välityksellä asiakkaan kanssa, vaikka siihen saataisiin asiakkaan nimenomainen suostumus. Sosiaaliviraston käytössä ei ole suojattua sähköpostiyhteyttä tai jotain muuta vahvaa tunnistamista hyväksikäyttävää tekniikkaa.
Keskusliitto kanteli asiasta eduskunnan oikeusasiamiehelle, joka pyysi asiasta tietosuojavaltuutetun lausunnon.
TIETOSUOJAVALTUUTETUN LAUSUNTO
Rekisterinpitäjän on suojattava henkilötiedot mm. riittävin teknisin toimenpitein sivullisilta myös niitä sähköpostitse lähetettäessä. Rekisterinpitäjä ei voi poiketa tietojen suojaamisvelvollisuudestaan rekisteröidyn suostumuksella. Tieto sosiaalihuollon asiakkuudesta on salassa pidettävä. Tietojen suojaamisvelvollisuudesta ja salassapitovelvollisuudesta seuraa, että sosiaaliviranomainen voi lähettää asiakkalle viestejä sähköpostitse vain, mikäli sillä on käytössään shköposti, jossa on riittävän vahva salaus ja osapuolet voidaan tunnistaa. Tavallisessa suojaamattomassa internet-sähköpostissa tiedot eivät ole suojattu sivullisilta. Sitä ei voida käyttää salassa pidettävien tietojen lähettämiseen siitäkään huolimatta, että siihen olisi asiakkaan suostumus.
Sähköistä asiointia viranomaistoiminnassa koskevan lain säännöksistä ilmenee, että sähköisiä tiedonsiirtomenetelmiä on tarkoitus käyttää tietoturvallisesti ja salassapitosäännösten ja henkilötietojen käsittelyä koskevia säännösten mukaisesti. Päätösten osalta kyseisessä laissa on erityinen säännös siitä, miten päätös tulee toimittaa asianosaisen suostumuksella sähköisesti tiedoksi. Viranomainen voi toimittaa asiakkaalle salassa pidettäviä päätöksiä sähköisesti edellä mainitussa laissa kuvatulla tavalla.
Tietosuojavaltuutettu pitää tärkeänä, että kehitetään ja otetaan käyttöön turvallisia sähköisen asioinnin tapoja, jolloin pystytään noudattamaan sekä tietojen salassapitovelvollisuutta että suojausvelvollisuutta. Tietosuojavaltuutettu viittasi myös eduskunnan käsiteltävänä olleisiin lakiesityksiin, joiden mukaan Valtiokonttori voi tarjota koko julkiselle hallinnolle sähköisen asioinnin ja hallinnon tukipalveluja (HE 48/2009vp) sekä vahvaa sähköistä tunnistamista ja sähköisiä allekirjoituksia koskevaa lakiesitykseen (HE 36/2009vp). Tietosuojavaltuutettu korosti lopuksi, että viranomaisten pitäisi osana tietoyhteiskuntakehitystä kehittää palvelujaan niin, että erityisryhmille tarkoitettuja palveluja voidaan kehittää asiakaslähtöisesti. Sähköpostin käytössä on enemmänkin kyse siitä, miten viranomainen voi tietosuoja ja tietoturva huomioon ottaen tuottaa kyseiset palvelut turvallisesti.
SOVELLETTAVAT SÄÄNNÖKSET
Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) 14 §
Laki viranomaisten toiminnan julkisuudesta 26 §
Henkilötietolaki (523/1999) 32 §
Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003) 1 §, 2 §, 3 §, 5 §, 18 §, 19 §
EDUSKUNNAN OIKEUSASIAMIEHEN VASTAUS (12.11.2009 704/4/08)
Eduskunnan oikeusasiamies oli samaa mieltä sosiaaliviraston ja tietosuojavaltuutetun kanssa siitä, että rekisterinpitäjä ei voi poiketa henkilötietojen suojaamisvelvollisuudestaan rekisteröidyn suostumuksella. Oikeusasiamies oli samaa mieltä myös siitä, että salassapitosäännökset ja henkilötietolain mukainen suojaamisvelvoite eivät mahdollista salassa pidettävien päätös- tai muiden tietojen lähettämistä tavallisessa suojaamattomassa Internet-sähköpostissa siitäkään huolimatta, että siihen olisi asiakkaan suostumus. Oikeusasiamies viittasi siihen, että kaupungin tietotekniikkastrategian mukaisesti asiakasasioinnin sähköisiä muotoja kehitetään ja sosiaaliviraston tavoitteena, on saada asia ratkaistuksi tulevien vuosien aikana. Eduskunnan oikeusasiamies piti tätä tärkeänä pyrkimyksenä sekä turvallisen ja tehokkaan tietohallinnon että perusoikeuksien turvaamiseksi.
Edellä mainittujen säännösten lisäksi oikeusasiamies viittasi vastauksessaan seuraaviin säännöksiin: Suomen perustuslain 21 § ja 22 §, Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 6 §, Hallintolaki 7 §, 26 §, 44 §, 45 §, 46 §, Laki viranomaisten toiminnan julkisuudesta 24 § 1 mom 5 kohta, Henkilötietolaki 2 § 1 mom, Laki sähköisestä asioinnista viranomaistoiminnassa 4 §.
Huom. Valtionkonttoria koskevan lain 2 §:n muutos on tullut voimaan tietosuojavaltuutetun lausunnon antamisen jälkeen 20.05.2009 (317/09) ja laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) on tullut voimaan 01.09.2009.