11.4.2014

ASIA
Kysymyksenne liittyy Family Tree DNA:n palveluihin, joita kerrotte sukututkijoiden paljon käyttävän. Huolenne kohdistuu mm. geenitesteihin. Kerrotte, ettette ole löytänyt, mikä on toista koskevia tietoja luovuttavan henkilön vastuu. Tiedustelette, mikä on tietoja testaavan henkilön turva. Viittaatte lisäksi seuraaviin sivustoihin:

• www.geni.com

• http://fi.geneanet.org /

• www.myheritage.com

• www.ancestry.com

Tähän liittyen tiedustelette "miten tietosuojalaki suhtautuu siihen, että kun maailmalla on erilaisia nettisukupuita jotka ovat siis ulkomaalaisten omistamia ja ulkomaalaisilla servereillä". Ilmaisette huolenne siitä, että jotkut laittavat sinne toisia koskevia tietoja ja kysytte, miten tulisi menetellä, jos itseään koskevia tietoja palvelusta löytää.

TIETOSUOJAVALTUUTETUN TOIMIVALTA

Henkilötietolain (523/1999) 38 §:n mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Henkilötietolain 40 §:n 1 momentin mukaan tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava syytteeseen panoa varten.

OHJAUS

Henkilötietolain soveltamisala

Suomen lain soveltamisesta säädetään henkilötietolain 4 §:ssä. Henkilötietolakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä. Tätä lakia sovelletaan myös silloin, kun rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja.

Em. säännös eli henkilötietolain 4 § rajaa monet ulkomaiset toimijat tietosuojavaltuutetun toimivallan ulkopuolelle. Vaikka MyHeritageen, FamilyTreeDna:han ja vastaaviin muualla kuin Suomessa toimintaansa harjoittaviin palveluihin ei sovelleta henkilötietolakia eikä tietosuojavaltuutetun toimivalta siten niihin ulotu, suomalaisen henkilön tehdessä henkilötietolaissa tarkoitettua sukututkimusta, tulevat laki ja sukututkimuksen käytännesäännöt sovellettaviksi.

Henkilötietoja avoimeen verkkoon

Euroopan yhteisöjen tuomioistuin on katsonut käytännössään seuraavasti: "että Internet-kotisivuilla viitataan henkilöihin ja yksilöidään heidät joko nimeltä tai muulla tavoin, kuten ilmoittamalla heidän puhelinnumeronsa tai antamalla tietoja heidän työsuhteestaan tai harrastuksistaan, on pidettävä henkilötietojen käsittelynä" (Euroopan yhteisöjen tuomioistuimen asia C-101/2001, tuomio 6.11.2003 (Lindqvist)).

Sosiaalisten verkkojen osalta Euroopan unionin tietosuojatyöryhmä on katsonut, että sosiaalisten verkkopalvelujen tarjoajat toimittavat viestintäverkkoyhteisöjä, joissa käyttäjät voivat julkaista ja vaihtaa tietoja keskenään. Nämä palvelujen tarjoajat ovat rekisterinpitäjiä, koska ne määrittelevät tällaisten tietojen käsittelyn tarkoituksen ja keinot. Tällaisten verkkojen käyttäjät, jotka lataavat myös sivullisten henkilötietoja, voidaan luokitella rekisterinpitäjiksi, koska niiden toimintaan ei voida soveltaa niin kutsuttua "kotitalouspoikkeusta". Jos toimija luovuttaa sivullisten henkilötietoja Internet-palvelussa, tulee hän henkilötietojen automaattisen käsittelyn kautta henkilötietolain soveltamisen piiriin.

Suomen Sukututkimusseuran käytännesäännöissä on todettu, että " avoimessa verkossa ei tule julkaista elossa olevien henkilötietoja ilman jokaisen siihen antamaa suostumusta. Ylläpitäessään sukututkimusrekisteriään verkossa toimivassa tietokantapalvelussa sukututkija luovuttaa henkilötietoja taholle, jonka harjoittamaa tietojenkäsittelyä hän ei voi mitenkään kontrolloida. Näin ollen sukututkijan tulee rekisteriselosteessa ja tiedottamisvaiheessa ilmoittaa aikomuksestaan luovuttaa elossa olevien henkilötietoja tällaiseen palveluun sekä pyytää asianomaisilta henkilöiltä nimenomainen lupa siihen ."

Palveluiden käyttö- ja yksityisyysehdot

Jos sukututkija haluaa käyttää ko. palveluita apunaan sukututkimusta tehdessään, hänen kannattaa huolehtia tietosuojasta ja tietoturvasta sekä perehtyä huolellisesti yksityisyys- ja käyttöehtoihin ennen palvelun käyttöönottoa. Huomattakoon, että esim. MyHeritagen yksityisyyskäytännöissä edellytetään, että käyttäjä on hankkinut palveluun antamiensa tietojen osalta elossa olevilta sukulaisiltaan suostumukset tietojen luovutukseen.

Ohjaankin sukututkijoita huolellisesti perehtymään yksityisyys- ja käyttöehtoihin ennen palvelun ottamista käyttöön. MyHeritagen yksityisyyskäytännöissä (päivitetty 8. elokuuta 2012) on todettu, että:

"Kun välität meille henkilökohtaisia tietoja ne saatetaan siirtää, varastoida ja prosessoida maassa, jossa omasta maastasi poikkeavat henkilökohtaisten tietojen suojaamisen tasot. Välittämällä meille tietoja annat suostumuksesi tietojen siirtoon, varastointiin ja prosessointiin datakeskuksissamme." - - "Lisäksi sinun pitäisi ennen tietojen lisäämistä varmistaa, että sinulla on elossa olevien henkilöiden suostumus heitä koskevien tietojen tai materiaalin lisäämisestä MyHeritageen. Jos henkilö on alaikäinen (tyypillisesti alle 18v) eikä voi tehdä sopimuksia sinulla tulee olla alaikäisen vanhemman tai huoltajan suostumus ennen tietojen lisäämistä. Kaikissa tapauksissa sinun tulee selvittää myöntymisen seuraukset henkilölle (tai hänen holhoojalleen)."

Muillakin mainitsemillanne sivustoilla (Geneanet, www.geni.com, Ancestry) on luettavissa käyttöehdoiksi, yksityisyysehdoiksi tms. kutsutut oikeudelliset lausunnot, joihin kannattaa ehdottomasti ennen palvelun käyttöönottoa perehtyä. On hyvä huomata, että myös palvelu saattaa käyttöehdoissaan asettaa käyttäjälleen vastuita ja velvollisuuksia.

Mitä tehdä, jos löytää omia tietoja ko. palveluista verkosta?

Mikäli itseään koskevia tietoja löytää Internetistä kyseisistä palveluista, kannattaa tietojen poistamiseksi ensin olla yhteydessä henkilöön, joka tiedot on palveluun laittanut. Palveluiden yksityisyysehdoissa saattaa olla myös mahdollisuus ottaa yhteys palvelun ylläpitäjään tietojen poistamiseksi. Tässäkin tilanteessa kannattaa perehtyä huolellisesti sivuston yksityisyysehtoihin.

Kun tiedot on poistettu ne julkaisseelta nettisivulta, ne poistuvat ajan myötä myös hakukoneista, niiden päivittäessä tietovarastojaan. Tätä poistumista voi nopeuttaa käskemällä hakukonetta käymään nettisivulla heti uudestaan käyttäen hakukoneen tähän tarjoamaa lomaketta. Useat hakukoneet tarjoavat myös ohjeet tietojen nopeaan poistamiseen tietovarastoistaan.

DNA-tutkimus

Huolenne kohdistuu myös geenitestaukseen. Koska DNA-tutkimus paljastaa tietoja myös muista henkilöistä kuin pelkästään geenejään testaavasta henkilöstä, näkemykseni mukaan siihen tulisi olla kaikkien niiden henkilöiden suostumus, joita tiedot koskevat. Tältä osin on hyvä kiinnittää huomiota myös siihen, ettei suostumusta ole mahdollista antaa toisen henkilön puolesta.

Henkilötietolain 18 §:ssä säädetään, että sukututkimusta varten pidettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa sukuun kuuluvasta henkilöstä ja tämän aviopuolisosta rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot samoin kuin muut sukututkimuksen kannalta tarpeelliset henkilötiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista.

Geneettisellä testauksella saatujen tietojen tarpeellisuutta arvioidaan sukututkimuksessa myös henkilötietolain tarpeellisuusvaatimusta koskevan 9 §:n perusteella. Ko. säännöksessä todetaan, että käsiteltävien henkilötietojen tulee olla määritellyn käsittelyn tarkoituksen kannalta tarpeellisia. Tarpeellisuutta arvioidaan toimialalla vallitsevien yleisten kriteerien mukaan. Koska valtaosa sukututkimuksesta tehdään ilman geenitestausta, olen taipuvainen katsomaan, että tällaisella testaamisella saadut tiedot eivät, ottaen huomioon suostumukseen ja sukututkimuksen käyttötarkoitukseen liittyvät ongelmat, täytä lain asettamaa tarpeellisuusvaatimusta.

Ulkomaille siirrosta on saatavilla toimistomme opas (Henkilötietojen siirto ulkomaille henkilötietolain mukaan) verkkosivuillamme. Lisätietoa tietosuojasta ja tietosuojavaltuutetun toimivallasta voi lukea verkkosivuillamme www.tietosuoja.fi. Henkilötietolakiin sekä muuhun ajantasaiseen lainsäädäntöön voi perehtyä osoitteessa www.finlex.fi.

LISÄTIETOJA

Tietosuojavaltuutetun toimiston opas: Sukututkimus henkilötietolain mukaan

Suomen sukututkimusseuran käytännesäännöt (päivitetty 2013)