7.12.2021

Koronarokotustietojen käytettävyys ja tietoturvaloukkauksesta ilmoittaminen

Asia

Apulaistietosuojavaltuutettu on selvittänyt omasta aloitteestaan tilannetta, jossa rekisterinpitäjän käyttämän potilastietojärjestelmän sekä Omakanta-palvelun välisessä tiedonsiirrossa oli ongelmia. Ongelmat johtivat puutteisiin Omakannan kautta saadun koronarokotustodistuksen muodostumisessa.

Apulaistietosuojavaltuutettu arvioi asiassa seuraavat oikeudelliset kysymykset:

Kysymys 1: Henkilötietojen tietoturvaloukkauksen tapahtuminen sekä ilmoitusvelvollisuudet

Onko kysymyksessä ollut yleisen tietosuoja-asetuksen ((EU) 2016/679, jatkossa TSA) 4 artiklan alakohdassa 12 sekä TSA 33-34 artikloissa tarkoitettu henkilötietojen tietoturvaloukkaus ja jos on, onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen (EU 2016/679; jatkossa TSA) 33-34 artikloissa säädettyjä velvollisuuksia ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle sekä rekisteröidyille, sekä tuleeko apulaistietosuojavaltuutetun käyttää näihin velvollisuuksiin liittyen TSA 58 artiklan 2 kohdassa säädettyjä korjaavia toimivaltuuksia.

Kysymys 2: Korjaavien toimenpiteiden riittävyys

Onko rekisterinpitäjä ryhtynyt tilanteen selviämisen jälkeen tarpeellisiin toimenpiteisiin sekä tuleeko apulaistietosuojavaltuutetun määrätä saattamaan käsittely tässä vaiheessa TSA:n mukaiseksi tai käyttää muita TSA 58 artiklan 2 kohdassa säädettyjä korjaavia toimivaltuuksia.

Apulaistietosuojavaltuutetun päätös

Kysymys 1: Henkilötietojen tietoturvaloukkauksen tapahtuminen sekä ilmoitusvelvollisuudet

Tilanteessa on ollut kysymys henkilötietojen tietoturvaloukkauksesta. Rekisterinpitäjän olisi tullut ilmoittaa tilanteesta tietosuojavaltuutetun toimistolle TSA 33 artiklan 1 kohdassa edellytetyllä tavalla. Rekisterinpitäjän on ilmoittanut tilanteesta tiedotteella sekä muodostamillaan yhteydenottoväylillä, minkä voidaan katsoa tässä tapauksessa täyttäneen TSA 34 artiklan 1 kohdassa tarkoitetun ilmoittamisvelvollisuuden.

Kysymys 2: Korjaavien toimenpiteiden riittävyys

Rekisterinpitäjä on ryhtynyt tilanteen havaittuaan tarpeellisiin korjaaviin toimenpiteisiin.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 33 artiklan 1 kohdan rikkomisesta seuraamukseksi TSA 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.

Apulaistietosuojavaltuutetun päätöksen perustelut

Kysymys 1: Henkilötietojen tietoturvaloukkauksen tapahtuminen sekä ilmoitusvelvollisuudet
Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjää pyydettiin selvityspyynnössä 12.8.2021 kuvaamaan täsmällisesti ongelma tai ongelmat, jotka koskivat koronarokotustodistuksen muodostumista, mistä ongelma tai ongelmat ovat johtuneet ja miten ne on havaittu. Rekisterinpitäjää pyydettiin lisäksi arvioimaan, minkälaisia vaikutuksia tilanteesta aiheutui rekisteröityjen oikeuksille ja vapauksille sekä kuvaamaan, miten tilannetta on arvioitu TSA 33 ja 34 artiklojen näkökulmasta.

Rekisterinpitäjä on antanut selvityksen asiassa 30.8.2021. Selvitys sisältää vaiheittain etenevän kuvauksen tapahtumista sekä niihin johtaneista syistä. Selvityksen perusteella koronatodistuksen muodostumisen häiriöt johtuivat rokotustietojen ajamisessa Kanta-arkistoon ilmenneistä ongelmista. Ongelmat johtuivat muun muassa kirjoitusvirheistä ajettavissa tiedoissa, virheellisesti kirjatuista ticovac-rokotteista, jotka olivat kirjautuneet cov19-rokotteiksi sekä väliaikaisille henkilötunnuksille kirjatuista rokotteista.

Rekisterinpitäjä tuo selvityksessä esille rekisteröityjen oikeuksille ja vapauksille aiheutuneina vahinkoina sen, että kuntalaiset eivät ole saaneet tulostettua rokotustodistusta Omakannasta teknisten ongelmien vuoksi, eli kuntalaisilla ei ole ollut pääsyä tietoihinsa tietojärjestelmävirheen vuoksi. Rekisterinpitäjän on kuitenkin tehnyt huomattavasti töitä sen eteen, että asiakkaat ovat saaneet kaupungin oman rokotustodistuksen. Rekisterinpitäjä tuo lisäksi esille, että kaikki ongelmat eivät ole johtuneet rekisterinpitäjän potilastietojärjestelmästä, vaan osa ongelmista on liittynyt Kanta-palveluun.

Tietoihin pääsyn lisäksi rekisterinpitäjä on tunnistanut rekisteröityjen oikeuksiin ja vapauksiin aiheutuneena haittana viiveen, jonka asiakas on joutunut odottamaan kaupungin toimittamaa todistusta sen sijaan, että asiakas olisi voinut tulostaa todistuksen itse Omakannasta.

Rekisterinpitäjä toteaa selvityksessään, että organisaatiossa on prosessi, jossa toimiala tai työntekijä ilmoittaa henkilötietojen käsittelyyn liittyvistä ongelmista. Tässä prosessissa ei selvityksen mukaan ole huomioitu riittävästi tietojärjestelmien toimintahäiriöitä, ja tieto ongelmista ei ollut tullut tietosuojavastaavalle saakka. Koska organisaation sisäisen prosessin mukaan ilmoituksen tietosuojavaltuutetun toimistolle tekee tietosuojavastaava, ei ilmoitusta tehty. Selvityksessä todetaan, että prosessin heikkous on nyt tiedostettu, ja siihen tullaan tekemään muutoksia tietojärjestelmien toimintahäiriöistä ilmoittamisen osalta. Selvityksen mukaan henkilötietojen tietoturvaloukkausten ilmoitusprosessi toimii hyvin, kun on kyse henkilötietojen käsittelyyn liittyvistä poikkeamista, mutta tietojärjestelmien osalta vastaava jalkauttaminen oli selkeästi puutteellista. Annetun selvityksen mukaan organisaation tietosuojavastaava katsoo, että ilmoitusvelvollisuutta ei ollut täytetty TSA 33 artiklan mukaisesti.

Rekisterinpitäjä toteaa selvityksessä, että se on julkaissut verkkosivuillaan 10.6.2021 tiedotteen, jossa kerrotaan rokotustodistuksen muodostumisen ongelmista. Tiedotteessa muun muassa annetaan toimintaohjeet rokotustodistuksen saamiseksi. Tiedotetta on päivitetty tilanteen edetessä. Annetun selvityksen mukaan organisaation tietosuojavastaava katsoo, että asiakkaita on informoitu TSA 34 artiklan mukaisesti, kun ongelman laajuus tuli rekisterinpitäjän tietoon.

Sovellettavat oikeussäännöt

TSA 4 artiklan 12 kohdan mukaan ’henkilötietojen tietoturvaloukkauksella’ tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

TSA 33 artiklan 1 kohdan mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

TSA 34 artiklan 1 kohdan mukaan, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

TSA 34 artiklan 3 kohdan c alakohdan mukaan 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

TSA 34 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

TSA 58 artiklan 2 kohdassa säädetään valvontaviranomaisen korjaavista toimivaltuuksista. Alakohdan b mukaan valvontaviranomainen voi antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet TSA:n säännösten vastaisia. Alakohdan e mukaan valvontaviranomainen voi määrätä rekisterinpitäjän ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle.

Tietosuojalain 1050/2018 24 § 4 momentin mukaan (TSA 83 artiklassa säädettyä hallinnollista) seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.

Oikeudellinen arviointi

Henkilötietojen tietoturvaloukkauksen tapahtuminen

Rekisterinpitäjän selvityksen perusteella koronatodistusten muodostumisen häiriöt ovat johtuneet puutteista tietojen eheydessä, kun henkilötiedot ovat vahingossa muuttuneet Kanta-arkistoon ajamisen yhteydessä, mikä on johtanut virheisiin todistusten muodostumisessa. Toisin sanoen puutteet ovat johtaneet koronatodistustietojen käytettävyyden häviämiseen. Henkilötietojen vahingossa tapahtuva muuttaminen katsotaan TSA 4 artiklan 12 kohdan mukaan henkilötietojen tietoturvaloukkaukseksi. Turvapoikkeama, joka johtaa henkilötietojen käytettävyyden häviämiseen joksikin aikaa, on yksi tietoturvaloukkauksen tyyppi, koska tietoihin pääsyn häviämisellä saattaa olla merkittävä vaikutus luonnollisten henkilöiden oikeuksiin ja vapauksiin.

Tietoturvaloukkaus on alun perin kohdistunut rokotuksia koskeviin henkilötietoihin, ja johtanut koronatodistuksen käytettävyyttä koskeviin puutteisiin. Apulaistietosuojavaltuutettu katsoo, että kysymyksessä on ollut TSA 4 artiklan 12 kohdassa tarkoitettu henkilötietojen tietoturvaloukkaus.

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

Henkilötietojen tietoturvaloukkauksesta on ilmoitettava valvontaviranomaiselle. Ilmoittamista ei TSA 33 artiklan 1 kohdan mukaan tarvitse tehdä, jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Rekisterinpitäjä on antamassaan selvityksessä todennut, että tilanne on estänyt rekisteröityjä tulostamasta koronatodistusta Omakannan kautta. Rekisterinpitäjä on pyrkinyt turvaamaan korvaavan, kunnan oman koronatodistuksen saamisen Omakannan kautta saatavan todistuksen sijaan. Rekisterinpitäjä on tunnistanut rekisteröidyille kohdistuvaksi vaikutukseksi tässä viiveen todistuksen saamisessa.

Koronatodistusta on voinut tilanteen tapahtumisaikaan tarvita esimerkiksi matkustustarkoituksiin. Apulaistietosuojavaltuutettu toteaa, että kysymyksessä olevan henkilötietojen tietoturvaloukkaukseen on todennäköisesti aiheutunut korkea riski sellaisten rekisteröityjen oikeuksiin ja vapauksiin, joiden esimerkiksi matkustamiseen tarvitsemia asiakirjoja ei ole ollut saatavilla.

Apulaistietosuojavaltuutettu katsoo, että TSA 33 artiklan 1 kohdan mukainen edellytys ilmoituksen tekemättä jättämiseksi ei ole täyttynyt. Rekisterinpitäjän olisi tullut ilmoittaa tapahtuneesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle TSA 33 artiklan 1 kohdan mukaisesti.

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidyille

TSA 34 artiklan 1 kohdan mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidyille, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Apulaistietosuojavaltuutetun näkemyksen mukaan edellä kuvatut mahdolliset riskit rekisteröidyille ovat tasoltaan korkeita. Näin ollen ilmoitusvelvollisuus rekisteröidyille on lähtökohtaisesti ollut olemassa.

Ilmoitusta rekisteröidyille ei kuitenkaan TSA 34 artiklan 3 kohdan c alakohdan mukaan vaadita, jos se vaatisi kohtuutonta vaivaa. Käytännössä kysymyksessä olevasta henkilötietojen tietoturvaloukkauksesta koituisi korkea riski niille rekisteröidyille, jotka tarvitsisivat koronatodistusta aikana, jolloin tietoturvaloukkaustilanne on ollut käynnissä. Apulaistietosuojavaltuutettu katsoo, että näiden henkilöiden kartoittaminen kaikkien niiden henkilöiden joukosta, joita koskevia henkilötietoja kysymyksessä oleva tietoturvaloukkaus on koskenut, olisi vaatinut tässä tapauksessa kohtuutonta vaivaa.

Jos ilmoittaminen vaatisi kohtuutonta vaivaa, on TSA 34 artiklan 3 kohdan c alakohdan mukaan rekisterinpitäjän tiedotettava asiasta käyttäen julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla. Rekisterinpitäjä katsoo, että sen asiasta tekemä, tilanteen mukaan päivitetty tiedote on kattanut rekisteröityjen informoinnin TSA 34 artiklan edellyttämällä tavalla.

Rekisterinpitäjä on tehnyt asiaa koskevan tiedotteen 10.6.2021, sekä päivittänyt sitä tilanteen edetessä. Asiaa käsiteltiin myös median toimesta. Rekisterinpitäjä muodosti lisäksi erilliset viestintäväylät niille henkilöille, jotka tarvitsivat apua koronatodistuksen saamiseksi. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän antama informaatio on käytännössä kattanut TSA 34 artiklassa edellytetyn tiedottamisen. Näin ollen tarvetta antaa rekisterinpitäjälle TSA 58 artiklan 2 kohdan e alakohdan mukaista määräystä rekisteröidyille ilmoittamisesta ei ole.

Lopuksi

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle TSA 33 artiklan 1 kohdan rikkomisesta seuraamukseksi TSA 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Koska kysymyksessä on kunnallinen viranomainen, ei rikkomisesta voida antaa hallinnollista seuraamusmaksua (tietosuojalaki 24 § 4 mom.), eikä hallinnollisen seuraamusmaksun antamisen täsmällisempi arviointi ole sen vuoksi tarpeen.

Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on tiedottanut tilanteesta TSA 34 artiklan edellyttämällä tavalla, eikä siksi ole tarvetta antaa rekisterinpitäjälle TSA 58 artiklan 3 kohdan e alakohdan mukaista määräystä rekisteröidyille ilmoittamisesta.

Rekisterinpitäjä on selvityksessään tuonut esille, että sen henkilötietojen tietoturvaloukkausten tunnistamista ja ilmoittamista koskevassa prosessissa oli ollut heikkouksia tietojärjestelmien toimintahäiriöihin liittyvien tietoturvaloukkausten osalta. Rekisterinpitäjä on ilmoittanut korjaavansa prosessia tältä osin. Näin ollen TSA 58 artiklan 2 kohdan mukaista määräystä käsittelytoimien saattamisesta TSA:n mukaisiksi ei ole tarpeen antaa.

Kysymys 2: Korjaavien toimenpiteiden riittävyys
Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjä on antamassaan selvityksessä kuvannut, millä tavalla sen tietoon tulleisiin, tiedonsiirrossa tapahtuneisiin virheisiin on reagoitu. Rekisterinpitäjä on aktiivisesti yhdessä potilastietojärjestelmän toimittajan kanssa toteuttanut korjaavia toimenpiteitä. Lisäksi rekisterinpitäjä sekä järjestelmätoimittaja selvittävät edelleen, voidaanko relevanttia lomaketta kehittää tuotekehityksellisillä toimenpiteillä siten, että kirjausten syöttämisessä esiintyisi jatkossa vähemmän inhimillisiä virheitä (näppäilyvirheet).

Rekisterinpitäjä kuvaa selvityksessä niin ikään niitä organisatorisia toimenpiteitä, joihin se on asian johdosta ryhtynyt. Kuntalaisille on perustettu selkeät yhteydenottokanavat, joiden kautta asiakkaat voivat ottaa yhteyttä asian johdosta sähköpostitse tai puhelimitse. Yhteydenottojen käsittelyä varten muodostettiin korjaustiimi, joka tarkistaa sähköpostitse tai puhelimitse yhteyttä ottaneiden asiakkaiden rokotustiedot ja ovat tarvittaessa puhelimitse yhteydessä asiakkaaseen. Tämän jälkeen he tekevät havaitut korjauspyynnöt ja tekevät yhdessä sovellustuen kanssa tarvittavat korjaukset. Sovellustuki on korjannut virhekirjauksia kiireellisyysjärjestyksessä, myös ylityönä. Suuri osa korjauspyynnöistä on rekisterinpitäjän mukaan kuitenkin johtunut arkistoinnin virheistä, ja selvästi pienempi osa korjauspyynnöistä on johtunut puutteellisista merkinnöistä. Näihin liittyen rokotuspisteillä on pisteiden vastuuhoitajien toimesta kerrattu järjestelmämerkintöjen tekemistä ja nostettu esiin oikeiden kirjausten tärkeyden merkitystä puutteellisten merkintöjen minimoimiseksi.

Kaupunki loi myös prosessin väliaikaisen todistuksen antamiseksi, mikäli asiakkaalla ei ollut pääsyä Omakantaan tai rokotustodistus ei muodostunut sinne.

Sovellettavat oikeussäännöt

TSA 32 artiklan 1 kohdan mukaan ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Artiklassa on listattuna näitä toimenpiteitä. Toimenpiteitä ovat muun muassa (alakohta b) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä (alakohta c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa.

Oikeudellinen arviointi

Rekisterinpitäjän antaman selvityksen perusteella se on toteuttanut sekä teknisiä että organisatorisia toimenpiteitä, joilla se on pyrkinyt palauttamaan nopeasti tietojen saatavuuden sekä pääsyn tietoihin tilanteen selvittyä sekä sen edetessä. Rekisterinpitäjä on toteuttanut myös muita toimenpiteitä, joilla haitallisia vaikutuksia rekisteröidyille pyrittiin pienentämään. Saadun selvityksen perusteella apulaistietosuojavaltuutetulla ei ole tältä osin tarvetta käyttää TSA 58 artiklassa säädettyjä korjaavia toimivaltuuksia. Rekisterinpitäjä on ryhtynyt tilanteen havaittuaan tarpeellisiin korjaaviin toimenpiteisiin.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.