4.5.2022

Henkilötunnus asiakirjajäljennöksen pyytämisen yhteydessä ja asiakirjan saajia koskevien henkilötietojen suoja

Apulaistietosuojavaltuutetun päätös

Tietosuojavaltuutetun toimistoon lähettämänsä sähköpostin mukaan ilmoittaja oli pyytänyt korkeimmalta oikeudelta julkisuuslain perusteella jäljennöstä siellä käsitellyn rikosasian asiakirjoista, missä yhteydessä häneltä pyydettiin henkilötunnus ja kotiosoite laskutusta varten. Tiedusteltuaan perusteita henkilötietojen erityisesti henkilötunnuksen keräämiselle, korkein oikeus vastasi, että valtion viranomaisten käytössä oleva laskutusjärjestelmä, jota ylläpitää Valtion talous- ja henkilöstöhallinnon palvelukeskus (Palkeet), edellyttää myyntilaskutuksessa yksityishenkilön henkilötunnusta tai oikeushenkilön Y-tunnuksen kirjaamista. Ilmoittaja pyysi näiltä osin tutkimaan, toimiiko korkein oikeus tietosuoja-asetuksen vastaisesti käsitellessään henkilötunnusta myyntilaskutusta varten.

Toinen kysymys, jonka ilmoittaja nosti esille, liittyi julkisuuslain periaatteeseen, ettei tiedonpyytäjän tarvitse ilmoittaa henkilöllisyyttään, jolloin ei arkistoon jää myöskään tietoa kenelle asiakirja on luovutettu. Esittämässään skenaariossa ilmoittaja katsoi, että ilmeisesti myyntilaskutustiedot ovat myös viranomaisen henkilötietoja ja siten olisi ainakin rikosasian vastaajalla mahdollisuus jopa oikeus hankkia tiedot keille kaikille hänen rikosasiansa asiakirjoja on välitetty ja kohdistaa heihin kostotoimenpiteitä. Tällaiseen asiakirjoja pyytäneisiin luonnollisiin henkilöihin kohdistuviin kostotoimenpiteiden uhkaan korkein oikeus vastasi, ettei se ylläpidä erikseen rekisteriä henkilöistä, jotka ovat tehneet asiakirjapyyntöjä ja siinä tapauksessa, että esimerkiksi kyseessä olevan asian asianosainen nimenomaan pyytäisi kenelle kaikille asiakirjoja on luovutettu vastattaisiin yksityisten henkilöiden osalta siten, että vastaanottajina ovat olleet yleisöjulkisuuden perusteella tietoja pyytäneet luonnolliset henkilöt ja oikeushenkilöt.

Ilmoittaja piti tällaista tulkintaa vääränä niin julkisuuslain kuin tietosuoja-asetuksen näkökulmasta, pyysi tietosuojaviranomaista tutkimaan, onko korkeimman oikeuden toimintamalli, jossa rikosasian vastaajalle kerrotaan, että tietojen vastaanottajina ovat olleet yleisöjulkisuuden perusteella tietoja pyytäneet luonnolliset henkilöt ja oikeushenkilöt tietosuoja-asetuksen ja kansallisen säännöstön mukainen.

Saatu selvitys

Apulaistietosuojavaltuutettu pyysi ilmoituksen perusteella lausumaa korkeimmalta oikeudelta erityisesti siitä, onko henkilötietojen käsittelyä pidettävä sellaisena käsittelynä, jota tuomioistuin suorittaa lainkäyttötehtäviensä yhteydessä.

Korkein oikeus katsoi, että kysymys on ollut lainkäyttöasian asiakirjojen jäljennösten luovuttamisesta ja tällaisten asiakirjojen luovuttamista arvioidaan oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain perusteella. Viime kädessä korkeimman oikeuden mukaan asiakirjojen luovuttamisesta tuomioistuin päättää lainkäyttöasiana. Maksun periminen jäljennöksestä perustuu valtion maksuperustelakiin ja maksujen perinnästä säädetään laissa verojen ja maksujen täytäntöönpanosta. Saadun lausuman mukaan henkilötunnusta ei tallenneta laskutusta varten korkeimman oikeuden asianhallintajärjestelmään vaan edellä mainittuun laskutusjärjestelmään.

Kysymysten arviointia

Tietosuojaviranomaisen toimivallasta

Ensimmäiseen kysymykseen sisältyy kaksi peräkkäistä henkilötietoihin liittyvää käsittelytoimea,
joiden osalta joudutaan erikseen arvioimaan tietosuojaviranomaisen toimivalta. Ensin on arvioitava erityisesti rikosasian asiakirjoihin sisältyvien henkilötietojen luovuttamista tuomioistuimesta ja sitä onko tietosuojaviranomaisella toimivaltaa valvoa tällaista henkilötietojen käsittelyä. Toisena kysymyksenä on toimivalta suhteessa henkilötietojen keräämiseen ja käsittelyyn asiakirjan luovuttamisesta säädetyn maksun jälkikäteistä perintää varten.

EU:n yleistä tietosuoja-asetusta (lyh. GDPR, 2016/679) sovelletaan myös tuomioistuimiin, mikä on todettu johdanto-osan 20 kohdassa. Tietosuoja-asetuksen 10 artiklassa on rajoitettu rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyä asetuksen 6 artiklan 1 kohdan perusteella. Tietosuoja-asetuksen 2 artiklan 2 kohdan d) alakohdan mukaan asetusta ei kuitenkaan sovelleta, kun toimivaltaiset viranomaiset muun muassa oikeusviranomaiset käsittelevät henkilötietoja rikosvastuun toteuttamiseksi. Näiltä osin tulee sovellettavaksi EU:n rikosasioiden tietosuojadirektiivin (2016/680) nojalla säädetyt kansalliset säännökset kuten rikosasioiden tietosuojalaki (1054/2018). Henkilötietojen käsittelyllä tarkoitetaan myös muun muassa henkilötietojen luovuttamista siirtämällä tai levittämällä ja luovuttamisesta on lähinnä säädetty tietosuojalain (1050/2018) 28 §:ssä viittaamalla säännöksiin viranomaisten toiminnan
julkisuudesta. Tietosuojaviranomaisella ei ole kuitenkaan tietosuoja-asetuksen 55 artiklan 3 kohdan tai rikosasioiden tietosuojalain (1054/2018) 45 §:n 2 momentin mukaan toimivaltaa valvoa henkilötietojen käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtävien yhteydessä.

Sitä, kuuluuko tuomioistuimessa käsiteltävien henkilötietojen luovuttaminen tuomioistuimen lainkäyttötehtäviin, on käsitelty Euroopan unionin tuomioistuimen (EUT) ennakkoratkaisussa asiatunnuksella C-245/20 Autoriteit Persoonsgegevens. Kyseisen 24.3.2022 annetun tuomion (ks. https://curia.europa.eu) mukaan menettely, jossa tuomioistuin asettaa tilapäisesti toimittajien käyttöön henkilötietoja sisältäviä oikeudenkäyntiasiakirjoja, jotta toimittajat voivat paremmin selostaa tuomioistuinmenettelyn kulkua, kuuluu mainitussa säännöksessä tarkoitettuun kyseisen tuomioistuimen ”lainkäyttötehtävien” suorittamiseen. Tämän perusteella katson, että henkilötietoja sisältävän asiakirjan luovuttaminen ja siten tällainen henkilötietojen käsittely, ei kuulu tietosuojaviranomaisen toimivaltaan ja päätän asian käsittelyn näiltä osin toimivaltaani kuulumattomana.

Perittävä maksu liittyy julkisuuslain 34 §:n mukaan niiden kustannusten korvaamiseen, joita asiakirjan esille hakemiseen ja antamiseen liittyy. Maksun määrään vaikuttaa oikeusministeriön maksuasetuksen (1385/2018) 5 §:n mukaan erityinen vaiva, joka liittyy salassa pidettävien kohtien arviointiin ja poistamiseen annettavasta otteesta tai jäljennöksestä. Vaikka olisi kyse tavanomaista vaivalloisemmasta asiakirjapyynnöstä ja siihen liittyvästä oikeudellisesta arvioinnista, syntyy itse maksuvelvollisuus vasta kun asiakirjapyyntö on toteutettu ja siten maksun perintä ja sen siirtäminen palvelukeskuksen hoidettavaksi eivät sisällä sellaista oikeudellista arviointia, jota voitaisiin pitää lainkäyttötehtävien yhteydessä tapahtuvana henkilötietojen käsittelynä. Tämä perusteella katson, että tietosuojaviranomaisen toimivaltaa valvoa tällaista käsittelyä ei rajoita edellä mainittu tietosuoja-asetuksen 55 artiklan 3 kohta.

Henkilötunnuksen kerääminen maksullisten asiakirjapyyntöjen yhteydessä

Henkilötunnuksen käsittelystä säädetään tietosuojalain 29 §:ssä. Säännöksen 2 momentin mukaan henkilötunnusta saa käsitellä saatavan perinnässä. Saatava voi syntyä eriaikaisista suoritteista kuten silloin, kun asiakirjatilauksesta peritään maksu jälkikäteen. Sen sijaan henkilötunnusta ei tule 4 momentin mukaan tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Asiassa saadun selvityksen mukaan kyseessä olevasta asiakirjapyynnöstä on peritty maksu jälkikäteen ja siten korkein oikeus voi vedota tietosuojalain 29 §:n 2 momenttiin henkilötunnuksen keräämiseksi. Asiassa ei ole myöskään ilmennyt, että henkilötunnusta olisi tarpeettomasti tulostettu ja merkitty laskutusjärjestelmän perusteella laadittuihin asiakirjoihin.

Tästä syystä katson, että korkeimmalla oikeudella on ollut tietosuojalain 29 §:n mukainen käsittelyperuste henkilötunnukselle. Itse henkilötietojen käsittelyä voidaan pitää oikeutettuna tietosuoja-asetuksen 6 artiklan 1 kohdan c) alakohdan perusteella eli käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.

Tiedonsaanti maksullisten asiakirjapyyntöjen esittäjistä ja saajista

Ilmoittaja katsoi, että on riski siitä, että tuomioistuimelta pyydetään tietoja niistä, jotka ovat pyytäneet ja saaneet asiakirjasta jäljennöksen. Toteutuneena riskinä olisi asiakirjan saaneisiin kohdistuvat kostotoimenpiteet, vaikka julkisuuslain 13 §:n mukaan tiedon pyytäjän ei tarvitse selvittää henkilöllisyyttään. Ilmoittajan käsityksen mukaan riski voisi toteutua erityisesti silloin kun rikosasiassa asianosainen pyytää julkisuuslain 11 §:n perusteella tietoja asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn.

Tietosuoja-asetuksen näkökulmasta kyse on asetuksen 5 artiklan 1 kohdan b) kohdassa tarkoitetusta käyttötarkoitussidonnaisuuden periaatteesta. Tässä tapauksessa on kyse siitä, miten maksun perintään käytettäväksi tarkoitettuja henkilötietoja suojataan yhteensopimattomia käsittelytarkoituksia vastaan. Tietosuoja-asetuksen 24 ja 25 artikloiden mukaan tarvittavia teknisiä ja organisatorisia toimenpiteitä arvioitaessa on otettava huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Korkein oikeus on tunnistanut esitetyn riskiskenaarion ja katsoo, ettei riski toteudu, kun rikostapauksen asianosaisille tällaisessa tapauksessa vastataan - antamatta saajia koskevia henkilötietoja - että tietojen vastaanottajina ovat olleet yleisöjulkisuuden perusteella tietoja pyytäneet luonnolliset henkilöt ja oikeushenkilöt. Vaikka korkein oikeus ei ilmoituksensa mukaan pidä mitään erillistä rekisteriä siitä, ketkä ovat asiakirjapyyntöjä tehneet, on maksun perintää varten saajien tiedot tallennettu em. laskutusjärjestelmään, jota ylläpitää Valtion talous- ja henkilöstöhallinnon palvelukeskus.

Se, miten tehokkaana korkeimman oikeuden toimintamallia voidaan pitää henkilötietojen suojan näkökulmasta, riippuu ainakin osittain julkisuuslain soveltamisesta tällaisiin maksun perintätietoihin. Ottamatta kantaa julkisuuslain soveltamiseen sen takia, ettei julkisuuslain ohjaus ja valvonta kuulu tietosuojaviranomaiselle, esitän tietosuojaasetuksen 57 artiklan 1 kohdan d) ja l) alakohtien perusteella, että korkein oikeus arvioi vielä esitetyn riskiskenaarion vakavuutta ja todennäköisyyttä esimerkiksi sillä perusteella, voidaanko laskutusjärjestelmän tiedoilla selvittää tiettyä asiakirjaa pyytäneet henkilöt, mikä voisi lisätä riskin toteutumisen todennäköisyyttä ja mikäli riskiä voidaan pitää korkeana ryhtyä toimenpiteisiin riskin pienentämiseksi tai poistamiseksi.

Tässä tapauksessa ei nähdäkseni ole kysymys rikosasioiden tietosuojalain 19 §:n lokitiedoista eikä 23 §:ssä tarkoitetusta rekisteröidyn tarkastusoikeudesta. Siitä, onko rekisteröidyllä asetuksen tiedollisten oikeuksien perusteella oikeutta saada tietoja hänen tietojaan käsitelleistä henkilöistä (lokitiedot), on vireillä Itä-Suomen hallinto-oikeuden ennakkoratkaisupyyntö EUT:ssa (C-579/21).

Pyydän korkeinta oikeutta ilmoittamaan esitetyn riskiskenaarion todennäköisyyden ja
vakavuuden uudelleen arvioinnista ja mahdollisista toimenpiteistä riskien pienentämiseksi
tai poistamiseksi 15.9.2022 mennessä.

Muutoksenhaku ja tiedoksianto

Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätökseen saa hakea muutosta
valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa
(808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.