Tulostusversio

3/2008

Kunnat: PARAS nostaa tietosuojahaasteet esille

Teksti: Sami Uotinen

Kunta- ja palvelurakennehankkeen takia osa kunnista järjestelee uudelleen sosiaali- ja terveyspalvelujaan. Samalla henkilörekisterien ylläpidossa tapahtuu muutoksia. Tätä varten ei ole laadittu uusia säännöksiä, mutta jatkossa sääntelyn tarve on syytä arvioida huolellisesti. Varmaa on, että palveluja järjestellään uudelleen jatkossakin.

Kuntien yhdistymisiä on tapahtunut vuosittain, palveluja on uudelleen organisoitu perustamalla, yhdistämällä ja lakkauttamalla kuntayhtymiä. Kuntien välistä yhteistoimintaa on kokeiltu erilaisissa muodoissaan – mukaan lukien isäntäkuntamalli, jossa jonkin toiminnallisen kokonaisuuden tehtävät annetaan yhden kunnan hoidettavaksi.

Mikä sitten on uutta kunta- ja palvelurakennehankkeessa? PARAS-hankkeen myötä huomion keskipisteessä ovat tällä kertaa hallinnon organisoinnin muodot. Myös määrällisesti kuntien yhdistymisiä ja palvelutoiminnan uudelleen organisointeja tapahtuu ylivertainen määrä verrattuna aiempiin vuosiin. Nyt ei voida puhua enää yksittäistapauksista, jollaisina ne aiempina vuosina mielellään nähtiin. Säädöspohjan on oltava selkeä myös henkilötietojen suojassa.

Yhdistymisissä tulkitaan henkilötietolakia

Kuntien yhdistyessä niiden tarjoamien palvelujen asiakasrekisterit yhdistetään. Lainsäädännössä ei ole nimenomaisia säännöksiä siitä, miten henkilötiedot suojataan yhdistämisprosessissa, vaikkakin ne ovat olleet esillä.

Perusrekisterinpitäjien ja sidosryhmien muodostaman yhteistyöelimen, rekisteripoolin tietosuojajaosto katsoi selvityksessään vuonna 2006, että kuntien yhdistymisiin liittyvä lainsäädäntö – ensisijaisesti kuntajakolaki – tulisi arvioida henkilötietojen suojan näkökulmasta.

Asiakasrekisterien yhdistämistä koskevan pykälän sisällyttäminen kuntajakolakiin oli esillä tänä keväänä. Hallituksen esitykseen säännöstä ei kuitenkaan tullut, koska oikeusministeriössä sääntelytarve haluttiin arvioida laajempana kysymyksenä henkilötietolain arviointihankkeen yhteydessä.

Oikeusministeriön näkemyksen mukaan henkilötietolakia voidaan vireillä olevissa kuntien yhdistymisissä tulkita siten, että henkilörekistereiden järjestelyt ovat mahdollisia kuntajaon muutosta koskevan valtioneuvoston päätöksen antamisen jälkeen.

Ministeriö viittaa henkilötietolain kohtaan, jonka mukaan henkilötietoja saa käsitellä, jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta.

Tietosuojavaltuutettu on myös käsittelyt kunta- ja palvelurakenneuudistuksen myötä esille nousseita tietosuojakysymyksiä. Tuoreemmassa kannanotossa (21.4.2008, Dnro 617/41/2008) oli kysymys henkilötietojen siirtämisestä palvelujen järjestämisvastuun siirtyessä esimerkiksi uudelle kunnalle.

Kannanoton mukaan esimerkiksi tilanteissa, joissa vanhat kunnat lakkaavat ja perustetaan uusi kunta, voidaan uudelle kunnalle siirtää sellaiset tietojärjestelmässä tai paperimuodossa olevat asiakastiedot, jotka ovat tarpeen asiakassuhteiden yms. hoitamiseksi.

Tiedot voidaan siirtää valtioneuvoston tai ministeriön kuntajakopäätöksen antamisen jälkeen. Sen sijaan kuntien ”passiiviarkistojen” säilyttämisestä tulee sopia arkistolaitoksen ohjeiden mukaisesti. Huomattava on, että uudelle kunnalle siirtyy lakanneille kunnille kuulunut palveluiden järjestämisvastuu.

Isäntäkunta toimii rekisterinpitäjänä

PARAS-hanke lisää tilanteita, joissa useat kunnat järjestävät yhteistoiminnassa asukkailleen palveluja. Tämäkin tuo haasteita henkilötietojen suojalle.

Hankkeesta annetun puitelain mukaan vaihtoehdot yhteistoiminta-alueen muodostamiseen ovat joko kuntayhtymä tai isäntäkuntamalli. Isäntäkuntamallissa kunnat sopivat, että tehtävä annetaan toisen kunnan hoidettavaksi yhden tai useamman kunnan puolesta.

Tietosuojavaltuutettu otti jo viime vuonna kantaa rekisterinpitoon isäntäkuntamallin yhteydessä (22.2.2007, Dnro 150/49/2007). Kannanotossa esitetyt periaatteet ovat soveltuvin osin voimassa myös siirrettäessä palvelujen järjestämisvastuu esimerkiksi kuntayhtymälle.

Lähtökohtana arvioinnissa on henkilötietolain määritelmä rekisterinpitäjästä, jonka mukaan rekisterinpitäjä on esimerkiksi sellainen yhteisö tai laitos, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on laissa säädetty.

Isäntäkuntaa tai sen asianomaista organisaatiota voidaan tietosuojavaltuutetun mukaan pitää henkilötietolain tarkoittamana rekisterinpitäjänä, koska palvelujen järjestämisvastuu ja sitä myöten myös rekisterinpitäjän vastuu siirtyy sille. Rekisterinpitäjänä voi näin ollen toimia sosiaalihuollossa yhteinen lautakunta ja terveydenhuollossa toimintayksikkö, esimerkiksi isäntäkunnan terveyskeskus.

Tietosuojavaltuutetun mukaan sopimusyhteistyössä mukana olevista kunnista olevien asiakkaiden tiedot voidaan pitää samassa tai samoissa rekistereissä. Erillisiä kuntakohtaisia rekisterejä ei siis edellytetä. Tietojen tallettaminen rekistereihin tulee kuitenkin suorittaa siten, että tiedoista pystytään tulostamaan ja erottamaan erikseen eri sopimuskuntien asukkaiden tiedot. Tämä on tärkeää laskutuksen kannalta ja erityisesti silloin, jos yhteistyösopimus päättyy.

Tietosuojavaltuutetun kannanottojen avulla voitaneen vastata huomattavaan osaan PARAS-hankkeeseen liittyvistä tietosuojahaasteista. Uudistuksen etenemisen myötä noussee vielä esille uusiakin kysymyksiä. Toivottavaa kuitenkin olisi, että nimenomaisten säännösten tarve jatkossa arvioitaisiin huolellisesti. Varmaa on, että palveluja organisoidaan uudelleen jatkossakin.

------

[KIRJOITTAJA]

Sami Uotinen toimii lakimiehenä Suomen Kuntaliitossa.

Lue myös

Kunnat: Mikä PARAS? »
Kunnan julkiset ja salaiset tiedot »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.