Tulostusversio

3/2009

Profiili: Ahvenanmaan tietosuojaviranomainen

Teksti: Susanne Björkholm

Ahvenanmaan oma tietosuojaviranomainen, Datainspektionen, on Pohjoismaiden ja todennäköisesti myös Euroopan pienin ja uusin tietosuojaviranomainen.

Datainspektionen on riippumaton viranomainen, joka toimii hallinnollisesti Ahvenanmaan maakuntahallituksen alaisuudessa. Se aloitti toimintansa vasta 1. syyskuuta 2008.

Datainspektionen perustettiin niin sanotussa tietosuojadirektiivissä asetettujen vaatimusten täyttämiseksi.

Ahvenanmaa on osallistunut vuodesta 1995 lähtien suhteellisen itsenäisesti Suomen päätöksentekoon EU-asioista. Tämä tarkoittaa muun muassa sitä, että se on velvollinen siirtämään yhteisön säädökset osaksi ahvenanmaalaista lainsäädäntöä.

Ahvenanmaan itsehallintolaissa lainsäädäntö- ja hallintovalta on siirretty monilla tärkeillä aloilla maakuntapäiville ja maakuntahallitukselle.

Itsehallintolain mukaan Ahvenanmaan maakuntapäivillä on valta säätää lakeja, jotka koskevat muun muassa maakuntapäiviä, maakuntahallitusta ja sen alaisuudessa toimivia viranomaisia, kunnallishallintoa, terveyden- ja sairaanhoitoa (osittain), sosiaalihuoltoa ja opetusalaa sekä elinkeinoelämää muutamin poikkeuksin.

EU:n tietosuojadirektiivissä säädetään sen sijaan kaikenlaisesta henkilötietojen käsittelystä.

Yksityisyyden suojaamiseksi

Datainspektionenin tehtävänä on varmistaa, että tapa, jolla maakunta- ja kunnallisviranomaiset käsittelevät henkilötietoja, ei loukkaa kansalaisten yksityisyyttä.

Lisäksi se pyrkii havaitsemaan ja ehkäisemään varhaisessa vaiheessa yksityisyyteen kohdistuvia uhkatekijöitä. Se keskittyy arkaluonteisiin aloihin, uusiin ilmiöihin sekä alueisiin, joilla väärinkäytösten riskit ovat erityisen suuret.

Se auttaa myös kehittämään tehokasta ja oikeusturvan näkökulmasta luotettavaa sähköistä hallintoa erityisesti valvomalla yksityishenkilöiden yksityisyyttä.

Datainspektionen työskentelee laajalti ennaltaehkäisevien tietosuojakysymysten parissa. Se muun muassa tiedottaa erilaisille kohderyhmille siitä, mitä riskejä henkilötietojen käsittelyyn ja säilyttämiseen liittyy, siitä, että tietojen käsittelystä on ilmoitettava, ja siitä, millaisiin seurauksiin henkilötietojen virheellinen käsittely voi johtaa. Monissa tapauksissa on laadittu kirjalliset ohjeet.

Datainspektionen toimii myös valvontaviranomaisena. Näin ollen sillä on oikeus saada käyttöönsä käsiteltäviä tietoja ja kaikki valvonnan kannalta tarvittavat tiedot sekä oikeus päästä tiloihin, jotka liittyvät henkilötietojen käsittelyyn.

Sillä on myös valta antaa huomautuksia yms. epäkohtien korjaamiseksi, kieltää tietojen käsittely ja tehdä päätöksiä toiminnan lopettamisesta.

Yhteistyötä muiden viranomaisten kanssa

Datainspektionen tekee yhteistyötä maakunta- ja kunnallisviranomaisten kanssa. Osa yhteistyöhön kuluneesta ajasta on käytetty tehokkaiden työskentelymenetelmien kehittämiseen muun muassa seurantaan.

Tietosuojaviranomaisen tehtävänä on vaatia ahvenanmaalaisia viranomaisia olemaan käsittelemästä henkilötietoja, joita niillä ei saisi olla tai joiden luovuttaminen on kiellettyä. Tällaisia tietoja on saatettu säilyttää siksi, että ”niistä voi olla hyötyä”.

Julkisia rekistereitä ovat esimerkiksi ajoneuvorekisteri, kiinteistörekisteri ja Ahvenanmaan kotiseutuoikeusrekisteri. Julkisiin tietoihin liittyy väärinkäytösten riski. Niiden paikkaansa pitävyydelle ja sille, että ne ovat merkityksellisiä henkilörekisterin tarkoituksen kannalta, asetetaan erityisen tiukkoja vaatimuksia.

Viranomaisten ja muiden julkisoikeudellisten organisaatioiden työn helpottamiseksi verkkosivuilla on julkaistu rekisterikuvauslomake ja siihen liittyvä malli. Lisäksi Datainspektionen osallistuu luennoitsijana ja asiantuntijana erilaisiin kokouksiin yhteistyössä muiden viranomaisten kanssa.

Neuvonta ja ohjaustyössä on keskitytty pääasiassa opetusalaan mutta myös yleiseen hallintoon, terveydenhuoltoon ja sairaanhoitoon sekä sosiaalihuoltoon. Datainspektionen on järjestänyt yhdessä Ahvenanmaan kuntaliiton kanssa koulutusta muun muassa kunnanjohtajille, tietotekniikasta vastaaville henkilöille sekä muille johtavassa asemassa oleville virkamiehille.

Lisäksi osassa toimintaa on keskitytty muun muassa yksityishenkilöille annettavaan neuvontaan.

Oma henkilötietolaki

Ahvenanmaalla tietosuojadirektiivi on sisällytetty maakuntalakiin henkilötietojen käsittelystä maakunta- ja kunnallishallinnossa. Laki tuli voimaan 1. maaliskuuta 2008.

Tietosuojadirektiivin tavoin maakuntalaki perustuu henkilötietojen käsittelyn sääntelyyn. Laki ei ole kytköksissä mihinkään tekniikkaan. Sitä sovelletaan kaikkeen henkilötietojen kokonaan tai osittain automaattiseen käsittelyyn. Lakia sovelletaan myös muuhun henkilötietojen käsittelyyn, jos tiedot sisältyvät tai niiden on tarkoitus sisältyä johonkin jäsenneltyyn henkilötietojen kokoelmaan, josta tietoja voi hakea tai niistä voi tehdä koosteita tiettyjen kriteerien perusteella.

Laki perustuu pitkälti rekisteröityjen suostumukseen ja heille tiedottamiseen. Laissa säädetään myös tietojen luotettavuudesta ja virheellisten henkilötietojen oikaisemisesta.

Laissa asetetaan viranomaisille vaatimuksia, jotka koskevat sitä, miten niiden on järjestettävä muun muassa yksittäisille henkilöille tiedotusta siitä, millä tavoin jäsennellyssä muodossa viranomaiset käsittelevät henkilötietoja.

Laki koskee julkista valtaa

Ahvenanmaan henkilötietolakia sovelletaan kaikkeen maakunta- ja kunnallisviranomaisten harjoittamaan henkilötietojen käsittelyyn. Viranomaisilla tarkoitetaan Ahvenanmaan maakuntahallituksen yleistä hallintoa ja sen alaisia viranomaisia ja laitoksia.

Yleisen hallinnon lisäksi laki koskee esimerkiksi Ahvenanmaan terveyden- ja sairaanhoitoa, Ahvenanmaan ympäristö- ja terveydensuojeluviranomaista, maakunnan kouluja, Ahvenanmaan tilasto- ja tutkimustoimistoa ja moottoriajoneuvotoimistoa.

Lakia sovelletaan myös maakunnan ja kuntien liikelaitoksiin. Viranomaisen määritelmä käsittää myös maakuntapäivien yhteydessä toimivan hallinnon. Tällä tarkoitetaan maakuntapäivien kansliaa (myös maakuntapäivien kirjastoa) sekä Pohjoismaiden neuvoston Ahvenanmaan-valtuuskunnan sihteeristöä.

Viranomaisista annettuja säännöksiä sovelletaan myös luonnollisiin henkilöihin ja oikeushenkilöihin, jotka eivät ole osa varsinaista julkishallintoa mutta jotka ovat saaneet lain nojalla julkisen toimeksiannon. Tällainen välillinen hallinto edellyttää lisäksi julkisen vallan käyttämistä.

Lakia sovelletaan vain toimintaan, johon kuuluu julkisen vallan käyttämistä. Siispä säännökset koskevat virkamiesten lisäksi myös muita tahoja ja henkilöitä, jotka hoitavat julkisia tehtäviä. Näitä ovat esimerkiksi julkisoikeudelliset yhdistykset, kuten riistanhoitoyhdistykset tai valantehneet metsästyksenvalvojat, joiden tehtävänä on valvoa metsästystä riistanhoitoyhdistyksen toiminta-alueella.

Myös Suomen lakia noudatetaan

Niillä yksityisen sektorin oikeudenaloilla, joilla maakuntapäivillä on valta säätää lakeja, sovelletaan niin sanotun blankettilain nojalla Suomen henkilötietolakia. Saman blankettilain nojalla myös Ahvenanmaan poliisiviranomaisen henkilörekisteriin sovelletaan valtakunnan lakia poliisin henkilörekistereistä.

Blankettilakijärjestelmän soveltamista yksityiseen sektoriin ja poliisiviranomaiseen perusteltiin muun muassa sillä, että näillä aloilla lainsäädäntövalta jakautuu Ahvenanmaan ja Suomen välillä. Siksi blankettilakijärjestelmä on käytännössä tarkoituksenmukainen.

Yleisestä sairaanhoitotoiminnasta säädetään sekä maakuntalainsäädännössä että valtakunnan lainsäädännössä. Lainsäädäntövalta Ahvenanmaan yleisen terveyden- ja sairaanhoidon alalla kuuluu pääasiassa maakunnalle.

Jotta maakunnan viranomaiset voisivat toimia valvontaviranomaisina, on annettu sopimusasetus. Esimerkiksi potilasasiakirja-asetus, jota Ahvenanmaalla sovelletaan blankettilain nojalla, merkitsee sitä, että Ahvenanmaalla valvonnasta vastaa maakuntahallitus, ei Datainspektionen.

Muuhun sairaanhoidossa tapahtuvaan henkilötietojen käsittelyyn sovelletaan Ahvenanmaan henkilötietolakia. Lain nojalla valvontaviranomaisena toimii Datainspektionen.

Ahvenanmaalla toimiviin yksityisiin sairaanhoitopalvelujen tuottajiin sovelletaan edellä esitetyn mukaisesti valtakunnan henkilötietolakia. Valvontaviranomaisia ovat siten Helsingissä toimivat tietosuojavaltuutettu ja tietosuojalautakunta. Käytännössä Datainspektionista on tullut tietosuojavaltuutetun toimiston käyttämä välikäsi.

Laeissa on eroja

Ahvenanmaan ja Suomen henkilötietolakien välillä on eroja. Ahvenanmaan laissa esimerkiksi henkilötiedon määritelmä poikkeaa Suomen henkilötietolain määritelmästä. Ahvenanmaan laissa henkilötiedoksi määritellään kaikenlaiset tiedot, jotka voidaan yhdistää suoraan tai välillisesti elossa olevaan luonnolliseen henkilöön. Suomen lain mukaan kyseisen henkilön ei tarvitse olla elossa.

Lakien välisistä eroista seuraa suoraan, ettei Datainspektionen harjoita Ahvenanmaalla valvontaa, joka kohdistuisi menehtyneitä potilaita koskeviin julkisen terveydenhuollon potilasasiakirjoihin.

Toinen esimerkki Ahvenanmaan ja Suomen lakien välisistä eroista liittyy oikeuteen käyttää osaa viranomaisten henkilörekisterien sisältämistä henkilötiedoista suoramarkkinointiin sekä markkina- ja mielipidetutkimuksiin. Ahvenanmaan lain mukaan viranomaiset saavat luovuttaa henkilötietoja vain rekisterissä olevan henkilön luvalla tai erityislainsäädännön nojalla.

Suomen laki edellyttää sen sijaan näissä tapauksissa rekisterissä olevalta henkilöltä aktiivista toimintaa. Toisin sanoen rekisterissä olevalla henkilöllä on oikeus kieltää rekisterin ylläpitäjää luovuttamasta tietojaan muun muassa suoramainontaan tai markkina- ja mielipidetutkimuksiin.

Tietosuojadirektiivin mukaan kunkin jäsenvaltion on valittava yksi tai useampi viranomainen, joka saa tehtäväkseen valvoa omalla alueellaan niiden säännösten noudattamista, joita jäsenvaltio hyväksyy direktiivin pohjalta. Ahvenanmaan lainsäädännön mukaan valvontaviranomaisena toimii Datainspektionen, kun taas Suomen lain mukaan valvontavastuu jakautuu tietosuojavaltuutetun ja tietosuojalautakunnan kesken.

Rajalliset resurssit

Datainspektionenin operatiivisesta toiminnasta vastaa sen johtaja. Henkilökuntaan kuuluu tällä hetkellä yksi kokopäiväinen työntekijä.

Todellisena haasteena on löytää varsin rajallisista resursseista huolimatta tehokas työskentelytapa ja tehdä hyvää työtä.

Viime kädessä Datainspektionenin tavoitteena on tarjota kansalaisille yhteistyössä Suomen viranomaisten kanssa parasta mahdollista palvelua riippumatta siitä, onko valvontaviranomainen Maarianhaminassa toimiva Datainspektionen vai Helsingissä toimiva tietosuojavaltuutetun toimisto.

Ahvenanmaan tietosuojaviranomaisen verkkosivut >>

------

[KIRJOITTAJA]

Susanne Björkholm on Datainspektionenin johtaja.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.