Tulostusversio

4/2011

Palveluntarjoajan vastuu: Rekisteritietojen tarkastus etanapostin varassa

Teksti: Marianne Saine

Sähköinen asiointi on nykypäivää, mutta henkilörekisterin tietojen tarkastaminen elää dinosaurusten aikaa. Organisaatiot voisivat vaihtaa paperisen tarkastuspyynnön sähköiseen ainakin silloin, kun verkkopalvelussa käytetään asiakkaan vahvaa tunnistamista.

Henkilötietolain mukaan jokaisella on oikeus tarkastaa itseään koskevat henkilötietorekisteriin talletetut tiedot. Kansalaiset eivät lähettele henkilötietojen tarkastuspyyntöjä yrityksille ja viranomaisille pilvin pimein. Kiinnostus on kuitenkin kasvamassa sitä mukaa kuin media kertoo tietosuojarikkeistä.

Tietosuojan toimitus päätti kokeilla henkilötietojen tarkastamisoikeuden sujuvuutta ja nopeutta. Viidelle organisaatiolle lähetettiin rekisteritietojen tarkastuspyyntö. Pyynnöissä käytettiin mallilomaketta, jonka voi tulostaa tietosuojavaltuutetun toimiston nettisivuilta.

Pienessä kansalaistestissä katsottiin myös, miten yritykset ja virastot tiedottavat tietojen tarkastamisoikeudesta nettisivuillaan. Sivustoja käytiin läpi marraskuun alussa.

Netissä piti klikata monesti

Nettisivun laatijan logiikkaa joutuu arvailemaan löytääkseen rekisteriselosteen ja tarkastusohjeet. K-ryhmän kanta-asiakasohjelman sivuilla tiedot olivat kahden hiirenpainalluksen takana, kohdassa ’Sopimusehdot’. Kelalla tieto on sinänsä loogisessa paikassa mutta neljän klikkauksen takana. 

Liikenteen turvallisuusvirasto Trafi palveli hyvin. Kun oikeaa sivua ei arvailun jälkeen löytynyt, asiakaspalveluun lähetettiin tiedustelu sähköpostilla. Tietopalvelun ylitarkastaja soitti ja valisti etsijää. Jos haluaa tietoja ajoneuvorekisteristä, pitää älytä napsauttaa kohtaa ’Tieliikenne’ eikä etsiä tietoja etusivun linkkivalikosta.

Trafin sivuilla tarkastuspyynnön voi lähettää myös sähköisellä lomakkeella. Tunnistautumiseen käytetään pankkitunnuksia tai kansalaisvarmennetta.

Toista ääripäätä edustivat Helsingin kaupungin terveyspalvelujen sivut. Siellä ei ollut lainkaan tietoa tarkastusoikeudesta, saati sitten rekisteriselostetta. Sivuilla oli lupaavia otsikoita: ’Terveyskeskuksen lomakkeet’ ja vielä ’Yleislomakkeet’. Vaan ei: Lomakkeita on tarjolla esimerkiksi piilolinssien korvaushakemuksille, rintamaveteraaneille ja elämänkaaren tiedonkeruulle, mutta ei omien rekisteritietojen tarkistamiseen. 

Terveyspalvelujen asiakaspalvelusta kysyttiin sähköpostitse, mihin tarkastuspyynnön voisi lähettää. Potilasasiamies soitti ja neuvoi lähetysosoitteen. Hän myös pahoitteli, ettei sivuilla ole asiasta tietoa ja lupasi viedä tiedon puutteesta eteenpäin.

Paperi- ja sähköpostilla

Rekisteritietojen tarkastuspyyntö lähti kirjeitse Helsingin kaupungin terveysasemalle, Trafille ennen sähköisen lomakkeen löytymistä ja K-kauppojen kanta-asiakaskorttia hallinnoivalle K-Plus Oy:lle.

Isolle verkkokaupalle NetAnttilalle ja pienelle koiratarvikkeita myyvälle TassuTarvikkeelle pyyntö lähetettiin sähköpostina. Vastausta toivottiin kokeeksi samalla tavalla. Allekirjoitettu lomake skannattiin ja liitettiin sähköpostiin. Lomakkeessa oli pyytäjän yhteystiedot ja henkilötunnus.

TassuTarvike vastasi heti sähköpostilla. Se kertoi, että rekisterissä on asiakkaan nimi- ja yhteystiedot. Mitään tietoja ei luovuteta ulkopuolisille tahoille.

NetAnttila hoiti asian myös ripeästi. Rekisterin vastuuhenkilö ilmoitti sähköpostilla lähettävänsä tiedot heti postitse. Sähköpostilla yritys ei niitä suostunut lähettämään tietoturvasyistä.

Tietoja ei saa hetkessä

Lain mukaan pyydetyt tiedot pitää antaa ilman aiheetonta viivytystä. Tämä ei tarkoita ihan heti. Rekisterinpitäjä saattaa tarvita aikaa arvioidakseen, voidaanko kaikki tiedot antaa.

Takaraja tietojen antamiselle on kolme kuukautta. Jos rekisterinpitäjä ei anna tietoja siihen mennessä, sen katsotaan kieltäytyneen tietojen antamisesta, ja tietosuojavaltuutettu voi puuttua asiaan.

Toimitusajasta ei yleensä anneta tietoja tai etukäteislupauksia. Hobby Hall oli ensin testilistalla mutta pyyhkiytyi pois: yritys näet ilmoitti toimitusajan olevan aina kolme kuukautta.

Rekisterinpitäjille varattiin kohtuulliset kaksi viikkoa aikaa toimittaa rekisteritiedot. Kaikki, joilta tietoja pyydettiin, toimittivat tiedot tässä ajassa.

Tarkastus ei elä tietoyhteiskunnassa

Testin tulokseksi jäi hämmästys.

Suomi on viritetty tietoyhteiskunnaksi, jossa vauhditetaan monin tavoin kansalaisten mahdollisuutta sähköiseen asiointiin.

Kuluttajamarkkinoilla mahdollisuus on muuttumassa velvollisuudeksi. Pankkiasiat on miltei pakko hoitaa verkossa, yritykset ohjaavat käyttämään asiakaspalvelussa sähköpostia muuttamalla puhelut lisämaksullisiksi, ja e-laskun käyttämiseen painostetaan perimällä paperilaskusta lisämaksu.

Sen sijaan henkilötietojen tarkastus elää sekä yrityksissä että viranomaisissa dinosaurusten aikaa. Henkilötietolain mukaan tarkastamista pitää pyytää kirjeellä tai henkilökohtaisesti toimipaikassa. Jos rekisteriseloste on nähtävillä ja siinä on vastuuhenkilön yhteystiedot, ne ovat paperipostia varten. Rekisteritietojen saamista pitää odottaa viikkotolkulla. 

Tietosuojalainsäädäntö on tullut voimaan aikana, jolloin sähköisestä asioinnista ei tiedetty mitään. Tietosuojavaltuutetun ohjeen mukaan tarkastuspyyntö pitää tehdä omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa. Arkaluonteista tai salassa pidettävää henkilötietoa ei suositella lähetettäväksi sähköpostilla.

Mutta vaikka yritys tai virasto tarjoaa sähköisiä palveluja ja tunnistaa asiakkaansa vahvan tunnistamisen menetelmällä, tarkastuspyynnön tekeminen sähköisesti ei välttämättä onnistu. Trafi on tässä myönteinen poikkeus.

Esimerkiksi moni etuus- ja veroasia hoituu nykyään verkossa, mutta tietojen tarkastuspyynnön tekemiseen sekä Kela että Verohallinto edellyttävät yhä paperipostia tai käyntiä toimipisteessä.

Lue myös

Palveluntarjoajan vastuu: Uusyrittäjää ei neuvota tietosuojasta »
Palveluntarjoajan vastuu: Yritykset luottavat tietoturvaansa »
Palveluntarjoajan vastuu: Yrittäjän linkkivinkit »
Palveluntarjoajan vastuu: Rekisterinpitäjän muistilista »
Palveluntarjoajan vastuu: Verkkokauppias vastaa tietoturvasta »
Palveluntarjoajan vastuu: Verkkokauppias, tarkista nämä! »
Palveluntarjoajan vastuu: Finnair vannoo PCI:n nimiin »
Palveluntarjoajan vastuu: Raportointi auttaa noudattamaan lakia »
Palveluntarjoajan vastuu: Lainsäädäntö ohjaa toimimaan tietoturvallisesti »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.