Tulostusversio

3/2014

Loki paljastaa urkkijan

Teksti: Kirsi Castrén
Kuvat: Shutterstock

TS_314_Loki2.jpgLoki osoittaa henkilörekisterin väärinkäytökset, mutta ihan kuka tahansa ei pääse lokitietoja katsomaan.

Sähköisten henkilörekisterien väärinkäyttöä estetään lokivalvonnalla. Väärinkäytösepäilyissä järjestelmästä voidaan hakea rekisteriin tallentuneet tiedot siitä, ketkä ovat käsitelleet tietoja, ja luovuttaa tiedot epäillyn urkinnan kohteelle.

Viranomaisten ylläpitämissä henkilörekistereissä lokitietojen luovuttamista säädellään lailla. Sosiaali- ja terveydenhuollon asiakkaan yksityisyyttä turvaa erityislaki, jonka mukaan asiakkaalle tulee antaa tiedot hänen henkilötietojaan käsitelleistä viimeisen kahden vuoden ajalta ilman erityistä syytä. Muilla hallinnonaloilla lokitietoja luovutetaan harkinnanvaraisesti julkisuuslain asianosaisen tiedonsaantioikeuden nojalla.

Tietopyyntö vaatii perusteluja

Lokitietojen luovuttamisesta julkisuuslain mukaan on tuore Korkeimman hallinto-oikeuden (KHO) ennakkopäätös toukokuulta.

Aviopari epäili poliisien urkkineen tietojaan. Poliisilaitos luovutti lokitiedot ajalta, johon sisäinen selvitys kohdistui. Muilta pyydetyiltä ajanjaksoilta laitos ei antanut tietoja perusteluinaan tutkinnan turvaaminen ja resurssipula. KHO:n mukaan lokitiedot on oikeus saada vain, mikäli tiedot ovat voineet vaikuttaa jonkin tiedon pyytäjää koskevan asian käsittelyyn.

Hallinto-oikeuksissa on käsitelty poliisihallinnolle esitettyjä lokitietopyyntöjä aiemminkin.

”Ratkaisut ovat olleet samansuuntaisia ja poliisin näkökulmasta oikeita", kommentoi rekisterinpitopäällikkö Jari Råman Poliisihallituksesta.

”Lokitietopyyntöjä tulee poliisille kohtalaisen paljon, joten joudumme usein pyytämään täydennystä perusteluihin."

Henkilötietojen asiaton käsittely on henkilörekisteririkos, jota epäilevä voi tehdä rikosilmoituksen. Se ei Råmanin mukaan kuitenkaan ole lokitietojen saamisen edellytys:

”Riittää, kun tietopyynnössä pystyy yksilöimään, miksi olettaa tietojaan urkitun.”

Kun väärinkäytösepäily on yksilöity riittävän tarkasti, rekisterinpitäjä pystyy arvioimaan, onko lokitietojen pyytäjä asianosainen ja onko hänellä siten oikeus saada tiedot.

Väärinkäyttöepäily täytyy selvittää

Tietosuojavaltuutetulta kysytään toisinaan oikeudesta saada lokitiedot. Henkilötietolain mukaan rekisteröidyllä eli rekisteriin merkityllä henkilöllä on oikeus tarkistaa itseään koskevat tiedot. Tämä oikeus ei kuitenkaan koske lokimerkintöjä, koska ne ovat rekisterin käyttäjän eivätkä rekisteröidyn henkilötietoja.

Tietosuojavaltuutetun toimivalta ei ulotu julkisuuslain soveltamiseen. Hallinto-oikeudet eivät esimerkiksi pyydä tietosuojavaltuutetulta lausuntoa ratkaistessaan lokitietopyynnöistä tehtyjä valituksia.

”Riippumatta siitä, luovutetaanko lokitietoja vai ei, rekisterinpitäjän velvollisuus on selvittää väärinkäyttöepäilyt”, painottaa ylitarkastaja Arto Ylipartanen tietosuojavaltuutetun toimistosta. 

Käyttäjästä pitää jäädä jälki

Tietosuojavaltuutettu on antanut ohjeita väärinkäyttöepäilyn selvittämisestä, jotta sekä tietojen pyytäjän että käyttäjän oikeudet toteutuisivat. Selvittämisprosessin tärkein edellytys on riittävän tarkka käyttöloki.

Euroopan ihmisoikeustuomioistuin (EIT) tuomitsi vuonna 2008 Suomen valtion korvauksiin. Potilastietojensa urkintaa epäillyt henkilö ei pystynyt osoittamaan epäilyään toteen, koska potilastietoihin ei vielä tuolloin jäänyt jälkeä käyttäjistä. 

”EIT:n tuomio muistuttaa siitä, kuinka tärkeää rekisterinpitäjän on huolehtia, että väärinkäyttöepäily kyetään selvittämään”, Ylipartanen toteaa.  

Hän korostaa myös, että väärinkäytösten selvittämisen lisäksi rekisterinpitäjien tulisi tehdä oma-aloitteista valvontaa esimerkiksi automaattisella lokivalvontajärjestelmällä.

Sairaanhoitopiirissä pyyntö on ilmoitusasia

Terveydenhuollossa potilas saa ilman erityistä syytä lokitietonsa kahden vuoden ajalta.

”Pitemmällekään ajalle ulottuvia tietopyyntöjä harvoin evätään, vaikka potilas ei haluaisi esittää tarkempaa perustelua”, kertoo johtajaylilääkäri Hannu Puolijoki Etelä-Pohjanmaan sairaanhoitopiiristä.

Puolijoen mukaan tietoja pyytävällä on yleensä epäily siitä, kuka on voinut käydä asiattomasti hänen tiedoissaan.

”Esimerkiksi naapuri, joka on töissä sairaalassa. Kaikki eivät silti halua tuoda esille, ketä epäilevät."

Etelä-Pohjanmaan sairaanhoitopiiri saa potilailta vuosittain 30–40 lokitietojen selvityspyyntöä. Niistä 10–15 prosentissa löytyy perusteita väärinkäyttöepäilylle, ja ne tapaukset on viety poliisille. Joistakin on tullut sakkotuomioita.  

Lue myös

Rekisterinpitäjä: näin varaudut selvityspyyntöön »
Robotti seuloo pian terveydenhuollon lokitiedot »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.