Jyri Paasonen

#tietosuoja

Blogi

Yksityisen turvallisuusalan henkilörekisteri – kumpi on tärkeämpää: journalistinen tarkoitus vai kansallinen turvallisuus?

by
Kommentit pois päältä artikkelissa Yksityisen turvallisuusalan henkilörekisteri – kumpi on tärkeämpää: journalistinen tarkoitus vai kansallinen turvallisuus?

Korkeimman hallinto-oikeuden ratkaisussa (KHO 2022:112) on kyse Ylen toimittajan Poliisihallitukselle esittämästä tietopyynnöstä, jossa hän on pyytänyt saada Poliisihallitukselta sähköisenä kopiona järjestyksenvalvoja- ja vartijahyväksynnän saaneita henkilöitä, mukaan lukien väliaikaisen vartijakortin saaneet henkilöt ja tilapäiset järjestyksenvalvojat, koskevan henkilörekisterin.

Aineisto koski poliisin hallintoasiain tietojärjestelmään sisältyviä noin 60 000 henkilöä koskevia tietoja, jotka on pyydetty toimittamaan journalistisiin tarkoituksiin. Poliisihallitus ei luovuttanut tietoja pyydetyllä tavalla, vaan rajasi ne annettavaksi nähtäväksi Poliisihallituksen tiloissa siten, että tietopyynnön esittäjä saapuu paikalle tutustumaan tietopyynnön kohteena oleviin tietoihin erikseen sovittavan menettelyn mukaisesti.

Tapauksessa on ollut ensin Helsingin hallinto-oikeuden (15.6.2020, nro 20/0561/1) ja myöhemmin korkeimman hallinto-oikeuden arvioitavana kysymys siitä, onko Poliisihallitus voinut kieltäytyä luovuttamasta toimittajalle tämän pyytämää tietoaineistoa sähköisessä muodossa.

Tapauksen käsittely Helsingin hallinto-oikeudessa

Toimittaja oli pyytänyt Poliisihallitukselta sähköisessä muodossa luetteloa järjestyksenvalvoja- ja vartijahyväksynnän saaneista henkilöistä siten, että listasta ilmenee henkilön koko nimi, syntymäaika, kansalaisuus, sukupuoli, myöntänyt viranomainen, myöntämispäivämäärä, voimassaoloaika, koulutustiedot, ehdot ja rajoitukset sekä koiratieto.

Helsingin hallinto-oikeus on todennut esitettyjen asiakirjojen perusteella, ettei tällaista listausta ole suoraan tulostettavissa poliisin hallintoasiain tietojärjestelmästä, vaan se tulee erikseen luoda. Hallinto-oikeus on näin ollen todennut, ettei kyse ole julkisuuslain 16 §:n 2 momentin ensimmäisessä virkkeessä tarkoitetusta viranomaisen ratkaisuista automaattisen tietojenkäsittelyn avulla ylläpidetyn rekisterin tiedoista.

Hallinto-oikeus on katsonut, että tietopyytäjän pyytämät tiedot muodostavat julkisuuslain 16 §:n 3 momentissa tarkoitetun viranomaisen henkilörekisterin. Kyseisessä lainkohdassa on säädetty erityisedellytyksiä sille, että tällaiseen henkilörekisteriin sisältyviä henkilötietoja voidaan luovuttaa kopiona, tulosteena tai sähköisessä muodossa.

Tietojen luovuttaminen sähköisessä muodossa on kuitenkin julkisuuslain 16 §:n 2 momentin toisessa virkkeessä tarkoitetulla tavalla viranomaisen harkinnassa silloinkin, kun kyse on 3 momentissa tarkoitetuista tiedoista. Näin ollen Poliisihallitus on voinut julkisuuslain 16 §:n 2 momentissa säädetyn harkintavaltansa nojalla esittämillään syillä kieltäytyä luovuttamasta tietoja valittajan pyytämässä sähköisessä muodossa, vaikka 3 momentissa säädetyt luovuttamisen edellytykset sinänsä olisivat käsillä.

Tapauksen käsittely korkeimmassa hallinto-oikeudessa

Toimittaja oli pyytänyt lupaa valittaa Helsingin hallinto-oikeuden päätöksestä ja on valituksessaan vaatinut, että hallinto-oikeuden ja Poliisihallituksen päätökset kumotaan ja Poliisihallitus velvoitetaan luovuttamaan toimittajan pyytämät tiedot tietopyynnön mukaisesti. Korkeimmassa hallinto-oikeudessa oli ratkaistavana ensinnäkin, onko pyydettyjen henkilötietojen antamiselle poliisin hallintoasiain tietojärjestelmästä pyydetyllä tavalla julkisuuslain 16 §:n 3 momentissa tarkoitetut edellytykset ja mikä on mainitun lainkohdan suhde sovellettavaksi tulevaan saman pykälän 2 momentin säännökseen nähden.

Ratkaistavana oli myös se, onko poliisin hallintoasiain tietojärjestelmä joko sinällään julkisuuslain 16 §:n 2 momentin ensimmäisessä virkkeessä tarkoitettu viranomaisen ratkaisuista automaattisen tietojenkäsittelyn avulla ylläpidetty rekisteri tai sisältyykö siihen järjestyksenvalvoja- ja vartijahyväksynnän saaneita henkilöitä koskeva sanotussa lainkohdassa tarkoitettu rekisteri vai onko kysymys saman momentin toisessa virkkeessä tarkoitetusta muusta julkisesta asiakirjasta.

Lisäksi korkein hallinto-oikeus arvioi kysymystä tietojen antamistapaa koskevista edellytyksistä sovellettavan julkisuuslain 16 §:n 2 momentin säännöksen perusteella ja tässä yhteydessä toimittajan valituksessa esitetyn johdosta otti kantaa myös siihen, mikä merkitys julkisen sektorin hallussa olevien tietojen uudelleenkäyttöä koskevalla Euroopan parlamentin ja neuvoston direktiivillä ja sen muuttamisesta annetulla direktiivillä mahdollisesti on nyt esillä olevan tietojen antamistapaa koskevan kysymyksen ratkaisemisessa.

Korkein hallinto-oikeus oli ensinnäkin arvioinut tapauksessa, että julkisuuslain 16 §:n 3 momentin mukaiset edellytykset tietojen luovuttamiselle sähköisenä kopiona täyttyvät. Korkein hallinto-oikeus oli todennut 16 §:n 3 momentin osalta, että lainkohdassa tarkoitettujen luovutuksensaajaa koskevien edellytysten on täytyttävä, jotta tietoja voidaan antaa lainkohdassa tarkoitetuilla tiedonantotavoilla.

Korkein hallinto-oikeus katsoi, että lainkohdan sanamuodosta ”saa antaa” huolimatta on katsottava, että lainkohdalla ei ole tarkoitettu antaa viranomaiselle henkilötietojen antamistapaa koskevaa harkintavaltaa, vaan kysymys on tietojen lainkohdassa tarkoitetuilla tavoilla tapahtuvan antamisen ehdottomien edellytysten arvioimisesta. Tällä tulkinnalla korkein hallinto-oikeus argumentoi Poliisihallituksen antaman päätöksen perusteluja vastaan, jonka mukaan edellä mainitun säännöksen tulkinnan mukainen harkinta tietojen antamisesta ei olisi viranomaista pakottava velvollisuus.

Ratkaistavana olleeseen asiaan siitä, onko Poliisihallituksen hallintoasiain tietojärjestelmä julkisuuslain 16 §:n 2 momentin ensimmäisessä virkkeessä tarkoitettu rekisteri, korkein hallinto-oikeus on yhtä mieltä Helsingin hallinto-oikeuden ratkaisun kanssa, ettei sanottu lainkohta tule sovellettavaksi. Ratkaisunsa korkein hallinto-oikeus on perustanut näkemykseen, ettei hallintoasiain tietojärjestelmään sisälly järjestyksenvalvoja- ja vartijahyväksynnän saaneita henkilöitä koskevaa sanotussa lainkohdassa tarkoitettua rekisteriä.

Tähän nähden ja kun lisäksi on otettu huomioon Poliisihallituksen päätöksentekohetkellä voimassa olleen henkilötietojen käsittelystä poliisitoimessa annetun lain 3 §:n 2 momentti ja 3 momentin 6 kohta sekä asiakirjoista saatava selvitys, järjestyksenvalvoja- ja vartijahyväksynnän saaneita henkilöitä koskevien tietojen ei voida katsoa sisältyvän hallintoasiain tietojärjestelmään pelkkinä ratkaisuina taikka ratkaisuja koskevina valmiina luetteloina tai koosteina sen kaltaisesti kuin julkisuuslain 16 §:n 2 momentin ensimmäisessä virkkeessä on katsottava tarkoitetun.

Tietojen antamistapaa koskevassa arvioinnissa korkein hallinto-oikeus on siis katsonut sovellettavaksi julkisuuslain 16 §:n 2 momentin toista virkettä, joka koskee tietojen antamista sähköisessä muodossa muusta julkisesta asiakirjasta kuin momentin ensimmäisessä virkkeessä tarkoitetusta rekisteristä. Sovellettavan lainkohdan takia tietojen antaminen toimittajan pyytämällä tavalla sähköisessä muodossa on Poliisihallituksen harkinnassa.

Korkein hallinto-oikeus on kuitenkin todennut, ettei viranomaisen harkinta asiassa ole vapaata, vaan Poliisihallituksen tulee harkinnassaan ottaa huomioon mitä, julkisuuslain 17 §:n 1 momentissa on säädetty. Harkinnassa tulee erityisesti ottaa huomioon pyydettyjen tietojen käyttötarkoitus suhteessa julkisuusperiaatteeseen ja sen tarkoitukseen sekä tässä yhteydessä kiinnitettävä huomiota siihen, että tietoja on nyt pyydetty journalistisessa eli julkisuusperiaatteen toteutumisen kannalta keskeisessä tarkoituksessa.

Poliisihallitus ei ollut päätöksissään käyttänyt sovellettavan lainkohdan osalta osoitettua harkintavaltaa, vaan se on päätöksessään soveltanut virheellisesti julkisuuslain 16 §:n 2 momentin ensimmäistä virkettä. Korkein hallinto-oikeus on tältä osin katsonut, että Poliisihallituksen päätökset on kumottava ja asia palautettava Poliisihallitukselle uudelleen käsiteltäväksi asian ratkaisemiseksi julkisuuslain 16 §:n 2 momentin toisen virkkeen soveltamista koskevalta osalta.

Tietopyyntö Ylelle luovutetusta henkilörekisteristä ja henkilötietojen käsittely journalistisissa tarkoituksissa

Minulla on voimassa oleva hyväksyntä sekä vartijaksi että järjestyksenvalvojaksi. Tämän takia tein Ylen tietosuojavastaavalle kirjallisen tietosuoja-asetuksen mukaisen tietopyynnön 18.5.2023, koska he saivat Poliisihallitukselta yksityisen turvallisuusalan henkilörekisterin, jossa on myös minun henkilötietoni. Tietopyynnössä tiedustelin, että mitä henkilötietoja heillä on minusta, miten niitä käsitellään ja kuka on niitä käsitellyt.

Ylen tietosuojavastaava vastasi kirjallisesti 24.5.2023, että kyseiset tiedot on hankittu Ylelle ainoastaan journalistista tarkoitusta varten ja tästä syystä tietosuoja-asetuksen mukainen tarkastusoikeus ei päde kyseisiin tietoihin, koska tietopyynnön osalta on kyse niin sanotusta journalistisesta poikkeuksesta.

Tietosuojalain 27 §:ssä säädetään journalistisesta poikkeuksesta, joka tarkoittaa käytännössä sitä, ettei tietosuoja-asetus sellaisenaan päde journalistiseen tiedonkäsittelyyn. Jäsenvaltioille on säädetty velvollisuus tietosuoja-asetuksen 85 artiklan mukaisesti sovittaa yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Lisäksi jäsenvaltioille on asetettu velvollisuus säätää käsittelylle journalistisia tarkoituksia varten muun muassa poikkeuksia tai vapautuksia rekisteröityjen oikeuksiin.

Tietosuojalain 27 §:n 1 momentin mukaan henkilötietojen käsittelyyn journalistisia tarkoituksia varten ei sovelleta tietosuoja-asetuksen 13 § artiklaa. Näin ollen rekisteröidyillä ei ole tarkastusoikeutta korkeimman hallinto-oikeuden ratkaisussa kyseessä olleista Poliisihallituksen Ylelle toimittamista järjestyksenvalvoja- ja vartijahyväksynnän saaneista henkilöistä ja heidän henkilötiedoistaan.

Kolikossa kaksi puolta

Korkein hallinto-oikeus on asianmukaisesti tarkastellut ennakkopäätöksessään julkisuuslaissa tarkoitettuja edellytyksiä rekisterin luovutukselle ja siihen liittyviä tietosuojanäkökulmia. Kolikossa on kuitenkin myös toinen puoli, kun kyseessä on yksityinen turvallisuusala, joka on merkittävässä roolissa kansallisessa turvallisuudessa Suomessa.

Yksityinen turvallisuusala vastaa lähes kokonaan turvallisuus- ja huoltokriittisten organisaatioiden turvallisuudesta. Tähän on myös herätty turvallisuusviranomaisissa, kun turvallisuusympäristö on muuttunut. Huoltovarmuuskeskukseen on perustettu yksityisen turva-alan pooli, kun on ymmärretty alan merkitys huoltovarmuuskysymyksien kannalta.

Yksityisen turvallisuusalan toimijoita on varattukin merkittävästi Puolustusvoimien toimesta. Julkisuuslain 24 §:n 10 kohdassa on salassa pidettäväksi määritelty asiakirjat, jotka koskevat muun muassa Puolustusvoimien varustamista, kokoonpanoa, sijoitusta tai käyttöä, jollei ole ilmeistä, että tiedon antaminen niistä ei vahingoita tai vaaranna maanpuolustuksen etua. Puolustusvoimien varaajan tulee käsitellä varausasiakirjoja salassapitoluokituksen mukaisesti, mutta toimittaja voi saada Poliisihallitukselta koko yksityisen turvallisuusalan henkilörekisterin journalistisessa tarkoituksessa.

Tämän osalta voidaan kysyä, että kumpi on tärkeämpää: journalistinen tarkoitus vai kansallinen turvallisuus? Korkeimman hallinto-oikeuden tuomarit eivät edes pohtineet henkilörekisterin turvallisuusnäkökohtia ratkaisussaan. Tätä voidaan pitää hyvin erikoisena, koska tällainen henkilörekisteri kiinnostaa jo eri valtioiden tiedustelupalveluita. Myös rikollisten voisi luulla olevan kiinnostunut tällaisestä henkilörekisteristä. Korkeimman hallinto-oikeuden ratkaisu on julkisesti kaikkien saatavilla, joten on hyvin helppo jäljittää kyseenomainen toimittaja ja yrittää tehdä tietomurto.

Tämän takia tietopyynnössä tiedustelin, että miten henkilörekisteriä käsitellään ja kuka on niitä käsitellyt. Olisi erittäin tärkeää varmistaa tällaisen henkilörekisterin suojaaminen ja tietoturva, kuten viranomaisetkin vaativat turvallisuusluokitellun tiedon osalta. Poliisihallitus korosti vastineessa korkeimmalle hallinto-oikeudelle, että tällaisia henkilötietoja hallinnoidessaan Poliisihallituksella on tietosuoja- ja tietoturvalainsäädännön mukaisesti velvollisuus huolehtia asianmukaisesta riskienhallinnasta ja rekisteröityjen oikeuksien toteuttamisesta.

Korkeimman hallinto-oikeuden valituksessa toimittaja on perustellut, että hänen tarkoituksenaan on tietopyynnön kohteena olevan aineiston perusteella tarkastella yksityistä turvallisuusalaa ja sen suhdetta lainvalvontaan ja vallankäyttöön sekä sitä, missä määrin viranomaiset ovat myöntäneet järjestyksenvalvonta- ja vartijakortteja henkilöille, joilla on läheisiä kytköksiä ääriliikkeisiin. Toimittajan mukaan nämä asiat ovat jo itsessään sellaisia oikeutetun yhteiskunnallisen keskustelun kannalta merkittäviä kysymyksiä, jotka puoltavat tietojen antamista vaaditulla tavalla. Lisäksi tehokkaat isojen tietomassojen analyysikeinot ovat nykyään yhä välttämättömämpi osa journalistin työtä ja median yhteiskunnallisen tehtävän toteuttamista.

Olen samaa mieltä toimittajan kanssa, että on tärkeää yhteiskunnan kannalta käydä keskustelua yksityisen turvallisuusalan toimijoista ja heidän kytköksistään. Yhtä tärkeää olisi myös tarkastella asiaa turvallisuusviranomaisten osalta. Ylipäätään enemmän pitäisi käydä keskustelua koko turvallisuusalasta ja sen tulevaisuudesta, koska korkeimman hallinto-oikeuden ratkaisusta käy hyvin ilmi, miten huonosti julkisuus- ja tietosuojasääntely sekä turvallisuusala on yhdistettävissä.

Toivottavasti moni muukin pohtii, että miksi korkeimman hallinto-oikeuden tuomarit jättivät turvallisuuskysymykset esittämättä, vaikka Poliisihallitus niitä korosti omassa vastineessaan. Itse liputtaisin kansallisen turvallisuuden puolesta nykyisessä maailman tilanteessa, koska myös turvallisuus ja yksityisyyden suoja ovat perusoikeuksia.

Blogi

Privacy Shield -järjestely ei täytä enää EU:n tietosuojalainsäädännön vaatimuksia

by
Kommentit pois päältä artikkelissa Privacy Shield -järjestely ei täytä enää EU:n tietosuojalainsäädännön vaatimuksia

Tässä blogissa tarkastelemme yhdessä Harri Karjalaisen kanssa Privacy Shield -järjestelyä ja siihen liittyvää merkittävää EU-tuomioistuimen päätöstä heinäkuulta.

Merkittävä osa pilvipalveluista on kansainvälisten, usein yhdysvaltalaisten, yritysten tarjoamia. EU:n yleinen tietosuoja-asetus sallii henkilötietojen siirron EU-alueen ulkopuolelle erikseen määritellyillä tavoilla, jotka on kuvattu tarkemmin komission sivuilla.

Yksi sallittu henkilötietojen siirtotapa on turvallisten valtioiden listaus. Siinä on mukana Yhdysvallat edellyttäen, että yritys noudattaa Privacy Shield -järjestelyä.

Privacy Shield -järjestely

EU:lla ja Yhdysvalloilla on vahvat taloudelliset suhteet. Henkilötietojen siirto on siten välttämätön osa tämän päivän kansainvälisessä digitaalitaloudessa. Esimerkiksi henkilötietoja kerätään, kun kuluttaja ostaa tavaroita tai palveluita verkossa, asioi sosiaalisessa mediassa tai tallentaa tietoja pilvipalveluun.

EU:n ja Yhdysvaltojen Privacy Shield -järjestelyssä sallitaan henkilötietojen siirto EU:sta yhdysvaltalaiselle palveluntarjoajalle, jos tarjojaja käsittelee henkilötietoja siten, että se noudattaa tietosuojasäännöksiä ja soveltaa suojatoimia.

Jos palveluntarjoajat haluavat hyödyntää Privacy Shield -järjestelyä, niiden on ilmoittauduttava Yhdysvaltojen kauppaministeriössä Privacy Shield -yrityksiksi. Kauppaministeriön vastuulla on hallinnoida Privacy Shield -järjestelyä ja varmistaa, että yritykset täyttävät velvoitteensa. Lisäksi yritysten on uudistettava järjestelynsä vuosittain. Jos yritykset laiminlyövät tämän, ne eivät voi enää hyödyntää Privacy Shield -järjestelyä vastaanottaessaan ja käyttäessään EU:sta siirrettyjä henkilötietoja.

Kauppaministeriön sivustolla voi tarkastaa onko yhdysvaltalainen palveluntarjoaja mukana järjestelyssä. Privacy Shield -listalla on yli 5 500 yritystä, jossa selostetaan millaisia henkilötietoja yritykset käyttävät ja millaisia palveluja ne tarjoavat.

EU-tuomioistuimen merkittävä ratkaisu

EU-tuomioistuin antoi merkittävän ratkaisun 16.7.2020, jossa se kumoaa komission päätöksen EU:n ja USA:n välisen Privacy Shield -järjestelyn tietosuojan tason riittävyydestä.

Ratkaisun mukaan Yhdysvaltojen lainsäädäntöön sisältyvät viranomaisten oikeudet (esim. tiedustelulainsäädäntö) tarkastella ja käyttää henkilötietoja, eivät täytä enää EU:n tietosuojalainsäädännön vaatimuksia. Ratkaisussaan tuomioistuin ottaa kantaa myös mallisopimuslausekkeisiin henkilötietojen siirtojen perusteena kolmansiin maihin.

Euroopan tietosuojaneuvosto on arvioinut tuomion vaikutuksia täysistunnossaan ja antanut yleisimpiin kysymyksiin vastauksia. Suomessa tietosuojavaltuutetun toimisto ei ole vielä antanut ohjeita rekisterinpitäjille.

Miten Privacy Shieldin päättyminen vaikuttaa käytännössä suomalaisiin rekisterinpitäjiin?

Uusia tietojärjestelmiä ja pilvipalveluita käyttöönotettaessa tulee aina kiinnittää huomioita tietojen sijaintiin. Tietosuoja-asetuksen kannalta turvallisinta rekisterinpitäjän kannalta on käyttää palveluntarjoajia, jotka säilyttävät tiedot Euroopassa. Useimmilla eurooppalaisilla palveluntarjoajilla tämä on lähtökohta, ja myös monet yhdysvaltalaiset yritykset tarjoavat mahdollisuuden tietojen tallentamiseen EU-alueelle.

Mikäli nykyinen palveluntarjoaja tallentaa tiedot Yhdysvaltoihin (aiemmin Privacy Shield katsottiin riittäväksi turvamekanismiksi), kannattaa selvittää, onko mahdollista siirtää tiedot EU-alueella olevaan konesaliin. Ellei tämä onnistu, tietojen käsittely Privacy Shieldin päätyttyä ei enää vastaa sääntelyn vaatimuksia.

Euroopan komissio ja Yhdysvaltojen kauppaministeriö neuvottelevat Privacy Shield -järjestelyn tulevaisuudesta sekä mahdollisesta jatkosta. Toivottavaa on, että ratkaisu löytyy, mutta aikataulusta ja toteutumisesta ei ole takeita.