TIETOSUOJA KIRJASTOSSA Tieteiden talo 8.12.2008 Pekka Heikkinen

Asiakaspalvelun ongelma: lakien kumuloituvuus Luovuttaja Kirjasto Asiakas 2 3 1 Tekijä 1 Tekijänoikeuslaki 2 Kulttuuriaineistolaki/sopimus 3 Julkisuuslaki, Henkilötietolaki

Mistä puhutaan? (1) ”julkinen”: tekijänoikeuslain vai julkisuuslain mielessä? ”tietosuoja”: liittyy alustalle kiinnitettyihin merkintöihin vrt. ”salassapito”: velvoite olla ilmaisematta lain nojalla ”luottamuksellinen”: liittyy yksilöiden välisiin sopimus- suhteisiin

-yksityisyys <- > tietosuoja Mistä puhutaan? (2) -yksityisyys <- > tietosuoja - mikä on kirjaston velvoite suojata muiden oikeuk-sia? (esim. arkistoaineistot ja yksityisyyden suoja) -salainen <-> julkinen - kuka tulkitsee, mikä on salassapidettävää? - asiakkaiden oikeudet (Julkisuuslaki)

Sääntelyä -Laki viranomaistoiminnan julkisuudesta (1999:621) -Henkilötietolaki (1999:523) -Laki sananvapauden käyttämisestä joukkoviestinnässä (2003:460) -Arkistolaki (1994:831) -Vapaakappalelaki uudistunut 2008 alusta

YKSITYISYYS JA TIETOSUOJA Perustuslaki 10§: ”Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henki-lötietojen suojasta säädetään tarkemmin lailla” Henkilötietolaki 1§: ”Lain tarkoituksena on toteuttaa yksityiselä-män suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuk-sia henkilötietoja käsiteltäessä” -> sovelletaan kirjastojen palvelutoimintaan, myös rekisterit Erityislait: esim. laki yksityisyyden suojasta työelämässä -> sovelletaan kirjastoihin työpaikkoina

HENKILÖTIETOLAKI Soveltamisala: -henkilötietojen automaattinen käsittely -henkilötietojen rekisteröinti -> soveltamisala on varsin laaja -ei yksityisen henkilön yksityisiin tarkoituksiin keräämä -ei aineisto, joka saatavilla suoraan tiedotusvälineistä

HENKILÖTIETOLAKI JA KIRJASTOTOIMINTA a) kirjastojen kokoelmat - ei sovelleta julkaisuihin - lähinnä arkistokokoelmat (KK) b) asiakastietojen käsittely kirjastoissa

MITÄ HENKILÖTIEDOT OVAT -luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat merkinnät -yhdistettävissä tiettyyn henkilöön tai perheeseen -talletettu alustalle -

Henkilötietolain peruskäsitteitä -”henkilötieto”: kaikki yksilöä koskevat merkinnät, joista tämä on tunnistettavissa (myös valokuva) -”rekisteri”: henkilötietoja sisältävä tietojoukko, jota käsitellään ATK:n avulla tai joka on järjestetty siten (kortisto, luettelo tms.) että tiettyä henkilöä koskevat tiedot ovat helposti löydettävissä -”rekisterinpitäjä”: se, jonka käyttöä varten perustettu -myös kirjasto-> laadittava lain mukainen rekisteriseloste

HENKILÖTIETOLAIN KEINOVALIKOIMA a) tietojen käsittelyn yleiset edellytykset b) rekisterinpitäjän velvollisuudet: mm. rekisteriseloste c) rekisteröidyn oikeudet

A. Käsittelyn yleiset edellytykset Sallittua vain laissa määritellyillä edellytyksillä (8§) : -rekisteröidyn suostumus -jos käsittelystä säädetään laissa tai se johtuu laissa säädetystä tehtävästä (KK-tapaus) -asiakas- tai palvelusuhde, jäsenyys (HKKK) -tietosuojalautakunnan luvalla

Tietojen laatua koskevat vaatimukset Kerättävien tietojan oltava käsittelyn tarkoituksen kan-nalta tarpeellisia (9§) Arkaluonteisten henkilötietojen käsittely KIELLETTY: mm. rotu, poliittinen vakaumus, rikokset, terveys, sek-suaalinen suuntautuminen, sosiaalituki -sallittua vain poikkeustapauksissa: suostumus, laki-sääteinen tehtävä, tutkimuksen tarpeet (12§) Henkilötunnus: vastaavat ehdot (13§) (Turun kk-tapaus)

B. REKISTERISELOSTE Miksi: -tietojenkäsittelyn avoimuus -henkilötietojen käsittelyn suunnittelua -informointivelvollisuuden toteuttaminen täydentä- mällä rekisteriselostetta -pidettävä jokaisen saatavilla -ei tehdä ilmoitusta tietosuojavaltuutetun toimistoon ellei atk:n avulla (36 §) -

Näin informoit rekisteröityjä -tavoitteena rekisteröidyn tietoisuus henkilötietojensa käsittelystä ja mahdollisuus käyttää oikeuksiaan (24 §) Mistä informoidaan rekisterinpitäjästä henkilötietojen käsittelyn tarkoituksesta tietojen säännönmukaisista luovutuksista rekisteröidyn oikeuksien käyttämisestä

Henkilötietojen keruuta koskevat periaatteet -laissa suojataan rekisteröityjen yksityisyyttä asetta- malla rekisterinpitäjälle useita velvoitteita 5§ huolellisuusvelvoite: toimittava niin, ettei rekisteröi- dyn yksityisyyden suojaa rajoiteta ilman laissa sää- dettyä perustetta 6§ tulee olla asiallisesti perusteltua kirjaston toiminnan kannalta 7§ käyttötarkoitussidonnaisuus: henkilötietoja saa käsi- tellä vain tässä tarkoituksessa (HKKK-tapaus)

C. REKISTERÖIDYN OIKEUDET Käsittely edellyttää pääsääntöisesti suostumusta Tarkastusoikeus 26 – 28 § Tiedon korjaaminen 29 § Oikeus saada informaatiota henkilötietojen käsittelystä -

KIRJASTOT JA TIETOSUOJA: ESITETTYJÄ KYSYMYKSIÄ 1) miten kauan lainatietoja saa säilyttää/saako? -ei täsmällistä aikarajaa, niin kauan kuin perusteltua toiminnan kannal- ta (7§ käyttötarkoitusvaat., 9§ tarpeellisuusvaat., 34§ hävittämisvelv.) 2) saako asiakkaalle kertoa, kenellä kirja on lainassa? -EI (koska henkilötieto, saa luovuttaa vain laissa mainituilla edelly- tyksillä) 3) mitä henkilötietoja saa tallentaa? -asiakastiedot, jotka välttämättömiä kirjaston toiminnan kannalta -henkilötunnus on arkaluonteinen tieto, vain 13§ edellytyksillä -vanhan lain ajalta ltk päätös 56/93: henkilötunnuksen käyttö Turun kaupungin lainaajarekisterissä sallittua

KIRJASTOT JA TIETOSUOJA: TAPAUKSIA Kansalliskirjasto ja tekijän syntymävuosi (13.3.2007) -tietosuojavaltuutetun epäävät lausunnot 1999 ja 2006, KK vei tietosuojalautakuntaan -tietosuojaltk: KK:lle tarpeen sen lakisääteisten teh- tävien hoitamiseksi -soveltamisalue? (yliopistolaki 25§, KTSL 1§)

Rekistereiden yhdistely 1) Yhdistelyn edellytykset? -yhteysvaatimus eli asiakas tai palvelusuhde -se käyttötarkoitus, johon rekisteröity on tietojaan luovuttanut Kauppakorkeakoulun kirjasto ja opiskelijarekisteri (12.2.2007) -voiko kirjasto päivittää opiskelijarekisteristä uusien opiskelijoiden tiedot asiakasrekisteriinsä? (käyttötarkoitussidonnaisuus-vaatimus) -tietosuojavaltuutettu: asiakkaiden osalta sallittua (kirjaston ja opiskelijan asiakassuhde), uusien opiskelijoiden osalta pyydettävä erikseen suostumus 2) Useamman kirjaston yhteinen asiakasrekisteri -> kuka on rekisterinpitäjä? -rekisterinpitäjän em. velvollisuudet: rekisteri-ilmoitus, huolellisuusvelvoite -rekisteröidyn oikeus korjata virheellinen tieto 20

VERKKOARKISTO JA TIETOSUOJA -voiko Kansalliskirjasto asettaa verkkoarkiston avoi- meen yleisökäyttöön tiloissaan? -vrt. Tanska, Ranska: vain tutkijakäyttöön -nykykäsitys: voi, koska kirjastolle kulttuuriaineisto- laissa asetettu velvoite (HTL 8§4.kohta)

TIETOSUOJAVIRANOMAISET Tietosuojavaltuutettu -ohjausta ja neuvontaa -kuultava ennalta jo uudistuksia toteutettaessa -yksittäinen rekisteröity voi pyytää kannanottoa -kannanotot eivät sitovia Tietosuojalautakunta -myöntää lupia henkilötietojen käsittelyyn -henkilötietolain soveltamisala Hallinto-oikeudet, KHO, yleiset tuomioistuimet -henkilörekisteririkokset yms. (RL 38:9)

Julkisuuslaki: oikeus saada tieto asiakirjasta (13§) -pyytäjän yksilöitävä vain se, mitä asiakirjaa pyyntö koskee -ei tarpeen todistaa henkilöllisyyttä -ei tarpeen perustella käyttötarkoitusta (poikkeuksia) -yleensä annettava pyydetyllä tavalla: suullisesti, nähtä- väksi, kopioitavaksi, kopiona

Salassapito -pääsääntönä julkisuus, salassapitoperusteet JulkL 24§ -asiakirjaa ei saa pitää salassa, kun lain nojalla määrät- ty aika on kulunut -salassapitoajat: a) jollei muuta säädetty 25 vuotta b) yksityiselämän suojaamiseksi salassa pidettävä asiakirja 50 v. ao. henkilön kuolemasta, tai ellei tästä tietoa 100 v.

Salassapidon lakisääteiset poikkeukset Sinällään salaisen aineiston käyttö voi olla sallittua lain nojalla: jos yksityisen etujen turvaamiseksi, tämän suostumuk- sella (JulkL 26§) -kirjaston lakiin perustuvan harkinnan nojalla lupa (erit. tutkimustarkoitus, JulkL 28§) -harkintavalta käytännössä rajattua (tutkimuksen vapaus, luovuttajan asettamat ehdot)

Mahdollisuus rajoittaa julkisuutta -sinällään julkisen aineiston käyttöä voidaan rajoittaa: a. muun kuin vapaakappaleaineiston luovuttajan asettamat käytön rajoitukset: perusteena luovut-tajan kanssa tehty sopimus b. kirjaston itsensä asettamat käytön rajoitukset, pe-rusteena aineiston säilyvyyden nimissä annettu yksipuolinen määräys

Vaitiolovelvollisuus (JulkL 23§) -”viranomaisen palveluksessa oleva … ei saa paljastaa asiakirjan salassa pidettävää sisältöä tai tietoa, joka asiakirjaan merkittynä olisi salassa pidettävä, eikä muutakaan viranomaisessa toimies-saan tietoonsa saamaa seikkaa, josta lailla on säädetty vaitiolo-velvollisuus.” -koskee myös kirjastohenkilökuntaa -jatkuu palvelussuhteesta/virasta eroamisen jälkeen -päättyy vasta, kun asiakirjan salassapitoaika on kulunut -sanktiot: virkasalaisuuden rikkominen (RL 40:5) salassapitorikos tai rikkomus (RL 38:1 38:2)

Lisätietoja ja kysymyksiä www.OM.fi www.tietosuoja.fi pekka.heikkinen@helsinki.fi