Yhteisrekisterinpitäjyys tuomioistuinten tietojärjestelmissä

Tuomioistuinvirasto sekä tuomioistuimet toimivat yhteisrekisterinpitäjinä tuomioistuinten tietojärjestelmien osalta.

Tuomioistuinviraston lakisääteinen tehtävä on ylläpitää ja kehittää tuomioistuinten tietojärjestelmiä (Tuomioistuinlaki (673/2016) 19 a luvun 2 §:n 2 mom.). Tällaisia tietojärjestelmiä ovat esimerkiksi yleisten tuomioistuinten käyttämä AIPA-tietojärjestelmä sekä hallinto- ja erityistuomioistuinten HAIPA-tietojärjestelmä.

Tuomioistuimet käsittelevät henkilötietoja tietojärjestelmissään lainkäyttötehtävien toteuttamiseksi, kuten rikosasian käsittelemiseksi tuomioistuimessa (nk. rikosasioiden tietosuojalaki (1054/2018) 1 §:n 1 mom.) ja riita- ja hakemusasioiden käsittelemiseksi sekä hallintolainkäyttö- ja hallintoriita-asioiden ja muutoksenhakuasioiden käsittelemiseksi (mm. yleisen tietosuoja-asetuksen (679/2016) 6 art. 1 kohdan c alakohta). Tuomioistuinten käsittelykokonaisuuteen liittyy myös muu yleisesti viranomaistoimintaa ja hallinnollista toimintaa koskeva henkilötietojen käsittely (mm. asian käsittelyn joutuisuuden seuranta, tietopyyntöjen toteuttamiseen liittyvä käsittely ja rekisteröidyn oikeuksien käyttöön liittyvä käsittely).

Tuomioistuinvirastolla ei ole pääsyä tuomioistuinten tietojärjestelmien sisältämiin henkilötietoihin, mutta esimerkiksi henkilötietojen tietoturvaloukkaustilanteissa voi olla tarpeen käsitellä myös tuomioistuimien tietojärjestelmässä ilmeneviä henkilötietoja tai tietojärjestelmän käyttäjien henkilötietoja. Henkilötietojen käsittelyn osalta varmistetaan aina se, että niiden käsittelylle on olemassa lakisääteinen käsittelyperuste.

Tietosuojaan liittyvät vastuualueet

Tuomioistuinvirasto ja tuomioistuimet ovat yhteistyössä määritelleet tietosuojavelvoitteisiin liittyvät vastuualueet tuomioistuinten tietojärjestelmien osalta. Tuomioistuinviraston vastuut keskittyvät tietosuojan huomioimiseen tietojärjestelmän kehittämisessä ja toteuttamisessa, kun taas tuomioistuinten tietosuojavastuut keskittyvät tietojärjestelmään tallennettavien henkilötietojen osalta rekisteröityjen tietosuojaoikeuksien toteuttamiseen sekä tietojärjestelmien käyttäjien kouluttamiseen ja ohjeistamiseen tietosuojasäännösten mukaisesta käsittelystä.

Tuomioistuinviraston ja tuomioistuinten tietosuojavelvoitteisiin liittyvät vastuualueet tuomioistuinten tietojärjestelmien osalta
Kaaviokuva vastuunjaosta. Sisältö on kuvattu tekstimuodossa kuvan jälkeen.

Tuomioistuinvirasto vastaa muun muassa siitä, että sisäänrakennettu ja oletusarvioinen tietosuoja sekä tietosuojaperiaatteet toteutuvat tehokkaasti tuomioistuinten tietojärjestelmissä. Tuomioistuinvirasto laatii myös suunnittelu- ja kehittämistyön yhteydessä tietosuojan vaikutustenarviointeja sekä vastaa tarvittaessa valvontaviranomaisen ennakkokuulemisesta. Tuomioistuinvirasto tekee sopimukset tietojärjestelmien käsittelijöiden kanssa (kuten Oikeusrekisterikeskuksen kanssa), arvioi mahdollisten kolmansiin maihin tapahtuvien siirtojen edellytykset sekä varmistaa sen, että tietojärjestelmiin avattavat rajapinnat vastaavat tietojärjestelmän arkkitehtuuria.

Tuomioistuimet puolestaan toimivat rekisteröityjen yhteyspisteenä tietosuojaa liittyvien oikeuksien osalta ja vastaavat rekisteröidyn

  • oikeudesta saada tietoa henkilötietojen käsittelystä
  • oikeudesta tarkastaa itseään koskevat tiedot
  • oikeudesta oikaista itseään koskevat tiedot
  • oikeudesta vaatia tietojen poistamista
  • oikeudesta vaatia tietojen käsittelyn rajoittamista

Tarkempia tietoja tuomioistuinten henkilötietojen käsittelystä löydät tuomioistuinten omilta sivuilta. Käytännössä pääosan rekisteröidyn oikeuksista voi toteuttaa tuomioistuin, koska vain sillä on pääsy rekisteröityä koskeviin tietoihin sen tietojärjestelmissä.

Rekisteröidyllä on kuitenkin oikeus käyttää tietosuojaoikeuksiaan yhtä lailla suhteessa kumpaankin rekisterinpitäjään. Tarvittaessa rekisterinpitäjät organisoivat yhteisössä sen, että tietosuojaoikeudet toteutuvat tietosuojasääntelyn edellyttämällä tavalla. 

Tuomioistuimet vastaavat tietosuojasäännösten mukaisen käsittelyn ohjeistamisesta ja kouluttamisesta tietojärjestelmän käyttäjille. Tuomioistuimet myös osaltaan täydentävät tietojärjestelmistä laadittuja vaikutustenarviointeja, jos organisaatiokohtaisen toimintatavat sitä edellyttävät.

Molemmat yhteisrekisterinpitäjistä vastaavat siitä, että

  • tietosuojavastuiden jakautumiseen osalta tiedotetaan läpinäkyvästi
  • käsittelystä syntyy osoitusvelvollisuuden mukaista dokumentaatioita omien vastuidensa osalta sekä
  • yhteydenpidosta valvontaviranomaisiin

Kuka käsittelee tuomioistuinten tietojärjestelmien henkilötietoja?

Oikeusrekisterikeskuksella on tuomioistuinten tietojärjestelmiin liittyvien tietojärjestelmäpalveluiden osalta henkilötietojen käsittelijän rooli tuomioistuinten ja Tuomioistuinviraston lukuun. Oikeusrekisterikeskuksen tehtävänä on huolehtia oikeusministeriön hallinnonalan tietojärjestelmien ylläpidosta ja kehittämisestä yhteistyössä hallinnonalan virastojen kanssa siten kuin palvelusopimuksissa on sovittu (Oikeusrekisterikeskuksesta annettu laki (625/2012) 1 §:n 1 mom. 4 kohta). Tuomioistuinvirasto solmii vuosittain uuden palvelusopimuksen Oikeusrekisterikeskuksen kanssa ja tässä sopimuksessa huomioidaan myös tietosuojasäännösten edellyttämät käsittelyehdot sekä rekisterinpitäjän ohjeet henkilötietojen käsittelijälle. 

Oikeusrekisterikeskus tuottaa tarvittavat palvelut itse tai hankkii ne muilta palveluntuottajilta. Riippuen kysymyksessä olevasta tuomioistuimen tietojärjestelmästä, palvelun tuottajina ja alikäsittelijöinä voi Oikeusrekisterikeskuksen lisäksi olla eri toimijoita ja ne ovat yksilöitävissä tarkemmin tietojärjestelmäkohtaisesti. Lisätietoja henkilötietojen käsittelijöistä saat Tuomioistuinviraston tietosuojavastaavalta.

Julkaistu 5.4.2024