Toisessa keskustelussa Antti järvenpää otti esille mielestäni erittäin tärkeän - riskin käsitteen - toimialaa koskevan yhteisen asian, josta kehittelin riskienhallinnan ehdotusta allaolevaan tyyliin:


Toimialaan liittyy lukuisa määrä henkilötietojen käsittelyyn liittyviä riskejä eikä pelkästään henkilötietolain soveltamiseen liittyen vaan myös eri lakien soveltamisen kokonaisuuteen, toimintoihin eri viranomaissuhteissa ja eri sanktiojärjestelmien tunteminen jne.

Toimialalla ei ole tiettävästi tehty riskianalyyseja eikä harkittu riskienhallinnan suunnitelmia. Riskienhallintahan on monissa toimintaympäristöissä olennainen osa normaalin toiminnan hallintaa. Miksei sukututkimuksen toimialallakin, sukututkijoiden ja -seurojen toiminnassa?

Epäilen, että äkkiseltäänkin arvioiden toimialan riskienhallinnan suunnitelmasta tulee kohtalaisen iso. Pääosiltaan riskit ovat toiminnallisia, mutta niiden syyt ja seuraukset ovat helposti analysoitavissa.

Asia on niin tärkeä, että sitä pitäisi kehitellä. Ainakin pitäisi virittää yhteistyötä toimialalla tähän suuntaan.

***********
Siksi avaan uuden ketjun tähän teemaan liittyvänä keskusteluna, kun tiedän, että SSS:ssä on riskienhallinnan ammattilaisia tärkeillä paikoilla.

Tiettävästi ainakin Johan Ståhl on myös vihkiytynyt teemaan ja siksi toivon, että keskustelu voisi olla tulevaisuuteen luotaavaa.

VL
Toimialan käytännesääntötyöryhmän pj

Vain infomielessä - en mitenkään mainosmiehenä - annan PriceWaterhouseCoopersin linkin

http://www.pwc.com/extweb/service.nsf/docid/207721d06273c8ae802571320050226c

johdannoksi vaikkapa liiketoimintaympäristöjen riskienhallintaan.

Vapaaehtoisjärjestöillä shabluunat ovat tietysti keveämpiä, mutta vinkkiä saa tuosta ja muista ympäristöistä.

Traditio monilla toimialoilla riskienhallinnan järjestämisestä voi olla pitkäaikaistakin ja nykyään normaaliin toimintaan ja prosesseihin rakennettua.

VL

Koetetaas nyt tulla takaisin sieltä metsästä, johon keskustelussa ollaan joutumassa. Muuten meille syntyy pysyvä riski siitä, että sukututkimukselle ei löydy puolustajia omaperäisten virkamiesten vaikeuttaessa entisestään tätä harrastusta.

On turha puhua käytänteistä, jos ei olla lähtökohtaisesti puolustamassa yhteisöä ja sen jäseniä: oikeutta kerätä ja tallentaa tietoa sekä julkaista sitä siinä muodossa, kuin haluaa. Enempi keskustelu tästä alkaa kaventaa kansalaisten perustuslaillisia oikeuksia.

PS. Enronin ja vastaavien skandaalien jälkeen PWC tai vastaava nyt ei kyllä ole vapaan kansalaistoiminnan ohjaamiseen kykenevä.

Vain infomielessä - en mitenkään mainosmiehenä - annan PriceWaterhouseCoopersin linkin

http://www.pwc.com/extweb/service.nsf/docid/207721d06273c8ae802571320050226c

johdannoksi vaikkapa liiketoimintaympäristöjen riskienhallintaan.

Vapaaehtoisjärjestöillä shabluunat ovat tietysti keveämpiä, mutta vinkkiä saa tuosta ja muista ympäristöistä.

Traditio monilla toimialoilla riskienhallinnan järjestämisestä voi olla pitkäaikaistakin ja nykyään normaaliin toimintaan ja prosesseihin rakennettua.

VL

Ovat todella kevyempiä sabluunoja ne, mitä sukututkimuksen "toimialalla" tarvitaan.

Olennaisinta on tietää
1) koskeeko tietosuojalainsäädäntö tiettyä toimintaani/toimintaamme
2) miten se koskee sitä

Kaiken A ja O käytännesääntötyössä pitää olla ymmärrys sukututkimuksen luonteesta.

Hyvät käytännesäännöt tarvitaankin juuri "riskienhallinnan" olennaiseksi välineeksi.
Niiden tulee olla selkeää, ei-juristinkin ymmärrettävissä olevaa, sovellettavaa tekstiä.

Niiden laatimisen ei tarvinne olla "Iisakin kirkon" väsäämistä?


Mitä mieltä Suku Forumin jäsenet asiasta ovat?

terv.
--aki--

PS.
Kunhan nyt ei riskienhallinta-ajattelu ja muut "isot kuviot" pääsisi tekemään näistä asioista vaiketa...

Jos on pakko riskienhallintaa systematisoida, siihen riitänee se, että osataan arvioida
1) mihin asioihin liittyy epävarmuutta
2) miten jokin epävarmuutta aiheuttava riski ja sen toteutuminen yksilö- tai yhteisötasolla koetaan ja
3) miten vakavaksi riski on arvioitavissa
4) tarvittavat toimenpiteet riskin torjumiseksi.

Jos "toimialan riskienhallinnasta" on tarvetta tehdä analyysia, havaitsemme ongelmaksi sen, että toimiala on laaja, eikä homogeeninen.

Suomessa lienee yli 10 000 sukututkijaa tai sukututkimuksen harrastajaa sekä parisen tuhatta tähän liittyvää rekisteröityä tai rekisteröimätöntä yhteisöä. Ylivoimaisesti suurin osa näistä toimijoista varmaan tyytyy periaatteeseen "keep it simple".

Em. systematiikkakin mahtuu useimmilla alan toimijoilla yhteen tai kahteen A4-sivuun, varsinkin jos käytössä on selkeät ja käytännölliset käytännesäännöt.

Erkki Pekola viestissään; Koetetaas nyt tulla takaisin sieltä metsästä, johon keskustelussa ollaan joutumassa. Muuten meille syntyy pysyvä riski siitä, että sukututkimukselle ei löydy puolustajia omaperäisten virkamiesten vaikeuttaessa entisestään tätä harrastusta.

ja edelleen;

Ovat todella kevyempiä sabluunoja ne, mitä sukututkimuksen "toimialalla" tarvitaan.

Olennaisinta on tietää
1) koskeeko tietosuojalainsäädäntö tiettyä toimintaani/toimintaamme
2) miten se koskee sitä

Kaiken A ja O käytännesääntötyössä pitää olla ymmärrys sukututkimuksen luonteesta.

Hyvät käytännesäännöt tarvitaankin juuri "riskienhallinnan" olennaiseksi välineeksi.
Niiden tulee olla selkeää, ei-juristinkin ymmärrettävissä olevaa, sovellettavaa tekstiä.

Niiden laatimisen ei tarvinne olla "Iisakin kirkon" väsäämistä?


Mitä mieltä Suku Forumin jäsenet asiasta ovat?

terv.
--aki--

PS.
Kunhan nyt ei riskienhallinta-ajattelu ja muut "isot kuviot" pääsisi tekemään näistä asioista vaiketa...

Jos on pakko riskienhallintaa systematisoida, siihen riitänee se, että osataan arvioida
1) mihin asioihin liittyy epävarmuutta
2) miten jokin epävarmuutta aiheuttava riski ja sen toteutuminen yksilö- tai yhteisötasolla koetaan ja
3) miten vakavaksi riski on arvioitavissa
4) tarvittavat toimenpiteet riskin torjumiseksi.

Jos "toimialan riskienhallinnasta" on tarvetta tehdä analyysia, havaitsemme ongelmaksi sen, että toimiala on laaja, eikä homogeeninen.

Suomessa lienee yli 10 000 sukututkijaa tai sukututkimuksen harrastajaa sekä parisen tuhatta tähän liittyvää rekisteröityä tai rekisteröimätöntä yhteisöä. Ylivoimaisesti suurin osa näistä toimijoista varmaan tyytyy periaatteeseen "keep it simple".

Em. systematiikkakin mahtuu useimmilla alan toimijoilla yhteen tai kahteen A4-sivuun, varsinkin jos käytössä on selkeät ja käytännölliset käytännesäännöt.



Olen hyvin pitkälle samaa mieltä niin Erkki Pekolan kuin Aki Pitkäkosken kanssa sillä nyt näyttää siltä kuin asioita kaikenaikaa sekoitettaisiin vain niin ettei tavallinen sukututkimuksen harrastaja ymmärrä yhtään mitään. Onko aivan mahdotonta käsitellä näitä kysymyksiä kansantajuisesti yksinkertaista maalaisjärkeä käyttäen.

Olennaisinta on tietää
1) koskeeko tietosuojalainsäädäntö tiettyä toimintaani/toimintaamme
2) miten se koskee sitä

Kaiken A ja O käytännesääntötyössä pitää olla ymmärrys sukututkimuksen luonteesta.

Hyvät käytännesäännöt tarvitaankin juuri "riskienhallinnan" olennaiseksi välineeksi.
Niiden tulee olla selkeää, ei-juristinkin ymmärrettävissä olevaa, sovellettavaa tekstiä.

Niiden laatimisen ei tarvinne olla "Iisakin kirkon" väsäämistä?


Mitä mieltä Suku Forumin jäsenet asiasta ovat?

terv.
--aki--

Olen tarkalleen samaa mieltä Akin kanssa.

Käytännetyöhön jäitä hattuun ja jalat lämpimänä.

Esitetty "riskienhallinta" näissä yhteyksissä on kotoisin konsulttibisneksen puppugeneraattorista.

Ovat todella kevyempiä sabluunoja ne, mitä sukututkimuksen "toimialalla" tarvitaan.

Olennaisinta on tietää
1) koskeeko tietosuojalainsäädäntö tiettyä toimintaani/toimintaamme
2) miten se koskee sitä

Kaiken A ja O käytännesääntötyössä pitää olla ymmärrys sukututkimuksen luonteesta.

Hyvät käytännesäännöt tarvitaankin juuri "riskienhallinnan" olennaiseksi välineeksi.
Niiden tulee olla selkeää, ei-juristinkin ymmärrettävissä olevaa, sovellettavaa tekstiä.

Niiden laatimisen ei tarvinne olla "Iisakin kirkon" väsäämistä?


Mitä mieltä Suku Forumin jäsenet asiasta ovat?

terv.
--aki--

PS.
Kunhan nyt ei riskienhallinta-ajattelu ja muut "isot kuviot" pääsisi tekemään näistä asioista vaiketa...

Jos on pakko riskienhallintaa systematisoida, siihen riitänee se, että osataan arvioida
1) mihin asioihin liittyy epävarmuutta
2) miten jokin epävarmuutta aiheuttava riski ja sen toteutuminen yksilö- tai yhteisötasolla koetaan ja
3) miten vakavaksi riski on arvioitavissa
4) tarvittavat toimenpiteet riskin torjumiseksi.

Jos "toimialan riskienhallinnasta" on tarvetta tehdä analyysia, havaitsemme ongelmaksi sen, että toimiala on laaja, eikä homogeeninen.

Suomessa lienee yli 10 000 sukututkijaa tai sukututkimuksen harrastajaa sekä parisen tuhatta tähän liittyvää rekisteröityä tai rekisteröimätöntä yhteisöä. Ylivoimaisesti suurin osa näistä toimijoista varmaan tyytyy periaatteeseen "keep it simple".

Em. systematiikkakin mahtuu useimmilla alan toimijoilla yhteen tai kahteen A4-sivuun, varsinkin jos käytössä on selkeät ja käytännölliset käytännesäännöt.



Keep it simple on varmaan hyvä periaate, kunhan vain on riskienhallintaa...

Riskienhallinnan vapaaehtoistoiminnassa pitää olla "riittävällä tasolla" ei suinkaan liiketoimintaprosessien kaltaista, kun totesin sen selvästi.

Riskien otto ilman niiden hallintaa aiheuttaa seurauksia. Seurauksista tulee toki piitata eikä ummistaa niiden todennäköisyydeltä silmiään.

Kukaan ei aja aukotonta valvontayhteiskuntaa vaan sellaista kokonaishallintaa, joka toimii "kohtuullisella varmuudella".

Virkamiehet eivät ole erehtymättömiä ja niitäkin on valvottava...:cool:

PS. Enronin ja vastaavien skandaalien jälkeen PWC tai vastaava nyt ei kyllä ole vapaan kansalaistoiminnan ohjaamiseen kykenevä.

Toi PWC oli vain esimerkki ja Enronit, Worldcomit ja Arthur Andersenit tiedetään liiankin hyvin...:mad:

Tottakai talonpoikaisjärki ja terve harkinta on kuvassa mukana eivätkä toimialan käytännesäännöt nyt niin vaikea pala ole, etteikö niitä saada kohtuullisellakin väännöllä tehtyä.:cool:

Kipupisteistä ainakin on käyty kovaakin vääntöä ja tasapainotilan pitäisi löytyä.

Toimialallakin on prosesseja; ne vain tahtovat usein venyä eikä aina tule valmiiksi prosessien lopputuotosta vaan tuotokset jäävät privaattitutkijoiden kammioihin julkaisematta...

Riskienhallinta vapaaehtoistyössä on tottakai kevyempää kuin liiketoimintaympäristöissä. Kunhan sitä vain olisi...

Muutama nyt tullut reagointi asian avaukseen oli jokseenkin odotettu. Mielenkiintoista, että riskejä uskalletaan ottaa eikä olla kiinnostuneita, millaiseksi jäännösriski muodostuu...

Onko aivan mahdotonta käsitellä näitä kysymyksiä kansantajuisesti yksinkertaista maalaisjärkeä käyttäen.

Foorumilla toki jokainen kirjoittakoon parhaaksi katsomallaan tavalla, mutta jos edellä esitetyllä kysymyksellä viitataan käytännesääntöihin, on vastaus selvä: Ei ole mahdotonta ja sen oltava jopa käytännesääntöjen aivan ensisijainen tavoitekin.

Suomen Sukututkimusseuran juridisen toimikunnan selkeä linja on se, että käytännesäännöt kirjoitetaan hyvällä ja selvällä suomen kielellä (toki ne käännetään myös ruotsiksi) ja asiat sanotaan suoraan. Käytennesääntöjä ei kirjoiteta tietosuojavaltuutettua varten, vaan sukututkijoille ja sukuseuroille tarkoituksena, että niiden avulla jokainen henkilörekistereitä käsittelevä voi saada vastauksen täsmälleen niihin kahteen kysymykseen, jotka Aki esitti:

1) Koskeeko henkikötietolaki minun sukututkimusrekisteriäni?

2) Jos koskee, niin mihin se minut lain mukaan velvoittaa?

Suomen Sukututkimusseuran yksi tärkeimmistä tavoitteissa käytännesääntötyössä on saada yhteisymmärryksessä tietosuojavaltuutetun kanssa suljettua niin suuri osa sukututkimuksen harrastajista kuin mahdollista henkilötietolain säädösten ulkopuolelle.

Ei ole kenenkään edun mukaista, että täysin omissa oloissaan ja puhtaasti itseään varten ja omaksi harrastuksekseen henkilötietojen - jopa elävien ihmisten henkilötietojen - parissa toimivat sukututkijat yritetään pitää henkilötietolain soveltamisalan piirissä. Käytännesääntöjen tarkoituksena on oltava se, että valvovan viranomaisen kanssa yhteisesti sovituilla periaatteilla edellä mainitut sukututkijat voivat unohtaa henkilötietolain.

Juridisen toimikunnan puheenjohtajan Roy Sjöblomin johdolla Suomen Sukututkimusseuran näkemys muotoiltiin näin:

"Henkilötietolakia ei ole noudatettava, jos sukututkimus on henkilön yksityiseen elämänpiiriin kuuluvaa toimintaa riippumatta tietojen tallennustavasta, kerättyjen henkilöiden määrästä tai rekisteröityjen sukulaisuudesta rekisterin ylläpitäjään."

Koska kokonaan omaksi iloksi aloitetun sukututkimusrekisterin käyttö saattaa ajan mittaan muuttua, on käytännesäännöissä hyvin tärkeää mahdollisimman yksiselitteisesti tuoda esille se rajapyykki, jonka ohitettuaan sukututkija on velvollinen noudattamaan henkikötietolain säädöksiä. Tästä rajapyykistä sopiminen tietosuojavaltuutetun kanssa on käytännesääntötyöryhmän kärkipään tehtäviä. Suomen Sukututkimusseuran näkemys on seuraava:

"Mikäli sukututkimusta varten kootusta henkilörekisteristä annetaan muita kuin yksittäisiä tietoja tai muuhun kuin yksityiseen elämänpiiriin kuuluvaa sukututkimusta varten, tulee henkilötietolakia ja sen nojalla laadittuja käytännesääntöjä noudattaa. Henkilötietolakia on noudatettava mikäli sukututkimusrekisteri tai osa siitä on tarkoitus luovuttaa sukuseuralle tai muulle sukututkimustietoa käyttävälle yhteisölle."

Suomen Sukututkimuksen linjan mukaan käytännesäännöissä tulee käsitellä ainoastaan sellaisia kysymyksiä, jotka liittyvät henkilötietolakiin, eikä niistä tule tehdä sukututkijoiden koodeksia, johon kootaan kaikkia vähänkin sukututkijoita sivuavia lakeja koskevia soveltamisohjeita. Käytännesäännöt laaditaan sukututkijoille ja sukuseuraväelle ohjeistukseksi, jotta nämä henkilörekistereiden kanssa toimiessaan voivat itse päätellä, kuinka heidän tilateessaan on syytä toimia henkilötietolain suhteen.

Käytännesääntöihin ei pidä ennakkoon ladata liian suuria odotuksia eikä myöskään turhia pelkoja. Käytännesäännöt eivät voi olla määräyksiä eikä niissä voida ottaa huomioon kaikkia mahdollisia kuviteltavissa olevia tilanteita. Tarkoituksena on antaa mahdollisimman hyviä eväitä ihmisten oman järjen käytölle.

On lähtökohtaisesti täysin selvää, että käytännesäännöt pyrkivät ohjaamaan sukututkijoiden ja sukuseurojen toimintaa lain valvontaan asetetun viranomaisen eli tietosuojavaltuutetun näkemysten suuntaan. Kenenkään mielessä ei varmasti edes vilahda ajatus siitä, että virallisissa käytännesäännöissä esitettäisiin sellaisia ohjeita, joita tietosuojavaltuutettu vastustaa. Käytännesääntöihin sisältyvien ohjeiden ja tulkintojen on oltava sellaisia, jotka tietosuojavaltuutettu voi hyväksyä.

Kun Suomen Sukututkimusseuran kaltainen järjestö on mukana tällaisessa työssä, on sinne luonnollisesti lähdetty ajamaan sukututkijoiden etuja. Seuralla ei voi olla mitään muita tarkoitusperiä eikä päämääriä. Eikä tähänkään työhön lähdetty heppoisin perustein; asiaa sentään pähkäiltiin parin vuoden ajan ennen kuin päätettiin, että yritetään. Sillä yrittämisestä - käytännesääntöjen syntymiseen pyrkimisestä - tässä on kysymys. Ei siitä, ne tulevat joka tapauksessa. Yhtälailla kuin tietosuojavaltuutetun hyväksynnän, vaativat käytännesäännöt myös sukututkijoiden ja sukuseurojen edunvalvojien hyväksynnän. Ja tähän mennessä lienee tullut jo selväksi, etteivät käytännesäännöt sido sukututkijoita ja sukuseuroja mihinkään; ne ovat ohjeita.

Suomen Sukututkimusseura lähti tähän yritykseen mukaan, koska se arvioi, että käytännesäännöt - siis ne, jotka myös Suomen Sukututkimusseura on hyväksynyt - ovat hyödyksi sukututkijoille. On parempi tehdä pieniä kompromisseja ja luoda selkeitä ohjeita kuin linnoittautua muuttumattomiin periaatteisiin ja katsella päältä epäselvyyttä ja hämmennystä. Mitä ne kompromissit mahdollisesti ovat, sitä emme tässä vaiheessa vielä tiedä. Tässä pelissä kortit kuitenkin joka tapauksessa kannattaa katsoa.

Toistan vielä sen, minkä olen Suku Forumilla tänä syksynä useamman kerran sanonut, että käytännesääntöjä ei tehdä mihin hintaan hyvänsä. Niitä ei tehdä tietosuojavaltuutetun iloksi eikä Suomen Sukututkimusseuran salonkikelpoisuuden lisäämiseksi. Ne tehdään sukututkijoiden ja sukuseurojen omaa päätöksentekoa helpottamaan. Jos näyttää siltä, että hinta on liian suuri - jos sukututkijoilta vaaditaan ohjeistusta laadittaessa sellaisten tulkintojen hyväksymistä, mihin missään tapauksessa ei voida suostua - jäävät käytännesäännöt tekemättä.

Jos käytännesäännöt kuitenkin syntyvät, sukututkijoiden ja sukuseurojen kannattaa kyllä vakavasti harkita niissä annettujen ohjeiden noudattamista. Ohjeet ja tulkinnat on tehty mitä vakavimmalla mielellä ja perusteellisella harkinnalla.

Tämän selväsanaisemmin minä en osaa käytännesääntöjen laatimisesta kertoa; jos joku muu osaa, foorumi on avoin. Ymmärrän, että käytännesääntöjä koskeva keskustelu saattaa olla jossakin määrin turhauttavaa, kun tarkoista asiakysymyksistä ei ole keskusteltu. Mikään ei kuitenkaan estä ottamista niitä keskusteltavaksi. Sukututkijoiden ja tietosuojavaltuutetun väliset näkemyserot ovat varsin yleisessä tiedossa; onhan niitä puitu lakitupaa myöten.

Ne tehdään sukututkijoiden ja sukuseurojen omaa päätöksentekoa helpottamaan.

Tässä on aika hyvin tiivistetty toimialan käytännesääntöjen tarkoitus, joka on sanottu selkeästi myös henkilötietolain 42 §:ssä.

Sukuseurat ja sukututkijat tavoittelevat yhteistä linjausta ja pyrkivät tosissaan tasapainoisiin ratkaisuihin ilman liian hankalia törmäyskurssejä tietosuojavaltuutetun kanssa.

Siinä samassa yhteydessä tulee kyllä riskienhallintakin korostuneeksi ja toivon mukaan huomioon otetuksi "kohtuullisella varmuudella", kun riskienhallinta on osa aivan normaalia - toimialammekin - toimintaa.

VL

Tämän selväsanaisemmin minä en osaa käytännesääntöjen laatimisesta kertoa; jos joku muu osaa, foorumi on avoin. Ymmärrän, että käytännesääntöjä koskeva keskustelu saattaa olla jossakin määrin turhauttavaa, kun tarkoista asiakysymyksistä ei ole keskusteltu. Mikään ei kuitenkaan estä ottamista niitä keskusteltavaksi. Sukututkijoiden ja tietosuojavaltuutetun väliset näkemyserot ovat varsin yleisessä tiedossa; onhan niitä puitu lakitupaa myöten.




Hieno puheenvuoro toiminnanjohtajalta!

Eräs keskeinen asiakysymys: eikös olekin Seurankin näkökanta, että henkilörekisterilakia voidaan soveltaa ainoastaan elossa olevista ihmisistä koostuviin rekisteritietoihin? Toisin sanoen, jos tutkija pitäytyy vain kuolleisiin ihmisiin, ei koko lakia tarvitse ajatellakaan?

Eräs keskeinen asiakysymys: eikös olekin Seurankin näkökanta, että henkilörekisterilakia voidaan soveltaa ainoastaan elossa olevista ihmisistä koostuviin rekisteritietoihin? Toisin sanoen, jos tutkija pitäytyy vain kuolleisiin ihmisiin, ei koko lakia tarvitse ajatellakaan?

Käytännössä tämä on tilanne henkilötietolain osalta. Veikko Leskelä jossakin aikaisemmassa viestissään siteerasi EU:n tietosuojatyöryhmän lausuntoa kesäkuulta koskien henkilötiedon käsitettä ja otti sillloin esille sen, missä määrin tietosuojalainsäädäntö koskee vainajia. Muistaakseni kyseeseen tulivat ainoastaan jotkut erityistilanteet.

Vainajien kohdalla on kuitenkin hyvää pitää mielessä se, mitä säädetään arkaluontoisista tiedoista ja niiden suoja-ajoista.

Kuusiluoman selvitys oli selkeä ja sellaista puheenvuoroa juuri peräsin kaivatessani selkeyttä tähän keskusteluun.

Kiitos kiittämästä, Jouni ja Erkki.

Riskienhallinnasta vielä pikainen kommentti.

Riskienhallinta on toki tärkeä osa vaikkapa Suomen Sukututkimusseuran johtamista, mutta se riskienhallinta, josta edellä on puhutta viittaa kontekstinsa puolesta pääosin aivan toisaalle kuin ison tai pienen järjestön riskienhallintaan.

Siinä on viitattu yksityisten ihmisten, sukututkijoiden harjoittamiin riskienhallintaprosesseihin - tai pikemminkin niiden puuttumiseen - eikä niissä ole kysymys sellaisista riskeistä, jotka uhkaavat sukututkijoita, vaan heidät itse nähdään riskien aiheuttajina. Toisin sanoen on siis esitetty, että sukututkimusrekisteriä ylläpitävän sukututkijan tulisi arvioida, millaisen riskin hän itse muodostaa henkilötietoja käsitellessään.

Pidän tällaiseen riskienhallintaan kehoittamista melkoisen kohtuuttomana vaatimuksena yksityiselle kansalaiselle. Mutta jos joku nyt tällaisen itseanalyysin haluaa tehdä, antoi Aki siihen mielestäni käyttökelpoisen mallin.

Uskon, että sukututkijoiden muodostamaa riskiä analysoidaan viran puolesta riittävässä määrin Helsingissä Albertinkadulla ja tärkeämpää kuin siihen ryhtyminen olisi luoda sellainen selkeä ohjeistus, ettei siihen tarvitsisi ryhtyä.

Käytännössä tämä on tilanne henkilötietolain osalta. Veikko Leskelä jossakin aikaisemmassa viestissään siteerasi EU:n tietosuojatyöryhmän lausuntoa kesäkuulta koskien henkilötiedon käsitettä ja otti sillloin esille sen, missä määrin tietosuojalainsäädäntö koskee vainajia. Muistaakseni kyseeseen tulivat ainoastaan jotkut erityistilanteet.

Vainajien kohdalla on kuitenkin hyvää pitää mielessä se, mitä säädetään arkaluontoisista tiedoista ja niiden suoja-ajoista.

Niin, tuo EU:n viime kesäkuinen linjaus koski sitä, että kun vainajat eivät ole enää luonnollisia henkitöitä, niin ne eivät nauti samanlaista suojaa kuin elävät, mutta henkilötiedot kuitenkin "jossain määrin", kuten edelläkin todettiin. Olipa siellä neljä konkreettista esimerkkiäkin noista erityistapauksista.

Tuo EU:n tietosuotaryöryhmän lausunto 4/2007 on pohjana sekä kansallisiin tulkintoihin että lainsäädäntäjen myöhempiin tarkistamisiin. Erityisesti sähköinen hallinto tultaneen jatkossa sääntelemään tarkemmin ja tähän liittyviä käsitemäärittelyjähän tuossa lausunnossa oli enemmälti - tyypilliseen EU-jargontyyliin.

Toiminnanjohtaja Kuusiluoman selkeästä puheenvuorosta kiitos! Siitä henkii nyt se kaipaamani ajatus, että myös harrastajasukututkijat ansaitsevat oikeuksiensa puolustajan.

Käytännesääntö työryhmän suunnasta ei ole ollut vastaavaa tukea tulossa. Jos tarkoitus on olla EU:n ja muiden tiedon salaajien asialla, niin silloin tunnen olevani väärässä porukassa. Jos lähtökohta on, että meikäläisiä on aina epäiltävä tiedon väärinkäytöstä ja siksi meitä pitää suitsia ja vahtia, niin en ymmärrä mitä minä vapaan maan vapaa kansalainen tässä porukassa teen.

Viime päivien debatin keskipisteenä olen ymmärtänyt olevan edelleen miten tulee suhtautua, jos henkilö on kieltänyt _viranomaista_ antamasta tietoa itsestään. Huomataan, että tämä kielto ei koske minua mahdollisena tiedon vastaanottajana, se sitoo viranomaista tiedon luovuttajana.

Sukututkimuksen luonteeseen kuuluu sinnikkyys ja peräänantamattomuus silloin, kun tiedot näyttävät tyssäävän. Nyt voivat ilmoittautua ne, jotka kääntävät selkänsä tultuaan sellaisen henkilön kohdalle, joka on kieltänyt tietojensa luovuttamisen. Normaalitapauksessa me vain vaihdamme menetelmää saadaksemme selville haluamamme. Useimmiten saamme.

Tässä kohtaa tulee punnittavaksi sukututkijan moraali ja eettiset arvot. Mitä teen tällä salatulla, mahdollisesti jopa arkaluonteisella tiedolla. Sivityneet ihmistavat ja kotikasvatus täytyy riittää toimintaohjeeksi, enempää käytännesääntöjä on tarpeetonta minulle neuvotella.

Omasta puolestani palaver on päättynyt. Valitan aiheuttamaani ajanhukkaa.

T

Käytännesääntö työryhmän suunnasta ei ole ollut vastaavaa tukea tulossa.

Käytännesääntötyöryhmä tekee työtä koko toimialan puolesta. Tavoitteena on ottaa huomioon tasapuolisesti koko toimialan edut ja oikea lain noudattaminen.

Riskienhallinta on ns. itsestään selvä asia, joka tulee ottaa joka toimialalla huomioon. Sitä väheksymättä lainkaan tai sitä liikaa korostamatta. Sehän on osa aivan normaalia toimintaa ja siihen sisäänrakennettua. Joka muuta väittää, ei tunne asiaa.

Aivan konkreettisen esimerkin voisin ottaa riskistä, että tutkijan likipitäen täydellinen sukututkimusrekisteriä koskeva tiedosto sukujulkaisua varten varmistuskopioineen kaapataan ulkomaille ja sinne meni.

Syynä: puutteellinen rekisterin suojaus ja hyvän atk-käsittelytavan noudattamatta jättäminen.

Seuraus: työn keskeytys, sukujulkaisuaikataulun romuttuminen ja mahdollisesti sanktioita ja vahingonkorvauksia, mikäli asia tulee vahinkoa kärsineiden tai viranomaisten tietoon.

Hallintakeinot: henkilötietolain noudattaminen riittävän varhaisessa vaiheessa henkilötietojen keräämistä ja tallentamista elävistä, huolellisuus- ja laatuperiaateiden noudattaminen, oikea tiedon luovuttaminen ja tietojen suojaus.

Jäännösriski: sietämättömään jäännösriskiin ei ole varaa.

Riskienhallinnan jättäminen viranomaisen tai tietosuojavaltuutetun tehtäväksi on tässä kuten monessa muussakin tapauksessa lyhytnäköistä.

Lyhyesti, riittävään toimialan riskienhallintaan kuuluisi:

* riskien tunnistamisen: esimerkiksi toimijakohtaisten riskikarttojen avulla

* riskien arviointi: riskien suuruuden ja todennäköisyyksien sekä haittojen ja vahingonvaaran arviointi ja

* riskienhallinta: keinot riskien haittojen poistamiseksi, minimoimiseksi tai jäännösriskin saattaminen siedettäväksi.

Rautalangasta vääntäen ei tuo toimialan riskienhallinta tuon raskaampaa ole enkä minä ainakaan jättäisi sitä ikinä tietosuojavaltuutetun, poliisien tai oikeusviranomaisten tehtäväksi. Millään toimialalla ei ole varaa ottaa sellaista riskiä.

Riskienhallinta on sisäänrakennettavissa normaaliin toimintaan joka toimialalla.

Rautalangasta vääntäen ei tuo toimialan riskienhallinta tuon raskaampaa ole enkä minä ainakaan jättäisi sitä ikinä tietosuojavaltuutetun, poliisien tai oikeusviranomaisten tehtäväksi. Millään toimialalla ei ole varaa ottaa sellaista riskiä.

Riskienhallinta on sisäänrakennettavissa normaaliin toimintaan joka toimialalla.

Kiitos rautalangasta.
Toivottavasti sitä sitten riittää niihin käytännesääntöihinkin.

Toimialalla oleva harrastelijasukututkija tai (sellaisten yksittäinen yhteisö), jollaisia tämänkin Suku Foruminkin lukijoihin runsaasti kuuluu, ei välttämättä tee kovinkaan laajaa systemaattista riskianalyysia. Ehkei myöskään ala laajamittaisemmin riskienhallinnan välineitä käyttää.

Siksi olisikin hyvä, jos käytännesäännöt olisivat sopiva riskienhallinnan väline. Eli antaisivat ohjeistuksen, jonka perusteella tietää, koskeeko henkilötietolaki itseään tai omaa ryhmää vai ei, ja jos koskee, mitä se käytännössä tarkoittaa.

Kaipaamme niitä "mahdollisimman hyviä eväitä ihmisten oman järjen käytölle", kuten PT mainitsi.

(Ryhmä)työn iloa!

--aki--

Kiitos rautalangasta.
Toivottavasti sitä sitten riittää niihin käytännesääntöihinkin.

Toimialalla oleva harrastelijasukututkija tai (sellaisten yksittäinen yhteisö), jollaisia tämänkin Suku Foruminkin lukijoihin runsaasti kuuluu, ei välttämättä tee kovinkaan laajaa systemaattista riskianalyysia. Ehkei myöskään ala laajamittaisemmin riskienhallinnan välineitä käyttää.

Siksi olisikin hyvä, jos käytännesäännöt olisivat sopiva riskienhallinnan väline. Eli antaisivat ohjeistuksen, jonka perusteella tietää, koskeeko henkilötietolaki itseään tai omaa ryhmää vai ei, ja jos koskee, mitä se käytännössä tarkoittaa.

Kaipaamme niitä "mahdollisimman hyviä eväitä ihmisten oman järjen käytölle", kuten PT mainitsi.

(Ryhmä)työn iloa!

--aki--


Kiitos Aki mielipiteestäsi. Arvostan sitä, että alamme päästä vähitellen samoille aaltopituuksille, joilla uskon kyllä paljolti olleemmekin.

Kun otsikko oli "Toimialan riskienhallinta", niin tarkoitin sillä koko sukuseurojen ja sukututkimuksen toimialakenttää, joka ei ole pieni. Siihenhän kuuluu SSK:n ja SSS:n lisäksi muita toimijayhteisöjä, yhteisöihin kuulumattomia ja rekisteröimättömiä yhteisöjä ja lukuisa määrä alan harrastajia, jotka voivat toimia erilaisissa rooleissa toimialalla. Veikkaanpa että toimialalla sukututkimuksen parissa puuhailevien henkilöiden ja yhteisöjen määrä on suurempi, kuin on lukuina esitetty.

Kun esimerkiksi SSK:een kuuluu 85 merkittävää sukuseuraa, joilla on maksavia jäseniä keskimäärin yli 200, niin kaikkine jäsenineen senkin jäsenmäärät ylittävät reilusti 20 000. Sukuun kuuluvia henkilöitä lienee sitten SSK:nkin piirissä jo puolisen miljoonaa karkeasti arvioiden.

Kun Aki otti esille, mitä merkitystä riskienhallinnalla on yksittäisen sukututkijan tai -seuran, niin tottakai yhtenäiset toimialan toimialakohtaiset käytännesäännöt ovat heille tärkein ohjenuora.

Sukuseuran hallitus voi joutua vastuuseen siitä, että julkaisu täyttää myös yksityisyyden suojan vaatimukset. Siitä vastuusta ei kannata livetä tai jättää pohtimatta, mitä riskejä lain noudattamuuteen sisältyy. Sama tilanne on sukututkijan kannalta hänen muodostaessaan sukututkimusrekisteriä ja esimerkiksi elävien kohdalle tultua. Lain vaatimukset pitää tuntea kaikkine periatteineen.

Ryhmittelisinkin nuo riskienhallinnan vaatimukset eri näkökulmista monitasoisina:

1. Toimialakohtaiset näkökohdat: yhteistyössä SSK:n ja SSS:n kanssa, keskeisinä käytännesäännöt. Sietämättömien jäännösriskien välttäminen.

2. Toimijakohtaiset näkökohdat: SSK:lla, SSS:lla ja muilla yhteisötoimijoilla mahdollisin omin painotuksin yhteisöriskien eliminoimiseksi tai minimoimiseksi

3. Sukuseura- ja sukututkijakohtaiset näkökulmat: kulloisiinkiin sukututkimuksiin ja -julkaisuihin liittyvät ja vastuukysymykset huomioon ottaen

4. Harrastajasukututkijoiden ja rekisteröimättömien yhteisöjen näkökumat: sitoutuminen toimialan pelisääntöihin.

Onhan siinä haastetta.

Varsinkin, kun käytännesäännöt voivat olla yksi tärkeä riskienhallinnan työkalu, mutta ei ainoa. Toimintaympäristö ja lainsäädäntö muuttuu koko ajan ja toimialan ja niiden yhteisojen ja yksittäisten toimijoiden tulee reagoida muutoksiin ja pystyä ottamaan ne huomioon toiminnassaa. siksi ainakin toimialan ja keskeisten toimijoiden riskienhallinnan vuosittain päivitettävät suunnitelmat tuntuvat hyvinkin tarpeellisilta, koska silloin ollaan ajan tasalla ja annetaan jäsenille oikea signaali hyvistä toimintatavoista.

Ehkä edellä oleva selventää paremmin sitä, mitä olen tarkoittanut.

Ja käytännesäännöistä tulisi todellakin tehdä pragmaattinen eli käytäntöön soveltuva työkalu sukuseuroille ja -tutkijoille. Siitä on työryhmässäkin vahvaa näkemystä.

Korostan vielä, että SSK:n suunnalla on hyvin yhtenäinen näkemys käytännesääntöjen tarkoituksesta. Aivan samanlaista pyrkimystä on yhteistyökumppanimme SSS:n suunnalla.
Kyllä vahva pyrkimys on tasapainoisiin käytännesääntöihin.

VL

Sukuseuran hallitus voi joutua vastuuseen siitä, että julkaisu täyttää myös yksityisyyden suojan vaatimukset. Siitä vastuusta ei kannata livetä tai jättää pohtimatta, mitä riskejä lain noudattamuuteen sisältyy.

Korostan tavoilleni uskollisena jälleen kerran sitä, että Suomen perustuslain 12 § takaa jokaiselle sananvapauden eli kansalaisella on "oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä." Tietosuojaa puolestaan koskee toinen perustuslaillinen oikeus, 10 §:ssä mainittu yksityiselämän suoja: "Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla."

Henkilötietolakiin liittyvissä keskusteluissa ei koskaan pidä sekoittaa tietosuojaa sananvapauteen. Ne on ehdottomasti pidettävä erillään toisistaan.

Todellisuudessa tilanne on tietenkin se, että sukukirjaa voidaan käyttää tietosuojarikkomuksen tai -rikoksen todistuskappaleena, koska tietosuojavaltuutetun lähtökohta on se, että jokaisen sukukirjan taustalla on aina henkilörekisteri. Mutta tästäkin huolimatta sananvapaus on suomalaisen perustuslaillinen oikeus.

P. T. Kuusiluoma

Ryhmittelisinkin nuo riskienhallinnan vaatimukset eri näkökulmista monitasoisina:

1. Toimialakohtaiset näkökohdat: yhteistyössä SSK:n ja SSS:n kanssa, keskeisinä käytännesäännöt. Sietämättömien jäännösriskien välttäminen.

2. Toimijakohtaiset näkökohdat: SSK:lla, SSS:lla ja muilla yhteisötoimijoilla mahdollisin omin painotuksin yhteisöriskien eliminoimiseksi tai minimoimiseksi

3. Sukuseura- ja sukututkijakohtaiset näkökulmat: kulloisiinkiin sukututkimuksiin ja -julkaisuihin liittyvät ja vastuukysymykset huomioon ottaen

4. Harrastajasukututkijoiden ja rekisteröimättömien yhteisöjen näkökumat: sitoutuminen toimialan pelisääntöihin.


Edellä esitetty vaatii pari kommenttia liittyen Suomen Sukututkimusseuran näkemyksiin käytännesäännöistä.

1. Käytännesäännöt koostuvat henkilötietolain tulkinnoista ja ohjeista lain soveltamiseksi. Käytännesäännöt eivät sido sukututkijoita eivätkä sukuseuroja ja Suomen Sukututkimusseurassa ei ryhdytä minkäänlaisiin käytännön toimiin, jotta sukututkijat "sitoutuisivat toimialan pelisääntöihin". Seura katsoon, että kysymys voi olla vain henkilökohtaisesta tai yhdistyskohtaisesta ohjeistuksen noudattamisesta, mikä on luonnollisesti vapaaehtoista.

2. Suomen Sukututkimusseuralla - käytännesääntöjen kanssa tai ilman - ei ole resursseja ryhtyä harjoittamaan riskianalyysiä sukututkijoiden ja sukuseurojen kanssa. Juuri tästä syystä Seura pyrkii mahdollisimman selkeisiin ohjeisiin, jotta riskienhallinta tulee hoidetuksi ikään kuin sivutuotteena.

3. Suomen Sukututkimusseuran sisäisestä riskienhallinnasta vastaa toiminnanjohtaja yhdessä hallituksen kanssa eikä sillä prosessilla ole mitään tekemistä käytännesääntöjen kanssa.

4. Kysymys koko sukuharrastusta käsittelevästä riskianalyysistä on mielenkiintoinen, mutta Suomen Sukututkimusseura katsoo, että analyysin tulee kohdistui ensisijaisesti niihin uhkiin, joiden kohteena on nimenomaan sukuharrastus, eikä siihen, minkä riskin sukututkimus ja sukuseuratoiminta jollekin toiselle taholle aiheuttavat.

Viimeksi mainittua riskianalyysia on jo vuosikausia harjoitettu tietosuojavaltuutetun toimistossa, arkistolaitoksen piirissä jne. sekä erityisesti heinäkuusta 2005 lähtien sisäasiainministeriön toimeksiannosta väestötietolain kokonaisuudistuksessa. Käsitykseni mukaan tässä suhteessa riskienhallinta on jo viety todella pitkälle.

Omalta osaltani katson, että riskienhallintakysymys on nyt tullut kohtuullisen perusteellisesti käsiteltyä ja on syytä siirtyä muihin aiheisiin.

Korostan vielä kerran, että käytännesäännöt ovat asia erikseen ja riskienhallinta on myös asia erikseen.

Näistä riskienhallinta kuuluu käytännesääntöjen yläpuolelle toimialalla ja käytännesäännöt ovat tuolle yläkäsitteelle alisteisia.

Tietenkin on laaja-alaista yhteistoimintaa riskienhallinnassa siten, että toimialan keskeisten toimijoiden lisäksi myös tietosuojavaltuutettu ja muut asianomaiset viranomaiset ovat yhteistyössä mukana. Varsinaisesti riskianalyysien ja riskienhallinnan otsikoilla ei asiakohtaista yhteistyötä ole kuitenkaan käsitelty, vaan ongelmat ovat tulleet jälkikäteen - ei ennakoivasti ja varautuen - esille.

Keskustelu tästä teemasta voi todella jatkua ja lukuisilla toimialoilla päivän teemana olevaa riskienhallintaa ei kannata haudata tähän, vaan pitää edelleen pinnalla.

Yhtään pitävää perustelua siihen, ettei ole olemassa riskienhallinnan tarvetta toimialalla, en ole vielä täällä nähnyt.

VL

Edellä esitetty vaatii pari kommenttia liittyen Suomen Sukututkimusseuran näkemyksiin käytännesäännöistä.

2. Suomen Sukututkimusseuralla - käytännesääntöjen kanssa tai ilman - ei ole resursseja ryhtyä harjoittamaan riskianalyysiä sukututkijoiden ja sukuseurojen kanssa. Juuri tästä syystä Seura pyrkii mahdollisimman selkeisiin ohjeisiin, jotta riskienhallinta tulee hoidetuksi ikään kuin sivutuotteena.

4. Kysymys koko sukuharrastusta käsittelevästä riskianalyysistä on mielenkiintoinen, mutta Suomen Sukututkimusseura katsoo, että analyysin tulee kohdistui ensisijaisesti niihin uhkiin, joiden kohteena on nimenomaan sukuharrastus, eikä siihen, minkä riskin sukututkimus ja sukuseuratoiminta jollekin toiselle taholle aiheuttavat.

Viimeksi mainittua riskianalyysia on jo vuosikausia harjoitettu tietosuojavaltuutetun toimistossa, arkistolaitoksen piirissä jne. sekä erityisesti heinäkuusta 2005 lähtien sisäasiainministeriön toimeksiannosta väestötietolain kokonaisuudistuksessa. Käsitykseni mukaan tässä suhteessa riskienhallinta on jo viety todella pitkälle.

Omalta osaltani katson, että riskienhallintakysymys on nyt tullut kohtuullisen perusteellisesti käsiteltyä ja on syytä siirtyä muihin aiheisiin.

Tähän Kuusiluoman puheenvuoroon on ainakin helppo yhtyä koska se on ymmärrettävästi kirjoitettu.

Yhtään pitävää perustelua siihen, ettei ole olemassa riskienhallinnan tarvetta toimialalla, en ole vielä täällä nähnyt.
VL

Riskien hallintaan on toimialan (miten se sitten sukututkimuksen näkökulmasta määritellään ja rajataankin) eri toimijoiden keskuudessa tarvetta.

Kuten aiemmin Kuusiluoma totesi, riskienhallintaa toteuttavat varsin tehokkaasti mm. tietosuojavaltuutettu, arkistolaitos ja lainsäätäjä. Viimemainittu erityisesti nyt väestötietolain kokonaisuudistuksessa.

Riskienhallinnan problematiikkaa on mielestäni käsiteltävä kunkin toimijan näkökulmasta erikseen. Koko toimialan (eli toimijoiden ja niiden välisten suhteiden) ymmärtäminen on varmasti eduksi, mutta toimialan kokonaisvaltaista riskienhallintaa ei tietenkään voida toteuttaa samalla tavalla kuin yksittäisten toimijoiden riskienhallintaa. Siksi se on todella pidettävä eri asiana.

Käytännesäännöt toivottavasti tulevat olemaan selkeä ja pitkälle riittävä riskien tunnistamisen ja hallinnan väline nimenomaan sukututkijoille ja sukututkimusyhteisöille. On varauduttava myös käytännesääntötyön jatkumiseen mm. käytännesääntöjen uudistamistarpeiden mukaan.

Jospa nämä käytännesäännöt nyt saataisiin aikaiseksi nykyisten ja näköpiirissä olevien sukututkimukseen kohdistuvien uhkien valossa.

Näin ne edistäisivät "toimialan riskienhallintaa" omalta osaltaan (tarkemmin sanoen niitä käyttävien toimijoiden omaa riskienhallintaa).

Näin toimijan (sukututkijan ja sukuseuran jäsenen) näkökulmasta käytännesäännöissä voisi olla vaikkapa kaksi päälukua - täällä aiemmin esitettyjen peruskysymysten valossa: Koskeeko henkikötietolaki minun (meidän) rekisterissämme olevia sukututkimustietoja ja mihin laki mahdollisesti minut (meidät) velvoittaa?

--aki--

1. Riskien hallintaan on toimialan (miten se sitten sukututkimuksen näkökulmasta määritellään ja rajataankin) eri toimijoiden keskuudessa tarvetta.

2. Kuten aiemmin Kuusiluoma totesi, riskienhallintaa toteuttavat varsin tehokkaasti mm. tietosuojavaltuutettu, arkistolaitos ja lainsäätäjä. Viimemainittu erityisesti nyt väestötietolain kokonaisuudistuksessa.

3. Riskienhallinnan problematiikkaa on mielestäni käsiteltävä kunkin toimijan näkökulmasta erikseen. Koko toimialan (eli toimijoiden ja niiden välisten suhteiden) ymmärtäminen on varmasti eduksi, mutta toimialan kokonaisvaltaista riskienhallintaa ei tietenkään voida toteuttaa samalla tavalla kuin yksittäisten toimijoiden riskienhallintaa. Siksi se on todella pidettävä eri asiana.

4. Käytännesäännöt toivottavasti tulevat olemaan selkeä ja pitkälle riittävä riskien tunnistamisen ja hallinnan väline nimenomaan sukututkijoille ja sukututkimusyhteisöille. On varauduttava myös käytännesääntötyön jatkumiseen mm. käytännesääntöjen uudistamistarpeiden mukaan.

5. Jospa nämä käytännesäännöt nyt saataisiin aikaiseksi nykyisten ja näköpiirissä olevien sukututkimukseen kohdistuvien uhkien valossa.

6. Näin ne edistäisivät "toimialan riskienhallintaa" omalta osaltaan (tarkemmin sanoen niitä käyttävien toimijoiden omaa riskienhallintaa).

7. Näin toimijan (sukututkijan ja sukuseuran jäsenen) näkökulmasta käytännesäännöissä voisi olla vaikkapa kaksi päälukua - täällä aiemmin esitettyjen peruskysymysten valossa: Koskeeko henkikötietolaki minun (meidän) rekisterissämme olevia sukututkimustietoja ja mihin laki mahdollisesti minut (meidät) velvoittaa?

--aki--

Kiitokset Akille rakentavista kommenteista ja niihin tässä vastauksia:

1. Olen aivan samaa mieltä tästä ja mielellään näen riskienhallinnan toimivan parhaiten ehdottamani nelijaon puitteissa lähtien a) toimialakohtaisuudesta (keskeisten ja muiden toimijoiden tiiviistä yhteistyöstä), b) toimijakohtaisuudesta, c) sukuseurojen ja -tutkjoiden tasoista sekä d) muiden toimijoiden tasoista. Sitouttaminen pelisääntöihin on iso tiedotus- ja koulutuskysymys.

2. Riskienhallinta on ennakoivaa ja varautuvaa eikä jälkikäteistä, mitä tietosuojavaltuutetun puuttuminen on nyt ollut. Siksi toimialan ja toimijoiden oma aktiivisuus on ratkaisevaa, Väestötietolain kokonaisuudistuksesta annoin kyllä aikanaan vinkin SSS:lle ja oli hyvä, että heillä oli aktiivisuutta asiassa. Homma on sekä SSK:n että SSS:n osalta ollut hanskassa erikseen. Mutta lainsäädäntöasioitahan on vireillä muitakin ja arkistolaitoksen puolikin elää...

3. Tässä olen ihan samaa mieltä, että koko toimialan toimialakohtaiset riskit ovat enemmän strategiatasoisia, mutta myös operatiivisia ja siksi erilaisia kuin toimijoilla. Nyt tehdään käytännesääntöjä, jotka kuuluvat osana toimialan riekienhallintaan ja heijastuvat koko alalle.

4. Tähän lisätään tietysti sukuseurat ja muut toimialan sukuyhteisöt ja tämähän on hyvin muuten oivallettu.

5. Varmasti sekä sukututkimukseen että -julkaisuihin liittyvät uhkat, mutta myös mahdollisuudet ovat ilman muuta mielessä. En pidä mitenkään pienenä mahdollisuutena (pikemminkin rinnan röyhistämisen aiheena), jos koko toimialan kansaisilta tuleva luottamus paranee, jos alalla on pelisäännöt. Asetelma kova laki - inhimillinen sukutoiminta on sen verran jännitteinen, että se vaatii harkitsevaa otetta. Liian kovalla otteella saadaan aikaan vahinkoa.

6. Niinpä. Käytännesäännöthän olisivat osa riskienhallintaa, johon kuuluu myös varautuminen käytännesääntöjen tarkistamiseen jatkuvan riskien tunnistamisen ja arvioinnin johdosta. Taustalla on yleinen oikeusperiaate = varautumisperiaate.

7. Tämä voi olla sukututkijoiden näkökulmasta tärkeää. Sukuseurojen näkökulmasta on tärkeää tunnistautua ajoissa rekisterinpitäjäksi ja huolehtia siitä, että henkilötietolain periaatteet - ennenkaikkea laatu- ja huolellisuusvaatimukset - tulevat huomioon otetuksi ja lain säätämiä velvollisuuksia noudatetaan. Vastuu rekisterinpidosta ja sen ottaminen ei saa "jäädä ilmaan" tai toteuttamatta.

Kun rekisterinpidon vastuu voi kuulua joko sukuseuralle tai -tutkijalle, niin se tulee sekä tunnistaa ajoissa, että tunnustaa. Tämä on myös henkilötietolain 42 §:n sekä kirjain että henki.

VL

Kuten aiemmin Kuusiluoma totesi, riskienhallintaa toteuttavat varsin tehokkaasti mm. tietosuojavaltuutettu, arkistolaitos ja lainsäätäjä. Viimemainittu erityisesti nyt väestötietolain kokonaisuudistuksessa.



Riskienhallinta on tässä ymmärretty väärin ikäänkuin toimialan ulkopuoliset suorittaisivat alan riskienhallintaa!

Sehän ei kuulu niiden tehtäviin, vaan tietosuojavaltuutettu, arkistolaitos ja muut toimijat toteuttavat oman toimintansa riskienhallintaa itsenäisesti, eivät kontrolloi muiden riskienhallintaa... Enemmän hoitavat lakisääteisiä tehtäviään.

Lyhyestihän tuo riskienhallinta kullakin toimialalla on kiteytetty tähän:

Riskienhallinta http://www.kemira.com/kemira/Images/blank.gif

Kokonaisvaltaisella riskienhallinnalla tunnistamme, arvioimme ja hallitsemme riskejä järjestelmällisesti ja systemaattisesti. Tavoitteenamme on halutun kokonaisriskitason saavuttaminen ja toiminnan jatkuvuuden varmistaminen.

Riskienhallinnalla varmistetaan, että organisaatio toimii tavoitteidensa mukaisesti, saavuttaa ne eikä jäännösriskitaso nouse sietämättömäksi ja on hallittavissa.

Riskienhallinta on tässä ymmärretty väärin ikäänkuin toimialan ulkopuoliset suorittaisivat alan riskienhallintaa!

Sehän ei kuulu niiden tehtäviin, vaan tietosuojavaltuutettu, arkistolaitos ja muut toimijat toteuttavat oman toimintansa riskienhallintaa itsenäisesti, eivät kontrolloi muiden riskienhallintaa... Enemmän hoitavat lakisääteisiä tehtäviään.

Lyhyestihän tuo riskienhallinta kullakin toimialalla on kiteytetty tähän:

Riskienhallinta http://www.kemira.com/kemira/Images/blank.gif

Kokonaisvaltaisella riskienhallinnalla tunnistamme, arvioimme ja hallitsemme riskejä järjestelmällisesti ja systemaattisesti. Tavoitteenamme on halutun kokonaisriskitason saavuttaminen ja toiminnan jatkuvuuden varmistaminen.

Riskienhallinnalla varmistetaan, että organisaatio toimii tavoitteidensa mukaisesti, saavuttaa ne eikä jäännösriskitaso nouse sietämättömäksi ja on hallittavissa.

Sana olisi toki pitänyt tässä yhteydessä laittaa lainausmerkkeihin - "riskienhallinta", jotta viestin olennainen asia olisi tullut paremmin ymmärretyksi.

Joka tapauksessa mainitut tahot suunnittelevat ja toteuttavat rajoituksia, jotka koskevat ainakin välillisesti sukututkimusta. Tarkoituksena on pienentää tiettyjä riskejä, esim. henkilötietojen haitallista käyttöä ja sen seuraamuksia.

Riskienhallinta organisaatiossa on mielestäni erotettava riskienhallinnasta "toimialalla". Toimiala ei ole organisaatio.
Lainaamasi teksti oli sanasta sanaan Kemira-konsernin määrittely riskienhallinnasta.

Jos nyt rajaisit ensin toimialan mahdollisimman yksiselitteisesti.
Ja sitten määrittelisit, mitä riskienhallinta tarkoittaa tavallisen harrastelijasukututkijan näkökulmasta. Niin, että sen kaikki voivat ymmärtää.

--aki--

Jaottelinkin jo aikaisemmin riskienhallinnan toimialalla:

1. Koko toimialakohtaisesti (keskeiset ja muut toimijat yhdessä muodostavat toimialan)

2. Toimijakohtaisesti (SSS, SSK, SSHY jne isommat toimijat)

3. Sukuseura ja -tutkijatasoilla sekä esimerkiksi sukututkimusyhdistystasoilla.

4. Muut vasta aloittelevat sukututkijat ja rekisteröimättömät sukuyhteisöt.

Kohdissa 2 - 4 ovat kutkin organisaatiot ja tokihan eri tasojen, toimijoiden ja organisaatioiden riskienhallinnassa, kartoituksissa ja hallintakeinoissa on eroja.

Viranomaisten toimintaa suhteessa valvottaviin nähden ei sinänsä kutsuta riskienhallinnaksi eikä myöskään lainsäädäntötyötä. Nekin tekevät oman toimintansa riskienhallintatyötä.

Käytännesääntötyöhön ovat lähteneet toimialan keskeiset toimijat ja tokihan toimialan kokonaisuus muut toimijat mukaan lukien on kohtalaisen suuri, joko viisi- tai kuusinumeroinen kaikkinensa...

VL

Tälä hetkellä kehitellään riskienhallinnan välineitä - käytännesääntöjä - toimialalle eli keskeisten ja kaikkien muidenkin toimijoiden käyttöön ja ulkopuolisten toimialaan kohdistaman luottamuksen vahvistamiseksi.

Ruohonjuuritasolla tuo riskienhallinta on lain ja sääntöjen sekä hyvän tietojenkäsittelytavan huomioon ottamista.
Henkilötietolain noudattamisessa tietysti lain huolellisuus - ja tarpeellisuusperiaatteiden tunteminen ja noudattaminen lain moitteettomaksi soveltamiseksi on luonnollisesti ensisijaista kaikilla tasoilla.

Tuo hyvä tietojenkäsittelytapa on otettu myös käytännesääntöpykälään.

"Mikäli sukututkimusta varten kootusta henkilörekisteristä annetaan muita kuin yksittäisiä tietoja tai muuhun kuin yksityiseen elämänpiiriin kuuluvaa sukututkimusta varten, tulee henkilötietolakia ja sen nojalla laadittuja käytännesääntöjä noudattaa. Henkilötietolakia on noudatettava mikäli sukututkimusrekisteri tai osa siitä on tarkoitus luovuttaa sukuseuralle tai muulle sukututkimustietoa käyttävälle yhteisölle."

Kyllä tämäkin kaipaa suomentamista, jos keskustella aikoo.
Kerään tietoja henkilöistä sukututkimusta varten; se on ilmeisesti henkilörekisteri?
Keräämäni tiedot sijoitan "sukututkimusohjelmaan", josta aikaa myöten voin tulostaa/painattaa sukukirjan, onko tekele vieläkin rekisteri?
Edellä olleen lainauksen mukaan rekisteriä ei saa luovuttaa seuralle tm. yhteisölle?
Ellei tekeleeni ole rekisteri, missä vaiheessa se muuttuu kirjaksi? Se on tietokoneessa painatusta vailla oleva kirja, ja siitä ei saa osia antaa omalle sukuseuralleen tai SSS:lle?

Eikä tämä ole sanoilla kikkailua tai irvistelyä, vaan on oikea kysymys asioiden tietäjille.
terveisin
jorma

"Mikäli sukututkimusta varten kootusta henkilörekisteristä annetaan muita kuin yksittäisiä tietoja tai muuhun kuin yksityiseen elämänpiiriin kuuluvaa sukututkimusta varten, tulee henkilötietolakia ja sen nojalla laadittuja käytännesääntöjä noudattaa. Henkilötietolakia on noudatettava mikäli sukututkimusrekisteri tai osa siitä on tarkoitus luovuttaa sukuseuralle tai muulle sukututkimustietoa käyttävälle yhteisölle."

Kyllä tämäkin kaipaa suomentamista, jos keskustella aikoo.



Niinpä.

Kehäähän siinä pyöritään eikä tuollaista ohjetta varmaan kenenkään liene - toivottavasti - tarkoitus kirjoittaa ohjeeksi. Otapa siitä selvää...:eek:

Eiköhän tarkoitus olisi kirjoittaa käyttäjille selväsanaiset ohjeet.

"Mikäli sukututkimusta varten kootusta henkilörekisteristä annetaan muita kuin yksittäisiä tietoja tai muuhun kuin yksityiseen elämänpiiriin kuuluvaa sukututkimusta varten, tulee henkilötietolakia ja sen nojalla laadittuja käytännesääntöjä noudattaa. Henkilötietolakia on noudatettava mikäli sukututkimusrekisteri tai osa siitä on tarkoitus luovuttaa sukuseuralle tai muulle sukututkimustietoa käyttävälle yhteisölle."


Kiitokset konkreettisista kysymyksistä. Niitä täällä jo kaivataankin.

Muistutan, että yllä oleva lainaus on osa Suomen Sukututkimusseuran esittämästä näkemyksestä, joka koskee henkilötietolain soveltamisalaa liittyen sukututkimusta varten pidettyihin henkilörekistereihin.


Kerään tietoja henkilöistä sukututkimusta varten; se on ilmeisesti henkilörekisteri?

Kyllä se melko todennäköisesti on henkilörekisteri. Henkilötietolaki antaa henkilörekisteristä hyvin laajan määritelmä, johon voi halutessaan sisällyttää melkein mitä vain.


Keräämäni tiedot sijoitan "sukututkimusohjelmaan", josta aikaa myöten voin tulostaa/painattaa sukukirjan, onko tekele vieläkin rekisteri?

Juu, nyt se joka tapauksessa on henkilörekisteri, koska tietojen käsittely tapahtuu atk:lla.


Edellä olleen lainauksen mukaan rekisteriä ei saa luovuttaa seuralle tm. yhteisölle?

Lainauksessa ei mainita mitään sellaista, että henkilörekisteriä ei saisi luovuttaa eteenpäin. Siellä ehdotetaan, että niin kauan kuin sukututkija työskentelee henkilörekisterinsä kanssa oman kotinsa seinien sisällä eikä luovuta rekisteristään yksittäisiä tietoja enempää tietoja, henkilötietolaki ei koskisi tätä toimintaa. Mutta jos rekisterin luovuttaa esimerkiksi sukuseuralle, tulisivat henkilötietolain säännökset noudatettaviksi. Tämä tietenkin edellyttää, että henkilörekisteri sisältää elävien ihmisten tietoja.


Ellei tekeleeni ole rekisteri, missä vaiheessa se muuttuu kirjaksi? Se on tietokoneessa painatusta vailla oleva kirja, ja siitä ei saa osia antaa omalle sukuseuralleen tai SSS:lle?

Painotuotteeksi eli kirjaksi se muuttaa viimeistään silloin, kun painokone käynnistetään.

Kuten sanoin, kukaan ei kiellä sinua luovuttamasta osia henkilörekisteristäsi kenelle haluat, mutta rekisterinosan tai koko rekisterin luovutus omalle sukuseuralle aiheuttaa sen, että sukuseurasta tulee rekisterinpitäjä, jota epäilyksettä koskevat henkilötietolain säännökset. Sukuseuran tulee laatia rekisteriseloste ja tiedottaa jokaiselle elävälle henkilölle siitä, että nämä on rekisteröity - ellei siitä aiheudu kohtuutonta vaivaa, mikä lienee tietosuojavaltuutetun nykyisen ohjeistuksen mukaan on muuttunut lähinnä kuolleeksi kirjaimeksi henkilötietolaissa.

Niinpä.

Kehäähän siinä pyöritään eikä tuollaista ohjetta varmaan kenenkään liene - toivottavasti - tarkoitus kirjoittaa ohjeeksi. Otapa siitä selvää...:eek:

Eiköhän tarkoitus olisi kirjoittaa käyttäjille selväsanaiset ohjeet.


Edellä olevan kommentin esittäjä oli itse henkilökohtaisesti Suomen Sukututkimusseuran edustajan kanssa viemässä keväällä tietosuojavaltuutetulle paperia, jossa tietosuojavaltuutetulta pyydettiin kommenttia mm. tähän tulkintaan.

Suomen Sukututkimusseuran pyrkimyksenä on edelleenkin se, että käytännesäännöissä henkilötietolakia voidaan yhdessä tietosuojavaltuutetun kanssa tulkita niin, että omaksi ilokseen kotinsa seinien sisäpuolella sukututkimusta varten henkilörekisteriä pitävät sukututkijat rajattaisiin lain soveltamisalan ulkopuolelle. Ei ole mitään syytä ulottaa tässä asiassa viranomaiskontrollia ihmisten koteihin.

Suomen Sukututkimusseuran käsityksen mukaan tietosuojavaltuutetun tarkoituksena ei ole pyrkiä sukututkijoiden työhuoneisiin valvomaan näiden henkilötietojen käsittelyä niin kauan kun se tapahtuu yksityisessä elämänpiirissä. Seuran käsityksen mukaan tietosuojavaltuutettu haluaa yhdessä sukututkijoita edustavan valtakunnallisen tahon kanssa etsiä sen rajapyykin, jolla siirrytään yksityisestä elämänpiiristä sellaiseen henkilötietojen käsittelyyn, jolloin henkilötietolaki tulee noudatettavaksi.

Suomen Sukututkimusseuralla on edelleenkin hyvä syy olettaa, että seuraava tulkinta saa kannatusta myös tietosuojavaltuutetulta:

"Henkilötietolakia ei ole noudatettava, jos sukututkimus on henkilön yksityiseen elämänpiiriin kuuluvaa toimintaa riippumatta tietojen tallennustavasta, kerättyjen henkilöiden määrästä tai rekisteröityjen sukulaisuudesta rekisterin ylläpitäjään.

Mikäli sukututkimusta varten kootusta henkilörekisteristä annetaan muita kuin yksittäisiä tietoja ja muuhun kuin yksityiseen elämänpiiriin kuuluvaa sukututkimusta varten, tulee henkilötietolakia ja sen nojalla laadittuja käytännesääntöjä noudattaa.

Henkilötietolakia on noudatettava mikäli sukututkimusrekisteri tai osa siitä on tarkoitus luovuttaa sukuseuralle tai muulle sukututkimustietoa käyttävälle yhteisölle."

Kuten sanoin, kukaan ei kiellä sinua luovuttamasta osia henkilörekisteristäsi kenelle haluat, mutta rekisterinosan tai koko rekisterin luovutus omalle sukuseuralle aiheuttaa sen, että sukuseurasta tulee rekisterinpitäjä, jota epäilyksettä koskevat henkilötietolain säännökset. Sukuseuran tulee laatia rekisteriseloste ja tiedottaa jokaiselle elävälle henkilölle siitä, että nämä on rekisteröity - ellei siitä aiheudu kohtuutonta vaivaa, mikä lienee tietosuojavaltuutetun nykyisen ohjeistuksen mukaan on muuttunut lähinnä kuolleeksi kirjaimeksi henkilötietolaissa.

Sukututkimusrekisteriä koskee kyllä käyttötarkoitussidonnaisuus eli kenelle tahansa mitä tahansa tarkoitusta varten sitä tai sen osaa ei voi luovuttaa. Luovutuksesta muille tulee mainita rekisteriselosteessa henkilötietolain periaatteiden mukaisesti.

Kyllä sukututkija on rekisterinpitäjä jo ennen tietojen luovutusta, kun hän on kerännyt ja tallettanut jne henkilötietoja.

Toimintamallithan vaihtelevat kovin paljon ja rekisterinpidosta voidaan sopia tapauskohtaisesti, jos sukututkija tekee koko homman omaan lukuunsa ja vastaa siitä loppuun asti. Tapaukset eivät ole aina samanlaisia ja sitten tehdään paljon talkootyönäkin...

Sukuseurasta ja sukututkijasta tulee tietysti rekisterinpitäjä jo aikaisemminkin, jos henkilötietoja on kerätty, talletettu jne (laissa on lueteltu pitkä luettelo lain tarkoittamaa henkilötietojen käsittelyä).

Sukuseurat ovat tähän mennessä laatineet rekisteriselosteita ilmeisesti paljon useammin kuin sukututkijat ja tiedottavat mahdollisuuksien mukaan kohtuulliseen kattavuuteen pyrkien.

VL

Edellä olevan kommentin esittäjä oli itse henkilökohtaisesti Suomen Sukututkimusseuran edustajan kanssa viemässä keväällä tietosuojavaltuutetulle paperia, jossa tietosuojavaltuutetulta pyydettiin kommenttia mm. tähän tulkintaan.



Muotoilu ei ollut onnistunut ja se oli SSS:n ehdottama. Silloin ei ollut ihan pitkän ulkomaanmatkan syistä edes aikaa miettiä omaa ehdotusta.

Tietosuojavaltuutettu ei halunnut antaa asiasta mitään ennakko-ohjausta eikä ilmeisesti ollut vielä oikein sitoutunut sisältöön.

Asia kannattaa kirjoittaa selkeämmin ja muutenkin koko rakenne hahmotella parempaan sisältöön.

VL

Kyllä sukututkija on rekisterinpitäjä jo ennen tietojen luovutusta, kun hän on kerännyt ja tallettanut jne henkilötietoja.


Rekisterinpitäjäpä hyvinkin, mutta se ei tarkoita sitä, että henkilötietolaki tulee automaattisesti noudatettavaksi. Suomen Sukututkimusseura vastustaa ehdottomasti sellaisia automaatioita, jotka luovat yksityisille kansalaisille henkilötietolain edellyttämät rekisterinpitäjän velvoitteet silloin kun siihen ei ole syytä. Varsinkin kun henkilötietolaki itsekin reilusti ja hyvin selväsanaisesti toteaa:

"Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa."

Muotoilu ei ollut onnistunut ja se oli SSS:n ehdottama. Silloin ei ollut ihan pitkän ulkomaanmatkan syistä edes aikaa miettiä omaa ehdotusta.

Tietosuojavaltuutettu ei halunnut antaa asiasta mitään ennakko-ohjausta eikä ilmeisesti ollut vielä oikein sitoutunut sisältöön.

Asia kannattaa kirjoittaa selkeämmin ja muutenkin koko rakenne hahmotella parempaan sisältöön.


Allekirjoittaneen näkemys siitä, ettei tietosuojavaltuutettu halunnut etukäteen antaa hänelle toukokuussa esitetyistä kysymyksistä mitään ennakkokantaa, on myös se, että hänellä todennäköisesti oli erilainen mielipide eräiltä osin. Jos näkemys olisi ollut sama, niin hän olisi ilmaissut sen. Päätä ei kannata hakata siksi seinään.

Tässä tilanteessa on paras harkita huolellisesti sellaista esitystä, joka parhaiten vastaisi henkilötietolain tarkoitusta ja henkeä.

VL

Rekisterinpitäjäpä hyvinkin, mutta se ei tarkoita sitä, että henkilötietolaki tulee automaattisesti noudatettavaksi.

Henkilötietolain
4 luvun 18 §: Sukututkimus

2 mom: Edellä 1 momentissa tarkoitettua sukututkimusrekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.
************************
Niin, kun rekisterinpitäjä kerää ja tallettaa sukututkimusrekisteriinsä henkilörekisteristä luovutettuja tietoja, on hän jo henkilötietolain piirissä ja hänen tulee noudattaa henkilötietolain huolellisuus- ja muita periaatteita. Toisin sanoen hänen tulee myös suojata rekisterinsä lain tarkoittamalla tavalla hyvän tietojenkäsittelytavan mukaisesti ja varautua oikeaan tietojen luovuttamiseen.

Siispä lain noudattamisen piiriin kuulumista ja rekisteriselosteen laatimista ei pidä viivytellä.

Tässäpä se knoppi piileekin eli moitteettoman henkilötietolain noudattamisen vaatimusten takia tulee sukututkijan todellakin osata noudattaa henkilötietolain yleisiä periaatteita ja huolellisuusvelvoitteita ennen tietojen luovuttamistakin.

Sic! Henkilötietojen kerääminen ja tallettaminen jne on jo henkilötietojen käsittelyä... Suojaus on hoidettava...

Niin, kielto-oikeuksistakin on jo voinut olla mainintoja henkilörekisteristä luovutetuissa tiedoissa ja niiden käsittelystä tulee olla rekisteriselosteessa maininta!

Siksi tietosuojavaltuutettu ei voinut hyväksyä toukokuista esityspaperia.

VL

Tässä tilanteessa on paras harkita huolellisesti sellaista esitystä, joka parhaiten vastaisi henkilötietolain tarkoitusta ja henkeä.


Näin ilman muuta tulee tehdä. Henkilötietolain tarkoituksen ja hengen etsiminen on annettu virkatyöksi tietosuojavaltuutetulle ja hänen tulkintojaan tulee myös sukututkijoiden tarkalla korvalla kuunnella. On hyvä muistaa, että tietosuojavaltuutettu saa valtuutuksen tulkinnoilleen perustuslain 10 §:stä, joka turvaa kansalaisen yksityiselämän. Mainitussa pykälässä säädetään, että henkilötietojen suojasta säädetään tarkemmin henkilötietolailla.

Kansalaisen perusoikeuksiin kuuluu myös sananvapaus ja julkisuus (12 §), mm. julkistaa ja vastaanottaa tietoja kenenkään ennakolta estämättä samoin kuin saada tieto julkisesta asiakirjasta.

Käytännesääntötyössä on viime kädessä kyse näiden kahden perusoikeuden tasapainottamisesta. Kansalaisilla on oikeus määrätä omien henkilötietojensa käytöstä, mutta toisaalta kansalaisilla on oikeus kerätä henkilötietoja ja julkaista niitä.

Suomen Sukututkimusseuran näkemys on, että kun henkilötietolain tarkoitusta ja henkeä haistellaan, ei se voi tapahtua yksinomaan tietosuojavaltuutetun suulla, vaan sukututkijoiden perustuslakiin perustuvat oikeudet on myös otettava huomioon. Käytännesääntöjen kirjoittamisen on oltava jotakin aivan muuta kuin tietosuojaviranomaisen tulkintojen kirjaamista ja niiden hyväksyttämistä sukututkijoiden valtakunnallisella edunvalvojalla.

Käytännesääntöjen kirjoittamisen on oltava jotakin aivan muuta kuin tietosuojaviranomaisen tulkintojen kirjaamista ja niiden hyväksyttämistä sukututkijoiden valtakunnallisella edunvalvojalla.

Käytännesäännöt ovat toimialan ohje - niin sukuseuroille kuin -tutkijoillekin ja tietosuojavaltuutetun rooli on tarkistaa niiden lainmukaisuus. Taustallahan ovat eri lakien säännökset, joita pitää osata noudattaa.

Lain soveltajien - sukuseurojen ja -tutkijoiden - täytyy tuntea lain tarkoitus, kirjain ja henki siinä kuin viranomaistenkin, jopa paremminkin sukututkimusta koskevien säännösten osalta.

Tausta- ja oikeustapausaineisto antaa hyvää taustaa. Kyllä toimivat säännöt on toimialalle mahdollista saada. Yhdeksi alan riskienhallinnan välineeksi.

Tehdäänpä nyt toinen konkreettinen esimerkki.

Tutkijalla on noin 18.000 nimeä sisältävä sukututkimus, jossa on keskimäärin 13 sukupolvea, joista polveutumisen perusteella 99% kuuluisi kolmeen viimeiseen sukupolveen (luonnollisia henkilöitä), mutta käytännössä heitä kaikkia ei ole pystytty selvittämään. Tiedot ovat kerrätty pääsääntöisesti kirkonkirjoista ja viimeisimmät polvet perunkirjojen tai vastaavien asiapaperien perusteella jollei asianomaisista olla kuultu mitään muuta kautta.

Oletettavasti elossa olevia on noin 15.000 -17.000 henkilöä, joista suurimmasta osasta tiedetään vain vanhemmat, nimi ja syntymäaika. Heidän mahdolliset aviot, kuolemat ja jälkeläiset ovat tutkimatta tai eivät ole yksinkertaisesti löytyneet. Tällainen tilanne on tyypillinen monessa laajassa sukukirjassa.

Nyt henkilötietolaki, siten kuin tietosuojavaltuutettu tuntuisi edellyttävän, edellyttäisi, että otan näihin ihmisiin yhteyden ja täyttäisin rekisteröidyn tiedottamisvelvollisuuden ja saisin vastauspostissa tai jotakin muuta kautta mahdollisen henkilötietojen kiellon käyttööni.

- ensimmäinen kysymys kuuluu, miten ihmeessä näillä tiedoilla voin selvittää kyseisten ihmisten kontaktitiedot ja montako jää selvittämättä?
- jos ensimmäiseen kysymykseen löytyy 100 % myönteinen vastaus, mitä arvellette niiden kontaktitietojen selvittelyn maksavan? Luultavasti alle 100% selvitystä ei voi hyväksyä
- jos pystyy vastaamaan kahteen edelliseen kysymykseen, ettei se aiheuta kohtuutonta vaivaa, voin kertoa, että koko lystin pelkät postituskulut kuorineen ja postimerkkeineen maksavat yli 10.000 euroa, vaikka samaan kuoreen voi laittaa puolisoiden tiedottamisen.

Kun olen tehnyt tuon yli 10.000 + xx.xxx euron uhrauksen, minulla luultavasti menee hyvinkin vuosi aineiston saattamiseen painokuntoon. Tänä aikana tuosta joukosta, osa tulee täysi-ikäiseksi, jolloin minun luultavasti pitäisi lähettää heille uusi kirje, sillä muuten tuo tiedottamisvelvollisuus ontuu. Todennäköistä on, että ainakin osan osoitetiedot ovat muutuneet kuluneen vuoden aikana, joten joudun uuteen selvityskierteeseen.

Ehkäpä joku sanoo, että sukuyhdistykseen voidaan organisoida sukuhaarakohtaiset kontaktihenkilöt asian hoitamiseen ja selvittämiseen. Asia kuulostaa ehkäpä helpolta, mutta sen organisoiminen siten, että tutkija voi luottaa, että kaikkiin on otettu yhteyttä, vaatii melkoisen hallinnon ja luottamuksen, ja lisäksi oletettavasti on sukuhaaroja, joita ei tunneta tai niistä ei yksinkertaisesti löydy kontaktihenkilöä. Nyt kuitenkin pitää pysähtyä, sillä tällaista tietojen luovutusta sukutukija ei saisi lain tulkinnan mukaan edes tehdä sukuseuralle, ennenkuin tuo tiedottamisvelvollisuus on suoritettu, joten kyse olisi laittomasta menettelystä.

Asia on huomattavasti yksinkertaisempi, jos kirja käsittelisi vain muutamia sukupolvia ja vaikkapa muutamaa sataa henkilöä. Kun kyseessä on III tai IV serkut, tehtävän voisi vielä kuvitella olevan mahdollisuuksien rajoissa.

Jos oikeasti tietosuojavaltuutetun kuvatun kaltainen tiedottamisvelvollisuus on täytettävä, eikä asiaan haluta tulkita lievemmin, käsittääkseni SSS:lle ei jää muuta mahdollisuutta, kuin suosittaa jäsenistölle, että sukututkimuksia luonnollista henkilöistä ei pidä tehdä kuin yksityisiin tarkoituksiin. Käsitykseni perustuu tässä kohdin pitkäaikaiseen ja laajaan kokemukseen erilaisten operatiivisten järjestelmien toimivuudesta olivat ne sitten manuaalisia tai atk-pohjaisia. Edellä kuvatulla tietopohjalla ei yksinkertaisesti saa lain tulkinnan edellyttämää toimivaa systeemiä.

Kiertotie kyseiseen malliin voisi kenties löytyä toisilta toimialoilta. Esimerkiksi suoramarkkinoinnissa suoramarkkinointiliitto ylläpitää vastaavanlaista kieltorekisteriä. Jos sukututkimusalalla pitäisi aukottomasti hoitaa tuo kielto-oikeus, luultavasti ainoa oikeasti toimiva malli voisi perustua tuollaiseen suoramarkkinointiliiton kaltaiseen malliin. Kiellot rekisteröitäisiin keskitetysti SSS, jolloin vähimmäistieto henkilötietokiellon tekevän henkilön osalta olisi täydellinen nimi, syntymäaika, syntymäpaikka ja vanhemmat syntymäaikoineen. Luultavasti em. vähimmäistietojen avulla henkilön kielto olisi tunnistettavissa suhteessa johonkin sukututkimukseen ja toisaalta tätä vähempää ei voitaisi tulkita henkilötiedoksi, koska tunnistaminen on mahdotonta. Se, miten tuollaisessa järjestelmässä sukutukija voisi tarkastaa kiellot, ei suinkaan sekään ole yksinkertaista, mutta luultavasti olisi toteutettavissa jonkinlaisella eräajolla, jossa takastetaan nimen ja syntymäajan vastaavuus ja manuaalisella vanhempien tarkastamisella varmistetaan osuma. Henkilötietojen ja pvm tietojen horjuvuuden vuoksi järjestelmässä pitäisi ehkä lisäksi olla jotakin päättelykykyä.

Edellä kuvattu järjestelmä olisi ehkä myös kohtuullinen suurelle yleisölle, jossa yhdellä kiellolla voisi pitää huolen kaikista mahdollisista sukututkimuksista, joissa voisi esiintyä. Ongelmia em. kaltaisessa järjestelmässä tuottaisi tilanteet, jossa kieltäjän täysi-ikäiset lapset eivät käyttäisi kielto-oikeutta ja/tai jopa vaatisivat polveutumisensa esille. Tällöin täytyy olla vähimmäistiedon käsite, joka on sallittu, ja vähimmillään se on sukupuoli ja sukunimi, joka tulee esille muusta yhteydestä.

Näitä kirjoitettaessa muistiin palaa, eräs sukukirja arvostelu genoksessa joitakin vuosia sitten, jossa mainittiin, että pienellä lisävaivalla olisi tiedot helposti uloitettu nykypäivään. Nykykeskustelun valossa tuo pieni vaiva kuulostaa lähinnä koomiselta.

Hyvä Antti !

Olet huomioissasi täysin oikeassa. Suomen Sukututkimusseura tekee sukututkijoiden edunvalvojana parhaansa epäkohtien korjaamiseksi.

Kumotun henkilörekisterilain alkuperäisen sanamuodon mukaan tuli sukututkimustarkoituksessa kerättävien henkilötietojen käsittelyyn olla kunkin elävän henkilön suostumus tai tietosuojalautakunnan lupa. Näitä lupa-anomuksia tuli paljon ja työllistivät kohtuuttomasta lautakuntaa, etenkin, kun lopputulos oli useimmiten myönteinen. Tietosuojaviranomaisten aloitteesta kyseiseen lakiin otettiin sukututkimusta ja henkilömatrikkelia varten erityispykälät, jolla helpotettiin aikaisempaa tiukkaa tulkintaa. Tällöin henkilön omasta luvasta tai tietosuojaviranomaisten luvasta huolimatta sai kerätä henkilötietoja sukututkimustarkoituksessa. Tällöin lakiin otettiin myös pykälä siitä, että henkilöllä on oikeus kieltää tietojensa käsittely kyseisiin tarkoituksiin (aivan kuten suoramarkkinoinnissa). Mutta mistäs henkilö sitten tietäisi tietojensa käsittelystä ? Tämän vuoksi säädettiin velvoite informoida henkilöitä tietojensa käsittelystä. Lainmuutoksen esitöissä (1992 muistaakseni) perusteltiin muutosta sillä, että katsottiin sukututkimuksen olevan arvokasta ja hyväksyttävää toimintaa, mutta ei niin tärkeää, että se ohittaisi Perustuslain säätämän yksityisyyden suoja (ja tästä johdetun tiedollisen itsemääräämisoikeuden).

Suomen Sukututkimusseura on sitoutunut laatimaan toimialakohtaisia käytännesääntöjä ja pyrkii pääsemään tietosuojaviranomaisten kanssa nykyistä tulkintaa kohtuullisempaan ratkaisuun etenkin siitä milloin sukututkimus on "yksityiseen elämänpiiriin kuuluvaa toimintaa", jolloin henkilötietolaki ei tule noudatettavaksi. Ruotsin vastaavassa lainsäädännössä ei ole "sukututkimuspykälää", mutta siellä puolestaan katsotaan sukututkimuksen olevan miltei aina lain soveltamisen ulkopuolelle jäävää harrastustoimintaa.

Tiedonantovelvoitte on sukututkijan kannalta niitä hankalampia ja kohtuuttomimpia velvoitteita, kuten Antti hyvin toteaa. Lakiin on kuitenkin säädetty helpotuksia: Henkilötietolaki 24 § 2 mom 3 kohta "tiedonantovelvollisuudesta voidaan poiketa.. kerättäessä tietoja muualta kuin rekisteröidyltä itseltään, jos tietojen antaminen rekisteröidylle on mahdotonta tai vaatii kohtuutonta vaivaa taikka aiheuttaa rekisteröidylle tai tietojenkäsittelyn tarkoitukselle olennaista vahinkoa tai haittaa eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon taikka jos tietojen keräämisestä, tallettamisesta tai luovuttamisesta on nimenomaisesti säädetty." Lain esityöt listaavat mm. tietojen suuren määrän tällaiseksi seikaksi, eli milloin tiedonantovelvoitteesta voisi luopua.
Loppu onkin sitten tulkintaa ja mielipiteitä. Tietosuojaviranomaiset (virkansa puolesta) katsovat, että kaikki muu kuin mummon ruutuvihkoon merkitsemät lastenlasten syntymäpäivät ovat lain piiriin kuuluvaa sukututkimusta (karrikoidusti).

Informointivelvoitteeseen tulisi jotenkin saada muutosta nykyisestä. Koska kullakin, joka haluaa estää tietojensa käsittelyn sukututkimustarkoituk-sessa on mahdollisuus tehdä siitä merkintä ATK pohjaiseen väestorekisteriin. TÄhän pitäisi voida kehittää jonkinlainen suorakäyttöyhteys, jolloin sukututkija voisi ilmaiseksi ja helposti tarkistaa onko kielto asetettu. Tiedot sielläkin voivat tietenkin muuttua jne. joten mitään vedenpitävää systeemiä ei voitane kehittää.

Koska vain murto-osa suomalaisista pitää tietojensa käsittelyä sukututkimustarkoituksessa paheksuttavana ei sukututkimusta tulisi näin ankarasti suitsia. Lainsäädäntö ja sen tulkinta on aina viimekädessä politiikkaa -enemmistön tahdon toteutumista.

Suomen Sukututkimusseura profiloituu yhä merkittävämmässä määrin sukututkijakentän edunvalvojaksi, joka pyrkii vaikuttamaan myös lainsäädäntöön (kuten vireillä olevaan väestötietolain kokonaisuudistukseen). Vankka jäsenmäärä on yksi tärkeimpiä edellytyksiä saada äänensä kuuluvaksi.

terv. Roy Sjöblom
varatuomari
SSS:n varaesimies
SSS:n juridisen toimikunnan pj.