Joulupukin hyppy

Rikkooko Joulupukin henkilörekisteri lakia?

Joulun aikaan usean ihmisen ja varsinkin lasten mielenkiinto kääntyy maailman kuuluisimman henkilörekisterin pariin. Monessa kodissa käydään keskusteluja siitä, millaisia tietoja kustakin joulun odottajasta Joulupukin rekisteristä tänä vuonna löytyy.

Joulupukilla lienee saatujen hajanaisten tietojen perusteella hyvin laaja henkilörekisteri, jossa jokaisesta ihmisestä löytyy nimen ja osoitteen lisäksi ilmeisesti tieto siitä, onko ihminen ollut kiltti vai ei. Myös henkilön aiempi lahja- ja käytöshistoria ovat mukana rekisterissä. Joulupukki on siis katsottava tässä asiassa rekisterinpitäjäksi. Hän ei liene tehnyt rekisteristään asianmukaista rekisteriselostetta ja muita vaadittavia tiedonantoja, joten rekisteriin merkityillä henkilöillä ei välttämättä ole ollut tietoa heille kuuluvasta tarkastusoikeudesta. Henkilöt eivät ole pystyneet korjaamaan mahdollisia virheellisiä itseään koskevia henkilötietoja. On epäselvää, voidaanko rekisteriin liittyvät tarkastuspyynnöt lähettää samaan osoitteeseen kuin lahjapyyntötoiveet.

Rekisteriselosteen puuttuessa ei myöskään ole selvyyttä siitä, onko Joulupukin henkilörekisterin käyttö ulkoistettu ja siirretäänkö henkilötietoja Korvatunturilta EU-alueen ulkopuolelle. Tonttujen ja Joulupukin välisen oikeussuhteen epäselvyyden vuoksi kyseessä saattaa olla henkilötietojen käsittelyn alihankinta ja täten asianmukaiset ilmoitukset lienevät jääneen tekemättä, mukaan lukien jopa asianmukaiset siirtosopimukset, joissa Joulupukki rekisterinpitäjänä huolehtii ja vastaa henkilötietojen riittävästä tietosuojasta.

Joulupukin rekisteritoiminta kaipaa päivitystä

Koska Joulupukin rekisterin hallinnointi näyttää jo yleisellä tasolla olevan hyvin heikosti ja puutteellisesti hoidettu, lienee valitettavasti myös niin, että Joulupukki tuskin on asianmukaisesti selvittänyt Euroopan unionin tuomioistuimen Schrems-päätöksen merkityksen rekisterilleen. Päätöksessä katsottiin, että henkilötietojen siirto Yhdysvaltoihin Safe Harbour -menettelyn perusteella ei enää ole laillista, ja siten mahdollinen Joulupukin rekisterin siirto yhdysvaltalaiseen pilvipalveluun tulee perustua muuhun kuin Safe Harbour -menettelyyn.

Joulupukin kuten muidenkin henkilörekisterien pitäjien, tulisi muiden kiireidensä ohella varmistaa mahdollisen Yhdysvaltoihin tiedon siirtämisen laillisuus, rekisterin riittävä tietosuojan taso sekä muut henkilörekisteriin ja sen ylläpitoon liittyvät oikeudelliset velvoitteet sekä valmistautua EU:n uuden tietosuoja-asetuksen aiheuttamiin muutoksiin.

Ilkka Vuorenmaa Ilkka Vuorenmaa toimii KPMG:llä lakipalveluiden asiantuntijana. Henkilötietoihin, ICT-maailmaan, immateriaalioikeuksiin, yhtiöjärjestelyihin ja sopimuksiin liittyvien toimeksiantojen ohella Ilkka hoitaa riita-asioita. Jouluaattoiltana Ilkka odottaa saavansa Joulupukilta henkilörekisteriselosteen lisäksi myös muuta joululuettavaa.

Kuva: Alexandre Sato/Flickr