Huoli henkilötiedoista

26.02.2019, klo 07:32

Henkilötietojen käsittely herättää monissa meistä huolta. Ensisijainen huoli liittynee siihen, että jokin taho, jonka emme haluaisi käsittelevän tietojamme, tekee niin vahingoksemme. Kuitenkin totuus kallistunee enemmän sen puoleen, että henkilötietojemme käsittely on meille useimmiten hyödyllistä. Se edistää ja helpottaa asioidemme hoitamista. Kuten kaikkeen ihmisen toimintaan myös henkilötietojen käsittelyyn voi kuitenkin liittyä toimintaa ja toimijoita, joilla ei ole meille yksiselitteisen myönteistä tai toivomaamme vaikutusta.

Jo pelkkä ajatus siitä, että jokin taho käsittelee henkilötietoja, voi huolestuttaa. Termi henkilötietojen käsittely määriteltiin vanhassa henkilötietolaissa seuraavasti:

”henkilötietojen käsittelyllä [tarkoitetaan] henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä”.

Siis aika kattava lista kaiken kaikkiaan. Eikä siinä vielä kaikki: määritelmän mukaan henkilötietojen käsittely tarkoitti myös kaikkia muita toimenpiteitä, joita henkilötietoihin voisi kohdistua mutta joita ei ole osattu listata erikseen.

Pelisäännöt henkilötietojen käsittelylle

Henkilötietojen käsittely on joka tapauksessa nähty sellaiseksi tietojenkäsittelyn erikoistapaukseksi, että se vaatii erillisiä lainsäädännöllisiä pelisääntöjä. Lakipykälien avulla voidaan ehkäistä ylilyöntejä. Lähtökohta on, että annetaan jokaiselle yksilölle mahdollisuus vaikuttaa siihen, miten hänen henkilötietojaan käsitellään. Jokainen voi siis itse säädellä sitä, miten paljon ja laajasti haluaa pitää tietojaan saatavilla.

Aivan täydellisestä kontrollista omiin henkilötietoihimme ei kuitenkaan ole kyse, sillä lainsäätäjä on huomioinut erityisesti viranomaisten tarpeen käsitellä tietoja. Ne siis voivat tehdä niin, vaikka vastustaisimme sitä. Se, että pyytäisin verottajaa poistamaan tietoni ja olemaan lähestymättä minua, ei valitettavasti onnistu.

Pakollinen paha

Joskus henkilötietoja on kuitenkin käsiteltävä. Viimeistään silloin, kun meidän on hankittava elämämme kannalta välttämättömiä palveluja tai hyödykkeitä. Toisin sanoen: No data, no service.

Jos haluamme solmia sopimuksen veden, sähkön ja lämmön toimituksesta tai vaikkapa pankki- ja vakuutuspalveluista, henkilötietojen luovutus on pakollista. Tämän on katsottu olevan kohtuullista, koska palveluntarjoajan on vaikea hoitaa oma puoli sopimuksestaan, mikäli se ei tiedä tarkalleen, kenelle pitää toimittaa mitäkin palvelua milläkin ehdoilla. Tässä tapauksessa henkilötietojen käsittely lienee molemmille osapuolille hyötyä tuottava toimi. Kieltäytyminen tarkoittaisi kieltäytymistä hankkimasta näitä peruspalveluja.

Henkilötietojen käsittelyssäkin on tiedoista riippuen tasoja, jotka vaativat enemmän huolellisuutta kuin muut henkilötiedot. Uusi henkilötietolainsäädäntö asettaa erityistä huolellisuutta vaativiksi tiedoiksi sellaiset, joiden harkitsemattomalla käsittelyllä voi olla suurimmat vaikutukset yksilön oikeuksiin ja vapauksiin. Näitä nimitetään erityisiä henkilöryhmiä koskeviksi henkilötiedoiksi. EU:n yleinen tietosuoja-asetus kieltää tällaisten tietojen käsittelyn ilman erityistä perustetta:

”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.”

Tunnistanko sinut henkilötunnuksesta?

Suomalaisessa toimintaympäristössä on yksi erityinen henkilötieto, jonka käsittely herättää joskus voimakkaita tunteita. Se on monesti väärin ymmärretty ja sen vuoksi väärin käytetty henkilötiedon osa. Kysymys on tietysti suomalaisesta henkilötunnuksesta.

Henkilötunnuksen saa jokainen Suomessa syntyvä lapsi automaattisesti, kun sairaala ilmoittaa lapsen väestötietojärjestelmään. Henkilötunnus on tunniste, jonka perusteella henkilö voidaan helposti yksilöidä. Suurin väärinymmärrys liittyy siihen, että henkilön yksilöiminen ja tunnistaminen ovat kaksi eri asiaa. Henkilötunnusta hyödynnetäänkin usein väärin henkilön tunnistamisessa, mikä johtaa pahimmillaan siihen, että hyödyllisen yksilöivän tiedon käyttämistä arastellaan.

Kun henkilö asioi palvelutiskillä, tunnistaminen on varsin helppoa. Kun henkilö on tunnistettu henkilökortista tai passista luotettavasti, voidaan tehdä häntä koskevia toimenpiteitä, kuten solmia sopimuksia. Verkkoasioinnissakin tunnistaminen on erittäin helppoa. Yleisimmin se tapahtuu pankkitunnusten avulla, jolloin henkilöllisyys varmennetaan pankin kautta. Tällöin ajatellaan, että pankki on tehnyt tunnistamisen luotettavasti tunnukset myöntäessään ja toimii niin sanottuna takuumiehenä. Myös mobiilitunnistautuminen on kasvattanut suosiotaan, ja siinä teleoperaattori takaa henkilön identiteetin.

Henkilön tunnistaminen puhelimitse on haastavaa

Puhelimessa luotettava tunnistaminen ei ole yhtä helppoa, sillä sitä varten ei ole mitään yleiskäyttöistä menetelmää. Niinpä täytyy tukeutua laajempaan tietojoukkoon. Henkilöltä voidaan kysyä esimerkiksi edellisiä osoitteita tai vastaavia tietoja, jotka antavat asiakaspalvelijalle riittävän luotettavan kuvan siitä, kuka puhelimen toisessa päässä on. Luonnollisesti aivan kaikkia toimenpiteitä ei voi viedä loppuun puhelinkeskustelun perusteella, vaan ne on hoidettava luotettavammalla tavalla.

Henkilötunnus voi tällaisessa tilanteessa olla yksi osa henkilön tunnistamista. Se ei kuitenkaan voi olla ainoa tieto identiteetin varmentamiseksi. Kaikkeen tunnistamiseen liittyy myös riski. Valokuva ajokortissa voi olla kymmeniä vuosia vanha, mikä heikentää ajokortin luotettavuutta tunnistamisessa. Tuleehan se epäusko ainakin joillekin meistä, kun omaa ajokorttia vilkaisee: tuonko näköisiä sitä on joskus oltu.

Joskus laki velvoittaa

Energiayhtiöille on säädetty laissa velvoite kerätä kaikkien sähkönkäyttäjien henkilötunnukset yksilöiväksi tiedoksi, kun valmistaudumme toimialan suurimpaan mullistukseen eli kaikki markkinaosapuolet yhdistävän Datahubin käyttöönottoon vuonna 2021. Datahub kokoaa yhteen keskitetysti tiedot kaikista Suomen 3,5 miljoonasta sähkönkäyttöpaikasta ja siitä, kenellä kyseiseen paikkaan on sähkösopimus.

Ei ole aivan sama, kuka henkilötietoja käsittelee. Henkilötietoja ei saa käsitellä huvin vuoksi tai edes urheilun kannalta. Käsittelijöiden velvollisuus on kertoa perusteista selkeästi ja läpinäkyvästi. Turhan tiedon käsittely myös tuo kustannuksia, joten yleensä kaikelle tietojen käsittelylle löytyy hyvä peruste.

Kuopion Energia Oy

Jami Miettinen
ICT-päällikkö

Kommentointi

Otsikko:
Kommentti:
Nimi: