Psykoterapiakeskus Vastaamon tietomurrossa on päätynyt vääriin käsiin tiettävästi kymmenien tuhansien ihmisten henkilötunnukset. Henkilötunnuksen avulla voidaan tehdä rikoksia, mutta silti niitä kysytään – ja kerrotaan auliisti – monissa paikoissa ja puhelimitse.
Haimme tietosuojavaltuutetun toimistosta vastauksia henkilötunnukseen liittyviin kysymyksiin.
Kuka saa kysyä henkilötunnustasi?
Sinulta voidaan perustellusti tiedustella henkilötunnusta vaikkapa silloin, kun asioit hotellissa, vakuutusyhtiössä tai optikolla. Täältä löytyy lisää esimerkkejä.
Tyhjentävää luetteloa tahoista, joilla on oikeus kysyä henkilötunnusta, ei ole saatavilla, virassa sunnuntaina aloittava tietosuojavaltuutettu Anu Talus toteaa sähköpostitse.
– Monella toimijalla on edellytykset käsitellä henkilötunnusta, ja henkilötunnusta tarvitaan monessa paikassa rekisteröidyn yksilöimiseen ja erottelemiseen muista samannimisistä, Talus jatkaa.
Lähtökohtana on, että henkilötunnusta saa käsitellä henkilötunnuksen haltijan suostumuksella.
Tietosuojalakia täydentävässä asetuksessa on listattu tilanteita, joissa henkilötunnusta saa käsitellä. Tällaisia ovat esimerkiksi saatavan periminen, vakuutustoiminta, terveydenhuolto ja sosiaalihuolto.
Kenelle henkilötunnuksen voi kertoa – ja kenelle sitä ei pidä kertoa?
Anu Taluksella on antaa hyvä nyrkkisääntö: tiedustele henkilötunnusta kysyvältä, miksi ja millä perusteella henkilötunnusta käsitellään juuri siinä toiminnassa, josta on kysymys.
– Jos vastaus ei vakuuta, ei henkilötunnusta kannata antaa, tietosuojavaltuutettu opastaa.
Jos kysyjän luotettavuus ylipäätään herättää epäilyksiä, henkilötunnusta ei kannata kertoa.
– On kuitenkin tärkeää muistaa, että jos tilaa palveluita tai tavaraa laskua vastaan, henkilötunnusta tarvitaan, Talus huomauttaa.
Henkilötunnus tarvitaan myös esimerkiksi terveydenhuollon palveluissa, ja postilähetyksiä vastaanotettaessa taas tarkistetaan henkilöllisyystodistuksesta, että vastaanottaja on se, joka väittää olevansa.
Uudella tietosuojavaltuutetulla on viesti myös rekisterinpitäjille ja asiakaspalvelijoille.
Taluksen mukaan rekisterinpitäjien on tärkeää informoida rekisteröidyille, millä perusteella henkilötunnusta käsitellään, jos sitä käsitellään. Myös asiakaspalvelijoiden on tärkeää osata vastata rekisteröidyn kysymyksiin henkilötunnuksen käsittelystä.
Pelkällä henkilötunnuksella ja nimellä ei saisi tunnistaa
Henkilötunnusta ei ole tarkoitettu tunnistamisen keinoksi, vaan rekisteröityjen yksilöimiseksi ja erottelemiseksi toisista rekisteröidyistä.
– Onhan selvää, että tietämällä nimen ja henkilötunnuksen ei voida osoittaa, että kyse on juuri oikeasta henkilöstä, Anu Talus tähdentää.
Henkilötunnusta tarvitaan monessa paikassa, joten se voi helposti olla myös muiden tahojen kuin rekisteröidyn itsensä tiedossa.
Tietosuojavaltuutetun mukaan pelkällä henkilötunnuksella ja nimellä ei saisi tunnistaa ihmistä.
– Jos ihminen katsottaisiin tunnistetuksi pelkän henkilötunnuksen perusteella, luodaan käytännössä väärinkäytösmahdollisuuksia, Talus kirjoittaa vastauksessaan.
Aiheesta voi keskustella maanantai-iltaan 2.11.2020 klo 23.
Lisää aiheesta:
Henkilötunnusta kysytään joka paikassa – uskaltaako sitä antaa?