Henkilötunnuksen käsittely irc-galleriaan rekisteröitymisen yhteydessä

2006

258/452/2006

Asian kuvaus:
Vireillepanijat pyysivät tietosuojavaltuutetun toimenpiteitä koskien henkilötunnuksen käsittelyä irc-galleriaan rekisteröitymisen yhteydessä.

Tietosuojavaltuutettu oli irc-gallerian ylläpitäjälle lähettämässään kirjeessä ilmoittanut, että irc-galleriaan rekisteröitymisen yhteydessä tulisi käyttää muita keinoja kuin henkilötunnuksen käsittelemistä. irc-gallerian ylläpitäjä oli kuitenkin ehdottanut irc-galleriaan rekisteröitymiseen menettelyä, jossa henkilötunnuksen käsittely tapahtuisi käyttäjän omassa web-selaimessa JavaScript-tekniikkaa käyttäen. Palvelimelle lähetettäisiin ainoastaan käyttäjän syntymäaika ja itse laskettu tarkistenumero, joka ei olisi henkilötunnuksen loppuosa. Tällöin itse henkilötunnusta ei lähetettäisi verkossa.

Perusteeksi henkilötunnuksen käyttämiselle irc-gallerian ylläpitäjä oli esittänyt sen olevan erityisen tärkeää nuorimpien käyttäjien ja käyttäjiksi pyrkivien kohdalla. Palvelu on luonteeltaan sellainen, ettei se sovellu alle 12-vuotiaille.

Tietosuojavaltuutetun vastaus:
Henkilötietolain (523/1999) 38 §:n mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin henkilötietolaissa säädetään. Tietosuojavaltuutetulla ei ole toimivaltaa ennalta käsin hyväksyä tai kieltää henkilötietojen käsittelyssä käytettäviä menettelytapoja. Henkilötietolain 44 §:n mukaan tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta mm. kieltää henkilötietolain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn.

Henkilötietolain soveltaminen
Henkilötietolakia sovelletaan lain 2 §:n 2 momentin mukaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan henkilötietolakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri.

Henkilötietolain 3 §:n 1 momentin 2 kohdan mukaan henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallentamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä.

Henkilötietolain säätämisohjeena on ollut direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (henkilötietodirektiivi). Henkilötietodirektiivin 29 artiklan nojalla on perustettu työryhmä, joka on riippumaton EU:n neuvoa-antava elin tietosuojan ja yksityisyyden alalla. Työryhmän tehtävistä on säädetty direktiivin 95/46/EY 30 artiklassa ja direktiivin 97/66/EY 14 artiklassa. Työryhmän 30.5.2006 hyväksymän kannanoton (5053/01) mukaan Java Script-ohjelmat ovat ohjelmistosovellutuksia, joita www-sivusto lähettää käyttäjän tietokoneeseen ja joiden avulla etäpalvelimet voivat suorittaa sovellutuksia käyttäjän tietokoneessa. Rekisterinpitäjä, joka käyttää näitä välineitä henkilötietojen keräämiseen tai käsittelyyn, käyttää välineitä henkilötietojen käsittelyyn direktiivissä tarkoitetulla tavalla.

Jos irc-galleriaan rekisteröitymisen yhteydessä käytettäisiin menettelyä, jossa henkilötunnuksen käsittely tapahtuisi käyttäjän omassa web-selaimessa JavaScript-tekniikkaa käyttäen, olisi edellä mainitulla perusteella kysymys henkilötietojen automaattisesta käsittelystä rekisterinpitäjän toimesta. Henkilötietolakia sovellettaisiin siten tällaiseen irc-galleriaan rekisteröitymisen yhteydessä tapahtuvaan automaattiseen henkilötietojen käsittelyyn riippumatta siitä, tallennetaanko henkilötiedot rekisteriin tai lähetetäänkö niitä Internetverkossa.

Henkilötunnuksen käsittely
Henkilötunnusta saa henkilötietolain 13 §:n mukaan käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: 1) laissa säädetyn tehtävän suorittamiseksi; 2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai 3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.

Henkilötunnuksen käsittelyn täyttää edellä mainitut henkilötietolaissa säädetyt edellytykset. Henkilötietolakia koskevan hallituksen esityksen (HE 96/98) mukaan kaikissa laissa mainituissa tapauksissa henkilötunnuksen käsittelyn perusedellytyksenä on, että rekisteröidyn yksiselitteinen yksilöiminen on säännöksessä mainitun tehtävän suorittamiseksi. Tämän vuoksi esimerkiksi tehtävän helpompi tai nopeampi suorittaminen henkilötunnuksen avulla ei oikeuttaisi henkilötunnuksen käsittelyä, vaan käsittely olisi sallittua ainoastaan silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää tehtävästä suoriutumiseksi.

Henkilötunnusta ei ole tarkoitettu käytettäväksi tunnistamisen välineenä, eikä yksinomaan tunnistaminen voi olla henkilötunnuksen käsittelyn perusteena. Henkilön yksiselitteinen yksilöinti henkilötietolain tarkoittamalla tavalla ei olisikaan tavoitteena irc-galleriaan rekisteröitymisen yhteydessä. Tavoitteena olisi henkilön iän varmistaminen. Henkilön iän varmistaminen palveluun rekisteröitymisen yhteydessä ei ole henkilötietolain 13 §:n mukaan perusteltu syy henkilötunnuksen käsittelemiseksi. On huomattava myös, että henkilötunnuksen laskentakaava on julkisesti saatavilla esimerkiksi väestörekisterikeskuksen kotisivuilla, joten tekaistun henkilötunnuksenkaan käyttäminen olisi vaivatonta. Henkilötunnuksen käsittely irc-galleriaan rekisteröitymisen yhteydessä saattaisi johtaa toisen henkilön henkilötietojen käyttämiseen.

Kannanottonaan tietosuojavaltuutettu totesi, että henkilötunnuksen käsittely palveluun rekisteröitymisen yhteydessä irc-gallerian ylläpitäjän esittämällä tavalla ei olisi henkilötietolain 13 §:n mukaista. Muutoin tietosuojavaltuutettu viittasi asiassa rekisterinpitäjälle aikaisemmin antamaansa kannanottoon.

Sovelletut säännökset:
Henkilötietolaki 2.2 §, 3.1 § kohta 2, 13 §, 38 § ja 44 §

 
Julkaistu 27.1.2014