Framsida » Avgöranden » Förfrågan som grundar sig på personbeteckning om studiestödets behandlingsfas

Förfrågan som grundar sig på personbeteckning om studiestödets behandlingsfas

2005

Beskrivning av ärendet

Person A klagade till dataombudsmannen om en förfrågan om studiestödets behandlingsfas på Folkpensionsanstaltens hemsida, i vilken man genom att meddela sin personbeteckning fick veta studiestödsansökans mottagningsdag och genomsnittliga behandlingstid. När studiestödsbeslutet hade fattats fick man också veta besluts- och postningsdagen. A ansåg att det inte hörde till utomstående att få veta ens att han hade ansökt om studiestöd. A berättade att bl.a. vissa utav hans släktningar och arbetsgivare kände till hans personbeteckning. A berättade att han inte hade gett Folkpensionsanstalen tillstånd att skapa en sådan nättjänst som kunde användas med hans personbeteckning, och att Folkpensionsanstalten inte hade gett sökande en uttrycklig möjlighet att neka en sådan tjänst. I själva verket hänvisade man i studiestödsansökan inte i något skede till en sådan tjänst.

Dataombudsmannens svar

Enligt personuppgiftslagens (523/1999) 13 § får personbeteckningen behandlas för att sköta en i lag angiven uppgift vid tryggandet av social trygghet.

Enligt lagens 32 § skall den registeransvariga genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifter mot obehörig åtkomst och förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. Vid genomförandet av åtgärderna skall hänsyn tas till de tillgängliga tekniska möjligheterna, kostnaderna som orsakas av åtgärderna, uppgifternas art, mängd och ålder samt vilken betydelse behandlingen av uppgifterna har med avseende på integritetsskyddet.

Dataombudsmannen meddelade att denne förhåller sig negativt till att personbeteckningen används i nättjänsters identifieringssystem. I finansministeriets anvisning "Tunnistaminen valtionhallinnon verkkopalveluissa" (29.9.2003 VM 6/01/2003, endast på finska) konstateras bl.a. att statens byråers och anstalter skall undvika att bygga upp egna identifieringstjänster. I identifieringen skall man anlita de identifieringstjänster som redan är i medborgarnas bruk och som erbjuds av pålitliga tredje parter, så som erbjudare av kvalificerade certifikat och banker. Enligt anvisningen är det nödvändigt att identifiera tjänstens användare då användaren får tillgång till uppgifter som skall skyddas, t.ex. personuppgifter. Också i statsförvaltningens datasäkerhetsledningsgrupps Vahtis anvisningar (Valtion tietohallinnon internet-tietoturvallisuusohje, Vahti 1/2003, endast på finska) konstateras att då det är fråga om känsliga uppgifter bör identifieringen vara pålitlig. Eftersom Folkpensionsanstalten hade avslutat Internet-tjänsten som grundat sig på anmälan av personbeteckning, gav ärendet inte å dataombudsmannens vägnar orsak till fortsatta åtgärder.

I folkpensionsanstaltens utredning konstaterades bl.a. att internetförfrågan om behandlingsfasen hade datainnehållsmässigt och verksamhetsprincipiellt varit den samma som den automatiska telefontjänsten gällande förfrågan om studiestödsansökans behandlingsfas. Före telefontjänsten hade tagits i bruk, hade ett ställningstagande betts utav dataombudsmannen. Enligt det kunde förfrågan användas tillfälligt med beaktande av dess datainnehåll, personens möjlighet att förhindra användning av egna uppgifter och informeringen av förfrågan och förbudsrätten. Enligt folkpensionsanstaltens utredning hade förfrågan och förbudsrätten informerats om i studiestödsbroschyrerna och på Folkpensionsanstaltens Internet tjänst. Fram till läsår 2002-2003 hade det i broschyren funnits en blankett med vilken en person kunde utfärda ett behandlingsförbud av dennes personuppgifter. Efter detta hade blanketten lämnats bort då broschyrens sidantal minskades.

I början av år 2004 hade Folkpensionsanstalen tagit i bruk den första elektroniska tjänsten för identifierade kunder. Identifieringen hade grundat sig på nätbankskoder eller elektroniska personkort. Tjänsten innehöll förfrågan om studiestödsmottagares egna förmånsuppgifter. Den innehöll förutom övriga uppgifter också i behandlingsfasförfrågan förekomna uppgifterna om ansökan och avgörande – dock inte en prognos över behandlingstiden eller information om ansökans behandlingsfas. Eftersom studiestödskunden således fick uppgifter som motsvarade behandlingsfasförfrågan från Folkpensionsanstaltens elektroniska tjänst och eftersom datasäkerheten var tryggad i den elektroniska tjänsten var det grundat att ta bort den öppna tjänsten som grundade sig enbart på personbeteckning.

Tillämpade lagbestämmelser
Personuppgiftslagen 13 § och 32 §

 
Publicerad 6.2.2014