Framsida » Avgöranden » Behandling av personbeteckning i samband med registrering till irc-galleriet

Behandling av personbeteckning i samband med registrering till irc-galleriet

2006

Ärende

Anhängiggörarna av ärendet bad dataombudsmannen vidta åtgärder gällande behandlingen av personbeteckning i samband med registrering till irc-galleriet.

Dataombudsmannen hade i sitt brev till irc-galleriets uppehälle meddelat att i samband med registrering till irc-galleriet bör användas andra metoder än behandling av personbeteckning. irc-galleriets uppehälle hade dock föreslagit ett förfarande i samband med registreringen till irc-galleriet, enligt vilket behandlingen av personbeteckningen skulle ske i användarens egna webläsare genom att använda JavaScript teknik. Till servern skulle endast skickas användarens födelsetid och ett själv räknat granskningsnummer, som inte skulle vara personbeteckningens slutdel. Då skulle själva personbeteckningen inte sändas i nätet.

Som grund till behandlingen av personbeteckning angav irc-galleriets uppehälle att det var särskilt viktigt gällande de yngsta användarna och sådana som ville bli användare. Tjänsten var till sin natur sådan att den inte lämpade sig för under 12 åringar.

Dataombudsmannens svar:

Enligt personuppgiftslagens (523/1999) 38 § ger dataombudsmannen handledning och rådgivning gällande behandling av personuppgifter samt övervakar behandlingen av personuppgifter för att genomföra personuppgiftslagens syfte och använder beslutsrätt på så sätt som personuppgiftslagen stadgar. Dataombudsmannen har inte behörighet att på förhand godkänna eller neka förfaringssätt vid behandling av personuppgifter. Enligt personuppgiftslagens 44 § kan dataskyddsnämnden på ansökan av dataombudsmannen bl.a. förbjuda behandling av personuppgifter som strider mot personuppgiftslagen eller de bestämmelser som har utfärdats med stöd i den.

Tillämpning av personuppgiftslagen

Personuppgiftslagen tillämpas enligt lagens 2 § 2 moment på automatisk behandling av personuppgifter. Också på annan behandling av personuppgifter tillämpas personuppgiftslagen då personuppgifterna bildar eller de avser bilda ett personregister.

Enligt personuppgiftslagens 3 § 1 moment 2 punkt avses med behandling av personuppgifter insamling, registrering, organisering, användning, översändande, utlämnande, lagring, ändring, samkörning, blockering, utplåning och förstöring av personuppgifter samt andra åtgärder som vidtas i fråga om personuppgifterna.

Direktiv 95/46/EG om skyddet av individer vid behandling av personuppgifter och om dessa uppgifters fria rörelse (personuppgiftsdirektivet) har varit en anvisning vid stadgandet av personuppgiftslagen. Med stöd av personuppgiftsdirektivets 29 artikel har grundats en arbetsgrupp som är ett oberoende rådgivande EU organ inom området för dataskydd och integritet. Om arbetsgruppens uppgifter stadgas i direktivets 95/46/EG 30 artikel och direktivets 97/66/EG 14 artikel. Enligt arbetsgruppens 30.5.2006 godkända ställningstagande (5053/01) är JavaScript programmen sådana programvaror som www-sidan skickar till användarens dator och med hjälp av vilka distansservrar kan utföra tillämpningar i användarens dator. Den registeransvariga som använder dessa verktyg vid samlande eller behandling av personuppgifter använder verktyg för behandling av personuppgifter på ett sådant sätt som direktivet avser.

Om i samband med registrering till irc-galleriet skulle användas ett förfarande där behandlingen av personbeteckning skulle ske i användarens egna webbläsare, genom att använda JavaScript teknik skulle med ovan nämnda grund vara frågan om automatisk behandling av personuppgifter å den registeransvarigas vägnar. Personuppgiftslagen skulle således tillämpas på sådan automatisk behandling av personuppgifter som skulle ske i samband med registrering till irc-galleriet, oberoende om personuppgifterna sparas i ett register eller om de skickas i Internet-nätet.

Behandling av personbeteckning

En personbeteckning får behandlas enligt personuppgiftslagens 13 § med ett uttryckligt samtycke av den registrerade eller om behandlingen är lagstadgad. Dessutom får en personbeteckning behandlas om det är viktigt att entydigt individualisera den registrerade: 1) för att genomföra en i lag angiven uppgift, 2) för att genomföra den registrerades eller registeransvariges rättigheter eller skyldigheter, eller 3) för historisk eller vetenskaplig forskning eller statistikföring. En personbeteckning får behandlas vid kreditgivning eller indrivning av fordringar, i försäkrings-, kreditinstituts-, betaltjänst-, uthyrnings-, och utlåningsverksamhet, i kreditupplysningsverksamhet, inom hälsovården, inom socialvården och inom annan verksamhet för att tillförsäkra social trygghet eller i ärenden som gäller tjänste- och arbetsavtalsförhållanden och andra anställningsförhållanden och förmåner som har samband med dessa.

Personbeteckningens behandling uppfyller de ovan i personuppgiftslagen stadgade förutsättningarna. Enligt regeringspropositionen (RP 96/98) gällande personuppgiftslagen är det en grundförutsättning i alla de situationer där personbehandlingen kan behandlas med stöd i lag att entydigt individualisera den registrerade för att utföra den nämnda uppgiften. Därför berättigar exempelvis inte det att uppgiften skulle kunna skötas lättare eller snabbare m.h.a. personbeteckningen inte att den behandlas utan behandling av personbeteckning är tillåtet endast då den registrerades entydiga individualisering är viktig för utförandet av uppgiften.

Personbeteckningen skall inte användas som ett identifieringsmedel och inte enbart identifiering kan vara grund till behandling av personbeteckning. Entydig individualisering av en person på ett sätt som avses i personuppgiftslagen är inte heller som avsikt i samband med registreringen till irc-galleriet. Avsikten är att försäkra personens ålder. Försäkrandet av personens ålder i samband med registreringen är enligt personuppgiftslagens 13 § inte en grundad anledning till att behandla personbeteckningen. Man bör också märka att personbeteckningens räkningsformel är offentligt tillgänglig t.ex. på befolkningsregistrets hemsida, så det skulle inte vara svårt att använda en upphittad personbeteckning. Behandlingen av personbeteckningen i samband med registrering till irc-galleriet skulle kunna leda till användning av en annan persons personuppgifter.

I sitt ställningstagande konstaterade dataombudsmannen att behandling av personbeteckningen i samband med registrering till irc-galleriet på det sätt som uppehållaren föredragit inte skulle vara förenligt med personuppgiftslagens 13 §. För övrigt hänvisade dataombudsmannen i detta ärende den registeransvarige till ett tidigare ställningstagande.

Tillämpade bestämmelser

Personuppgiftslagen 2.2 §, 3.1 § punkt 2, 13 §, 38 § och 44 §

 
Publicerad 6.2.2014