Milloin henkilötunnusta ei saa kysyä?

Henkilötunnuksen kysymisen ja käyttämisen hienovarainen ero: Milloin saa kysyä ja milloin ei?

Henkilötunnus on Suomessa arvokas ja arkaluonteinen henkilötieto. Se mahdollistaa yksilön yksiselitteisen tunnistamisen ja linkittämisen eri rekistereihin. Tietosuojavaltuutetun toimisto saa säännöllisesti kysymyksiä henkilötunnuksen pyytämiseen liittyen, mikä osoittaa aiheen tärkeyden ja tulkinnanvaraisuuden. Usein kysymys ei kuitenkaan ole itse pyytämisestä, vaan sen jälkeisestä käytöstä. Tässä artikkelissa pureudutaan tähän hienovaraiseen eroon: milloin henkilötunnusta saa pyytää ja milloin sen käyttäminen ylittää lailliset rajat?

Kysyminen vs. Käyttäminen: Kaksi eri asiaa

On olennaista ymmärtää, että henkilötunnuksen pyytäminen ja sen käyttäminen ovat juridisesti kaksi eri asiaa. Suomen lainsäädäntö, erityisesti tietosuojalaki, ei suoraan kiellä henkilötunnuksen kysymistä. Sen sijaan laki asettaa rajoituksia sille, miten ja milloin henkilötunnusta saa käyttää.

Toisin sanoen, yritys tai organisaatio saa lähtökohtaisesti kysyä henkilötunnustasi, mutta sen on pystyttävä perustelemaan, miksi se sitä tarvitsee ja miten se sitä käyttää. Jos perustetta ei ole tai käyttötarkoitus ei ole lainmukainen, henkilötunnusta ei saa käyttää, vaikka se olisikin jo kysytty.

Milloin henkilötunnuksen käyttö on sallittua?

Henkilötunnuksen käyttö on sallittua vain, jos sille on laillinen peruste. Tällaisia perusteita voivat olla esimerkiksi:

• Lakisääteinen velvoite: Monissa tilanteissa laki suorastaan edellyttää henkilötunnuksen käyttöä. Esimerkkejä ovat verotus, sosiaaliturva, terveydenhuolto ja perintätoiminta.
• Asiakkaan tunnistaminen: Henkilötunnuksen käyttö voi olla tarpeen asiakkaan yksiselitteiseksi tunnistamiseksi, jos muut keinot eivät ole riittäviä. Tämän tulee kuitenkin olla perusteltua ja suhteellisuusperiaatteen mukaista. Esimerkiksi pelkkä nimen ja osoitteen tarkistaminen ei yleensä oikeuta henkilötunnuksen kysymistä.
• Luotonanto ja vakuutustoiminta: Luotonantoon ja vakuutustoimintaan liittyvissä tilanteissa henkilötunnuksen käyttö voi olla perusteltua luottotietojen tarkistamiseksi.
• Vahva tunnistautuminen: Verkkopalveluissa ja muissa digitaalisissa ympäristöissä henkilötunnusta voidaan käyttää vahvan tunnistautumisen välineenä.

Milloin henkilötunnuksen käyttö on kiellettyä?

Henkilötunnuksen käyttö on lähtökohtaisesti kiellettyä silloin, kun sille ei ole laillista perustetta. Esimerkkejä tilanteista, joissa henkilötunnusta ei yleensä saa käyttää, ovat:

• Markkinointi: Henkilötunnusta ei saa käyttää suoramarkkinointiin tai muihin vastaaviin tarkoituksiin ilman henkilön nimenomaista suostumusta.
• Asiakkuuden aktivointi: Pelkkä asiakkuuden aktivointi ei yleensä ole riittävä peruste henkilötunnuksen kysymiselle.
• Kanta-asiakasohjelmat: Henkilötunnuksen käyttö kanta-asiakasohjelmissa on harvoin perusteltua.
• Arvonta tai kilpailu: Arvontaan tai kilpailuun osallistumisen yhteydessä ei yleensä tarvita henkilötunnusta.

Yritysten ja organisaatioiden vastuu

Yritysten ja organisaatioiden on oltava erityisen tarkkoja henkilötunnusten käsittelyssä. Niiden on:

• Tunnistettava lailliset käyttötarkoitukset: Organisaation on pystyttävä perustelemaan, miksi se tarvitsee henkilötunnuksia ja miten se niitä käyttää.
• Laadittava selkeät toimintatavat: Henkilötunnusten käsittelyyn liittyvät toimintatavat on dokumentoitava ja henkilöstö on koulutettava niihin.
• Noudatettava tietosuojaperiaatteita: Henkilötunnuksia on käsiteltävä huolellisesti, suojattava asianmukaisesti ja säilytettävä vain niin kauan kuin on tarpeen.
• Informoitava rekisteröityjä: Ihmisille on kerrottava selkeästi, miksi heidän henkilötunnustaan pyydetään ja miten sitä käytetään.

Mitä tehdä, jos epäilet väärinkäyttöä?

Jos epäilet, että henkilötunnustasi on käytetty väärin, sinulla on oikeus:

• Pyytää tietoja: Olet oikeutettu saamaan tietää, mitä tietoja sinusta on tallennettu ja miten niitä on käsitelty.
• Vaatia oikaisua: Jos tiedoissa on virheitä, voit vaatia niiden oikaisemista.
• Tehdä valitus: Jos uskot, että tietosuojaasi on loukattu, voit tehdä valituksen tietosuojavaltuutetulle.

Yhteenveto

Henkilötunnuksen kysyminen ei ole itsessään kiellettyä, mutta sen käyttö edellyttää aina laillista perustetta. Yritysten ja organisaatioiden on oltava tietoisia näistä perusteista ja noudatettava tietosuojalainsäädäntöä huolellisesti. Jos sinulla on epäilyksiä henkilötunnuksesi käytöstä, ota rohkeasti yhteyttä tietosuojavaltuutettuun. Ymmärtämällä henkilötunnuksen käytön hienovaraisuudet voimme yhdessä varmistaa, että henkilötietojasi käsitellään asianmukaisesti ja turvallisesti.