Heilin lakipalsta: Mitä tehdä, jos henkilötiedot vuotavat vääriin käsiin?
Tyypillisesti toisen nimeä tai henkilötunnusta voidaan pyrkiä väärinkäyttämään esimerkiksi hakemalla luottoja tai tekemällä ostoksia toisen nimellä. Kuva: Mikko Makkonen
Kysymys: Mitä keinoja ihmisellä on suojautua identiteettivarkaudelta? Kuulin juuri, että edellisessä työpaikassani olisi tapahtunut identiteettivarkauksia, ja nyt pelkään, että minun henkilötunnukseni on vuotanut vääriin käsiin. Voitteko myös kertoa, millaisiin tarkoituksiin henkilötunnusta voi käyttää? Voiko pelkällä nimellä ja henkilötunnuksella aiheuttaa vahinkoa ihmiselle? Tietääkseni minusta ei muita henkilötietoja ole vuotanut, mutta tämäkin pelottaa kun olen kauhujuttuja kuullut. Entä mikä on entisen työnantajani vastuu asiassa, jos heidän virheen takia vuotaa tietoja ja joudun väärinkäytön uhriksi?
Vastaus: Identiteettivarkaudella tarkoitetaan tilannetta, jossa joku erehdyttääkseen kolmatta osapuolta oikeudettomasti käyttää toisen henkilötietoja, tunnistamistietoja tai muuta vastaavaa yksilöivää tietoa ja siten aiheuttaa taloudellista vahinkoa tai vähäistä suurempaa haittaa sille, jota tieto koskee.
Identiteettivarkaus on sanktioitu rikoslaissa ja siitä voidaan tuomita sakkorangaistus.
Henkilötunnuksen avulla henkilö voidaan yksilöidä. Henkilötunnusta käytetäänkin laajasti henkilöiden yksilöimiskeinona muun muassa eri viranomaisten rekistereissä ja muissa tietojärjestelmissä, pankeissa sekä virallisissa asiakirjoissa. Myös työnantajat tarvitsevat työntekijöidensä henkilötunnukset muun muassa palkkojen maksamista varten. Tyypillisesti toisen nimeä ja henkilötunnusta voidaan pyrkiä väärinkäyttämään esimerkiksi hakemalla luottoja tai tekemällä ostoksia laskulle toisen nimissä. Pyrkimyksenä voi olla myös erilaisten palvelu- tai vuokrasopimusten teko. Aina pelkkä nimi ja henkilötunnus ei kuitenkaan riitä, sillä palveluntarjoajat vaativat usein edellämainittujen tietojen lisäksi myös esimerkiksi vahvaa tunnistautumista pankkitunnuksin. Mitä enemmän tietoja väärinkäyttäjällä on hallussaan, sitä suurempi riski on joutua väärinkäytöksen uhriksi.
Identiteettivarauksilta voi pyrkiä suojautumaan kiinnittämällä erityistä huomiota esimerkiksi omien tietojen jakamiseen, omia tietoja sisältävien kirjeiden käsittelyyn ja asianmukaiseen hävittämiseen sekä omaan toimintaan verkossa.
Omien henkilötietojen jakamiseen on yleisesti syytä suhtautua varauksellisesti. Sähköisissä palveluissa tulee käyttää riittävän vahvoja salasanoja sekä pyrkiä ottamaan käyttöön monivaiheiset tunnistautumiset. Pankkitunnuksia ei tule koskaan jakaa kenenkään kanssa. Mikäli epäilee tulleensa identiteettivarkauden uhriksi, on asiassa syytä tehdä rikosilmoitus sekä olla yhteydessä pikimmiten omaan pankkiin ja luottokorttiyhtiöön.
Työnantajan on käsitellessään työntekijöidensä henkilötietoja noudatettava laissa asetettuja velvollisuuksia ja määräyksiä. Määräyksiä on muun muassa EU:n tietosuoja-asetuksessa, tietosuojalaissa sekä laissa yksityisyyden suojasta työelämässä. Lainsäädäntö sisältää laajasti määräyksiä muun muassa tietosuojan yleisistä periaatteista, työntekijöiden henkilötietojen käsittelystä sekä perusteista, joiden nojalla henkilötietoja saa käsitellä. Mikäli työnantaja rikkoo hänelle lainsäädännössä asetettuja velvollisuuksia ja seuraamuksena olla esimerkiksi sakkorangaistus, hallinnollinen seuraamusmaksu tai tietyin edellytyksin vahingonkorvausvelvollisuus.
Vastauksen on laatinut lakimies Johanna Savanainen Asianajotoimisto Surakka Oy:stä.
Lähetä oma lakiaiheinen kysymyksesi sähköpostitse osoitteeseen toimitus@heili.fi tai kirjepostitse osoitteeseen Kauppakatu 26 C, 80100 Joensuu.
Palsta ilmestyy Heilissä kerran kuussa.