Salasanan voi viedä, mutta iiristä ei

Eri organisaatiot keräävät meistä yhä enemmän tietoa. Henkilötietoja on suojattava, jotta jokainen voi olla oma itsensä, sanoo apulaistietosuojavaltuutettu Jari Råman.

Kehittyvä teknologia tarjoaa uusia työkaluja tiedon keräämiseen, yhdistelemiseen ja analysointiin. Samalla kun henkilötietojen kerääminen kiihtyy, tarvitaan datan suojaamista ja yksilön oikeuksien puolustamista.

“Henkilötietojen suojaamisessa on kyse itsemääräämisoikeudesta. Jokaisella on oltava oikeus määrätä omasta elämästään ja oikeus päättää myös itseään koskevien tietojen käsittelystä”, apulaistietosuojavaltuutettu Jari Råman sanoo.

Henkilötiedoilla tarkoitetaan siis tietoja, joiden perusteella henkilön voi tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen.

Apulaistietosuojavaltuutettu Jari Råman antaa viranomaisille kiitettävän arvosanan henkilötietojen suojaamisessa.

Laki ohjaa turvallisuusviranomaisia

Myös turvallisuusviranomaiset käyttävät ja hyödyntävät työssään erilaisia henkilötietoja, kuten nimi-, sijainti- tai sormenjälkidataa. Jari Råmanin tontille Tietosuojavaltuutetun toimistossa kuuluu valvoa, että henkilötietoja käsittelevät turvallisuusviranomaiset pysyvät ruodussa ja toiminta on lain vaatimalla tasolla.

“Rikosasioiden tietosuojalaki sääntelee turvallisuusviranomaisten toimintaa, kun kyse on esimerkiksi kansalaisten henkilötiedoista ja rikoksen ennalta estämisestä ja selvittämisestä tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta. Demokraattisesti valitut lainsäätäjät asettavat siis viranomaisille rajat, joiden mukaan myös henkilötietoja käsitellään. Lainsäädäntö on erittäin selkeä ja hyvä lähtökohta”, Råman muistuttaa.

Turvallisuusviranomaiset saavat Råmanilta kiitettävän arvosanan henkilötietojen suojaamisessa. Hänen mukaansa viranomaiset ovat aktiivisesti kehittäneet toimintaansa, ja virheet tai puutteet on korjattu, kun ne on huomattu. Kehitettävää toki aina riittää.

“Meillä lainsäädäntö on ajan tasalla, ja se, että henkilötietoasiat ovat olleet paljon pinnalla, on lisännyt yleistä tietoisuutta. On hyvä, että jokainen virkamies tietää, mitä suojaaminen oman työn näkökulmasta tarkoittaa.”

Lisää aiheesta: Tiedon kodilla on väliä

Tekoälylle pitää opettaa tietosuojaa

Yksittäinen henkilötieto ei aina ole kiinnostavaa tai arvokasta sellaisenaan. Eri tietojen yhdisteleminen tai metatietojen hallinta on usein houkuttelevampaa ja jo nyt iso business.

“Tällä hetkellä iso kysymys on, miten jo kerättyjä valtavia tietomassoja käsitellään. Miten tekoälyä hyödynnetään ja miten huolehditaan, ettei tekoäly käsittele tietoja syrjivästi. On myös puntaroitava, kuka saa käsitellä erilaisia laajoja datakokonaisuuksia ja missä. Eli jatkossa niin sanotut metatiedot ovat eri organisaatioiden näkökulmasta erittäin kiinnostavia: esimerkiksi viestinnän välitystiedot voivat kertoa paljon henkilön tavasta kommunikoida”, Råman kertoo.

Uudet teknologiat tuovat mukanaan eettisiä kysymyksiä, joihin lainsäädäntö ei aina anna valmiita vastauksia. Råmanin mukaan tekoäly sekä siihen liittyvät automatisoitu päätöksenteko ja profilointi ovat hyviä esimerkkejä aiheista, jotka vaativat eettistä pohdintaa myös yksilöiden tietosuojan näkökulmasta.

Mistä ja miten henkilötietoa kerätään?

Moni ajattelee, että henkilötietoja ovat vain esimerkiksi nimi, henkilötunnus tai sähköpostiosoite. Ihmisestä voi kuitenkin kerätä tietoa monin eri tavoin.

Iiris: Passintarkastuksessa silmien iiriksiä skannaavia laitteita on ollut jo pitkään. Tarkastuksessa henkilö katsoo kameraan, joka tunnistaa hänet silmistä ja päästää läpi tarkastuksesta. Myös älypuhelimista löytyy iiriskannereita, joissa kamera tunnistaa värikalvot ja infrapunavalo puolestaan saa iiriksen muodot hyvin esille. Pelkällä katseella voi siis tunnistautua verkkokauppaan ostoksille.

Kasvot: Biometrinen kasvojentunnistus korvaa maksukortilla tehtävän lähimaksun kaupassa. Esimerkiksi OP:lla on käytössä vapaaehtoinen kasvojentunnistusvaihtoehto Pivo-palvelun kautta. Kasvojentunnistus on mukana poliisin Monibiometria-hankkeessa. Poliisin tavoitteena on muun muassa tunnistaa rikoksista epäillyt entistä nopeammin.

Ääni: Ääni on yksilöllinen, ja puheohjaus yleistyy koko ajan. Applen Siri on monelle tuttu apuri älypuhelimissa, ja esimerkiksi pikaruokaketjuja on siirtynyt käyttämään äänellä toimivia tilausautomaatteja. Jatkossa eri laitteet pystyvät muokkaamaan toimintaansa yhä tehokkaammin äänen perustella.

Haju: Tulevaisuudessa hajuun perustuva henkilöiden tunnistaminen voi yleistyä. Teknologiat kehittyvät nopeasti ja voivat olla jo koiria parempia “haistajia”. Tällä hetkellä viranomaiset eivät käytä hajujen tunnistamista niinkään henkilöiden yksilöimisessä, vaan esimerkiksi sairauksien, huumausaineiden tai laittoman rahan selvittämisessä.

Sormenjälki: Älypuhelinten sormenjälkitunnistus on monelle arkipäivää. Sormenjäljellä pääsee sisälle mobiilipankkiin tai maksamaan ostoksia verkkokaupassa. Myös muutamat lentoyhtiöt kokeilevat sormenjäljen hyödyntämistä lähtöselvityksessä.

Syke: Oman kehon mittaaminen on yleistynyt, ja muutkin kuin ammattiurheilijat seuraavat elintoimintojaan. Perinteisten älykellojen lisäksi on olemassa teknologiaa, jonka avulla henkilö voidaan tunnistaa sykkeestä, vaikka mittaus tapahtuu etäältä ja vaatteiden läpi. Autoteollisuudessa Heartkey-niminen palvelu tunnistaa kuljettajan sykkeestä, mittaa samalla stressitasoa ja varoittaa jopa mahdollisesta sydänkohtauksesta.

Henkilö voidaan tunnistaa myös muun muassa kävelytyylin, kämmenenjäljen, nimikirjoituksen, käsialan tai potilas- ja osoitetietojen avulla.

Lue lisää: Tietosuojavaltuutetun toimisto