Tulostusversio

2/2009

Henkilötiedot: Sormenjäljet passin siruun

Teksti: Tiina Nuutinen

Sormenjälkien lisääminen passiin tekee passin väärentämisestä ja toiselle kuuluvan passin käytöstä huomattavasti nykyistä vaikeampaa.

Suomalaisille myönnetään uudenlaisia, sormenjäljillä varustettuja passeja 28. kesäkuuta lähtien, mikäli eduskunta hyväksyy esitetyt lainmuutokset.

Passinhakijan sormenjälkien tallentaminen passin siruun perustuu EU:n vaatimuksiin. Sormenjäljillä parannetaan passin turvallisuutta ja luodaan luotettavampi yhteys passin ja sen haltijan välille.

Siruun tallennettua sormenjälkeä saavat lukea vain passin myöntävä viranomainen, poliisi ja rajatarkastusviranomainen. Edellytyksenä on, että sirun lukeminen on tarpeen henkilön tunnistamiseksi tai passin aitouden todentamiseksi passin hakemiseen ja matkustusoikeuden toteamiseen liittyvissä tilanteissa.

Poliisi saa myös lukea sormenjäljet passista aina silloin, kun sillä on laissa säädetty oikeus varmentaa henkilöllisyys.

Rekisteri suojelee identiteettiä

Sirun lisäksi sormenjäljet halutaan Suomessa tallentaa kansalliseen rekisteriin. EU:n passiasetus ei tätä edellytä, vaan se on jätetty jäsenmaiden päätettäväksi.

Lakiesityksessä kansallista sormenjälkirekisteriä perustellaan identiteetin suojelemisella. Henkilöllisyyden väärinkäytösten määrä on kasvanut jatkuvasti ja se tuo haasteita passinhakijan ja passinhaltijan tunnistamiselle. Rekisteröimällä sormenjäljet henkilö voidaan tunnistaa luotettavasti ja nopeasti sekä passia haettaessa että muissa tunnistustilanteissa.

Pelkkä sormenjäljen tallentaminen passin sirulle ei riitä henkilöllisyyden luotettavaan todentamiseen. Kun verrataan henkilön sormenjälkeä passin sirulle tallennettuun sormenjälkeen, voidaan ainoastaan todeta, onko kyseessä sama henkilö. Kun sen sijaan henkilön sormenjälkeä verrataan rekisterin sormenjälkeen, voidaan luotettavasti todeta, kuka henkilö tosiasiassa on.

Vertaamalla henkilön sormenjälkeä rekisterin jälkiin voidaan myös varmistaa, että henkilö ei hae passia useammalla henkilöllisyydellä ja että passi myönnetään hakijan tiedoilla vain yhdelle henkilölle.

Rekisteriin tallennetuilla sormenjäljillä voidaan varmistaa henkilöllisyys myös silloin, kun passin siru on rikki tai kun henkilöllä ei ole esittää asiakirjaa todistukseksi henkilöllisyydestään.

Rajoitettuun käyttöön

Passinhakijoilta otettavat ja rekisteriin tallennettavat sormenjäljet muodostavat suuren tietokannan. Arviolta kymmenessä vuodessa rekisterissä olisi lähes kaikkien aikuisten kaksi sormenjälkeä. Siksi rekisteriin tallennettujen sormenjälkitietojen käyttö ja luovuttaminen on rajattu henkilön tunnistamiseen ja asiakirjan valmistamiseen.

Hakijalta otettua ja rekisteriin tallennettua sormenjälkeä voitaisiin käyttää passin valmistamiseksi. Passinhakijan tunnistamiseen rekisterin tietoja saisivat käyttää passeja myöntävät viranomaiset - poliisi, ulkoasiainministeriö ja Suomen edustustot ulkomailla.

Rajavartiolaitoksella, tullilaitoksella ja Maahanmuuttovirastolla olisi oikeus käyttää rekisterin tietoja passinhaltijan tunnistamisessa ja passin aitouden varmistamisessa.

Lisäksi poliisi saisi selvittää rekisteristä sormenjälkitiedot sen suorittaessa tehtävää, joka välttämättä edellyttää henkilöllisyyden varmistamista. Käytännössä kyse on tilanteista, joissa henkilöä ei muuten saada tunnistettua, esimerkiksi selvitettäessä vainajien tai tunnistamatta jääneiden henkilöllisyyttä. Rikosten selvittämiseen sormenjälkitietoja ei saa käyttää. 

Suomalaisten passien siruja ei voida lukea muissa maissa ilman sisäasiainministeriön myöntämiä lukuoikeuksia. Se päättää myös lukuoikeuksien perumisesta.

Haasteita tietoturvalle

Sormenjälki on tunnistamiseen soveltuva biometrinen ominaisuus, joka on pysyvä, muuttumaton ja peruuttamaton osa yksilöä. Biometriset tunnisteet asettavatkin erityisiä vaatimuksia tietoturvalle.

Biometristen tietojen suojaamista säännellään EU:n passiasetuksessa ja sen soveltamiseksi annetuissa säännöksissä. Komissio on antanut määräyksiä, jotka koskevat muiden muassa passin ja sirun fyysistä rakennetta sekä siruun tallennettujen tietojen oikeellisuuteen, aitouteen, eheyteen, luottamuksellisuuteen ja pääsynhallintaan liittyviä teknisiä menettelytapoja.

Suomessa passin teknisen osan tietoturvaa koskeva säännös otettiin passilakiin vuonna 2006, kun passeihin lisättiin sähköisen kasvokuvan sisältävä siru. Sisäasiainministeriön tehtävänä on käytännössä huolehtia siitä, että sormenjälkitiedot suojataan tehokkaasti luvatonta käsittelyä vastaan.

Sirun tiedot suojataan oikeudettomalta lukemiselta siten, että passeja voi lukea vain Suomen valtion valtuuttamilla lukijalaitteilla. Oikeudettomalta lukemiselta suojaaminen on erityisen tärkeää, kun yleisiä kansallisia säännöksiä biometristen tunnisteiden käytöstä ei vielä ole.

Poliisin ylijohto vastaa rekisterinpitäjänä siitä, että sormenjälkirekisterin ylläpidossa noudatetaan henkilötietolain edellyttämiä hyvän tiedonhallintatavan velvoitteita.

Analyysi valottaa riskejä

Sormenjälkirekisterin tietoturvallisuudesta tehdään valtiovarainministeriön antaman ohjeen mukainen, erityisesti vakavat häiriötilanteet ja poikkeusolot kattava riskianalyysi. Riskiarvioinnin kohteena on sormenjälkirekisteri, sormenjälkien turvallinen säilyttäminen sekä käytön rajaaminen rekisteröityjen oikeusturvan ja tietojenkäsittelyn lainmukaisuuden varmistamiseksi.

Sisäasiainministeriö teettää sormenjälkirekisterin riskiarviointia parhaillaan. Tulosten on määrä olla käytettävissä kesäkuun loppuun mennessä. Rekisterin tietoturvaa tullaan kehittämään analyysissa mahdollisesti esitettävien suositusten mukaisesti.

Sormenjälkien herkkyys henkilötunnisteina ja kansallisesti laaja tietokanta edellyttävät myös passirekisterin tietoturvasäännösten, toimintamallien ja käytettävissä olevan teknologian tarkastelua. Tietoturvauhkiin, tietomurtohyökkäyksiin ja tietokannan väärinkäytön mahdollisuuksiin on varauduttava. Näitä uhkia pyritään välttämään ja minimoimaan asianmukaisella tietoturvahallinnolla: Suunnittelemalla toimintamalleja, organisoimalla toimintaa, suojaamalla tietojärjestelmiä sekä kouluttamalla henkilöstöä.

----

[KIRJOITTAJA:]

Ylitarkastaja Tiina Nuutinen työskentelee sisäasiainministeriön poliisiosastolla.

Lue myös

Henkilötiedot: Ei sormenjälkiä alle 12-vuotiailta »
Henkilötiedot: Sormenjälkilaki voimaan kesällä 2009 »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.