Tässä kirjatut käytänteet perustuvat Haka-operoinnin tukipalvelussa kerättyyn käytännön kokemukseen. Alla esitetään tyypillisiä vastauksia yleisiin kysymyksiin sellaisina, kuin ne ovat kysyjien ja operoinnin asiantuntijoiden keskustelussa vuosien varrella muotoutuneet. Haka-operoinnissa ei ole erityistä lakiteknistä osaamista. Vastaukset eivät edusta lakiteknistä konsultaatiota, vaan antavat yhden näkemyksen asioiden tilasta. Vastauksissa voi olla virheitä. Henkilötietojen käsittelyn osapuolet (kotiorganisaatiot ja palvelut) vastaavat käsittelemistään henkilötiedoista ja joutuvat viime kädessä ratkaisemaan omat käytänteensä henkilötietojen käsittelylle. |
Suomalainen henkilötunnus nauttii erityistä henkilötietolain määrittelemää suojaa. Laki sallii henkilötunnusta käsiteltävän vain rekisteröidyn yksiselitteisellä suostumuksella tai muutamissa laissa erikseen säädetyissä tarkoituksissa.
Haka-palvelusopimus määrittää käyttäjien kotiorganisaatioiden velvollisuudeksi attribuuttien luovutuslupien ylläpitoa. Luovutusluvilla organisaatiot määrittävät, mitä henkilötietoja käyttäjistä luovutetaan palveluille Haka-kirjautumisen yhteydessä. Vastaavasti palvelujen velvollisuutena on, että ne pyytävät vain niitä henkilötietoja, jotka ovat palvelun käytön kannalta tarpeellisia. Henkilötietojen käyttötarkoituksen palvelut perustelevat tietosuojaselosteessa. Tietosuojaselosteen osoitteen julkaiseminen Haka-metadatassa on pakollista silloin, kun palvelu pyytää identifioivia henkilötietoja. Tietosuojaselosteen julkaisemiseen saattaa syntyä velvollisuus Haka-attribuuttipyynnöistä riippumatta, mikäli palvelussa käsitellään henkilötietoja.
Hakassa useat kotiorganisaatiot luottavat palvelujen tekemiin attribuuttipyyntöihin. Attribuuttipyynnöt kirjataan Haka-metadataan, jonka perusteella kotiorganisaatioiden IdP-palvelimien ohjelmisto voi automaattisesti ylläpitää luovutuslupia.
Haka-operointi suosittaa, että henkilötunnus ei olisi edellä kuvatun automaattisen luovutuslupamenettelyn piirissä. Henkilötunnuksen luovuttaminen pitäisi harkita aina tapauskohtaisesti ja tehdä siitä erillinen perusteltu määrittely organisaation luovutuslupiin. Perustelun pitäisi olla linjassa palvelussa määritetyn käyttötarkoituksen kanssa.
Jos henkilötunnusta käsitellään suostumukseen perustuen, suostumuksen on oltava aidosti vapaaehtoinen. Jos henkilötunnuksen käsittely on edellytys esimerkiksi työsuhteen tai opintojen hoitamiselle, suostumuksen vapaaehtoisuuden voi asettaa kyseenalaiseksi.
Organisaatioiden on myös huolehdittava henkilötietojen asianmukaisesta käsittelystä ja tietojen suojaamisesta omissa sisäisissä tietojärjestelmissään Haka-palvelusopimuksen ja lain vaatimusten mukaisesti. Joissakin henkilöhakemistoissa on tehtävä erityisiä määrityksiä hakemiston henkilöobjektien tietojen suojaamiseksi. Oletusasetuksilla tiedot saattavat olla perinteisten hakutyökalujen (esim. ldapsearch Microsoftin Active Directory -hakemistolle) saatavilla, ellei niitä erikseen suojata.
Henkilötunnukselle on Hakan attribuuttiskeeman (Funet EduPerson-skeema, FEP) versiossa 2.2 kaksi erillistä attribuuttikuvausta: nationalIdentificationNumber ja schacPersonalUniqueID. Operoinnin suositus on, että jos henkilötunnus populoidaan saataville IdP:n käyttämään henkilöhakemistoon, se tehdään niin, että tieto on luovutettavissa molemmissa attribuuteissa. On kuitenkin huomattava, että attribuuttien arvot ovat erimuotoisia. SchacPersonalUniqueID-attribuutissa tieto luovutetaan etuliitteellä (prefix) varustettuna. Varsinaisen henkilötunnuksen on oltava molemmissa attribuuteissa sama. Yhdellä tosielämän henkilöllä voi olla vain yksi suomalainen henkilötunnus, mutta schacPersonalUniqueId-attribuutissa voi olla yhdelle henkilölle usean eri valtion myöntämiä henkilötunnuksia.
Henkilötunnuksen erityissuojan johdosta Haka-operointi suosittaa käyttämään palveluissa henkilötunnuksen sijasta muita henkilötunnisteita. Hakan attribuuttiskeeman (Funet EduPerson-skeema, FEP) versiossa 2.2 tällaisia tunnisteita ovat esimerkiksi: Persistent NameIdentifier (määritelty SAML-profiilissa), funetEduPersonLearnerId, electronicIdentificationNumber (satu), eduPersonOrcid, eduPersonTargetedID tai eduPersonUniqueId.
Edellä luettelluista tunnisteista sähköisessä asiointitunnisteessa, satussa on mahdollisuus organisaatiorajat ylittävänä tunnisteena. Satu säilyy entisellään, mutta esim. henkilön eduPerson-tunniste muuttuu, jos hän siirtyy käyttäjäksi toiseen organisaatioon. Satu on yleisesti käytettävissä oleva yksilöllinen muuttumaton tunniste, joka ei itsessään sisällä tietoa henkilöstä. Sähköisestä asiointitunnisteesta säädetään lain väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista pykälissä 63 ja 64. Satun hyödyntämisessä on huomioitava mainitun lain 43. pykälä.