suomi.fi
Siirry suoraan sisältöön.

Suomi.fi-tunnistuksen tapahtumatietorekisteri

Suomi.fi-tunnistus on julkishallinnon yhteinen tunnistuspalvelu, johon voidaan liittää digitaalisia asiointipalveluja. Se mahdollistaa loppukäyttäjän sähköisen tunnistamisen asiointipalveluissa sekä kertakirjautumisen asiointipalveluiden välillä.

1. Rekisterin nimi

Suomi.fi-tunnistuksen tapahtumatietorekisteri

2. Rekisterinpitäjä ja yhteyshenkilöt

Digi- ja väestötietovirasto 

Lintulahdenkuja 2, 00530 Helsinki 

PL 123, 00531 Helsinki

Puhelin (vaihde): 02 9553 6000, sähköposti: kirjaamo(a)dvv.fi

Yhteyshenkilö rekisteriä koskevissa asioissa

Kehityspäällikkö Mika King

Lintulahdenkuja 2, 00530 Helsinki 

Puhelin (vaihde): 02 9553 6000, sähköposti: kirjaamo(a)dvv.fi

3. Tietosuojavastaava

Puhelin (vaihde): 02 9553 6000, sähköposti: tietosuoja(a)dvv.fi

4. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Rekisteri on Suomi.fi-tunnistuksen tapahtumatietorekisteri. Digi- ja väestötietovirasto tuottaa Suomi.fi-tunnistusta hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain (571/2016) 4 §:n nojalla. 

Rekisteriin tallennettuja tietoja käytetään Suomi.fi-tunnistuksen käytön seurantaan ja valvontaan, virhetilanteiden selvittämiseen sekä mahdollisten väärinkäytösten ja tietosuojaloukkausten selvittä-miseen. Rekisteriin tallennettuja tapahtumatietoja käytetään myös tilastointitarpeisiin.

Digi- ja väestötietovirasto tuottaa eIDAS-lomakepalvelua Euroopan yleisen tietosuoja-asetuksen 6 artiklan 1 e alakohdan nojalla, jonka mukaisesti käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. 

Hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 5.1§:n nojalla julkisen hallinnon viranomaiset ovat velvoitettuja käyttämään Suomi.fi-tunnistusta, lisäksi eIDAS-asetuksen 6 artiklan nojalla julkisen sektorien elimien on tunnustettava muussa jäsenvaltiossa tehty tunnistaminen. Tarjotakseen Suomi.fi-tunnistuksen käyttäjäorganisaatioille eIDAS-tunnistamista, Digi- ja väestötietovi-rasto tuottaa osana Suomi.fi-tunnistusta eIDAS-lomakepalvelua. 

eIDAS-asetuksella tarkoitetaan asetusta, joka on ”Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta.

5. Henkilötietojen säilytysaika 

Suomi.fi-tunnistukseen liittyvien henkilötietojen säilytysajoista on säädetty tukipalvelulaissa. 

Rekisterin tiedot säilytetään viisi vuotta tunnistustapahtumaa seuraavan kalenterivuoden alusta lukien (laki hallinnon yhteisistä sähköisen asioinnin tukipalveluista 13 §).

6. Rekisterin tietosisältö

Tapahtumatietorekisteriin tallennetaan tietoja Suomi.fi-tunnistuksen käytöstä:

  • Tieto tunnistusta pyytäneestä asiointipalvelusta
  • Käyttäjän IP-osoite
  • Käytetty selain ja käyttöjärjestelmä
  • Tunnistustapahtumaan liittyvät aikaleimat
  • Tunnistetun käyttäjän 
  1. henkilötunnus, jos tunnistautumisessa käytetty pankkitunnisteita, mobiilivarmennetta tai varmennekorttia
  2. katso-id, jos tunnistautumisessa käytetty Katso-tunnisteita
  • Tieto käytetystä tunnistuspalvelusta sekä tunnistuspalvelun palauttamia henkilötietoja, joita ovat:
  1. pankkitunnisteet: henkilötunnus, nimitieto, pankin tapahtumatunnus 
  2. mobiilivarmenteet: puhelinnumero, matkapuhelimeen lähetetty tapahtumatunniste 
  3. henkilökortti: sähköinen asiointitunnus, tieto varmenteen myöntäjästä
  4. sosiaali- ja terveydenhuollon ammattikortti: Valviran myöntämä henkilön yksilöivä rekisteröintinumero, varmenteen sarjanumero, tieto varmenteen myöntäjästä
  5. organisaatiokortit sekä muun sosiaali- ja terveydenhuollon henkilöstön varmennekortit: henkilön yksilöivä tunniste, varmenteen sarjanumero, tieto varmenteen myöntäjästä
  6. Tunnistetusta käyttäjästä asiointipalvelulle välitetty henkilötunnus tai katso-id sekä tieto, mitä muita väestötietojärjestelmästä haettuja tai Katso-tunnisteelta saatuja henkilötietoja asiointipalvelulle on välitetty. Rekisteri ei sisällä henkilötunnuksen ja katso-id:n lisäksi varsinaista tietosisältöä muiden välitettyjen tietojen osalta. 

Suomi.fi-tunnistus tekee tunnistuspalvelun palauttaman henkilötunnuksen perusteella kyselyn väestötietojärjestelmään. Väestötietojärjestelmän palauttamia henkilötietoja ei tallenneta tapahtumatietorekisteriin, mutta tietosisältö on jälkikäteen mahdollista selvittää väestötietojärjestelmän lokeista. Jos tunnistautuminen hylätään väestötietojärjestelmän vastauksen perusteella, tallentuu rekisteriin tieto hylkäyksen syystä, joka voi olla se, ettei henkilötunnuksella löydy tietoja tai henkilötunnukseen liitetty henkilö on merkitty kuolleeksi.

Jos käyttäjälle on merkitty väestötietojärjestelmään turvakielto, ei Suomi.fi-tunnistus käsittele turvakiellon alaisia tietoja.

Tapahtumatietorekisteriin tallennetaan myös tietoja käyttäjän antaessa palautetta tai tehdessä virheilmoituksen Suomi.fi-tunnistuksen sähköisellä lomakkeella. Lomakkeen käyttämisestä tallennetaan tiedot:

  • Palautteen antajan ip-osoite
  • Selaimen ja käyttöjärjestelmän tiedot
  • Käyttäjän lomakkeelle syöttämät tiedot, joita voivat olla:
  1. nimi
  2. sähköpostiosoite
  3. palvelu, johon on tunnistauduttu
  4. käyttäjän ilmoittama selain
  5. tunnistustapa
  6. palautteen tai virheilmoituksen sisältö
  7. tapahtuma-aika
  • Lomakkeen lähettämiseen liittyvät aikaleimat

Tapahtumatietorekisteriin ei tallenneta eIDAS-lomakkeen käytöstä henkilön yksilöiviä tietoja. eIDAS-palvelupyyntölomakkeen käyttämisestä tallennetaan seuraavat tekniset tiedot: 

  • pyynnön tunniste
  • tunnistustapahtuman tunniste
  • asiointipalvelun yksilöivä tunniste (entityID)
  • tapahtuma-aika
  • tunnistava maa

7. Säännönmukaiset tietolähteet

Rekisterin tietolähteet ovat:

  • väestötietojärjestelmä
  • varmenteiden hallinnointijärjestelmä
  • tunnistusvälineet ja niihin liittyvät tunnistuspalvelut
  • Suomi.fi-tunnistusta hyödyntävät asiointipalvelut
  • Suomi.fi-tunnistuksen sähköisen lomakkeen osalta henkilön itsensä antamat ja kirjaamat tiedot

eIDAS-tunnistautuneiden osalta toisen jäsenmaan tunnistetusta henkilöstä välittämät henkilötiedot, henkilön itsensä antamat tiedot sekä tunnistusta hyödyntävät asiointipalvelut.

8. Tietojen säännönmukaiset luovutukset

Digi- ja väestötietovirasto voi luovuttaa rekisterin käyttäjätietoja taikka tapahtumatietoja Suomi.fi-tunnistusta hyödyntäville organisaatioille, joiden asiointipalvelun käytön tai muun asioinnin yhteydessä tiedot on tallennettu, jos organisaatio tarvitsee tietoja: 

  • tietoturvallisuudesta huolehtimista tai tietoturvallisuuteen kohdistuvien häiriöiden selvittämistä varten;
  • tietojen käsittelyn oikeellisuuden osoittamiseksi tai muutoin asiointia koskevien ongelmien selvittämistä varten;
  • asiointipalvelunsa toimivuuden varmistamista tai parantamista varten.

Rekisterinpitäjä voi lisäksi luovuttaa pyynnöstä rekisterin tietoja Suomi.fi-tunnistuksen käyttäjälle hänen omien tapahtumatietojensa osalta.

Tietoja voidaan luovuttaa myös tilastoina tai muutoin siten, että yksittäiset henkilöt eivät ole tunnistettavissa.

Lisäksi tietoja voidaan muutoin luovuttaa lain nojalla. Tällaisia tilanteita ovat esimerkiksi tietojenluovutukset poliisi-, esitutkinta- ja syyttäjäviranomaiselle.

9. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU/ETA-alueen ulkopuolelle. 

10. Rekisterin suojauksen periaatteet

Tietoaineisto on suojattu tietoturvallisuudesta ja pääsynhallinnasta huolehtien.

Rekisterin tietojen käsittely on mahdollista vain henkilöille, joiden tehtäviin se kuuluu. Tietojen käsittelystä tallennetaan lokitietoa.

11. Automaattinen päätöksenteko ja profilointi

Henkilörekisterin tietojen perusteella ei suoriteta automaattista päätöksentekoa tai profilointia.

12. Rekisteröidyn oikeudet

Sinulla on oikeus pyytää pääsyä itseäsi koskeviin henkilötietoihin eli tarkastaa henkilörekisteriin talletetut tietosi. Omien tietojen tarkastuspyynnön voit lähettää Digi- ja väestötietoviraston kirjaamoon. Varaudu todistamaan henkilötietosi.

Saat tarvitsemasi tiedot kuukauden kuluessa. Jos tietoja ei pystytä perustellusta syystä toimittamaan tässä ajassa, Digi- ja väestötietovirasto ja voi jatkaa määräaikaa enintään 2 kuukaudella. Tässä tapauksessa saat siitä ilmoituksen.

1.1 Oikeus vaatia tiedon korjaamista

Tapahtumatietoja ei ole oikeutta pyytää korjaamaan.

1.2 Henkilötietojen käsittelyyn liittyvät rekisteröidyn oikeuksien rajoitukset

Suurin osa Digi- ja väestötietoviraston palveluista perustuu lakisääteisen velvoitteen noudattamiseen tai julkisen vallan käyttämiseen. Näissä tapauksissa sinulla ei ole oikeutta vaatia tietojesi poistamista tai siirtämistä toiseen järjestelmään eikä myöskään vastustaa henkilötietojesi käsittelyä. Henkilötietojen käsittelyä ei myöskään voi pyytää rajoittamaan.

13. Rekisteröidyn valitusoikeus valvontaviranomaiselle

Sinulla on oikeus tehdä valitus tietosuojavaltuutetulle henkilötietojen käsittelyyn liittyen. 

Tietosuojavaltuutetun toimisto, PL 800, 00521 Helsinki

Lisätietoa löydät Tietosuojavaltuutetun ohjeista