Matka-aikatiedon tuottaminen matkapuhelinpaikannuksen avulla – paikkatieto, henkilötieto ja välillinen tunnistettavuus

Dnro 2857/05/2011

Asia:

Tietosuojavaltuutetulta pyydettiin lausuntoa hankkeesta, jonka tarkoituksena oli pilotoida matka-aikatiedon tuottamista matkapuhelinpaikannuksen avulla. Pilotti oli tarkoitus toteuttaa pääkaupunkiseudulla ennalta sovituilla tieosuuksilla. Teleoperaattorit tuottivat yhteistyössä järjestelmäintegraattorin kanssa matka-aikatiedot. Järjestelmäintegraattori kokosi teleoperaattoreilta saatavan matkapuhelimien raakadatan ja jalosti niistä matka-aikatietoa palvelukokonaisuuteen, jonka kautta oli saatavissa erilaista liikenteen sujuvuustietoa Suomen runkoverkolta. Verkkopalvelun kautta palvelukokonaisuudesta haluttiin luovuttaa tietoa myös vapaaseen käyttöön avoimen rajapinnan kautta. Tietosuojavaltuutetun toimistolta pyydettiin lausuntoa siitä, ”näkeekö tietosuojavaltuutetun toimisto jotakin oikeudellisia esteitä siinä, että mobiililaitteen paikannuksen avulla tuotettuja, kyseisen mobiililaitteen tunnistamistiedoista ja muista laitteen käyttäjään liittyvistä tiedoista erotettuja paikkatietoja käytetään tällaisen lisäarvopalvelun testaamiseen ja myöhemmin tuottamiseen”.

Sovellettava lainsäädäntö:

Tietosuojavaltuutetun näkemyksen mukaan nyt kysymyksessä olevaa asiaa tuli tarkastella niin paikkatietojen käsittelyä koskevien kuin henkilötietojen käsittelyä koskevien säännösten valossa.

Sähköisen viestinnän tietosuojalain 2 §:n 1 momentin 9 kohdan mukaan paikkatiedolla tarkoitetaan tietoa, joka ilmaisee liittymän tai päätelaitteen maantieteellisen sijainnin ja jota käytetään muuhun tarkoitukseen kuin verkkopalvelun tai viestintäpalvelun toteuttamiseen. Paikkatiedoilla voidaan ilmaista käyttäjän päätelaitteen leveysaste, pituusaste ja korkeus, matkan suunta, paikkatiedon tarkkuus, se osa verkkoa, jossa päätelaite paikannetaan tietyllä hetkellä sekä paikkatiedon tallentamisen ajankohta. Osa tiedoista, kuten matkaviestinverkossa tieto siitä, minkä tukiaseman alueella päällä oleva matkaviestin on tietyllä hetkellä, sisältyy tunnistamistietojen käsitteeseen, koska näitä tietoja käytetään viestien välittämiseen. Jos tukiasematietoja kuitenkin käytetään muuhun tarkoitukseen kuin viestien välittämiseen, ne eivät ole tässä laissa tarkoitettuja tunnistamistietoja vaan paikkatietoja.

Sähköisen viestinnän tietosuojalain 4 luku sisältää paikkatietojen käsittelyä koskevat säännökset. Sähköisen viestinnän tietosuojalain 17 §:n 1 momentin mukaan teleoperaattori saa käsitellä paikkatietoja, jollei tilaaja ole sitä kieltänyt. Jos puolestaan lisäarvopalvelu tarjoaja tai yhteisötilaaja haluaa käsitellä paikkatietoja, on paikannettavalta pyydettävä palvelukohtainen suostumus ennen paikkatietojen käsittelyn aloittamista, jollei suostumus yksiselitteisesti ilmene asiayhteydestä tai jollei laissa toisin säädetä. Teleyrityksen on huolehdittava, että tilaajan saatavilla on helposti ja jatkuvasti tietoa käsiteltävien paikkatietojen tarkkuudesta ja käsittelyn tarkoituksesta sekä siitä, voidaanko paikkatiedot luovuttaa kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. Ennen paikkatietojen luovuttamista lisäarvopalvelun tarjoajalle tai yhteisötilaajalle teleyrityksen on varmistuttava tarkoituksenmukaisella tavalla, että lisäarvopalvelun tarjoaminen perustuu 18 §:n 1 momentissa tarkoitettuun suostumukseen.

Kyseisen 4 luvun säännöksiä ei kuitenkaan sovelleta paikkatietoihin, jos ne on tehty sellaisiksi, ettei niitä sellaisenaan tai muihin tietoihin liitettyinä voida yhdistää tilaajaan tai käyttäjään, ellei laissa toisin säädetä (16 § 1 mom.). Sähköisen viestinnän tietosuojalain 3 §:n mukaan tilaajalla tarkoitetaan oikeushenkilöä tai luonnollista henkilöä, joka on tehnyt sopimuksen viestintäpalvelun tai lisäarvopalvelun toimittamisesta ja käyttäjällä tarkoitetaan luonnollista henkilöä, joka käyttää viestintäpalvelua tai lisäarvopalvelua olematta välttämättä tämän palvelun tilaaja. Jos paikkatieto voidaan liittää joko tilaajaan tai käyttäjään, voi kysymyksessä olla myös henkilötietolain 3 §:n 1 momentin 1 kohdan mukainen henkilötieto. Paikka- ja paikannustietoa voidaan pitää myös henkilötietolain mukaisena henkilötietona silloin, kun siitä voidaan tunnistaa luonnollinen henkilö suoraan tai välillisesti.

Olennainen kysymys on, onko palveluntarjoajalle luovutettavat paikkatiedot tehty sellaiseksi, ettei niitä sellaisenaan tai muihin tietoihin liitettyinä voida yhdistää tilaajaan tai käyttäjään.

Kysymystä voidaan lähestyä henkilötiedon käsitteen kautta. Henkilötietolain 3 §:n mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Henkilötietodirektiivin 29 artiklalla perustettu tietosuojatyöryhmä on henkilötietojen käsitteestä antamassaan lausunnossa 4/2007 todennut välillisen tunnistettavuuden osalta, että ”Jos käytettävissä olevat tunnisteet eivät lähtökohtaisesti mahdollista henkilön tunnistamista, henkilö saattaa silti olla "tunnistettavissa", koska tieto yhdistettynä muihin tietoihin (joiden ei välttämättä tarvitse olla rekisterinpitäjän hallussa) mahdollistaa henkilön erottamisen muista.”.

On siis arvioitava, voidaanko tilaaja tai käyttäjä tunnistaa välillisesti kerättävien tietotyyppien (matka-aikamittaukset, mittauspaikka sekä muut saatavilla olevat tiedot) perusteella, vaikka itse mobiililaitteen yksilöivä tunniste onkin muutettu sellaiseksi, ettei se mahdollista suoraa tunnistamista?

Kun arvioidaan mobiililaitekohtaisen tiedon tunnistettavuutta, huomiota on kiinnitettävä mittauspaikan lisäksi siihen, kuinka paljon liikennettä kyseisen mittauspaikan ohi kulkee. Mikäli pyritään siihen, että mittaustulos on tunnisteeton, se edellyttää myös sitä, että kyseisellä mittausmatkalla on tarpeeksi paljon liikennettä. Tällöin on varmistettava, ettei mittauspisteitä ole niin tiheässä (esim. kaupunkialue), että yhtä mobiililaitetta koskevia havaintoja tulisi niin monta, että ne mahdollistaisivat esimerkiksi kulkureitin päättelemisen siten, että tunnistettavuuden mahdollisuus olisi olemassa.

Erikseen on arvioitava se, voidaanko palveluntarjoajalle luovutettavat yksittäiset mittaukset saada takaisin tunnisteellisiksi, jos tätä luovutettua aineistoa verrataan teleoperaattorin hallussa olevaan alkuperäiseen mittausaineistoon.

Matka-aikatietoja luovuttavien teleoperaattoreiden tulee huomioida muun muassa edellä esitetyt kommentit ja arvioida sekä varmistettava, etteivät tiedot ole edes välillisesti tunnistettavissa silloin, kun ne luovutetaan palveluntarjoajan prosessoitavaksi. Harkinta tunnistettavuudesta on suoritettava kokonaisvaltaisesti.

Niiltä osin kun karkeistettua mediaanitason matka-aikamittausmateriaalia on tarkoitus saattaa avoimen rajapinnan kautta yleisesti saataville, on varmistuttava siitä, etteivät nämä avoimen rajapinnan kautta luovutettavat tiedot yhdistettynä muualta saatavilla olevaan tietoon johda yksittäisen käyttäjän, tilaajan tai henkilön tunnistettavuuteen. Tällöin kysymys saattaa olla välillisesti tunnistettavien paikka- ja/tai henkilötietojen luovuttamisesta, jolloin luovutuksen saajalla tulee olla lainmukainen peruste käsitellä kyseessä olevaa tietoa.

Tietosuojaryhmä on todennut henkilötiedon käsitettä koskevassa lausunnossaan, että tietosuojaa koskevia periaatteita ei sovelleta tietoihin, jotka on tehty anonyymeiksi siten, ettei rekisteröity ole enää tunnistettavissa. Se, voiko tietojen avulla tunnistaa henkilön ja voidaanko tietoja pitää anonyymeinä vai ei, riippuu tietosuojaryhmän mukaan tilanteesta. Kutakin tapausta on tarkasteltava erikseen ottaen huomioon, missä määrin kohtuullisesti toteutettavissa olevia keinoja todennäköisesti käytetään kyseisen henkilön tunnistamiseksi.

Tietosuojavaltuutettu kehotti hankkeen osapuolia ottamaan toiminnassaan huomioon edellä annetun ohjauksen sekä varmistumaan tietojen käsittelyn lainmukaisuudesta todeten samalla, ettei tietosuojavaltuutetulla ole lupa- tai kieltotoimivaltaa. Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta.

 
Julkaistu 19.8.2013