Matkustustietojen käsittely

2008

Asian kuvaus:

Henkilö X pyysi tietosuojavaltuutetun toimenpiteitä, koska liikennöitsijä Y Oy:n kotisivulla olevasta palvelusta voi Internetin kautta saada tietoonsa matkustustietoja. Matkustustietoja voi selata bussikortin numeron ilmoittamalla. X:n mukaan mukaan bussikortin numeron jouduttua vääriin käsiin voi kortinhaltijan liikkeitä selvittää pitkältäkin ajalta. Vireille panija tietosuojavaltuutetun toimistolta onko oikein, että tietoja säilytetään niin kauan ja että tiedot ovat kenen tahansa selailtavissa verkossa pelkän kortin numeron perusteella.

Tietosuojavaltuutetun toimisto pyysi asiassa selvitystä liikennöitsijä Y Oy:ltä. Selvityksen mukaan matkustustiedot säilytetään tietokannassa määräämättömän ajan. Tietokantaan on pääsy vain nimetyillä henkilöillä. Matkustustietoja tarvitaan mm. lippuclearingissä, tilitysten seurannassa, teiden ja pysäkkien suunnittelun lähtötiedoiksi, liikennelupahakemusten perusteluiksi sekä linjaston ja aikataulujen kehittämiseksi. Rekisterinpitäjän mukaan matkustustiedot eivät sisällä henkilötietoja. Matkustustiedot ja matkustajatiedot on tallennettu eri tietokantoihin, joten niitä ei voida ketjuttaa niin, että matkustustietojen perusteella voisi selvittää matkustajatiedot.

Internetpalvelun kautta matkustustietoja voi seurata korttinumerolla vain kymmenen viimeisen tapahtuman osalta. Korttinumeron syöttämällä palvelu antaa myös seuraavat tiedot: käyttöpäivä, kellonaika, linja, pysäkin ID, kertymä/saldo, viimeinen voimassaolopäivä ja varakausien lukumäärä.

Tietosuojavaltuutetun vastaus:

Matkakortin numero on henkilötieto jos se voidaan yhdistää kortin haltijaan. Näin ollen myös matkustustiedot ovat henkilötietoja, jos niitä voidaan hakea matkakortin numeron perusteella. Sillä, että matkakortin haltijaa koskevat tiedot ja matkustustiedot ovat eri tietokannassa ei ole merkitystä, jos tiedot voidaan jollain tavalla yhdistää. Tällaiseen henkilötietojen käsittelyyn sovelletaan henkilötietolakia. Kysymyksessä ei olisi henkilötietojen käsittely silloin, jos matkustustiedoista olisi lopullisesti poistettu matkakortin numero, eikä matkustustietoja voida mitenkään yhdistää tiettyyn henkilöön.

Tietosuojavaltuutettu ohjasi rekisterinpitäjää analysoimaan kuinka pitkään ja mitä tarkoitusta varten matkustusta koskevia henkilötietoja on tarpeellista säilyttää. Asiallinen peruste henkilötietojen käsittelylle voinee olla esim. lippujen käytöstä tulleet reklamaatiot, virheleimausten selvittely yms. Tarpeellisen säilytysajan jälkeen henkilötiedot on hävitettävä tai mahdollisesti anonymisoitava.

Esimerkiksi suunnittelussa liikennelupahakemusten käsittelyssä ja linjaston tai aikataulujen kehittämistyössä ei liene tarpeellista käsitellä henkilötietoja, eli sellaisia tietoja, jotka voidaan jollain tavalla yhdistää luonnolliseen henkilöön. Tietosuojavaltuutettu ohjasi rekisterinpitäjää analysoimaan, voidaanko tällaisiin tarkoituksiin käyttää matkustustietoja, joista on poistettu matkakortin numero.

Rekisteröityjen informoinnin yhteydessä on asiaankuuluvaa antaa tietoa myös mahdollisuudesta hakea matkustustietoja Internetin kautta. Ohjaa myös rekisterinpitäjää harkitsemaan olisiko Internetpalveluun pääsy tarkoituksenmukaista järjestää siten, että tietoihin pääsy edellyttää matkakortin numeron lisäksi esimerkiksi salasanan käyttöä. Rekisteröidyille voitaisiin tarjota myös mahdollisuutta estää matkustustietojensa saaminen Internetin kautta.

Sovelletut säännökset:

Henkilötietolaki 2 §, 3 §, 9 § 11 § ja 24 §.

 
Julkaistu 27.1.2014