Framsida » Avgöranden » Behandling av reseuppgifter

Behandling av reseuppgifter

2008

Ärendet:

Person X bad dataombudsmannen vidta åtgärder för att på trafikant Y Oy:s hemsida kunde man via en internetjänst få reseuppgifter. Reseuppgifterna kunde ses genom att meddela busskortets nummer. Enligt X kunde kortinnehavarens rörelser spåras långt bak i tiden om kortet hamnade i fel händer. X frågade dataombudsmannen om det är rätt att uppgifterna sparas så länge och om det är rätt att att uppgifterna kan ses på Internet med kortets nummer av vem som helst.

Dataombudsmannens byrå bad trafikant Y Oy om en utredning. Enligt den sparas reseuppgifterna i databasen för en obestämd tid. Endast namngivna personer har tillgång till databasen. Reseuppgifter behövs bl.a. vid biljett clearing, uppföljning av redovisning, utgångsinformation vid planering av vägar och hållplatser, motiveringar till trafiktillståndsansökningar samt utvecklingen av linjerna och tidtabellerna. Enligt den registeransvariga innehåller reseuppgifterna inte personuppgifter. Reseuppgifterna och resenäruppgifterna har sparats i olika databaser och de kan inte länkas så att man på basis av reseuppgifterna skulle kunna utreda resenäruppgifterna.

Genom Internettjänsten kan reseuppgifter följas upp med kortnumret bara för de tie senaste händelsernas del. Genom att ge kortets nummer ger tjänsten också följande uppgifter: bruksdag, klockslag, linje, hållplatsens ID, ansamling/saldo, sista giltighetsdagen och antalet reservperioder.

Dataombudsmannens svar:

Resekortets nummer är en personuppgift om det kan sammankopplas till kortets innehavare. Således är även reseuppgifterna personuppgifter om de kan sökas på basis av resekortets nummer. Det att resekortets innehavares uppgifter och reseuppgifterna är i separata databaser har ingen betydelse, om uppgifterna på något sätt kan sammankopplas. På sådan behandling av personuppgifter tillämpas personuppgiftslagen. Det är inte fråga om behandling av personuppgifter om det från reseuppgifterna slutligt hade raderats resekortets nummer och reseuppgifterna inte på något sätt skulle kunna sammankopplas med en viss person.

Dataombudsmannen handledde den registeransvariga till att analysera hur länge och för vilket ändamål personuppgifter gällande resor är behövliga att sparas. En saklig motivering till behandlingen av personuppgifter kunde vara t.ex. reklamationer som kommer utav användning av biljetter, utredning av felaktiga stämplingar etc. Efter den behövliga förvaringstiden skall personuppgifterna förstöras eller möjligtvis anonymiseras.

Exempelvis i den planerade behandlingen av trafiktillståndsansökningar och utvecklingsarbetet av linjer och tidtabeller torde det inte vara behövligt att behandla personuppgifter, d.v.s. sådana uppgifter som på något sätt kan sammankopplas till en fysisk person. Dataombudsmannen rådgav den registeransvariga att analysera, om man i dessa syften kan använda reseuppgifter från vilka resekortets nummer har tagits bort.

I samband med informering av de registrerade är det väsentligt att också ge information om möjligheten att söka reseuppgifter via Internet. Dataombudsmannen handledde även den registeransvariga till att bedöma om det vore ändamålsenligt att ordna tillgången till Internettjänsten på så sätt att tillgången till uppgifterna skulle förutsätta förutom resekortets nummer också ett lösenord. Den registrerade skulle också kunna erbjudas möjlighet att förhindra att reseuppgifterna kan fås via Internet.

Tillämpade lagbestämmelser:

Personuppgiftslagen 2 §, 3 §, 9 § 11 § och 24 §.

 
Publicerad 6.2.2014