16.06.1997 16/1997

Henkilörekisteri - Henkilötunnus - Henkilötieto - Huolellisuusvelvoite - Hyvä rekisteritapa - Suojaamisvelvoite - Tarpeellisuusvaatimus

Visa-korttiostoissa syntyvät maksutositteet muodostivat osan Luottokunnan asiakasrekisteriä. Maksutositteeseen kaupoissa merkittävä henkilötunnuksen loppuosa muodosti henkilötiedon esiintyessään allekirjoituksen yhteydessä. Luottokunta ei toiminut vastoin henkilörekisterilaissa säädettyä huolellisuusvelvoitetta ja hyvää rekisteritapaa antaessaan Visa-kortin maksuvälineeksi hyväksyville kauppaliikkeille ohjeen kerätä maksutositteisiin asiakkaan henkilötunnuksen loppuosa. Luottokunta ei näin menetellessään toiminut myöskään vastoin henkilörekisterilaissa säädettyä suojaamisvelvoitetta. Henkilötunnuksen loppuosan keräämistä maksutositteisiin voitiin pitää tarpeellisena, koska merkinnän avulla voitiin jälkikäteen todeta henkilöllisyyden tarkistamisen tapahtuneen Luottokunnan kauppiaille antamien ohjeiden mukaisesti.

ASIA
Hakemus määräyksen antamisesta lainvastaisen rekisteritoiminnan
oikaisemiseksi

HAKIJA
Tietosuojavaltuutettu

HAKEMUS
Tietosuojavaltuutettu pyytää, että tietosuojalautakunta
määräisi Luottokunnan lopettamaan asiakkaiden henkilötunnusten
loppuosan (yksilönumero ja tarkistusmerkki)
merkitsemisen ostotositteisiin muuttamalla Visa-kortin
maksuvälineeksi hyväksyville kauppaliikkeille antamiaan
ohjeita.

Yksityiskohtaiset perustelut vaatimukselle ilmenevät
tietosuojavaltuutetun Luottokunnalle 23.12.1996 antamasta
kannanotosta.

ASIAN AIKAISEMMAT VAIHEET

Asia on tullut vireille tietosuojavaltuutetun toimistossa
20.1.1995 yksityishenkilön aloitteesta.

Tietosuojavaltuutettu pyysi 12.7.1996 Luottokunnalta
selvitystä mm. siitä, millaiset Luottokunnan antamat
Visa-luottokortin hyväksymisohjeet olivat nykyään ja
edellyttikö Luottokunta joissain tapauksissa henkilötunnuksen
loppuosan merkitsemistä maksutositteeseen maksettaessa
ostos Visa-luottokortilla. Tietosuojavaltuutettu
pyysi selvitystä myös siitä, miksi henkilötunnuksen
loppuosan merkitseminen on katsottu tarpeelliseksi
Luottokunnan toiminnan kannalta.

Selvityksessään 13.8.1996 Luottokunta toteaa, että
Visa-kortin hyväksyminen maksuvälineeksi kaupassa
edellyttää Luottokunnan jäsenyyttä. Kauppiaat sitoutuvat
liittyessään Luottokunnan jäseneksi noudattamaan
Luottokunta osuuskunnan sääntöjä sekä ohjeita.

Keväästä 1996 alkaen voimassa olevien kauppiasohjeiden
mukaan kortin esittäjän henkilöllisyys on tarkistettava,
mikäli kortista puuttuu nimikirjoitus ja kortin esittäjän
tilanteessa kehotuksesta kirjoittama nimikirjoitus poikkeaa
hänen ostotositteeseen kirjoittamastaan allekirjoituksesta.
Henkilöllisyys on tarkistettava myös aina, kun on aihetta
epäillä, onko kortinhaltija oikea. Todisteeksi henkilöllisyyden
tarkistamisesta ostotositteeseen tulee merkitä,
mistä asiakirjasta henkilöllisyys on tarkistettu sekä
henkilötunnuksen loppuosa tai passin numero.

Henkilötunnuksen loppuosan merkitsemisellä pyritään
ennalta ehkäisemään korttien väärinkäyttöä sekä pääsemään
juridisesti pitäviin näyttöihin perustuvaan taloudelliseen
vastuunjakoon väärinkäytön selvittelyn lopputuloksena.
Kauppias vapautuu vastuusta, kun hän on hyväksyessään
korttimaksun toiminut lain ja Luottokunnan ohjeiden mukaisesti.
Niissä tapauksissa, joissa henkilöllisyys olisi
pitänyt tarkistaa, kauppiaan on osoitettava dokumentoidusti
tarkistuksen toteutuneen. Tällaiseksi näytöksi on Suomessa
hyväksytty jo pankkikorttien osalta tarkistusasiakirjan
nimeäminen ja henkilötunnuksen tunnusosan merkitseminen
maksutositteeseen. Luottokunnan korttien suhteen käytäntö
on nykyisin sama.

Luottokunnan kauppiasohjeet velvoittavat kauppiaan
säilyttämään korttimaksutositteet yhden vuoden ajan mahdollisia
tutkimuksia varten. Luottokunta ei ole antanut
tarkempia ohjeita siitä miten tositteet tulee säilyttää
kaupassa. Käytännössä kaupat varustavat tositteensa
arkistoviitteellä, jonka perusteella on mahdollista löytää
tarvittava tosite.

Kauppa välittää maksupäätteellä käsitellyt korttimaksut
linjasiirtona joko pankkinsa kautta tai suoraan Luottokuntaan
sisältäen arkistoviitteen, jota käyttäen Luottokunta
pyytää tarvittavat tositteet. Tiedostossa on kaupan nimi,
kortin numero, ostopäivä ja ostoksen summa. Kauppaan
jäävässä tositteessa on lisäksi voimassaoloaika, yleensä
kellonaika ja allekirjoitus.

Leimauslaitetositteista yksi jää kaupalle, yksi kortin
haltijalle ja yksi Luottokunnalle. Luottokunta varustaa
oman kappaleensa hakunumerolla, filmaa tositteet ja ne
ovat tarvittaessa löydettävissä hakunumerolla filmeiltä.

Luottokunnalle antamassaan kannanotossa 23.12.1996 tietosuojavaltuutettu
katsoo, että henkilötunnusta voidaan
sinänsä pitää henkilörekisterilain 5 §:n 2 momentin
mukaisena tarpeellisena tietona Luottokunnan Visa-luottokortin
haltijoista ylläpitämässä henkilörekisterissä.
Henkilötunnuksen loppuosan merkitseminen ostotositteisiin
on kuitenkin vastoin henkilörekisterilain 3 §:ssä
määriteltyä hyvää rekisteritapaa sekä lain 26 §:n suojaamisvelvoitetta.

Tietosuojavaltuutettu katsoo, että kauppaliikkeissä
korttimaksutapahtumissa syntyvät maksutositteet ovat
osa Luottokunnan asiakasrekisteriä.

Tietosuojavaltuutettu toteaa, että henkilörekisterillä
tarkoitetaan loogista rekisteriä. Jos henkilötietoja
sisältävä tiedosto sisältää viittaustiedot erillisinä
säilytettävistä tausta-aineistoista, myös sanotut
tausta-aineistot luetaan henkilörekisteriin kuuluviksi.
Tietosuojavaltuutetun käsityksen mukaan maksujenvälitystavasta
riippuen osin kauppaliikkeissä ja osin
Luottokunnassa säilytettävät ostotositteet kuuluvat
sinänsä loogisesti Luottokunnan ylläpitämään asiakasrekisteriin,
koska tositteet ovat löydettävissä arkistoviitteen
perusteella. Korttimaksun vastaanottanut
kauppaliike on velvollinen säilyttämään tositteita vuoden
ja toimittamaan pyydettäessä tositteen Luottokunnalle.

Tositteet sisältävät luottokortin numeron, asiakkaan
omakätisen allekirjoituksen ja henkilötunnuksen loppuosan.
Tositteissa ei sen sijaan yleensä ole asiakkaan nimeä
selväkielisessä muodossa. Poikkeuksen muodostavat
leimauslaitetositteet. Koska tositteet säilytetään
tapahtumajärjestyksessä, eivät ne tietosuojavaltuutetun
mukaan muodosta kauppaliikkeessä henkilörekisteriä.

Tietosuojavaltuutettu katsoo, että henkilötunnuksen
loppuosa tuskin sinänsä on henkilötieto. Valtuutetun
käsityksen mukaan loppuosa yhdistyneenä henkilön
allekirjoitukseen muodostaa kuitenkin henkilötiedon
siitäkin huolimatta, että joissain tapauksissa allekirjoitus
saattaa olla niin epäselvä, ettei siitä pysty lukemaan
henkilön nimeä. Tällainen yhdistelmä muodostaa
henkilön yksilöintitiedon.

Luottokunta on muuttanut ohjeitaan keväällä 1996 niin,
että ostotositteeseen merkitään nykyään ohjeissa määritellyissä
tilanteissa henkilötunnuksen loppuosa.
Tätä ennen menettely on katsottu tarpeettomaksi.
Tietosuojavaltuutettu toteaa, että Visa-kortti on
kansainvälinen, mutta kansainvälisesti henkilötunnuksen
loppuosan merkitseminen on kuitenkin harvinaista.

Tietosuojavaltuutettu pyysi henkilörekisterilain 34 §:n
mukaisena ohjauksena Luottokuntaa lopettamaan asiakkaiden
henkilötunnusten loppuosan merkitsemisen ostotositteisiin.

Vastauksessaan 9.1.1997 Luottokunta ilmoitti, viitaten
tietosuojavaltuutetulle antamassaan selvityksessä esittämiinsä
perusteluihin ja velvollisuuksiinsa riskinhallinnassa
niin kortinhaltijaa kuin kortteja maksuvälineeksi
hyväksyviä kauppiaita kohtaan, ettei se katso voivansa
muuttaa kauppiaille antamiaan ohjeita henkilötunnuksen
tarkistusosan merkitsemisestä.

Tämän jälkeen tietosuojavaltuutettu saattoi asian tietosuojalautakunnan
käsiteltäväksi.

KUULEMINEN

Tietosuojalautakunta on varannut hallintomenettelylain
15 §:n nojalla Luottokunnalle tilaisuuden selityksen
antamiseen tietosuojavaltuutetun hakemuksen johdosta.

Selityksessään Luottokunta katsoo, että tietosuojavaltuutetun hakemus
1) tulisi jättää tutkittavaksi ottamatta sillä perusteella,
ettei henkilötunnuksen loppuosan merkitsemisessä
ole kysymys henkilörekisterilain 2 §:n 1 kohdassa
tarkoitetusta henkilötiedosta eikä maksutositteista
muodostu henkilörekisterilain 2 §:n 2 kohdassa tarkoitettua
henkilörekisteriä tai

2) tulisi tutkittavaksi otettuna hylätä, koska henkilötunnuksen
loppuosan merkitsemiskäytäntö täyttää henkilörekisterilain
3 §:n mukaisen rekisterinpitäjän
huolellisuusvelvoitteen ja 5 §:n 2 momentin mukaisen
tarpeellisuusvaatimuksen.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettavat säännökset

Henkilörekisterilain 1 §:n 1 momentin mukaan henkilörekisterilakia
sovelletaan henkilötietoja kerättäessä, talletettaessa,
käytettäessä ja luovutettaessa.
Henkilötiedolla tarkoitetaan henkilörekisterilain 2 §:n
1 kohdan mukaan sellaista henkilön tai henkilön ominaisuuksien
tai elinolosuhteiden kuvausta, joka voidaan tunnistaa
tiettyä luonnollista yksityistä henkilöä tai hänen perhettään
tai hänen kanssaan yhteisessä taloudessa eläviä
koskevaksi.

Henkilörekisterillä tarkoitetaan henkilörekisterilain
2 §:n 2 kohdan mukaan henkilötietoja sisältävää tietojoukkoa,
jota käsitellään automaattisen tietojenkäsittelyn
avulla. Henkilörekisteriksi katsotaan myös sellainen
luettelo, kortisto tai muu näihin verrattavalla tavalla
järjestetty henkilötietoja sisältävä tietojoukko, josta
tiettyä henkilöä koskevat tiedot voidaan löytää helposti
ja kohtuuttomitta kustannuksitta.

Henkilörekisterilain 2 §:n 3 kohdan mukaan rekisterinpitäjällä
tarkoitetaan henkilöä, yhteisöä tai säätiötä,
jonka käyttöä varten henkilörekisteri perustetaan ja
jolla on oikeus määrätä henkilörekisterin käytöstä.

Rekisterinpitäjän on henkilörekisterilain 3 §:n mukaan
henkilötietoja kerättäessä, talletettaessa, käytettäessä
ja luovutettaessa noudatettava huolellisuutta ja hyvää
rekisteritapaa sekä toimittava muutoinkin niin, ettei
rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai
oikeuksiaan perusteettomasti loukata. Rekisterinpitäjän
on lain 26 §:n mukaan huolehdittava siitä, että henkilörekisteri
ja sen tiedot on asianmukaisesti suojattu
luvatonta käsittelyä, käyttöä, tuhoamista ja muuttamista
sekä anastusta vastaan.

Henkilörekisteriin voidaan henkilörekisterilain 5 §:n
2 momentin mukaan tallettaa vain rekisterin käyttötarkoituksen
kannalta tarpeellisia tietoja.

Jos joku kerää ja tallettaa tietoja henkilörekisteriin,
käyttää henkilörekisteriä tai luovuttaa siitä henkilötietoja
tai ryhtyy muuhun toimenpiteeseen vastoin henkilörekisterilain
tai sen nojalla annettuja säännöksiä
tai määräyksiä tai laiminlyö sanottujen säännösten ja
määräysten mukaisen velvollisuutensa, tietosuojalautakunta
voi henkilörekisterilain 35 §:n 2 momentin nojalla
tietosuojavaltuutetun hakemuksesta velvoittaa asianomaisen
määräajassa oikaisemaan sen, mitä oikeudettomasti on
tehty tai laiminlyöty.

Tietosuojalautakunta voi henkilörekisterilain 35 §:n
3 momentin nojalla kieltää lainvastaisen henkilötietojen
keräämisen, tallettamisen, käytön ja luovuttamisen.

Päätös

Henkilön nimi (etu- ja sukunimi) on henkilörekisterilain
2 §:n 1 kohdassa tarkoitettu henkilötieto. Maksutositteessa
henkilön allekirjoitus on henkilötieto myös
silloin kun allekirjoitus on epäselvä eikä asiakkaan
nimeä ole selväkielisessä muodossa, koska allekirjoitus
pystytään luottokortin numeron perusteella yhdistämään
oikeaan henkilöön.

Väestötietoasetuksen 2 §:n mukaan määräytyvän henkilötunnuksen
loppuosan (yksilönumeron ja tarkistusmerkin)
avulla ei voida laskea henkilön syntymäaikaa ja näin ollen
saada selville koko henkilötunnusta. Allekirjoituksen
yhteydessä esiintyvä henkilötunnuksen loppuosa muodostaa
kuitenkin henkilörekisterilain 2 §:n 1 kohdassa tarkoitetun
henkilötiedon, koska se voidaan tunnistaa tietyn
henkilön henkilötunnuksen loppuosaksi.

Leimauslaitetositteita säilytetään Luottokunnassa siten,
että ne ovat yhdistettävissä asianomaiseen rekisteröityyn.
Myös kauppojen Luottokunnan ohjeiden mukaisesti
säilyttämät muut maksutositteet ovat löydettävissä
arkistoviitteen perusteella ja yhdistettävissä asianomaiseen
rekisteröityyn. Tämän vuoksi tietosuojalautakunta
katsoo, että Visa-korttiostoissa syntyvät maksutositteet
muodostavat osan Luottokunnan asiakasrekisteriä.

Tietosuojalautakunta katsoo, ettei Luottokunta henkilötunnuksen
loppuosan keräämisellä ja tallettamisella
toimi vastoin henkilörekisterilain 3 §:ssä säädettyä
huolellisuusvelvoitetta ja hyvää rekisteritapaa eikä
muutoinkaan perusteettomasti loukkaa rekisteröidyn yksityisyyden
suojaa tai hänen etujaan tai oikeuksiaan.
Luottokunnan ei myöskään voida katsoa toimivan vastoin
henkilörekisterilain 26 §:ssä säädettyä suojaamisvelvoitetta.
Henkilötunnuksen loppuosan keräämistä maksutositteisiin
voidaan pitää henkilörekisterilain 5 §:n
2 momentin mukaisesti tarpeellisena, koska merkinnän
avulla voidaan jälkikäteen todeta henkilöllisyyden
tarkistamisen tapahtuneen Luottokunnan kauppiaille
antamien ohjeiden mukaisesti.

Tämän vuoksi tietosuojalautakunta hylkää hakemuksen.

SOVELLETUT SÄÄNNÖKSET

Henkilörekisterilaki 2 § 1 kohta
Henkilörekisterilaki 2 § 2 kohta
Henkilörekisterilaki 2 § 3 kohta
Henkilörekisterilaki 3 §
Henkilörekisterilaki 5 § 2 mom
Henkilörekisterilaki 26 §
Henkilörekisterilaki 35 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.