03.09.2003 5/2003

Rekisterinpitäjä - Suostumus - Yhteysvaatimus - Laissa säädetty tehtävä - Henkilötunnus

Pääkaupunkiseudun yhteistyövaltuuskunnalla YTV:llä oli oikeus kerätä ja tallettaa matkakortin hakeneiden henkilötunnuksia pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisteriin. Oikeus johtui YTV:lle laissa säädetystä tehtävästä hoitaa pääkaupunkiseudun joukkoliikenne. Henkilötunnuksen kerääminen oli tarpeellista myös matkustajien oikeusturvan kannalta.

ASIA
1) Henkilötietojen käsittelyä koskeva lupahakemus (dnro 3/932/2003), ja
2) Henkilötietolain 44 §:n mukainen kieltohakemus (dnro 1/933/2003)

HAKIJAT
1) Pääkaupunkiseudun yhteistyövaltuuskunta YTV (jälj. YTV)
2) Tietosuojavaltuutettu

HAKEMUS
1) YTV pyytä lupaa henkilötietojen käsittelyyn Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterissä (jälj. myös matkakorttiasiakkaiden asiakasrekisteri tai asiakasrekisteri)

2) Tietosuojavaltuutettu pyytää, että tietosuojalautakunta kieltäisi sopivaksi katsomansa uhkasakon uhalla YTV:tä keräämästä ja tallettamasta matkakortin hakeneiden henkilötunnuksia Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisteriin

ASIAN KÄSITTELYVAIHEET

YTV:n lupahakemus 31.1.2003

YTV on suunnitellut, kehittänyt ja toteuttanut YTV:n, Helsingin kaupungin liikennelaitoksen ja Valtion rautateiden tilauksesta Helsingin seudulla käytössä olevan matkakorttijärjestelmän. YTV pyysi hakemuksellaan 31.1.2003 lupaa henkilötietojen käsittelyyn matkakorttijärjestelmässä.

Matkakorttijärjestelmän käyttötarkoitukseksi ilmoitettiin taksa- ja lippujärjestelmän asiakassuhteen hoitaminen ja palvelun toteutus. Käyttötarkoituksen mukaisia tehtäviä hakemuksen mukaan olivat:
- henkilökohtaisen matkakortin luovutus, jossa todetaan ja perustetaan asiakkaan osto-
oikeus
- asiakkaan osoitetietojen ja kuntalaisuuden tarkistus
- kortin omistajan tunnistaminen (löytökori)
- kadonneen matkakortin asettaminen sulkulistalle
- asiakassuhteen päättyminen
- asiakkaan saldotietojen tarkistaminen
- asiakkaan kuluttajansuojalain mukaisten reklamointien hoitaminen
- matkakorttijärjestelmän kehitystyö sekä vikatilanteiden hoito

Hakemuksesta kävi ilmi, että matkakorttijärjestelmä muodostui keskusjärjestelmästä, johon talletettiin pääsääntöisesti kaikki matkakorttijärjestelmään liittyvä informaatio. Keskusjärjestelmä muodostui kolmesta rekisteristä: asiakasrekisteristä, teknisen ylläpidon rekisteristä ja käytön valvonnan rekisteristä. Lupahakemus koski kaikkia näitä rekistereitä. Matkakorttijärjestelmään talletettiin mm. asiakkaiden henkilötunnukset ja tietoja asiakkaiden matkustustapahtumista. Tiedot matkustustapahtumista syntyivät liikennevälineissä ja asemilla matkakorttia käytettäessä tai arvolippua ostettaessa ja ne tallentuivat teknisen ylläpidon rekisteriin.

Tietosuojavaltuutetun hakemus 7.2.2003

Tietosuojavaltuutettu pyysi 7.2.2003 tekemällään hakemuksella, että tietosuojalautakunta henkilötietolain 44 §:n nojalla, sopivaksi katsomansa uhkasakon uhalla:

1) kieltäisi YTV:tä keräämästä ja tallettamasta ainakaan esittämillään perusteilla ylläpitämäänsä Matkakorttijärjestelmä-nimiseen henkilörekisteriin pääkaupunkiseudun joukkoliikenteessä käytettävän matkakortin hakeneita rekisteröityjä henkilöitä koskevia henkilötunnuksia,

2) kieltäisi YTV:tä keräämästä ja tallettamasta ylläpitämäänsä Matkakorttijärjestelmä-nimiseen henkilörekisteriin tai muutoinkin käsittelemästä pääkaupunkiseudun joukkoliikenteessä käytettävillä matkakorteilla tehtyjä, rekisteröityyn yhdistettävissä olevia matkoja koskevia tietoja ja

3) määräisi YTV:n muuttamaan henkilötietojen käsittelyä koskevaa epäselvää ja puutteellista, henkilötietolain 24 §:n edellyttämää informointia siten, että rekisteröidyt saavat em. lainkohdan tarkoittamalla tavalla riittävän informaation.

YTV:n lupahakemuksen täydennys 7.2.2003

YTV ilmoitti lupahakemuksensa täydennyksessä 7.2.2003, että asiakasrekisteriin ja sen tietoja käsittelevään järjestelmään oli päätetty toteuttaa seuraavanlaiset muutokset:

1. Asiakasrekisteriin ei enää talletettu matkatapahtumia.

2. Asiakasrekisterin yhteys teknisen ylläpidon rekisteriin oli katkaistu teknisesti ja oli tuotannossa 31.3.2003. Teknistä ylläpitoa varten tarpeelliset laitteiden tuottamat tapahtumat eivät täydennyksen mukaan sisältäneet henkilötietoja eivätkä olleet yhdistettävissä henkilöön. Tietoja tarvittiin järjestelmän teknisen käytettävyyden ja eheyden ylläpitoon ja varmistamiseen.

3. Jo kerääntyneet matkatiedot hävitettiin aktiivisesta tietokannasta 31.3.2003 mennessä. Varmennenauhojen siivoustyö käynnistettäisiin.

4. Matkakorttiasiakkaille annettavaa informaatiota tarkennettiin vastaamaan muutosten mukaista toteutusta.

Muut muutokset kuin kohdassa 2 mainittu tekninen katkaisu ilmoitettiin toteutettavan 31.5.2003 mennessä.
Täydennykseen oli liitetty pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterin henkilötietolain 10 §:n mukainen 7.2.2003 päivätty uusi rekisteriseloste.

Tietosuojavaltuutetun ilmoitus 14.2.2003

Tietosuojavaltuutettu ilmoitti luopuvansa kieltohakemuksensa kohdista 2 ja 3 koska hänen tietoonsa oli tullut, että YTV on tietosuojalautakunnalle ilmoittanut muuttavansa rekisterinpitoaan eräiltä osin tietosuojavaltuutetun kieltohakemuksessaan vaatiman mukaiseksi. Kohtien 2 ja 3 osalta tietosuojavaltuutettu ilmoitti jatkavansa asian käsittelyä normaalina lainvalvontatehtävänä.
Sen sijaan tietosuojavaltuutettu katsoi, ettei YTV:n 7.2.2003 päivätyssä ja tietosuojalautakunnalle toimittamassa täydennyksessä ollut esitetty perusteita, joiden nojalla tietosuojavaltuutetun hakemuksen kohdan 1 käsittely olisi syytä lopettaa. Tietosuojavaltuutettu uudisti hakemuksensa siltä osin ja pyysi, että tietosuojalautakunta arvioisi, onko YTV:llä oikeutta kerätä ko. rekisteriin rekisteröityjen henkilötunnuksia.

Lisäselvitys- ja selityspyyntö YTV:lle 3.3.2003
Tietosuojalautakunta pyysi YTV:tä ilmoittamaan, koskeeko YTV:n tietosuojalautakunnalle tekemä lupahakemus matkakorttijärjestelmään kuuluvan asiakasrekisterin lisäksi myös järjestelmään kuuluvia teknisen ylläpidon rekisteriä ja käytön valvonnan rekisteriä, jolla valvotaan työtehtävien mukaista rekisterin käyttöä ja käytön yrityksiä. Samalla tietosuojalautakunta varasi YTV:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Selityksessä pyydettiin antamaan yksityiskohtainen selvitys henkilötunnuksen käyttötarpeesta.

YTV:n Kuluttajavirastolle lähettämä lausuntopyyntö 5.3.2003

YTV lähetti 11.3.2003 tietosuojalautakunnalle tiedoksi Kuluttajavirastolle lähettämänsä lausuntopyynnön 5.3.2003 matkakorttijärjestelmässä käsiteltävän henkilötunnuksen tarpeellisuudesta kuluttajansuojan kannalta. Lausuntopyyntö oli lähetetty tiedoksi myös tietosuojavaltuutetulle. YTV on myöhemmin lisäselvityksessään 1.4.2003 pyytänyt, että tietosuojalautakunta ottaa huomioon YTV:n Kuluttajavirastolle tekemän lausuntopyynnön sekä Kuluttajaviraston lausunnon käsitellessään YTV:n lupahakemusta.

Lausuntopyynnössään Kuluttajavirastolle YTV perusteli henkilötunnuksen käyttöä asiakasrekisterissä. YTV totesi mm., että sopimusoikeudellinen lojaliteettivelvoite edellyttää YTV:tä turvaamaan ja ottamaan huomioon asiakkaan edut sopimussuhteessa. Tämän lisäksi YTV:llä on tietojenkäsittelijän järjestelmävastuun perusteella selkeä velvoite tietojärjestelmänsä asianmukaisesta ja virheettömästä toiminnasta. Näiden velvoitteiden asianmukainen täyttäminen edellytti lausuntopyynnön mukaan toimivaa ja tehokasta tietojärjestelmää. Ongelmatilanteisiin on pystyttävä reagoimaan nopeasti ja varmasti, jotta kuluttajien oikeusturva voidaan aukottomasti turvata. Esimerkiksi kortin kadotessa kortti on pystyttävä nopeasti asettamaan sulkulistalle, jotta kadonneen kortin luvaton käyttö voidaan estää. YTV katsoi, että ainoastaan henkilötunnuksen avulla voidaan asian vaatimat toimenpiteet kohdentaa aukottomasti koskemaan tiettyä matkakorttia ja asiakasta.

YTV:n lisäselvitys 1.4.2003 ja Kuluttajaviraston lausunto 19.3.2003

YTV ilmoitti lisäselvityksessään 1.4.2003, että lupahakemus ei koske järjestelmään kuuluvia teknisen ylläpidon ja käytön valvonnan tietoja, vaan ainoastaan Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisteriä.

Lisäselvitykseen oli liitetty Kuluttajaviraston YTV:lle antama lausunto 19.3.2003 YTV:n matkakorttijärjestelmän kuluttajansuojasta. Lausunnossaan Kuluttajavirasto katsoi, että asiakkaan oikeudet on turvattava matkakorttijärjestelmässä asianmukaisella ja riittävällä tavalla. Vaatimus järjestelmän toimivuudesta korostuu sen vuoksi, että matkakorttiin voi sisältyä kuluttajan kannalta merkittäviä taloudellisia arvoja, kun korttiin voidaan ladata matkustuskautta tai arvoa jopa yli 2000 euron arvosta.

Kuluttajavirasto totesi, että järjestelmävastuun perusteella tietojärjestelmän ylläpitäjällä on kuluttajaan nähden vastuu järjestelmän toimivuudesta ja sen toimintahäiriöiden aiheuttamista vahingoista. Keinot ja tekniset järjestelyt, joilla järjestelmän toimivuus taataan, ovat lähtökohtaisesti järjestelmän ylläpitäjän valittavissa. Ylläpitäjän on kuitenkin kuluttajansuojaa koskevien vaatimusten lisäksi otettava huomioon myös henkilötietolain ja tietosuojan asettamat vaatimukset.

Kuluttajavirasto totesi edelleen, että se, voidaanko henkilötunnusta käsitellä matkakorttijärjestelmässä, määräytyy ensisijaisesti henkilötietolain säännösten nojalla eikä Kuluttajavirasto voi siten tähän seikkaan ottaa nimenomaista kantaa kuluttajansuojalain nojalla. Kuluttajavirasto piti kuitenkin tärkeänä, että matkakorttijärjestelmän kuluttajansuoja voidaan taata siitä riippumatta, mitä tunnistetta järjestelmässä käytetään.

Tietosuojavaltuutetun kuuleminen ja tietosuojavaltuutetun lisäselvitys 30.4.2003

Tietosuojalautakunta varasi tietosuojavaltuutetulle tilaisuuden antaa selityksensä YTV:n antamasta lisäselvityksestä. Samalla pyydettiin lisäselvitystä siitä, koskiko tietosuojavaltuutetun hakemus 7.2.2003 koko matkakorttijärjestelmää vai ainoastaan matkakorttijärjestelmään kuuluvaa asiakasrekisteriä.

Lisäselvityksessään ja selityksessään 30.4.2003 tietosuojavaltuutettu ilmoitti, että kieltohakemus koskee YTV:n matkakorttijärjestelmän asiakasrekisteriä, koska YTV on nyttemmin muuttanut matkakorttijärjestelmäänsä siten, ettei se ilmoituksensa mukaisesti käsittele henkilötunnusta muussa tarkoituksessa.
Tietosuojavaltuutettu uudisti henkilötunnuksen käsittelyä koskevilta osiltaan 7.2.2003 päivätyssä hakemuksessa esittämänsä.

YTV:n lisäselvitys 23.5.2003
Koska tietosuojavaltuutettu oli uudistanut kieltohakemuksensa henkilötunnuksen käsittelyä koskevilta osilta YTV lähetti tietosuojalautakunnalle vielä uuden 23.5.2003 päivätyn lisäselvityksen, jossa perusteltiin henkilötunnuksen käsittelyn tarvetta matkakorttijärjestelmässä.

Tietosuojavaltuutetun ilmoitus 26.5.2003
Tietosuojavaltuutettu ilmoitti 26.5.2003, ettei YTV:n lisäselvitys 23.5.2003 sisältänyt mitään sellaista, josta hän haluaisi lausua.

YTV:n suullinen kuuleminen
Tietosuojalautakunta on kuullut YTV:tä suullisesti kokouksessaan 13.8.2003, jolloin YTV on mm. antanut tietosuojalautakunnalle uuden 13.8.2003 päivätyn Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterin rekisteriselosteen.

YTV:n lisäselvitys 25.8.2003
YTV on toimittanut tietosuojalautakunnalle 25.8.2003 päivätyn selvityksen henkilötunnuksen poiston vaikutuksista matkakorttijärjestelmässä.

YHTEENVETO HAKEMUKSISTA

YTV:n hakemus dnro 3/932/2003

YTV pyytä lupaa henkilötietojen käsittelyyn Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterissä

Matkakortti

Matkakortti käy maksuvälineenä kaikissa joukkoliikennevälineissä Helsingissä, Vantaalla, Espoossa ja Kauniaisissa. Matkakortti on etäluettava älykortti, johon voidaan ladata matkustusoikeutta. Vaihtoehtoina on hankkia matkustusoikeus tietylle ajalle (esim. kuukaudeksi) tai ostaa arvoa (rahaa) kortille.

Matkakortteja on kahdenlaisia: henkilökohtaisia ja haltijakohtaisia. Henkilökohtaisen kortin voivat hankkia kaikki Helsingissä, Espoossa, Kauniaisissa tai Vantaalla asuvat sekä muut säännöllisesti pääkaupunkiseudulla joukkoliikennettä käyttävät. Haltijakohtaisen matkakortin voi ostaa kuka tahansa asuinpaikasta riippumatta. Haltijakohtaista korttia voi käyttää jokainen samaan käyttäjäryhmään kuuluva henkilö, jonka hallussa kortti on.

Henkilökohtaisella matkakortilla matkustaminen on voimakkaasti Helsingin, Espoon, Vantaan ja Kauniaisten kaupunkien subventoimaa toimintaa. Subvention suuruus vaihtelee ko. kaupunkien sisällä keskimääräisen subvention ollessa yli 25 % matkakortin todellisesta hinnasta. Tuotteiden osto-oikeus henkilökohtaiselle matkakortille on kuntalaisuuteen sidottu aivan samoin kuin matkakortin luovutuskin.

Matkakorttiasiakkaiden asiakasrekisteri

Matkakorttiasiakkaiden asiakasrekisterin tietoja käytetään asiakassuhteen hoitamiseen ja palvelun toteutukseen. Asiakkaan yksilöintitietoja käytetään henkilökohtaisen matkakortin osto-oikeuden tarkistamiseksi ja asiakkaan henkilökohtaisen asioinnin oikeellisuuden varmistamiseksi. Asiakasrekisterin tietoihin ei sisälly minkäänlaista matkustustietoa, joka sisältää paikkatietoa. Rekisteriin talletetaan vain tehtävien hoitamiseksi tarpeelliset tiedot. Tiedot saadaan matkakorttia myönnettäessä, tuottamisessa ja annettaessa korttia asiakkaalle (luovutettaessa). Uudelle asiakkaalle ilmoitetaan matkakorttia luovutettaessa, että hänen antamansa tiedot tallennetaan matkakorttijärjestelmän asiakasrekisteriin.

Matkakorttiasiakkaiden asiakasrekisteri sisältää seuraavat sähköisen matkakortin käyttäjiä (asiakkaita) koskevat tiedot:

Asiakastiedot

- henkilötunnus
- Y-tunnus
- etunimet ja sukunimi
- lähiosoite
- postiosoite
- puhelinnumero
- osoitteen tilapäisyys
- suostumus joukkoliikennemarkkinointiin
- kielikoodi
- asiakasryhmä
- asiakasryhmän päättymisajankohta
- asiakkaan kotikunta.

Asiakasrekisteriin merkitään lisäksi

Kortin perustiedot

- matkakortin numero
- arvon ja kauden lataustiedot
- mahdollinen suoraveloitustieto (ei ole vielä toteutettu)

Kortin toteutumatiedot

- rahatapahtumatieto
- kortin luovutushetki
- kortin lataukset
- arvokortilla tehdyt arvoveloitukset: päivämäärä, kellonaika, lippulaji, veloitettu
summa ja historiatietona kortin saldo ennen käyttöä ja käytön jälkeen
- viimeinen käyttötapahtuma: viimeisen käyttötapahtuman päivämäärä, kellonaika ja tapahtuman sisältävät historiatiedot eli kortin viimeisen ja viimeistä edeltävän latauksen tiedot
- käyttöyritykset: sulkulistalla olevat käytöt (onko kyseistä korttia yritetty käyttää) tai että kortilla ei ole voimassa olevaa kautta tai arvoa jolla voi ostaa arvolipun.

Sulkutiedot

- sulkutieto koskien yksittäisiä kortteja ja korttisarjoja sekä testikäytössä olevat korttisarjat
- Tiedot: korttinumero, asetuspäivämäärä, asettajan tunnus ja sulkutaso

Löytökori

- kortin numero, löytöpäivämäärä ja mistä noudettavissa

Henkilökohtaisen matkakortin hakeneen henkilötunnus talletetaan aina rekisteriin.
Myös haltijakohtaisten matkakorttien omistajien henkilötiedot voidaan pyynnöstä viedä rekisteriin kortin oston yhteydessä matkakortin palvelupisteissä.

Henkilökohtaisen matkakortin haltija voi korttinsa kadottaessaan ilmoittaa kortin sulkulistalle henkilötunnuksen perusteella. Haltijakohtaisen matkakortin voi ilmoittaa sulkulistalle ja saada kortilla jäljellä olevan kauden tai arvon siirrettyä uudelle kortille vain, jos sen omistajan henkilötunnus on talletettu rekisteriin kortin hankinnan yhteydessä.

Hakemuksen perustelut

YTV:n lakisääteinen tehtävä on mm. seutuliikenteen hoitaminen. Pääkaupunkiseudun kunnat ovat Pääkaupunkiseudun yhteistyövaltuuskunnasta annetun lain (1269/1996, jälj. YTV-laki) 3 §:n 1 momentin perusteella antaneet taksa- ja lippujärjestelmän hoitamisen YTV:n tehtäväksi. Asiasta on sovittu YTV:n ja pääkaupunkiseudun kuntien välisessä joukkoliikenteen yhteistyösopimuksessa.

Taksa- ja lippujärjestelmän hoitamisella YTV toteuttaa YTV-laissa määritellyt YTV:n velvollisuudet, joita ovat

- järjestää seudullinen joukkoliikenne ja hankkia seudulliset
liikennepalvelut sekä hoitaa muutoinkin joukkoliikennettä koskeva
jäsenkuntien yhteistyö (2 §)

- laatia pääkaupunkiseudun liikennejärjestelmää ja joukkoliikennettä
koskevia suunnitelmia ja edistää niiden täytäntöönpanoa (2 §)

- hyväksyä pääkaupunkiseudulla noudatettava joukkoliikenteen taksa- ja
lippujärjestelmä ja seudullisen liikenteen taksat (2 §)

- kulujen jakaminen jäsenkuntien kesken perimällä kuntaosuuksia
liikennepalveluiden käytön mukaisesti (7-8 §).

YTV katsoo, että sillä tulee olla oikeus kerätä asiakkaista sellaisia tietoja, joiden avulla voidaan huolehtia asiakkaiden oikeusturvan toteutumisesta. Asiakkaisiin yhdistettävät käyttöyritykset ja viimeiset käyttötiedot ovat välttämättömiä asiakkaan reklamoidessa kortin toimimattomuuden johdosta. Asiakas voi tällöin osoittaa, että korttia on veloitettu vaikka järjestelmässä ei olisi sitä osoittavaa merkintää. Myös YTV:n oikeusturva kärsisi, ellei YTV voisi osoittaa, että virhetilanne on voinut johtua asiakkaan puolella olevasta käyttövirheestä. Tämä puolestaan voisi johtaa siihen, että YTV olisi ankarassa vastuussa järjestelmän virheistä asiakasta kohtaan kuluttajansuojalainsäädännön perusteella.

Perustelut henkilötunnuksen käytölle asiakasrekisterissä

YTV perustelee henkilötunnuksen käyttöä asiakasrekisterissä asiakkaan luotettavalla tunnistamisella yksilöidysti rekisteristä hänen ja YTV:n oikeuksien ja velvollisuuksien varmistamiseksi. YTV pitää henkilötunnusta ainoana luotettavana tapana yksilöidä henkilö seuraavissa tilanteissa:

- henkilökohtaisen matkakortin luovutuksessa

Henkilökohtaisen matkakortin luovutus edellyttää, että asiakas asuu YTV kunnassa tai käyttää säännöllisesti joukkoliikennettä pääkaupunkiseudulla. Kuntalaisuus tarkistetaan kunnan asukasrekisteristä tai väestörekisteristä. Yksilöivänä tietona on henkilötunnus.

- kuntalaisuuden tarkistuksissa henkilökohtaisen matkakortin voimassaoloaikana

Joukkoliikenteen lipputulojen ja liikenteen hoidon menojen kohdistaminen eri kunnille perustuu matkustajien kuntalaisuuden toteamiseen luotettavasti.

Henkilökohtaista matkakorttia käyttävän asiakkaan on ilmoitettava kotikuntansa vaihtumisesta, mikäli se matkakortin voimassa ollessa muuttuu. Kortin tekninen voimassaoloaika on vähintään neljä vuotta kortin luovutuksesta.
Väärinkäytöstilanteiden ehkäisemiseksi YTV:llä täytyy olla mahdollisuus asiakassuhteen kestäessä tarkistaa asiakkaan kuntalaisuus. Mm. opiskelijakortin lisäalennus vaihtelee 25-50 %:n välillä matkakorttialueen kunnasta riippuen ja muu Suomi on täysin subventoidun matkakortin osto-oikeuden ja sille ladattavien subventoitujen tuotteiden ulkopuolella. Väärinkäytösten ennalta ehkäisevän vaikutuksen ja väärinkäytöstilanteiden selvittämisen kannalta on välttämätöntä, että YTV:llä on oikeus käsitellä henkilötunnusta.
YTV:n aloittaa vuoden 2003 aikana säännölliset otosmuotoiset massatarkistukset, joissa asiakkaan kuntalaisuus tarkistetaan väestörekistereistä. Aikuisten osalta tarkistuksia tullaan tekemään 1-3 vuoden välein ja erityisryhmien osalta useamminkin. YTV katsoo, että kuntalaisuutta ei voida tarkastaa matkakortin voimassaoloaikana, ellei henkilötunnus ole tallennettu matkakorttijärjestelmän asiakasrekisteriin.
YTV toteaa lisäksi, että sen velvoite on henkilötietolain 9 §:n mukaan pitää asiakasrekisterin tiedot ajan tasalla, jotta asiakasta kohdellaan käsittelyn tarkoituksen kannalta tarpeellisten ja virheettömien tietojen perusteella.

- kadonneen matkakortin asettamisessa sulkulistalle ja löytyneen kortin omistajan tunnistamisessa

Kortin kadotessa kortti on pystyttävä nopeasti asettamaan sulkulistalle, jotta kadonneen kortin luvaton käyttö voidaan estää. Asiakkaalla on oikeus puhelimitse ilmoittaa korttinsa kadonneeksi, jolloin henkilötunnuksen perusteella tapahtuva asiakkaan yksiselitteinen yksilöiminen on ainoa vaihtoehto. Ellei korttia löydy löytökorista asetetaan se sulkulistalle.

- matkakortin arvon ja/tai kauden hyvittämisessä

Hyvityksen maksamisessa menetellään eri tavoin riippuen hyvitysperusteesta (muutto, työkyvyttömyys, vapaalipun tai virkamieslipun saanti, sairaalahoito, kuolemantapaus ja virhetilanteiden selvitykset). Kaikissa tapauksissa henkilöllisyys on todistettava.

Hyvitys kadonneesta henkilökohtaisesta matkakortista edellyttää henkilökohtaista asioimista palvelupisteessä

- asiakkaan kortin lataus- ja arvon käyttötapahtumien tarkistamisessa

- kortin sulkemisessa asiakassuhteen tai työsuhteen perusteella

YTV katsoo, että henkilötunnuksen tarpeellisuus koskee erityisesti em. tapauksia, mutta myös muita vastaavantyyppisiä tilanteita, joissa toimenpiteet on voitava aukottomasti kohdentaa tiettyyn korttiin tai asiakkaaseen.

Henkilön tunnistaminen tapahtuu pääsääntöisesti kunnan palvelupisteessä, jossa virkailija voi henkilön tunnistamisen (esim. henkilötodistus) jälkeen hakea tietokannasta kyseiseen henkilöön liittyvät matkakortit ja tarvittavat tiedot. Henkilötunnus yksilöi kortin eli henkilötunnuksen avulla päästään käsiksi asiakkaan korttiin ja kortin tietoihin.

YTV toteaa, että sopimusoikeudellinen lojaliteettivelvoite edellyttää YTV:tä turvaamaan ja ottamaan huomioon asiakkaan edut sopimussuhteessa. Tämän lisäksi YTV:llä on tietojenkäsittelijän järjestelmävastuun perusteella selkeä velvoite tietojärjestelmänsä asianmukaisesta ja virheettömästä toiminnasta. Näiden velvoitteiden asianmukainen täyttäminen edellyttää toimivaa ja tehokasta tietojärjestelmää. YTV:n on pystyttävä nopeasti ja varmasti reagoimaan ongelmatilanteisiin, jotta kuluttajien oikeusturva voidaan aukottomasti turvata. Esimerkiksi kortin kadotessa kortti on pystyttävä nopeasti asettamaan sulkulistalle, jotta kadonneen kortin luvaton käyttö voidaan estää. Matkakorttiin voidaan ladata jopa yli 2000 euron arvosta aikaa tai arvoa. YTV katsoo, että ainoastaan henkilötunnuksen avulla voidaan asian vaatimat toimenpiteet kohdentaa aukottomasti koskemaan tiettyä matkakorttia ja asiakasta.

Matkakorttijärjestelmän myynti vuoden 2003 alkukuukausina on ollut keskimäärin 17,4 milj. euroa/kk. Matkakortteja oli 6.8.2003 käytössä 616 000, joista henkilökohtaisia oli 503 000 ja haltijakohtaisia 113 000. Päivittäin matkakorttia käyttää noin 300 000 asiakasta. Kauden ja arvon latauksia tehdään 400 000 kappaletta kuukaudessa ja sulkulistalle tulee noin 1000 korttia. Vioittuneita matkakortteja on ollut yli 3000 kappaletta. Matkakortin arvon ja/tai kauden hyvittämistilanteita on ollut n. 500 kappaletta kuukaudessa.

YTV katsoo, että kyse on merkittävästä määrästä konkreettisia tapauksia, joissa on ehdottoman tärkeää, että asiakas voidaan aukottomasti tunnistaa. YTV pitää ainoana aukottomana tunnistamiskeinona henkilötunnusta, joka on talletettu asiakasrekisteriin ja jota verrataan asiakkaan ilmoittamaan henkilötunnukseen. Nimi ei vielä riitä, eikä myöskään osoite saati sitten matkakortin numero.

YTV katsoo, että sillä on erittäin painavat syyt henkilötunnuksen käsittelyyn matkakorttijärjestelmän asiakasrekisterissä, ottaen vielä huomioon YTV:n asema liikennepalveluja tuottavana yhteisönä ja rekisterinpitäjänä sekä matkakorttijärjestelmän laajuus, joka edellyttää rekisterin hallittavuuden ja luotettavuuden varmistamista mahdollisimman perusteellisesti. Lisäksi YTV katsoo, että henkilötunnuksen käsittely on perusteltua ottaen huomioon YTV:n toimiala ja laissa sille määritellyt tehtävät.

Tietosuojavaltuutetun hakemus dnro 1/932/2003

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta kieltäisi sopivaksi katsomansa uhkasakon nojalla YTV:tä keräämästä ja tallettamasta matkakortin hakeneiden henkilötunnuksia Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisteriin.

Tietosuojavaltuutettu toteaa, että henkilötietolain 13 §:n mukaan henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Tietosuojavaltuutettu katsoo, että YTV voi käyttää henkilötunnusta matkakorttia myönnettäessä myöntämistä varten tekemissään toimenpiteissä kuten kuntalaisuuden tarkistamisessa. Sen sijaan tietosuojavaltuutettu katsoo, ettei YTV:llä ole oikeutta tallettaa henkilötunnusta asiakasrekisteriinsä. Oikeutta tallettaa ei ole, koska tallettamiseen ei ole suostumusta eivätkä joukkoliikenteen tarkastusmaksusta annettu laki (469/2979) tai Pääkaupunkiseudun yhteistyövaltuuskunnasta annettu laki oikeuta tallettamista. Myöskään muut henkilötietolain 13 §:n mukaiset edellytykset henkilötunnuksen käsittelylle eivät tietosuojavaltuutetun mielestä täyty ainakaan YTV:n henkilötunnuksen käsittelylle käyttämien perustelujen nojalla.

Tietosuojavaltuutettu toteaa, että henkilötunnuksen käsittelyn perusedellytyksenä henkilötietolain 13 §:n 1 momentissa mainituissa tapauksissa on, että rekisteröidyn yksiselitteinen yksilöiminen on tärkeää säännöksessä mainitun tehtävän suorittamiseksi. Pelkkä laissa säädetyn tehtävän helpompi tai nopeampi suorittaminen henkilötunnuksen avulla ei oikeuta henkilötunnuksen käsittelyä, vaan käsittely on sallittua ainoastaan silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää tehtävästä suoriutumiseksi. Näin ollen perintätilanteissa YTV saisi tietosuojavaltuutetun mielestä käsitellä henkilötunnusta, mutta matkakortin hakeminen ei vielä tarkoita perintätilanteen käsillä oloa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Tietosuojalautakunta on käsitellyt YTV:n ja tietosuojavaltuutetun hakemukset yhdessä.

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan henkilötietolain 3 §:n 4 kohdassa yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty.

Pääkaupunkiseudun yhteistyövaltuuskunnasta annetun lain 2 §:n 2 kohdan mukaan YTV:n lakisääteinen tehtävä on järjestää seudullinen joukkoliikenne ja hankkia seudulliset liikennepalvelut sekä hoitaa muutoinkin joukkoliikennettä koskeva jäsenkuntien yhteistyö. Pykälän 4 kohdan mukaan YTV:n tehtävänä on hyväksyä pääkaupunkiseudulla noudatettava joukkoliikenteen taksa- ja lippujärjestelmä ja seudullisen liikenteen taksat. Lain 3 §:n 1 momentin mukaan jäsenkunnat voivat yhdessä antaa YTV:n hoidettavaksi muunkin, 2 §:ssä mainittuihin rinnastettavan tehtävän. Pääkaupunkiseudun kunnat ovat 3 §:n 1 momentin perusteella antaneet taksa- ja lippujärjestelmän hoitamisen YTV:n tehtäväksi. Asiasta on sovittu YTV:n ja pääkaupunkiseudun kuntien välisessä joukkoliikenteen yhteistyösopimuksessa.

Tietosuojalautakunta katsoo, edellä mainitut YTV:lle Pääkaupunkiseudun yhteistyövaltuuskunnasta annetussa laissa säädetyt tehtävät huomioon ottaen ja koska Pääkaupunkiseudun kunnat ovat mainitun lain 3 §:n 1 momentin perusteella antaneet taksa- ja lippujärjestelmän hoitamisen YTV:n tehtäväksi, että YTV:tä on pidettävä Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterin rekisterinpitäjänä.

Sovellettavat säännökset

Henkilötietolain 1 §:n mukaan henkilötietoja käsiteltäessä on noudatettava, mitä henkilötietolaissa säädetään, jollei muualla laissa toisin säädetä. Henkilötietojen käsittelyllä tarkoitetaan lain 3 §:n 2 kohdassa kaikkia henkilötietoihin kohdistuvia toimenpiteitä, mm. henkilötietojen keräämistä, tallettamista, yhdistämistä, luovuttamista ja säilyttämistä.

Henkilötiedolla tarkoitetaan henkilötietolain 3 §:n 1 kohdassa kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskevaksi.

Henkilötietojen käsittelyn yleisistä edellytyksistä säädetään henkilötietolain 8 §:ssä. Pykälän 1 momentin 4 kohdan mukaan henkilötietoja saa käsitellä mm., jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta. Momentin 5 kohdan mukaan henkilötietoja saa käsitellä, jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus).

Henkilötietoja saa käsitellä henkilötietolain 8 §:n 1 momentin 9 kohdan nojalla, jos tietosuojalautakunta on antanut käsittelyyn henkilötietolain 43 §:n 1 momentissa tarkoitetun luvan. Lupa voidaan myöntää mm., jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Lain 9 §:n 1 momentin mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia.

Rekisterinpitäjän on henkilötietolain 9 §:n 2 momentin mukaan huolehdittava siitä, etteivät tiedot ole virheellisiä, epätäydellisiä tai vanhentuneita. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 13 §:n mukaan henkilötunnusta saa käsitellä mm. rekisteröidyn yksiselitteisesti antamalla suostumuksella. Henkilötunnusta saa käsitellä myös mm., jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää laissa säädetyn tehtävän suorittamiseksi tai rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi.

Tietosuojalautakunta voi henkilötietolain 44 §:n 1 momentin 1 kohdan nojalla tietosuojavaltuutetun hakemuksesta kieltää henkilötietolain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn. Lautakunta voi henkilötietolain 46 §:n nojalla asettaa 44 §:n nojalla tekemänsä päätöksen tehosteeksi uhkasakon siten kuin uhkasakkolaissa (1113/1990) säädetään.

Päätös

Tietosuojalautakunta hylkää hakemukset.

YTV:n hakemus hylätään tarpeettomana. Tietosuojavaltuutetun hakemus hylätään, koska henkilötunnuksen käsittely Pääkaupunkiseudun matkakorttiasiakkaiden asiakasrekisterissä ei ole henkilötietolain tai sen nojalla annettujen säännösten ja määräysten vastaista.

Perustelut

Pääkaupunkiseudun yhteistyövaltuuskunnasta annetun lain mukaan YTV:n tehtävänä on järjestää seudullinen joukkoliikenne ja hankkia seudulliset liikennepalvelut sekä hoitaa muutoinkin joukkoliikennettä koskeva jäsenkuntien yhteistyö. Pääkaupunkiseudun kunnat ovat YTV-lain perusteella antaneet taksa- ja lippujärjestelmän hoitamisen YTV:n tehtäväksi. Asiasta on sovittu YTV:n ja pääkaupunkiseudun kuntien välisessä joukkoliikenteen yhteistyösopimuksessa.

YTV:n jäsenkunnat maksavat joukkoliikenteen hoitamisesta aiheutuvat kulut, siltä osin kuin perittävät maksut ja muut tuotot eivät riitä kattamaan kuluja, palvelujen käytön mukaan. Joukkoliikenteen lipputulojen ja liikenteen hoidon menojen kohdistaminen eri kunnille perustuu matkustajien kuntalaisuuden toteamiseen.

Matkakorttiasiakkaiden asiakasrekisterin tietoja käytetään asiakassuhteen hoitamiseen ja palvelun toteutukseen. Asiakkaan yksilöintitietoja käytetään henkilökohtaisen matkakortin osto-oikeuden tarkistamiseksi ja asiakkaan henkilökohtaisen asioinnin oikeellisuuden varmistamiseksi.

Tietosuojalautakunta katsoo, että henkilötietojen käsittely matkakorttiasiakkaiden asiakasrekisterissä johtuu YTV:lle laissa säädetystä tehtävästä hoitaa joukkoliikennettä koskeva jäsenkuntien yhteistyö ja YTV:lle lain perusteella annetusta tehtävästä hoitaa taksa- ja lippujärjestelmä. Matkakorttiasiakkaiden henkilötietojen käsittelyssä täyttyy myös henkilötietolain 8 §:n 1 momentissa tarkoitettu yhteysvaatimus.

Haltijakohtaisen matkakortin hankkineen henkilötunnus talletetaan matkakorttiasiakkaiden asiakasrekisteriin asiakkaan pyynnöstä. Tämän vuoksi YTV:llä on haltijakohtaisen matkakortin hankkineen asiakkaan henkilötietolain 13 §:n 1 momentissa tarkoitettu yksiselitteinen suostumus henkilötunnuksen tallettamiseen.

YTV:n hakemuksen mukaan uudelle asiakkaalle ilmoitetaan matkakorttia luovutettaessa, että hänen antamansa tiedot tallennetaan matkakorttijärjestelmän asiakasrekisteriin. Tietosuojalautakunta katsoo, että pelkkä ilmoitus tietojen tallettamisesta ei ole henkilötietolain 13 §:n 1 momentissa tarkoitettu rekisteröidyn yksiselitteisesti antama suostumus henkilötunnuksen tallettamiseen. Tämän vuoksi YTV:llä ei ole ilmoituksen perusteella oikeutta tallettaa henkilökohtaisen matkakortin hankkineen henkilötunnusta asiakasrekisteriin. Henkilötunnuksen käsittely voi kuitenkin olla sallittua, jos henkilökohtaisen matkakortin hankkineen asiakkaan yksiselitteinen yksilöiminen on tärkeää YTV:lle laissa säädetyn tehtävän suorittamiseksi tai hänen tai YTV:n oikeuksien ja velvollisuuksien toteuttamiseksi.
Tietosuojalautakunta katsoo, että henkilökohtaisen matkakortin hankkineen asiakkaan yksiselitteinen yksilöiminen on tärkeää YTV:lle laissa säädetyn tehtävän suorittamiseksi eli asiakkaan kuntalaisuuden tarkistamiseksi kortin voimassaoloaikana. Tietosuojalautakunta katsoo, että rekisteröidyn yksiselitteinen yksilöiminen on tärkeää myös matkakorttiasiakkaan ja YTV:n oikeuksien ja velvollisuuksien toteuttamiseksi kadonneen matkakortin asettamisessa sulkulistalle, löytyneen kortin omistajan tunnistamisessa ja matkakortin arvon ja/tai kauden hyvittämisessä. Näistä syistä YTV:llä on oikeus tallettaa henkilökohtaisen matkakortin hankkineen henkilötunnus matkakorttiasiakkaiden asiakasrekisteriin.

Edellä mainitut YTV:lle YTV-laissa säädetyt tehtävät, YTV:n ja pääkaupunkiseudun kuntien välinen sopimus taksa-ja lippujärjestelmän hoitamisesta sekä matkakorttiasiakkaiden asiakasrekisterin käyttötarkoitus huomioon ottaen tietosuojalautakunta katsoo myös, että matkakorttiasiakkaiden henkilötietojen käsittely on asiallisesti perusteltua YTV:n toiminnan kannalta ja että käsiteltävät henkilötiedot ovat tietojen käyttötarkoituksen kannalta tarpeellisia.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 3 § 1 kohta
Henkilötietolaki 3 § 2 kohta
Henkilötietolaki 3 § 4 kohta
Henkilötietolaki 3 § 7 kohta
Henkilötietolaki 6 §
Henkilötietolaki 8 § 1 mom 4 kohta
Henkilötietolaki 8 § 1 mom 5 kohta
Henkilötietolaki 13 § 1 mom 1 kohta
Henkilötietolaki 13 § 1 mom 2 kohta

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.