1.2.2022

Tietojen minimointi pysäköintiautomaatin vikatilanteessa

Asia

Tietojen minimointi

Rekisterinpitäjä

Tietosuojavaltuutetun toimistossa on 18.3.2019 saatettu vireille asia, jossa on asiallisesti kysymys tietojen minimoinnista. Vireillesaattamisasiakirjassa on todettu X Oy:n olevan merkittävä pysäköintipalvelujen tarjoaja Helsingissä. Yhtiön on edelleen kerrottu käyttävän osassa pysäköintikohteita Y-nimistä palvelua, jossa ajoneuvon tunnistus perustuu rekisterikilven kuvaamiseen sisään- ja ulosajon yhteydessä. Pysäköintimaksu on mahdollista suorittaa muun muassa maksuautomaatilla. Vireillesaattamiasiakirjassa on esitetty, että saadakseen maksuautomaatilla tehdystä maksutapahtumasta kuitin, on henkilön annettava matkapuhelinnumeronsa, minkä jälkeen kuitti toimitetaan asiakkaalle tekstiviestitse. Matkapuhelinnumeroa ei kuitenkaan vireillesaattajan mukaan ole mainittu X Oy:n rekisteriselosteessa käsiteltävänä henkilötietona. Matkapuhelinnumeroa ei vireillesaattajan kertoman mukaan ole mainittu myöskään itse maksuautomaatissa. Vireillesaattamisasiakirjassa on esitetty, että maksuautomaatilta ei ole mahdollista saada paperista kuittia.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjältä on pyydetty selvitystä tietosuojavaltuutetun toimiston toimesta. Rekisterinpitäjä on antanut selvityksensä 13.5.2020 ja 9.3.2021.

Rekisterinpitäjältä on pyydetty selvitystä siitä, miksi sen verkkosivuilta löydettävissä olevasta yhtiön asiakasrekisterin rekisteriselosteesta ei käy ilmi, että X Oy käsittelee puhelinnumerotietoja eikä se, millä perusteella näitä tietoja käsitellään. Annetussa selvityksessä on todettu, että X Oy toimii lyhytpysäköintiin liittyvässä asiakkaiden henkilötietojen käsittelyssä yleisen tietosuoja-asetuksen 26 artiklan mukaisena yhteisrekisterinpitäjänä Z-nimisen yhtiön kanssa. Annetussa selvityksessä on edelleen todettu, että tehdessään automaatilla maksutoimeksiannon, asiakas voi samalla rekisteröityä edellä mainitun yhtiön asiakkaaksi. Maksutoimeksiannon yhteydessä asiakkaalle tarjotaan kaksi vaihtoehtoista tapaa saada kuitti suoritetusta maksusta. Asiakas voi valita joko paperi- tai tekstiviestikuitin. Puhelinnumerotietoa pyydetään vain silloin, kun asiakas haluaa jälkimmäisen vaihtoehdon, eli tekstiviestikuitin. Annetussa selvityksessä on ilmoitettu, että matkapuhelinnumerotietoa ei käsitellä mihinkään muuhun tarkoitukseen kuin tekstiviestikuitin lähettämiseen asiakkaalle. Puhelinnumerotietoa ei rekisterinpitäjän ilmoittaman mukaan tallenneta rekisteriin pidemmäksi aikaa kuin käsittelyn vuoksi on tarpeellista. Puhelinnumerotieto hävitetään, kun käsittelyperuste on päättynyt. Puhelinnumerotiedon on kerrottu säilyvän lokeissa ja viestien lähetyspalvelussa 90 päivän ajan. Edelleen on todettu, että X Oy:n verkkosivuilta löydettävissä ollut rekisteriseloste oli ollut päivittämättä, mutta selostetta on sittemmin päivitetty.

Vireillesaattajan vastine

Vireillesaattajalle on toimitettu rekisterinpitäjän antama selvitys, jonka jälkeen 23.1.2021 vireillesaattaja on ollut yhteydessä tietosuojavaltuutetun toimistoon. Vireillesaattaja on muun ohella esittänyt, että pysäköintialueella tai maksuautomaatilla ei ole mainintaa siitä, että kuitin saadakseen asiakkaan on annettava rekisterinpitäjälle tieto matkapuhelinnumerostaan. Vireillesaattaja on lisäksi viitannut kuluttajansuojalakiin ja esittänyt näkemyksenään, että palveluntarjoajan on oma-aloitteisesti, ilman asiakkaan nimenomaista pyyntöä tarjottava asiakkaalle kuittia.

Katselmus

Vireillesaattaja on kertonut, että rekisterinpitäjä ei ole tarjonnut asiakkailleen mahdollisuutta saada pysäköintiautomaatilla suoritetusta pysäköintimaksusta paperikuittia. Asiassa annetussa selvityksessä puolestaan on esitetty, että asiakkaalla on halutessaan mahdollisuus saada myös paperikuitti. Kuittivaihtoehtojen saatavuuteen liittyvistä eriävistä kertomuksista johtuen asiassa on 23.6.2021 järjestetty katselmus. Hallintolain (434/2003) 38 §:n mukaan viranomainen voi toimittaa katselmuksen, jos se on tarpeen asian selvittämiseksi.

Katselmuksessa on tutustuttu yhden X Oy:n pysäköintiautomaatin toimintaan. Pysäköintiä maksettaessa pysäköintiautomaatin näytölle ilmestyy ”Maksa ja lähde” -painike. Maksuvaiheessa asiakkaalle tarjotaan mahdollisuutta automaattiveloituksen käyttöönottoon, mikä edellyttää Y-profiilin rekisteröimistä. Asiakkaalla on kuitenkin mahdollisuus kieltäytyä tästä valitsemalla näytöltä vaihtoehto ”Ei nyt.” Jos asiakas valitsee vaihtoehdon ”Ei nyt”, maksutapahtuma etenee vaiheeseen, jossa laite kehottaa asiakasta asettamaan maksukortin paikalleen ja noudattamaan maksupäätteen ohjeita. Ylempänä näytöllä lukee tällöin ”Maksat nyt ajoneuvon [rekisteritunnus] pysäköinnin.” Kun maksukorttia on veloitettu, automaatti ilmoittaa maksun suoritetuksi ja kysyy, haluaako asiakas kuitin. Asiakkaalle tarjotaan tällöin kosketusnäytöllä kolme vaihtoehtoa: ”Ei kiitos”, ”Kyllä, paperilla” ja ”Kyllä, tekstiviestillä.” Kun valitsee paperikuitin, kuitti tulostuu automaatin vasemmassa alanurkassa olevaan tilaan.

Jos kuitenkin esimerkiksi laitteen tulostimessa on tekninen vika, se poistaa edellä mainitun paperikuittivaihtoehdon kokonaan ja jättää asiakkaan valittavaksi ainoastaan tekstiviestikuitin. Rekisterinpitäjän edustajan mukaan tämäntyyppisissä tilanteissa asiakas saa kuitenkin aina jälkeenpäin paperikuitin pyytämällä sen rekisterinpitäjän asiakaspalvelusta. Tästä mahdollisuudesta ei kuitenkaan ole erikseen asiakkaita informoitu.

Rekisterinpitäjältä saatu lisäselvitys

Katselmuksen jälkeen rekisterinpitäjältä on pyydetty asiassa lisäselvitystä. Rekisterinpitäjä on antanut selvityksensä 11.8.2021.

Rekisterinpitäjältä on muun ohella pyydetty selvitystä siitä, miten se teknisen vian tilanteissa informoi asiakkaita mahdollisuudesta saada myös paperikuitti. Rekisterinpitäjältä on pyydetty selvitystä myös siitä, kuinka kauan se säilyttää tekstiviestikuitteja varten annettuja puhelinnumerotietoja. Rekisterinpitäjältä on lisäksi pyydetty lukumäärätietoja sellaisista teknisen vian tilanteista, joissa asiakkaan valittavana ei lainkaan ole ollut paperikuittia.

Annetussa lisäselvityksessä on todettu, että järjestelmän kehittäjää on pyydetty päivittämään käytössä olevaa järjestelmää siten, että jatkossa teknisen vian tilanteissa pysäköintiautomaatin näytöltä ilmenisi, että paperikuittia ei juuri sillä hetkellä ole mahdollista saada. Lisäksi jatkossa asiakkaille tarjotaan mahdollisuutta myös sähköpostikuittiin. Edelleen on todettu rekisterinpitäjän lähteneen siitä oletuksesta, että asiakas on yhteydessä rekisterinpitäjän asiakaspalveluun, mikäli hän ei ole paperikuittia saanut.

Annetussa lisäselvityksessä on todettu, että rekisterinpitäjä säilyttää puhelinnumerotiedot 90 päivän ajan. Tietoja ei käytetä muuhun tarkoitukseen kuin kuitin toimittamiseen. Annetussa lisäselvityksessä on niin ikään esitetty, että rekisterinpitäjä antaa vuosittain satoja tekstiviestikuitteja sellaisissa teknisen vian tilanteista, joissa asiakkaan valittavana ei lainkaan ole ollut paperikuittia. Pysäköintitapahtumia on kerrottu vuositasolla olevan miljoonia.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säännös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta.

Asiassa on arvioitava, onko rekisterinpitäjä tarjoamansa lyhytaikaispysäköinnin maksusuoritusten yhteydessä noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin periaatetta ja toteuttanut yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaiset riittävät organisatoriset tai tekniset toimenpiteet siten, että kuitin tarjoamisen yhteydessä oletusarvoisesti käsitellään vain tämän tarkoituksen kannalta tarpeellisia henkilötietoja.

Tietosuojavaltuutetun päätös

Rekisterinpitäjä ei ole sellaisissa pysäköintiautomaattiensa teknisen vian tilanteissa, joissa rekisteröidyn valittavaksi on jäänyt ainoastaan tekstiviestikuittimahdollisuus, noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin periaatetta eikä toteuttanut yleisen tietosuoja-asetuksen 25 artiklan mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa edellä tarkoitetut käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän on noudatettava tietojen minimoinnin periaatetta sekä sisäänrakennettua ja oletusarvoista tietosuojaa pysäköintiautomaattiensa yhteydessä suorittamassaan henkilötietojen käsittelyssä.

Kuitin tarjoaminen ja käsillä oleva asia

Aluksi on todettava, että tietosuojavaltuutetun toimivaltaan ei kuulu esimerkiksi kuitintarjoamisvelvollisuudesta käteiskaupassa annetun lain (658/2013) (jäljempänä myös ”kuittilaki”) soveltamisen valvominen. Edellä mainitun lain 5 §:n 1 momentin mukaan verohallinto ja poliisi valvovat kuittilain noudattamista. Todettakoon kuitenkin, että kuittilain 3 §:n 1 momentin 1 kohdan mukaan kuitintarjoamisvelvollisuudesta käteiskaupassa annettua lakia ei sovelleta automaatista tapahtuvaan myyntiin. Kuittilain 4 §:n 1 momentin mukaan kuitti voidaan tarjota myös sähköisesti.

Suoritetussa katselmuksessa on ilmennyt, että rekisterinpitäjä on tarjonnut lyhytaikaispysäköinnin yhteydessä asiakkailleen kaksi vaihtoehtoista tapaa saada kuitti suoritetusta maksutapahtumasta. Asiakkaan on ollut mahdollista saada joko tekstiviesti- tai paperikuitti.

Veloituksen yhteydessä automaatti ilmoittaa maksun suoritetuksi ja kysyy, haluaako asiakas kuitin. Asiakkaalle on tällöin tarjottu kosketusnäytöllä kolme vaihtoehtoa: ”Ei kiitos”, ”Kyllä, paperilla” ja ”Kyllä, tekstiviestillä.” Mikäli kysymys on kuitenkin ollut teknisen vian tilanteesta, automaatti ei ole lainkaan tarjonnut asiakkaalle edellä mainittua paperikuittivaihtoehtoa. Asiakkaan valittavaksi on tällöin jäänyt ainoastaan tekstiviestikuitti. Tällaisissa tilanteissa asiakkaan on kuitenkin ollut mahdollista saada paperikuitti olemalla yhteydessä X Oy:n asiakaspalveluun. Tästä mahdollisuudesta ei kuitenkaan ole erikseen asiakkaita informoitu.

Edellä esitettyyn viitaten voidaan todeta, että rekisterinpitäjä ei lähtökohtaisesti ole tarjonnut kuittia vain sellaisille asiakkaille, jotka ovat antaneet sille tiedon matkapuhelinnumerostaan. Käytännössä teknisen vian tilanteissa asiakkaille on kuitenkin rekisterinpitäjän toimesta tarjottu vain tekstiviestikuittia. Teknisen vian olemassaolo ei ole ollut asiakkaan havaittavissa, mistä johtuen asiakas on perustellusti voinut jäädä siihen käsitykseen, että tekstiviestikuitti on ollut ainoa mahdollinen kuittimuoto.

Tietojen minimoinnin periaate ja käsillä oleva asia

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa on säädetty tietojen minimoinnin periaatteesta. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Käsiteltävien henkilötietojen on edellä mainitusti oltava määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Todettakoon, että jo henkilötietolakia koskeneessa hallituksen esityksessä oli täsmennetty niin sanotun tarpeellisuusvaatimuksen sisältöä. Henkilötietoja voidaan pitää käsittelyn tarkoituksen kannalta tarpeellisina silloin, kun ne ovat asianmukaisia ja olennaisia, eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja mihin niitä myöhemmin käsitellään (HE 96/1998 vp, s.42). Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 39 on niin ikään todettu, että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Näin ollen voidaan todeta, että henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän on täten määritettävä etukäteen, mitkä käsittelyjärjestelmien ominaisuudet ja parametrit ja niitä tukevat toiminnot ovat sallittuja.

Euroopan tietosuojaneuvosto on antanut käytännön ohjeita minimoinnin periaatteesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta antamiensa ohjeiden yhteydessä. Näiden ohjeiden mukaan ensi alkuun olisi selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Henkilötietojen käsittelyä kehotetaan nimenomaisesti välttämään silloin, kun se vain on mahdollista. Lisäksi erikseen on korostettu, että käsiteltävien henkilötietojen on oltava oleellisia kysymyksessä olevan käsittelyn tarkoituksen kannalta. Kaikkien käsiteltävien henkilötietojen olisi niin ikään oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin. Käytännössä kussakin tilanteessa tulisi näin ollen kerätä mahdollisimman vähän henkilötietoja.

Kuten edeltä käy ilmi, X Oy:n pysäköintiautomaateista on ollut mahdollista saada sekä paperi- että tekstiviestikuitti. Asiassa ei näin ollen ole edes väitetty, että puhelinnumerotieto olisi välttämätön kuitin antamiseksi. Tästä huolimatta teknisen vian tilanteissa asiakkaille on perustellusti voinut jäädä sellainen käsitys, että tekstiviestikuitti on ainoa mahdollinen kuittimuoto.

Sisäänrakennettu ja oletusarvoinen tietosuoja sekä käsillä oleva asia

Yleisen tietosuoja-asetuksen 25 artiklassa on säädetty sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on puolestaan toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

Rekisterinpitäjän on siis sisällytettävä tietosuoja henkilötietojen käsittelyyn oletusarvoisesti. Säännöksen ytimenä on varmistaa asianmukainen ja tehokas tietosuoja, joka on sekä sisäänrakennettu että oletusarvoinen. Rekisterinpitäjän on siis voitava osoittaa, että henkilötietoja käsiteltäessä on käytössä asianmukaiset suojatoimet, joilla varmistetaan muun muassa tietosuojaperiaatteiden noudattaminen.

Oletusarvoinen tietosuoja pitää sisällään sen, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Rekisterinpitäjän ei siis tule oletusarvoisesti kerätä enempää tietoja kuin on välttämätöntä. Todettakoon, että tämä ei ole toteutunut rekisterinpitäjän pysäköintiautomaattien teknisen vian tilanteissa silloin, kun asiakas olisi halunnut maksusuorituksestaan tekstiviestikuitin sijasta paperikuitin. X Oy ei ole sellaisissa pysäköintiautomaattiensa teknisen vian tilanteissa, joissa rekisteröidyn valittavaksi on jäänyt ainoastaan tekstiviestikuittimahdollisuus, toteuttanut yleisen tietosuoja-asetuksen 25 artiklan mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Laura Varjokari, puh. 029 566 6771.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.