Tietosuojavaltuutetun toimisto antoi toukokuussa kuusi päätöstä, joista neljässä määrättiin ensimmäisistä yleisen tietosuoja-asetuksen (GDPR) mukaisista hallinnollisista seuraamusmaksuista Suomessa. Käsittelemme tässä blogissa tarkemmin näitä neljää päätöstä. Yhtä annettua päätöstä, jossa todettiin, että selainasetuksilla ei voi antaa pätevää suostumusta evästeille, käsitellään tarkemmin Folksin toisessa blogitekstissä, jonka voi lukea täältä. Annetuista päätöksistä voi valittaa hallinto-oikeuteen, joten ne eivät ole vielä lainvoimaisia.

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Ensimmäinen käsiteltävä päätös koski Postin käsittelemien henkilötietojen läpinäkyvyyttä ja rekisteröidylle toimitettavia tietoja. Käytännössä kysymys oli osoitteenmuutostiedoista, joiden luovuttaminen oli johtanut epätoivottuun markkinointiin.

Apulaistietosuojavaltuutettu antoi Postille GDPR:n mukaisen huomautuksen, koska sen muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ei ollut ollut läpinäkyvää GDPR:ssä säädetyn mukaisesti. Posti ei ollut toimittanut muuttoilmoitusten yhteydessä rekisteröidyille GDPR:ssä tarkoitettuja tietoja oikea-aikaisesti silloin, kun henkilötietoja oli saatu rekisteröidyiltä.

GDPR:ssä on säädetty henkilötietojen käsittelyn läpinäkyvyyttä koskevasta velvollisuudesta, josta tietosuojatyöryhmä on antanut käytännön ohjeita, joissa on todettu, että läpinäkyvyyttä koskeva velvollisuus käsittää kolme keskeistä osa-aluetta: 1) tietojen asianmukaista käsittelyä koskevan tiedon antaminen rekisteröidyille, 2) rekisterinpitäjien tapa tiedottaa rekisteröidyille näiden GDPR:ään perustuvista oikeuksista ja 3) rekisterinpitäjien keinot auttaa rekisteröityjä käyttämään oikeuksiaan.

Päätöksessä todettiin, että voidakseen käyttää tietojen luovutusta koskevaa kielto-oikeuttaan on rekisteröidyn tiedettävä tällaisen oikeuden olemassaolosta. Postin tietosuojaselosteessa ollutta mainintaa kielto-oikeudesta ei voitu pitää riittävänä. Tietosuojaselosteessa ”Turvallinen tietojen luovutus” -otsikon alla oli kerrottu Postin suorittamasta tietojen luovutuksesta. Tässä yhteydessä ei kuitenkaan ollut minkäänlaista mainintaa luovutuskiellon mahdollisuudesta, vaan siitä oli esitetty tietosuojaselosteessa suppea maininta irrallaan varsinaisesta tietojen luovutusta koskevasta osiosta. Luovutuskiellosta oli mainittu ainoastaan yhdellä sanalla, eikä sen sisältöä ollut selostettu. Edellä esitetyn ei katsottu noudattaneen läpinäkyvyyden periaatteeseen sisältyvää velvollisuutta helposti ymmärrettävästä muodosta.

Vaikka Postin edellä selostettu toiminta oli ollut tuottamuksellista, apulaistietosuojavaltuutettu katsoi, että huomautuksen lisäksi oli arvioitava hallinnollisen seuraamusmaksun määräämistä, sillä kysymyksessä olleet puutteet Postin suorittamassa henkilötietojen käsittelyssä olivat vaikuttaneet satojen tuhansien rekisteröityjen oikeuksiin. Asian kokonaisarvioinnissa annettiin merkitystä myös sille, että Posti oli menettelyllään asettanut muuttoilmoituksen tehneet rekisteröidyt eri asemaan sillä perusteella, oliko maksuun perustuvaa asiakassuhdetta syntynyt vai ei. Maksavien asiakkaiden henkilötietojen suojan toteutumisesta oli huolehdittu paremmin.

Seuraamusmaksu

Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määräsi Postin maksamaan valtiolle 100.000 euron suuruisen hallinnollisen seuraamusmaksun, jonka määräämiseen vaikutti rikkomuksen luonne, kesto, rekisteröityjen lukumäärää ja rikkomuksen tuottamuksellisuus. Kokonaisarvioinnissa otettiin huomioon se, että Posti oli ryhtynyt läpinäkyvyyttä merkittävästi parantaviin toimiin vasta viranomaisen otettua neljännen kerran yhteyttä Postiin varatakseen tälle tilaisuuden tulla kuulluksi asian käsittelyn mahdollisesti siirtyessä hallinnollisesta seuraamusmaksusta päättävälle seuraamuskollegiolle. Seuraamuskollegio katsoikin Postin olleen tietoinen siitä, että sen suorittama informointi ei ollut tavoittanut osaa rekisteröidyistä, mihin liittyen Posti oli ilmoittanut tutkivansa mahdollisuuksiaan parantaa informointinsa läpinäkyvyyttä jo syksyllä 2017.

Vaikutustenarviointi, rekisteröidyn informointi ja henkilötietojen käsittelyn dokumentointi

Seuraavassa päätöksessä oli kyse siitä, että Taksi Helsinki ei ollut rekisterinpitäjänä arvioinut sen henkilötietojen käsittelyyn liittyviä riskejä ja vaikutuksia ennen kuin se otti käyttöönsä ääntä ja kuvaa sen takseissa tallentavan turvakameravalvontajärjestelmän. Puutteita havaittiin myös Taksi Helsingin asiakkaiden informoinnissa ja henkilötietojen käsittelyn dokumentoinnissa.

Taksi Helsinki otti käyttöön uuden kuvaa ja ääntä nauhoittavan kameravalvontajärjestelmänsä kesällä 2019. Samassa yhteydessä yhtiö ei arvioinut siihen liittyvän henkilötietojen käsittelyn lainmukaisuutta. Apulaistietosuojavaltuutettu määräsikin Taksi Helsingin tekemään GDPR:n edellyttämän tasapainotestin, jossa arvioidaan muun muassa henkilötietojen käsittelyn tarpeellisuutta ja vaikutuksia rekisteröityjen eduille sekä oikeuksille.

Taksi Helsinki käsitteli osassa sen taksiautoista autoilijoiden ja heidän asiakkaiden henkilötietoja kuvaa sekä ääntä tallentavan turvakameravalvontajärjestelmän avulla. Apulaistietosuojavaltuutettu katsoi, ettei äänitietojen käsittely ollut GDPR:n tietojen minimoinnin periaatteen mukaista ja määräsi Taksi Helsingin varmistamaan, että äänitietojen käsittely taksien turvakameravalvonnan yhteydessä ilman asiallisia perusteita lopetetaan välittömästi.

Taksi Helsinki ei ollut informoinut rekisteröityjä heidän henkilötietojen käsittelystä lain edellyttämällä tavalla. Takseissa olevissa ilmoituksissa ei kerrottu äänen tallentamisesta eikä siitä, mistä rekisteröidyt olisivat voineet saada siitä tiedon. Lisäksi Taksi Helsinki ei kertonut tietosuojaselosteessaan sen kanta-asiakasohjelman yhteydessä suoritetusta automaattisesta päätöksenteosta ja profiloinnista. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin muuttamaan tiedottamiskäytäntöjään siten, että henkilötietojen käsittelystä kerrotaan ymmärrettävästi ja kyseisten tietojen tulee olla helposti saatavilla.

Taksi Helsinki ei ollut myöskään tehnyt GDPR:n edellyttämiä vaikutustenarviointeja ennen henkilötietojen käsittelyn aloittamista. Tietosuojaa koskeva vaikutustenarviointi olisi tullut tehdä kameravalvonnasta, sijaintitietojen käsittelystä sekä kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista, joista todennäköisesti katsottiin aiheutuvan korkea riski luonnollisen henkilön oikeuksille ja vapauksille. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin tekemään vaikutustenarvioinnin edellä mainituista henkilötietojen käsittelyistä.

Lisäksi apulaistietosuojavaltuutettu määräsi Taksi Helsingin määrittelemään kattavasti ne toimijat, jotka toimivat henkilötietojen käsittelijänä. Sen oli myös määriteltävä miltä osin se toimii yhteisrekisterinpitäjänä taksiautoilijayrittäjien kanssa.

Seuraamusmaksu

Seuraamuskollegio määräsi Taksi Helsingille 72.000 euron suuruisen hallinnollisen seuraamusmaksun. Sen määräämisessä otettiin huomioon muun muassa se, että Taksi Helsinki käsittelee henkilötietoja laajamittaisesti ja henkilötietojen käsittely koskee merkittävää määrää rekisteröityjä ja henkilötietotyyppejä. Asiassa huomioitiin myös raskauttavana seikkana se, että Taksi Helsingin katsottiin käsittelevän tavanomaisessa toiminnassaan heikommassa asemassa olevien rekisteröityjen tietoja (esim. lapset ja ikääntyneet ihmiset). Toisaalta seuraamuskollegio otti koronatilanteen vaikutukset yleisesti huomioon seuraamusmaksun määrää alentavana tekijänä.

Työntekijöiden sijaintietojen käsittely ja vaikutustenarviointi

Kolmannessa päätöksessä rekisterinpitäjänä toiminut työnantaja oli käyttänyt ajotietojärjestelmästä saatuja työntekijöiden sijaintitietoja heidän työaikojen seurantaan. Asiassa oli kyse siitä, oliko rekisterinpitäjä täyttänyt sille GDPR:n nojalla mahdollisesti asetetun velvollisuuden suorittaa tietosuojaa koskeva vaikutustenarviointi.

Päätöksessä tuotiin esille, että vaikutustenarviointi tulee tehdä, kun käsitellään esimerkiksi heikossa asemassa olevien rekisteröityjen sijaintitietoja. Heikossa asemassa olevilla rekisteröidyillä tarkoitetaan muun muassa työntekijöitä. Tietosuojavaltuutettu katsoikin, että rekisterinpitäjän olisi tullut suorittaa tietosuojaa koskeva vaikutustenarviointi käsiteltävänä olleiden työntekijöiden sijaintiin liittyvien käsittelytoimien osalta. Näin ollen tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen tietosuojaa koskevan vaikutustenarvioinnin tekemättä jättämisestä sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteeseen ja rekisterinpitäjän vastuun toteuttamiseen liittyvistä puutteista.

Seuraamusmaksu

Seuraamuskollegio katsoi tapauksessa tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 16.000 euron suuruisen hallinnollisen seuraamusmaksun määräämisen, mitä perusteltiin rikkomusten luonteella, vakavuudella, tuottamuksellisuudella ja rekisteröityjen heikommalla asemalla suhteessa rekisterinpitäjään. Seuraamuskollegio toi esille sen, että tietosuojaa koskeva vaikutustenarviointi on GDPR:n keskeinen elementti ja sen tekemättä jättäminen on vakava puute.

Tarpeettomien henkilötietojen kerääminen

Viimeisessä käsiteltävässä päätöksessä oli kyse työnhakijoiden henkilötietojen tarpeettomasta keräämisestä. Tapauksessa rekisterinpitäjänä toiminut työnantaja oli kerännyt GDPR:n sekä sitä täydentävän kansallisen työelämän tietosuojalain säännösten vastaisesti työnhakijoista ja työntekijöistä tarpeettomia henkilötietoja.

Lain mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa edes rekisteröidyn antamalla suostumuksella.

Rekisterinpitäjä oli lomakkeellaan kysynyt työnhakijalta tietoja tämän syntymäkunnasta, seurakunnasta, perhesuhteista, suojelukoulutuksesta, sotilasarvosta, asunnosta, varusmiespalveluajan aloitusvuodesta, varusmiespalveluajasta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta sekä tietoa siitä, onko työnhakija raskaana vai ei.

Tietosuojavaltuutettu totesi, että tietoa henkilön sotilaskoulutuksesta voidaan jossain tapauksissa pitää lain edellyttämän tarpeellisuusvaatimuksen mukaisena arvioitaessa henkilön soveltuvuutta esimiestehtäviin. Tällaisen tiedon kysymistä lähtökohtaisesti kaikilta työnhakijoilta ei kuitenkaan voida pitää lain mukaisena. Lisäksi tietosuojavaltuutettu toi esille, että työntekijän lähiomaisen tietojen kysymisen tulee olla välittömästi työntekijän työsuhteen kannalta tarpeellista, ja liittyä työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtua työtehtävien erityisluonteesta.

Tietosuojavaltuutettu katsoikin, että lomakkeella kysytyt tiedot työnhakijan syntymäkunnasta, seurakunnasta, perhesuhteista, asunnosta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta ja mahdollisesta raskaudesta eivät olleet sellaisia tietoja, joita rekisterinpitäjällä olisi ollut mahdollista kysyä työnhakijoilta tai työntekijöiltä taikka muutoinkaan käsitellä. Tietosuojavaltuutettu ei katsonut sillä olevan merkitystä asiassa, että kysyttyjen tietojen kertominen oli rekisterinpitäjän mukaan ollut vapaaehtoista, koska lain mukaan tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.

Lisäksi tietosuojavaltuutettu katsoi, että rekisterinpitäjän laatima ja ylläpitämä seloste sen vastuulla olevista työntekijöiden ja työnhakijoiden henkilötietoja koskevista käsittelytoimista oli ollut puutteellinen. Siitä ei ollut riittävällä tarkkuudella ilmennyt GDPR:n mukaisia henkilötietojen suunniteltuja poistoaikoja. Tietosuojavaltuutettu totesikin, että rekisterinpitäjä oli laiminlyönyt sille GDPR:n nojalla kuuluvan osoitusvelvollisuuden.

Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut GDPR:n mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Tietosuojavaltuutettu määrääsi rekisterinpitäjän saattamaan käsiteltävänä olevat käsittelytoimet lain mukaisiksi siten, että kaikki työntekijöistä ja työnhakijoista kerätyt henkilötiedot, jotka olivat käsittelyn tarkoituksen kannalta tarpeettomia, poistetaan siltä osin, kun niille ei ole osoitettavissa laillista käsittelyperustetta. Tietosuojavaltuutettu antoi myös rekisterinpitäjälle GDPR:n mukaisen huomautuksen käsittelytoimia koskevaan selosteeseen, osoitusvelvollisuuteen sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteiden toteuttamiseen ja rekisterinpitäjän vastuuseen liittyvistä puutteista.

Seuraamusmaksu

Seuraamuskollegio katsoi, että rekisterinpitäjän rikkomukset ja puutteet olivat niiden luonne ja vakavuus, työnhakijoille aiheutunut syrjinnän riski sekä rekisterinpitäjään nähden heikommassa asemassa olevien henkilöiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely huomioiden vakavuudeltaan sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus, edellä mainittujen tietosuojavaltuutetun antamien määräysten lisäksi, oli 12.500 euron suuruinen hallinnollinen seuraamusmaksu.

Yhteenveto ja seuraavat toimenpiteet

Tietosuoja-asetusta on nyt sovellettu kaksi vuotta. Seuraamusmaksut ovat osoitus siitä, että tietosuojaviranomaisen linja seuraamusten suhteen on muuttumassa: enää selitykset siitä, että "emme tienneet" tai "emme ole vielä ehtineet", eivät kelpaa, vaan yritysten odotetaan tietävän ja toteuttavan tietosuojan perusperiaatteet, kuten kertovan käsittelystä läpinäkyvästi, arvioivan riskejä aktiivisesti, keräävän vain tarpeellisia tietoja sekä huolehtivan osoittamisvelvollisuudesta. Varmista siis viimeistään nyt, että yritykselläsi on tietosuojalainsäädännön edellyttämä dokumentaatio, kuten tietosuojalausekkeet, selosteet käsittelytoimista, vaikutustenarvioinnit, tietojenkäsittelysopimukset, kirjanpito tietoturvaloukkauksista, dokumentoidut prosessit mm. rekisteröidyn oikeuksien ja datan elinkaaren hallintaan, ja että henkilöstölläsi on tarvittava osaaminen noudattaa dokumentteja myös käytännössä.

Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.