Ratkaisuja Suomesta
Velvollisuus laatia henkilötietojen käsittelysopimus
Tietosuojavaltuutettu antoi kesäkuussa ratkaisun, joka koski henkilötietojen käsittelysopimusta ja henkilötietojen käsittelijän rekisterinpitäjän lukuun harjoittamaa henkilötietojen käsittelyä.
Tietosuojavaltuutetulle oli syyskuusta 2018 kesäkuuhun 2019 tehty neljä kantelua, jotka koskivat ei-toivottuja automatisoiduilla soittojärjestelmillä (ns. roboteilla) toteutettuja lehden suoramarkkinointi-puheluita. Lehden kustantajana toimii yhtiö X, jonka lukuun yhtiö Y oli toteuttanut lehden suoramarkkinointia. Kyseiset osapuolten välille ei ollut laadittu yleisen tietosuoja-asetuksen (GDPR) mukaista sopimusta tai muuta oikeudellista asiakirjaa, jossa olisi määritelty henkilötietojen käsittelijän rekisterinpitäjän lukuun harjoittamaa henkilötietojen käsittelyä. GDPR:n mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Tietosuojavaltuutettu katsoi ratkaisussaan, että Y oli laiminlyönyt sille henkilötietojen käsittelijänä kuuluvan velvollisuuden laatia edellä mainittu sopimus tai muu oikeudellinen asiakirja. Se oli toiminut henkilötietojen käsittelijänä suoramarkkinointia koskevan käsittelyn osalta. Tietosuojavaltuutettu antoi Y:lle huomautuksen GDPR:n säännöksen laiminlyönnistä. Lisäksi hallinnollisen seuraamusmaksun määräämisestä päättävä seuraamuskollegio määräsi Y:lle hallinnollisen seuraamusmaksun (sanktio). Seuraamuskollegio katsoi Y:n rikkomuksen olleen luonteeltaan vakavaa. Y oli tietoisesti laiminlyönyt velvollisuuden laatia GDPR:n mukainen henkilötietojen käsittelysopimus, mikäli puolsi sanktion määräämistä. Seuraamuskollegio katsoi kuitenkin, ettei sanktion määrääminen nyt käsillä olevassa asiassa ollut oikeasuhtaista. Seuraamuskollegio totesi, että päävastuu henkilötietojen käsittelysopimuksen laatimisesta oli kuitenkin X:llä rekisterinpitäjänä, sillä kyse on X:n puolesta tapahtuvasta henkilötietojen käsittelystä. Lisäksi arvioinnissa otettiin huomioon Y:n vähäinen liikevaihto ja käräjäoikeuteen vireille saatettu konkurssihakemus.
Sijaintitietojen käsittely
Apulaistietosuojavaltuutettu antoi heinäkuussa ratkaisun, joka koski työntekijän sijaintiin liittyvien henkilötietojen käsittelyä työajanseurannassa. Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjän työntekijöiden sijaintiin liittyvien henkilötietojen käsittely ei ollut ollut yksityisyyden suojasta työelämässä annettun lain (työelämän tietosuojalaki) ja GDPR:n mukaista. Sijaintitietojen käsittelyssä ei ollut noudatettu GDPR:n mukaista tiedon minimointia koskevaa periaatetta. Apulaistietosuojavaltuutettu määräsikin rekisterinpitäjälle työntekijöiden sijaintitietoja koskevan käsittelykiellon.
Rekisterinpitäjä oli ottanut henkilötietojen käsittelijänä toimineen yhtiön toimittaman mobiilisovelluksen käyttöön noin 350 työntekijän osalta. Sovelluksen käyttäminen edellytti myös paikannuksen sallimisen. Sovelluksen käyttö ei ollut pakollista, mutta siltä osin kuin työntekijä oli halunnut sitä käyttää, oli rekisterinpitäjän näkemyksen mukaan sijaintitiedon kerääminen, tallentaminen ja säilyttäminen ollut tarpeellista työelämän tietosuojalain mukaisesti, sillä sovellus ei toiminut ilman sijaintitiedon käyttöä. Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Lain mukaisesta tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella.
Apulaistietosuojavaltuutettu katsoi, että vaikka sovelluksen käyttö oli edellyttänyt työntekijän sijaintitiedon käsittelyä, oli työajan seuranta ja työaikojen leimaaminen ollut mahdollista toteuttaa myös ilman sijaintitietojen käsittelyä erityisesti, kun otettiin huomioon, että sijaintitieto oli ollut rekisterinpitäjälle tarpeeton. Täten pelkästään se seikka, että sovelluksella työaikaa koskevien leimausten tekeminen ei onnistunut ilman sijaintitietojen käsittelyä, ei tehnyt sijaintitietojen käsittelystä välittömästi tarpeellista. Apulaistietosuojavaltuutettu huomauttikin, että käytettäessä ulkoisten palveluntarjoajien järjestelmiä tai muita palveluita rekisterinpitäjän tulee tunnistaa henkilötietojen käsittelyä koskevat tarpeensa, eikä sellaisia palveluita tai järjestelmiä, joiden toiminnallisuudet eivät vastaa rekisterinpitäjän tarpeita, tai mahdollista tietosuojaa koskevien säännösten noudattamista, tule ottaa käyttöön.
Apulaistietosuojavaltuutettu toi myös ratkaisussaan esille sen, että GDPR:n mukaisen tietojen minimointia koskevan periaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on niiden käyttötarkoituksen kannalta välttämätöntä. Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi. Olennaista on erottaa toisistaan se, mikä on sovelluksen käyttötarkoituksen kannalta välttämätöntä, ja se, mikä on sovelluksen käytön kannalta välttämätöntä. Tältä osin apulaistietosuojavaltuutettu korosti, että henkilötietojen välttämättömyyttä arvioidaan nimenomaan suhteessa niiden käyttötarkoitukseen. Se, että sijaintitietojen käsittely oli ollut välttämätöntä sovelluksen käyttämiseksi ei tarkoittanut sitä, että sijaintitietojen käsittely olisi ollut välttämätöntä suhteessa niiden käyttötarkoitukseen. Työajan seuranta oli voitu suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä, minkä takia sijaintitiedon käsittely ei ollut sovelluksen käyttötarkoituksen kannalta välttämätöntä ja täten rekisterinpitäjä oli toiminut tiedon minimointia koskevan periaatteen vastaisesti.
Tapauksessa seuraamuskollegio määräsi rekisterinpitäjälle 25 000 euron suuruisen sanktion perustuen osaltaan siihen, että rekisterinpitäjä oli käsitellyt työnhakijoiden ja työntekijöidensä (noin 350 henkilöä) henkilötietoja työelämän tietosuojalain keskeisten säännösten vastaisesti. Sijaintitietojen käsittelyyn oikeuttava käsittelyperuste oli puuttunut. Näin menettelemällä rekisterinpitäjä oli myös toiminut GDPR:n vastaisesti käsittelemällä sijaintitietoja ilman laillista käsittelyperustetta tiedon minimoinnin periaatteen vastaisesti. Rekisterinpitäjä oli käsitellyt työntekijöidensä sijaintiin liittyviä henkilötietoja toukokuusta 2019 asti eli ratkaisua annettaessa kesäkuussa 2021 sijaintitietojen käsittely oli kestänyt hieman yli kaksi vuotta. Käsittely oli kohdistunut rekisterinpitäjään nähden heikommassa asemassa oleviin rekisteröityihin, työntekijöihin. Täten seuraamuskollegio katsoi tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 25 000 euron suuruisen sanktion määräämisen. Lieventävinä seikkoina otettiin erityisesti huomioon se, että rekisteröidyille ei ollut aiheutunut sijaintietojen käsittelystä taloudellista tai muuta aineellista vahinkoa. eikä rekisterinpitäjä ollut tavoitellut tai saavuttanut toiminnallaan mitään taloudellista hyötyä. Seuraamusmaksun määrän oikeasuhteisuutta arvioitaessa otettiin lisäksi seuraamusmaksun määrää tuntuvasti alentavana seikkana huomioon se, että rekisterinpitäjän tehtävänä oli tarjota ammattikorkeakoululain mukaisesti korkeakouluopetusta sekä se, että rekisterinpitäjän toiminnan päätarkoituksena ei ole voiton tavoittelu.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröityjen informointi
Tietosuojavaltuutettu antoi heinäkuussa myös ratkaisun, joka koski asiakkaiden henkilötietojen keräämistä asiakkaita tarkkailemalla. Rekisterinpitäjänä toimi yritys, joka tarjosi kotitalouksille ja taloyhtiöille asiakaskontaktin luomiseksi ilmaisen rakennuksen hengitysilman mittauksen. Rekisterinpitäjän verkkosivuilla oli ollut lomake, joka oli ilmeisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseen. Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi muun muassa tiedoille parisuhdedynamiikasta, henkilöiden elämäntilanteesta ja rahatilanteesta. Rekisterinpitäjän mukaan lomakkeen ei kuulunut olla näkyvillä yrityksen verkkosivuilla ja sitä ei myöskään koskaan käytetty.
Asiassa oli kyse henkilötietojen käsittelyn läpinäkyvyydestä ja rekisteröityjen informoinnista. Tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen varoituksen siitä, että asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi ollut tässä tapauksessa, ilman lainmukaista käsittelyperustetta ja rekisteröityjen informointia, GDPR:n säännösten vastaista.
Tietosuojavaltuutettu korosti ratkaisussaan, että myös silloin, kun henkilötietoja kerätään rekisteröityä tarkkailemalla, rekisteröidylle tulee toimittaa tiedot tämän henkilötietojen käsittelystä GDPR:n mukaisesti ja tarkoituksenmukaisessa muodossa. Informaation tulee tavoittaa rekisteröity oikeaan aikaan, ja informaation antamiskanavan valinnassa rekisterinpitäjän tulee pyrkiä lisäämään sen todennäköisyyttä, että informaatio tavoittaa rekisteröidyn. Informaation antamisen oikea-aikaisuuden osalta tarkkailutyyppinen henkilötietojen kerääminen edellyttää lähtökohtaisesti sitä, että rekisteröidyllä on mahdollisuus välttää saamansa informaation perusteella tarkkailtavaksi joutuminen, eikä henkilötietojen käsittelyn tule ylipäätään tulla yllätyksenä rekisteröidylle.
Silloin, kun henkilötietoja kerätään rekisteröityjä tarkkailemalla, rekisterinpitäjällä tulee olla siihen GDPR:n mukainen käsittelyperuste, ja rekisteröityjä tulee informoida tästä henkilötietojen käsittelystä oikea-aikaisesti. Läpinäkyvyyden periaate edellyttää, että rekisterinpitäjä on oltava rekisteröityä kohtaan avoin muun muassa sen suhteen, miten henkilötietoja kerätään ja käytetään. Vastaava päämäärä on myös rekisteröidyn informoinnilla, jolla käytännössä toteutetaan käsittelyn läpinäkyvyyden periaatetta.
Ratkaisuja muualta Euroopasta
Tietojen minimimointi
Ruotsin tietosuojaviranomainen määräsi kesäkuussa Storstockholms Lokaltrafikille (Tukholman paikallinen kuljetusyhtiö) 1 600 000 euron suuruisen sanktion. Rekisterinpitäjä oli varustanut lipuntarkastajat heidän vartaloonsa kiinnitetyillä kameroilla, jotka oli suunniteltu estämään uhkaavat tilanteet. Kamerat dokumentoivat tapahtumat ja varmistivat, että oikeaa henkilöä sakotetaan, kun hän matkustaa Tukholman julkisilla liikennevälineillä ilman voimassa olevaa matkalippua. Lipuntarkastajien oli pidettävä kamera päällä koko työvuoron ajan, mikä tarkoitti käytännössä sitä, että he kuvasivat kaikki ohittamansa matkustajat. Koska useita satoja tuhansia ihmisiä käyttää päivittäin Tukholman julkista liikennettä, suuri joukko ihmisistä saattoi päätyä lipuntarkastajan kuvaamalle video- ja äänitallenteeelle. Tietosuojaviranomainen katsoikin, että kameroita voitiin käyttää uhkaavien tilanteiden ehkäisemiseen ja dokumentointiin, mutta esitallennusaika tuli lyhtentää enintään 15 sekuntiin, koska sitä pidempi esitallennusaika ei ole tarpeen. Lisäksi tietosuojaviranomainen toi esille sen, että äänitallenteet eivät auttaneet tunnistamaan henkilöitä, joilla ei ollut voimassa olevaa matkalippua. Tietosuojaviranomainen pitikin äänitallenteita GDPR:n mukaisen tietojen minimoinnin periaatteen vastaisena. Tietosuojaviranomainen totesi myös, että rekisterinpitäjä ei ollut antanut riittävästi tietoa sen suorittamasta kameravalvonnasta, mukaan lukien tietoa siitä, että videokuvan lisäksi tallennettiin myös äänet.
Italian tietosuojaviranomainen määräsi kesäkuussa Foodinholle 2 600 000 euron suuruisen sanktion. Foodinho on italialainen ruokatoimituspalvelu. Foodinho ei ollut rekisterinpitäjänä ilmoittanut riittävän selkeästi ruokalähetteinä toimiville työntekijöilleen järjestelmänsä toiminnasta eikä varmistanut heidän arviointiiinsa käytettyjen algoritmien tulosten tarkkuutta sekä oikeellisuutta. Rekisterinpitäjä ei ollut toiminut GDPR:n tietojen minimoinnin periaatteen mukaisesti. Järjestelmä käsitteli ruokalähettien tietoja siinä määrin, että se ylitti käsittelyn tarkoituksen, ja joissain tapauksissa järjestelmä tallensi ruokalähetteihin liittyviä tietoja huomattavasti pidempään kuin oli tarpeen. Lisäksi rekisterinpitäjä ei ollut toteuttanut riittäviä teknisiä ja organisatorisia toimenpiteitä turvallisen tietojenkäsittelyn varmistamiseksi. Rekisterinpitäjä ei ollut myöskään tehnyt vaikutustenarviointia, vaikka olisi pitänyt.
Espanjan tietosuojaviranomainen määräsi heinäkuussa Mercadona S.A:lle 2 520 000 euron suuruisen sanktion. Yhtiö oli asentanut sen myymälöihin kasvojentunnistusjärjestelmiä, joiden tarkoituksena oli rikokseen syyllistyvien henkilöiden tunnistaminen. Järjestelmään tallentui kuitenkin kaikki myymälöihin saapuvat henkilöt, jotka saattoivat olla allaikäisiä tai yhtiön työntekijöitä. Tietosuojaviranomainen katsoikin, että yhtiön kasvojentunnistusjärjestelmä rikkoi tietojen minimoinnin periaatetta sekä välttämättömyys- että suhteellisuusperiaatetta. Lisäksi tietosuojaviranomainen toi ilmi sen, että yhtiön tekemä vaikutustenarviointi oli puutteellinen, koska siinä ei ollut otettu huomioon kasvojentunnistusjärjestelmien kautta tapahtuvan tietojenkäsittelyn aiheuttama korkeaa riskiä yhtiön työntekijöiden oikeuksille ja vapauksille. Yhtiö oli myös rikkonut ilmoitusvelvollisuuttaan, koska se ei ole antanut rekisteröidyille asianmukaisia tietoja heidän henkilötietojensa käsittelystä.
Tietojen säilytysaika
Italian tietosuojaviranomainen määräsi vuorostaan heinäkuussa elintarvikkeiden toimituspalvelulle Deliveroo Italylle 2 500 000 euron suuruisen sanktion. Deliveroo oli käsitelly lainvastaisesti noin 8000 lähettinsä henkilötietoja. Deliveroo oli käyttänyt keskitettyä järjestelmää, jonka avulla se käsitteli ja hallinnoi tilausten ja työvuorojen antamista läheteilleen. Läheteille ei informoitu riittävällä tavalla heidän älypuhelimiinsa asennetun järjestelmän toiminnasta eikä yhtiö ollut varmistanut järjestelmässä käytettävien algoritmijärjestelmien tulosten tarkkuutta ja oikeellisuutta. Deliveroo valvoi lähettiensä työntekoa tarkasti ja oli tietoinen lähettiensä kulloisestakin sijainnista. Lisäksi järjestelmään tallentui suuri määrä tilausten toteuttamisen aikana kerättyjä henkilötietoja, mukaan lukien lähetin käymät keskustelut yhtiön asiakaspalvelun kanssa. Eri tietojen säilytysaikaa ei ollut myöskään määritelty tarkoituksenmukaisella tavalla, vaan yhtiö oli määritellyt tiedoille vain yleisen kuuden vuoden säilytysajan. Lisäksi tietosuojaviranomainen katsoi, että rekisterinpitäjä ei ollut toteuttanut riittäviä teknisiä ja organisatorisia toimenpiteitä käsittelyn riittävän turvallisuuden varmistamiseksi. Deliveroo ei myöskään ollut tehnyt vaikutustenarviointia, vaikka olisi pitänyt.
Ranskan tietosuojaviranomainen määräsi heinäkuussa yksityiselle vakuutusyhtiölle 1 750 000 euron suuruisen sanktion. Yhtiö oli rekisterinpitäjänä säilyttänyt miljoonien henkilöiden tiedot liian pitkään. Yhtiö ei ollut noudattanut määriteltyä kolmen vuoden säilytysaikaa, vaan se oli säilyttänyt tietoja lähes 2 000 sellaisesta asiakkaasta, joka ei ollut ollut yhteydessä yhtiöön yli kolmeen vuoteen, joissakin tapauksissa viiteen vuoteen. Yhtiö oli lisäksi säilyttänyt yli kahden miljoonan asiakkaan tiedot, joista osa oli arkaluonteisia (terveydentila), pidempään kuin oli lain mukaan sallittua.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröityjen informointi
Irlannin tietosuojaviranomainen antoi syyskuun alussa päätöksensä WhatsApp Ireland Ltd:lle perustuen Euroopan tietosuojaneuvoston sitovaan kiistanratkaisupäätökseen, joka annettiin heinäkuun lopussa. Asiassa oli kyse siitä, noudattiko WhatsApp GDPR:n mukaista velvoitetta kertoa läpinäkyvästi rekisteröidyille näiden henkilötietojen käsittelystä.
Irlannin tietosuojaviranomainen selvitti jo vuonna 2018 alkaneessa tutkinnassaan sitä, oliko WhatsApp noudattanut GDPR:n läpinäkyvyyttä koskevia velvoitteita henkilötietojen käsittelystä annettavien tietojen osalta. Samassa yhteydessä tutkittiin myös rekisteröityjen informointia WhatsAppin ja muiden Facebook-yritysten välisestä tietojen käsittelystä. Asiaa käsiteltiin lopulta Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä, koska Irlannin tietosuojaviranomainen hylkäsi Euroopan unionin jäsenmaiden valvontaviranomaisten sen päätösluonnoksesta esittämät vastalauseet ja siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn.
Irlannin tietosuojaviranomainen täydensi päätöstään läpinäkyvyyttä koskevien rikkomusten ja määrättävän sanktion osalta tietosuojaneuvoston kiistanratkaisupäätöksen perusteella. Tietosuojaneuvosto nimittäin havaitsi, että WhatsApp oli informoinut käyttäjiään puutteellisesti myös rekisterinpitäjän oikeutetuista eduista, joihin WhatsApp-käyttäjien henkilötietojen käsittely perustui.
Irlannin tietosuojaviranomainen määräsikin WhatsApp Ireland Ltd:lle yhteensä 225 miljoonan euron suuruisen sanktion. Lopullisen sanktion määrittämisessä huomioitiin muun muassa WhatsAppin rikkomusten määrä sekä Facebook Inc. -emoyhtiön kokonaisliikevaihto perustuen siihen tulkintaan, että kaikki samoja tai toisiinsa liittyviä käsittelytoimia koskevat rikkomukset tulee ottaa huomioon sanktion määrää määriteltäessä. Lisäksi todettiin, että läpinäkyvyyttä koskevat käsittelytoimet tuli saattaa GDPR:n mukaisiksi mahdollisimman nopeasti, minkä takia tähän liittyvää määräaikaa lyhennettiin aiemmin annetusta kuudesta kuukaudesta kolmeen kuukauteen.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.