Ajankohtaiset
Ajankohtaista työelämän tietosuojasta
Apulaistietosuojavaltuutetulta merkittävä päätös työntekijöiden henkilötietojen keräämisen ja käsittelyn edellytyksistä.
Apulaistietosuojavaltuutettu antoi 5.7.2021 päätöksen, joka koski työnantajan oikeutta käsitellä työajan seurannan ja työaikaleimausten yhteydessä työntekijöiden sijaintitietoja, jotka olivat tämän työnantajan toiminnassa tarpeettomia tietoja. Työnantaja käytti sovellusta, josta sijaintitietoa ei voinut kytkeä pois päältä. Viranomaisen päätöksen mukaan sijaintitiedon käsittely oli tapahtunut vastoin yksityisyyden suojasta työelämässä annettua lakia ja tietosuoja-asetusta. Apulaistietosuojavaltuutettu määräsi tiedoille käsittelykiellon, mikä piti sisällään myös velvoitteen poistaa tiedot. Seuraamuskollegio määräsi työnantajan maksamaan valtiolle 25 000 euron suuruisen hallinnollisen seuraamusmaksun.
Henkilötietojen keräämisen ja käsittelyn lainmukaisuuden arviointi
Työnantaja käytti työntekijöiden työajan seurantaan ja työaikaleimauksiin mobiilisovellusta, joka järjestelmäteknisistä syistä edellytti myös paikannuksen sallimista. Sijaintitieto oli tämän työnantajan toiminnassa tarpeeton tieto. Päätöksen mukaan työntekijöiden sijaintitietojen käsittelyä ei voitu pitää yksityisyyden suojasta työelämässä annetun lain 3 §:n mukaisesti välittömästi tarpeellisena. Käsittelylle ei myöskään tietosuoja-asetuksen nojalla ollut osoitettavissa laillista käsittelyperustetta, joten tietojen käsittely oli myös tietosuoja-asetuksen vastaista (6 artikla 1 kohta).
Tietosuoja-asetuksessa on säädetty tiedon minimointia koskevasta periaatteesta (5 (1) (c) artikla). Periaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on niiden käyttötarkoituksen kannalta välttämätöntä. Päätöksen mukaan ”Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi”. Keräämällä työntekijää koskevia tarpeettomia sijaintitietoja, työnantaja rekisterinpitäjänä oli toiminut myös tietosuoja-asetuksen tiedon minimointia koskevan periaatteen ja tätä koskevan säännöksen vastaisesti.
Seuraamukset
Apulaistietosuojavaltuutettu määräsi sijaintietojen
käsittelylle käsittelykiellon, rekisteröityjen oikeuksien turvaamiseksi.
Kiellon mukaan sijaintitietojen käsittely oli lopetettava välittömästi. Käsittelykielto
kattaa kaiken sovelluksella käsiteltäviin työntekijöiden sijaintitietoihin
kohdistuvan käsittelyn, mukaan luettuna tietojen säilyttäminen. Näin ollen jo kerätyt
sijaintitiedot oli myös poistettava.
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi työnantajalle 25 000 euron suuruisen hallinnollisen seuraamusmaksun, joka maksetaan valtiolle. Päätöksessä todettiin, että käsittelyn kohteena on ollut heikommassa asemassa olleita rekisteröityjä koskevia henkilötietoja. Seuraamuskollegion mukaan ”apulaistietosuojavaltuutetun päätöksellä todettuja rekisterinpitäjän rikkomuksia on pidettävä lähtökohtaisesti luonteeltaan vakavina rikkomuksina”. Henkilötietojen käsittelyä oli tapahtunut yli kahden vuoden ajan, joten kyse oli ollut vakiintuneesta toimintatavasta. Seuraamuskollegion mukaan rikkomusta ei voitu pitää vähäisenä.
Evästys jatkoon
Päätöksessään apulaistietosuojavaltuutettu totesi myös seuraavaa: ”käytettäessä ulkoisten palveluntarjoajien järjestelmiä tai muita palveluita, rekisterinpitäjän on itse kyettävä tunnistamaan henkilötietojen käsittelyä koskeva tarpeensa, eikä sellaisia palveluita tai järjestelmiä, joiden toiminnallisuudet eivät vastaa rekisterinpitäjän tarpeita tai mahdollista tietosuojaa koskevien säännösten noudattamista, tulisi ottaa käyttöön”. Työnantajien on siten jatkossa aiempaakin huolellisemmin arvioitava eri toimintojensa luonne ja johdettava tästä arvioinnista henkilötietojen käsittelyn tarpeet ja tarpeellisuus, tiedon minimoinnin periaate huomioiden. Tätä selvitystä vasten on arvioitava myös palvelujen ja järjestelmien tekniset toiminnallisuudet.
Edellä selvitetty päätös pohjautuu yksityisyyden suojasta
työelämässä annetun lain lisäksi EU:n tietosuoja-asetukseen, jota sovelletaan
suoraan sellaisenaan EU:n laajuisesti. Apulaistietosuojavaltuutetun päätöksellä tullee olemaan vaikutuksia myös palvelujen
ja järjestelmien tarjoajien toimintaan ja kehitystyöhön, sekä EU:n sisällä että
ulkopuolella. Tietoteknisissä palveluissa ja järjestelmissä eri ominaisuuksien
joustavuus ja poiskytkettävyys on aiempaakin tärkeämpää.
Helena Lamponen
johtaja, edunvalvonta- ja lakipalvelut
Akavan Erityisalat