Ajankohtaiset

rss Ajankohtaiset

30.8.2021 12.30

Ajankohtaista työelämän tietosuojasta

Apulaistietosuojavaltuutetulta merkittävä päätös työntekijöiden henkilötietojen keräämisen ja käsittelyn edellytyksistä.

HelenaLamponen
Helena Lamponen, johtaja, edunvalvonta- ja lakipalvelut, Akavan Erityisalat

Apulaistietosuojavaltuutettu antoi 5.7.2021 päätöksen, joka koski työnantajan oikeutta käsitellä työajan seurannan ja työaikaleimausten yhteydessä työntekijöiden sijaintitietoja, jotka olivat tämän työnantajan toiminnassa tarpeettomia tietoja. Työnantaja käytti sovellusta, josta sijaintitietoa ei voinut kytkeä pois päältä. Viranomaisen päätöksen mukaan sijaintitiedon käsittely oli tapahtunut vastoin yksityisyyden suojasta työelämässä annettua lakia ja tietosuoja-asetusta. Apulaistietosuojavaltuutettu määräsi tiedoille käsittelykiellon, mikä piti sisällään myös velvoitteen poistaa tiedot. Seuraamuskollegio määräsi työnantajan maksamaan valtiolle 25 000 euron suuruisen hallinnollisen seuraamusmaksun.


Henkilötietojen keräämisen ja käsittelyn lainmukaisuuden arviointi

Työnantaja käytti työntekijöiden työajan seurantaan ja työaikaleimauksiin mobiilisovellusta, joka järjestelmäteknisistä syistä edellytti myös paikannuksen sallimista. Sijaintitieto oli tämän työnantajan toiminnassa tarpeeton tieto. Päätöksen mukaan työntekijöiden sijaintitietojen käsittelyä ei voitu pitää yksityisyyden suojasta työelämässä annetun lain 3 §:n mukaisesti välittömästi tarpeellisena. Käsittelylle ei myöskään tietosuoja-asetuksen nojalla ollut osoitettavissa laillista käsittelyperustetta, joten tietojen käsittely oli myös tietosuoja-asetuksen vastaista (6 artikla 1 kohta).


Tietosuoja-asetuksessa on säädetty tiedon minimointia koskevasta periaatteesta (5 (1) (c) artikla).  Periaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on niiden käyttötarkoituksen kannalta välttämätöntä. Päätöksen mukaan ”Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi”. Keräämällä työntekijää koskevia tarpeettomia sijaintitietoja, työnantaja rekisterinpitäjänä oli toiminut myös tietosuoja-asetuksen tiedon minimointia koskevan periaatteen ja tätä koskevan säännöksen vastaisesti.


Seuraamukset

Apulaistietosuojavaltuutettu määräsi sijaintietojen käsittelylle käsittelykiellon, rekisteröityjen oikeuksien turvaamiseksi. Kiellon mukaan sijaintitietojen käsittely oli lopetettava välittömästi. Käsittelykielto kattaa kaiken sovelluksella käsiteltäviin työntekijöiden sijaintitietoihin kohdistuvan käsittelyn, mukaan luettuna tietojen säilyttäminen. Näin ollen jo kerätyt sijaintitiedot oli myös poistettava. 


Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi työnantajalle 25 000 euron suuruisen hallinnollisen seuraamusmaksun, joka maksetaan valtiolle. Päätöksessä todettiin, että käsittelyn kohteena on ollut heikommassa asemassa olleita rekisteröityjä koskevia henkilötietoja. Seuraamuskollegion mukaan ”apulaistietosuojavaltuutetun päätöksellä todettuja rekisterinpitäjän rikkomuksia on pidettävä lähtökohtaisesti luonteeltaan vakavina rikkomuksina”. Henkilötietojen käsittelyä oli tapahtunut yli kahden vuoden ajan, joten kyse oli ollut vakiintuneesta toimintatavasta. Seuraamuskollegion mukaan rikkomusta ei voitu pitää vähäisenä.


Evästys jatkoon

Päätöksessään apulaistietosuojavaltuutettu totesi myös seuraavaa: ”käytettäessä ulkoisten palveluntarjoajien järjestelmiä tai muita palveluita, rekisterinpitäjän on itse kyettävä tunnistamaan henkilötietojen käsittelyä koskeva tarpeensa, eikä sellaisia palveluita tai järjestelmiä, joiden toiminnallisuudet eivät vastaa rekisterinpitäjän tarpeita tai mahdollista tietosuojaa koskevien säännösten noudattamista, tulisi ottaa käyttöön”. Työnantajien on siten jatkossa aiempaakin huolellisemmin arvioitava eri toimintojensa luonne ja johdettava tästä arvioinnista henkilötietojen käsittelyn tarpeet ja tarpeellisuus, tiedon minimoinnin periaate huomioiden. Tätä selvitystä vasten on arvioitava myös palvelujen ja järjestelmien tekniset toiminnallisuudet.


Edellä selvitetty päätös pohjautuu yksityisyyden suojasta työelämässä annetun lain lisäksi EU:n tietosuoja-asetukseen, jota sovelletaan suoraan sellaisenaan EU:n laajuisesti. Apulaistietosuojavaltuutetun päätöksellä tullee olemaan vaikutuksia myös palvelujen ja järjestelmien tarjoajien toimintaan ja kehitystyöhön, sekä EU:n sisällä että ulkopuolella. Tietoteknisissä palveluissa ja järjestelmissä eri ominaisuuksien joustavuus ja poiskytkettävyys on aiempaakin tärkeämpää. 


Helena Lamponen

johtaja, edunvalvonta- ja lakipalvelut

Akavan Erityisalat


Palaa otsikoihin