tiedonsiirrot - henkilötietojen käsittely - kiireellinen menettely

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	04.08.2023
Diaarinumero:	7732/161/23

Asia

Tietosuojavaltuutetun päätös Ridetech International B.V.:lle ja Yandex LLC:lle tiedonsiirtojen kieltämisestä ja keskeyttämisestä Venäjän federaatioon.

Rekisterinpitäjät

Ridetech International B.V. (Yango-taksipalvelusovellus)

Yandex LLC

Asian tausta

Yango on taksipalvelu, jota käytetään mobiilisovelluksen avulla. Yango-sovelluksen palveluntarjoajana Euroopan talousalueella toimii Alankomaihin sijoittunut Ridetech International B.V. (aikaisemmin Yandex.Taxi B.V.). Yango-sovellusta ja henkilötietojen siirtojen lainmukaisuutta koskeva asia on ollut käsiteltävänä Euroopan tietosuojaviranomaisten yhteistyömenettelyssä. Asiassa saadun selvityksen mukaan Yango-sovelluksen käyttäjien henkilötietoja siirretään Venäjän federaatioon. Johtavana valvontaviranomaisena asiassa on toiminut Alankomaiden valvontaviranomainen Autoriteit Persoonsgegevens. Tietosuojavaltuutettu on asiassa osallistuva valvontaviranomainen.

Siltä osin kuin tässä päätöksessä on kyse Venäjän federaatioon sijoittautuneen Yandex LLC suorittamasta henkilötietojen käsittelystä, tietosuojavaltuutettu on yleisen tietosuoja-asetuksen 58 artiklan nojalla toimivaltainen.

Saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt 22.5.2019 Yandex Oy:ltä selvitystä siitä, mikä taho toimii henkilötietojen rekisterinpitäjänä Yango-sovelluksen osalta. Yandex Oy on vastannut selvityspyyntöön 28.6.2019. Selvityksen mukaan Yango-sovelluksen palveluntarjoajana Euroopan talousalueella toimii Alankomaihin sijoittunut Ridetech International B.V. (aikaisemmin Yandex.Taxi B.V.). Ridetech International B.V. toimii rekisterinpitäjänä suurimmalle osalle Yango-sovelluksen yhteydessä käsiteltävistähenkilötiedoista. Asiassa saadun selvityksen mukaan myös Yandex LLC osallistuu henkilötietojen käsittelyyn Yango-sovelluksen yhteydessä. Tietosuojavaltuutettu katsoo, että tätä toimijaa tulee näin ollen käsitellä yleisen tietosuoja-asetuksen mukaisena rekisterinpitäjänä asiassa.

Asianosaisten kuuleminen

Kansallista hallintomenettelyä koskevan lain (hallintolaki 434/2003) 34 §:n 1 momentin mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus tulla kuulluksi ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Säännöksen 2. momentin 4 kohdan mukaan asian saa ratkaista kuulematta, jos kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteuttamisen.

Tietosuojavaltuutetun tietoon on 3.8.2023 tullut, että Venäjän federaatiossa on 1.9.2023 tulossa voimaan laki, joka antaa viranomaisille laajan oikeuden saada pääsy taksimatkustajien tietoihin. Tässä päätöksessä myöhemmin esitettävin perustein tämän väliaikaisen päätöksen tarkoituksena on keskeyttää tietojen siirto Suomesta Venäjän federaatioon ennen sanotun sääntelyn voimaantuloa.

Tietosuojavaltuutetun arvion mukaan kuuleminen tässä asiassa ja sitä seuraavan päätöksen tiedoksi antaminen kestäisi niin pitkään, että päätöksen tarkoitus estyy ja Suomessa Yango-sovellusta käyttävien henkilöiden oikeusturva vaarantuisi vakavasti. Tietosuojavaltuutettu katsoo, että asiaosaisen kuuleminen asiassa vaarantaisi päätöksen tarkoituksen toteutumisen.

Edellä sanotusta johtuen asia ratkaistaan väliaikaisella päätöksellä asianosaista kuulematta hallintolain 34 §:n 2 momentin 4 kohdan perusteella.

Asian käsittely tietosuojavaltuutetun toimiston seuraamuskollegiossa

Tietosuojavaltuutetun toimiston työjärjestyksen 14 §:n toisen kohdan mukaan seuraamuskollegio käsittelee yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f ja j alakohdassa säädetyn käsittelyn kieltämistä ja tiedonsiirtojen keskeyttämistä koskevan asian.

Tietosuojavaltuutetun toimiston seuraamuskollegio on käsitellyt asian kiireellisesti kokoon kutsutussa 4.8.2023 järjestetyssä kokouksessa. Tietosuojavaltuutettu on tehnyt asiassa päätöksen seuraamuskollegiota kuultuaan. Seuraamuskollegio oli asiassa yksimielinen.

Sovellettava lainsäädäntö

Henkilötietojen siirrot kolmansiin maihin

Henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille säädetään yleisen tietosuoja-asetuksen V luvussa. Siirtoja koskevasta yleisestä periaatteesta on säädetty sanotun luvun 44 artiklassa, jonka mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

Yleisen tietosuoja-asetuksen 46 artiklassa säädetään henkilötietojen siirroista asianmukaisia suojatoimia soveltaen. Kyseisen artiklan 1 kohdan mukaan, jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

Kyseisen artiklan 2 kohdan mukaan edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa: a) viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline; b) 47 artiklan mukaiset yritystä koskevat sitovat säännöt; c) komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet; d) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen; e) 40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin; f) 42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

Artiklan 3 kohdan mukaan toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat: a) rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai b) säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

Artiklan 4 kohdan mukaan valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa. Artiklan 5 kohdan mukaan hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

Valvontaviranomaisen toimivalta

Yleisen tietosuoja-asetuksen 56 artiklassa säädetään johtavan valvontaviranomaisen toimivallasta. Yleisen tietosuoja-asetuksen 60 artiklassa säädetään johtavan valvontaviranomaisten ja muiden osallistuvien valvontaviranomaisten yhteistyöstä.

Yleisen tietosuoja-asetuksen 58 artiklassa säädetään valvontaviranomaisten toimivaltuuksista. Sanotun artiklan 2 alakohdan f-alakohdan mukaan viranomainen voi asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, mukaan lukien käsittelykiellon. Sanotun artiklan 2 alakohdan j-alakohdan mukaan viranomainen voi määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

Kiireellinen menettely

Yleisen tietosuoja-asetuksen kiireellistä menettelyä koskevassa 66 artiklan mukaan:

1. Jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi 63, 64 ja 65 artiklassa tarkoitetusta yhdenmukaisuusmenettelystä tai 60 artiklassa tarkoitetusta menettelystä poiketen välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja perustelut niiden hyväksymiselle viipymättä tiedoksi muille asianomaisille valvontaviranomaisille, tietosuojaneuvostolle ja komissiolle.

2. Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.

3. Jokainen valvontaviranomainen voi tapauksen mukaan pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.

4. Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto tai kiireellinen sitova päätös vahvistetaan 64 artiklan 3 kohdasta ja 65 artiklan 2 kohdasta poiketen kahden viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

Asianosaisten kuuleminen

Kansallista hallintomenettelyä koskevan lain (hallintolaki 434/2003) 34 §:n 1 momentin mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus tulla kuulluksi ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun.

Hallintolain 34 §:n 2 momentin 4 alakohdan mukaan asian saa ratkaista asianosaista kuulematta, jos kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteuttamisen tai kuulemisesta aiheutuva asian käsittelyn viivästyminen aiheuttaa huomattavaa haittaa ihmisen terveydelle, yleiselle turvallisuudelle taikka ympäristölle.

Määräyksen noudattaminen ja muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n 3 momentin nojalla tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

Oikeudellinen kysymys

Asiassa on ratkaistava,

1. Onko Yango-sovelluksen yhteydessä tapahtuva henkilötietojen käsittely yleisen tietosuoja-asetuksen 44 artiklan yleisen periaatteen, 46 artiklan ja V luvun henkilötietojen siirtoja kolmansiin maihin koskevien säännösten vastaista,

2. Voidaanko asia käsitellä yleisen tietosuoja-asetuksen 66 artiklan mukaisessa kiireellisessä menettelyssä; ja

3. Tuleeko rekisterinpitäjää kieltää käsittelemästä Yango-sovelluksen käyttäjien henkilötietoja yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla ja/tai määrätä rekisterinpitäjä keskeyttämään yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan j alakohdan nojalla Yango-sovelluksen yhteydessä kerättyjen henkilötietojen siirtäminen kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

1. Tietosuojavaltuutettu katsoo, että Yango-sovelluksen yhteydessä tapahtuva henkilötietojen käsittely on yleisen tietosuoja-asetuksen 44 artiklan yleisen periaatteen, 46 artiklan ja V luvun henkilötietojen siirtoja kolmansiin maihin koskevien säännösten vastaista.

2. Tietosuojavaltuutettu katsoo yleisen tietosuoja-asetuksen 66 artiklan mukaiselle kiireellisyysmenettelylle asetettujen edellytysten täyttyvän jäljempänä tarkemmin esitetyin perustein.

3. Tietosuojavaltuutettu kieltää rekisterinpitäjää käsittelemästä Yango-sovelluksen käyttäjien henkilötietoja niiden siirtämiseksi Suomesta Venäjän federaatioon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla.

Tietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan j alakohdan ja 66 artiklan 1 kohdan nojalla rekisterinpitäjän keskeyttämään Yango-sovelluksen yhteydessä kerätyn henkilötietojen siirron Suomesta Venäjän federaatioon.

Käsittelykielto ja määräys tiedonsiirtojen keskeyttämisestä tulevat voimaan 1.9.2023. Kyse on väliaikaisesta päätöksestä, joka on voimassa kolme kuukautta, 30.11.2023 saakka.

Tietosuojavaltuutettu määrää tietosuojalain (1050/2018) 25 §:n 3 momentin nojalla rekisterinpitäjää noudattamaan tiedonsiirtojen keskeyttämistä koskevaa määräystä muutoksenhausta huolimatta.

Tietosuojavaltuutettu määrää rekisterinpitäjän toimittamaan tietosuojavaltuutetun toimistolle 25.8.2023 mennessä tiedon siitä, mihin toimenpiteisiin se ryhtyy tämän päätöksen johdosta.

Rekisterinpitäjä voi toimittaa tietosuojavaltuutetun toimistolle myös muita tietoja, joiden se katsoo vaikuttavan tässä päätöksessä esitettyyn arviointiin. Tietosuojavaltuutettu voi näiden tietojen perusteella arvioida uudelleen käsittelykiellon ja käsittelyn keskeytyksen tarpeellisuutta.

Perustelut

Tiedonsiirtojen lainmukaisuudesta

Yango-sovellusta ja henkilötietojen siirtojen lainmukaisuutta koskeva asia on ollut käsiteltävänä Euroopan tietosuojaviranomaisten yhteistyömenettelyssä. Asiassa saadun selvityksen mukaan Yango-sovelluksen käyttäjien henkilötietoja siirretään Venäjälle yleisen tietosuoja-asetuksen 46 artiklan mukaisten suojatoimien perusteella. Sanottu suojatoimenpide on sinänsä yleisen tietosuoja-asetuksen mukainen, joten lähtökohtaisesti se mahdollistaa henkilötietojen siirtämisen myös sellaiseen kolmanteen maahan, jonka riittävästä tietosuojan tasosta komissio ei ole tehnyt yleisen tietosuoja-asetuksen 45 artiklan mukaista päätöstä. Sanotut suojatoimenpiteet eivät kuitenkaan luo rekisterinpitäjälle ehdotonta oikeutta siirtää tietoja kolmanteen maahan. Rekisterinpitäjän on varmistettava, että tiedonsiirrot ovat myös yleisen tietosuoja-asetuksen yleisten tavoitteiden ja Euroopan unionin perusoikeuskirjan 8 artiklan mukaisia (Euroopan unionin tuomioistuimen tuomio asiassa C-311/18 – Data Protection Commissioner vs Facebook Ireland ja Maximillian Schrems (jäljempänä Schrems II), kohdat 90–121). Unionin tuomioistuimen Schrems II asiassa antaman tuomion jälkeen tällaisessa arvioinnissa on erityisesti otettava huomioon se, onko kolmannen maan viranomaisilla pääsy siirrettyihin henkilötietoihin (Schrems II, kohta 104).

Unionin tuomioistuin on ratkaisukäytännössään katsonut, että toimivaltaisen valvontaviranomaisen on keskeytettävä tai kiellettävä komission antamiin tietosuojaa koskeviin vakiolausekkeisiin perustuva henkilötietojen siirto kolmanteen maahan, jos tämä valvontaviranomainen katsoo kaikkien tämän siirron olosuhteiden valossa, että näitä lausekkeita ei noudateta tai voida noudattaa tässä kolmannessa maassa ja että unionin oikeudessa, erityisesti yleisen tietosuoja-asetuksen 45 ja 46 artiklassa ja perusoikeuskirjassa, vaadittua siirrettyjen tietojen suojaa ei voida varmistaa muilla keinoilla, siltä osin kuin unioniin sijoittautunut rekisterinpitäjä tai sen henkilötietojen käsittelijä ei itse ole keskeyttänyt tai lopettanut siirtoa (Schrems II, kohta 121). Tämä voi johtua esimerkiksi kolmannen maan lainsäädännöstä.

Sanottujen rekisterinpitäjien toiminta on jo ollut tarkasteltavana yhteistyömenettelyssä. Uusi lainsäädäntö, joka tulee voimaan 1.9.2023, luo kuitenkin oikeuden Venäjän federaation turvallisuuspalvelujen toimeenpanevalle viranomaiselle ympärivuorokautiseen etäyhteyteen tietokantoihin ja tietojärjestelmiin, joita käytetään taksitilausten vastaanottamiseen, tallentamiseen, käsittelyyn ja lähettämiseen. Tämä mahdollistaa sanotulle viranomaiselle erittäin laajan pääsyn Suomesta kerättyihin henkilötietoihin.

Unionin tuomioistuin on korostanut Schrems II asiassa antamassaan tuomiossa, että henkilötietojen suojaa koskevien poikkeuksien ja rajoituksien on oltava suhteessa tavoiteltuihin päämääriin ja ne on toteutettava täysin välttämättömän rajoissa (mukaan lukien näiden henkilötietojen luovuttaminen viranomaiselle (Schrems II, kohta 171)). Poikkeuksista ja rajoituksista annetussa lainsäädännössä tulee olla selkeät ja yksityiskohtaiset säännökset poikkeuksen tai rajoituksen soveltamisesta sekä asetettava poikkeuksia ja rajoituksia koskevat suojatoimenpiteet. Lainsäädännön on erityisesti asetettava poikkeuksille ja rajoituksille ehtoja, joilla varmistetaan, ettei henkilötietojen suojaa rajoiteta enemmän kuin on välttämätöntä (Schrems II, kohta 176). Tällaiset ehdot sisältävät usein ex ante valvontatoimenpiteitä, joilla viranomaisen pääsyä tietoihin rajoitetaan, kuten itsenäisen ja riippumattoman tuomioistuimen erikseen antama päätös viranomaisen oikeudesta saada pääsy tietoihin. Tietosuojavaltuutetun käsiteltävänä olevassa tapauksessa tällaisia suojatoimenpiteitä ei ole. Kansallisella viranomaisella olisi Venäjän federaatiossa voimaan tulevan sääntelyn nojalla laaja ja rajoittamaton pääsy tietoihin.

Tietosuojavaltuutettu katsoo, että edellä sanotusta seuraa merkittävä ja konkreettinen riski siitä, että Suomesta kerättyjä Venäjän federaatioon siirrettyjä henkilötietoja käsiteltäisiin tavalla, joka ei täytä yleisen tietosuoja-asetuksen tai siinä säädettyjen tiedonsiirtomekanismien edellytyksiä, eikä myöskään olisi Euroopan perusoikeuskirjan mukaista.

Asian käsittelystä kiireellisessä menettelyssä

Henkilötietojen käsittelyä koskeva asia, jolla on vaikutuksia useamman jäsenvaltion (ja ETA-maan) alueella käsitellään yleisen tietosuoja-asetuksen artikla 60 mukaisessa niin kutsutussa yhteistyömenettelyssä. Johtava valvontaviranomainen määräytyy sanotussa menettelyssä rekisterinpitäjän 4 artiklan 16 alakohdassa määritellyn päätoimipaikan mukaan. Käsillä olevassa asiassa Yango-sovelluksen palveluntarjoajana Euroopan talousalueella toimii aiemmin saadun selvityksen mukaan Alankomaihin sijoittunut Ridetech International B.V. (aikaisemmin Yandex.Taxi B.V.). Näin ollen johtavana valvontaviranomaisena Yango-sovellusta koskevissa asioissa on toiminut Alankomaiden valvontaviranomainen Autoriteit Persoonsgegevens. Muut asian käsittelyyn ja päättämiseen 60 artiklan mukaisessa menettelyssä osallistuvat valvontaviranomaiset ovat 4 artiklan 22 kohdan määritelmän mukaisia osallistuvia valvontaviranomaisia. Tietosuojavaltuutettu on ollut asiassa osallistuva valvontaviranomainen.

Yleisen tietosuoja-asetuksen 66 artiklan 1 kohdan mukaan osallistuva valvontaviranomainen voi kuitenkin poikkeuksellisissa olosuhteissa säädetystä menettelystä poiketen hyväksyä välittömästi väliaikaisia toimenpiteitä.

Tietosuojavaltuutettu on 3.8.2023 Helsingin Sanomien toimittajan kanssa käydyn puhelinkeskustelun yhteydessä saanut tiedon Venäjän federaatiossa 1.9.2023 voimaanastuvasta uudesta taksipalvelujen tarjoajia koskevasta lainsäädännöstä. Venäjän federaatiossa on joulukuussa 2022 hyväksytty liittovaltion laki (Venäjän federaation laki Nro 580-FZ, koskien matkustajien ja matkatavaroiden kuljetuksen järjestämisestä matkustajatakseilla Venäjän federaatiossa, tiettyjen Venäjän federaation säädösten muuttamisesta ja tiettyjen säännösten tunnustamisesta pätemättömiksi. Laki on hyväksytty Duumassa 22.12.2022, Liittoneuvosto on hyväksynyt lain 23.12.2022 ja Presidentti on allekirjoittanut lain 29.12.2022. Laki on luettavissa Venäjän viranomaisen ylläpitämässä verkkopalvelusta: actual.pravo.gov.ru/text.html#pnum=0001202212290039, vierailtu 4.8.2023), joka edellyttää taksipalvelujen tarjoajan antavan liittovaltion turvallisuusalan toimeenpanevalle elimelle tai sen alueelliselle elimelle pääsyn taksipalvelun tietojärjestelmiin ja tietokantoihin. Yango-taksisovelluksen osalta tällaisia tietoja voisivat olla esimerkiksi osoitteet, josta asiakas on noudettu ja johon hänet on viety.

Matkustajien ja matkatavaroiden kuljetuksen järjestämisestä matkustajatakseilla Venäjän federaatiossa koskevan lain 14 §:n 7 kohdan mukaisesti pääsy tulee antaa tietojärjestelmiin ja tietokantoihin, joita käytetään henkilötaksin tilausten vastaanottamiseen, tallentamiseen, käsittelyyn ja siirtämiseen Venäjän federaation hallituksen säätämällä tavalla.

Venäjän federaation hallitus on antanut samaa asiaa koskevan asetuksen 4. heinäkuuta 2023 (Venäjän federaation hallituksen asetus N. 1101, annettu 4. heinäkuuta 2023. Asetus on luettavissa Venäjän viranomaisen ylläpitämässä verkkopalvelusta: http://publication.pravo.gov.ru/document/0001202307070021, vierailtu 4.8.2023). Sanotulla asetuksella on annettu säännöt, joiden mukaan turvallisuusalan toimeenpanevalle elimelle on annettava pääsy taksipalvelun tietoihin. Sanotulla asetuksella vahvistettujen sääntöjen 2 kohdan mukaisesti verkkopalvelussa toimivan matkustajataksin tilauspalvelun on tarjottava valtion turvallisuuspalvelun toimeenpanijalle ympärivuorokautinen etäkäyttö tietojärjestelmiin ja tietokantoihin, joita käytetään taksitilausten vastaanottamiseen, tallentamiseen, käsittelyyn ja lähettämiseen.

Sekä edellä mainittu Venäjän federaation liittovaltion laki tietojen antamista koskevilta osin sekä sitä täydentävä Venäjän federaation hallituksen asetus tulevat voimaan 1.9.2023.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjän ei voida katsoa kykenevän noudattamaan yleisen tietosuoja-asetuksen 46 artiklassa säädettyjä suojatoimenpiteitä, eikä muualla yleisessä tietosuoja-asetuksessa säädettyjä suojatoimia, eikä myöskään EU:n perusoikeuskirjan 8 artiklan mukaista oikeutta henkilötietojen suojaan etenkään, kun matkustajien ja matkatavaroiden kuljetuksen järjestämisestä matkustajatakseilla Venäjän federaatiossa koskeva laki on tullut voimaan. Koska sanottu lainsäädäntö tulee voimaan 1. syyskuuta 2023, asia on käsiteltävä yleisen tietosuoja-asetuksen 66 artiklassa tarkoitetussa kiireellisessä menettelyssä. Asiaa ei olisi mahdollista käsitellä tavanomaisessa yhteistyömenettelyssä ennen kyseisen lain voimaantuloa, sillä yleisen tietosuoja-asetuksen 60 artiklan mukaisista menettelysäännöksistä johtuu, että päätösluonnoksen käsittely kestää vähintään neljä viikkoa.

Edellä esitetyin perustein tietosuojavaltuutettu katsoo, että Venäjä federaation kansallisen turvallisuuspalvelun rajoittamaton pääsy taksimatkustajien henkilötietoihin vaarantaa vakavasti rekisteröityjen perusoikeudet ja -vapaudet Suomessa. Tietosuojavaltuutettu korostaa myös, että tällainen rajoittamaton pääsy henkilötietoihin on vastoin Suomen perustuslain 10 pykälää ja Euroopan unionin perusoikeuskirjan 8 artiklaa. Myös tästä syystä kiireellistä menettelyä koskeva määräys on tarpeen rekisteröityjen etujen suojaamiseksi.

Asian kiireellisyyden, asianmukaisten suojatoimenpiteiden puuttumisen ja rekisteröityjen oikeuksiin ja etuihin kohdistuvien riskien vuoksi tietosuojavaltuutettu katsoo, että yleisen tietosuoja-asetuksen 66 artiklan tarkoittamat poikkeuksellisten olosuhteiden ja kiireellisten toimenpiteiden tarvetta koskevat vaatimukset täyttyvät tässä tapauksessa.

Asian jatkokäsittely ja siinä huomioitavat seikat

Huhtikuussa 2022 rekisterinpitäjän antaman selvityksen perusteella yleisen tietosuoja-asetuksen 4 artiklan 16 kohdan mukainen rekisterinpitäjän päätoimipaikka sijaitsee Alankomaissa. Elokuussa 2023 tietosuojavaltuutetun toimisto on saanut tiedon Alankomaiden valvontaviranomaiselta, että Yandex-konsernissa on tapahtunut useita yritysjärjestelyitä.

Ottaen huomioon, että tässä päätöksessä on kyse väliaikaisesta kiireellisestä toimenpiteestä rekisteröityjen oikeuksien ja vapauksien turvaamiseksi Suomessa, asian jatkoselvityksessä on edelleen arvioitava, jos ja miten yritysjärjestelyt vaikuttavat Yango-sovelluksen yhteydessä käsiteltävien henkilötietojen osalta siihen, kuka tai ketkä on katsottava rekisterinpitäjäksi. Tällä on vaikutusta myös siihen, kuka on katsottava toimivaltaiseksi valvontaviranomaiseksi.

Näin ollen asiassa lopullisen päätöksen tekee johtava valvontaviranomainen, Euroopan tietosuojaneuvosto tai tietosuojavaltuutettu toimivaltaisena valvontaviranomaisena.

Sovelletut lainkohdat

Päätöksessä mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Valitusosoitus on liitteenä.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 ja 63 §:n mukaisesti.

Lisätietoja tästä päätöksestä

Ylitarkastaja Meeri Blomberg

Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus.

Jakelu

Rekisterinpitäjät
Alankomaiden valvontaviranomainen
Norjan valvontaviranomainen
Euroopan tietosuojaneuvosto
Euroopan komissio
Traficom
Liikenne- ja viestintäministeriö
Oikeusministeriö