Edilex-palvelut

Kirjaudu sisään

TSV 18.05.2020

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

henkilötietojen käsittely - työelämän tietosuoja - tarpeellisuusvaatimus - osoitusvelvollisuus

Säädösperusta: EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä: 18.05.2020
Diaarinumero: 137/161/2020

ASIA

Tietosuojavaltuutettu on saanut kantelun tammikuussa 2019 koskien rekisterinpitäjän toimintaa. Kantelu on koskenut yhtiön työhönottotilanteessa käyttämää henkilötietolomaketta. Vireillesaattaja on ollut huolissaan siitä, mitä yritykset voivat työnhaun yhteydessä kysyä ja mitkä voivat olla seuraukset, jos jättää osaan kysymyksistä vastaamatta.

Vireillesaattajaa ei ole pidettävä hallintolain (434/2003) 11 §:n mukaisena asianosaisena. Tietosuojavaltuutetun toimisto on selvittänyt yhtiön työnhakuun liittyvän henkilötietojen käsittelyn lainmukaisuutta kantelun pohjalta.

Tietosuojavaltuutetun toimisto on pyytänyt asiassa selvitystä 10.1.2020 ja toimittanut asiasta laaditun alustavan arvion kuultavaksi rekisterinpitäjälle 20.2.2020. Yhtiö on antanut vastauksen selvityspyyntöön 27.1.2020 ja kommentoinut alustavaa arviota 11.3.2020.

Sovellettava lainsäädäntö ja oikeusohjeet

Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus (EU) 2016/679 (tietosuoja-asetus) 5 artiklan kohta 1 (a) ja (c) ja kohta 2

tietosuoja-asetus 6 artiklan 1 kohta

tietosuoja-asetus 24 artikla 1 kohta

tietosuoja-asetus 25 artiklan kohdat 1 ja 2

tietosuoja-asetus 30 artikla kohdat 1, 3, 4 ja 5

tietosuoja-asetus 58 artiklan 2 (b), (d) ja (i) kohdat

tietosuoja-asetus 83 artiklan kohdat 1,2,3 ja 5

laki yksityisyyden suojasta työelämässä (759/2004, myöhemmin työelämän tietosuojalaki) 3 § ja 5 §

Tietosuojatyöryhmän 17/FI WP 253 3.10.2017 antama ”Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat”-ohje (annettu 3.10.2017)

Oikeudellinen kysymys

Asiassa on tietosuojavaltuutetun ratkaistavana:

1. Onko rekisterinpitäjän työnhakulomakkeella keräämien henkilötietojen käsittely ollut työelämän tietosuojalain (759/2004) ja tietosuoja-asetuksen (EU) 2016/679 säännösten mukaista.

2. Onko rekisterinpitäjä sellainen yhtiö, jonka olisi tullut laatia ja ylläpitää tietosuoja-asetuksen 30 artiklan mukaista selostetta käsittelytoimista.

3. Mikäli vastaus edelliseen on myöntävä, onko rekisterinpitäjä täyttänyt velvollisuutensa.

4. Onko rekisterinpitäjä täyttänyt sille tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden.

5. Onko rekisterinpitäjä toteuttanut riittävät organisatoriset ja/tai tekniset toimenpiteet, jotta sisäänrakennettu ja oletusarvoinen tietosuoja tietosuoja-asetuksen 25 artiklan mukaisesti toteutuu, ja joilla voidaan tietosuoja-asetuksen 24 artiklan mukaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan.

6. Mikäli katsotaan, että rekisterinpitäjän toiminta on edellä mainituissa kohdissa kuvatuin tavoin työelämän tietosuojalain ja/ tai yleisen tietosuoja-asetuksen säännösten vastaista tai puutteellista asiassa on ratkaistavana se, mikä seuraamus rikkomuksista ja/ tai laiminlyönneistä on määrättävä.

Asiassa on tietosuojavaltuutetun toimiston seuraamuskollegion ratkaistavana:

7. Mikäli katsotaan, että rekisterinpitäjän toiminta on edellä mainituissa kohdissa kuvatuin tavoin työelämän tietosuojalain ja/ tai yleisen tietosuoja-asetuksen säännösten vastaista tai puutteellista asiassa on ratkaistavana se, tuleeko rekisterinpitäjälle asettaa tietosuoja-asetuksen 58 artiklan 2 (i) kohdan mukainen hallinnollinen sakko muiden mahdollisten seuraamusten sijasta tai lisäksi, sekä mahdollisesti määrättävän hallinnollisen sakon määrä.

TIETOSUOJAVALTUUTETUN PÄÄTÖS JA PERUSTELUT

Henkilötietojen kerääminen työnhakulomakkeella

Päätös

1. Rekisterinpitäjä on kerännyt tietosuoja-asetuksen 5 artiklan 1 (a) ja (c) kohtien, 6 artiklan 1 kohdan, 9 artiklan 1 kohdan sekä sitä täydentävän kansallisen työelämän tietosuojalain 3 ja 5 §:n säännösten vastaisesti työnhakijoita ja työntekijöitä koskevia tarpeettomia henkilötietoja.

Tietosuojavaltuutettu katsoo toteennäytetyksi, että edellä mainittujen säännösten vastaista henkilötietojen käsittelyä on suoritettu ainakin 25.05.2018 – 31.12.2019 välisenä aikana.

Perustelut

SOVELLETTU LAINSÄÄDÄNTÖ

Työelämän tietosuojalain 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.

Työntekijän terveydentilaa koskevien tietojen käsittely on työelämän tietosuojalain 5 §:n nojalla mahdollista, jos tiedot on kerätty työntekijältä itseltään tai hänen kirjallisella suostumuksellaan muualta ja tietojen käsittely on tarpeen sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi taikka sen selvittämiseksi, onko työstä poissaoloon perusteltu syy, taikka jos työntekijä nimenomaisesti haluaa selvitettävän työkykyisyyttään terveydentilaa koskevien tietojen perusteella. Lisäksi työnantajalla on oikeus käsitellä näitä tietoja niissä tilanteissa ja siinä laajuudessa, kuin muualla laissa erikseen säädetään.

Tietosuoja-asetuksen 5 artiklan 1 a kohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).

Tietosuoja-asetuksen 5 artiklan 1 c kohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi).

Tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

SAATU SELVITYS

Vireillesaattaja on toimittanut tietosuojavaltuutetun toimistolle valokuvia lomakkeesta, jota rekisterinpitäjä on käyttänyt rekrytointiprosessissaan. Rekisterinpitäjä on 27.1.2020 antamassa vastauksessaan todennut kyseessä olevan yhtiön yleisesti työnhaussa käyttämä lomake. Rekisterinpitäjä on todennut, että lomake on korvattu uudella lomakkeella alkuvuonna 2020.

Rekisterinpitäjä on täydennyksessään 11.3.2020 aiemmasta selvityksestään poiketen todennut, että kyseistä lomaketta ei ole käytetty 25.5.2018 jälkeen. Yhtiö on todennut, että kyseistä lomaketta on kuitenkin mahdollisesti käytetty ennen 25.5.2018.

Vireillesaattaja on laittanut asian vireille tietosuojavaltuutetun toimistossa tammikuussa 2019.

Lomakkeella on kysytty työnhakijoilta seuraavia henkilötietoja: syntymäkunta, seurakunta, perhesuhteet, suojelukoulutus, sotilasarvo, asunto, varusmiespalveluajan aloitusvuosi, varusmiespalveluaika, puolison nimi, puolison ammatti, puolison työpaikka, lasten syntymävuodet, terveydentilaan liittyvät tiedot ja tieto siitä, onko henkilö raskaana vai ei

Rekisterinpitäjän mukaan sotilasarvo taustakoulutuksineen voi olla tarpeellinen tieto esimiestehtäviä haettaessa, ja lähiomaisen yhteystiedot voivat olla tarpeellisia esimerkiksi sairauskohtauksen tai työtapaturman sattuessa. Muiden edellä mainittujen tietojen osalta yhtiö ei ole perustellut käsittelyn tarpeellisuutta. Rekisterinpitäjä on todennut, että kaikkien edellä mainittujen tietojen antaminen on ollut vapaaehtoista.

Rekisterinpitäjän palveluksessa on vuonna 2019 työskennellyt keskimäärin 150 työntekijää. Rekisterinpitäjän arvion mukaan vuosina 2018 – 2020 yhtiöön on palkattu noin 20 uutta työntekijää.

JOHTOPÄÄTÖS

Lomakkeella kerätyt henkilötiedot

Tietosuojavaltuutettu katsoo, että tietoa henkilön sotilaskoulutuksesta voidaan jossain tapauksissa pitää työelämän tietosuojalain 3 §:n tarpeellisuusvaatimuksen mukaisena arvioitaessa henkilön soveltuvuutta esimiestehtäviin. Tällaisen tiedon kysymistä lähtökohtaisesti kaikilta työnhakijoilta ei kuitenkaan voida pitää työelämän tietosuojalain 3 §:n mukaisena.

Tietosuojavaltuutettu toteaa, että myös työntekijän lähiomaisen tietojen kysymisen tulisi olla välittömästi työntekijän työsuhteen kannalta tarpeellista, ja liittyä työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtua työtehtävien erityisluonteesta. Tietosuojavaltuutettu katsoo, että työntekijän puolison nimen, ammatin tai työpaikkaa koskevia henkilötietojen käsitteleminen ei tässä tapauksessa ole tarpeellista sen perusteella, että varaudutaan työntekijän sairauskohtaukseen tai työtapaturmaan.

Näin ollen tietosuojavaltuutettu katsoo, että tässä tapauksessa toimenhakulomakkeella kysytyt syntymäkuntaa, seurakuntaa, perhesuhteita, asuntoa, puolison nimeä, puolison ammattia, puolison työpaikkaa, lasten syntymävuosia, terveydentilaa ja mahdollista raskautta koskevat henkilötiedot eivät ole saatujen selvitysten perusteella sellaisia tietoja, joita rekisterinpitäjällä olisi ollut mahdollista työnhakijoilta tai työntekijöiltä työelämän tietosuojalain 3 ja 5 §:t huomioiden kysyä tai muutoinkaan käsitellä.

Koska edellä mainittujen tietojen kysymistä ei voida pitää työelämän tietosuojalain valossa lainmukaisena, ei edellä mainittujen tietojen käsittely myöskään ole tietosuoja-asetuksen henkilötietojen käsittelyn lainmukaisuutta ja tiedon minimointia koskevien periaatteiden (tietosuoja-asetus 5 artiklan 1 (a) ja (c)) mukaista, eikä tietosuoja-asetuksen 6 artiklan 1 kohdan tarkoittamalla tavalla lainmukaista.

Lomakkeella kysytyt tiedot henkilön seurakunnasta ja terveydentilasta sekä tieto raskaudesta ovat tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja ja näin ollen niiden käsittely on ollut myös tietosuoja-asetuksen 9 artiklan 1 kohdan vastaista.

Edelleen tietosuojavaltuutettu toteaa, että merkitystä ei arvioinnissa tule antaa sille, että kysyttyjen tietojen kertominen on rekisterinpitäjän mukaan ollut vapaaehtoista, sillä työelämän tietosuojalain 3 §:n 2 momentin mukaan tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Rekisterinpitäjänä toimivan työnantajan ja työnhakijan valtasuhteiden epätasapaino huomioon ottaen työnhakija rinnastuu tässä tapauksessa työntekijään.

Lomakkeen käyttöaika ja rekisteröityjen määrä

Tietosuojavaltuutettu toteaa, että rekisterinpitäjän työnhakulomakkeen käyttöä ja päivittämisen ajankohtaa koskevat selvitykset ovat keskeisiltä osin ristiriidassa keskenään. Ensimmäisessä vastauksessa kerrottu lomakkeen käyttö- ja päivittämisaika (alkuvuosi 2020) poikkeaa toisessa vastauksessa todetusta ajankohdasta (ennen toukokuuta 2018) merkittävästi. Lomaketta koskenut kantelu on saapunut tietosuojavaltuutetun toimistoon tammikuussa 2019, mikä tukee rekisterinpitäjän aiempaa lausumaa siitä, että toimenhakulomake olisi päivitetty ja aiemman lomakkeen käytöstä olisi luovuttu alkuvuodesta 2020. Edellä mainittu huomioiden tietosuojavaltuutettu pitää saadun selvityksen perusteella toteennäytettynä sitä, että rekisterinpitäjä on kerännyt henkilötietoja ainakin osalta työnhakijoista nyt kyseessä olevalla työnhakulomakkeella vielä vuosien 2018 ja 2019 aikana. Tietosuojavaltuutettu toteaa, että lomakkeen käyttöajankohdalla ei kuitenkaan ole tapauksessa ratkaisevaa merkitystä, sillä lomakkeella kysyttyjen henkilötietojen asianmukaisuutta tulee arvioida työelämän tietosuojalain näkökulmasta. Työelämän tietosuojalaki on tullut voimaan vuonna 2004.

Tietosuojavaltuutettu toteaa, että sitä kuinka monen henkilön henkilötietoja on kyseisen lomakkeen pohjalta käsitelty ei voida ratkaista pelkästään sillä perusteella, kuinka monta uutta työntekijää yhtiöön on palkattu. On oletettavaa, että työpaikkaa yhtiöstä on hakenut valituksi tulleiden lisäksi muitakin henkilöitä. Näin ollen todennäköistä on, että työnhakulomakkeen pohjalta on käsitelty myös muiden kuin valituksi tulleiden henkilöiden henkilötietoja. Näin ollen tietosuojavaltuutettu katsoo, että lomakkeella kysyttyjä henkilötietoja käsitelty vähintään yli 20 henkilön osalta.

Velvollisuus laatia tietosuoja-asetuksen 30 artiklan mukainen seloste käsittelytoimista

Päätös

2. Tietosuojavaltuutettu katsoo, että rekisterinpitäjää on pidettävä sellaisena yhtiönä, jonka olisi tullut tietosuoja-asetuksen 30 artiklan nojalla laatia ja ylläpitää selostettaan vastuullaan olevista työntekijöiden ja työnhakijoiden henkilötietoja koskevista käsittelytoimista.

Perustelut

SOVELLETTU LAINSÄÄDÄNTÖ

Tietosuoja-asetuksen 30 artiklan 1 kohdan mukaan jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.

Velvollisuus ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

SAATU SELVITYS

Rekisterinpitäjä on todennut, että alle 250 työntekijän yrityksiä ei koske kaikki tietosuoja-asetuksen artiklat.

Rekisterinpitäjän käyttämällä hakulomakkeella on kerätty ja käsitelty tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja siten kuin edellä kohdassa 1. on tarkemmin selostettu.

Rekisterinpitäjällä on noin 150 työntekijää, joiden henkilötietoja se käsittelee säännöllisesti. Lisäksi rekisterinpitäjä käsittelee säännöllisesti työnhakijoiden henkilötietoja, eikä rekisterinpitäjän henkilötietojen käsittelyn voida katsoa olevan satunnaista.

JOHTOPÄÄTÖKSET

Tietosuojavaltuutettu katsoo, että vaikka rekisterinpitäjän palveluksessa on alle 250 työntekijää, olisi sen tullut laatia ja ylläpitää tietosuoja-asetuksen 30 artiklan mukaista selostetta nyt käsiteltävänä olevista henkilötietojen käsittelytoimista, koska työntekijöiden ja työnhakijoiden henkilötietojen käsittely on säännöllistä ja se kohdistuu erityisiin henkilötietoryhmiin.

Selosteen sisällön arviointi

Päätös

3. Tietosuojavaltuutettu katsoo, että rekisterinpitäjän on täyttänyt sille tietosuoja-asetuksen 30 artiklan nojalla kuuluvan velvollisuuden laatia ja ylläpitää selostetta vastuullaan olevista työntekijöiden ja työnhakijoiden henkilötietoja koskevista käsittelytoimista. Laadittu seloste on kuitenkin ollut puutteellinen siten, että siitä ei ole riittävällä tarkkuudella ilmennyt tietosuoja-asetuksen 30 artiklan 1 kohdan f- alakohdan mukaisia henkilötietojen suunniteltuja poistoaikoja.

Perustelut

SOVELLETTAVA LAINSÄÄDÄNTÖ

Tietosuoja-asetuksen 30 artiklan 1 kohdan mukaan selosteen on käsitettävä kaikki seuraavat tiedot:

a) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b) käsittelyn tarkoitukset;

c) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

d) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

e) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;

f) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

Tietosuoja-asetuksen 30 artiklan kohdan 3 mukaan edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

SAATU SELVITYS

Rekisterinpitäjä on toimittanut tietosuojavaltuutetulle seuraavan selosteen.

”Seloste käsittelytoimista siltä osin kuin se koskee työnhakuprosessia

Henkilötietoja

- käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi

- käsitellään luottamuksellisesti ja turvallisesti

- kerätään ja käsitellään vain työnhakuprosessia ja laillista tarkoitusta varten

- kerätään vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden

- päivitetään aina tarvittaessa – epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan

- säilytetään sellaisessa muodossa, josta rekisteröity on tunnistettavissa vain niin kauan, kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten”

Rekisterinpitäjä on myös toimittanut tietosuojavaltuutetun toimistolle tietosuojaselosteen, jossa on ollut seuraavat kohdat: rekisterinpitäjä ja rekisterinpitäjän yhteystiedot, rekisterin nimi, henkilötietojen käsittelyn tarkoitus, rekisterin tietosisältö, säännönmukaiset tietolähteet, tietojen säännönmukaiset luovutukset, tietojen siirto EU:n tai ETA:n ulkopuolelle, rekisterin suojauksen periaatteet, rekisteröidyn oikeudet. Henkilötietojen poistamisen määräajoista todetaan seuraavaa: ”Aineiston säilytysajoissa noudatetaan kulloinkin voimassa olevaa sääntelyä tietojen säilytysajoista. Poikkeuksena mm. työtodistukset sekä eläke- ja työtapaturma-asiakirjat säilytetään rekisteröidyn edun toteuttamiseksi pysyvästi.”

JOHTOPÄÄTÖS

Tietosuojavaltuutettu toteaa, että tietosuoja-asetuksen ydinelementteihin kuuluu rekisterinpitäjälle asetettu osoitusvelvollisuus. Tietosuoja-asetuksen 30 artiklan mukainen seloste käsittelytoimista on tietosuoja-asetuksella rekisterinpitäjille asetetun osoitusvelvollisuuden kannalta keskeinen elementti, jonka perusteella valvontaviranomaisen tulisi pystyä arvioimaan rekisterinpitäjän henkilötietojen käsittelyn lainmukaisuutta.

Vaikka selosteelle ei ole asetettu ehdottomia muotovaatimuksia, tulisi sen kuitenkin sisältää vähintään tietosuoja-asetuksen 30 artiklan 1 a – g kohtien mukaiset tiedot 30 artiklan 3 kohdan mukaisesti kirjallisessa (sähköinen muoto mukaan lukien) muodossa.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjän toimittamaa osoitusvelvollisuutta koskevaa materiaalia ei voida pitää sellaisena tietosuoja-asetuksen 30 artiklan mukaisena selosteena käsittelytoimista, joka täyttäisi edellä mainitun artiklan kohtien a – g kohtien mukaiset tiedot.

Rekisterinpitäjä on kuitenkin toimittanut tietosuojavaltuutetun toimistolle vastauksensa yhteydessä tietosuojaselosteen, jonka tietosuojavaltuutettu on ottanut huomioon selosteen sisältöä arvioitaessa. Tietosuojaselosteesta on käynyt ilmi tietosuoja-asetuksen 30 artiklan 1 a,b,c,d,e ja g alakohtien mukaiset vaatimukset. Tietosuojavaltuutettu katsoo, että f- alakohdan poistamista koskevien määräaikojen osalta rekisterinpitäjän ilmoittamia poistoajankohtia ei voida pitää riittävän yksilöityinä.

Edelleen tietosuojavaltuutettu katsoo, että seloste käsittelytoimista olisi tullut toimittaa pyydettäessä tietosuojavaltuutetulle 27.1.2020 annetun vastauksen yhteydessä.Osoitusvelvollisuus

Päätös

4. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä on laiminlyönyt sille tietosuoja-asetuksen 5 artiklan 2 kohdan nojalla kuuluvan osoitusvelvollisuuden siten, ettei rekisterinpitäjä ole kyennyt osoittamaan, että se noudattaa tietosuoja-asetusta työntekijöiden ja työnhakijoiden henkilötietoja käsiteltäessä.

Perustelut

SOVELLETTU LAINSÄÄDÄNTÖ

Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuoja-asetuksen 5 artiklan mukaisia periaatteita on noudatettu (”osoitusvelvollisuus”).

SAATU SELVITYS

Nyt käsiteltävänä olevassa tapauksessa tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjää toimittamaan vastauksensa liittenä tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutta koskevan materiaalin siltä osin kuin se koskee työnhakuprosessia.

Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle seuraavan osoitusvelvollisuutta koskevan materiaalin toisessa vastauksessaan 11.03.2020.

”Osoitusvelvollisuutta koskeva materiaali työnhakuprosessin osalta

Henkilötietojen tietoturva varmistetaan sekä teknisin että organisatorisin toimenpitein. Henkilötietojen käsittely toteutetaan asianmukaisesti ja tietoturvallisesti. Asianmukainen käsittely varmistetaan muun ohella alla listatuilla toimenpiteillä.

Henkilöstö

Henkilötietoja käsittelevien työntekijöiden kanssa on sopimus salassapidosta. Sopimus ja sitoumus varmistavat käsiteltävien rekisteröityjen yksityisten ihmisten tietosuoja-asetuksen mukaisten oikeuksien toteutumisen. Yhtiö panostaa henkilöstönsä tietotekniseen osaamiseen koulutuksilla, missä tietosuoja- ja tietoturva-asioiden oikeaa käyttöä opastetaan.

Henkilötietoihin pohjautuvaa materiaalia säilytetään lukituissa tiloissa.

Työsuhteiden muutostilanteiden varalle on toimintamallit, joilla varmistetaan, että käyttöoikeudet poistetaan viimeistään työsuhteen päättyessä.

Etätyötä ei tehdä henkilötietoihin liittyvissä tehtävissä.

Käyttöoikeuksien hallinnointi ja salasanapolitiikka

Käyttäjäoikeuksia hallinnoidaan keskitetysti ja järjestelmäkohtaisesti. Asiaankuuluvalla työntekijällä on henkilökohtaiset käyttäjätunnukset eri järjestelmiin. Pääsy luottamukselliseen tietoon tapahtuu aina salasanan avulla. Henkilökohtaisilla käyttäjätunnuksilla varmistetaan myös asianmukaiset lokitiedot tehdyistä muutoksista. Salasanat vaihdetaan säännöllisesti yhtiön kulloinkin voimassa olevan salasanapolitiikan mukaisesti.

Työnhakuprosessia ei ulkoisteta yhtiössä

Paperisen henkilötietomateriaalin tuhoamista varten on silppuri.

Pilvipalveluita ja siirrettäviä tietovälineitä, kuten USB-massamuisteja tai mobiililaitteita ei käytetä työnhakuprosessissa.”

Tämän lisäksi rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle tietosuojaselosteen, jonka sisältö on kuvattu kohdassa selosteen sisällön arviointi.

JOHTOPÄÄTÖS

Osoitusvelvollisuus on keskeinen periaate tietosuoja-asetuksessa. Käytännössä osoitusvelvollisuus voi tarkoittaa esimerkiksi tiettyjen tietosuoja-asetuksessa määriteltyjen toimenpiteiden tekemistä, kirjaamista ja dokumentointia. Osoitusvelvollisuuden toteutumista arvioidaan tapauskohtaisesti.

Tietosuojavaltuutettu toteaa, että osoitusvelvollisuuden toteuttamiselle ei tietosuoja-asetuksessa ole säädetty ehdottomia muotovaatimuksia. Osoitusvelvollisuus voidaan käsittelytoimista ja rekisterinpitäjän organisaatioon liittyvistä eroavaisuuksista johtuen lähtökohtaisesti toteuttaa eri tapauksissa eri tasoisilla toimenpiteillä ja materiaalilla. Keskeistä on, että osoitusvelvollisuutta koskevan materiaalin perusteella rekisterinpitäjä voi osoittaa, että se on toiminut tietosuojalainsäädännön velvoitteiden mukaisesti.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjän toimittaman materiaalin pohjalta ei ole voitu osoittaa, että rekisterinpitäjä olisi noudattanut tietosuoja-asetuksen mukaisia periaatteita ja muita säännöksiä käsitellessään työntekijöidensä ja työnhakijoiden henkilötietoja. Todettakoon lisäksi, että osoitusvelvollisuutta koskevan materiaalin olisi tullut osittain muodostua rekisterinpitäjän tietosuojan varmistamiseen liittyvistä toimista ja niiden dokumentaatiosta ja näin ollen olla tietosuojavaltuutetun saatavilla jo ensimmäisen kerran sitä pyydettäessä.

Sisäänrakennettu ja oletusarvoinen tietosuoja ja rekisterinpitäjän vastuu

Päätös

5. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut tietosuoja-asetuksen 25 artiklan mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Perustelut

SOVELLETTU LAINSÄÄDÄNTÖ

Tietosuoja-asetuksen 25 artiklassa todetaan seuraavaa.

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Tietosuoja-asetuksen 24 artiklassa todetaan seuraavaa.

Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

SAATU SELVITYS

Rekisterinpitäjän työntekijöiden ja työnhakijoiden henkilötietojen käsittely ei edellä kohdassa 1. kerrotulla tavoin ole ollut sellaista, että se vastaisi työelämän tietosuojalain ja tietosuoja-asetuksen vaatimuksia. Rekisterinpitäjä on käsitellyt työntekijöiden ja työnhakijoiden henkilötietoja työelämän tietosuojalain vastaisesti siten, että henkilötietojen käsittely ei ole rajoittunut vain työelämän tietosuojalain 3 §:n mukaisiin tarpeellisiin tietoihin.

JOHTOPÄÄTÖS

Tietosuoja-asetuksen 24 artiklan mukaan rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, jotta voidaan varmistaa ja osoittaa, että tietosuoja-asetusta noudatetaan. Näitä toimenpiteitä on tarvittaessa tarkistettava ja päivitettävä.

Näin ollen tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittelyn asianmukaisuus oltaisiin voitu varmistaa ja osoittaa.

6. Tietosuojavaltuutetun määräykset

6.1 Tietosuojavaltuutettu määrää 58 artiklan 2 (d) kohdan nojalla rekisterinpitäjän saattamaan nyt käsiteltävänä olevat käsittelytoimet tietosuoja-asetuksen ja sitä kansallisesti täydentävän lainsäädännön säännösten mukaisiksi siten, että kaikki työntekijöistä ja työnhakijoista kerätyt käsittelyn tarkoituksen kannalta tarpeettomat henkilötiedot poistetaan siltä osin, kun niille ei ole osoitettavissa laillista käsittelyperustetta.

Rekisterinpitäjä on jo korvannut nyt kyseessä olevan toimenhakulomakkeen uudella lomakkeella, jonka se on myös toimittanut tietosuojavaltuutetun toimistolle. Uudella lomakkeella kysyttyjen henkilötietojen osalta tietosuojavaltuutetulla ei ole huomautettavaa.

6.2 Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen tietosuoja-asetuksen 30 artiklan mukaiseen käsittelytoimia koskevaan selosteeseen liittyvien puutteiden johdosta.

6.3 Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaiseen osoitusvelvollisuuteen liittyvien puutteiden johdosta.

6.4 Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen tietosuoja-asetuksen 24 artiklan ja 25 artiklan mukaiseen sisäänrakennetun ja oletusarvoiseen henkilötietojen käsittelyn periaatteiden toteuttamiseen sekä rekisterinpitäjän vastuuseen liittyvien puutteiden johdosta.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

SEURAAMUSKOLLEGION PÄÄTÖS JA PERUSTELUT

Päätös

Ottaen huomioon tietosuojavaltuutetun edellä ilmenevä päätös tietosuoja-asetuksen vastaisuudesta, seuraamuskollegio on arvioinut tietosuoja-asetuksen 83 artiklan perusteella tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi hallinnollisen sakon määräämisen.

Tietosuojavaltuutetun toimiston seuraamuskollegio määrää tietosuoja-asetuksen 58 artiklan 2 (i) kohdan ja 83 artiklan 4 (a), 5 (a) ja (d) kohtien nojalla rekisterinpitäjälle määrältään 12.500,00 (kaksitoistatuhattaviisisataa) euron suuruisen hallinnollisen sakon valtiolle maksettavaksi. Hallinnollisen sakon määrää arvioitaessa on otettu huomioon tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset ankaroittavat ja lieventävät seikat.

Perustelut

SOVELLETUT SÄÄDÖKSET

Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan on otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b) rikkomisen tahallisuus tai tuottamuksellisuus;

c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g) henkilötietoryhmät, joihin rikkominen vaikuttaa;

h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan: Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a) edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna.

d) kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet

Tietosuoja-asetuksen johdanto-osan kohdan 148 mukaan: Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus.

SAADUT SELVITYKSET

Rekisterinpitäjän mukaan nyt käsiteltävänä olevasta tapauksesta ei ole aiheutunut osapuolille mitään vahinkoa, eikä liiallista tietoa ole paljastunut yhtiön ulkopuolelle.

Rekisterinpitäjän mukaan tietosuojavaltuutetun toimiston antama valistus, käytännölliset mallit ja ohjeistus ovat olleet puutteellisia. Yhtiö odottaa tietosuojavaltuutetun toimistolta käytännöllistä tyhjää lomaketta työnhakuun. Mallipohjien toimittamisen ja neuvonnan lisäksi ei ole aihetta muihin toimenpiteisiin. Vähäiset, jo korjatut puutteet eivät saa johtaa veronkorotuksen luonteiseen sakottamiseen ja terveen liiketoiminnan vahingoittamiseen.

Yhtiön liikevaihto on ollut vuonna 2019 noin 14,8 miljoonaa euroa.

JOHTOPÄÄTÖKSET

Rikkomisen luonne, vakavuus ja kesto

Rekisterinpitäjä on käsitellyt työnhakijoiden ja työntekijöidensä henkilötietoja työelämän tietosuojalain keskeisten säännösten vastaisesti siten, että useiden kerättyjen henkilötietojen käsittelyyn oikeuttava käsittelyperuste on puuttunut. Tämän lisäksi rekisterinpitäjä on laiminlyönyt noudattaa sille tietosuoja-asetuksen nojalla asetettuja keskeisiä velvollisuuksia. Henkilötietojen minimointia ja lainmukaisuutta koskevat periaatteet, osoitusvelvollisuus ja sisäänrakennettu ja oletusarvoinen tietosuoja ovat tietosuoja-asetuksen ydinelementtejä, joiden varaan käytännön tietosuojan toteutuminen rakentuu.

Todetuista rikkomuksista 24 ja 25 artiklan mukaiset rikkomukset ovat luonteeltaan tietosuoja-asetuksen 83 artiklan 4 (a) kohdan nojalla alemman vakavuusluokan rikkeitä, kun taas tietosuoja-asetuksen perusperiaatteiden vastainen henkilötietojen käsittely ja tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkominen ovat tietosuoja-asetuksen 83 artiklan 5 (a) ja (d) kohtien mukaan luonteeltaan vakavamman luokan rikkeitä.

Näin ollen tietosuojavaltuutetun päätöksellä todettuja rekisterinpitäjän rikkomuksia ja puutteita henkilötietojen käsittelyssä on pidettävä kokonaisuus huomioiden luonteeltaan vakavina rikkomuksina.

Rikkomuksia ja puutteita on todettu useita.

Rekisterinpitäjä on toimenhakulomakkeella kerännyt työntekijöiden ja työnhakijoiden henkilötietietoja työelämän tietosuojalain vastaisesti vuosien ajan. Työelämän tietosuojalaki on ollut voimassa vuodesta 2004 ja tietosuoja-asetusta on alettu soveltamaan toukokuussa 2018. Näin ollen rekisterinpitäjällä on katsottava olleen kohtuullinen aika saattaa nyt käsiteltävänä oleva henkilötietojen käsittely lainmukaiseksi, eikä rikkomista myöskään voida pitää yksittäistapauksena tai muutoin kestoltaan erityisen lyhyenä.

Rikkomisen luonnetta, vakavuutta ja kestoa on tässä tapauksessa pidettävänä hallinnollisen sakon määräämistä puoltavina seikkoina.

Rekisteröityjen määrä ja heille aiheutunut vahinko

Asianomaisten rekisteröityjen määrää olisi arvioitava, jotta voidaan määrittää, onko kyse yksittäisestä tapauksesta vai ilmentääkö tapaus järjestelmällisempää rikkomista tai asianmukaisten käytäntöjen puutetta. (Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat s. 10.)

Rekisterinpitäjän ydinliiketoimintaan ei sisälly merkittävää henkilötietojen käsittelyä, vaan käsittelytoimet muodostuvat pääsääntöisesti työntekijöiden henkilötietojen käsittelystä.

Tapauksessa toimenhakulomakkeella on kerätty arviolta kymmenien rekisteröityjen henkilötietoja tietosuoja-asetuksen ja sitä täydentävän kansallisen lainsäädännön vastaisesti, eikä rekisteröityjen määrää tältä osin siis voida pitää merkittävän suurena. Edelleen rekisterinpitäjän palveluksessa on ollut noin 150 rekisteröityä, joihin henkilötietojen käsittelyyn liittyvät puutteellisuudet voivat osaltaan vaikuttaa.

Tapauksessa todetut muut laiminlyönnit ja puutteet huomioiden tapaus ilmentää kuitenkin laajempaa asianmukaisten dokumentointikäytäntöjen puuttumista, ettei kyseessä voida katsoa olevan yksittäistapaus. Rekisteröityjen suhteellisen vähäistä määrää ei siksi sellaisenaan voida tässä tapauksessa pitää sellaisena lieventävänä seikkana, jonka perusteella hallinnollisen sakko voitaisiin tässä tapauksessa jättää määräämättä.

Rekisteröidyille ei ole osoitettu aiheutuneen konkreettista taloudellista tai muuta aineellista vahinkoa todettujen rikkomusten seurauksena. Hakulomakkeella kysytyistä tiedoista osa on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.

Rikkomuksen tahallisuus tai tuottamuksellisuus

Rekisterinpitäjän vastuulla on, että tietosuojaa koskevaa lainsäädäntöä noudatetaan. Tietämättömyys lain sisällöstä ei poista tätä vastuuta, eikä johda rangaistuksen määräämättä jättämiseen. Näin ollen se, että rekisterinpitäjä ei ole mahdollisesti tiennyt kaikista tietosuojalainsäädännön velvoitteista ei voida pitää lieventävänä asianhaarana. Tapaukseen liittyvät säännökset eivät ole keskeiseltä sisällöltään sillä tavoin puutteellisia tai vaikeasti tulkittavia, että arvioinnissa tulisi merkitystä antaa sille, että rekisterinpitäjän väittämällä tavalla tietosuojavaltuutetun toimiston antama ohjaus, käytännölliset mallit ja ohjeistus ovat olleet puutteellisia. Tietosuoja-asetuksen keskeinen periaate on riskiperusteinen lähestymistapa, jonka mukaan rekisterinpitäjän on itse arvioitava henkilötietojen käsittelyyn liittyvät riskit ja oma-aloitteisesti toteutettava niiden tasoon suhteutetut tarvittavat toimenpiteet henkilötietojen lainmukaiseksi käsittelemiseksi.

Rekisterinpitäjä ei ole toimittanut 10.1.2020 toimitetun selvityspyynnön johdosta mitään sellaista materiaalia tai dokumentaatiota, josta olisi käynyt ilmi, että tietosuojaan liittyviä periaatteita olisi nyt käsiteltävänä olevien käsittelytoimien osalta noudatettu tai yritetty noudattaa. 11.3.2020 antamansa täydennyksen ja vastauksen yhteydessä rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle selosteen käsittelytoimista sekä osoitusvelvollisuutta koskevaa materiaalia. Tämä materiaali on kuitenkin edelleen ollut olennaisilta osin puutteellista siten kuin edellä tietosuojavaltuutetun päätöksessä on todettu.

Rekisterinpitäjän toimet vahingon lieventämiseksi

Tietosuojavaltuutetun toimiston 10.01.2020 rekisterinpitäjälle toimittaman selvityspyynnön jälkeen rekisterinpitäjä on pahoitellut erehdystään ja ryhtynyt toimenpiteisiin, jotka ovat parantaneet tietosuojan tasoa henkilötietojen käsittelyssä.

Vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet

Rekisterinpitäjä ei ole työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Aiemmat vastaavat rikkomiset

Tietosuojavaltuutetun toimiston tiedon mukaan rekisterinpitäjällä ei ole vastaavia aiempia rikkomuksia.

Yhteistyö valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi

Tietosuojavaltuutetun toimiston 10.1.2020 rekisterinpitäjälle toimittaman selvityspyynnön jälkeen rekisterinpitäjä on pahoitellut erehdystään ja ryhtynyt toimenpiteisiin, jotka ovat parantaneet tietosuojan tasoa henkilötietojen käsittelyssä.

Rekisterinpitäjä on poistanut nyt käsiteltävänä olevan toimenhakulomakkeen käytöstä, eikä enää kerää aiheettomaksi todettuja henkilötietoja työnhakijoilta tai työntekijöiltä.

Rekisterinpitäjä on noudattanut lainsäädännön edellyttämää yhteistyötä valvontaviranomaisen kanssa.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Rikkomisen kohteena on ollut tietosuoja-asetuksen 9 artiklan mukaisia erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.

Rikkomisen kohteena oleva henkilötietojen käsittely on kohdistunut työnantajaan nähden heikommassa asemassa olevien rekisteröityjen (työntekijöiden) henkilötietojen käsittelyyn, mikä osaltaan puoltaa hallinnollisen sakon määräämistä.

Tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

Rikkominen on tullut tietosuojavaltuutetun toimiston tietoon kanteluna.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät

Saadun selvityksen perusteella rikkomisella ei ole saavutettu merkittävää suoraa taloudellista etua tai vältetty tappiota.

Yhteenveto

Hallinnollisen seuraamusmaksun tulee olla yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, ettei nyt käsiteltävänä olevassa tapauksessa pelkän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b ja d alakohtien mukaiset huomautukset ja määräykset ole riittävä seuraus edellä mainitut seikat huomioiden.

Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tietosuojavaltuutetun toteamat rikkomukset ja puutteet ovat niiden luonne ja vakavuus, työnhakijoille aiheutunut syrjinnän riski sekä rekisterinpitäjään nähden heikommassa asemassa olevien henkilöiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely huomioon ottaen vakavuudeltaan sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus on tietosuojavaltuutetun antamien määräysten lisäksi hallinnollinen sakko.

Sakon määrän mittaaminen

Todetuista rikkomuksista 24 ja 25 artiklan mukaiset rikkomukset ovat luonteeltaan tietosuoja-asetuksen 83 artiklan 4 (a) kohdan nojalla alemman vakavuusluokan rikkeitä, kun taas tietosuoja-asetuksen perusperiaatteiden vastainen henkilötietojen käsittely ja tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkominen ovat tietosuoja-asetuksen 83 artiklan 5 (a) ja (d) kohtien mukaan luonteeltaan vakavamman luokan rikkeitä.

Tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan rekisterinpitäjälle tulee määrätä hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Kun rekisterinpitäjä on rikkonut samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

Tapauksessa rikotut tietosuoja-asetuksen artiklat huomioiden rekisterinpitäjälle määrättävän hallinnollisen sakon enimmäismäärä olisi 20 000 000 euroa. Sakon määrää alentavina tekijöinä on kuitenkin huomioitu rekisteröityjen suhteellisen alhainen määrä sekä se, että rekisterinpitäjä on ryhtynyt korjaamaan toimintaansa. Seuraamuskollegio katsoo tehokkaaksi, oikeasuhteiseksi ja varoittavaksi määrältään 12.500 euron suuruisen hallinnollisen sakon.

Seuraamuskollegion tiedossa ei ole, että seuraamus olisi ristiriidassa eurooppalaisen seuraamuskäytännön kanssa.

Päätös ei ole lainvoimainen.

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.