Sijaintitiedot - Työntekijät

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	31.05.2022
Diaarinumero:	6813/171/21

Apulaistietosuojavaltuutetun päätös rekisteröityjen sijaintitietojen käsittelyä koskevassa asiassa

Asia

Windows 10 -käyttöjärjestelmän sijaintietotoiminnon käyttö työntekijöiden kannettavissa tietokoneissa

Rekisterinpitäjä

Pohjois-Savon sairaanhoitopiiri

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjä on 19.8.2021 tehnyt tietosuojavaltuutetun toimistolle alustavan tietoturvaloukkausilmoituksen, jonka mukaan työntekijöiden tietokoneissa on automaattisesti ”salli sijaintitiedon käyttö tässä laitteessa” -toiminto päällä. Työntekijän ei ole mahdollista itse muuttaa tätä asetusta.

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisätietoja asian selvittämiseksi 16.9.2021, 27.9.2021 ja 9.3.2022. Rekisterinpitäjä on antanut asiassa lisäselvitystä 17.9.2021, 30.9.2021 ja 14.3.2022.

Rekisterinpitäjän 17.9.2021 antaman lisäselvityksen mukaan rekisterinpitäjän tietohallinto on käynnistänyt selvitykset 18.8.2021 ICT-palveluntuottajan (Istekki Oy) kanssa koskien sijaintiasetusta ja sen saamista pois päältä. Rekisterinpitäjän tietohallinnon suorittaman selvityksen mukaan Microsoftille ei lähetetä henkilötietoja sijaintitietojen käytön sallimisen yhteydessä.

Rekisterinpitäjä on 30.9.2021 vahvistanut tietosuojavaltuutetun toimistolle, että kyse on ollut myös kannettavista, työntekijöiden mukana liikkuvista tietokoneista. Rekisterinpitäjä ei ole kertomansa mukaan käyttänyt sijaintitietoja mihinkään. 14.3.2022 rekisterinpitäjä on vahvistanut tietosuojavaltuutetun toimistolle, että sijaintitietoasetus on otettu pois käytöstä työasemissa.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen 4(1) artiklan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten sijaintitiedon perusteella.

Yleisen tietosuoja-asetuksen 25(2) artiklassa säädetään oletusarvoisen tietosuojan vaatimuksesta. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Työelämän tietosuojaan liittyvistä erityiskysymyksistä säädetään kansallisesti yksityisyyden suojasta työelämässä annetussa laissa (759/2004). Tietosuojavaltuutettu valvoo yksityisyyden suojasta työelämässä annetun lain noudattamista siten kuin lain 22 §:ssä säädetään.

Yksityisyyden suojasta työelämässä annetun lain 3 §:ssä säädetään henkilötietojen käsittelyyn liittyvästä tarpeellisuusvaatimuksesta. Lainkohdan mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään puolestaan tietojen minimointiperiaatteesta, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Yksityisyyden suojasta työelämässä annetun lain 3 §:n tarpeellisuusvaatimus rajoittaa käsiteltäväksi soveltuvat henkilötiedot sellaisiin, joilla on liityntä osapuolten oikeuksien ja velvollisuuksien hoitamiseen. Rajaus on näin ollen yleisen tietosuoja-asetuksen minimointiperiaatetta tiukempi.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava:

1) Onko Windows 10 -käyttöjärjestelmän sijaintitoiminnon käyttö työntekijöiden kannettavissa tietokoneissa ollut yksityisyydensuojasta työelämässä annetun lain (759/2004) 3 §:n mukaista, ja onko rekisterinpitäjä voinut käsitellä työntekijöiden sijaintitietoja.

2) Onko Windows 10 -käyttöjärjestelmän sijaintitietotoiminnon käyttö täyttänyt yleisen tietosuoja-asetuksen 25(2) artiklasta tulevat vaatimukset.

Apulaistietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjä ei ole noudattanut toiminnassaan yksityisyyden suojasta työelämässä annetun lain 3 §:n mukaista tarpeellisuusvaatimusta tai yleisen tietosuoja-asetuksen 25(2) artiklan mukaista oletusarvoisen tietosuojan vaatimusta, eikä rekisterinpitäjän menettely koskien Windows 10 -käyttöjärjestelmän sijaintitietoasetuksen päällä pitämistä ole ollut tietosuojasääntelyn mukainen.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys poistaa mahdolliset historiatiedot, sijaintilokit, sekä muut sijaintitieto-ominaisuuden käytössä syntyneet henkilötiedot. Rekisterinpitäjän on toimitettava 8.8.2022 mennessä tietosuojavaltuutetun toimistolle tieto toimenpiteistä, joihin se on tämän määräyksen johdosta ryhtynyt, ellei rekisterinpitäjä hae muutosta tähän päätökseen. Rekisterinpitäjä on vahvistanut tietosuojavaltuutetun toimistolle 14.3.2022, että sijaintitieto-ominaisuus on poistettu käytöstä työasemista. Tämän vuoksi apulaistietosuojavaltuutettu ei anna rekisterinpitäjälle määräystä poistaa toiminto käytöstä.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus koskien Windows 10 -käyttöjärjestelmän sijaintitietoasetuksen päällä pitämistä. Sijaintitietoasetus on ollut perusteetta oletusarvoisesti päällä työntekijöiden kannettavissa tietokoneissa, eikä rekisterinpitäjä ole huolehtinut siitä, ettei näin ole. Rekisterinpitäjällä ei ole ollut lain edellyttämää tarvetta työntekijöiden sijaintitietojen käsittelylle.

Perustelut

Yksityisyyden suojasta työelämässä annetun lain 3 §

Nyt arvioitavana olevassa asiassa sijaintitietojen pääkytkin Windows 10 -järjestelmässä on ylläpitäjän toimesta ollut lukittuna päälle. Toiminto on ollut käytössä muun muassa työntekijöiden kannettavissa tietokoneissa, jotka asiassa saadun selvityksen mukaan ovat saattaneet olla työntekijöillä myös etäkäytössä.

Koska asiassa on kyse työntekijöiden henkilötietojen käsittelystä, rekisterinpitäjän menettelyä arvioitaessa tulee huomioida yksityisyyden suojasta työelämässä annetussa laissa säädetty. Lain 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta.

Kun henkilötietojen käsittelyä ulkoistetaan, rekisterinpitäjän on silloinkin kyettävä tunnistamaan henkilötietojen käsittelyä koskevat lainmukaiset tavoitteensa ja huolehdittava siitä, että tarpeettomia henkilötietoja ei käsitellä. Koska työntekijöiden sijaintitiedot ovat tässä tapauksessa olleet työnantajalle tarpeettomia ja ylipäänsä tarkoituksetta kerättyjä, työntekijöiden sijaintia koskevien henkilötietojen käsittely ei ole ollut rekisterinpitäjälle välittömästi tarpeellista siten kuin työelämän tietosuojalain 3 §:ssä säädetään, eikä työnantajan olisi tullut käsitellä näitä tietoja.

Yleisen tietosuoja-asetuksen 25 artikla

Nyt arvioitavana olevassa asiassa työntekijöiden kannettavissa työasemissa on ollut oletusarvoisesti päällä Windows 10 -käyttöjärjestelmän sijaintitietoasetus. Rekisterinpitäjän mukaan se ei ole käyttänyt sijaintitietoja mihinkään.

Yleisen tietosuoja-asetuksen 25(2) artiklassa säädetään oletusarvoisesta tietosuojasta. Oletusarvoisen tietosuojan vaatimusta noudattaakseen rekisterinpitäjän on määritettävä etukäteen, mitä tiettyä, nimenomaista ja laillista tarkoitusta varten henkilötietoja kerätään ja käsitellään. Käsittelytoimet on suunniteltava siten, että alusta lähtien käsitellään vain niin vähän henkilötietoja kuin tietyissä käsittelytoimissa on tarpeen.

Oletusarvoisen tietosuojan vaatimus edellyttää myös, että rekisterinpitäjän on kolmannen osapuolen ohjelmistoa tai valmisohjelmistoa käyttäessään varmistettava, että toiminnot, joille ei ole laillista perustetta tai jotka eivät vastaa käsittelyn aiottuja tarkoituksia, poistetaan käytöstä.

Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän on nyt arvioitavassa asiassa ollut mahdollista hallita sijaintitietoasetusta. Apulaistietosuojavaltuutettu toteaa edelleen, että asiassa on kyse Windows 10 -käyttöjärjestelmän tavanomaisiksi katsottavista toiminnoista, eikä rekisterinpitäjä ole asiassa saadun selvityksen perusteella käynyt läpi perusasetuksia. Rekisterinpitäjän olisi tullut havaita sijaintitietoasetuksen päällä olo oikea-aikaisesti, ennen työasemien käyttöönottoa, ja rekisterinpitäjän olisi tullut arvioida ennen käyttöönottoa henkilötietojen käsittely eri toiminnallisuksissa. Rekisterinpitäjän olisi ennen työasemien käyttöönottoa tullut myös kommunikoida henkilötietojen käsittelijän kanssa riittävän yksityiskohtaisesti, minkä toiminnallisuuksien on tarkoitus olla päällä. Todettakoon, että rekisterinpitäjän käyttämän palvelun tulee tässä tapauksessa toimia ilman sijaintiasetuksen päällä oloa.

Rekisterinpitäjä on nyt arvioitavana olevassa asiassa todennut, ettei se ole käyttänyt sijaintitietoja mihinkään, ja asiassa saadun selvityksen perusteella tietoja on kerätty ilman, että näin olisi ollut tarkoitus toimia. Apulaistietosuojavaltuutettu toteaa sijaintitietojen käsittelystä työelämässä yleisesti, että rekisterinpitäjän tulee aina ennen henkilötietojen käsittelyn aloittamista huolehtia siitä, että käsittelylle on olemassa lainmukainen käsittelyperuste. Työntekijöiden henkilötietojen käsittelyn kohdalla tulee tässä kohdin kiinnittää erityistä huomiota myös yksityisyyden suojasta työelämässä annetun lain 3 §:ään ja 4 §:ään. Työntekijöitä tulee myös informoida läpinäkyvästi seurannan olemassaolosta sekä esimerkiksi sijaintitietojen käyttötarkoituksista, ja työntekijöiden tulee lähtökohtaisesti pystyä käyttämään rekisteröidyn oikeuksia, mukaan lukien henkilötietojen tarkastusoikeus. Tuotakoon esille, että EU:n tietosuojaryhmän lausuntokäytännön mukaan työnantajan ei pidä kerätä työntekijän sijaintitietoja työntekijän työaikojen ulkopuolella, ja työntekijän pitäisi pystyä kytkemään paikannustoiminto pois päältä työaikojen ulkopuolella. Työntekijää tulisi myös ohjeistaa, miten paikannustoiminnon kytkeminen pois päältä tapahtuu. EU:n tietosuojaryhmä on myös katsonut keskeiseksi, että käytössä oleva laite jatkuvasti varoittaa käyttäjää esimerkiksi pysyvästi näkyvissä olevalla kuvakkeella sijaintitietojen keruutoiminnon päällä olemisesta. EU:n tietosuojaryhmä on lisäksi todennut, että silloin, kun laitteessa on oletusasetuksena sallittu rekisteröidyn sijaintitietojen käsittely, se, ettei käyttäjä itse tee muutoksia asetuksiin, ei ole katsottavissa vapaaehtoisesti annetuksi suostumukseksi.

Tietojen välittyminen sijaintipalveluntarjoajalle

Koska rekisterinpitäjä ei ole huolehtinut asianmukaisesti käyttöjärjestelmän perusasetuksista, sijaintitieto-ominaisuuden käytön yhteydessä syntyviä tietoja on päätynyt myös sijaintipalveluntarjoajalle (Microsoft). Rekisterinpitäjä on tämän osalta arvioinut, ettei sijaintipalveluntarjoajalle päätyneissä tiedoissa ole kyse henkilötiedoista, eivätkä rekisteröidyt ole olleet tunnistettavissa. Rekisterinpitäjän tietohallinto on asiaa selvittäessään saanut Microsoftilta seuraavan vastauksen:

”If you have enabled the device location setting, your device sends de-identified loca-tion information (including wireless access point information, and precise GPS location if available) to Microsoft after removing all personally identifiable information at the service”

Rekisterinpitäjän tietohallinnon Microsoftilta saaman vastauksen mukaan silloin, kun laitteen paikannusominaisuus on päällä, laite lähettää tunnistamattomaksi muunnettua paikkatietoa, mukaan lukien langattoman verkon kytkentäpisteen, matkapuhelinverkon tukiaseman tiedon ja mahdollisesti saatavilla olevan tarkan GPS-sijainnin. Tietoa näin ollen lähetetään sijaintipalveluntarjoajalle. Apulaistietosuojavaltuutettu kiinnittää tässä kohdin huomiota siihen, että toimintatapa ei estä tietojen yhdistelemistä sijaintipalvelua tarjoavan toimijan toimesta siten, että rekisteröity on edellä kuvatusta menettelystä huolimatta lähtökohtaisesti tunnistettavissa. Yleisen tietosuoja-asetuksen 4(1) artiklan mukaan:

"henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella."

Yleisen tietosuoja-asetuksen johdantokappaleen 26 mukaan:

”jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys”.

Henkilötietoja ovat siis myös tiedot, joista henkilö voidaan epäsuorasti tunnistaa. Yleisen tietosuoja-asetuksen johdantokappaleessa 26 todetaan edelleen, että henkilötietoja ovat tiedot, jotka voidaan yhdistää luonnolliseen henkilöön lisätietoja käyttämällä. EU:n tietosuojaryhmä on henkilötietojen käsitteestä antamassaan lausunnossa todennut tietojen yhdistelyn osalta, että ”Jos käytettävissä olevat tunnisteet eivät lähtökohtaisesti mahdollista henkilön tunnistamista, henkilö saattaa silti olla "tunnistettavissa", koska tieto yhdistettynä muihin tietoihin (joiden ei välttämättä tarvitse olla rekisterinpitäjän hallussa) mahdollistaa henkilön erottamisen muista”. Nyt arvioitavassa asiassa on kyse tiedoista, jotka voidaan yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, tietoja yhdistelemällä, ja joista rekisteröity voidaan näin epäsuorasti tunnistaa

Riippumatta siitä, onko tietoja tosiasiallisesti yhdistelty, asiassa on katsottava olevan kyse henkilötiedoista myös niiden tietojen osalta, jotka ovat päätyneet sijaintipalveluntarjoajalle. Apulaistietosuojavaltuutettu huomioi myös, että esimerkiksi tieto langattoman verkon kytkentäpisteestä, joka edellä todetusti lukeutuu sijaintipalveluntarjoajalle meneviin tietoihin, saattaa sisältää wifi-tukiaseman MAC-osoitteen, joka yksilöi fyysisen laitteen, ja kyseinen laite voi olla esimerkiksi rekisteröidyn kotona.

Apulaistietosuojavaltuutettu toteaa, että oletusarvoisen tietosuojan toteuttamisen ja rekisterinpitäjän muiden velvoitteiden noudattamisen kannalta on ensisijaisen tärkeää, että rekisterinpitäjä tekee asianmukaisen ja perusteellisen arvion siitä, milloin kyseessä on henkilötietojen käsittely. Vastuuta tämän arvioinnin oikeellisuudesta ei ole mahdollista siirtää henkilötietojen käsittelijälle, kuten ICT-palveluntarjoajalle.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Lisätietoa tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774

Päätös on lainvoimainen.