TSV 27.12.2022
Suostumus terveydentilaa koskevien henkilötietojen käsittelyyn
terveystiedot - suostumus
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 27.12.2022 |
| Diaarinumero: | 1198/161/22 |
Tietosuojavaltuutetun ja seuraamuskollegion päätös
Asia
Henkilötietojen käsittely Palvelun yhteydessä
Asian tausta
1. Tietosuojavaltuutetun toimistoon on aikavälillä 22.5.2018 - 18.2.2019 saatettu vireille viisi kantelua, jotka ovat koskeneet yritys X (myöhemmin ”rekisterinpitäjä”) harjoittamaa henkilötietojen käsittelyä rekisteröidyttäessä yritys X:n Palveluun (myöhemmin ”Palvelu”).
2. Myös Itävallan valvontaviranomaiseen on edellä mainittuna aikana saatettu vireille kantelu, joka on koskenut rekisterinpitäjän harjoittamaa henkilötietojen käsittelyä Palvelun yhteydessä. Koska nyt kyseessä oleva rekisterinpitäjän harjoittama henkilötietojen käsittely vaikuttaa tai voi vaikuttaa merkittävästi myös muissa EU:n jäsenvaltioissa sijaitseviin rekisteröityihin, on asia käsiteltävä yleisen tietosuoja-asetuksen 60 artiklan mukaisessa yhteistyömenettelyssä. Tietosuojavaltuutetun toimisto on johtava valvontaviranomainen tässä asiassa kyseessä olevien rekisterinpitäjän harjoittamien henkilötietojen käsittelytoimien osalta. Siten Itävallan valvontaviranomaiseen vireille saatettu kantelu on 18.7.2018 toimitettu tietosuojavaltuutetun toimiston käsiteltäväksi. Asia ratkaistaan yhdessä muiden viiden kantelun kanssa.
3. Tietosuojavaltuutetun toimisto käsittelee hakijoiden kantelut hallintolain (434/2003) 25 §:n nojalla yhdessä.
Kanteluiden sisältö
4. Kanteluissa on esitetty, että rekisterinpitäjän valmistaman sykekellon käyttö edellyttää Palvelun käyttöä ja sellaisten käyttöehtojen hyväksymistä, joihin hakija ei ole halunnut suostua. Ottaakseen käyttöön Palvelun, hakijoiden on tullut hyväksyä eli antaa suostumus seuraaviin käsittelytoimiin:
i. sykettä koskevan henkilötiedon käsittelyyn rastittamalla ruutu, jossa todetaan seuraavaa: ”Hyväksyn, että yritys X voi kerätä ja käsitellä arkaluonteisia henkilötietojani kuten sykettä ja muita arkaluonteisiksi henkilötiedoiksi katsottuja terveystietoja yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain.”;
ii. henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle rastittamalla ruutu, jossa todetaan seuraavaa: ”Hyväksyn, että henkilötietojani voidaan siirtää kotimaani ulkopuolelle ja käsitellä siellä yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain.”; ja
Yritys X:n käyttöehtoihin, jossa todetaan muun muassa seuraavaa: ”Tallentaessasi, lähettäessäsi tai siirtäessäsi yritys X:n palveluihin sisältöä annat yritys X:lle vastikkeettoman, maailmanlaajuisen, siirrettävissä olevan, edelleen lisensoitavissa olevan oikeuden käyttää, kopioida, esittää julkisesti, editoida, kääntää ja jakaa edelleen omaa Käyttäjän Luomaa Sisältöäsi. Muilta kuin henkilötietojasi koskevilta osin yritys X:lle antamasi oikeudet eivät ole peruutettavissa. Huomaa, että myöskään suljettuasi käyttäjätilisi ja henkilötietojesi tultua poistetuiksi yritys X:n järjestelmistä esimerkiksi keskustelupalstoille kirjoittamiasi kommentteja ei poisteta. Ennen tilisi sulkemista voit kuitenkin aina poistaa itsesi palveluihin toimittamaa Käyttäjän Luomaa Sisältöä ja esimerkiksi kirjoittamiasi kommentteja.” (Ote rekisterinpitäjän tietosuojaselosteesta 22.5.2018)
Asian rajatylittävä luonne
5. Rekisterinpitäjän Palvelua tarjotaan myös muissa EU/ETA-alueen jäsenvaltioissa, ja henkilötietojen käsittelylle on asetettu samankaltaiset ehdot riippumatta siitä, missä maassa käyttäjä sijaitsee. Koska nyt kyseessä oleva henkilötietojen käsittely suoritetaan unionissa rekisterinpitäjän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä, ja käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin, on asia yleisen tietosuoja-asetuksen 4 artiklan 23 kohdan tarkoittamalla tavalla rajatylittävä.
6. Asia käsitellään siten yleisen tietosuoja-asetuksen 60 artiklan mukaisesti niin kutsutussa yhden luukun järjestelmässä.
7. Asiassa tehdyn arvion mukaan Palveluun liittyvät henkilötietojen käsittelyn tarkoituksia ja keinoja koskevat päätökset tehdään Suomessa, minkä takia tietosuojavaltuutetun toimisto on yleisen tietosuoja-asetuksen 56 artiklassa tarkoitettu johtava valvontaviranomainen.
8. Tietosuojavaltuutetun toimisto käsittelee asian yleisen tietosuoja-asetuksen 60 artiklassa säädetyn menettelyn mukaisesti yhteistyössä osallistuvien jäsenvaltioiden valvontaviranomaisten kanssa. Nyt kyseessä olevassa asiassa yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan b alakohdan mukaisia osallistuvia valvontaviranomaisia ovat Italian, Belgian, Tsekin, Ranskan, Tanskan, Kreikan, Saksan, Unkarin, Hollannin, Norjan, Slovakian, Slovenian, Ruotsin, Luxemburgin, Espanjan ja Puolan valvontaviranomaiset, sillä kantelun kohteena oleva käsittely vaikuttaa tai on omiaan vaikuttamaan merkittävästi näissä jäsenvaltioissa oleviin rekisteröityihin. Itävallan valvontaviranomainen on yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan c alakohdan perusteella osallistuva valvontaviranomainen, sillä se on vastaanottanut kantelun.
Asian käsittely yhteistyömenettelyssä
9. Tietosuojavaltuutetun toimisto on johtavana valvontaviranomaisena toimittanut yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaisesti asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille.
10. Tietosuojavaltuutetun toimisto on toimittanut osallistuville valvontaviranomaisille tiedon rekisterinpitäjän antamista selvityksistä . Näiden lisäksi tietosuojavaltuutetun toimisto on varannut osallistuville valvontaviranomaisille tilaisuuden esittää huomioita rekisterinpitäjälle lähetettävästä kuulemispyynnöstä ennen kuulemispyynnön lähettämistä rekisterinpitäjälle. Osallistuvista valvontaviranomaisista Ranskan valvontaviranomainen (The Chair of the Commission Nationale de l’Informatique et des Libertés, myöhemmin ”CNIL”) on toimittanut huomioita tietosuojavaltuutetun toimistolle. Kuulemis- ja lisätietopyyntöä koskevat huomiot ovat koskeneet muun muassa seuraavia seikkoja:
i. CNIL on kiinnittänyt huomiota rekisterinpitäjän antamaan selvitykseen, jonka mukaan rekisterinpitäjä käsittelee tietoa käyttäjän pituudesta, painosta, iästä, treenitaustasta, aktiivisuutavoitteesta ja uniajan tavoitteesta. CNIL on katsonut, että asiassa tulisi arvioida, käsitteleekö rekisterinpitäjä myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, jos se pystyy yhdistämään keräämiään tietoja. Rekisterinpitäjän informointi sen käsittelemien erityisten henkilötietojen käsittelystä ei ole ollut selkeää.
ii. CNIL on myös kiinnittänyt huomiota rekisterinpitäjän harjoittamaan tutkimus- ja tuotekehitystä koskevaan henkilötietojen käsittelyyn.
11. Edellä kerrotusti tietosuojavaltuutettu on pyrkinyt jo ennen yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaisen päätösluonnoksen laatimista kuulemaan osallistuvien valvontaviranomaisten näkemystä tietosuojavaltuutetun toimiston alustavista johtopäätöksistä.
12. Esitetyt huomiot on otettu asiassa huomioon seuraavasti:
i. Tietosuojavaltuutettu on CNIL:n esittämän havainnon johdosta lisännyt kuulemispyyntöön kysymyksen siitä, mitä kaikkia erityisiin henkilötietoryhmiin kuuluvia tietoja rekisterinpitäjä käsittelee (ks. kuulemispyynnön kysymys I).
ii. Koska henkilötietojen käsittely tutkimus- ja tuotekehitystarkoituksessa ei ole ollut kanteluiden kohteena, tietosuojavaltuutettu ei käsittele asiaa tämän päätöksen yhteydessä. Asia on mahdollista ottaa tutkittavaksi oma-aloitteisena asiana myöhemmin. Tässä yhteydessä tietosuojavaltuutettu toteaa, että Palveluun rekisteröitymisen yhteydessä on tällä hetkellä mahdollista vastustaa omien henkilötietojen käsittelyä tätä tarkoitusta varten.
13. Tietosuojavaltuutetun ja seuraamuskollegion päätösluonnos on toimitettu osallistuville valvontaviranomaisille 18.10.2022 yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaisesti. Osallistuvien valvontaviranomaisten on tullut esittää yleisen tietosuoja-asetuksen 4 artiklan 24 kohdan mukainen merkityksellinen ja perusteltu vastalause tietosuojavaltuutetun ja seuraamuskollegion päätökseen 18.11.2022 mennessä.
14. Osallistuvista valvontaviranomaisista CNIL on 18.11.2022 esittänyt merkityksellisen ja perustellun vastalauseen tietosuojavaltuutetun ja seuraamuskollegion päätösehdotukseen. CNIL on vastalauseessaan esittänyt, että tietosuojavaltuutetun tulisi käyttää päätöksessä todetun 7 artiklan 2 ja 4 kohtien rikkomisten johdosta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.
15. Esitetyn vastalauseen lisäksi CNIL on toimittanut kommentin tietosuojavaltuutetun ja seuraamuskollegion päätösehdotukseen. Kommentissa CNIL ehdottaa, että 9 artiklan rikkomisen johdosta annettavalle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaiselle määräykselle annettaisiin määräpäivä, johon mennessä toiminta on saatettava yleisen tietosuoja-asetuksen mukaiseksi.
16. Tietosuojavaltuutettu on ottanut CNIL:n esittämän vastalauseen huomioon päätöksessään ja lisännyt päätökseen 7 artiklan rikkomuksen johdosta annettavan määräyksen. Tietosuojavaltuutettu on myös ottanut päätöksessään CNIL toimittaman kommentin huomioon. CNIL:n vastalauseen johdosta tietosuojavaltuutetun päätökseen tehdyt muutokset on käsitelty seuraamuskollegiossa 8.12.2022. Tietosuojavaltuutetun toimisto on toimittanut yleisen tietosuoja-asetuksen 60 artiklan 5 kohdan mukaisesti tarkistetun päätösehdotuksen osallistuville valvontaviranomaisille.
17. Kukaan osallistuvista valvontaviranomaisista ei ole toimittanut merkityksellistä ja perusteltua vastalausetta tietosuojavaltuutetun toimiston ja seuraamuskollegion tarkistettuun päätösehdotukseen 23.12.2022 mennessä. Niin ikään yleisen tietosuoja-asetuksen 60 artiklan 6 kohdan mukaan johtavan valvontaviranomaisten ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen päätösehdotus, joka sitoo niitä.
Rekisterinpitäjältä saatu selvitys ja lisäselvitys
18. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 18.10.2018 ja lisäselvitystä 4.11.2019. Rekisterinpitäjä on toimittanut vastauksen pyydettyihin selvityksiin 9.11.2018 ja 19.11.2019. Rekisterinpitäjä on selvityksissään kertonut muun muassa seuraavaa.
Yleistä rekisterinpitäjän sykekelloista ja palvelusta
19. Rekisterinpitäjä on kertonut yleisesti Palvelusta muun muassa seuraavaa:
”Palvelu ja Yritys X:n laitteet (rannelaitteet, sensorit) ovat kaksi erillistä asiaa. Ostaessaan yritys X:n laitteen asiakas ei automaattisesti saa Palvelua käyttöönsä. Suurin osa laitteistamme edellyttää Palvelun käyttöä, osaa voi käyttää jossain määrin tai kokonaan myös ilman Palvelua. Tämä seikka tuodaan ilmi jo pakkauksessa ja laitteen käyttöohjeissa. Myös verkkosivustollamme on asiaa koskevaa ohjeistusta.
Keskeinen yritys X:n laitteisiin ja palveluihin liittyvä perusperiaate on se, että laitteilla (rannelaitteet ja sensorit) kerätään dataa (esimerkiksi urheilusuorituksen aikaista syke- ja aktiivisuusdataa sekä paikkatietoja) ja kerätty data siirretään Palveluun analysoitavaksi erilaisten lisäarvopalveluiden tuottamiseksi. Vaikka joidenkin laitteidemme perustoimintoja voi käyttää myös sellaisinaan ilman Palvelua (ns. stand alone -käyttö), parhaan lisäarvon saaminen edellyttää Palvelun käyttöä.
Palvelu on ilmainen, mutta vaatii rekisteröitymisen ja Palvelun käyttöehtojen hyväksymisen sekä tarvittavien suostumusten antamisen.
Tietosuojavaltuutetun saamissa valituksissa kritisoidaan, että rekisteröidyn on suostuttava siihen, että yritys X käyttää asiakkaan henkilötietoja ja että muutoin yritys X:n sykemittaria ostettaessa luvattua palvelua ei voi käyttää. Laite ja Palvelu ovat kuitenkin kaksi erillistä asiaa, eikä Palvelua ”myydä” oston yhteydessä, vaan sen käyttöä suositellaan - joissakin tapauksissa toki myös edellytetään. Viimemainituissa tapauksissa (tuotteen käyttö edellyttää Palvelun käyttöä) asiakasta myös informoidaan asiasta mm. tuotepakkauksissa. Palvelun käytölle on kuitenkin omat ehtonsa, joihin asiakkaan tulee suostua ennen Palvelun käytön aloittamista. Kuten yllä on todettu, tarjoamme laitteen ostajalle mahdollisuuden myös palauttaa tuotteen, jos hän ei lopulta ole valmis hyväksymään Palvelun ehtoja luodessaan käyttäjätiliä.”
20. Rekisterinpitäjä on antamassaan lisäselvityksessä vielä täsmentänyt Palvelua seuraavasti:
Rannelaitteiden perustoimintoja on ”ajan ja käyttäjän perustietojen asettaminen (pituus, paino, syntymäaika, treenitausta, aktiivisuustavoite, uniajan tavoite). Myös erillisen sykeanturin liittäminen rannelaitteeseen onnistuu ilman tiliä. Perustoimintoja ovat sykkeen, aktiivisuuden ja harjoituksen mittaaminen oletussporttiprofiileilla, joita ovat esimerkiksi juoksu, kävely ja pyöräily. Harjoituksen aikana perustoiminnot mahdollistavat lajista riippuen esimerkiksi sykkeen, kulutettujen kalorien, nopeuden, harjoitusmatkan, kierrosten ja harjoituksen keston mittaamisen. Laitteella voi käyttää myös ajastimia ja herätystoimintoa. Laitteen käyttöliittymän visuaalista asua pystyy myös muuttamaan valitsemalla haluamansa kellotaulun. Perustoimintojen määrä vaihtelee laitemalleittain ja laitteen ominaisuudet voivat mahdollistaa esimerkiksi hengitysharjoitusten tekemisen.
Stand alone -käytössä laitteen ohjelmistoa ei pysty toistaiseksi päivittämään ilman tunnusta, mutta laitteen voi ottaa käyttöön ja sen perustoimintoja voi käyttää sillä ohjelmistolla, joka laitteeseen on asennettu tehtaalla ja joka laitteessa on asiakkaan ostaessa laitteen. Tässä ohjelmistossa on toki mukana myös kaikki Palvelun kautta käyttöön saatavissa olevat toiminnot, mutta niitä ei pysty stand alone -tilassa hyödyntämään. Tällaisia lisätoimintoja ovat esimerkiksi erilaiset graafit ja ohjaukset, jotka vaativat toimiakseen palvelussa olevia algoritmejä ja alustoja.”
Suostumuksesta henkilötietojen käsittelyn oikeusperusteena
21. Rekisterinpitäjä on kertonut selvityksessä suostumuksesta käsittelyperusteena muun muassa seuraavaa:
”Toukokuussa 2018 yritys X, kuten moni muukin yritys, teki muutoksia lakiteksteihinsä uuden tietosuoja-asetuksen vuoksi. Kirjoitimme mm. käyttöehtomme ja tietosuojakäytäntömme uudelleen käyttäjäystävällisempään muotoon. Varsinaiset käyttöehdot eivät juurikaan muuttuneet, mutta kaikki muutokset tehtiin ennen kaikkea käyttäjän eduksi.”
22. Rekisterinpitäjä on kertonut antamassaan selvityksessä muuttaneensa kokonaan käsittelyperusteen suostumukseksi seuraavien seikkojen johdosta:
”Lakiperusteen muutos tehtiin useammasta syystä. Ensimmäinen syy on EU:n ulkopuolinen lainsäädäntö. Kuten yllä on todettu, yritys X on globaalisti toimiva yritys, jolla on asiakkaita kaikkialla maailmassa. Tästä johtuen yritys X:n tulee noudattaa muidenkin maiden kuin pelkästään EU-alueen tietosuojalakeja. Tällä hetkellä pystymme tarjoamaan Palvelun vain yhdessä (kaikille samassa) muodossa kaikkialle maailmaan, emmekä tästä syystä pysty räätälöimään palvelun toimintaa tai käyttöön noudatettavia periaatteita maakohtaisesti. Selvitämme parhaillaan teknisiä mahdollisuuksia maakohtaisen, kunkin maan lainsäädännön erityispiirteet huomioivan ja tältä osin optimoiden rekisteröinnin tarjoamiseksi, mutta toistaiseksi emme tällaista toiminnallisuutta pysty tarjoamaan.”
”EU:n tulkinnan mukaan sydämen sykkeeseen perustuva data yhdistettynä käyttäjän antamaan muuhun tietoon (pituus, paino, ikä) on verrattavissa terveystietoon. Tästä datasta voidaan edelleen tehdä henkilön terveyteen liittyviä johtopäätöksiä. Koska yritys X:n palvelun toiminta perustuu suurelta osin näiden tietojen käyttöön, olemme suoraan lain nojalla pakotettuja käyttämään suostumusta oikeusperusteena asiakkaidemme syketiedon keräämiseen.”
”Kolmas syy oikeusperusteen muuttamiselle on halumme huolehtia siitä, että asiakkaamme varmasti ymmärtävät henkilötietojensa käsittelyssä noudatettavat periaatteet ja käytännöt. Halusimme tarkentaa käyttäjillemme heidän tietojensa käsittelyä. Tältä osin kysymys on ennen kaikkea asiakaspalvelusta. Uskomme, että osa asiakkaistamme ei ollut käytännössä lukenut käyttöehtojamme ja tietosuojapolitiikkaamme ainakaan riittävällä huolellisuudella ennen niiden hyväksymistä, joten halusimme kiinnittää heidän huomionsa asioihin mitä heidän tiedoillaan tehdään ja mihin niitä käytetään. Tehdyt kantelut ovat itse asiassa osoittaneet tältä osin huolenaiheemme oikeaksi. Itse tietojen käsittelyssä mikään ei nimittäin ole muuttunut.”
23. Rekisterinpitäjä on kuvannut selvityksessään suostumuksen antamista Palveluun rekisteröitymisen yhteydessä seuraavasti:
” Suostumusten anto ja uudet käyttäjät: Kun uusi käyttäjä ostaa yritys X:n laitteen hänet ohjeistetaan rekisteröitymään Palveluun saadakseen täyden hyödyn irti laitteestaan. Palvelun käyttö ei kuitenkaan ole pakollista eikä se kuulu automaattisesti laitteen hankintaan. Jos uusi käyttäjä rekisteröityessään Palveluun ei halua antaa suostumuksiaan vaadittuihin kohtiin, hän voi päättää olla käyttämättä Palvelua eikä hänestä tällöin tallenneta mitään tietoja yritys X:n järjestelmiin. Mitään tietoja ei siis tallenneta asiakkaasta Palveluun ennen pyydettyjen suostumusten antamista. Käyttäjän päättäessä olla hyväksymättä Palvelun ehtoja ja kieltäytyessä antamasta pyydettyjä suostumuksia, voi hän halutessaan myös palauttaa laitteen ostopaikkaan ja saada rahansa takaisin. On kuitenkin huomattava, että nykypolitiikkamme mukaisesti uudet rannelaitteemme tulee voida ottaa käyttöön ja niiden perustoimintoja on voitava käyttää ilman palveluun rekisteröitymistä. Käyttöönotto ja käyttö ilman palvelua onnistuu mm. nyt syksyllä 2018 lanseeratuilla uusilla laitteilla sekä joillakin jo aiemmin myynnissä olleilla laitteilla.
Suostumusten anto ja vanhat käyttäjät: Kun vanha käyttäjämme on aikanaan rekisteröitynyt Palveluumme, hän on hyväksynyt käyttöehtomme ja silloisen tietosuojapolitiikkamme. Ilman näiden dokumenttien hyväksymistä, ei tiliä ole voinut luoda. Ehdot hyväksymällä hän on antanut suostumuksensa tietojensa keräämiseen ja niiden mahdollisen siirtämiseen EU/ETA alueen ulkopuolelle. Kun yritys X teki muutoksen henkilötietojen käsittelyn oikeusperusteen muuttamiseksi sopimuksesta suostumukseksi, tietojen siirron sekä sensitiivisen tiedon käsittelyn osalta vain oikeusperuste muuttui, ei itse tietojen käsittely. Vanhat käyttäjämme ovat siis jo kertaalleen antaneet suostumuksensa näille samoille asioille, mutta eri oikeusperusteella. Jos vanha asiakas ei halua antaa suostumustaan näille samoille asioille uudella oikeusperusteella, tulkitsemme sen hyväksynnän vetämiseksi heidän aikanaan hyväksymiltään käyttöehdoilta ja tietosuojapolitiikalta, jolloin meillä on oikeus purkaa sopimus ja päättää Palvelun käyttö. Käyttäjän, joka ei halua antaa yhtä tai useampaa pakollista suostumustaan, tili lukitaan ja hänellä on puoli vuotta aikaa muuttaa mielensä, antaa suostumuksensa ja jatkaa Palvelun käyttöä. Puolen vuoden jälkeen tili ja kaikki siihen liittyvä data siirretään poistettavaksi. Koko tämän ajan käyttäjä voi käyttää laillista oikeuttaan tietojensa siirtoon ja hän voi halutessaan ladata tietonsa yritys X:n tilinhallinnan palvelusta. Käyttäjä voi myös itse poistaa tai pyytää tilinsä poistoa, jolloin tili poistetaan 30 päivän kuluessa.”
24. Selvityksessä rekisterinpitäjä kertoo vielä seuraavaa:
”Yritys X on tietoinen suostumuksen käytön hankaluudesta tässä yhteydessä, emmekä valinneet sitä kevyin perustein. EU:n ulkopuolisista syistä johtuen, koimme kuitenkin, että meillä ei ollut muuta mahdollisuutta. Ja kuten yllä on todettu, myös EU:n tietosuoja-asetus velvoittaa meidät joka tapauksessa pyytämään suostumuksen asiakkaidemme syketietojen käsittelemiselle. Emme ole tehneet mitään muutoksia itse tietojen käsittelyyn, joten vanhoja asiakkaitamme ei pakoteta hyväksymään mitään sellaista, mitä he eivät jo aiemmin ole hyväksyneet. Tämä on tietosuoja-asetuksen 7 artiklan mukaista ja asiakkaalla on koko ajan valinnan mahdollisuus käyttää tai olla käyttämättä palveluamme.”
25. Rekisterinpitäjä on toimittamassaan selvityksessä kertonut Iso-Britannian valvontaviranomaisen (Information Commissioner’s Office, myöhemmin ”ICO”) antamasta päätöksestä (16.10.2018). Rekisterinpitäjän mukaan ICO on päätöksessä yksiselitteisesti todennut rekisterinpitäjän menettelytavan olevan tietosuojavelvoitteiden mukainen.
26. Tietosuojavaltuutetun toimisto on 13.5.2022 pyytänyt rekisterinpitäjää toimittamaan rekisterinpitäjän edellä kohdassa 25 viittaaman ICO:n päätöksen. Rekisterinpitäjä on toimittanut päätöksen 20.5.2022.
27. ICO:n päätös, johon rekisterinpitäjä on viitannut, on koskenut kantelua, jonka ICO on vastaanottanut keväällä 2018. Kantelussa on ollut kyse siitä, että rekisterinpitäjä on edellyttänyt kyseistä kantelijaa antamaan suostumuksen Palvelun käyttöön, vaikka kantelija on ollut Palvelun käyttäjä jo useita vuosia. Kantelun johdosta ICO on pyytänyt selvitystä rekisterinpitäjältä.
28. Selvityksessä ICO on pyytänyt rekisterinpitäjää antamaan selvitystä siitä, miksi rekisterinpitäjä on päätynyt pyytämään suostumuksen henkilötietojen käsittelyyn, ja mikä on johtanut käsittelyperusteen muutokseen. Lisäksi ICO on pyytänyt selvitystä siitä, miksi suostumus on vaadittu myös vanhoilta käyttäjiltä, joiden henkilötietoja rekisterinpitäjä on jo käsitellyt.
29. Rekisterinpitäjä on ICO:lle toimittamassa selvityksessä kertonut, että yleisen tietosuoja-asetuksen soveltamisen alettua suurin muutos rekisterinpitäjän toimintaan oli käsittelyperusteen vaihtaminen sopimuksesta suostumukseksi. Niin ikään rekisterinpitäjä on ollut velvollinen pyytämään myös vanhoilta käyttäjiltä suostumuksen henkilötietojen käsittelyyn, tietojen siirtoon ja arkaluonteisten henkilötietojen käsittelyyn. Rekisterinpitäjä on kertonut, että henkilötietojen käsittely itsessään ei ole muuttunut, vaan ainoastaan vanhoja käyttäjiä on pyydetty antamaan suostumus henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen vaatimusten vuoksi.
30. ICO on 16.10.2018 toimittanut rekisterinpitäjälle vastauksen rekisterinpitäjän antaman selvityksen johdosta. ICO on vastauksessaan todennut, että rekisterinpitäjän toimittaman selvityksen valossa ICO on tyytyväinen rekisterinpitäjän toimiin, joka liittyvät käsittelyperustetta koskevaan muutokseen, jossa käsittely perustuu suostumukseen, ja että rekisterinpitäjän toimet ovat yleisen tietosuoja-asetuksen mukaisia. ICO on lisäksi todennut, ettei se katso tarpeen selvittää rekisterinpitäjän toimintaa käsittelyperustetta koskevilta osin laajemmin.
31. Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän ICO:lle antama selvitys vastaa rekisterinpitäjän tietosuojavaltuutetun toimistolle antamaa selvitystä käsittelyperusteen muuttamisesta (ks. tämän päätöksen kohdat 21-24).
Henkilötietojen luovuttamisesta kolmansille
32. Rekisterinpitäjä on selvityksessään todennut käsitteiden luovutus ja siirto menevän helposti sekaisin. Tietojen luovutuksesta rekisterinpitäjä on kertonut seuraavaa:
”Yritys X ei luovuta tietoja kolmansille osapuolille. Tämä lukee tietosuojakäytännössämme: Yritys X ei luovuta henkilökohtaisia tietojasi kolmansille osapuolille ilman erikseen pyydettävää lupaasi, ellei se ole tarpeen tilauksesi käsittelyn, pyyntösi toteuttamisen tai interaktiivisten asiakasohjelmiemme hallinnan vuoksi. Tietoja voidaan kuitenkin luovuttaa, jos laki tai oikeuden taikka viranomaisen määräys tai pyyntö niin edellyttää.”
Tietojen siirto EU/ETA-alueen ulkopuolelle
33. Tietojen siirrosta rekisterinpitäjä on kertonut muun muassa seuraavaa:
”Yritys X siirtää jonkin verran tietoja EU/ETA-alueen ulkopuolelle. Lähes kaikki palvelun käyttäjädata on EU-alueella olevilla palvelimilla (Suomi ja Irlanti). Yritys X käyttää kuitenkin asiakassähköpostipalveluntarjoajaa, jonka palvelin sijaitsee USA:ssa. Käytämme myös palveluiden monitorointipalveluntarjoajaa, jonka palvelin on myös USA:ssa. Kummassakin tapauksessa on mahdollista, että käyttäjän sähköpostiosoite tai käyttäjätunnistetieto (käyttäjä-ID) siirtyy palveluntarjoajan palvelimelle. Nämä datan tallennuspaikat ovat olleet samat niin kauan kuin palvelu on ollut olemassa ja tiedon siirrosta on kerrottu asiakkaalle ennen toukokuuta 2018 tietosuojapolitiikassa ja sen jälkeen tietosuojakäytännössä.
Tietojen siirto tehdään artiklan 49 kohdan 1 alakohdan a perusteella. Käyttäjältä saadun suostumuksen lisäksi, käytämme myös artiklassa 46 määriteltyjä suojatoimia. Teemme tietojenkäsittelysopimuksen jokaisen käyttämämme palveluntarjoajan kanssa. Niiden palveluntarjoajien, jotka eivät ole EU/ETA-alueella, jotka eivät ole maassa, jonka EU katsoo omaavan riittävän tietosuojan tason tai jotka eivät ole sertifioituneet EU-U.S. and Swiss-U.S. Privacy Shieldiin, teemme EU-mallilausekesopimukset varmistaaksemme tietojen turvallisen siirron ja käsittelyn.
Asiakkaillemme, niin uusille kuin vanhoille, on kerrottu tietojen siirrosta oman maan ulkopuolelle. Sama menettely on ollut voimassa koko Palvelun olemassaolon ajan, ja siitä on aina kerrottu asiakkaillemme. Olemme huomanneet asiakaspalveluun tulevista yhteydenotoista, että monet asiakkaamme ovat havahtuneet huomioimaan asian paremmin muuttaessamme tietojen siirron erillisen suostumuksen taakse. Tietoisuuden lisääminen on ollut yksi tavoitteemmekin. Mielestämme asiakkaiden huomion kiinnittäminen seikkaan kertoo, että menettelytapamme on tietosuoja-asetuksen mukainen. Autamme asiakasta ymmärtämään paremmin mitä hänen tiedoillaan tehdään. Vaikka asia on kerrottu aiemminkin, osalle asiakkaistamme tämä näyttää tulleen yllätyksenä.”
Käyttäjän luoma sisältö
34. Käyttäjän luomasta sisällöstä rekisterinpitäjä on kertonut muun muassa seuraavaa:
”Käyttäjän luoma sisältö on aina käyttäjän itsensä yritys X:n palveluissa julkaisemaa sisältöä. Käyttöehdoissamme asia määritellään näin: ”Yritys X:n laitteista siirtämiesi tietojen lisäksi voit myös tallentaa tai lähettää joihinkin yritys X:n palveluihin itse luomaasi sisältöä tai muuta materiaalia, esimerkiksi kuvia, videoita, tekstiä, musiikkia, laitteista siirrettyä dataa koskevia kommentteja ja harjoituksiasi koskevia tietoja. Voit myös osallistua keskusteluihin yritys X:n tarjoamilla keskustelufoorumeilla ja linkittää tiliäsi koskevia tietoja tarjottuihin sosiaalisen median kanaviin ja niihin tekemiisi julkaisuihin. Kaikkea itsesi yritys X:n tarjoamiin palveluihin toimittamaasi, tallentamaasi tai siirtämääsi sisältöä kutsutaan jäljempänä ”Käyttäjän Luomaksi Sisällöksi”.
Käyttäjän luoma sisältö ei ole käyttäjän laitteelta tulevaa dataa, tai dataa minkä käyttäjä antaa itsestään tiliä luodessaan. Käyttäjän luoma sisältö on dataa, mitä hän itse päättää jakaa esimerkiksi ryhmien keskusteluissa tai yritys X:n SOME-kanavilla. Tyyppiesimerkkejä käyttäjän luomasta sisällöstä ovat videot tai kuvat harjoituksista, tapahtumista tai kilpailuista. Asiakas omistaa nämä materiaalit, mutta yritys X voi käyttää niitä ja jakaa eteenpäin. Tämä data on siis sellaista materiaalia, minkä käyttäjä on itse julkaissut eikä tämä data ole peräisin varsinaisesta Palvelusta, jossa käsitellään asiakkaan henkilötietoja tai harjoitustietoja.
Käyttöehtojen mukaisesti yritys X:llä on oikeus käyttää tällaista käyttäjän itsensä julkistamaa tietoa uudelleen. Yritys X ei ota kantaa käyttäjän julkaisemaan sisältöön paitsi silloin, kun sisältö on käyttöehtojen mukaan kiellettyä tai sopimatonta (esim. rasistista, rikollista tai muuten haitallista).
Yritys X ei jaa sellaista käyttäjän dataa, jota käyttäjä ei ole itse antanut jaettavaksi. Yritys X ei myöskään jaa käyttäjien jakamia harjoitustietoja esim. Tutki-palvelussa. Kaikki mahdollisesti uudelleen käytettävä/jaettava data on käyttäjän itsensä julkaisemaa ja hän on siten hyväksynyt kyseisen datan jakamisen.”
Henkilötietojen käsittely tutkimus- ja tuotekehitystä varten
35. Tietosuojavaltuutetun toimisto on kanteluiden lisäksi oma-aloitteisesti ryhtynyt selvittämään rekisterinpitäjän tietosuojakäytännössään kuvaamaa tutkimus- ja tuotekehitystä koskevaa käsittelytoimea. Rekisterinpitäjän antamien selvitysten mukaan rekisterinpitäjä käsittelee käyttäjien henkilötietoja oikeutetun edun perusteella tutkimus- ja tuotekehitystä varten. Rekisterinpitäjä on myös korostanut tiedon olevan anonyymia dataa. Rekisterinpitäjän mukaan:
”[k]äyttäjästä otetaan mukaan tutkimusdataan vain yleistiedot kuten ikä, sukupuoli, harjoittelutausta, rekisteröityjen laitteiden mallit ja käytetyt sovellukset. Näiden lisäksi tutkimusdataan liitetään laitteilta tulevaa, Palveluun synkronoitua harjoitteludataa. Käytettävä data myös käsitellään niin, ettei yksittäistä dataa pääse käsittelemään.”
36. Rekisterinpitäjän kertoman mukaan käyttäjän ei ole ollut mahdollista vastustaa henkilötietojen käsittelyä mainittua tarkoitusta varten.
Vastinepyyntö
37. Tietosuojavaltuutetun toimisto ei ole pyytänyt hakijoilta vastinetta rekisterinpitäjän antamien selvitysten johdosta, sillä vastineen pyytäminen hakijoilta on ollut hallintolain 34 §:n 2 momentin 5 kohdan mukaan ilmeisen tarpeetonta.
Tietosuojavaltuutetun toimiston kuulemis- ja lisätietopyyntö
38. Asiassa saadun selvityksen johdosta rekisterinpitäjälle on 30.11.2021 päivätyllä kuulemispyynnöllä varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista.
Tapauksen tosiseikat
39. Tietosuojavaltuutetun toimiston kuulemispyynnössä on esitetty seuraavat tosiseikat.
Yleistä
40. Ostaessaan rekisterinpitäjän sykekellon hakija ei automaattisesti saa Palvelua käyttöönsä. Mikäli hakija haluaa ottaa käyttöönsä Palvelun, on tämän hyväksyttävä rekisterinpitäjän käyttöehdot ja tietosuojakäytäntö, sekä annettava suostumukset rekisterinpitäjän harjoittamiin henkilötietojen käsittelytoimiin. Suostumukset annetaan rastittamalla suostumusta ilmaiseva ruutu. Jos hakija ei halua antaa suostumusta rekisterinpitäjän harjoittamiin henkilötietojen käsittelytoimiin, hakija ei saa Palvelua käyttöönsä.
Suostumus sykettä koskevan tiedon käsittelyyn
41. Rekisterinpitäjä pyytää hakijoilta nimenomaisen suostumuksen erityisten henkilötietojen käsittelyyn muun muassa sen takia, että yleisessä tietosuoja-asetuksessa nimenomaisesti edellytetään suostumuksen pyytämistä, sekä parantaakseen rekisteröityjen tietoisuutta siitä, miten rekisterinpitäjä käsittelee henkilötietoja.
42. Palvelu perustuu siihen, että muun muassa sykettä koskevia tietoja tallentuu Palveluun. Palvelun käyttöönoton edellytys on siten se, että rekisteröity antaa suostumuksen sykettä koskevan tiedon käsittelyyn. Mikäli rekisterinpitäjän sykekellon ostanut asiakas ei ota käyttöönsä Palvelua vaan toivoo käyttävänsä sykekelloa ns. stand alone -tilassa, asiakkaasta ei tallenneta sykettä koskevia tietoja.
43. Hakijan on Palvelun käyttöönottamiseksi annettava suostumus rastittamalla ruutu, jossa lukee ”Hyväksyn, että yritys X voi kerätä ja käsitellä arkaluonteisia henkilötietojani kuten sykettä ja muita arkaluonteisia henkilötiedoiksi katsottuja terveystietoja yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain”. Mikäli hakija ei anna suostumusta edellä mainittuun, hakija ei pysty rekisteröitymään Palveluun.
44. Rekisterinpitäjän edellä mainittu informointi antaa ymmärtää, että rekisterinpitäjä käsittelee myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja kuin sykettä koskevaa tietoa. Erityisten henkilötietojen käsittelystä informoidaan yritys X:n tietosuojakäytännössä seuraavasti: ”Suuri osa yritys X:n palveluista perustuu tuotteistamme kerättyyn dataan. Osa kerätystä datasta (esimerkiksi syketieto) on luonteeltaan tietoa, jonka keräämiseen ja käsittelyyn tarvitsemme aina sinun suostumuksesi. Tämä suostumus pyydetään erikseen jokaisessa palvelussamme, jossa käsitellään erityistä suostumusta vaativiin henkilötietoryhmiin kuuluvia tietoja. ”
45. Rekisterinpitäjä pyytää suostumuksen erityisten henkilötietojen käsittelyyn yleisestä tietosuoja-asetuksesta johtuvan velvollisuuden lisäksi myös parantaakseen rekisteröityjen tietoisuutta rekisterinpitäjän harjoittamasta henkilötietojen käsittelystä.
Suostumus henkilötietojen siirtoon kolmansiin maihin
46. Jotta käyttäjä voi rekisteröityä Palveluun, on käyttäjän annettava suostumus tietojensa siirtoon EU/ETA-alueen ulkopuolelle. Rekisterinpitäjä on kertonut siirtävänsä henkilötietoja EU-U.S. and Swiss-U.S. Privacy Shield -järjestelyn nojalla. Niissä maissa, joissa edellä mainittua järjestelyä ei sovelleta eikä komissio ole arvoinut tietosuojan tason olevan riittävä, rekisterinpitäjä on siirtänyt tietoja mallisopimuslausekkeiden nojalla. Rekisterinpitäjän käsittelyperuste henkilötietojen siirrolle on myös yleisen tietosuoja-asetuksen 49 artiklan 1 kohdan a alakohta eli nimenomainen suostumus.
47. Rekisterinpitäjä on antamassaan selvityksessä kertonut siirtäneensä henkilötietoja EU/ETA-alueen ulkopuolelle Yhdysvaltoihin. Selvityksessä ei ole tuotu esiin muita kolmansia maita. Siten tietosuojavaltuutettu arvioi ainoastaan tietojen siirtoa Yhdysvaltojen osalta.
48. Rekisterinpitäjä on kertonut pyytävänsä suostumuksen tietojen siirtoon myös sen takia, että se katsoo rekisteröityjen olevan näin tietoisempia yritys X:n harjoittamasta henkilötietojen käsittelystä.
Suostumus käyttäjän luoman sisällön käsittelyyn
49. Rekisterinpitäjä pyytää käyttäjää hyväksymään Palveluun rekisteröityessään Palvelun käyttöehdot, joissa todetaan seuraavaa: ”Tallentaessasi, lähettäessäsi tai siirtäessäsi yritys X:n palveluihin sisältöä annat yritys X:lle vastikkeettoman, maailmanlaajuisen, siirrettävissä olevan, edelleen lisensoitavissa olevan oikeuden käyttää, kopioida, esittää julkisesti, editoida, kääntää ja jakaa edelleen omaa Käyttäjän Luomaa Sisältöäsi. Muilta kuin henkilötietojasi koskevilta osin yritys X:lle antamasi oikeudet eivät ole peruutettavissa. [--]” ”Sisältö” ei ole käyttäjän laitteelta tuleva data tai tieto, jonka käyttäjä on antanut itsestään tiliä luodessaan, vaan käyttäjän luomalla ”sisällöllä” tarkoitetaan sellaista tietoa, jota käyttäjä päättää itse jakaa esimerkiksi ryhmien keskusteluissa tai rekisterinpitäjän sosiaalisen median kanavilla.
50. Jos hakija ei hyväksy käyttöehtoja hakija ei saa Palvelua käyttöönsä. Rekisterinpitäjä pyytää käyttäjää hyväksymään käyttöehdot, jotta käyttäjät olisivat tietoisempia henkilötietojen käsittelyyn liittyvistä periaatteista ja käytännöistä.
**
51. Tässä esitettyjen tosiseikkojen lisäksi rekisterinpitäjälle on kuulemispyynnön yhteydessä esitetty lisäselvityspyyntö. Lisäselvityspyynnössä rekisterinpitäjältä on pyydetty lisäselvitystä siitä, käsitteleekö se muita erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia henkilötietoja. Esittelijä on todennut kuulemispyynnössä , että mikäli rekisterinpitäjä käsittelee sykettä koskevan tiedon lisäksi muita erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, ei rekisterinpitäjällä ole esittelijän alustavan arvion mukaan ollut yleisen tietosuoja-asetuksen mukaista suostumusta muiden terveyttä koskevien henkilötietojen käsittelyyn. Rekisterinpitäjä on kyseiseen lisäselvityspyyntöön antamassaan vastauksessa kertonut tietosuojavaltuutetun toimistolle käsittelevänsä myös maksimaalista hapenottokykyä ja painoindeksiä. Rekisterinpitäjälle osoitetussa kuulemispyynnössä on tuotu esiin, että mikäli rekisterinpitäjä käsittelee sykkeen lisäksi muita terveyttä koskevia tietoja, ei esittelijän näkemyksen mukaan rekisterinpitäjällä ole ollut suostumusta näiden tietojen käsittelyyn.
52. Kuulemispyynnössä rekisterinpitäjältä on pyydetty selvitystä vielä seuraavista:
I. Käsitteleekö rekisterinpitäjä muita terveydentilaa koskevia tietoja kuin tietoa, jonka se saa yhdistämällä käyttäjän iän, pituuden, painon ja sykkeen? Pyydämme osoittamaan, mitä käyttäjää koskevia tietoja rekisterinpitäjä yhdistelee ja mitä erityisiin henkilötietoryhmiin kuuluvia tietoja yritys X tämän johdosta käsittelee.
II. Rekisterinpitäjä on kertonut käsittelevänsä sykettä koskevaa tietoa tuottaakseen asiakkaille lisäarvoa. Onko sykettä koskevan tiedon käsittelylle muita käyttötarkoituksia kuin edellä mainittu?
III. Rekisterinpitäjän tietosuojakäytännön ja lisäselvityksen mukaan rekisteröidyllä ei ole ollut mahdollisuutta vastustaa tietojen käsittelyä tutkimus- ja tuotekehitystarkoituksia varten. Onko rekisterinpitäjä muuttanut tätä koskevan toimintatavan? Jos on, milloin toimintatapa on muutettu ja miten se on toteutettu?
IV. Kuinka monta rekisteröityä on kirjautunut Palveluun ja siten antanut suostumuksen käyttöehtoihin aikavälillä 25.5.2018-18.2.2019? Mikäli tarkkaa lukumäärää ei pystytä antamaan, pyydämme toimittamaan arvion lukumäärästä.
Rekisterinpitäjän vastaus kuulemis- ja lisätietopyyntöön
53. Rekisterinpitäjälle on edellä kerrotusti varattu tilaisuus tulla kuulluksi sekä esittää näkemys esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosiseikoista.
54. Rekisterinpitäjälle on varattu mahdollisuus antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.
55. Rekisterinpitäjä on antanut vastauksen kuulemispyyntöön 14.1.2022. Vastauksessaan rekisterinpitäjä kertoo muun muassa seuraavaa.
Yleistä
56. Rekisterinpitäjä ei ole kyennyt viemään tuotantoon kaikkia suunnittelemiaan tietosuojaa parantavia uudistuksia. Rekisterinpitäjä kertoo kuitenkin panostavan tietoturvan ja tietosuojan kehittämiseen. Rekisterinpitäjä kertoo tehneensä muutoksia priorisoidakseen lukuisia toimialueen kehityshankkeita, joilla pyritään muun muassa edistämään tunnistettuja puutteita esimerkiksi Palvelun ohjelmiston tietosuojakäytännöissä.
57. Rekisterinpitäjän vuoden 2021 liikevaihto on ollut xx euroa.
58. Rekisterinpitäjä kertoo Palvelun käyttäjiä olevan miljoonia. Palvelussa henkilötiedot ovat tällä hetkellä yhdenvertaisia käyttäjän sijainnista riippumatta. Palvelun tietosuojakäytäntö on pyritty laatimaan siten, että se täyttäisi lukuisten eri maiden vaatimukset. Rekisterinpitäjän mukaan Palveluun liittyvä tietosuojakäytäntö on julkaistu 28 kieliversiona ja erilaisia maa- ja kieliyhdistelmiä on yhteensä 49.
59. Rekisterinpitäjä kertoo sen sykemittarin olevan laite, joka mittaa sydämen lyöntitiheyttä. Sykemittarissa voi olla rinnan ympäri kulkeva lähetinosa tai ranteeseen kiinnitettävä, rannekelloa muistuttava vastaanotin. Lähtökohtaisesti sykkeen mittaamisen perusteena on käyttäjän aktiivisuustaso, mutta sykkeeseen vaikuttavia tekijöitä on muitakin.
Tietojen siirrosta
60. Rekisterinpitäjä kertoo olevansa kansainvälinen globaaleilla markkinoilla toimiva yritys ja sen eri markkinoilla on erilaisia tietosuojasäännöksiä. Rekisterinpitäjä kertoo tutkineensa mahdollisuutta lokalisoida palvelualusta, mutta käytössä olevalla teknologialla se ei ole ollut mahdollista. Nykytilanteessa rekisterinpitäjä toimittaa palveluistaan yhtäläisen version kaikille alueille. Rekisterinpitäjän mukaan maakohtaisten suostumusten pyytäminen on erityisen haastavaa, koska käyttäjän antama maatieto ei ole luotettavaa. Aakkosissa ensimmäinen maa on reilusti yliedustettuna, joka viittaa siihen, että käyttäjä rekisteröityessään ei kaikissa tapauksissa täydennä oikeita tietoja. Rekisterinpitäjän näkemyksen mukaan tämä on yleinen ongelma verkkopalveluissa, joissa ei edellytetä vahvaa tunnistautumista (esimerkiksi pankkitunnistautumista), jonka toteuttaminen globaalisti ei ole edes mahdollista.
Käyttäjän luomasta sisällöstä
61. Tarkasteluajankohtana 25.5.2018-18.2.2019 Palvelu on rekisterinpitäjän mukaan sisältänyt kiinteästi toimintoja, jotka nojautuivat ”käyttäjän luomaan sisältöön”. Käyttäjät ovat voineet jakaa harjoitustuloksiaan itse hallinnoimilleen seuraajille Xx-näkymässä, jossa on ollut mahdollista käydä keskustelua tuloksista. Yy -toiminto on sisältänyt ryhmät, tapahtumat ja zz-näkymät, joissa käyttäjät ovat voineet keskustella muiden samaan ryhmään tai tapahtumaan kuuluvien käyttäjien kanssa sekä jakaa heidän nähtävilleen harjoitustietoja. Zz -näkymä on tarkoitettu sellaisille käyttäjille, jotka liikkuvat Zz -näkymää käyttävissä liikuntakeskuksissa. Zz -näkymän alla on myös liikuntakeskuksen oma näkymä, jossa liikuntakeskuksen palvelua käyttävät asiakkaat ovat voineet jakaa vastaavasti harjoituksiaan ja keskustella muiden liikuntakeskuksen palvelua käyttävien asiakkaiden kanssa.
62. ”Käyttäjän luoman sisällön” jakaminen rekisterinpitäjän tarjoamilla alustoilla ja keskustelupalstoilla on ollut käyttäjälle vapaaehtoista. Käyttäjä on voinut valita myös pitää profiilinsa yksityisenä, jolloin tiedot eivät ole näkyneet muille käyttäjille. Sen sijaan suostumus tietojen käsittelyyn on ollut tarpeen, jotta käyttäjä on voinut käyttää palvelua, jonka kiinteä osa kyseenomaiset toiminnot olivat. Käyttäjä on luodessaan tilinsä lukenut yritys X:n käyttöehdot ja tietosuojakäytännön sekä antanut suostumuksensa kohtaan ”Hyväksyn, että yritys X voi kerätä ja käsitellä henkilötietojani yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain”.
63. Yritys X on lakkauttanut kyseiset Xx-näkymän (19.1.2021) ja Yy-toiminnot (9.3.2021, myös Zz-näkymän alla ollut erillinen Xx-näkymä). Zz -näkymä on yhä käytössä muilta kuin käyttäjän jakamaa sisältöä koskevilta osin, muun muassa liikuntakeskusten tunneille ilmoittautumista varten.
Rekisterinpitäjän vastaus kuulemispyynnön kysymykseen I
64. Rekisterinpitäjä kertoo, ettei se käsittele muita erityisiin henkilötietoryhmiin kuuluvia tietoja syketietojen lisäksi.
65. Rekisterinpitäjän mukaan sen keräämästä (raaka)datasta tai algoritmeillä lasketuista ja johdetuista tiedoista ei ole mahdollista tehdä suoraan henkilön terveydentilaa koskevia johtopäätöksiä muiden kuin syketietojen osalta. Jotkin anomaliat kerätyissä tiedoissa voivat olla tyypillisiä tiettyjen sairauksien tai terveysongelmien kohdalla, mutta jotta terveyttä koskeva johtopäätös voitaisiin tehdä, tarvittaisiin rekisterinpitäjän näkemyksen mukaan lisäksi sellaisia tietoja, joita rekisterinpitäjä ei käsittele. Rekisterinpitäjä esittää, että esimerkiksi on yleisesti tunnettua, että merkittävä ylipaino (korkea painoindeksi) tai vähäinen fyysinen aktiivisuus voivat lisätä riskiä sairastua lukuisiin eri sairauksiin tai olla yhteydessä terveydellisiin ongelmiin. Kuitenkaan näin ei automaattisesti ole, eikä yksin painoindeksin tai aktiivisuuden perusteella voida rekisterinpitäjän näkemyksen mukaan päätellä henkilön terveyttä.
66. Rekisterinpitäjä kertoo vastaavasti laskevan käyttäjilleen syke- ja kiihtyvyysdatan pohjalta unimetriikka-tietoja, joiden perusteella käyttäjä saattaisi havaita nukkuneensa huonosti. Kuitenkaan unimetriikkatietojen avulla ei voida rekisterinpitäjän mukaan päätellä mistä huono nukkuminen on johtunut; syy voi liittyä myös ulkopuoliseen häiriötekijään. Terveydentilaa koskevan johtopäätöksen tekeminen edellyttääkin siis sellaisia lisätietoja, joita rekisterinpitäjä ei kertomansa mukaan käsittele.
67. Rekisterinpitäjä esittää sen keräämän datan olevan ennemmin hyvinvointidataa, jota käyttäjä voi hyödyntää analysoidessaan omaa hyvinvointiaan sekä tehdessään sitä tukevia muutoksia elämässään. Vasta lisätietojen, mahdollisten lääketieteellisten tutkimusten ja terveydenhuollon ammattilaisten avulla käyttäjä voi rekisterinpitäjän mukaan tehdä terveyttään koskevia johtopäätöksiä. Rekisterinpitäjän valmistamat laitteet eivät rekisterinpitäjän mukaan ole myöskään lääkinnällisiä laitteita tai täytä niiden hyväksyntäkriteereitä.
68. Rekisterinpitäjän keräämät tiedot koostuvat käyttäjän itsensä antamista tiedoista sekä laitteiden avulla kerätyistä tiedoista. Käyttäjän antamia (tai muokattavissa olevia) profiilitietoja ovat sukupuoli, ikä, pituus, paino, VO2 max, maksimisyke, leposyke, aerobinen ja anaerobinen kynnys, aerobinen maksiminopeus MAS, aerobinen maksimiteho MAP, funktionaalinen kynnysteho FTP, unen tavoiteaika ja päivittäinen aktiivisuustavoite.
69. Pituuden ja painon perusteella lasketaan käyttäjän painoindeksi. Lisäksi rekisterinpitäjä kerää laitteilta saatavana raakadatana esimerkiksi syke-, kiihtyvyys- ja sijaintitietoja. Näistä tiedoista rekisterinpitäjä laskee algoritmiensä avulla johdettuja tietoja, jotka esitetään käyttäjälle Palvelussa. Rekisterinpitäjän keräämästä (raaka)datasta tai algoritmeillä lasketuista johdetuista tiedoista ei ole mahdollista tehdä suoraan henkilön terveydentilaa koskevia päätelmiä.
Rekisterinpitäjän vastaus kuulemispyynnön kysymykseen II
70. Rekisterinpitäjän mukaan sykettä koskevia tietoja käsitellään lisäksi tutkimus- ja tuotekehitystarkoitukseen, jonka rooli on erittäin merkittävä algoritmien ja palvelujen jatkokehityksen kannalta. Käsittelyn oikeusperusteena on joko oikeutettu etu tai erillisten tutkimusprojektien kohdalla tutkittavan suostumus.
Rekisterinpitäjän vastaus kuulemispyynnön kysymykseen III
71. Kieltotoiminnon toteuttaminen on rekisterinpitäjän mukaan parhaillaan vireillä. Kieltotoiminnon tekninen suunnittelu on aikataulutettu ensimmäiseen mahdolliseen ajankohtaan vuoden 2022 ensimmäiselle vuosikvartaalille. Tekniselle toteutukselle on varattu resursseja sitä seuraavaan vuosikvartaaliin.
Rekisterinpitäjän vastaus kuulemispyynnön kysymykseen IV
72. Käyttäjiä, jotka ovat hyväksyneet käyttöehdot aikavälillä 25.5.2018-18.2.2019, on 3,47 miljoonaa. Rekisterinpitäjä kertoo uusineensa tietosuojakäytäntönsä ja käyttöehtonsa 15.5.2018, joten edellä mainitulla aikavälillä on myös suuri osa vanhoista olemassa olleista käyttäjistä hyväksynyt päivitetyt ehdot. Uusien asiakkaiden osuus luvusta on 1,18 miljoonaa.
Sovellettavasta lainsäädännöstä
73. Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen.
74. Kantelut on saatettu vireille tietosuojavaltuutetun toimistossa 22.5.2018 - 18.2.2019 välisenä aikana. Myös Itävallan valvontaviranomaiseen on saatettu vireille kantelu edellä mainittuna aikana.
75. EU-oikeudessa keskeinen periaate on oikeusvarmuuden periaate. Tästä periaatteesta on useissa EU-tuomioistuimen ratkaisuissa johdettu taannehtivan lainsäädännön soveltamisen kielto. Tämän kiellon mukaan unionioikeudellisilla säädöksillä ei pääsääntöisesti ole taannehtivaa vaikutusta.
76. Oikeuskäytännössä on tältä osin tunnistettu taannehtivuuden kaksi tyyppiä: tosiasiallinen taannehtivuus sekä materiaalinen taannehtivuus. Tosiasiallisella taannehtivuudella tarkoitetaan uuden lainsäädännön soveltamista sellaiseen tosiseikastoon, joka on täysin toteutunut vanhan lainsäädännön aikana. EU-tuomioistuimen oikeuskäytännössä tällainen tosiasiallinen taannehtivuus on lähtökohtaisesti kielletty.
77. Materiaalisella taannehtivuudella tarkoitetaan uuden lainsäädännön soveltamista tulevaisuuteen suuntautuvin vaikutuksin sellaisessa tilanteessa, joka on syntynyt aikaisemman lainsäädännön ollessa voimassa, ja oikeudellisesti relevantti toiminta jatkuu edelleen uuden lainsäädännön aikana. EU-tuomioistuin on hyväksynyt tällaisen materiaalisen taannehtivuuden. Tuomioistuin on todennut, että EU-oikeudellisen lainsäädännön täytyy katsoa saavuttavan oikeusvaikutuksia voimaan tullessaan myös silloin, kun uusi lainsäädäntö määrittelee vanhan lainsäädännön aikana alkaneiden asiantilojen seurauksia. Niin ikään tuomioistuin on kiinnittänyt taannehtivan lainsäädännön sallittavuutta arvioidessaan huomiota yksityisten oikeussubjektien oikeussuojan tarpeeseen.
78. Kantelut on edellä kerrotusti saatettu vireille tietosuojavaltuutetun toimistossa aikavälillä 22.5.2018 - 18.2.2019 eli sekä ennen yleisen tietosuoja-asetuksen soveltamisen alkamista että sen soveltamisen alkamisen jälkeen. Käsillä olevassa tapauksessa valituksenalainen toiminta on jatkunut edelleen yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen, joten asiaan sovelletaan siten yleistä tietosuoja-asetusta.
Sovellettava lainsäädäntö
79. Yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
80. Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.
81. Yleisen tietosuoja-asetuksen 4 artiklan 15 kohdan mukaan terveystiedoilla tarkoitetaan luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 35 mukaan terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoa rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta riippumatta siitä, mistä lähteestä tiedot on saatu.
82. Yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan mukaan osallistuvalla valvontaviranomaisella tarkoitetaan valvontaviranomaista, jota henkilökäsittely koskee, koska rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle (a alakohta); käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin (b alakohta); tai kyseiselle valvontaviranomaiselle on tehty valitus (c alakohta).
83. Yleisen tietosuoja-asetuksen 4 artiklan 23 kohdan b alakohdan mukaan rajatylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin.
84. Yleisen tietosuoja-asetuksen 4 artiklan 24 kohdan mukaan merkityksellisellä ja perustellulla vastalauseella tarkoitetaan vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu
toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin
alueella.
85. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).
86. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaan käsittely on lainmukaista ainoastaan, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.
87. Yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Saman artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.
88. Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Saman artiklan 2 kohdan mukaan edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista: a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella.
89. Yleisen tietosuoja-asetuksen 13 artiklan mukaan rekisterinpitäjän on toimitettava rekisteröidylle 13 artiklan mukaiset tiedot silloin kun henkilötietoja kerätään rekisteröidyltä.
90. Yleisen tietosuoja-asetuksen 49 artiklan 1 kohdan mukaan jos 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä ei ole tehty tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa jollakin seuraavista edellytyksistä: a) rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi.
91. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla valvontaviranomaisella on toimivalta antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia.
92. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla valvontaviranomainen voi määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
93. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla valvontaviranomainen voi määrätä hallinnollisen sakon 58 artiklan 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteet huomioiden.
94. Yleisen tietosuoja-asetuksen 60 artiklan 1 kohdan mukaan johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontavi¬ranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.
95. Yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaan johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.
96. Yleisen tietosuoja-asetuksen 60 artiklan 4 kohdan mukaan, jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviran
omaisen on, ellei se noudata vastalausetta tai katso, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.
97. Yleisen tietosuoja-asetuksen 60 artiklan 5 kohdan mukaan, jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.
98. Yleisen tietosuoja-asetuksen 60 artiklan 6 kohdan mukaan, jos yksikään muista osallistuvista viranomaisista ei ole vastustanut johtavan viranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.
Oikeudellinen kysymys
99. Tietosuojavaltuutettu ratkaisee asian edellä esitetysti yleisen tietosuoja-asetuksen ja tietosuojalain nojalla. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:
i. Onko rekisterinpitäjä ollut velvollinen pyytämään suostumuksen sykettä koskevan tiedon käsittelyyn;
ii. Onko rekisterinpitäjän tullut informoida Palveluun liittyvästä henkilötietojen käsittelystä sykekelloa ostettaessa yleisen tietosuoja-asetuksen 13 artiklan mukaisesti;
iii. Käsitteleekö rekisterinpitäjä sykkeen lisäksi muita terveyttä koskevia erityisiin henkilötietoryhmiin kuuluvia tietoja. Jos rekisterinpitäjä käsittelee myös muita erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia tietoja, onko rekisterinpitäjän pyytämä suostumus näiden tietojen käsittelyyn ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisesti yksilöity ja tietoinen;
iv. Onko rekisterinpitäjällä ollut peruste siirtää tietoja kolmansiin maihin; ja
v. Onko rekisterinpitäjän keräämä suostumus ”käyttäjän luoman sisällön” käsittelyyn ollut yleisen tietosuoja-asetuksen mukainen?
100. Mikäli rekisterinpitäjän harjoittama henkilötietojen käsittely ei ole ollut yleisen tietosuoja-asetuksen säännösten mukaista, asiassa on ratkaistavana se, mikä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus toiminnasta on rekisterinpitäjälle määrättävä.
101. Tietosuojavaltuutetun toimistoon tai Itävallan valvontaviranomaiseen vireille saatetuissa kanteluissa ei ole ollut kyse tutkimus- ja tuotekehitystä koskevasta käsittelytoimesta. Varsinaisten kanteluiden käsittelyn jouduttamiseksi tietosuojavaltuutettu rajaa tässä yhteydessä nyt kyseessä olevassa asiassa päätöksen ulkopuolelle oma-aloitteisesti tutkittavaksi otetun kysymyksen mahdollisesta henkilötietojen käsittelystä tutkimus- ja tuotekehitys tarkoitusta varten.
Tietosuojavaltuutetun päätös ja perustelut
Päätös
102. Tietosuojavaltuutettu katsoo päätöksessään seuraavaa:
i. Rekisterinpitäjä on ollut velvollinen pyytämään yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaisen nimenomaisen suostumuksen sykettä koskevan henkilötiedon käsittelyyn.
ii. Rekisterinpitäjällä ei ole ollut velvollisuutta informoida Palvelussa tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 13 artiklan mukaisesti sykekelloa ostettaessa.
iii. Rekisterinpitäjä käsittelee sykkeen lisäksi myös muita erityisiin henkilötietoryhmiin kuuluvia rekisteröidyn terveyttä koskevia tietoja, maksimaalista hapenottokykyä ja painoindeksiä. Rekisterinpitäjän pyytämä suostumus maksimaalisen hapenottokyvyn ja painoindeksin käsittelyyn ei ole ollut yleisen tietosuoja-asetuksen mukainen, eikä rekisterinpitäjällä siten ole ollut yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan mukaista käsittelyperustetta muiden erityisiin henkilötietoryhmiin kuuluvien terveyttä koskevien tietojen käsittelyyn.
iv. Rekisterinpitäjällä on ollut kanteluiden vireillesaattamisajankohtana peruste siirtää tietoja Yhdysvaltoihin.
v. Rekisterinpitäjän keräämä suostumus ”käyttäjän luoman sisällön” käsittelyyn ei ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukainen eikä se ole täyttänyt yleisen tietosuoja-asetuksen 7 artiklan 2 ja 4 kohdissa säädetyn suostumuksen edellytyksiä.
Määräys
103. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla tietosuojavaltuutettu määrää rekisterinpitäjän:
i. saattamaan maksimaalisen hapenottokyvyn ja painoindeksin käsittelyyn kerätyn suostumuksen yleisen tietosuoja-asetuksen mukaiseksi kolmen kuukauden kuluessa uusien rekisteröityjen osalta, ja kuuden kuukauden kuluessa nykyisten rekisteröityjen osalta tämän päätöksen tiedoksisaannista;
ii. arvioimaan, käsitteleekö se sykkeen, maksimaalisen hapenottokyvyn ja painoindeksin lisäksi muita erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia tietoja yhdistellessään käyttäjää koskevia tietoja Palvelussa. Jos rekisterinpitäjä käsittelee erityisiin henkilötietoryhmiin kuuluvia tietoja, on rekisterinpitäjän varmistuttava siitä, että sillä on yleisen tietosuoja-asetuksen mukainen suostumus kaikkien niiden terveyttä koskevien tietojen käsittelyyn, joita se käsittelee Palvelun yhteydessä; ja
iii. varmistumaan viivytyksettä päätöksen tiedoksisaannista siitä, että ”käyttäjän luomaa sisältöä” koskevan käsittelytoimen yhteydessä käsiteltävien henkilötietojen käsittelylle on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen käsittelyperuste.
Huomautus
104. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla tietosuojavaltuutettu antaa rekisterinpitäjälle huomautuksen, sillä rekisterinpitäjän pyytämä suostumus maksimaalisen hapenottokyvyn ja painoindeksin käsittelyyn ei ole ollut yleisen tietosuoja-asetuksen mukainen.
Hallinnollinen seuraamusmaksu
105. Rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen edellytysten mukaista käsittelyperustetta sellaisten henkilötietojen käsittelyyn, jotka ovat keskeinen osa rekisterinpitäjän ydintoimintaa, johon voidaan katsoa kuuluvan terveyttä koskevien tietojen käsittely.
106. Tämän vuoksi tietosuojavaltuutettu katsoo, että sen arvioiminen, onko yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus riittävä seuraamus siitä, että rekisterinpitäjän pyytämä suostumus ei ole ollut yleisen tietosuoja-asetuksen mukainen, tulee saattaa seuraamuskollegion arvioitavaksi.
107. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Siltä osin kuin rekisterinpitäjän keräämä maksimaalista hapenottokykyä ja painoindeksiä koskeva suostumus ei ole ollut yleisen tietosuoja-asetuksen mukainen, asia annetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antaman huomautuksen ja määräyksien lisäksi.
Perustelut
Suostumus sykettä koskevan tiedon käsittelyyn
108. Ottaakseen käyttöön Palvelun, rekisterinpitäjä on edellyttänyt, että hakija antaa suostumuksen seuraavaan: ”Hyväksyn, että yritys X voi kerätä ja käsitellä arkaluonteisia henkilötietojani kuten sykettä ja muita arkaluonteisia henkilötiedoiksi katsottuja terveystietoja yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain”. Tietosuojavaltuutetun toimistoon vireille saatetussa kantelussa hakija on kyseenalaistanut rekisterinpitäjän toimintaa, sillä liittyessä Palveluun hakija on joutunut suostumaan sykettä koskevan tiedon käsittelyyn.
109. Palveluun tallentuu rekisterinpitäjän mukaan tietoa rekisteröidyn maksimisykkeestä ja leposykkeestä. Tietosuojatyöryhmä WP29 on Euroopan komissiolle toimittaman kirjeen liitteessä (myöhemmin tietosuojatyöryhmän kirjeen liite) katsonut, että terveyttä koskevan tiedon tulisi sen laajan tulkinnan mukaan koskea sydämen sykettä, joka on mitattu sovelluksella riippumatta siitä, onko testauksen suorittanut lääketieteen ammattilainen vai vapaasti kaupallisilla markkinoilla saatavilla oleva laite tai sovellus. Edellä mainittu ei riipu siitä, markkinoidaanko näitä laitteita lääkinnällisinä laitteina vai ei.
110. Tietosuojatyöryhmä on niin ikään katsonut, ettei yksittäisen rekisteröinnin, joka pitää sisällään tiedon henkilön painosta ja sykkeestä, avulla voida tehdä päätelmiä henkilön nykyisestä tai tulevasta terveydentilasta. Tietosuojatyöryhmän näkemyksen mukaan edellä mainittujen tietojen lisäksi tarvittaisiin ainakin tieto henkilön iästä tai sukupuolesta. Mikäli tietoja painosta ja sykkeestä kerättäisiin pidemmällä aikavälillä, ja näitä tietoja voitaisiin yhdistää henkilön ikää tai sukupuolta koskevaa tietoon, voitaisiin tietosuojatyöryhmän näkemyksen mukaan rekisteröidyn terveydestä tehdä johtopäätöksiä.
111. Rekisterinpitäjä käsittelee Palvelussa muun muassa tietoa henkilön iästä, sukupuolesta, painosta ja maksimi- ja leposykkeestä. Edellä esitetyn perusteella tietosuojavaltuutettu katsoo, että rekisterinpitäjän käsittelemä tieto sykkeestä yhdistettynä rekisterinpitäjän käsittelemiin muihin tietoihin ilmaisee tietoa rekisteröidyn terveydestä. Siten sykettä koskeva tieto on katsottava yleisen tietosuoja-asetuksen 4 artiklan 15 kohdan mukaiseksi terveyttä koskevaksi tiedoksi, ja rekisterinpitäjän siten käsittelevän 9 artiklan 1 kohdan mukaista erityisiin henkilötietoryhmiin kuuluvaa henkilötietoa.
112. Henkilötietojen käsittelylle täytyy olla yleisen tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittelyperuste. Jos käsiteltävät henkilötiedot ovat erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia henkilötietoja, on käsittelylle oltava 9 artiklan 2 kohdan mukainen käsittelyperuste. Koska nyt kyseessä olevassa tapauksessa rekisterinpitäjä käsittelee syketietoa lisäarvopalvelun tuottamiseksi, on rekisterinpitäjän harjoittamaan sykettä koskevan tiedon käsittelyyn oltava rekisteröidyn antama nimenomainen suostumus. Näin ollen rekisterinpitäjän on tullut pyytää suostumus sykettä koskevan tiedon käsittelyyn.
113. Tietosuojavaltuutetun toimistolle vireille saatetuissa kanteluissa ei ole ollut kysymys siitä, onko pyydetty suostumus syketiedon käsittelyyn ollut yleisen tietosuoja-asetuksen mukainen, vaan kantelussa on esitetty, että yritys X:n ei tulisi pyytää suostumusta syketiedon käsittelyyn.
Henkilötietojen käsittelyä koskeva informointi
114. Tietosuojavaltuutetun toimistoon vireille saatetuissa kanteluissa hakijat ovat katsoneet, että he ovat olleet pakotettuja ottamaan käyttöön Palvelun, ja siten hyväksymään Palvelussa tapahtuvan henkilötietojen käsittelyn sykekellon käyttämiseksi.
115. Rekisterinpitäjä on kertonut, että Palvelu ja sen laitteet (esimerkiksi sykekello) ovat kaksi erillistä asiaa. Rekisterinpitäjän sykekelloa ja sen perustoimintoja voi käyttää ilman Palvelua. Rannelaitteiden perustoimintoja ovat sykkeen, aktiivisuuden ja harjoituksen mittaaminen oletussporttiprofiileilla, joita ovat esimerkiksi juoksu, kävely ja pyöräily. Harjoituksen aikana perustoiminnot mahdollistavat lajista riippuen esimerkiksi sykkeen, kulutettujen kalorien, nopeuden, harjoitusmatkan, kierrosten ja harjoituksen keston mittaamisen. Lisäarvon saaminen eli muun muassa algoritmien hyödyntäminen on kuitenkin edellyttänyt Palvelun käyttöä. Asiakas ei siten ole sidottu Palvelun käyttöön, vaikka Palvelu onkin tarpeen lisäarvopalvelun saamiseksi.
116. Rekisterinpitäjä kertoo informoivansa laitteen pakkauksessa ja laitteen käyttöehdoissa Palvelun käyttöä koskevasta vaatimuksesta, mikäli kyseinen laite edellyttää Palvelun käyttöönottoa lisäarvopalvelun saamiseksi. Rekisterinpitäjän mukaan asiakkaalla on myös oikeus palauttaa jo ostamansa laite, mikäli hän ei halua ottaa käyttöön Palvelua. Tietosuojavaltuutetun toimiston toimivaltaan ei kuulu arvioida sitä, vastaako tuote tai palvelu kuluttajan oikeutettuja odotuksia. Tietosuojavaltuutetun toimiston toimivaltaan kuuluu arvioida, onko henkilötietojen käsittelystä informoitu oikea-aikaisesti yleisessä tietosuoja-asetuksessa velvoitetulla tavalla.
117. Yritys X:n kellon perustoiminnot ovat käytettävissä ilman Palvelua. Näin ollen Palvelua koskeva yleisen tietosuoja-asetuksen mukainen informointi on tehtävä ennen kyseisen Palvelun käyttöönottoa, toisin sanoen ennen Palveluun rekisteröitymistä.
118. Tietosuojavaltuutetun toimistoon vireille saatetun kantelun mukaan hakijalle on tullut yllätyksenä se, että hakija joutuu ottamaan käyttöön Palvelun. Edellä todetun mukaisesti yritys X:n kelloa ja sen perustoimintoja voi kuitenkin käyttää ilman Palvelua. Tietosuojavaltuutettu kiinnittää tässä yhteydessä huomiota myös siihen, että rekisterinpitäjä kertomansa mukaan informoi tuotepakkauksessa Palvelun käytöstä, ja asiakkaalla on myös oikeus palauttaa ostamansa laite.
119. Henkilötietojen käsittelystä on informoitava yleisen tietosuoja-asetuksen 13 artiklan mukaan silloin kun rekisteröidyltä kerätään henkilötietoja. Tietosuojavaltuutettu katsoo, että rekisterinpitäjän on siten informoitava henkilötietojen käsittelystä ennen henkilötietojen keräämistä eli Palveluun liityttäessä tai rekisteröidyttäessä. Palveluun liittymisen yhteydessä asiakas pystyy tutustumaan käyttöehtoihin ja tietosuojakäytäntöihin. Erityisesti tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän sykekellon perustoimintoja voi käyttää myös ilman Palvelua, jonka takia tietosuojavaltuutettu katsoo, ettei Palvelu ole niin keskeinen osa sykekellon käyttöä, etteikö rekisterinpitäjän informointia henkilötietojen käsittelyä koskevasta vaatimuksesta olisi nyt kyseessä olevassa tapauksessa pidettävä riittävänä. Niin ikään tietosuojavaltuutettu katsoo, että rekisterinpitäjän informointi henkilötietojen käsittelystä on ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaisesti läpinäkyvää.
Suostumus muiden terveyttä koskevien tietojen käsittelyyn
120. Aluksi tietosuojavaltuutettu kiinnittää huomiota siihen, että Palveluun liittymisen yhteydessä annettu informointi muiden kuin sykettä koskevien erityisten henkilötietojen käsittelystä on ristiriidassa rekisterinpitäjän tietosuojavaltuutetun toimistolle antaman selvityksen kanssa.
121. Rekisterinpitäjä informoi Palveluun rekisteröitymisen yhteydessä seuraavasti: ”Hyväksyn, että yritys X voi kerätä ja käsitellä arkaluonteisia henkilötietojani kuten sykettä ja muita arkaluonteisiksi henkilötiedoiksi katsottuja terveystietoja yritys X:n tietosuojakäytännössä kuvatulla tavalla. Voin muuttaa tähän suostumukseen liittyviä asetuksia milloin vain”.
122. Tietosuojavaltuutettu niin ikään katsoo, että rekisterinpitäjän tarkoituksena on ollut pyytää edellä kuvatulla tavalla rekisteröidyn suostumus muiden erityisten henkilötietojen käsittelyyn suostumusta ilmaisevalla toimella.
123. Rekisterinpitäjä on kuitenkin tietosuojavaltuutetun toimistolle antamassa selvityksessä esittänyt, ettei se käsittele muita erityisiin henkilötietoryhmiin kuuluvia tietoja kuin sykettä koskevaa tietoa.
124. Tietosuojavaltuutettu arvioi seuraavaksi ensinnäkin käsitteleekö rekisterinpitäjä syketiedon lisäksi muita erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia tietoja, ja toiseksi, onko edellä kuvattu tapa pyytää suostumus muiden erityisten henkilötietojen käsittelyyn täyttänyt suostumukselle asetetut edellytykset.
Terveyttä koskevan tiedon käsittely palvelussa
125. Rekisterinpitäjän antaman selvityksen mukaan sen keräämät tiedot koostuvat käyttäjän itsensä antamista tiedoista sekä laitteiden avulla kerätyistä tiedoista. Käyttäjän antamia (tai muokattavissa olevia) profiilitietoja ovat sukupuoli, ikä, pituus, paino, VO2max (maksimaalinen hapenottokyky), maksimisyke, leposyke, aerobinen ja anaerobinen kynnys, aerobinen maksiminopeus MAS, aerobinen maksimiteho MAP, funktionaalinen kynnysteho FTP, unen tavoiteaika ja päivittäinen aktiivisuustavoite.
126. Rekisterinpitäjä on esittänyt, ettei sen keräämistä tiedoista ole mahdollista tehdä suoraan henkilön terveydentilaa koskevia johtopäätöksiä muiden kuin syketiedon osalta, eikä rekisterinpitäjä siten näkemyksensä mukaan käsittele muita terveyttä koskevia tietoa. Rekisterinpitäjän mukaan terveyttä koskevia johtopäätöksiä tehdäkseen rekisterinpitäjä tarvitsisi lisäksi sellaisia tietoja, joita se ei käsittele. Rekisterinpitäjä on katsonut, että vasta lisätietojen, mahdollisten lääketieteellisten tutkimusten ja terveydenhuollon ammattilaisten avulla käyttäjä voi tehdä terveyttään koskevia johtopäätöksiä rekisterinpitäjän keräämistä tiedoista.
127. Rekisterinpitäjä on myös katsonut, ettei sen valmistamat laitteet ole lääkinnällisiä laitteita tai täytä niiden hyväksyntäkriteereitä. Tässä yhteydessä tietosuojavaltuutettu viittaa ensimmäisen oikeudellisen kysymyksen kohdalla todettuun tietosuojatyöryhmän näkemykseen, että sillä seikalla, onko laitetta markkinoitu lääkinnällisinä laitteina vai ei, ei ole merkitystä arvioitaessa onko kyse terveyttä koskevasta henkilötietojen käsittelystä.
128. Tietosuojatyöryhmän kirjeen liitteessä esitetyn näkemyksen mukaan elämäntapasovellusten- ja laitteiden avulla kerättyjä tietoja ei yleisesti tule pitää henkilötietodirektiivin 8 artiklan mukaisina terveyttä koskevina tietoina. Yleisen tietosuoja-asetuksen soveltaminen ei ole muuttanut terveyttä koskevan tiedon määritelmää. Tietosuojatyöryhmän näkemys koskee niin sanottua raakadataa, jonka perusteella ei voida kohtuudella tehdä johtopäätöksiä henkilön terveyttä koskevasta tilasta. Siten kaikki sovelluksista tai laitteista saatu tieto ei ole henkilön terveyttä koskevaa tietoa. Ottaen huomioon yleisen tietosuoja-asetuksen 4 artiklan 15 kohdan mukainen sanamuoto ”terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa [--]” tietosuojavaltuutettu katsoo myös, ettei rekisterinpitäjän keräämä yksittäinen tieto välttämättä ilmaise henkilön terveydentilaa.
129. Tietosuojatyöryhmän antama esimerkki edellä kuvatusta niin sanotusta raakadatasta, on tieto rekisteröidyn päivän aikana suorittamasta yhden kävelyn askelmäärästä, jota ei yhdistettäisi muuhun rekisteröidystä käyttäjästä kerättyyn tietoon. Tietosuojatyöryhmä on myös katsonut, että niin sanottu raakadata voi kuitenkin muuttua terveyttä koskevaksi tiedoksi, kun tietoja voidaan käyttää henkilön terveydentilan määrittämiseksi. Siten niin sanotun raakadatan käyttötarkoitus tulee ottaa huomioon arvioitaessa, onko kyse yleisen tietosuoja-asetuksen tarkoittamista terveyttä koskevista tiedoista. Huomioon tulee myös ottaa tietojen yhdistettävyydellä saatavat tulokset ja rekisterinpitäjän käyttötarkoitus.
130. Euroopan unionin tietosuojaneuvosto on ohjeessaan terveystietojen käsittelyyn tieteellisiä tutkimustarkoituksia varten covid-19-pandemian yhteydessä katsonut, että terveyttä koskeva tieto voidaan johtaa eri lähteistä, esimerkiksi tiedoista voi tulla terveystietoja, kun niitä tarkastellaan yhdessä muiden tietojen kanssa, ja näistä tiedoista käy ilmi terveydentila tai terveysriskit. Tietosuojaneuvosto on terveyttä koskevan tiedon käsitteen osalta viitannut Euroopan yhteisöjen tuomioistuimen tuomioon asiassa Bodil Lindqvist (C-101/01 annettu 6.11.2003 ), jonka kappaleessa 50 tuomioistuin katsoi, että henkilötietodirektiivin 8 artiklan termiä ’terveyteen liittyvä tieto’ olisi tulkittava sillä tavoin laajasti, että se käsittää kaikki niin fyysiset kuin psyykkisetkin henkilön terveyteen liittyvät tekijät. Kuten edellä todettiin, yleinen tietosuoja-asetus ei ole muuttanut terveyttä koskevan tiedon määritelmää.
131. Todettakoon vielä, että tietosuojavaltuutettu on Valviran ja tietosuojavaltuutetun toimiston yhteisessä ohjauksessa (30.11.2017, 2810/41/2017) todennut, että esimerkiksi elintapatieto on osa laajempaa terveystietoa .
132. Rekisterinpitäjä on kertonut, että se kerää laitteilta saatavaa käyttäjää koskevaa raakadataa, joista se laskee algoritmiensa avulla johdettuja tietoja, jotka esitetään käyttäjälle Palvelussa. Palvelussa käyttäjä näkee esimerkiksi urheilusuorituksensa aikaiset sykealueet; keskisykkeen ja maksimi- ja minimisykkeen, sekä kulutetut kalorit. Käyttäjä pystyy myös tarkastelemaan suorituksiaan pidemmällä aikavälillä. Käyttäjän on mahdollista tarkastella aktiivisuuttaan ja urheilusuorituksia koskevia tietoja rekisterinpitäjän laatimien raporttien avulla. Rekisterinpitäjä edellä kerrotusti yhdistää käyttäjästä kerättyjä tietoja toisiinsa tarjotakseen käyttäjälle tiedon käyttäjän aktiivisuudesta ja hyvinvoinnista edellä kuvatulla tavalla.
133. Tietosuojavaltuutettu edelleen korostaa, ettei kaikkia yksittäisiä tietoja tule katsoa terveyttä koskevaksi tiedoksi. Mikäli rekisterinpitäjä voi kuitenkin yhdistää yksittäisiä tietoja toisiin yksittäisiin tietoihin, ja näiden yhdistettyjen tietojen avulla voidaan tehdä päätelmiä henkilön nykyisestä tai tulevasta terveydentilasta, voi yksittäisen tiedon käsittely johtaa siihen, että kyseistä tietoa on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 15 kohdan mukaisena terveyttä koskevana tietona, ja siten 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvana tietona.
134. Rekisterinpitäjä on kertonut käsittelevänsä maksimaalista hapenottokykyä (VO2max) koskevaa tietoa. Rekisterinpitäjä kertoo verkkosivuillaan, että yritys X:n kuntotestin tuloksena saatava Vv on verrattavissa maksimaaliseen hapenottokykyyn (VO2max), jota käytetään yleisesti aerobisen kunnon mittarina. Rekisteripitäjän verkkosivujen mukaan aerobinen kunto liittyy siihen, kuinka hyvin verenkiertojärjestelmä kykenee välittämään happea keholle. Mitä parempi aerobinen kunto, sitä voimakkaampi ja tehokkaampi sydän. Hyvä aerobinen kunto muun muassa alentaa korkean verenpaineen riskiä ja pienentää riskiä sairastua sydän- ja verisuonitauteihin tai aivohalvaukseen.
135. Rekisterinpitäjä on siten myös itse tunnistanut, että maksimaalinen hapenottokyky ilmaisee verenkiertojärjestelmän kyvyn välittää happea keholle ja, että maksimaalinen hapenottokyky on siten yhteydessä erilaisiin sairauksiin. Tietosuojavaltuutettu katsoo, että tieto käyttäjän maksimaalisesta hapenottokyvystä (VO2max) yhdistettynä tunnistettavissa olevaan luonnolliseen henkilöön niin ikään ilmaisee henkilön terveydentilan, jonka takia tietosuojatyöryhmän näkemys ja terveystiedon laaja tulkinta huomioon ottaen tietosuojavaltuutettu katsoo, että maksimaalista hapenottokykyä on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 15 kohdan mukaisena terveystietona. Tietosuojavaltuutettu on arvioinnissaan kiinnittänyt huomiota myös siihen, että rekisterinpitäjä voi tehdä edellä mainitut päätelmät sen käsittelemien tietojen perusteella.
136. Rekisterinpitäjä on myös kertonut antamassaan selvityksessä, että rekisteröidyn pituuden ja painon avulla lasketaan käyttäjän painoindeksi. Myös rekisterinpitäjän käsittelemää painoindeksiä on pidettävä 4 artiklan 15 kohdan mukaisena terveystietona.
137. Tietosuojavaltuutettu ei muilta osin arvioi, mitä muita terveyttä koskevia tietoja rekisterinpitäjä käsittelee, vaan jättää sen rekisterinpitäjälle kuuluvan vastuun mukaisesti rekisterinpitäjän vastuulle.
138. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä pystyy ja sen on edellä kuvatusti myös tarkoitus nimenomaisesti yhdistää käyttäjän tietoja Palvelussa tuottaakseen algoritmien avulla rekisteröidylle tietoa sen aktiivisuudesta ja harjoittelusta. Niin ikään, vaikka rekisterinpitäjän tarkoitus ei olisikaan suoranaisesti käsitellä rekisteröityjen terveyttä koskevia tietoja, katsoo tietosuojavaltuutettu, että rekisterinpitäjä kuitenkin de facto yhdistellessään rekisteröitynyttä käyttäjää koskevia tietoja käsittelee rekisteröityjen terveyttä koskevia tietoja Palvelussa.
139. Tietosuojavaltuutettu kiinnittää erityisesti huomiota siihen, että rekisterinpitäjä on kertonut sen keräämän tiedon olevan hyvinvointidataa, jota käyttäjä voi hyödyntää analysoidessaan omaa hyvinvointiaan sekä tehdessään sitä tukevia muutoksia elämässään.
Suostumus muiden erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittelyyn
140. Edellä tarkemmin ilmenevin perusteluin tietosuojavaltuutettu on katsonut, että rekisterinpitäjä käsittelee syketiedon lisäksi ainakin maksimaalista hapenottokykyä ja painoindeksiä kuvaavaa tietoa eli myös muita erityisiin henkilötietoryhmiin kuuluvia terveyttä koskevia tietoja. Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan näiden tietojen käsittely on lähtökotaisesti kiellettyä. Terveystietoja saa kuitenkin käsitellä esimerkiksi rekisteröidyn antaman nimenomaisen suostumuksen nojalla (9 artiklan 2 kohdan a alakohta).
141. Tietosuojavaltuutettu toteaa, että rekisterinpitäjän tarkoituksena on ollut pyytää suostumus muiden erityisiin henkilötietoryhmiin kuuluvien terveyttä koskevien tietojen käsittelyyn suostumusta ilmaisevalla toimella, sillä rekisterinpitäjä on pyytänyt antamaan suostumuksen seuraavaan: ”Hyväksyn, että yritys X voi kerätä ja käsitellä arkaluonteisia henkilötietojani kuten sykettä ja muita arkaluonteisiksi henkilötiedoiksi katsottuja terveystietoja yritys X:n tietosuojakäytännössä kuvatulla tavalla.”
142. Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan suostumuksen on oltava muun muassa yksilöity ja tietoinen. Yksilöidyllä suostumuksella tarkoitetaan suostumusta, joka on pyydetty ”yhtä tai useampaa erityistä” tarkoitusta varten. Yksilöidyllä suostumuksella tarkoitetaan siten sitä, että rekisteröidylle ilmoitetaan nimenomaisesti heitä koskevien tietojenkäytön aiotut tarkoitukset. Tietosuojaneuvosto on suostumusta koskevissa suuntaviivoissa todennut, että rekisterinpitäjän olisi kussakin suostumuksen antamista koskevassa pyynnössä selostettava, mitä tietoja kutakin tarkoitusta varten käsitellään . Jotta suostumus on tietoinen, rekisteröidyille on myös annettava tieto siitä, mitä tai minkä tyyppisiä tietoja kerätään ja käytetään .
143. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely edellyttää lisäksi, että suostumus on 9 artiklan 2 kohdan a alakohdan mukaisesti nimenomainen.
144. Rekisterinpitäjä on kertonut tietosuojakäytännössä käsittelevänsä henkilötietoja tietosuojakäytännössä listattuihin käyttötarkoituksiin. Rekisterinpitäjä informoi tietosuojakäytännössä muun muassa seuraavaa:
”Kun luot tunnuksen yritys X:n palveluihin, sinulta kysytään tiettyjä henkilötietoja (mm. nimi, sähköpostiosoite, sukupuoli, ikä). Tarvitsemme näitä tietoja tarjotaksemme sinulle henkilökohtaisesti räätälöidyn käyttökokemuksen palveluissamme. Käytämme esimerkiksi ikätietoasi, jotta voimme laskea polttamasi kalorit tarkemmin.”
”Palvelu on ilmainen kuntoilu- ja harjoittelusovellus sekä verkkopalvelu, joka auttaa seuraamaan harjoittelu-, aktiivisuus- ja unidataasi ja analysoimaan edistymistäsi. Sitä käytetään yhdessä tuotteesi kanssa, ja se toimii automaattisena treenipäiväkirjanasi: kaikki harjoitus-, aktiivisuus- ja unitietosi synkronoituvat tuotteeltasi tilillesi.”
145. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä sinänsä informoi rekisteröityjä siitä, että heitä koskevia henkilötietoja käsitellään muun muassa aktiivisuuden ja harjoittelun analysoimiseksi. Rekisterinpitäjä ei kuitenkaan informoi sen tietosuojakäytännössä käsiteltävien henkilötietojen tyypeistä ja siitä, mihin tarkoitukseen kutakin henkilötietotyyppiä käsitellään.
146. Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassa selvityksessä listannut tietoja, joita se käsittelee rekisteröidystä. Tätä samaa tietoa ei ole kuitenkaan annettu rekisteröidylle suostumuksen pyytämisen yhteydessä.
147. Koska rekisterinpitäjä ei ole suostumuksen pyytämisen yhteydessä antanut tietoa henkilötietojen käsittelyn tarkoituksista ja käsiteltävistä tiedoista tai tietotyypeistä, ei rekisterinpitäjän pyytämää suostumusta muiden erityisten henkilötietojen käsittelyyn voida pitää yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaisena.
148. Lopuksi tietosuojavaltuutettu kiinnittää huomiota siihen, että ICO:n rekisterinpitäjälle vuonna 2018 antama vastaus ei ole koskenut tapaa, jolla rekisterinpitäjä on kerännyt suostumuksen erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn. ICO on vastauksessaan todennut, että rekisterinpitäjä on voinut pyytää suostumuksen vanhoilta Palvelun käyttäjiltä, vaikka nämä käyttäjät ovat aikanaan hyväksyneet henkilötietojen käsittelyyn tehdessään sopimuksen rekisterinpitäjän kanssa.
Tietojen siirto kolmansiin maihin
149. Aluksi on syytä todeta, että nyt kyseessä oleva rekisterinpitäjän toimintatapa koskien henkilötietojen siirtoa kolmansiin maihin on perustunut rekisterinpitäjän toimintatapaan ennen 19.11.2019.
150. Rekisterinpitäjän kertoman mukaan on mahdollista, että käyttäjän sähköpostiosoite tai käyttäjän tunnistetieto (käyttäjä-ID) siirtyy palvelimelle, joka sijaitsee Yhdysvalloissa. Rekisterinpitäjä on kertonut siirtäneensä tietoja Privacy Shield -järjestelyn nojalla. Privacy Shield -järjestely on kumottu Euroopan unionin tuomioistuimen niin sanotussa Schrems II -päätöksessä heinäkuussa 2020. Siten vielä helmikuussa 2019 ja rekisterinpitäjän selvityksen antamisen aikaan marraskuussa 2019 rekisterinpitäjä on voinut siirtää henkilötietoja Yhdysvaltoihin Privacy Shieldin nojalla. Tietosuojavaltuutetun toimiston tietoon ei ole saatettu, että tietoja olisi siirretty muihin EU/ETA-alueen ulkopuolisiin maihin kuin Yhdysvaltoihin. Näin ollen tietojen siirto tässä päätöksessä on rajattu vain kysymykseen tietojen siirrosta Yhdysvaltoihin.
151. Rekisterinpitäjä on perustanut tietojen siirron Privacy Shield -järjestelyn lisäksi rekisteröidyiltä saatuun suostumukseen. Koska tietosuojan riittävä taso on taattu Privacy Shield -järjestelyn nojalla, ei tietojen siirtoon ole asiassa kyseessä olevana aikana tarvittu 49 artiklan tarjoamaa poikkeusperustetta, kuten suostumusta.
152. Yleinen tietosuoja-asetus ei sinänsä vaadi, että niissä tilanteissa, joissa henkilötietoja siirretään nimenomaisen suostumuksen nojalla, siirron tulisi olla satunnaista ja ei-toistuvaa. Euroopan unionin tietosuojaneuvosto on 49 artiklan mukaisia poikkeuksia koskevassa ohjeessaan kuitenkin korostanut sitä, että niitäkin poikkeuksia, joita ei ole erikseen rajoitettu satunnaisiin tai ei-toistuviin siirtoihin, on tulkittava tavalla, joka ei ole ristiriidassa sen poikkeusten ominaisluonteen kanssa, että ne ovat poikkeuksia säännöstä, jonka mukaan henkilötietoja ei voida siirtää kolmanteen maahan, ellei maa tarjoa riittävää tietosuojaa tai ellei asianmukaisia suojatoimia toteuteta. Todettakoon, että nyt käsillä olevassa tapauksessa rekisterinpitäjän harjoittama tietojen siirto kolmansiin maihin ei ole ollut satunnaista, minkä vuoksi 49 artiklan mukaista poikkeusperustetta ei olisi tässä tapauksessa voitu käyttää siirron perusteena.
153. Koska nyt käsillä olevassa tapauksessa rekisterinpitäjän harjoittama tietojen siirto on perustunut Euroopan komission päätökseen (Privacy Shield), on rekisterinpitäjällä ollut asianmukainen siirtoperuste siirtää tietoja Yhdysvaltoihin. Tässä yhteydessä ei ole myöskään tarpeellista arvioida, onko rekisterinpitäjän keräämä tietojen siirtoa koskeva suostumus täyttänyt suostumukselle asetetut edellytykset. Myöskään nyt käsillä olevan asian yhteydessä ei arvioida rekisterinpitäjän nykyisiä tietojen siirtoa koskevia käytänteitä.
154. Tietosuojavaltuutettu toteaa, ettei rekisterinpitäjän tule pyytää suostumusta tiettyyn henkilötietojen käsittelyyn vain varmistuakseen siitä, että rekisteröidyt ovat tietoisempia henkilötietojensa käsittelystä suostumuksen annettuaan. Mikäli henkilötietojen käsittely tietyissä tilanteissa ei vaadi rekisteröidyn nimenomaista suostumusta, ei suostumusta tule kerätä vain tietoisuuden parantamiseksi. Tietosuojavaltuutettu katsoo rekisterinpitäjän tarkoituksen olleen kuitenkin hyvä, sillä rekisterinpitäjä on pyrkinyt kiinnittämään rekisteröityjen huomiota henkilötietojen käsittelyyn.
Suostumus ”käyttäjän luoman sisällön” käsittelyyn
155. Palvelun käyttöehtojen mukaan ”Tallentaessasi, lähettäessäsi tai siirtäessäsi yritys X:n palveluihin sisältöä annat yritys X:n vastikkeettoman, maailmanlaajuisen, siirrettävissä olevan, edelleen lisensoitavissa olevan oikeuden käyttää, kopioida, esittää julkisesti, editoida, kääntää ja jakaa edelleen omaa Käyttäjän Luomaa Sisältöäsi.”
156. Palvelun käyttöönoton ehdoksi on asetettu, että rekisteröity hyväksyy rekisterinpitäjän käyttöehdot. Jos hakija ei ole halunnut hyväksyä edellä mainittua rekisterinpitäjän käyttöehdoissa kuvaamaa henkilötietojen käsittelyä koskevaa toimea, hakija ei ole saanut Palvelua käyttöönsä.
157. Todettakoon aluksi, että ”hyväksy” -painiketta ei tule automaattisesti tulkita yleisen tietosuoja-asetuksen mukaisen suostumuksen antamista ilmaisevaksi toimeksi. Rekisterinpitäjä on antamassaan selvityksessä yleisesti kertonut Palvelun käytön edellyttävän suostumusten antamista. Rekisterinpitäjä ei ole antamissaan selvityksissä viitannut muihin käsittelyperusteisiin kuin suostumukseen, pois lukien henkilötietojen käsittely tutkimus- ja tuotekehitystä koskevaan käsittelytoimeen, jonka osalta rekisterinpitäjä on viitannut oikeutettuun etuun . Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjälle 30.11.2021 lähetetyssä kuulemis- ja lisätietopyynnössä esittelijä on katsonut, ettei ”käyttäjän luoman sisällön” käsittelyä koskeva suostumus täytä yleisessä tietosuoja-asetuksessa säädetyn suostumuksen edellytyksiä. Rekisterinpitäjä ei ole kuulemispyyntöön 14.1.2022 antamassaan vastauksessa korjannut tietosuojavaltuutetun toimiston esittelijän näkemystä siitä, etteikö rekisterinpitäjän olisi ollut tarkoitus pyytää suostumusta ”käyttäjän luoman sisällön” käsittelyä koskevaan henkilötietojen käsittelyyn. Toisin sanoen, rekisterinpitäjä ei ole vastauksessaan todennut, että se ei ole käsitellyt rekisteröidyn tallentamaa, lähettämää tai siirtämää henkilötietoa suostumuksen perusteella.
158. Rekisterinpitäjän antamien selvitysten johdosta tietosuojavaltuutettu on katsonut, että rastittamalla käyttöehtoja koskeva ”hyväksy” -painike, rekisterinpitäjän on ollut tarkoitus pyytää suostumus käyttöehdoissa mainittuun ”käyttäjän luoman sisällön” käsittelyä koskevaan henkilötietojen käsittelyyn.
159. Tietosuojavaltuutettu ei arvioi tässä päätöksessä, onko suostumus ollut tarkoituksenmukainen käsittelyperuste henkilötietojen käsittelylle ”käyttäjän luoman sisällön” käsittelyn yhteydessä. Tietosuojavaltuutetun arvio rajautuu alempana tarkemmin kuvatusti siihen, onko rekisterinpitäjän käsittelyperusteeksi valitsema suostumus ollut yleisen tietosuoja-asetuksen 7 artiklan 2 ja 4 kohtien mukainen.
160. Rekisterinpitäjä on antamassaan selvityksessä tarkentanut ”sisältöä” muun muassa seuraavasti: ”Sisältö” ei ole käyttäjän laitteelta tuleva data tai tieto, jonka käyttäjä on antanut itsestään tiliä luodessaan, vaan käyttäjän luomalla ”sisällöllä” tarkoitetaan sellaista tietoa, jota käyttäjä päättää itse jakaa esimerkiksi rekisterinpitäjän tarjoamien ryhmien keskusteluissa tai rekisterinpitäjän sosiaalisen median kanavilla. Jos rekisteröity päättää julkaista sisältöä jakamalla esimerkiksi valokuvan rekisterinpitäjän sosiaalisen median kanavalla, rekisteröity suostuu rekisterinpitäjän käyttöehtojen mukaan siihen, että rekisterinpitäjä voi muun muassa käyttää, kopioida, esittää julkisesti, editoida ja jakaa julkisesti käyttäjän luomaa sisältöä.
161. Rekisterinpitäjän mukaan palvelu on sisältänyt kiinteästi toimintoja, jotka nojautuivat ”käyttäjän luomaan sisältöön”. Käyttäjät ovat voineet jakaa harjoitustuloksiaan itse hallinnoimilleen seuraajille esimerkiksi Xx -näkymässä ja Yy -toiminnon alla olevissa ryhmät, tapahtumat ja Zz-näkymässä. Edellä mainituissa on ollut mahdollista käydä keskustelua tuloksista. Käyttäjät ovat myös voineet jakaa harjoitustietoja muiden samaan ryhmään tai tapahtumaan kuuluvien käyttäjien kanssa.
162. Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän informoinnin sanamuoto ”tallentaessasi yritys X:n palveluihin sisältöä” on voinut muodostaa hakijalle ja mahdollisesti myös muille rekisteröidyille käsityksen, että ”käyttäjän luomalla sisällöllä” tarkoitetaan sitä tietoa, joka käyttäjästä tallentuu Palveluun esimerkiksi urheilusuorituksen aikana. Rekisterinpitäjän kertoman mukaan näin ei kuitenkaan ole. Rekisterinpitäjä ei esimerkiksi ”käytä, kopioi, jaa julkisesti” käyttäjän Palveluun tallentuvaa käyttäjän harjoitustietoa, vaan käyttöehtojen mukaan käyttäjän itse jakaessa tietoa rekisterinpitäjän alustoilla, esimerkiksi keskustelupalstoilla, rekisterinpitäjä voisi käsitellä tietoja käyttöehdoissa kuvatulla tavalla. Rekisteröidylle on myös voinut muodostua edellä kuvattu käsitys, sillä ”käyttäjän luoma sisältö” ja tätä koskeva rekisterinpitäjän oikeus käyttäjän itsensä jakaman sisällön käsittelyyn on kuvattu nimenomaan yritys X:n Palvelun käyttöehdoissa, eikä esimerkiksi rekisterinpitäjän tarjoamien ja ylläpitämien alustojen käyttöehdoissa.
163. Rekisterinpitäjän mukaan Palvelu on sisältänyt kiinteästi toimintoja, jotka nojautuivat ”käyttäjän luomaan sisältöön”. Tietosuojavaltuutettu kuitenkin katsoo, ettei rekisterinpitäjän tarjoama mahdollisuus jakaa kuvia tai keskustella sen tarjoamissa palveluissa ole niinkään Palvelun ydinpalvelu, vaikka Yy-toiminto ja Xx-näkymä ovatkin nojautuneet Palvelusta saatuun tietoon. Tietosuojavaltuutetun näkemyksen mukaan Palvelun ydin on käyttäjän harjoittelun seuraaminen ja edistyksen analysointi . Tätä näkemystä tukee se, että tietojen jakaminen on perustunut käyttäjän vapaaehtoisuuteen, sillä käyttäjä voi käyttää Palvelua ilman, että se koskaan jakaisi tietoja tai keskustelisi rekisterinpitäjän alustoilla.
164. Rekisterinpitäjä on kuitenkin edellä kerrotusti sisällyttänyt sen yleisiin käyttöehtoihin ”käyttäjän luoman sisällön” käsittelyä koskevan toimen, johon rekisteröidyn on tullut antaa suostumus. Rekisteröidyn on siten tullut antaa suostumus siihen, että rekisterinpitäjällä on ollut oikeus käyttää, kopioida, esittää julkisesti, editoida, kääntää ja jakaa edelleen käyttäjän itsensä jakamaa sisältöä, jonka käyttäjä on saanut Palvelusta.
165. Suostumus on yksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa säädetyistä käsittelyn oikeusperusteista. Henkilötietojen käsittelyä koskevan suostumuksen on oltava muun muassa yksilöity ja vapaaehtoinen. Yksilöidyllä suostumuksella tarkoitetaan rekisteröidyn suostumusta, jossa suostumus on annettu ”yhtä tai useampaa tarkoitusta varten”. Rekisterinpitäjän on siten eroteltava selkeästi toisistaan ne tiedot, joiden osalta hankitaan suostumus tietojenkäsittelytoimintoihin, muita asioita koskevista tiedoista . Yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tietosuojavaltuutettu katsoo, ettei rekisterinpitäjän olisi tullut liittää sen yleisiin käyttöehtoihin sellaisia henkilötietojen käsittelyä koskevia toimia, joihin sen on tarkoitus pyytää yleisen tietosuoja-asetuksen mukainen suostumus.
166. Koska rekisterinpitäjän keräämää suostumusta ”käyttäjän luoman sisällön” käsittelyyn ei ole pyydetty selvästi erillään muista asioista, ei ”käyttäjän luoman sisällön” käsittelytoimea koskeva suostumus ole ollut yksilöity, eikä se siten ole täyttänyt yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan mukaista suostumukselle asetettua edellytystä.
167. Todettakoon tässä yhteydessä, että käyttöehdoissa tulisi kuvata palvelun käytön yleiset ehdot, sekä ne käsittelytoimet, jotka ovat välttämättömiä kyseisen palvelun tarjoamiseksi. Käyttöehtoihin ei tämän takia tulisi liittää sellaisia käsittelytoimia, joihin tulisi pyytää yleisen tietosuoja-asetuksen mukainen suostumus.
168. Suostumuksen vapaaehtoisuudella puolestaan tarkoitetaan rekisteröidyn todellista vapaan valinnan mahdollisuutta. Vapaaehtoisuuteen liittyy myös keskeisesti sen arvioiminen, onko suostumus liitetty sellaiseksi ehtojen osaksi, joista ei voida neuvotella. Jos suostumus on liitetty sellaisten ehtojen osaksi, josta ei voida neuvotella, olettamuksena on, että sitä ei ole annettu vapaaehtoisesti. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava huomioon myös yleisen tietosuoja-asetuksen 7 artiklan 4 kohta, jonka mukaan olisi otettava huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Pakottamalla hyväksymään muiden kuin ehdottoman välttämättömien henkilötietojen käyttö, rajoitetaan rekisteröidyn valintamahdollisuuksia ja estetään vapaaehtoinen suostumus. Koska tietosuojalainsäädännöllä pyritään suojelemaan perusoikeuksia, on oleellista, että henkilö pystyy valvomaan henkilötietojaan, ja lisäksi vahvana olettamuksena on, ettei suostumusta tarpeettomien henkilötietojen käsittelyyn voida pitää pakollisena vastasuorituksena sopimuksen täytäntöönpanosta tai palvelun tarjoamisesta.
169. Rekisterinpitäjä on itse katsonut rekisteröidyllä olevan vapaan valinnan mahdollisuus jakaa tai olla jakamatta kuvia tai videoita rekisterinpitäjän Palvelussa. Tietosuojavaltuutettu toteaa, että rekisteröidyllä voi todellisuudessa olla mahdollisuus itse valita, jakaako hän tietoja omista harjoituksistaan muille käyttäjille. Tästä huolimatta rekisteröidyllä ei ole ollut todellista vapaan valinnan mahdollisuutta antaa tai olla antamatta suostumusta käyttöehdoissa kuvattuun henkilötietojen käsittelyä koskevaan toimeen, eikä suostumus ole siten täyttänyt vapaaehtoisuuden edellytystä.
170. Tietosuojavaltuutettu kiinnittää vielä huomiota siihen, että rekisterinpitäjä on kertonut sen käyttöehdoissaan käsittelevänsä henkilötietoja hyvin laajamittaisesti. Rekisterinpitäjän käyttöehtojen mukaan käyttäjä antaisi rekisterinpitäjälle ”vastikkeettoman, maailmanlaajuisen, siirrettävissä olevan, edelleen lisensoitavissa olevan oikeuden käyttää, kopioida, esittää julkisesti, editoida, kääntää ja jakaa edelleen omaa Käyttäjän Luomaa Sisältöä”. Yksilöidyn ja vapaaehtoisen suostumuksen vaatimukseen liittyy keskeisesti myös tarkkuuden vaatimus. Suostumuksen olisi oltava tarkka ja yksilöity eli rekisterinpitäjä ei voi pyytää rekisteröidyn suostumusta ennalta määrittelemättömiin käyttötarkoituksiin, tai epäselviin tarkoituksiin. Tietosuojavaltuutettu katsoo, ettei edellä mainittu kuvaus käsittelytarkoituksesta ole riittävän tarkka, jotta rekisteröity voisi antaa vapaaehtoisen suostumuksen tiettyä rekisterinpitäjän käyttötarkoitusta varten.
171. Edellä kerrotun perusteella tietosuojavaltuutettu katsoo, ettei rekisterinpitäjän keräämä suostumus käyttöehtojen mukaisen ”käyttäjän luoman sisällön” käsittelyyn ole kokonaisuutena täyttänyt yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaista suostumusta sillä suostumus ei ole ollut muun muassa yksilöity eikä vapaaehtoinen. Suostumusta ei ole myöskään edellä kerrotulla tavalla pyydetty erillään muista asioista eikä suostumusta ole voitu antaa vapaaehtoisesti, minkä takia pyydetty suostumus ei ole täyttänyt yleisen tietosuoja-asetuksen 7 artiklan 2 ja 4 kohdan mukaisen suostumuksen edellytyksiä.
172. Tietosuojavaltuutettu kiinnittää huomiota siihen, että lähtökohtaisesti voidaan katsoa, että ”käyttäjien luoma sisältö” voi pitää sisällään terveyttä koskevia tietoja. Tämä seikka tulee ottaa huomioon arvioitaessa asianmukaista käsittelyperustetta ”käyttäjän luoman sisällön” käsittelyyn, erityisesti ottaen huomioon rekisteröidyn perusoikeudet ja -vapaudet.
173. Lopuksi tietosuojavaltuutettu tarkentaa, että nyt kyseessä olevassa päätöksessä tietosuojavaltuutettu ei arvioi, eikä sen toimivaltaan kuulu arvioida tekijänoikeuslain (404/1961) näkökulmasta sitä, voiko rekisterinpitäjä käsitellä vastikkeettomasti ja maailmanlaajuisesti rekisteröidyn itsensä tallentamaa, lähettämää tai siirtämää tietoa siten kuin käyttöehdoissa on nyt kuvattu. Tietosuojavaltuutettu ei päätöksessään myöskään arvioi tai ota kantaa muutoin käsittelyn lainmukaisuuteen. Siten tietosuojavaltuutettu on rajannut ”käyttäjän luoman sisällön” käsittelyä koskevan käsittelytoimen osalta arvionsa siihen, onko rekisterinpitäjän pyytämä suostumus ”käyttäjän luoman sisällön” käsittelyyn täyttänyt suostumuksen edellytykset tilanteessa, jossa ”käyttäjän luoman sisällön” käsittely on perustunut rekisteröidyn suostumukseen.
Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus ja sen on esitellyt ylitarkastaja Mari-Ilona Korhonen.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Päätös
174. Tietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan edellytykset täyttävää 4 artiklan 11 kohdan mukaista yksilöityä ja tietoista suostumusta maksimaalisen hapenottokyvyn ja painoindeksin käsittelemiseksi.
175. Asiassa ei ole kyse yleisen tietosuoja-asetuksen johdantokappaleessa 148 tarkoitetusta vähäisestä tietosuoja-asetuksen säännösten rikkomisesta ottaen huomioon erityisesti rikkomisen vakavuus, minkä takia huomautus ei ole riittävä seuraamus asiassa.
176. Seuraamuskollegio toteaa, että asiassa on useita seikkoja, jotka olisivat puoltaneet seuraamusmaksun määräämättä jättämistä. Arvioitaessa edellytyksiä hallinnollisen seuraamusmaksun määräämiselle, seuraamuskollegio on kuitenkin kiinnittänyt huomiota erityisesti siihen, että kyseessä olevien erityisten henkilötietojen laajamittainen käsittely on keskeinen osa rekisterinpitäjän ydinliiketoimintaa, jonka takia hallinnollista seuraamusmaksua ei voida jättää määräämättä. Näillä muilla seikoilla on kuitenkin huomattavaa merkitystä arvioitaessa hallinnollisen seuraamusmaksun määrää.
177. Tämän päätöksen kohteena olevassa asiassa rekisterinpitäjä on rikkonut 83 artiklan 5 kohdan a alakohdan (9 artikla) mukaista säännöstä. Rikkominen on siten koskenut korkeamman seuraamusmaksuluokan mukaista rikkomista.
178. Rekisterinpitäjän vuoden 2021 liikevaihto on ollut xx euroa. Nyt kyseessä olevassa tapauksessa rekisterinpitäjälle määrättävä hallinnollinen seuraamusmaksu saa olla enintään 20 000 000 euroa.
179. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määrää rekisterinpitäjän maksamaan valtiolle 122 000 (sata kaksikymmentäkaksi tuhatta) euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla. Seuraamuskollegio katsoo 122 000 euron hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
Perustelut hallinnollisen seuraamusmaksun määräämiselle
180. Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävän hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.
181. Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Nyt kyseessä olevassa pääasiassa tietosuojavaltuutettu on määrännyt rekisterinpitäjän saattamaan sen käsittelytoimet yleisen tietosuoja-asetuksen mukaiseksi, sekä antanut rekisterinpitäjälle huomautuksen. Hallinnollinen seuraamusmaksu määrätään siten 58 artiklan 2 kohdan b ja d alakohtien lisäksi.
182. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:
a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus; b) rikkomisen tahallisuus tai tuottamuksellisuus; c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi; d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet; e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset; f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; g) henkilötietoryhmät, joihin rikkominen vaikuttaa; h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa; i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen; j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.
183. Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a alakohdan (5, 6, 7 ja 9 artiklat) mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
184. Arvioitaessa hallinnollisen seuraamusmaksun määräämistä ja määrää, huomioon tulee ottaa edellä mainitut yleisen tietosuoja-asetuksen 83 artiklan 1, 2 ja 5 artiklat. Asiaa arvioitaessa huomioon on otettava myös 29 artiklan mukaisen tietosuojaryhmän ohje hallinnollisten sakkojen soveltamisesta ja määräämisestä.
Rikkomisen vakavuutta koskeva arviointi
185. Rikkomisen vakavuutta koskevassa arvioinnissa huomioon on otettu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a, b ja g alakohdat.
Luonne, vakavuus ja kesto, tietojenkäsittelyn luonne, laajuus tai tarkoitus
186. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 51 mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Lainsäätäjä on tämän johdosta asettanut erityisten henkilötietojen käsittelylle erityisiä vaatimuksia kuten sen, että niiden käsittely on lähtökohtaisesti kielletty, ja sallittua vain 9 artiklan sallimissa tilanteissa. Asiassa kyseessä olevat tiedot ovat kiistatta yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan tarkoittamia terveyttä koskevia tietoja. Vaikka kyse on erityisiin henkilötietoryhmiin kuuluvista tiedoista, seuraamuskollegio katsoo, että kyse ei ole erityisen arkaluonteisista tiedoista (vrt. mielenterveyttä koskevat tiedot tai esimerkiksi maksukyvyttömyyttä tai sijaintia koskeva tieto, jotka eivät ole erityisiin henkilötietoryhmiin kuuluvia tietoja).
187. Seuraamuskollegio katsoo, että vaikka erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely vailla 9 artiklan mukaisia riittäviä edellytyksiä ei aina yksistään johtaisi hallinnollisen seuraamusmaksun määräämiseen, on tietojenkäsittelyn luonnetta ja tarkoitusta koskevassa arviossa kiinnitettävä erityistä huomiota siihen, että pääasiassa arvioitavana oleva Palvelu ja siihen liittyvä terveyttä koskevien tietojen käsittely on keskeinen osa rekisterinpitäjän ydintoimintaa. Nämä seikat yhdessä ilmentävät rikkomisen vakavuutta ja puoltavat hallinnollisen seuraamusmaksun määräämistä.
188. Lieventäväksi tekijäksi seuraamuskollegio katsoo sen, että rekisterinpitäjän tarkoituksena on oman tuotteen kehittämisen ohella myös nimenomaisesti rekisteröidyn hyvinvointia parantavan palvelun tarjoaminen. Vaikka rekisterinpitäjä on hyötynyt maksimaalisen hapenottokyvyn ja painoindeksin käsittelystä, on näiden tietojen käsittely toisaalta hyödyttänyt myös rekisteröityjä, kun rekisterinpitäjä on pystynyt käsittelemiensä tietojen avulla kehittämään Palveluaan. Rekisterinpitäjän liiketoiminnan ansaintalogiikka ei myöskään ole perustunut yksinomaan rekisteröidyn tietojen käsittelyyn.
189. Kantelut on saatettu vireille tietosuojavaltuutetun toimistoon 22.5.2018-18.2.2019 välisenä aikana. Tietosuojavaltuutettu on arvioinut edellä mainitun aikavälin mukaisia rekisterinpitäjän toimintatapoja. Rekisterinpitäjä on jatkanut yleisen tietosuoja-asetuksen rikkomista myös edellä mainitun ajankohdan jälkeen, koska rekisterinpitäjä ei edelleenkään pyydä yleisen tietosuoja-asetuksen mukaista suostumusta maksimaalista hapenottokykyä ja painoindeksiä koskevien tietojen käsittelyyn . Rekisterinpitäjän yleisen tietosuoja-asetuksen vastaista menettelyä voidaan edellä kerrotun perusteella pitää suhteellisen pitkäkestoisena. Seuraamuskollegio kuitenkin kiinnittää huomiota siihen, että asian käsittely tietosuojavaltuutetun toimistossa on kestänyt pitkään. Tämän takia rikkomisen suhteellisen pitkän keston ei voida katsoa ilmentävän rikkomisen vakavuutta, eikä tätä oteta huomioon seuraamusmaksuarvioinnissa seuraamusmaksua puoltavana seikkana.
Rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja vahingon suuruus
190. Rekisterinpitäjän toimintaa on edellä kerrotusti tarkasteltu tietosuojavaltuutetun toimistoon 22.5.2018-18.2.2019 välisenä aikana saatettujen kanteluiden osalta. Mainittuna aikana rekisterinpitäjän käyttöehdot Palveluun rekisteröitymisen yhteydessä on hyväksynyt 3,47 miljoonaa rekisteröityä. Rekisterinpitäjä on siten käsitellyt, tai ainakin sillä on ollut mahdollista käsitellä 3,47 miljoonan käyttäjän maksimaalista hapenottokykyä ja painoindeksiä koskevia tietoja ilman lainmukaista käsittelyn oikeusperustetta.
191. Arvioitaessa säännösten rikkomisen vaikutuksia otetaan huomioon rekisteröityjen määrän lisäksi se, että henkilötietojen käsittely ei ole ollut vain kansallista, vaan henkilötietojen käsittely on vaikuttanut myös muissa EU/ETA- alueella sijaitseviin rekisteröityihin.
192. Yhtäältä suuri rekisteröityjen määrä ilmentää rikkomisen vakavuutta, toisaalta tietosuojavaltuutetun toimiston käytössä olevien tietojen mukaan hakijoille ei ole aiheutunut taloudellista vahinkoa.
Rikkomisen tahallisuus tai tuottamuksellisuus
193. Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä rikkoisikin laissa edellytettyjä huolellisuusvelvoitteita. Tahallista rikkomista, joka ilmentää piittaamattomuutta lainsäädännöstä, pidetään edellä mainitun ohjeen mukaan yleisesti vakavampana kuin tahatonta rikkomista.
194. Rekisterinpitäjä on sykettä koskevan suostumuksen ohella pyytänyt suostumuksen myös muiden erityisten henkilötietojen käsittelyyn. Tietosuojavaltuutetun päätöksestä ilmenevällä tavalla muiden terveyttä koskevin tietojen käsittelyyn pyydetty suostumus ei ole täyttänyt suostumukselle asetettuja edellytyksiä. Tältä osin seuraamuskollegio kiinnittää huomiota siihen, että rekisterinpitäjän tarkoituksena on ollut pyytää suostumus. Kokonaisuus huomioiden seuraamuskollegio katsoo, ettei yleisen tietosuoja-asetuksen säännösten rikkomista voida pitää tahallisena.
195. Iso-Britannian tietosuojan valvontaviranomainen ICO on rekisterinpitäjälle antamassaan vastauksessa todennut, että rekisterinpitäjä on voinut muuttaa käsittelyperusteen suostumukseksi, minkä johdosta rekisterinpitäjä on voinut pyytää vanhoilta käyttäjiltä suostumuksen. Vaikka ICO on rekisterinpitäjälle toimittamassaan viestissä todennut rekisterinpitäjän toimien olleen tietosuojasääntelystä seuraavien velvoitteiden mukaisia, ICO ei ole selvityksessään ja vastauksessaan arvioinut nimenomaisesti suostumuksen pyytämistä koskevaa toimintatapaa, joka on nyt käsillä olevan päätöksen kohteena.
196. Edelleen seuraamuskollegio katsoo, että rekisterinpitäjän asiassa toimittamat selvitykset osoittavat rekisterinpitäjän pyrkimystä noudattaa yleisen tietosuoja-asetuksen velvoitteita. Tätä ilmentää muun muassa se, että rekisterinpitäjä on pyytänyt suostumuksen muiden arkaluonteisiksi terveystiedoiksi katsottujen terveystietojen käsittelyyn, vaikka suostumus ei olekaan täyttänyt suostumukselle asetettuja edellytyksiä. Seuraamuskollegio toteaa lisäksi, että kantelut kohdistuvat ajankohtaan, jolloin yleistä tietosuoja-asetusta on juuri alettu soveltaa.
197. Yhden luukun järjestelmän mukaisesti Suomen valvontaviranomainen eli tietosuojavaltuutettu vastaa nyt kyseessä olevasta rekisterinpitäjän harjoittaman henkilötietojen käsittelyn valvonnasta. Vaikka rekisterinpitäjän toimintatapaa on arvioinut toisen jäsenvaltion valvontaviranomainen, toteaa seuraamuskollegio, että rekisterinpitäjien tulee voida luottaa myös muiden jäsenvaltioiden valvontaviranomaisten tekemään arvioon.
198. Koska kyse ei kuitenkaan ole viranomaisen hallintopäätöksestä, vaan rekisterinpitäjän ja ICO:n välisestä viestinvaihdosta, joka ei koske nimenomaisesti tässä asiassa käsiteltyä henkilötietojen käsittelyä, ja kyse on rekisterinpitäjän ydintoimintaa koskevasta henkilötietojen käsittelystä, katsoo seuraamuskollegio, että rekisterinpitäjä ei ole voinut nojautua yksinomaan ICO:n kanssa käytyyn viestinvaihtoon.
199. Näin ollen seuraamuskollegio katsoo, että edellä kohdissa 195-198 kuvatut seikat eivät voi johtaa seuraamusmaksun määräämättä jättämiseen. Ne on kuitenkin otettava huomioon seuraamusmaksun määrää merkittävästi alentavina tekijöinä.
Henkilötietoryhmät, joihin rikkominen vaikuttaa
200. Pääasiassa todetun mukaisesti rekisterinpitäjän yleisen tietosuoja-asetuksen säännöksiä rikkova toiminta on koskenut rekisteröidyn terveyttä koskevien tietojen, maksimaalisen hapenottokyvyn ja painoindeksin käsittelyä ilman yleisen tietosuoja-asetuksen mukaista suostumusta.
201. Seuraamuskollegio on jo päätöksen kohdissa 176-177 arvioinut tietojenkäsittelyn luonteen merkitystä seuraamusharkinnassa.
Raskauttavien ja lieventävien tekijöiden arviointi
202. Hallinnollisen seuraamusmaksun määräämisestä ja määrästä päätettäessä on nyt kyseessä olevassa asiassa otettu huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan c – f ja h- i, ja k alakohdat.
Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
203. Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskettaessa huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.
204. Rekisterinpitäjä ei ole muuttanut maksimaalisen hapenottokyvyn ja painonindeksin käsittelyyn kerättävää suostumusta . Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarvioinnissa raskauttavana tekijänä, mutta sitä ei myöskään ole pidettävä seuraamusmaksun määrän arvioinnissa lieventävänä tekijänä.
Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
205. Yleisen tietosuoja-asetuksen 25 artiklassa edellytetään, että rekisterinpitäjä ottaa toiminnassaan huomioon ”uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.”
206. Tietosuojavaltuutetun päätöksestä ilmenevästi rekisterinpitäjä on selvityksessään kertonut, ettei sen käsittelemien tietojen avulla voida tehdä päätelmiä rekisteröidyn nykyisestä tai tulevasta terveydentilasta. Rekisterinpitäjä on tämän vuoksi katsonut, ettei se käsittele muita terveyttä koskevia tietoja kuin sykettä koskevaa tietoa. Rekisterinpitäjä on kuitenkin selvityksessään todennut käsittelevänsä maksimaalista hapenottokykyä ja painoindeksiä. Lisäksi rekisterinpitäjä on kertonut verkkosivuillaan, että sen käsittelemän maksimaalisen hapenottokyvyn avulla voidaan tehdä päätelmiä verenkiertojärjestelmän kyvystä välittää happea keholle .
207. Edellä kerrotun perusteella seuraamuskollegio katsoo, että rekisterinpitäjä ei ole asianmukaisesti varmistunut siitä, käsitteleekö se sykettä koskevan tiedon lisäksi muita terveyttä koskevia tietoja ja jos käsittelee, niin mitä terveyttä koskevia tietoja se käsittelee.
Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet
208. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön suorittaman henkilötietojen käsittelyn historiatietoja. Valvontaviranomaisten olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laaja, sillä minkä tahansa tyyppinen yleisen tietosuoja-asetuksen säännösten rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.
209. Tietosuojavaltuutetun toimiston tietoon ei ole saatettu rekisterinpitäjän aiempia vastaavia yleisen tietosuoja-asetuksen säännösten rikkomisia. Rekisterinpitäjälle ei myöskään ole määrätty samasta asiasta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarvioinnissa lieventävänä tai raskauttavana tekijänä.
Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
210. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että rekisterinpitäjän yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.
211. Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Tietosuojaryhmän hallinnollisten sakkojen soveltamisesta ja määräämisestä antaman ohjeen mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.
212. Yleisen tietosuoja-asetuksen säännöksiä rikkova rekisterinpitäjän toiminta on tullut tietosuojavaltuutetun toimiston tietoon kanteluiden kautta. Rekisterinpitäjä on ollut yhteistyökykyinen tietosuojavaltuutetun toimiston kanssa. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarvioinnissa lieventävänä tai raskauttavana tekijänä.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
213. Seuraamusmaksun määrää arvioitaessa seuraamuskollegio ottaa seuraamusmaksun määrää lieventävänä tekijänä huomioon rekisterinpitäjän toiminnan tappiollisuuden viime vuosina.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.
Tietosuojavaltuutettu Anu Talus
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu Annina Hautala
Asian esitellyt ylitarkastaja Mari-Ilona Korhonen
Lisätietoja tästä päätöksestä antaa asian esittelijä
Ylitarkastaja Mari-Ilona Korhonen, p. 029 56 66725
Sovelletut lainkohdat
Euroopan parlamentin ja neuvoston asetus ((EU) 2016/679) 4 artikla 1, 11, 15, 22, 23, 24 kohta, 5 artikla 1 kohta a alakohta, 6 artikla 1 kohta a alakohta, 7 artikla 2 ja 4 kohta, 9 artikla 1 ja 2 kohta a alakohta, 13 artikla, 49 artikla, 58 artikla 2 kohta b, d ja i alakohdat, 60 artikla 1, 3-6 kohdat, 83 artikla 1, 2 ja 5 kohdat
Tietosuojalaki (1050/2018) 24 §
Hallintolaki 434/2003) 25 §, 34 §
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätökset ovat lainvoimaisia.