TSV 5.12.2024
Ennakkokuuleminen joukkoliikenteen lippu- ja maksujärjestelmästä
ennakkokuuleminen - vaikutustenarviointi - jäännösriski - lippujärjestelmä
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 5.12.2024 |
| Diaarinumero: | TSV/8513/2024 |
Apulaistietosuojavaltuutetun päätös ja ohjaus ennakkokuulemisasiassa
Asia
Ennakkokuuleminen joukkoliikenteen lippu- ja maksujärjestelmästä
Rekisterinpitäjä
[Kaupunki]
Ennakkokuulemispyyntö
Rekisterinpitäjän kuvaus suunnitellusta käsittelystä
[Kaupunki] on 26.8.2024 saattanut vireille tietosuojavaltuutetun toimistoon Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun asetuksen (EU 679/2016, EU:n yleinen tietosuoja-asetus) 36 artiklan mukaisen ennakkokuulemispyynnön.
Ennakkokuulemispyyntö koskee rekisterinpitäjälle eli [kaupungille] [yrityksen] (henkilötietojen käsittelijä) toimittamaa joukkoliikenteen lippu- ja maksujärjestelmää. [Yrityksen] lippu- ja maksujärjestelmän on tarkoitus korvata rekisterinpitäjän nykyisin käytössä olevan [järjestelmän], joka ei ennakkokuulemispyynnön mukaan täytä tällä hetkellä liikennepalveluista annetun lain (320/2017) vaatimuksia.
Ennakkokuulemispyynnön mukaan suunnitellun henkilötietojen käsittelyn tarkoituksina ja keinoina on joukkoliikenteen asiakassuhteen hoitaminen, lipputuotteiden myyminen sekä matkustusoikeuden voimassaolon tarkastaminen. Palvelu sisältää matkalippujen myynnin, käytön, validoinnin, matkustusoikeuden tarkastamisen sekä asiakkuuden hoitamisen osalta asiakaspalvelun, sopimushallinnan sekä epäselvyyksien selvittämisen. Kuntalaisuustietoa käsitellään lipputulojen ja lipunosto-oikeuden todentamiseksi ja tilastointitarkoitukseen.
Ennakkokuulemispyynnön mukaan joukkoliikenteen palvelupisteen työntekijöillä sekä joukkoliikenteen henkilöstöllä (admin) on oikeus päästä asiakkaan henkilötietoihin. Palvelupisteen työntekijöillä on ennakkokuulemispyynnön mukaan henkilökohtaiset käyttäjätunnukset, joilla pääsyoikeudet on määritelty tarpeen mukaan lippu- ja maksujärjestelmään. Fyysiset tilat ovat lukittuja ja valvottuja.
Rekisterinpitäjän arvioimat jäännösriskit
Ennakkokuulemispyynnön liitteenä olevan joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnin mukaan arviointi toteutettiin tammi-helmikuussa 2023. Vaikutustenarviointia varten tutustuttiin [yrityksen] toimittamaan tarjoukseen ja sen järjestelmäkuvaukseen sekä [yrityksen] toimittamaan arkkitehtuurikuvaukseen. Vaikutustenarviointi avattiin uudelleen käyttöönotossa ilmenneiden ongelmien takia kesäkuussa 2024. Vaikutustenarvioinnissa huomioitiin asiakkaiden sekä liikennehenkilökunnan henkilötietojen käsittely. Arvioinnissa ei käsitelty oman henkilöstön käyttäjätunnusten keräilyä ja käsittelyä.
Joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnin mukaan rekisterinpitäjä on todennut useita toimenpiteitä, joita tulee tietosuojan vaikutustenarvioinnin perusteella tehdä:
”[Yrityksen] kanssa on tehtävä uusi sopimus, johon tulee liittää henkilötietojen käsittelyn ehdot ja ohjeistus.
Palvelupisteiden koulutuksessa on huomioitava henkilötietojen asianmukainen ja turvallinen käsittely.
Palvelupisteiden osalta tulee varmistaa, että palvelupistesovellukseen pääsee kirjautumaan vain tietyistä IP-osoitteista tai toteuttaa esimerkiksi kaksivaiheinen tunnistautuminen, jotta mahdolliset väärinkäytökset voidaan estää.
Asiakastietojen säilytysaika ja tuhoamisprosessi tulee sopia järjestelmätoimittajan kanssa. Asiakkaita tulee informoida asiakastietojen poistamisesta.
Joukkoliikenteen ja muiden liikkumispalveluiden tietosuojaseloste tulee päivittää.
Ennen järjestelmän käyttöönottoa tulee selvittää, voidaanko esimerkiksi palvelupisteellä rajata käsiteltäviä tietoja niin, että ylimääräisiä tietoja ei ole mahdollista syöttää.
Selvitetään ennen käyttöönottoa, voidaanko palvelupistesovellukselle toteuttaa henkilötunnuksen oikeellisuuden tarkastus.
Toteutetaan verkkokauppaan ohjeistus/informointilauseke asiakkaalle.”
Joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnissa esitetyn tietosuojavastaavan kommentointiosuuden mukaan:
”Vaikutustenarviointia on täydennetty kesäkuussa 2024, jolloin on tunnistettu neljä uutta riskiä. Näistä vain yksi on saatu haltuun. Uusista riskeistä pidän merkittävimpänä puutteellista dokumentaatiota, jonka takia tietovirtoja ei voida kuvata riittävällä tasolla, ja jonka takia rekisterinpitäjä ei käytännössä voi tietää sitä, mihin henkilötietoa kulkee ja kuka siihen pääsee käsiksi.
Toinen merkittävä riski on tietojen siirto Australiaan, joka vaatisi TIA-arvioinnin (Transfer Impact Assesment).
Esitän myös huoleni siitä, ettei järjestelmän toimittaja ole voinut vastata kohtuullisen yksinkertaisiinkaan kysymyksiin, kuten onko tieto kryptattu vai ei. Tämä viittaa siihen, ettei toimittaja ole arvioinut ja dokumentoinut omia prosessejaan. Toimittajan vastauksissa on esiintynyt myös huomattavia puutteita tietosuojan perusasioissa, kuten siinä, mikä on henkilötietoa.”
Joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnissa on lisäksi käyty kyseiseen henkilötietojen käsittelyyn liittyviä riskejä yksittäin lävitse. Tietosuojavastaavan kommentointiosuudessa mainittuihin riskeihin liittyen on todettu seuraavaa:
”2 Tietovirtoja ei tunneta
Riskin kuvaus:
Toimittaja ei ole toimittanut tarkempia järjestelmäkuvauksia tai tietovirtakaavioita toistuvista pyynnöistä huolimatta. Toimitettu dokumentaatio on ollut puutteellista, ja jälkikäteen on paljastunut esimerkiksi tietojärjestelmä, joka puuttui kokonaan toimittajan antamista kuvauksista.
Ei ole selvää, missä tieto liikkuu ja kuka siihen voi päästä käsiksi. On epäselvää, liittyykö käsittelyyn henkilötietojen siirto EU/ETA-alueen ulkopuolelle. Rekisterinpitäjällä on vastuu kuvata ja arvioida tietovirrat ja niihin liittyvät toimijat, myös toimittajan alihankkijat. Jos kuvauksia ei saada, näitä kuvauksia ja arvioita ei voida tehdä jolloin on epäselvää se, mistä kannetaan vastuu.
Toimenpiteet riskin pienentämiseksi:
Dokumentaatiota on pyydetty useita kertoja.”
Jäännösriskin vaikutus ja todennäköisyys on merkitty kyseisen riskin osalta tasoihin ”Keskitaso” ja ”Lähes varma”.
Tietosuojavastaavan kommentointiosuudessa mainittuihin riskeihin liittyen on todettu lisäksi seuraavaa:
”3 Tietojen siirtyminen EU/ETA-alueen ulkopuolelle (Australia)
Riskin kuvaus:
Järjestelmäntoimittaja käyttää australialaista [järjestelmää], jonka välityksellä tehdään vikailmoitukset. Vikailmoituksen tekee työntekijä, ei asiakas. Australiaa koskevaa tietosuojan vastaavuuspäätöstä (adequacy decision) ei ole, joten jos tiedot siirtyvät selkokielisenä tai ovat saatavilla selkokielisinä, tulisi käyttää sopimuksessa vakiolausekkeita ja tehdä siirtovaikutusten arviointi (TIA, Transfers Impact Assesment). Australian lainsäädäntö takaa paikallisille turvallisuusviranomaisille pääsyn paikallisten yritysten tietoihin. Laki velvoittaa yrityksiä jättämään ns. takaportin kryptaukseen, jolloin tietojen kryptaus ei riitä riskin hallintaa. Käytännössä ainoa keino on se, ettei [järjestelmään], siirry henkilötietoa. Tämän varmistaminen on vaikeaa, ja keinoina on lähinnä ohjeistus, jolloin todennäköisesti jotain henkilötietoa (vähintään työntekijöiden tietoa) siirtyisi. Lain vaatima takaportti on myös tietoturvariski, jota rikolliset voivat hyödyntää.
Toimenpiteet riskin pienentämiseksi:
Riskin pienentämiseksi ei ole tehty toimenpiteitä”
Jäännösriskin vaikutusta ja todennäköisyyttä ei ole merkitty kyseisen riskin osalta näkyviin tietosuojan vaikutustenarviointiin.
Tietosuojavastaavan kommentointiosuudessa mainittujen riskien lisäksi muiden riskien ohella on käyty lävitse seuraava riski:
”4 Asiakastietojen lähettäminen suojaamattomassa sähköpostissa
Riskin kuvaus:
Järjestelmästä ei saa asiakastietoja muuten, kuin suojaamattomalla sähköpostilla. Jos asiakas tekee tarkastuspyynnön, pääkäyttäjän pitää ottaa tiedot järjestelmästä, joka lähettää ne pääkäyttäjälle tavallisella sähköpostilla. Pääkäyttäjä voi kirjoittaa osoitteen, mihin tiedot lähetetään, eikä lähetyksestä jää jälkeä, joten riskinä on myös se, pääkäyttäjä lähettää tiedot vahingossa väärään osoitteeseen.
Tiedot sisältävät mm. henkilötunnuksen. Tavallinen sähköposti on altis kaappaukselle eikä sen tietoturvan taso ole riittävä.
Toimittajaa on pyydetty korjaamaan ongelma (2/2024), mutta toimittaja ei ole toteuttanut korjausta.
Toimenpiteet riskin pienentämiseksi:
Riskin pienentämiseksi ei ole tehty toimenpiteitä”
Jäännösriskin vaikutus ja todennäköisyys on merkitty kyseisen riskin osalta tasoihin ”Korkea” ja ”Lähes varma”.
Rekisterinpitäjän näkemys ennakkokuulemisen tarpeellisuudesta
Ennakkokuulemispyynnön mukaan joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnissa ilmenee monia rekisteröityjen henkilötietojen käsittelyä koskevia riskejä, joihin järjestelmän toimittaja ei ole kohdistanut toimenpiteitä tai toimittanut dokumentaatiota.
Ennakkokuulemisen tarkoitus
Ennakkokuulemista käytetään, kun rekisterinpitäjä ei itse kykene riittävästi alentamaan tietosuojaa koskevassa vaikutustenarvioinnissa ilmi tulleita korkeita riskejä, joita suunnitellusta henkilötietojen käsittelystä koituisi rekisteröidylle. Tietosuojavaltuutetun toimistolle toimitettavassa ennakkokuulemispyynnössä tulee tuoda tällöin esille ne rekisteröidylle koituvat korkeat riskit, joita rekisterinpitäjä ei itse ole kyennyt alentamaan hyväksyttävälle tasolle. Tietosuojavaltuutetun toimisto antaa rekisterinpitäjälle kirjalliset ohjeet, jos suunniteltu käsittely sen näkemyksen mukaan rikkoisi yleistä tietosuoja-asetusta, erityisesti jos riskiä ei ole tunnistettu tai pienennetty riittävästi. Kirjallisissa ohjeissa kuvataan valvontaviranomaisen näkemys siitä, millä tavalla riskejä voidaan mahdollisesti alentaa edelleen.
Ennakkokuulemisessa tarkoitetulla riskienhallinnalla vaikutetaan myös niihin rekisterinpitäjän ratkaisuista johtuviin rekisteröidylle koituviin riskeihin, jotka liittyvät toimialakohtaisen sääntelyn puitteissa tapahtuvaan henkilötietojen käsittelyyn. Jos rekisterinpitäjä vaikutustenarvioinnin yhteydessä tai muutoin huomaa, ettei toimialaan sovellettava lainsäädäntö mahdollista suunniteltuja käsittelytoimia sellaisenaan, on suunniteltuja käsittelytoimia syytä muuttaa.
Ennakkokuulemismenettelyä ei ole tarkoitettu käytettävän siihen, että rekisterinpitäjä saattaa suunnitellun henkilötietojen käsittelyn lainmukaisuuden tietosuojavaltuutetun toimiston arvioitavaksi ja ennakkohyväksyttäväksi. Rekisterinpitäjän on jo lähtökohtaisesti valittava sellaiset toimintatavat, jotka ovat toimintaan sovellettavan lainsäädännön mukaisia.
Sovellettava lainsäädäntö
Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus). Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleistä tietosuoja-asetusta täsmentää ja täydentää kansallinen tietosuojalaki (1050/2018).
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan mukaan henkilötietojen suhteen on noudatettava seuraavia vaatimuksia: a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”); b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”); c) niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”); d) niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”); e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”); f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).
Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).
Yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
Yleisen tietosuoja-asetuksen 35 artiklan 2 kohdan mukaan tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.
Yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan arvioinnin on sisällettävä vähintään: a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut; b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden; c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
Yleisen tietosuoja-asetuksen 35 artiklan 11 kohdan mukaan rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.
Yleisen tietosuoja-asetuksen 36 artiklan 1 kohdan mukaan rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos artiklassa 35 säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.
Yleisen tietosuoja-asetuksen 36 artiklan 2 kohdan mukaan, jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää artiklassa 58 tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.
Yleisen tietosuoja-asetuksen 36 artiklan 3 kohdan mukaan kuullessaan 1 kohdan mukaisesti valvontaviranomaista rekisterinpitäjän on toimitettava valvontaviranomaiselle a) tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet erityisesti konsernin sisällä suoritettavaa käsittelyä varten; b) suunnitellun käsittelyn tarkoitus ja keinot; c) toimenpiteet ja toteutetut suojatoimet rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi tämän asetuksen nojalla; d) tapauksen mukaan tietosuojavastaavan yhteystiedot; e) edellä artiklassa 35 säädetty tietosuojaa koskeva vaikutustenarviointi; ja f) muut valvontaviranomaisen pyytämät tiedot.
Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan a alakohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet: varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia.
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu ratkaisee asian EU:n yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) nojalla. Asiassa on ratkaistavana:
i) onko rekisterinpitäjä tehnyt ennakkokuulemispyynnön yleisen tietosuoja-asetuksen 36 artiklan 1 kohdan mukaisesti; ja
ii) ovatko suunnitellut käsittelytoimet todennäköisesti yleisen tietosuoja-asetuksen säännösten vastaisia, vaikka rekisterinpitäjä ei ole itse tunnistanut nimenomaista korkeaa jäännösriskiä tehtyään yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin; sekä
Onko asiassa käytettävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
Apulaistietosuojavaltuutettu katsoo päätöksessään seuraavaa:
i) Rekisterinpitäjä ei ole toteuttanut ennakkokuulemispyyntöä yleisen tietosuoja-asetuksen 36 artiklan 1 kohdan mukaisesti, koska yleisen tietosuoja-asetuksen artiklassa 35 säädetyn perusteella tehty rekisterinpitäjän tietosuojaa koskeva vaikutustenarviointi osoittaa, että rekisterinpitäjä ei ole kyennyt tunnistamaan henkilötietojen käsittelyn aiheuttavan usean korkean jäännösriskin rekisterinpitäjän riskien pienentämiseksi toteuttamien toimenpiteiden jälkeen.
ii) Suunnitellut käsittelytoimet ovat todennäköisesti yleisen tietosuoja-asetuksen säännösten vastaisia siitä huolimatta, vaikka rekisterinpitäjä ei ole itse tunnistanut nimenomaista korkeaa jäännösriskiä tehtyään yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen siksi, että aiotut käsittelytoimet ovat todennäköisesti yleisen tietosuoja-asetuksen säännösten vastaisia.
Perustelut
Yleisen tietosuoja-asetuksen mukaisen ennakkokuulemisen vaatimuksista
Yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
Yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan arvioinnin on sisällettävä vähintään: a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut; b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden; c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
Yleisen tietosuoja-asetuksen 36 artiklan 1 kohdan mukaan rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos artiklassa 35 säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.
Yleisen tietosuoja-asetuksen 36 artiklan 2 kohdan mukaan, jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää artiklassa 58 tarkoitettuja valtuuksiaan.
Jotta apulaistietosuojavaltuutettu voi valvontaviranomaisena antaa yleisen tietosuoja-asetuksen 36 artiklassa tarkoitetut kirjalliset ohjeet rekisterinpitäjälle, on rekisterinpitäjän tullut ilmaista ne suunnitellusta henkilötietojen käsittelystä rekisteröidyille koituvat korkeat jäännösriskit, joita se ei ole pystynyt pienentämään hyväksyttävälle tasolle.
Ennakkokuulemisen mukaista korkeaa riskiä ei ole tunnistettu
Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittama ennakkokuulemispyyntö-aineisto koostuu tietosuojavaltuutetun toimistolle lähetetystä ennakkokuulemisen lähetteestä perustietoineen sekä vuonna 2023–2024 laaditusta joukkoliikenteen lippu- ja maksujärjestelmän tietosuojan vaikutustenarvioinnista. Vaikutustenarviointi on muun ohella sisältänyt riskien yksittäisen käsittelyn sekä tietosuojavastaavan kommentointiosuuden.
Rekisterinpitäjän toimittamassa ennakkokuulemispyyntö-aineistossa on kuvattu henkilötietojen käsittelyä koskevia tunnistettuja riskejä sekä sitä, miten riskien tasoa on arvioitu sekä niiden alentamiseksi valittuja toimenpiteitä. Yhtäkään tunnistettua riskiä ei ole toimitetussa aineistossa tuotu rekisterinpitäjän toimesta esille nimenomaisesti yleisen tietosuoja-asetuksen tarkoittamana korkeana jäännösriskinä. Rekisterinpitäjä on tästä huolimatta tehnyt ennakkokuulemispyynnön.
Rekisterinpitäjä ei ole siten toteuttanut ennakkokuulemispyyntöä yleisen tietosuoja-asetuksen 36 artiklan 1 kohdan mukaisesti, koska yleisen tietosuoja-asetuksen artiklassa 35 säädetyn perusteella tehty rekisterinpitäjän tietosuojaa koskeva vaikutustenarviointi osoittaa, että rekisterinpitäjä ei ole kyennyt tunnistamaan henkilötietojen käsittelyn aiheuttavan usean korkean jäännösriskin rekisterinpitäjän riskien pienentämiseksi toteuttamien toimenpiteiden jälkeen.
Suunnitellut käsittelytoimet sisältävät todennäköisesti yleisen tietosuoja-asetuksen säännösten vastaisia jäännösriskejä
Rekisterinpitäjän toimittaman aineiston perusteella kyse on rekisterinpitäjän uudesta joukkoliikenteen lippu- ja maksujärjestelmästä, jonka henkilötietojen käsittelijä toimittaa sille.
Rekisterinpitäjä ei ole nimenomaisesti osoittanutToimitetun aineiston perusteella rekisterinpitäjä on kuitenkin havainnut järjestelmää koskevia useita ongelmallisia riskejä.
Apulaistietosuojavaltuutetun käsityksen mukaan jäännösriskeiksi jääneiden riskien, eli 2 Tietovirtoja ei tunneta -nimetyn riskin sekä 3 Tietojen siirtyminen EU/ETA-alueen ulkopuolelle (Australia) -nimetyn riskin osalta kyse on tilanteesta, jossa puutteellinen dokumentaatio ja vielä selvittämättömät seikat ovat johtaneet kyseisten riskien syntymiseen ja siihen, että aineisto on keskeneräinen niiden osalta. Riskeihin sekä niiden käsittelyyn liittyen toimitettu aineisto on myös sisäisesti ristiriitainen ja epäselvä. Esimerkiksi EU/ETA-alueen ulkopuolelle siirrettävien henkilötietojen osalta toimitettu aineisto tarjoaa sitä koskien aineiston eri osuuksissa erilaisia käsityksiä. Kaikkiaan tiedot siitä, missä henkilötiedot liikkuvat, kuka niitä käsittelee ja se, siirretäänkö henkilötietoja EU/ETA-alueen ulkopuolelle ovat henkilötietojen käsittelyn osalta oleellisia tietoja, ja joita koskien tietoja ei ole tietosuojan vaikutustenarvioinnissa annettu riittävästi.
Riittäviä tietoja ei ole annettu myöskään apulaistietosuojavaltuutetun käsityksen mukaan jäännösriskiksi jääneeseen riskiin 4 Asiakastietojen lähettäminen suojaamattomassa sähköpostissa -nimettyyn riskiin liittyen huomioiden erityisesti asianmukainen käsittely henkilötunnusta koskien. Tämänkin riskin käsittely on siten vielä puutteellinen.
Apulaistietosuojavaltuutetun käsityksen mukaan yllä käsitellyt rekisterinpitäjän havaitsemat riskit ovat luokiteltavissa korkeiksi. Riskejä on siten kyettävä alentamaan.
Yleisen tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Tietosuojaperiaatteita on noudatettava koko henkilötietojen käsittelyn elinkaaren ajan. Apulaistietosuojavaltuutettu korostaa, että kukin rekisterinpitäjä vastaa siitä, että sen henkilötietojen käsittely tapahtuu lainmukaisesti ja että rekisterinpitäjän on myös pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä.
Rekisterinpitäjän kuvaaman jäännösriskejä sisältävät suunnitellut henkilötietojen käsittelytoimet ovat siten todennäköisesti henkilötietojen käsittelyä koskevalta sisällöltään nykymuodossaan yleisen tietosuoja-asetuksen säännösten vastaisia. Apulaistietosuojavaltuutettu korostaa, että suunniteltua henkilötietojen käsittelyä ei voi suorittaa jäännösriskeistä välittämättä.
Yllä todetun perusteella apulaistietosuojavaltuutettu toteaa, että suunnitellut käsittelytoimet ovat todennäköisesti yleisen tietosuoja-asetuksen säännösten vastaisia siitä huolimatta, vaikka rekisterinpitäjä ei ole itse tunnistanut nimenomaista korkeaa jäännösriskiä tehtyään yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin.
Apulaistietosuojavaltuutetun varoitus
Yleisen tietosuoja-asetuksen 58 artiklassa säädetään valvontaviranomaisen valtuuksista ja sen 2 kohdassa korjaavista toimivaltuuksista. Kyseisen 2 kohdan a alakohdan mukaan valvontaviranomainen voi varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti säännösten vastaisia.
Yllä kuvatuilla perusteilla apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan a alakohdan mukaisen varoituksen.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään valitusosoituksessa mainittuun hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Apulaistietosuojavaltuutetun ohjaus (ennakkokuulemisen kirjalliset ohjeet)
Riskin tunnistamisesta
Ennakkokuulemista käytetään, kun rekisterinpitäjä ei itse kykene riittävästi alentamaan tietosuojaa koskevassa vaikutustenarvioinnissa ilmi tulleita korkeita riskejä, joita suunnitellusta henkilötietojen käsittelystä koituisi rekisteröidylle.
Ennakkokuulemismenettelyä ei ole tarkoitettu käytettävän siihen, että rekisterinpitäjä saattaa suunnitellun henkilötietojen käsittelyn lainmukaisuuden tietosuojavaltuutetun toimiston arvioitavaksi ja ennakkohyväksyttäväksi.
Jos henkilötietojen käsittelystä ei ole rekisterinpitäjän mukaan tunnistettavissa korkeita riskejä rekisteröityjen oikeuksille ja vapauksille, ei se yksinään mahdollista henkilötietojen käsittelyä suunnitellulla tavalla.
Henkilötietojen käsittely tulee tapahtua lainmukaisesti ja asianmukaisin käsittelyperustein. Henkilötietojen käsittelyssä on noudatettava aina sovellettavan tietosuojalainsäädännön mukaisia tietosuojaperiaatteita ja -vaatimuksia. Rekisterinpitäjän on jo lähtökohtaisesti valittava sellaiset toimintatavat, jotka ovat toimintaan sovellettavan lainsäädännön mukaisia.
Jäännösriskien alentamisesta edelleen
Rekisterinpitäjä on tehnyt suunnitellusta henkilötietojen käsittelystä tietosuojaa koskevan vaikutustenarvioinnin. Vaikutustenarvioinnissa rekisterinpitäjä on pyrkinyt hallitsemaan rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä. Rekisterinpitäjä on tunnistanut useita riskejä, joita se ei ole kyennyt tietosuojan vaikutustenarvioinnissa esittämillään toimenpiteillään kokonaan poistamaan. Näiden riskien joukossa on apulaistietosuojavaltuutetun käsityksen mukaan myös korkeita jäännösriskejä.
Apulaistietosuojavaltuutetun käsityksen mukaan korkeiksi jäännösriskeiksi jääneiden riskien, eli 2 Tietovirtoja ei tunneta -nimetyn riskin sekä 3 Tietojen siirtyminen EU/ETA-alueen ulkopuolelle (Australia) -nimetyn riskin osalta voidaan riskien alentamiseen suunnitellussa käsittelyssä vaikuttaa ensinnäkin hankkimalla tarvittava dokumentaatio ja selvittämällä epäselvät henkilötietojen käsittelyä koskevat seikat (missä tieto liikkuu ja kuka pääsee siihen käsiksi sekä se, siirretäänkö henkilötietoja EU/ETA-alueen ulkopuolelle). Tämän jälkeen rekisterinpitäjän olisi syytä esimerkiksi dokumentaation perusteella arvioida tarpeet toimenpiteille, esimerkiksi vaatiiko toiminnan lainmukaisuus teknisiä korjaavia toimenpiteitä. Jäännösriskiksi jääneeseen riskiin 4 Asiakastietojen lähettäminen suojaamattomassa sähköpostissa -nimettyyn riskiin voidaan suunnitellussa käsittelyssä puolestaan vaikuttaa sitä alentavasti apulaistietosuojavaltuutetun käsityksen mukaan lähinnä teknisin ratkaisuin.
Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.
Asian on esitellyt ylitarkastaja Jussi Vaanola.
Asian on ratkaissut apulaistietosuojavaltuutettu Annina Hautala.
Päätös ei ole lainvoimainen.